ra2 studio - stock.adobe.com
Incluya seguridad defensiva en su estrategia de ciberseguridad
¿Es la estrategia de ciberseguridad de su empresa lo suficientemente completa como para protegerse de un panorama de amenazas en expansión? Aprenda cómo puede ayudar el desarrollo de estrategias de seguridad defensivas.
Una empresa es tan segura como su eslabón más débil. Por lo tanto, una estrategia de ciberseguridad eficaz debe abarcar y abordar todo el sistema, con sus eslabones más débiles y todo.
El inventor y profesor César Bravo escribió Mastering Defensive Security: Técnicas eficaces para proteger su infraestructura de Windows, Linux, IoT y la nube para ayudar a los profesionales de la seguridad a conocer los vectores de ataque y los métodos de ataque más comunes, así como las herramientas de seguridad que hacen el trabajo.
Bravo dijo que espera que su libro sirva de biblia para los nuevos y veteranos profesionales de la ciberseguridad. «Había un vacío entre la cobertura introductoria y los libros dedicados a un solo tema», dijo Bravo. «Llamo a mi libro una ‹visión holística de la ciberseguridad›. Enseña desde la teoría básica de la seguridad, hasta temas realmente avanzados, como el análisis de malware y las pruebas de penetración».
Aquí, Bravo habla de quién debería leer el libro, qué se puede sacar de él, qué hay que tener en cuenta a la hora de crear una estrategia de ciberseguridad personalizada y mucho más.
Vea un extracto del capítulo 4 de Mastering Defensive Security para aprender a protegerse contra las amenazas internas maliciosas.
Nota del editor: La siguiente entrevista ha sido editada por razones de claridad y longitud.
¿Quién se beneficiará más de la lectura de Mastering Defensive Security?
Más información sobre Domine la seguridad defensiva de César Bravo aquí.
César Bravo: He creado este libro para ayudar en el viaje de aprendizaje de un profesional de las TI, desde los profesionales junior que acaban de entrar en las TI hasta los experimentados con años en la ciberseguridad. Las TI y la ciberseguridad son grandes paraguas: hay muchas cosas que la gente necesita saber.
Estaba dando una clase de ciberseguridad a un grupo de profesionales. Algunos eran gestores de productos no técnicos, mientras que otros tenían al menos 10 años de experiencia. Hice que ambos grupos leyeran capítulos de mi libro y realizaran los laboratorios. Aunque no entendieran la tecnología, quería ver si podían hacer los ejercicios. Si lees el capítulo, ¿puedes hacer el laboratorio? ¿Instalar una máquina virtual? ¿Hacer los ejercicios y entender las amenazas y cómo evitarlas? Los resultados fueron sorprendentes. Los jefes de producto me han dicho que nunca habían tocado algunas de las tecnologías tratadas pero que, tras leer el capítulo, fueron capaces de crear una máquina para ejecutar los ataques y entenderlos.
¿Destacaría un capítulo específico en el que centrarse?
Bravo: El capítulo 2 trata de las vulnerabilidades. Soy inventor, y una de las cosas que me inspiró son las vulnerabilidades de los HID [dispositivos de interfaz humana] USB porque afectan al 99 % de las computadoras. Hay una falsa sensación de seguridad: la gente cree que si desactiva los puertos USB, no puede ser atacada. Pero eso no siempre es cierto. Incluso si un puerto USB está desactivado, los atacantes pueden utilizar un dispositivo de almacenamiento USB para seguir infectando la computadora. Es una vulnerabilidad peligrosa de la que incluso la gente de seguridad no está consciente.
Hablé con el director de tecnología de un banco porque me di cuenta de que sus puertos USB estaban expuestos al público: las computadoras estaban encima de las mesas de los empleados de atención al cliente. El director general dijo que no había ningún riesgo porque el USB estaba desactivado. Creían que las máquinas estaban bien para estar al aire libre, pero se equivocaban. Como profesional, debe asegurarse de comprender todos los aspectos de los ataques para mejorar su seguridad.
¿Cómo puede Mastering Defensive Security ayudar a los lectores a encontrar el enfoque de seguridad que les conviene?
Bravo: Creo en la ideología del profesional en forma de T. Primero hay que saber un poco de todo y luego convertirse en experto en un área. Mi libro explica las diferentes tecnologías que hay que conocer en ciberseguridad. Por ejemplo, incluí la seguridad de IoT, que no suele aparecer en la mayoría de los libros de ciberseguridad general, a pesar de que los dispositivos de IoT son uno de los mayores vectores de ataque en crecimiento en empresas y hogares.
