Brunch Tecnológico: Cómo conocer y auditar el estado de nuestra infraestructura tecnológica - Redacción

Estrenamos un nuevo formato para los socios del #ClubCámara: Brunch Tecnológico, una sesión técnica en la temática de una de las áreas de seguridad informática preventiva más relevante para una empresa, como son las auditorias tecnológicas. Un espacio organizado por Digital Hand Made y el Centro Criptológico Nacional CCN-CERT.

Esta primera sesión estuvo marcada por unos panelistas de primer nivel donde se encontraban Pablo López, jefe Área Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional CCN-CERT; Sergio Cervera, responsable del Departamento Técnico en Digital Hand Made; Javier Viñado, consultor en Ciberseguridad y Administrador de Sistemas TI en Digital Hand Made; y Javier Doblas, responsable de Informática de Araven.

El primero en empezar la jornada fue López, quien afirmó que “nos estamos enfrentando a un reto”: la digitalización acelerada y, para conseguirla es necesario que la “ciberseguridad sea sinónimo de confianza”, algo que se puede obtener a partir de una serie de garantías y, para ello, es imprescindible una inversión de tiempo significativa, aseguró López.

La ciberseguridad se tiene que convertir en ese “activo esencial” que nos permita tomar las mejores decisiones para nuestro negocio, indicó, explicando que hay que ver lo vulnerable que es la tecnología, ver quién es nuestro atacante e identificar la mala praxis de la persona. De esta forma, “podremos adaptarnos a él”. Sin embargo, debemos dejar de ser reactivos para ser proactivos, “tenemos que predecir el potencial ataque y la materialización de la amenaza para anticiparnos. Después de medirlo, desarrolló López, “no queda otra” que hacer auditorias que variarán en función del ámbito, el alcance y las necesidades que se planteen. “Todo pasa por una capacidad de inspección, por una metodología y por el uso de herramientas que puedan automatizar todo esto”, concluyó.

Por su parte, Cervera afirmó que “las autoridades de seguridad” son la herramienta que se va a emplear para comprobar que “las medidas que estamos tomando son las correctas”. De esta forma, ve necesario “concienciar sobre la importancia de este aspecto concreto de la ciberseguridad” y, aunque hay muchos tipos de metodología de teoría, se pueden clasificar por los objetivos que se quieren alcanzar con esa auditoria, aseveró Cervera.

Tal y como explicó, Digital Hand Made tiene su metodología basada en Magerit, “que es muy completa”, afirmó Cervera, indicando que, “aunque hemos encontrado cierta resistencia en nuestros departamentos para implementarla” por el análisis previo que supone, es algo que les está produciendo “cierto éxito”. Sin embargo, Cervera aseguró que esta metodología no pretende sustituir el punto de vista de un auditor de una empresa externa y que hace un análisis objetivo, sino que es algo complementario que tiene “la facilidad de que vosotros la podáis implantar también”, agregó.

De esta forma, Viñado expresó la importancia de las auditorias de vulnerabilidades. Al final, aseveró Viñado, “vivimos en un mundo interconectado” donde cualquier empresa que esté conectada a la red o ha sido atacada o lo será. La auditoria de vulnerabilidades lo que trata es de analizar todas aquellas debilidades que pueda haber en la infraestructura tecnológica de la empresa, subrayó.

Lo que hay que hacer, expresó Viñado, “es aceptar toda aquella superficie que tenemos a disposición e intentar mejorarla”. Para ello, hay una serie de fases que hay que seguir, explicó: conocer la infraestructura del cliente, fijar los objetivos, desplegar las máquinas de pruebas, realización de un test y recogida de la información, análisis de los resultados, redacción de informe y presentación de las conclusiones. De esta forma, afirmó Viñado, “detectaremos cuáles son las unidades que tenemos en ese radio de exposición y deberemos solucionarlas”. “La auditoria de vulnerabilidades tiene que ser algo que se haga de forma constante, no anualmente”, añadió.

Por último, Doblas aseguró que es necesario “siempre tendemos a pensar que está todo bien”, pero aún con todo es necesario tener una foto en el momento de la situación real, porque luego, realmente, “tenemos debilidades”.

“La auditoria, como cualquier otro proyecto, hay que aplicarle tiempo y recursos”, aseveró, indicando que el tiempo que se dedique ahora tendrá su fruto y valor en el futuro. Estas auditorias, subrayó Doblas, van a permitir saber “dónde hay que realizar las inversiones de seguridad”, contundió.