Los agujeros negros empresariales

La seguridad continúa siendo una asignatura pendiente en buena parte de las organizaciones españolas. Las amenazas y peligros han evolucionado a una velocidad vertiginosa y se ha multiplicado exponencialmente el número de vulnerabilidades, tanto internas como externas, a disposición de los ciberdelincuentes. En este escenario, la carencia de una cultura de la seguridad sigue siendo patente y, con frecuencia, se cae en errores de base.

Aunque el responsable de seguridad de la información (CISO, chief information security officer) se ha convertido en una figura cada vez más demandada, rara vez dispone de los recursos suficientes a su alcance para desarrollar satisfactoriamente su actividad. De nada sirve contar con un CISO altamente cualificado, con conocimientos legales, de procesos de negocio y todas las certificaciones tecnológicas necesarias, si no le dotamos de las suficientes herramientas e inversión para poder desplegar una estrategia de seguridad completa. Solo poniendo a su disposición los recursos que demanda será posible evitar que la organización sufra duros varapalos que van más allá de los datos comprometidos o de la información implicada en una fuga o brecha de seguridad. De hecho, el impacto reputacional es una de las consecuen­cias negativas más significativas que pueden jugar en contra de la organización. La onda expansiva del mensaje “esta empresa no es segura” correrá como la pólvora y hará caer las ventas y el prestigio, precipitará la fuga de clientes, etc., algo de lo que no resulta sencillo recuperarse.

Brechas internas

El software estándar, como el de tipo ERP, puede suponer también uno de esos agujeros de seguridad. Actividades comunes tales como instalar actualizaciones o parches no resultan sencillas en este tipo de software, ya que requieren una inversión en tiempo y personal cualificado. Esto provoca que muchas empresas retrasen estos procesos, lo cual hace que queden expuestas.

Por otro lado, algunas de las amenazas internas se pueden materializar en los desarrollos a medida, que es una tendencia muy extendida en casi todas las empresas, sobre todo cuando hablamos de sus aplicativos verticales (el software desarrollado y personalizado específicamente para un sector de actividad), que se convierten también en un campo fértil para estas brechas. ¿Por qué? De nuevo porque la cultura de la seguridad no está tan implantada como pudiera pensarse en un principio y esto podría estar abriendo de par en par las puertas de nuestra organización a hackers malintencionados.

Debería ser imperativo que la seguridad se incorpore desde el diseño, no únicamente cuando las aplicaciones van a entrar a producción o se les aplica algún tipo de auditoría.

 Plan director de seguridad

Cada vez son más las compañías que confían en empresas externas, como Everis, para, al menos, marcar ese punto de partida a la hora desarrollar un plan director de seguridad. Se trata de comenzar la casa por los cimientos, porque resulta crucial disponer de un dibujo completo de la organización, de los lugares en los que se encuentra la información más crítica y de todas las posibles brechas de seguridad que se hallan ocultas. En este sentido, Everis dispone de una herramienta capaz de analizar automáticamente millones de líneas de código del software empresarial SAP ERP, con el fin de poner al descubierto agujeros que suelen aprovechar los ciberdelincuentes.

Otra de las medidas más recomendables, y no menos conocidas, es la de adoptar una política de accesos basada en las funciones que cada persona cumple dentro de la organización, con el fin de reducir riesgos de fraude. La era del “superusuario” ha pasado a mejor vida y la tendencia pasa por establecer un control de acceso a aplicaciones, bases de datos, etc. basado en roles. ¿Para qué sirve que un empleado de ventas tenga acceso a información que únicamente compete a la alta dirección? Otorgárselo, sencillamente, es abrir una puerta a posibles vulnerabilidades.

Para evitar estas situaciones potencialmente peligrosas se opta por implantar una gestión del derecho de acceso a los procesos mediante privilegios de usuario, con o sin herramientas de apoyo, pero correctamente definido por la organización, de manera que, accediendo a una misma información, un usuario tendrá la posibilidad de leer y modificar el contenido, mientras que otro únicamente podrá acceder a su lectura.

 Entorno cloud

Por otro lado, es importante también poner el foco en los entornos cloud. Este modelo ya es una realidad y la tendencia, cada vez más común, es su adopción, en cualquiera de sus modalidades. Cuando hablamos de la nube resulta crucial saber dónde residen los datos, no solo por cumplir con la normativa legal vigente, sino porque los proveedores cloud ya son globales y sus datacenters pueden estar repartidos por todo el mundo y, con ellos, nuestros datos.

Antes de realizar una evaluación de proveedores cloud, hay que ser consciente de si las aplicaciones de misión crítica están especialmente indicadas para este entorno; además, hay que garantizar que el proveedor cumple con los requisitos de seguridad mínimos establecidos por la organización. Ya que, a pesar de que uno de los argumentos de venta de los modelos en la nube es la sencillez a la hora de pasar de uno a otro, no siempre se dan las circunstancias para ello. Un buen ejemplo sería el tamaño de las bases de datos en SAP HANA, que confirma que el fabricante certifica su correcto funcionamiento en entornos productivos.

Asumido este condicionante, y aunque presupongamos que la seguridad del proveedor es tanto o más robusta que la de la organización, es imprescindible revisar una serie de puntos en nuestra check list.

  • El control de accesos es un factor crítico. Al apostar por un modelo de autenticación single sign-on (SSO), su implantación sitúa la potencial vulnerabilidad en un único punto.
  • Posibilidad de que el proveedor cloud cuente con cifrado de la información end-to-end, reduciendo así la probabilidad de que esos datos se vean comprometidos.
  • Hay que prestar especial atención a las configuraciones por de­fecto, en las que se confía porque suponen la manera más cómoda y rápida de poner en funcionamiento una plataforma o servicio. Sin embargo, existe un riesgo a corto o medio plazo para la organización, por lo que es recomendable crear una configuración personalizada que no sea de domi­nio público.

Preguntas claves

  • ¿Dónde están mis datos? La máxima para proteger una información es saber dónde residen los datos (¿están en sistemas, infraestructuras o servidores internos o se encuentran en entornos cloud?).
  • ¿Están protegidos los datos? El cifrado de la información es un requisito indispensable de seguridad.
  • ¿Quién tiene acceso a la información? La segregación de acceso y funciones para el personal que controla los datos es una medida que reduce las vulnerabilidades.
  • ¿Están certificadas para cloud mis aplicaciones? No todos los fabricantes certifican, por ejemplo, determinados tamaños de base de datos para la nube.