Auditorías de seguridad, la mejor prevención frente a los ciberataques

mtp
Por mtp

A la hora de proteger nuestro hogar tenemos claras las medidas que debemos tomar para prevenir un robo: puerta blindada, cerradura de seguridad, servicio de alarma, rejas y contraventanas… Sabemos que todas esas precauciones quizá no sean suficientes, pero no dudamos en poner todo de nuestra parte para dificultar el trabajo de los cacos.

Lo que todavía no hemos asimilado del todo es que, hoy en día, la mayor parte de los robos se cometen a través de las redes que nos conectan con el resto del mundo, y que las aplicaciones que nos ayudan a hacer nuestro trabajo pueden llegar a ser una puerta abierta por la que los ciberdelincuentes logran acceder a nuestros datos personales, a los de nuestro negocio y, lo que puede ser aún más grave, a los de nuestros clientes.

Es posible que en estos momentos estemos siendo víctimas de un ciberataque sin darnos cuenta de ello. ¿Cómo puede ser? En nuestra casa conocemos con exactitud el número de puertas y ventanas que existen. Sabemos si una de ellas cierra mal o si tiene un cristal roto. En nuestras empresas no somos conscientes del número de aplicaciones que tenemos instaladas y tampoco de si esas aplicaciones son vulnerables.

Esta situación es grave, porque todo apunta a que las aplicaciones en las que basamos el negocio se han convertido en el principal objetivo de los hackers y a que las aplicaciones suelen tener muchas ventanas abiertas:

  • El 84% de los ciberataques se dan en la capa de aplicación (fuente: SAP).
  • El 92% de las vulnerabilidades están en el software (fuente: National Institute for Standard and Technology, NIST).
  • El 67% de las aplicaciones contienen vulnerabilidades de código abierto (fuente: BlackDuck).

A la hora de proteger nuestros datos, sistemas y aplicaciones, como en todo, siempre es mejor prevenir que curar. Una fórmula para ello, que no nos salvará de ser víctimas de posibles ataques, pero que sí nos permitirá estar mejor preparados para poder afrontarlos y mitigarlos con éxito, consiste en la ejecución de auditorías de ciberseguridad.

Los beneficios de llevar a cabo una auditoría de ciberseguridad son múltiples. Así, pueden ayudar a:

  • Identificar vulnerabilidades en todos los aplicativos software de la organización (web, móviles y de escritorio).
  • Conocer cómo puede explotar cada vulnerabilidad.
  • Definir los riesgos que conllevan.
  • Definir las soluciones para cada una de ellas.
  • Proteger la infraestructura del negocio.
  • Aumentar la seguridad en los accesos a los recursos de la empresa.
  • Conservar la confidencialidad de los datos críticos.
  • Controlar la red frente al acceso, modificación y uso indebido de los datos.
  • Proteger la empresa de la pérdida y filtración de información.

Por otra parte, tampoco hay que olvidar que con la entrada en vigor de la nueva normativa europea de protección de datos, GDPR, las organizaciones que sufran una fuga de información van a tener que demostrar que han implementado las medidas técnicas y organizativas necesarias para adecuarse a los requisitos legales, por lo que una auditoría puede servir de gran ayuda en el cumplimiento de la legislación vigente.

 Factores a tener en cuenta en una auditoría de seguridad

 En MTP recomendamos llevar a cabo este tipo de auditorías en tres fases:

  • Análisis de seguridad del código fuente, aplicando pruebas de seguridad basadas en análisis estático (SAST – Static Application Security Testing) y que se extiende al análisis de vulnerabilidades de componentes de código abierto (OSSA – Open-Source Software Security Analysis)
  • Análisis automatizado de aplicaciones en ejecución, por medio de pruebas de seguridad dinámicas (DAST – Dynamic Application Security Testing) y pruebas se seguridad dinámicas semi-intrusivas (IAST – Interactive Application Security Testing).
  • Pruebas manuales de las aplicaciones, basándose en estándares de reconocido prestigio y en la experiencia de los consultores, donde se marca la diferencia entre unas y otras empresas de ciberseguridad.

Además de analizar las aplicaciones para identificar brechas en su código, sigue siendo necesario conocer el estado de la red accesible con respecto a la seguridad. Para ello, el primer paso es llevar a cabo una serie de auditorías tanto internas como externas.

Las auditorías externas consisten en el análisis de vulnerabilidades de seguridad del rango de IPs corporativas. En ellas, no solo se procede a la identificación del riesgo de ciberseguridad de las aplicaciones que residan en esas páginas, sino que se estudian brechas de seguridad e incluso datos que la empresa facilita a través de ellas, ya que en ocasiones los hackers utilizan esa información para sus actividades de fraude.

 Las auditorías perimetrales internas consisten, básicamente, en pruebas dinámicas de seguridad estando físicamente dentro o cerca de la oficina de la organización a auditar. Los consultores buscan las vías para acceder a los sistemas y a los datos corporativos más sensibles desde las propias instalaciones de la compañía y a través de su WiFi e incluso por RJ45.

Con este tipo de auditorías, cualquier empresa podrá llevar a cabo una evaluación de riesgo de ciberseguridad, identificando las brechas existentes en sus redes accesibles, así como los datos que pueden llegar a quedar expuestos.

Una vez descubiertas las vulnerabilidades, es preciso implementar las medidas de protección adecuadas para impedir el acceso fraudulento a los datos corporativos. En este sentido, resulta clave el uso de herramientas tecnológicas de monitorización y prevención de fugas que sean capaces de proporcionar visibilidad en tiempo real sobre los datos sensibles, actividades sospechosas, análisis de comportamiento de los usuarios y que ofrezcan una respuesta a las amenazas dirigidas a las aplicaciones de alto riesgo.

Por Luis Redondo

Responsable del Área de Ciberseguridad de MTP

Claves para mantener a raya los riesgos de ciberseguridad

Digital Business Assuranceux