Aquí nunca ha pasado algo así”.  Conocida respuesta de funcionarios de alto nivel en muchas organizaciones cuando se habla de riesgos, desastres y seguridad de la información.

Aprovechando la visibilidad, la relevancia y lo fresco del caso tomemos el caso Equifax para ejemplificar.

¿Quién es Equifax y qué le pasó?

Equifax es una de las mayores agencias de reporte de crédito de Estados Unidos, su base de datos fue hackeada, extrayendo millones de cuentas.  Esa información incluía números de seguridad social, direcciones de residencia, números de tarjetas de crédito, números de licencia de conducir y fechas de nacimiento.  La compañía estima que los datos de 143 millones de personas fueron expuestos.

Crónica de un hackeo anunciado

Un investigador de ciberseguridad chino, Nike Zheng, descubrió una vulnerabilidad en el software Apache Strut y lo reportó a Apache quien publicó la remediación y la información de la vulnerabilidad el 6 de marzo de 2017.

En menos de 24 horas la información, que incluía un ejemplo de como se podía utilizar la falla para robar datos de cualquiera que utilizara el software, se publicó en un sitio de seguridad chino y en menos de 24 horas la vulnerabilidad estaba disponible en Metasploit, un software para hackeo.

De acuerdo con fuentes involucradas en la investigación, el 10 de marzo unos hackers chinos detectaron la vulnerabilidad en los servidores de Equifax, en Atlanta, y en poco tiempo penetraron los servidores.

Al grupo que obtuvo el acceso inicial se le conoce como entry-crew, éste grupo entregó el acceso a un grupo de hackers más sofisticados quienes obtuvieron el acceso al tesoro: datos personales, financieros y de identificación de al menos 143 millones de personas.  Se habla que los hackers crearon más de 30 puntos de acceso a los sistemas de Equifax antes de ser detectados el 29 de julio.  El equipo de seguridad tuvo que dar de baja el portal de quejas durante 11 días mientras encontraba y cerraba los puntos de acceso creados por los hackers.

El hackeo ocurrió a pesar de que Equifax ha invertido millones de dólares en sofisticadas medidas de seguridad y tiene un centro de operaciones dedicado que monitorea continuamente los sistemas. Sin embargo, fuentes cercanas indican que ha salido personal clave y fallas en la implementación de las medidas de prevención y detección.

El ex CEO de Equifax, Richard Smith declaró ante un comité del poder legislativo que un solo individuo, del área de TI, era el culpable de todo el problema pues no instaló un parche. Smith explicó el proceso normal para nuevos parches en Equifax:  un técnico lo instala y después el mismo escanea el sistema para verificar si hay más vulnerabilidades.

Departamento CERT (Computer Emergency Readiness Team) envió el 8 de mayo un comunicado a varias compañías, entre ellas Equifax avisándoles de la vulnerabilidad. Esto disparó un correo interno que requería que el equipo de TI lo resolviera dentro de las siguientes 48 horas.  El 15 de mayo se realizó otro escaneo automático que no detectó que se estaba utilizando una versión de Struts con vulnerabilidades.

La vulnerabilidad se detectó porque el 29 de julio hubo actividades que generaron tráfico sospechoso entrando y saliendo de los sistemas de Equifax.

Lecciones aprendidas

Smith declaró ante el comité “El error humano fue que el individuo responsable de comunicar en la organización que se aplicara el parche, no lo hizo.”  Una de las reacciones del comité fue cuestionar como es posible que cosas así pasen con tanto en juego.  El problema es que esa información ya se hizo pública y las personas no pueden cambiar su nombre, número de seguro social, el nombre de soltera de su madre, etc., esos datos fueron robados para siempre.

Efectivamente, el impacto y los problemas aun traerán consecuencias durante mucho tiempo. Aunque la infalibilidad no existe es importante contar con procesos formales y robustos que de manera sistemática atiendan los riesgos a los que está sujeta la organización.  Mientras más haya en juego, más formales y robustos deberán ser dichos procesos.

