Chema Alonso: “Los gerentes deben pensar en seguridad o no ser gerentes”
Durante su paso por SEGURINFO 2015 en Argentina, tuvimos la oportunidad de conversar con el reconocido hacker Chema Alonso sobre los principales retos en lo que refiere a la gestión de la seguridad corporativa.
Si pensamos en la gestión de la
seguridad en una empresa, ¿es más peligroso un usuario que sabe o que no
sabe de los posibles riesgos?
Yo creo que dentro de las empresas hay que
hacer que los usuarios entiendan los riesgos. La manera en que los
cibercriminales las están atacando ha cambiado; ya no se busca una
vulnerabilidad desde afuera, se sabe que siempre hay vulnerabilidades
desde adentro que son los empleados. Se están produciendo ataques
dirigidos a ellos para conseguir robar cuentas e identidades de los
sistemas internos.
Se aprovecha que muchas empresas están invirtiendo en la seguridad perimetral, en proteger las vulnerabilidades del software
que está expuesto en Internet, y no se preocupan tanto de poner
segundos factores de autenticación en los sistemas internos o la
Intranet, en poner sistemas de autenticación fuerte en los puestos de
trabajo, etc. Esto le permite a un atacante entrar mucho más fácilmente
desde la cuenta de un empleado de la organización que intentar hacerlo
desde fuera.
Los usuarios deben estar muy formados y
entender mucho los riegos, para que sean capaces de detectar cuando
están siendo atacados desde fuera de la compañía.
¿Cuáles serían las 3 señales de alerta respecto a la seguridad corporativa?
El alerta siempre debe estar activa, todas las empresas están siendo
atacadas. La auditoría de seguridad ya no debe ser cada 3 o 6 meses o
una vez al año, sino que hay que hacer un ataque constante a la compañía
para ser igual de rápido que los atacantes. Hoy tienes que vivir alerta
sabiendo que tu empresa está siendo atacada igual que el resto, y no
importa su tamaño.
Hemos visto cómo los cibercriminales se están
colando en pequeñas empresas cifrando los datos de su gestión interna:
la contabilidad, facturas, datos de cliente, y les están exigiendo
dinero por devolverles el control de los documentos, con los famosos
ataques de ransomware. No importa el tamaño de la organización, vas a ser atacado de igual forma.
Entonces la primera regla de oro es tener en cuenta que siempre te van a atacar, no dudes de ello.
A partir de ese momento, cualquier incidente extraño dentro de tu
red debes investigarlo, no puedes dejar pasar las cosas. Los sistemas no
hacen cosas raras por naturaleza: si un servidor se enciende o se
apaga, si de repente deja de tener conectividad a Internet o si un
ordenador se reinicia solo, debe tener presente que algo está
sucediendo.
La tercera sería que a partir de esto se debe contar con el apoyo de
todos los usuarios y educarlos para que sean capaces de detectar cuándo
están sufriendo un ataque de spear phishing, un ataque
dirigido, levantar una bandera por cada situación anómala que se
encuentren en su día a día, etc. Hay que estar constantemente preparado y
alerta, porque te van a atacar sí o sí.
¿Cómo aplicar una correcta gestión en una pequeña empresa con menos recursos?
Es siempre más complicado. Yo recomiendo que
por cada inversión que hacen en tecnología, cada vez que pongan algo
nuevo, no se olviden de que necesitan invertir una parte en seguridad.
Si no van a tener dinero para soportar todas esas tecnologías de manera
segura, lo mejor es reducir el número, reducir la superficie de
exposición porque si no va a ser un problema.
Si solo pueden proteger tres equipos y un
servidor, entonces no meter más equipos y servidores sin tener dinero
para soportarlos y preocuparse de que lo que tengan va a estar bien
seguro.
¿Cómo convencer a un gerente que no considera importante la inversión en seguridad?
Yo creo que los gerentes hoy en día deben estar
concientizados en seguridad y si no, no deben ser gerentes. La
seguridad informática es fundamental porque toda nuestra vida digital y
empresarial se basa en negocios.
Hoy estamos en un evento donde vienen muchos de
empresarios, y dudo que alguno de ellos no tenga una tarjeta donde no
esté su correo electrónico o que ninguno esté usando sistemas
informáticos para comprar, vender, gestionar empleados, dinero de la
compañía, etc. Hoy en día estamos tan volcados y somos tan dependientes
de la tecnología que pensar vivir sin ella por un día o una semana es
inviable.
Por eso creo que los gerentes o responsables
están cada día más conscientes, y de hecho vemos cómo cada día invierten
más; y a los que no están invirtiendo lo suficiente los estamos viendo
en los periódicos con un montón de problemas de seguridad en sus
compañías.
De producirse un incidente, ¿cómo se puede aprender de una crisis?
Sacar conclusiones que te ayuden a no volver a
caer en los mismos errores es fundamental después de un incidente. Por
desgracia, ha sido uno de los catalizadores que más han hecho que las
empresas inviertan en seguridad, tras sufrir una suplantación de
identidad, un robo de documentos, una fuga de información y que hayan
quedado datos expuestos de la compañía en Internet o tras sufrir un
secuestro de los documentos.
Yo creo que lo que deben hacer las compañías es
cada vez que sufran un incidente aprender de él, y cada vez que una
empresa de la competencia o un partner sufra un incidente aprender de
él. Es mejor y va a ser menos doloroso aprender por los fallos de la
competencia que aprender por los fallos propios, aunque a la larga
siempre hemos visto que lo que más les ha hecho aprender es cuando lo
sufren en carne propia.
¡No se pierdan la entrevista completa en nuestro canal de Youtube!