Durante su paso por SEGURINFO 2015 en Argentina, tuvimos la oportunidad de conversar con el reconocido hacker Chema Alonso sobre los principales retos en lo que refiere a la gestión de la seguridad corporativa.

Si pensamos en la gestión de la seguridad en una empresa, ¿es más peligroso un usuario que sabe o que no sabe de los posibles riesgos?

Yo creo que dentro de las empresas hay que hacer que los usuarios entiendan los riesgos. La manera en que los cibercriminales las están atacando ha cambiado; ya no se busca una vulnerabilidad desde afuera, se sabe que siempre hay vulnerabilidades desde adentro que son los empleados. Se están produciendo ataques dirigidos a ellos para conseguir robar cuentas e identidades de los sistemas internos.

Se aprovecha que muchas empresas están invirtiendo en la seguridad perimetral, en proteger las vulnerabilidades del software que está expuesto en Internet, y no se preocupan tanto de poner segundos factores de autenticación en los sistemas internos o la Intranet, en poner sistemas de autenticación fuerte en los puestos de trabajo, etc. Esto le permite a un atacante entrar mucho más fácilmente desde la cuenta de un empleado de la organización que intentar hacerlo desde fuera.

Los usuarios deben estar muy formados y entender mucho los riegos, para que sean capaces de detectar cuando están siendo atacados desde fuera de la compañía.

¿Cuáles serían las 3 señales de alerta respecto a la seguridad corporativa?

  1. El alerta siempre debe estar activa, todas las empresas están siendo atacadas. La auditoría de seguridad ya no debe ser cada 3 o 6 meses o una vez al año, sino que hay que hacer un ataque constante a la compañía para ser igual de rápido que los atacantes. Hoy tienes que vivir alerta sabiendo que tu empresa está siendo atacada igual que el resto, y no importa su tamaño.

Hemos visto cómo los cibercriminales se están colando en pequeñas empresas cifrando los datos de su gestión interna: la contabilidad, facturas, datos de cliente, y les están exigiendo dinero por devolverles el control de los documentos, con los famosos ataques de ransomware. No importa el tamaño de la organización, vas a ser atacado de igual forma.

Entonces la primera regla de oro es tener en cuenta que siempre te van a atacar, no dudes de ello.

  1. A partir de ese momento, cualquier incidente extraño dentro de tu red debes investigarlo, no puedes dejar pasar las cosas. Los sistemas no hacen cosas raras por naturaleza: si un servidor se enciende o se apaga, si de repente deja de tener conectividad a Internet o si un ordenador se reinicia solo, debe tener presente que algo está sucediendo.
  2. La tercera sería que a partir de esto se debe contar con el apoyo de todos los usuarios y educarlos para que sean capaces de detectar cuándo están sufriendo un ataque de spear phishing, un ataque dirigido, levantar una bandera por cada situación anómala que se encuentren en su día a día, etc. Hay que estar constantemente preparado y alerta, porque te van a atacar sí o sí.

¿Cómo aplicar una correcta gestión en una pequeña empresa con menos recursos?

Es siempre más complicado. Yo recomiendo que por cada inversión que hacen en tecnología, cada vez que pongan algo nuevo, no se olviden de que necesitan invertir una parte en seguridad. Si no van a tener dinero para soportar todas esas tecnologías de manera segura, lo mejor es reducir el número, reducir la superficie de exposición porque si no va a ser un problema.

Si solo pueden proteger tres equipos y un servidor, entonces no meter más equipos y servidores sin tener dinero para soportarlos y preocuparse de que lo que tengan va a estar bien seguro.

¿Cómo convencer a un gerente que no considera importante la inversión en seguridad?

Yo creo que los gerentes hoy en día deben estar concientizados en seguridad y si no, no deben ser gerentes. La seguridad informática es fundamental porque toda nuestra vida digital y empresarial se basa en negocios.

Hoy estamos en un evento donde vienen muchos de empresarios, y dudo que alguno de ellos no tenga una tarjeta donde no esté su correo electrónico o que ninguno esté usando sistemas informáticos para comprar, vender, gestionar empleados, dinero de la compañía, etc. Hoy en día estamos tan volcados y somos tan dependientes de la tecnología que pensar vivir sin ella por un día o una semana es inviable.

Por eso creo que los gerentes o responsables están cada día más conscientes, y de hecho vemos cómo cada día invierten más; y a los que no están invirtiendo lo suficiente los estamos viendo en los periódicos con un montón de problemas de seguridad en sus compañías.

De producirse un incidente, ¿cómo se puede aprender de una crisis?

Sacar conclusiones que te ayuden a no volver a caer en los mismos errores es fundamental después de un incidente. Por desgracia, ha sido uno de los catalizadores que más han hecho que las empresas inviertan en seguridad, tras sufrir una suplantación de identidad, un robo de documentos, una fuga de información y que hayan quedado datos expuestos de la compañía en Internet o tras sufrir un secuestro de los documentos.

Yo creo que lo que deben hacer las compañías es cada vez que sufran un incidente aprender de él, y cada vez que una empresa de la competencia o un partner sufra un incidente aprender de él. Es mejor y va a ser menos doloroso aprender por los fallos de la competencia que aprender por los fallos propios, aunque a la larga siempre hemos visto que lo que más les ha hecho aprender es cuando lo sufren en carne propia.

¡No se pierdan la entrevista completa en nuestro canal de Youtube!