English
¿Cómo está de protegida tu empresa? ¿Es cibersegura? ¿Cuánto de cibersegura? ¿Qué debilidades tiene y qué medidas deberías implementar para que sea (más) cibersegura?... ¿Quieres saberlo? ¡Pruébate a ti mismo y averígualo!
Es normal tener todas estas dudas, e incluso hasta muy bueno si no se quedan en el tintero y, en su lugar, forman parte de un ciclo continuo de mejora (PDCA), de la evaluación periódica del nivel de riesgo y ciberseguridad de nuestra organización y del establecimiento de acciones para fortalecerla aún más.
Cada organización tendrá que evaluarse (internamente, o mejor por parte de profesionales expertos externos) para analizar cuáles son las amenazas y riesgos que les afectan, en que cuantía, cuál sería su impacto en caso de materializarse y cómo se pueden mitigar e incluso evitar.
Pero, la empresa tiene muchos frentes, tiene muchos flancos donde podrían encontrarse muchas debilidades, agujeros de seguridad, vulnerabilidades, etc., a través de los cuales se podría ver envuelta en un ciberincidente o ser víctima de un grave ciberataque.
¿Por dónde comenzar? En primer lugar, haz un ejercicio de Seguridad Ofensiva con el que poder ver la situación en la que se encuentra la organización en materia de protección y ciberseguridad.
¿Seguridad Ofensiva? Sí, básicamente, consiste en ponerse a prueba, en poner a prueba la seguridad de la organización, actuando como lo haría un ciberdelincuente o ciberatacante para encontrar posibles debilidades y vulnerabilidades que poder explotar para atacar.
Así, una vez identificadas, sí será posible establecer controles y poner medidas o remedios de mejora y protección para evitar disgustos. De otro modo… sin esa identificación previa… ya sabemos que… “es imposible mejorar y proteger aquello que se desconoce”.
Dentro de esta estrategia de “atacarnos a nosotros mismos para evidenciar, identificar, corregir, mejorar y proteger” (hacking ético, pentesting, test de penetración, o red team), existen muchas alternativas, objetivos y caminos que seguir, que dependerán mucho de nuestra organización, del tipo de empresa del que se trata, del sector de actividad, de los servicios y productos que proveemos, exponemos y comercializamos, de si vendemos online o no, etc.
Se puede analizar y simular ataques a la web, a la tienda online, a los servidores, a la red corporativa, a sus usuarios perfiles, roles y accesos, a las bases de datos, a los accesos a Internet, a los servicios o entorno en la nube con los que cuenta la empresa, así como el modo en el que se utilizan y gestionan, los dispositivos, sistemas operativos, software y aplicaciones instaladas, etc.
¡Anticípate! Simula un ataque y busca. Identifica vulnerabilidades corporativas, los agujeros de seguridad, revisa tu plan de continuidad de negocio, seguridad y resiliencia, el software y hardware con el que cuentas, así como el estado de actualización del mismo y si se han aplicado todos los parches necesarios, si tienes establecida una correcta configuración, etc.
¡Actúa! Con toda esta información recopilada, ya puedes tener una noción mucho mejor de cuál es el nivel de seguridad de la organización y también conocerás el detalle de posibles “huecos” o debilidades que podría aprovechar un ciberdelincuente para entrar y atacar. ES el momento de poner remedio para prevenir y protegernos proactivamente.
Quizá no te parezca ni sencillo ni trivial hacerlo por tu cuenta. Quizá en la organización no exista un departamento ni personal con conocimientos, formación y experiencia en la materia. Quizá no sea el core business de la empresa.
¡No te preocupes! Existen profesionales externos que puedes contratar para que te ayuden, como Zerolynx y su Servicio de Seguridad Ofensiva:
· Nos convertimos en tu Red Team. Realizamos simulacros, pactados previamente contigo, de ataques a tu organización en diversos puntos, con el objetivo de encontrar debilidades en todo aquello que sea susceptible de mejora en términos de ciberseguridad y protección.
· Descubrimos y te trasladaremos cómo se encuentran y se comportan tus infraestructuras, tus sistemas, tu frontend, tu backend, tus políticas, planes, procesos y tus recursos frente a nuestros ataques, sin que esto afecte negativamente de ningún modo, ni a la continuidad del negocio.
· Te proponemos las acciones de mejora más apropiadas y personalizadas a llevar a cabo para solucionar esas fallas detectadas, fortaleciendo así la seguridad de la empresa y siendo capaces de defenderos de forma más eficiente contra los ciberdelincuentes, sus tácticas, tecnologías que emplean y agujeros que aprovechan.
¿Cómo lo hacemos?:
- Analizamos tus necesidades y requisitos.
- En base a ellas, definimos y planificamos el ejercicio de hacking ético a realizar, su alcance, cómo se va a realizar, sobre qué elementos, etc.
- Lanzamos el pentesting tal y como se haya estipulado en el punto anterior.
- Al finalizar, tendremos una foto precisa del estado de la seguridad de la empresa. En ese momento, preparamos un informe de todo lo que se haya encontrado y de todo lo sucedido durante el ataque, que estará acompañado además de unas recomendaciones de mejora y resolución, así como de un guion técnico de acciones concretas a realizar.
Este tipo de ejercicios de seguridad ofensiva puede ser todo lo detallado y en profundidad que se requiera, del mismo modo que se puede focalizar en aspectos concretos, sin tener que abordarlo en una única ocasión ni de forma completa revisando y atacando todos los posibles “flancos”:
- Pentest externo: el ataque, análisis y la evaluación de riesgos se focaliza en la superficie expuesta a Internet.
- Pentest interno: el ataque se basa en la red interna, como si un atacante hubiese accedido a ella, o como si lo hubiese hecho un insider (personal de la plantilla de la empresa) desde dentro.
- Análisis de entornos cloud: si la empresa cuenta con entornos y servicios en la nube, lanzamos ataques sobre ellos para averiguar su grado de madurez al respecto.
- Red team: averiguaremos cuánto de capacitados estáis para detectar repeler y responder ataques, de la mejor forma posible.
¿Quieres que evaluemos tu seguridad? Puedes ampliar detalles sobre nuestros servicios de Seguridad Ofensiva visitando la página de Zerolynx.
Si lo prefieres, contáctanos y hablamos.