ESTAR SEGUROS NO ES DEPENDER CIEGAMENTE DE UNA NORMA O UN PROVEEDOR
Hoy día pensamos que podemos estar 100% seguros, pero esto es una ilusión desde el punto de vista que se emplee. La seguridad realmente se trata de confianza en que algo puede llegar a ser muy difícil (no imposible, pero si llevarlo a probabilidades muy bajas) y de qué; si llegase a ocurrir, el daño no fuese tan grave. Un certificado de norma o migrar servicios a la nube, no garantiza que estemos 100% seguros.
La seguridad es una lucha constante. Es un juego de riesgos, donde se trata de colocar barreras en diferentes niveles para dificultar que las amenazas tengan éxito o que, de llegar a ocurrir, el daño sea controlado y reducido.
Por eso no basta con obtener una certificación, contratar un SOC, tercerizar la seguridad, migrar a la nube, añadir cláusulas a un contrato, tener décadas en el mercado, no; todo podría derrumbarse en un instante, empezando por la reputación, por que nada es infalible.
La mejor estrategia está en controlar alcance, identificar y valorar adecuadamente los activos, y combinar de forma inteligente los controles por capas siempre pensando en alternativas y que un control esté mal diseñado, falle o sea insuficiente.
Las normas son útiles… muy útiles, pero, aunque se vean bien en papel; tienen un espíritu, y se encuentra al interpretar la norma, que lo único que busca es reducir los riesgos desde su propia óptica. Si nos engañamos para certificar una norma o por que no buscamos certificarla, nos hacemos un daño, ya que estamos evitando ver el problema real y perdiendo el foco de los objetivos de seguridad.
Hoy quiero hablar del caso de la empresa IFX Networks la cual:
Cuenta con certificaciones:
- ISO 9001 (Calidad),
- ISO 27001 (Seguridad de la información),
- ISO 20000-1 (Gestión de servicios TI),
- SAP Certified,
- TIER III DESIGN,
- TIER III CONSTRUCTED FACILITY
Proporciona:
- Servicios administrados: Cloud Managed, Network Managed, y Managed solutions.
- IFX SOCaaS: Centro de Operaciones de Seguridad como Servicio.
- IFX Close Protection 360: Servicio que protege la red perimetral y la información.
- IFX Server y Endpoint Protection: Herramientas que garantizan la protección de servidores y dispositivos finales.
Presta sus servicios a más de 4.000 empresas en 57 de países de América y tiene 23 años de antigüedad.
Suena bien y, aun así; el 12 de septiembre de 2023, fue víctima de un ataque de ransomware que paralizó y ocasionó serios problemas a nivel país, afectó a la rama Judicial y Sistema de salud de Colombia, a más de 762 compañías en América Latina (identificadas actualmente en Colombia, Chile y Argentina), y con posibilidades de haber afectado a otros clientes y países.
A pesar de tener su propio SOC y servicios de seguridad, múltiples reportes dicen que el primero en detectar el ataque fue el CSIRT de Chile, posteriormente el ataque se propagó hasta afectar a los servicios tecnológicos del gobierno colombiano, y luego IFX presenta su comunicación oficial, donde luego de 1 semana seguían sin poder recuperar los sistemas; falló la prevención, falló la detección, falló la recuperación y falló la contención, ya que el ransomware no sólo cifro los datos empleados para los servicios sino también los datos respaldados localmente y se propagó.
Este artículo no busca señalar la empresa, sino dar lecciones de humildad y concienciación, para aprender de casos reales, lecciones como estas:
- No se puede confiar ciegamente en una certificación o un proveedor. La seguridad es un proceso constante que requiere acciones a conciencia.
- Se debe evaluar y exigir seguridad en la cadena de suministros y proveedores.
- Se deben Identificar los activos de mayor valor, incluyendo a los proveedores.
- Efectuar análisis de riesgos es una necesidad, no debe tratarse como un requisito.
- Implantar frameworks de seguridad con un alcance real (lo que realmente interesa proteger) con salvaguardas/controles reales y eficientes.
- Aplicar salvaguardas/controles en diferentes niveles (personas, procesos y tecnología), como procedimientos alternos (no todo se resuelve con adquirir una herramienta, que, aunque ofrece una protección elevada, un proceso mal definido lo volvería inútil), por ejemplo, un firewall de última generación, pero mal configurado.
- Monitorear activamente la infraestructura y servicios.
- La cooperación de otras organizaciones resulta clave si los controles propios fallan.
- Los planes de respuesta a incidentes deben probarse.
- Los planes de continuidad de negocio deben probarse.
- La inteligencia de amenazas es clave en este mundo de sistemas interconectados.
- Actualmente la mayor cantidad de ataques informáticos exitosos en la actualidad, han sido resultado de debilidades en un proveedor y cuando se detectan generalmente lo nota un tercero cuando el ataque ha logrado su objetivo primario.
El papel lo soporta todo, ningún control es perfecto, no hay empresa perfecta, no hay seguridad perfecta; pero si bajo control y dentro de lo aceptable. Los controles de seguridad deben documentarse, combinarse y probarse, y evaluar las amenazas desde diferentes orígenes, como en este caso; desde un proveedor.
Contar con consultorías independientes y desde diferentes perspectivas de seguridad, siempre ayudará a madurar la seguridad, detectar brechas o debilidades, que no deberían ser ignoradas y estar preparados ante las amenazas de un mundo interconectado.
Luis Alexander Oviedo Regueros,
GRC Expert Consultant