Quería ofrecer a los lectores una visión general de todos los temas de ciberseguridad. Tienen que entender las áreas más importantes en las que centrarse, como la IoT, las implementaciones en la nube, las aplicaciones web, las evaluaciones de vulnerabilidad y el análisis forense. El libro ofrece contexto, ejemplos, una mirada a las últimas tecnologías y laboratorios para experimentar las vulnerabilidades en tiempo real. Los profesionales pueden aprender sobre el análisis de malware, la automatización, la programación en Python y mucho más para ver lo que les interesa. Tal vez el análisis forense sea demasiado difícil, así que céntrate en la seguridad de IoT en su lugar. Los lectores aprenderán qué área está relacionada con sus pasiones y habilidades y entonces podrán profundizar en esa área.
¿En qué deberían centrarse las empresas con presupuestos y equipos de seguridad más pequeños a partir de su libro?
Bravo: Los primeros cinco capítulos son clave para las pequeñas empresas. Comienza con una cobertura básica, pero luego, en el capítulo 4, hablo de parchar la capa 8: las personas. Se pueden invertir millones en parchar los sistemas, pero no se puede parchar a las personas; las empresas no lo entienden. Una de las mayores amenazas en este momento son los ataques de ransomware, algunos de los cuales han provocado más de 50 millones de dólares en pérdidas. Muchos de esos ataques se produjeron porque alguien hizo clic en un correo electrónico de phishing. Si los empleados no están debidamente formados, no importa cuánto se gaste en seguridad: va a fracasar.
En cuanto al presupuesto, no es ningún secreto que los presupuestos de seguridad son muy escasos. Pero Mastering Defensive Security está repleto de herramientas, métodos y estrategias que las empresas pueden aplicar sin apenas presupuesto.
¿Por qué era importante incluir un capítulo sobre seguridad física?
Bravo: Los ataques físicos deben verse desde un punto de vista diferente. Están en la parte baja de la matriz de riesgo porque las posibilidades de ser descubierto son mucho más altas que otros ataques, pero el impacto de un ataque físico es enorme.
Por ejemplo, Screen Crab. El dispositivo captura todo lo que un usuario transmite desde su computadora a un proyector. Imagínese capturar todo lo que se discute durante una reunión con los directores sobre el presupuesto, los clientes, etc. Es importante prevenir este tipo de ataques físicos. Puede tener un sistema de ciberseguridad millonario para evitar la fuga de datos, pero si alguien conecta un keylogger físicamente a su red, puede exfiltrar los datos igualmente.
Al crear una estrategia de ciberseguridad, ¿las empresas deben centrarse en prevenir o detener los ataques?
Bravo: La ciberseguridad tiene que ver con los riesgos, que son probabilidad e impacto. Como CISO, usted crea una estrategia de ciberseguridad para reducir la probabilidad de los riesgos y el impacto de los mismos. Dicho esto, no se trata de si un ataque se producirá o no, porque se producirá. Todas las empresas están expuestas a ataques. Nadie tiene un sistema a prueba de balas. Hoy en día, las empresas siguen lidiando con la vulnerabilidad Log4j, y cada semana aparecen nuevas amenazas de día cero. Una estrategia de ciberseguridad consiste en estar preparado para reaccionar ante los ataques. Pero también hay que formar a las personas para evitar los ataques. No importa si recibe cientos de correos electrónicos de phishing: si su equipo está bien formado, los ignorará. Así se reduce el riesgo.
Asegúrese de que su personal conoce el peligro de los ataques de ingeniería social. Contabilidad puede recibir llamadas en las que un atacante se hace pasar por un proveedor y le dice: «Oye, no has pagado nuestra factura, pero tenemos un problema con esta cuenta. Por favor, envíe el pago a esta otra cuenta». Muchos empleados pagan sin pensarlo. Son miles y miles de dólares que van a parar a la cuenta de un delincuente.
Reduzca el riesgo de estos ataques y su impacto potencial creando una cultura de concienciación sobre la ciberseguridad. Esa es la clave para estar preparado ante el creciente panorama actual de amenazas.
Sobre el autor
César Bravo es un investigador e inventor que tiene más de 100 inventos relacionados con la ciberseguridad que están siendo patentados en Estados Unidos, Alemania, China y Japón. Esos inventos incluyen hardware de ciberseguridad, sistemas y dispositivos seguros de IoT, e incluso sistemas de ciberseguridad para coches autónomos.
Le encanta compartir conocimientos, y ha colaborado con varias universidades para enseñar ciberseguridad a todos los niveles, desde cursos introductorios para personas no informáticas hasta un máster en ciberseguridad del que también ha sido director de tesis.
En los últimos años, Bravo se ha convertido en un reconocido conferenciante, incluyendo una charla TEDx y realizando presentaciones internacionales sobre ciberseguridad e innovación en el Reino Unido, Alemania, México, Estados Unidos y España.