En la práctica existen muchas organizaciones con buenos procesos y una operación confiable con personal comprometido y con experiencia.  Sin embargo, cuando se realizan auditorías tienden a detectarse vulnerabilidades importantes que están presentes porque no se han aplicado parches y actualizaciones.  Tras el reporte normalmente el personal técnico “resuelve” el problema aplicando el parche y reportando que el riesgo desapareció. Desafortunadamente esto no es cierto, se eliminó el síntoma más el problema de fondo ahí está, cuando surja una nueva vulnerabilidad lo más probable es que el sistema esté expuesto durante meses, hasta la siguiente auditoría de vulnerabilidades.

Volvemos al inicio de este documento “Aquí nunca ha pasado algo así”, debería agregar “afortunadamente”.  Cuando la aplicación de medidas de protección, la verificación y la ejecución de controles, dependen de la disposición y tiempo del personal a cargo, eventualmente se dejarán de aplicar.

Sin métricas para la gestión y sin mecanismos de aseguramiento solo se crea un falso sentimiento de seguridad.

Es necesario contar con procesos formales y cuya efectividad y adherencia se mida. Las métricas resultantes deberán alimentar al menos un indicador en el tablero de indicadores revisado periódicamente en el área y a nivel de dirección.  De esta manera al menos se podrá saber periódicamente si se están realizando las acciones debidas de manera oportuna.

Ahora bien, una sola capa de defensa no es suficiente; por eso una parte importante de los modelos modernos de gobierno y gestión es el Aseguramiento.   Esta es la verificación independiente que emite una opinión sobre la efectividad de los mecanismos de control, así como de la adherencia a los procesos vigentes.  Los resultados de los reportes de aseguramiento deberán ser discutidos a alto nivel cuando el riesgo relacionado sea alto.

Sin métricas para la gestión y sin mecanismos de aseguramiento solo se crea un falso sentimiento de seguridad.  La gestión requiere mediciones para trazabilidad y monitoreo: ¿Realmente se llevó a cabo la actividad? ¿Cuándo se hizo? ¿Se completó? ¿Quedó cerrado el tema con esa actividad o quedaron pendientes?  Por otro lado, es necesario que periódicamente una entidad independiente de la operación realice una verificación de la efectividad y eficiencia de los controles, es el concepto denominado Auditoría.

Finalmente es indispensable que haya acciones coordinadas de los tres ámbitos fundamentales Gente, Procesos y Tecnología.  Sin coordinación entre los tres ámbitos tenemos el fracaso garantizado:

1.Podemos tener las mejores herramientas pero,

a. los procesos no permiten que se aprovechen y/o que los resultados sean confiables.
b. la gente realiza acciones que se saltan las herramientas.

2. Los procesos pueden ser excelentes pero,

a. las herramientas son inadecuadas y no soportan los procesos.
b. las herramientas tal vez si tengan la funcionalidad, pero la implementación sea inadecuada-
c. la gente no conoce y/o no sigue los procesos.

3. La gente conoce los procesos pero,

a. no tiene las competencias necesarias lo que no permite que ejecute el trabajo adecuadamente, afectando la efectividad de los controles.
b. intencionalmente busca evadir los controles.

En los tres casos anteriores un buen ejercicio de auditoría podría detectar la situación y oportunamente retroalimentar a la organización a nivel gestión y a nivel gobierno para la corrección y seguridad de la información.

Ciberseguridad basada en riesgo

Los esfuerzos de ciberseguridad en una organización deben estar enfocados a apoyar el logro de los objetivos institucionales y en el cumplimiento regulatorio para lograrlo dos elementos son fundamentales: 1) Tener claros los objetivos organizacionales y 2) Realizar un Análisis de Riesgos.  De esta manera se identificarán los riesgos que afecten el cumplimiento de objetivos y/o que contravengan disposiciones regulatorias, así como obligaciones contraídas a través de contratos.

Sin un entendimiento claro de la criticidad de un activo para la organización, la organización es incapaz de priorizar adecuadamente los esfuerzos preventivos, detectivos y correctivos, así como los de aseguramiento, lo que puede llevar a invertir de más en riesgos de bajo impacto y de menos en los de mayor impacto, o simplemente no atender adecuadamente lo que más impacta.

 

Por Oscar Viniegra Lira