lunes, 21 de marzo de 2022

Ciberseguridad: No siempre es problema de dinero...

 Estimados amigos de Inseguros !!!

En el post de hoy no vamos a aprender sobre la tecnología X o Y, sino me vais a permitir reflexiones o divagar sobre el concepto que indica el título, que en la ciberseguridad no siempre tenemos el problema del dinero como principal factor...

Entre pitos y flautas, entre mi primer report de Nessus en bruto hasta hoy, han pasado más de una decada en el mundo de la ciberseguridad. Mi trabajo actualmente se centra en las auditorias de seguridad, pentesting, redteam, purple team y en consecuencia blue team.

Ayudo o intento ayudar a empresas de todo tipo. Desde grandes organizaciones que te piden auditar un segmento concreto, un proceso web concreto, un ámbito muy escueto, o empresas de 20 personas que perciben que la ciberseguridad es un problema y acuden a nosotros.

Empresas de facturación por encima de los 300 millones, empresas con facturación cero, start-ups, empresas con una madures informática importante, empresas con el servidor compartido por el administrativo. Todo tipo de empresas.

Por otro lado estamos nosotros, los profesionales. En muchos eventos, foros, reuniones, chascarrillos, me encuentro en que el pensamiento generalizado es el de que como falta presupuesto para la ciber...que no hay dinero...

Con esta reflexión vengo a poner sobre la mesa lo que pienso, y es que esto es FALSO, rotundamente falso.


Estoy muy orgulloso de los resultados de las auditorias que ofrecemos, porque hemos puesto mucho énfasis en aportar mucho valor al cliente, con soluciones detalladas a los problemas encontrados, e intentando abarcar el máximo ámbito posible. Me explico, no invertimos mucho tiempo en procesos de fuerza bruta, que seguramente con la dedicación previa, creación de una wordlist, consiguieramos buenos resultados. Si ante el problema de una autenticación, son contraseñas débiles/defecto/leaks... automáticamente recomendamos MFA y listo. Empleamos ese tiempo en auditar otro activo que quizás requiera de soluciones más complejas. Creo que tiene más valor aportar 10 soluciones a 10 problemas, que una solución a un problema, aunque sea muy grave su repercusión.

En esos resultados ofrecemos al cliente un pequeño plan director u hoja de ruta, donde especificamos como creemos que deben fasear las acciones, con quickwins, corto, medio y largo plazo.

Entonces, que es lo que vemos en los clientes? 

  • La auditoria la encarga el CEO. Contento con sus TIC´s pero después de un incidente, apoya la mejora de la ciberseguridad. Nos encontramos con responsables TIC poco alineados con el trabajo, por lo que no se aprovecha del todo los hallazgos. Se convierten en una "lucha" para defender las ideas del responsable TIC, sus argumentos de porque algo estaban mal, y tu, que solo planteas lo que crees que está mal, y soluciones. Porque esta


    algo mal, tampoco nos importa mucho...

  • La auditoria la encarga un "tercero" un cumplimiento normativo, etc. Similar al escenario anterior, importa más el informe ejecutivo. La foto finish vista muy de lejos. Los resultados técnicos importan poco, y si se cambia algo es porque es fácil y le apetece al CIO.

  • No tienen tiempo. Creo que este es el principal problema que nos enfrentamos con las organizaciones. Y cuanto más grandes, cuanto más complejos son los departamentos, y más gente hay...peor. Al final el día a día nos consume muchos recursos, y es normal que los departamentos TIC no tengan los suficientes empleados como para poder "jugar" a la ciberseguridad, pero es que esto es normal, y pasa en todas las disciplinas. Cuando un trabajador rinde a un 80%, por darle una valoración, no se contrata a nadie. Cuando el trabajador rinde a un 120%, y esto daría para un post muy largo, el de la productividad. sigo, cuando un trabajador rinde al 120%. quizás se plantee incorporar a alguien más. 

    Esta persona empezará rindiendo un 30% porque tiene que integrarse... y el que rendía 120% tiene que formarlo, al final, de un día para otro, tenemos dos tipos que emplean el 80%... esto es así. *en el mundo sanitario se conoce este efecto. Si aumentaran por dos el número de centros de salud, no se reduciría a la mitad los tiempos de espera porque iríamos más. Yo no voy al médico porque paso de que me den cita para 3 meses. pero si me dan para pronto, quizás hiciera más uso de los recursos... y esto haría que se alargaran los tiempos xDDD*

    Más ejemplos. Yo no suelo tener mucho tiempo para hacer deporte...pero tengo amigos con ritmos de vida mucho más frenéticos, con agendas mucho más apretadas, con muchas más horas de trabajo, pero SIEMPRE sacan tiempo para el deporte, entonces en qué lugar queda esa afirmación mía? Si no tienes tiempo para la ciber, resérvalo. Conozco empresas que hacen el jueves de la ciber. Se reunen una vez al mes, analizan cambios, ponen tareas y establecen una línea de trabajo. Y poco a poco, día trás día, se van haciendo las acciones. Porque da igual que en la agenda ponga "reunión de dirección" o "visita comercial" con "proyecto ciber" o lo que sea... es cuestión de querer.

