Jun 09, 2017 Tecnología y Personas Ciberseguridad, Eventos No hay comentarios

Lecciones del Security Day 2017: Wannacry y GDPR

Hemos acudido al Security Day 2017 organizado por nuestros socios de ElevenPaths bajo el lema Cybersecurity Beats. Así que os traemos de primera mano las lecciones que hemos extraído en dos de los temas que más interés han generado: WannaCry y la adaptación al nuevo reglamento europeo de protección de datos.

Al abrir la jornada a Chema Alonso, Chairman de ElevenPaths y CDO de Telefónica, se le notaba guerrero, con ganas de aclarar la desinformación generada a raíz del WannaCry. Para ello, nos llevó a un viaje al pasado, exactamente a noviembre de 2015. En ese mes, el departamento de Homeland Security estadounidense publicaba un informe en el que se señalaban los problemas de seguridad con los parches de los sistemas operativos. Como en todas las grandes empresas, y especialmente en aquellas que llevan operando mucho años como señalaba Alonso, el departamento de Homeland Security tenía deficiencias significativas como versiones de XP en ordenadores en uso o contraseñas inseguras. Nada que no nos hayamos encontrado antes.

¿Y por qué este viaje al pasado? ¿Por qué rescatar ahora un informe de 2015 de la agencia que gestiona la seguridad interna de Estados Unidos? Pues simplemente para recordar al mundo que, como dijo Chema Alonso, “no hay límites mágicos, no hay una única tecnología que garantice al 100% la seguridad”. Así, que ¿qué queda? “Trabajo, trabajo y trabajo”, fue la respuesta del CDO de Telefónica.

 

Porque lo más importante es hacer que la compañía sea resiliente ante las nuevas amenazas. “Hay que invertir en prevención, pero también en detección” – recalcó Alonso – porque sin duda, en algún momento, habrá un fallo y un gusano conseguirá penetrar, un ataque tendrá éxito. Así que lo principal es que la compañía pueda responder y garantizar el core de negocio.

Y esa es la primera lección que os traemos: la seguridad no es más que la gestión del riesgo. Y para ello se debe trabajar en la fortificación de sistemas, en la aplicación de defensas en profundidad, en minimizar la superficie de exposición y en el mínimo privilegio. Pero la seguridad también depende de otros factores a tener en cuenta y en los que debe hacerse hincapié.  Por ejemplo, conseguir que la seguridad se meta dentro de la compañía a todos los niveles. O hacer una gestión total de los procesos. Sin olvidar el incrementar la concienciación de todos los empleados en materia de seguridad.

WannaCry: reflexiones tras la tormenta

Tras poner el foco en la gestión del riesgo, le tocó a Pedro Pablo Pérez, CEO de ElevenPaths, atacar el tema que más expectación, sin duda, generaba: WannaCry.

Orígenes

En cuanto a orígenes y difusión, hizo un repaso de lo que más o menos ya sabíamos todos a estas alturas. Todo proviene de un breach en la NSA en el que logran hacerse con “ciberarmas” – como las calificó Pérez – que se liberan y comienzan a infectar todas las máquinas no parcheadas con MS17-010 y que tuvieran cualquier tipo de acceso LAN o WAN. ¿Y cuántas máquinas estaban expuestas? Pues de acuerdo con los datos registrados en la base de Shodan del jueves anterior a nuestro black friday particular: más de medio millón de equipos eran vulnerables desde Internet. A esto hay que sumarle los que eran atacados en red local. Además, al parecer, la propagación fue por SMB puesto que hasta ahora, como comentó Pedro Pablo, no se ha encontrado el email que se consideró en un inicio probable germen de la infección.

 

 

Lecciones

Y, entonces, tras esta tormenta, ¿qué lecciones hemos aprendido? Pues, en primer lugar, que la contención es clave cuando un gusano entra en juego. Algo que Pérez quiso dejar muy claro fue que la decisión “arriesgada”, en sus palabras, que tomaron en Telefónica de contener los ordenadores infectados para garantizar que el gusano no saliese fue realmente efectiva. Y, en segundo lugar, WannaCry nos ha hecho ver que la vulnerabilidad se puede tornar fácilmente en oportunidad. Por ello, la prevención, detección y respuesta es el único sistema efectivo en la lucha contra ciberataques. Como recalcó el CEO de ElevenPaths, al fallar en la prevención, la detección temprana y la ágil respuesta fueron los elementos claves para detener WannaCry.

La maratón hacia la GDPR

Por último, nos gustaría dedicar un espacio en esta entrada sobre el Security Day al nuevo reglamento europeo de protección de datos con el que las empresas deberán cumplir ates del 25 de mayo de 2018. En este punto, David Prieto, Responsable Global de los Servicios de Seguridad Gestionada y Seguridad de Red, hizo un símil muy acertado al comparar la preparación que las empresas han de hacer para cumplir con esta normativa con el entrenamiento previo que una persona necesita para correr una maratón. ¿Y cuáles son las etapas de este entrenamiento? Evaluación, gobernanza, privacidad y seguridad. Es decir, las empresas deben evaluar qué tipos de datos usan, cuál es su tratamiento y hacer un análisis de riesgo de los distintos escenarios y desarrollar planes de acción acordes. Además, deben asignar a diferentes personas funciones concretas dentro de este plan que garanticen el cumplimiento del mismo a lo largo del tiempo. Han también de asegurar que se realiza un seguimiento ejecutivo y multinormativo en la compañía. Y, por supuesto, mantener el nivel apropiado de seguridad de acuerdo al riesgo previsto.

Lecciones

María Luisa Garín, de Eroski, compartió también con todos los presentes la adaptación del grupo a la nueva GDPR y nos dejó un puñado de buenas lecciones:

  1. Realizar un diagnóstico diferencial respecto a la nueva normativa que permita priorizar los elementos más críticos y emprender proyectos de mejora de los mismos.
  2. Concienciar a todos los empleados de la compañía, independientemente de su rol en la misma, de que han de pensar también en la seguridad de la empresa.
  3. Evaluar todos los proyectos desde el diseño para ver el nivel de riesgo que pueden tener en materia de seguridad de la información porque más que una intrusión en un componente clave de la concienciación.
  4. Revisión continua del análisis diferencial para poder elaborar un plan de acción que genere evaluaciones y controles en un nivel de seguimiento previo a la auditoría.

Como veis, Chema Alonso tenía razón y las pócimas mágicas no existen. Trabajamos en un entorno en continuo cambio que nos exige una revisión constante. Así que ¡sigamos trabajando!

Fotografía: ElevenPaths

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Compartir
Compartir
Twittear
+1