Empieza el curso de nuevo, y retomamos la rutina… ¡¡ Plan, Do, Check, Act !! Y como comentábamos en la primera parte, seguramente muchas empresas empiecen con un RFP en busca de la mejor oferta para el pentesting anual, y comprobar si están a salvo de los ciberdelicuentes mas rastreros.

Puede que se descubra que la lógica de una aplicación subida a producción a principios de año, pueda ser alterada y permita acceder a información la cual no está pensaba para escrutinio público, o algún software de terceros tendrá una vulnerabilidad que nadie ha parcheado o incluso puede que el equipo de la consultora contratada encuentre un activo del que nadie se acordaba en el cliente y esté abierto de par en par.

Después, informe en mano, se deberán tomar acciones para remediar todos los problemas encontrados, y, bueno… Hay muchos proyectos y desarrollos que sacar adelante, así que… ¡Hasta el año que viene!

Y como siempre, pensaréis que soy un agorero y un reduccionista cuándo hablo de la realidad de las empresas… Pero no, ahora es que acabo de hablar de las que tiene un MÍNIMO interés por la CIBERSEGURIDAD. Y lamentablemente, no son ni TODAS ni se le ACERCA.

Y recalco MÍNIMO, porque un “pentesting tradicional” se enfoca a vulnerar la tecnología de la organización, única y exclusivamente. Podríamos decir que últimamente está más de “moda” contratar un “Red Teaming” o “Simulación de Adversario”, en dónde se intentan vulnerar tanto tecnología, como procesos y personas.

El segundo sabor, sería mas completo, mas largo y mas caro… Pero ni todo el mundo da lo que ofrece, ni nos podemos permitir la mayoría tener este servicio ofrecido por gente competente 365 días al año.

Por cierto, creo que marcos de trabajo como la Cyber Kill Chain o el Modelo de Diamante se han quedado un poco desfasados a la hora de definir la Taxonomía de un CiberAtaque, así que si te lo preguntas, estoy utilizando y pensando en CAT mientras escribo este artículo.

Según el estudio de 2019 del Instituto Ponemon, la media para detectar una brecha es de  206, y la de una vez detectada contenerla, otros 76 días más.

Es evidente que cuanto mayor sea este tiempo, mayor será la exposición de la empresa a potenciales peligros como el sufrir algún tipo de parada de servicio, un robo de datos o un secuestro de información.

Hemos de encontrar una forma de poner a prueba nuestros mecanismos de detección, y siempre reducir el tiempo de respuesta.

Multitud de empresas a nivel mundial están adheriéndose a programas de recompensas (Bug Bounty Programs), en los que investigadores particulares encuentran fallos en los sistemas y se lo reportan a cambio de una recompensa, en ocasiones de índole económica en otras regalos o simplemente darle las gracias.

Empresas como HackerOne de Estados Unidos o YesWeHack de Europa, están ofreciendo sus plataformas para acercar el conocimiento de la comunidad de hackers a las empresas, y que estas últimas sólo paguen por vulnerabilidad confirmada.

Estos programas al ser por objetivos nos permite saber que entre “pentest” y “pentest” de nuestras consultoras de confianza, tendremos a expertos de la seguridad husmeando en las nuevas aplicaciones que subamos a producción o en las máquinas que se no quedan olvidadas, permitiendo así reducir el tiempo que tenemos estas vulnerabilidad expuestas a posibles cibercriminales.

¿Mas ventajas? Podremos afinar nuestros sistemas de detección constantemente y verificar si los departamentos de desarrollo y sistemas están haciendo caso omiso a las recomendaciones de seguridad…

¿Y el talento? ¿Es que nadie a pensado en el TALENTO? Creo que trataremos de eso en mi próxima opinión…