Cuando revisas la seguridad de tu empresa, ¿te fijas en las vulnerabilidades?

Toda empresa, con independencia de su tamaño, cuenta con tecnología que usa en el día a día: cuentas de correo electrónico, cámaras IP, routers, ordenadores... Todo esto permite realizar el trabajo de una manera más sencilla y ágil, pero la tecnología no siempre es del todo segura y los ciberdelincuentes lo saben y lo aprovechan.

Con el avance de la tecnología evolucionan los métodos de ataque, y aunque no hay forma de está protegidos al 100%, es necesario conocer cuáles son las vulnerabilidades de los dispositivos tecnológicos, el hardware y el software que empleamos, y así minimizar los riesgos.

Conoce tus activos y sus amenazas

Lo primero de todo es realizar un inventario de activos. Para ello, nos fijaremos en la actividad principal de la empresa. Así, podremos identificar aquellos sistemas o servicios que son críticos; es decir, los que si fallan, paralizan nuestra actividad, como pueden ser el correo electrónico, el CRM, algún proceso de producción o de logística, etc. Estos dependerán de la empresa, e incluiremos, además, los activos externalizados. De cara al análisis de riesgos, para cada activo calcularemos el coste de su reposición en caso de pérdida o fallo. También identificaremos interrelaciones y dependencias entre ellos; es decir, si uno fallara cómo afectaría a otros.

Para tener un inventario adaptado a la ciberseguridad indicaremos la criticidad, agrupando por servicio, sistema o tipo de información que manejan, o analizando cómo afecta un fallo del activo a los parámetros de seguridad; es decir, a la integridad, disponibilidad y confidencialidad que necesitemos para ese servicio.

Tras crear este inventario de activos hay que determinar quiénes son los responsables de cada activo; es decir, la persona o grupo de personas, que se encargarán de la aplicación de controles de seguridad en los mismos.

Una vez tengamos el inventario de activos y asignados los responsables a cada grupo de activos, hay que determinar las posibles amenazas y las consecuencias de estas en cada activo y sus dependencias. Imagínate un ataque de ransomware a un ordenador de la empresa que está conectado a un servidor de ficheros. El ataque podría extenderse al servidor. Esta dependencia entre el ordenador y el servidor nos servirá para determinar el alcance de este posible ataque.

Estas son algunas de las posibles amenazas:

¿Pero qué es eso de las vulnerabilidades?

Las vulnerabilidades son debilidades de nuestros activos que van a permitir que las amenazas se conviertan en incidentes. Si existen vulnerabilidades, aumenta el daño potencial de las amenazas sobre los activos. Los activos tecnológicos no están exentos de tener vulnerabilidades; es decir, fallos por el diseño o en su despliegue o uso.

En este gráfico se clasifican las vulnerabilidades según quien sea el responsable de resolverla.

• En las vulnerabilidades de diseño, las que vienen con el producto o servicio, corresponde al fabricante o desarrollador sacar el parche, por lo que estaremos atentos a estas correcciones en los servicios de soporte técnico o alertas de seguridad del fabricante o distribuidor para que, en cuanto salga el parche, podamos instalarlo. También podemos estar atentos a los servicios de avisos de INCIBE-CERT o Protege tu empresa de INCIBE.
• Las vulnerabilidades que tienen que ver con el despliegue y configuración son aquellas que no ocurrirían o se mitigarían siguiendo buenas prácticas; por ejemplo, crear una DMZ para aislar servicios que deban ser accesibles desde internet o configurar la seguridad de la wifi.
• Las vulnerabilidades que tienen que ver con el uso del hardware y el software se mitigan con políticas en las que se defina el uso correcto de los equipos y programas; por ejemplo, una política de contraseñas, uso de dispositivos externos, servicios en la nube, movilidad, etc.

Es importante conocer las vulnerabilidades de nuestros activos. Para ello, podemos buscar las que se han ido publicando por fabricante y producto en esta página de INCIBE-CERT o ir a las páginas de organismos de referencia internacional, como el NVD.

Una vez conozcamos las vulnerabilidades que existen, tendremos que fijarnos un plan para ir subsanándolas, en los activos críticos, al menos las de mayor severidad, que son las más fáciles de explotar por los ciberdelincuentes.

¿Cómo afecta esto al riesgo?

En seguridad no es posible proteger todo ante todo tipo de amenazas, tenemos que conseguir el equilibrio, saber dónde tenemos que invertir para conseguir mayor protección; es decir, evaluar los riesgos y gestionarlos. Para lograr el equilibrio tenemos que priorizar, y esto solo es posible conociendo la fórmula del riesgo.

Impacto o consecuencia: el valor de nuestro activo o lo que nos costaría reponer el daño producido por la amenaza si esta se materializara.

Riesgo: probabilidad de que ocurra un incidente de seguridad. Como el riesgo no es más que una probabilidad, se puede medir, y se suele cuantificar con un número entre 0 y 1 o con un porcentaje.

Recientemente, se detectó una vulnerabilidad llamada Log4Shell, que afecta a la librería de Apache, Log4j2, y que permitiría a un ciberdelincuente ejecutar código de forma remota. Esta vulnerabilidad afecta a muchos productos si no son actualizados.

Por ello, es importante tener un control sobre las versiones de nuestros dispositivos y estar alerta sobre estas vulnerabilidades para solucionarlas lo antes posible. Consulta en la bitácora de ciberseguridad de INCIBE-CERT los incidentes que han sido originados por fallos en la cadena de suministro de algún producto hardware o software.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.