Anticiparse a los ciberdelincuentes con las pruebas cibernéticas

Las organizaciones de hoy en día enfrentan una cantidad cada vez mayor de amenazas cibernéticas, de diferentes tipos de vulnerabilidades y de ataques más perjudiciales. Combatir las amenazas requiere que las empresas desarrollen defensas más sólidas y que implementen una amplia variedad de herramientas. Muchas veces, las pruebas de ciberseguridad son una herramienta que se pasa por alto o no se valora como se debería.

Hay tres tipos principales de evaluaciones cibernéticas que las empresas pueden implementar. Todas ofrecen la oportunidad de encontrar problemas en las redes, las aplicaciones y los sistemas, y de repararlos antes de que los ciberdelincuentes los encuentren y se aprovechen de ellos. Sin embargo, las pruebas efectivas implican una serie de pasos: desde elaborar un plan claro hasta obtener la aceptación y actuar en función de los resultados.

Un tipo de evaluación cibernética que las empresas pueden poner en práctica se llama prueba de penetración. Esta evaluación simula un ataque cibernético real. El objetivo es determinar si un atacante puede atravesar el sistema de defensa de una organización y, en caso de que pueda, descubrir cómo lo hizo.

Un segundo tipo de evaluación cibernética se llama misión de los equipos azul y rojo. Al igual que las pruebas de penetración, esta evaluación también simula un ataque. Pero el objetivo principal aquí es ver cómo reacciona un equipo a la amenaza. Por lo general, estas evaluaciones se llevan a cabo de la manera más real posible, y son muy pocas las personas que saben que se trata de una evaluación.

El tercer tipo de evaluación se llama ejercicio de simulación "TableTop". Este es un ejercicio con un simulacro que comprende un escenario que el equipo describe y analiza a fondo. Los líderes del ejercicio describen el escenario y, luego, les preguntan a los miembros del grupo cómo responderían a una determinada situación, con quién interactuarían y qué herramientas usarían.

En este episodio del Cloud Talk, tres líderes cibernéticos de Rackspace Technology analizan las pruebas cibernéticas con el presentador y CTO Jeff DeVerter para ayudar a generar conciencia sobre las actividades tangibles en las que las empresas pueden participar para mejorar su enfoque con respecto a la seguridad. Esta conversación tuvo lugar en octubre de 2021, durante el Mes Nacional de Concientización sobre la Ciberseguridad en los Estados Unidos.

La conversación que mantuvieron hace hincapié en las ventajas que aportan las pruebas y en cómo las empresas pueden aprovechar esta herramienta cibernética al plantearse las siguientes preguntas:

• ¿Cuál es nuestro objetivo para llevar a cabo las pruebas cibernéticas?
• ¿Qué deberíamos evaluar?
• ¿Quién debería participar en nuestras iniciativas de las pruebas cibernéticas?
• ¿Cuánto tiempo demorará hacer la prueba?
• ¿Cómo conseguiremos la aceptación de los líderes principales?
• ¿Es verdad que un ataque simulado podrá engañar a nuestro personal de TI?
• ¿Cómo nos aseguramos de que aprovecharemos nuestros hallazgos?

“Con las pruebas de ciberseguridad, hay que concentrarse mucho en el objetivo”, dice Brandon Jaster, gerente sénior de Ciberseguridad de Rackspace Technology. "¿Qué intenta lograr? Dentro de esa infraestructura, puede ser realmente flexible en la forma de llevar a cabo las evaluaciones".

Después de hacer una evaluación, las organizaciones deben estudiar el resultado para ver si lograron sus objetivos. "Es importante documentar los objetivos y las metas de la evaluación para poder mirar hacia atrás y ver si los cumplió o no", dice Thomas Dowling, gerente sénior de Operaciones de Rackspace Technology. "Si alcanzó los objetivos, ¿cuáles son los próximos pasos? Pero si no los alcanzó, ¿qué plan de acción implementará a continuación?"

Un paso importante en cualquier evaluación de ciberseguridad es obtener la aceptación de los líderes clave. "Si no obtiene la aceptación, la gente no lo tomará en serio", dice Karen O'Reilly-Smith, directora de seguridad de Rackspace Technology. "Cuando la gente se involucra, puede crear escenarios realmente desafiantes, que incluyan cosas a las que los equipos nunca se hayan enfrentado. Proponga algo diferente y evalúe cómo responde la gente. El resultado se traducirá en información que podrá usar para hacer que sus defensas cibernéticas sean mucho más fuertes".

Cloud Talk abarca temas tales como la nube múltiple, la transformación digital, los contenedores y Kubernetes, la IoT, la informática de punta, los datos y mucho más. Los episodios son breves, de menos de media hora, y estarán disponibles en Apple Podcasts, Spotify, Stitcher y en cualquier aplicación de podcasts.