Entradas

Los test de intrusión como elemento preventivo del ciberriesgo

Yo, que no explico las nuevas tecnologías sino aquello para lo que sirven, llevo un tiempo queriendo saber qué es y para qué vale un test de intrusión. Entre tanta noticia sobre ciberseguridad (más bien los fallos de la misma) y con cada vez más hackers explicando y aconsejando sobre cómo prevenir, he decidido escribir algo que responda a mis preguntas y resuelva mis dudas. Así que aprovecho el equipo humano de Binaura Consultores y le lanzo todas las consultas a mi compañero Jorge González Milla, Pentester & Developer con sobrados conocimientos y trayectoria profesional como para impartir un tutorial que despeje cualquier incógnita. Esta es la entrevista construida tras una conversación que espero os resulte tan ilustrativa como interesante. Y útil, si es posible.

Test de intrusión: la clave para saber si sufrirás un ciberataque y por qué (y cómo prevenirlo)

CT: Si tuvieras menos de un minuto para convencerme de que un test de intrusión puede ayudarme en materia de ciberseguridad… ¿cómo me ‘venderías’ este servicio que en Binaura está funcionando tan bien?

Jorge: Te diría que cambies el chip, que en algún momento vas a ser atacada y no por ser pyme o un autónomo van a dejar de atacarte. De hecho, piensa que es mucho más fácil atacar a pymes y autónomos porque no pueden adoptar las mismas medidas de seguridad que, por ejemplo, una gran corporación. Con un test de intrusión sabrías por donde te van a atacar, porque lo van a hacer (si no lo han hecho ya). Y si eres una gran empresa, van a ir a por todo lo que tienes.

CT: Bien, Jorge. Me ha interesado tu planteamiento. Ahora descríbeme algunos beneficios directos e indirectos que pueden derivarse de un test de intrusión.

Jorge: Ahí van (son unos cuantos, ¿eh?)… Para empezar, la empresa puede saber por dónde la van a atacar. Es un método por el que la organización conoce sus vulnerabilidades. Que no quepa duda de que todos seremos atacados en algún momento, y que más vale que usemos controladamente un test de intrusión para descubrir (y arreglar) los agujeros de seguridad, que dejar que lo haga un ciberdelincuente y se aproveche de él. Vamos, que acabe dentro de la empresa haciendo y deshaciendo a su antojo.

Si el test se hace continuado (que es como debería hacerse), la empresa podrá estar siempre al tanto de sus vulnerabilidades, con lo que su marca no quedará dañada por un ataque. Imagina que acceden a tu base de datos y sustraen toda la información…un defacement (alteración provocada por un atacante) a la propia página web de la empresa provocaría desconfianza, tanto en clientes como en inversores.

Además, con esta técnica:

  • Se determina la factibilidad real de un ataque y su impacto en la empresa
  • Eleva la conciencia sobre la seguridad de la información
  • Provee la información necesaria para implementar controles de seguridad (como, por ejemplo, no instalar firewalls a lo loco) y mitigar riesgos. De hecho, supone un ahorro para la organización, al implementar sólo los controles necesarios
  • En algunas ocasiones, un test de intrusión permite descubrir que existen invitados ‘no deseados’ dentro de la red/servidores de la compañía. Ni qué decir tiene que un test de intrusión periódico podría evitar la fuga de datos, evitar incidentes, etc…

En definitiva, la empresa no estaría ‘ciega’ ante un presente/futuro ataque. Además, hay que considerar que la nueva normativa europea de protección de datos será muy estricta a partir del 2018 (entra en vigor en mayo) y si no se cumplen ciertas normas, puede suponer un peligro para la economía. Además de para la marca de la empresa, claro.

Si salen actualizaciones de un producto, hay que actualizar sí o sí

CT: ¿Qué porcentaje de test de intrusión tiene resultados satisfactorios y cuáles son los principales ‘problemas/brechas’ en las empresas sometidas a alguno?

Jorge: Actualmente, la mayoría de test de intrusión que he realizado han tenido resultados satisfactorios. En nuestro caso, que sea así se puede entender de dos formas:

  • Satisfactorio para la empresa: si el resultado es que no se han encontrado apenas vulnerabilidades (que, en mi caso, y supongo que en el de casi el 100% de pentesters no es lo que sucede) quiere decir que la empresa se ha puesto las pilas, enhorabuena, porque no haya muchas.
  • Satisfactorio para el pentester: si el resultado es satisfactorio porque se han hallado muchas vulnerabilidades, hay que hacer un trabajo más en profundidad e instigar a la empresa a solventarlo. Lo que yo he encontrado hasta ahora suele ser este tipo de resultado, que por la parte del pentester es satisfactorio, pero por parte de la empresa no.

Tengo que matizar que los principales problemas que existen están, sobre todo, en quienes manejan las máquinas. Por muchas medidas de seguridad que pongas, el error humano siempre está ahí, así que trabajamos por la concienciación. También existen muchos problemas de falta de parches. Se actualiza poco a las nuevas versiones de los productos que usan las empresas. Si salen actualizaciones, pues hay que actualizar en la medida de lo posible. Esto ahorraría muchos disgustos (como el famoso WannaCry y muchísimas brechas más que se han producido por falta de actualización de productos). Las configuraciones por defecto siguen siendo un problema grave. También las prisas a la hora de administrar los sistemas, ya que esto supone que un servidor/red quede expuesta.