  • No hay encargado de la ciber. Esto suele ser otro clásico, y cuanto más grande peor, porque está todo más segmentado, y cada uno tiene su role definido... esto tiene cosas buenas y malas. La ciberseguridad puede ser algo vertical, profesional, de los "máquinas", pero la ciberseguridad está en programar bien, en desplegar bien, en administrar bien los sistemas, en configurar los entornos, esto es ciberseguridad, y si no hay un coordinador que garantice los mínimos o establezca los trabajos, pero la ciberseguridad debe estar presente en nuestro "modus vivendi".

  • Desarrollo vs Sistemas. Esta "lucha" de poder es vieja, tanto como la informática mismo, pero es una de las que más problemas presenta para las organizaciones. Siempre hay un departamento que tiene más peso que otro, siempre. Mi experiencia es que suele ser desarrollo el que tiene más poder, porque suele ser quien está más cerca de negocio. Al final el gerente no tiene un rack delante de él, pero si un ERP o un CRM. Las cuentas, los números, las ventas, todo eso se sostenta en el software, que luego debajo tiene un hardware... pero lo palpable son los formularios que nos crean los desarrolladores para los usuarios. Que debajo hay un cluster de 10 nodos y un Firewall de nueva generación, queda más lejos de negocio...

    Cuantas empresas he visto que programan en el servidor... y necesitan el root de los servidores. Que configuran sus recursos a su gusto, con la intención de que las cosas funcionen, y dentro de que funcionen, que vayan rápido, pero lo demás? es secundario. Me encuentro con programadores que nos dicen que hasta la fecha, no se habían preocupado mucho por la ciberseguridad...

    Antiguamente la seguridad se vinculaba con vlans, con firewalls, con tener copias de seguridad... y eso es de sistemas... pero ya sabeis, la ciberseguridad es COSA DE TODOS.

    Entonces, viene la pelea. Fortificas el webserver, y se rompen cosas de programación...quien actualiza las librerias... el servidor de bbdd... 


  • El "máquina de la ciber". Este caso tambien es un problema para la organización. Me ha pasado con figuras de renombre incluso, que os gustaría que os dijera xD que después de muchos años "llevando" la ciber vas y lo tienen todo... por decirlo a lo murciano... hecho un descampao...hecho un solar...hecho mistos...

    Scripts en linux inseguros haciendo procesos que llevan muchos años poniendo en peligro la empresa. Y digo linux porque el windosero muchas veces es consciente de que no está todo lo bien que se debería esperar, pero este caso no es así, este es un máquina, controla BASH ( lo que le queda de 4 prácticas de la universidad) pantallas negras... incluso un firewall con un kernel 2... basado en iptables...

    Otros parecidos, gente que gestiona una empresa de 100 personas sin directorio. Con scripts que entran a noseonde, que se bajan noseque etc... porque son antiwindows !!! y lo que es es que están poniendo en riesgo su empresa por sus preferencias, y muchas veces por su incompetencia.

  • El que no tiene presupuesto. El que no puede comprar. Existe, es habitual, las empresas minimizas costes. Volviendo al tema deportivo. Al que hace deporte, crees que le vale la escusa de que yo diga que no tengo dinero para un gym? la respuesta es obvia. Puedes salir a correr, hacer rutinas en casa, mil cosas. Con la ciberseguridad pasa lo mismo. Llevo casi 10 años escribiendo en este blog, algunos post complejos, otros sencillos, comentando herramientas y procesos que en 10 minutos mejoran la ciberseguridad de las empresas. Pero hay que hacerlos. Aquí entran los casos anteriores, el que no tiene tiempo, conciencia, ganas, ego... pero si no puedes poner un EDR de 30 euros en cada endpoint, hay muchas cosas que puedes hacer, y que en esa auditoria te indicamos, para mejorar la ciberseguridad.

    Al final, como todo en la vida, hace más el que quiere que el que puede. Me encuentro otras empresas que da gusto, con su hardware de seguridad, con su software de seguridad, con sus procesos de seguridad, sus buenas prácticas. Empresas a las que sacas 100 defectos, y a los dos años vas y sacas 30, 10 nuevos y 20 que aún no están solucionados... pero no son como otras que tenían 100, y no vuelves a comprobarlo por supuesto, pero si lo hicieras, tendrían 120...
Esto no quiere decir que estás condiciones que planteo sean "moco de pavo", todo lo contrario, son tan importantes como para ser escollos reales para mejorar la ciberseguridad, y por supuesto, es mucho más fácil enumerarlas que ponerlas a funcionar...         

Reflexiona un poco sobre esto, y si no tienes tiempo, sácalo. Reserva ya una hora cada 15 días en tu agenda y mejora esto, seas el CIO, el jefe de desarrollo, sistemas, o el informático de la empresa, pero no hay escusa para intentar hacer esto bien. 

Yo por mi parte voy a ir más al gym :-)

Gracias por leerme

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.