Y hasta aquí lo esencial. Podríamos seguir, sin duda, pero dejémoslo para otro día. En nada os daré a conocer más sobre el perfil de Jorge y sus interesantes y útiles conocimientos para prevenir el ciberriesgo, por ejemplo, en vuestros smartphones. Consejos e información con la garantía de Binaura, por supuesto. También puedes visitar su página http://jmilla.es

 

Barceló apuesta por BinauraMonlex y March JLT como asesores de riesgos cibernéticos

  • El proceso ha sido coordinado por el área de Riesgos del Grupo Barceló, para analizar y evaluar el impacto de estas amenazas en sus operaciones
    La protección de datos es una especialidad de BinauraMonlex

    Seguimos “echándole” el pulso a la ciberdelincuencia con soluciones y prevención

    Como consultora especializada en la gestión y seguridad de la información, desde BinauraMonlex nos complace anunciar nuestra participación en el acuerdo que, de la mano de March JLT, nos permitirá asesorar al Grupo Barceló frente a los riesgos cibernéticos.

    En concreto, trabajamos con las Unidades de Ocio y Turismo y Ciber Riesgos del bróker de seguros para establecer las amenazas existentes sobre los procesos de negocios del grupo turístico expuestos a ciberataques, así como las consecuencias en el caso de que tales amenazas se materialicen. Tal y como recoge la información emitida por March JLT y publicada recientemente en https://proveedoreshosteltur.com/seguridad-proveedores/barcelo-march-jlt-riesgos-ciberneticos/  “en el trabajo realizado se presentan los procesos críticos de negocio identificados y el nivel máximo de riesgo al que están expuestos”. Finalmente, se establece el impacto “considerando el punto de vista legal, económico, operacional y de reputación, con el objetivo de darles una cobertura adecuada”.

    El proceso ha sido coordinado por el área de Riesgos del Grupo Barceló. Desde BinauraMonlex nos sumamos a las palabras de Álvaro Mengotti (Chief Commercial Officer de March JLT), quien ha asegurado que la confianza depositada en nuestros equipos “supone un impulso para que sigamos trabajando en busca del mejor servicio para nuestros clientes”.

 

Caída del sistema en el IB-Salut

El Diario de Mallorca se puso en contacto con nosotros para obtener la visión de un especialista sobre lo sucedido con el sistema informático del IB-Salut. Son muchas las preguntas que podemos hacernos tras lo sucedido, y valorar desde muchos puntos de vista el alcance de este tipo de incidencias, sobre todo, teniendo en cuenta, que se trata de algo tan delicado como un Hospital, por lo sensible de los datos que tratan, y por la imperiosa necesidad de tener acceso a esos datos a la hora de realizar el tratamiento o asistencia demandada.

Os dejamos la noticia para que alcancéis vuestras propias conclusiones.

Noticia publicada en Diario de Mallorca

Noticia publicada en Diario de Mallorca

Equipo de ponentes de la jornada.

Equipo de ponentes de la jornada.

Equipo de ponentes de la jornada. De izquierda a derecha, Xavier Ferretjans de Binaura Consultores, Jaume Nicolau de March JLT, Zane Ryan de Dotforce y José Carlos Marcos de March JLT.

El pasado jueves, día 22, participamos en una jornada sobre ciberseguridad, organizada por Banca March, y acogida por la Cámara de Comercio.

Os dejamos un enlace a la noticia

 

Accede a la noticia

Ciberseguridad: prevención, soluciones y seguros en la Cámara de Comercio de Mallorca el próximo 22 de junio

¿Están nuestras empresas y negocios a salvo del cibercrimen?. ¿Cómo podemos prevenirlo y qué soluciones tecnológicas están a nuestro alcance para protegernos?… Son sólo algunas de las preguntas a las que se dará respuesta el próximo 22 de junio en la Cámara de Comercio de Mallorca. La institución cameral acogerá, entre las 18.15 y las 20 horas, una sesión sobre la ciberseguridad como el gran reto empresarial del siglo XXI en la que BinauraMonlex colabora y participa.

El evento, organizado por Banca March, reunirá a expertos en ciberseguridad y gestión del ciberriesgo para abordar tanto la evolución como las principales tendencias en una materia cada vez más relevante. Es cierto que todos hemos empezado a asimilar que el cibercrimen ha dejado de ser un concepto difuso para aceptarse como una realidad que, cada vez más, provoca importantísimas pérdidas económicas y daños en la imagen de personas y empresas. Que su impacto (tanto en las formas de ataque como en las consecuencias) no sólo crece exponencialmente, sino que va a seguir aumentando a medida que estemos más conectados. Pero también es verdad que, aunque con toda probabilidad el riesgo cero no existe, quedarse de brazos cruzados no es en absoluto una opción.

Por todos esos motivos, entre otros, la jornada abordará de forma específica las mejores alternativas en las que está trabajando el mercado asegurador, pieza clave en este entorno para los modelos de negocio que quieren abordar con éxito la transformación digital o ya están inmersos en el modelo de Industria 4.0. Objetivo: mitigar un posible ataque.
Junto a nuestro responsable del área de nuevas tecnologías, Xavier Ferretjans, integrarán el panel de ponentes Zane Ryan (director general de Dot Force España) y José Carlos Marcos, responsable de líneas financieras de March JLT. Entre los tres abordarán la prevención y gestión del ciberriesgo, las nuevas fronteras en lo que a protección de identidades y datos se refiere, y las mencionadas soluciones del sector asegurador.

La Cámara de Comercio de Mallorca está ubicada en la calle Estudi General 7 de Palma de Mallorca. Si te interesa asistir no olvides confirmarlo a través de los enlaces disponibles en http://www.cambramallorca.com/ampliar.php?Cod_not=7913
¡Te esperamos!