Mitigación de riesgos en IT: estrategias, normativas y herramientas clave

El Nobel William Faulkner escribió que no puedes nadar hacia nuevos horizontes sin el riesgo y el coraje de perder de vista la playa. Buena suerte citando eso a RRHH durante el finiquito, porque inspiró tu estrategia de ciberseguridad. En ella, mitigar riesgos es la premisa principal y lo demás es literatura. Por eso, veremos las claves de esa gestión de riesgos, sus estrategias, herramientas, normativas y más.

En la vida, es imposible eliminar completamente los riesgos, pero como encargados de seguridad debemos caminar una fina línea: reducirlos todo lo posible sin comprometer las operaciones de nuestra organización.

Este es un equilibrio que trae bastantes quebraderos de cabeza, así que mejor empezar por el principio.

Conceptos clave: riesgo, amenaza e impacto

Antes de nada, hablemos el mismo idioma. Cuando nos referimos a mitigar riesgos, debemos tener claros los conceptos principales.

• Riesgo. La probabilidad de que una amenaza cause daños operativos, financieros o reputacionales. Esa probabilidad nunca será cero, pero debemos dejarla cerca sin recurrir a electrocutar al usuario cuando hace clic donde no debe. La factura eléctrica nos arruinaría.
• Amenaza. Un suceso potencialmente dañino, como el ransomware o fallos de hardware.
• Impacto. La consecuencia de que una amenaza se haya hecho realidad. Debe ser cuantificable, como por ejemplo en tiempo de inactividad, multas, facturación perdida…

Una estrategia de seguridad se basa en equilibrar esos tres conceptos, como si fuéramos malabaristas tratando de mantener platos girando sin caerse. Eso implica asumir riesgos calculados, dedicando esfuerzos según el impacto y seriedad de las amenazas.

Las 4 estrategias clásicas de gestión de riesgos en seguridad

Tradicionalmente, hay 4 estrategias para afrontar riesgos y amenazas:

1. La aceptación. Como con muchas cosas en la vida que no podrás cambiar. Se basa en asumir el riesgo si el coste de mitigarlo supera el impacto potencial. Por ejemplo, un servidor demasiado caro de reemplazar se reinicia aleatoriamente una vez al mes y causa unos segundos de downtime. El coste es menor que cambiarlo y podemos aceptar ese riesgo.
2. Transferencia. Pasarle la patata caliente a otro, como entidades de seguros y otros. Externalizar con servicios SaaS traslada riesgo a la división de seguridad de la empresa contratada. Con el tema seguros no solo debemos calibrar que cubran el gasto del incidente, sino también el coste reputacional a medio plazo, porque el usuario olvida su contraseña todo el rato, pero no el fallo que le arruinó.
3. Reducción. Implantando controles técnicos (parches, firewalls…), procesos (backups, formaciones en seguridad…) y herramientas (SIEM, EDRs…). Será nuestra principal estrategia en el día a día..
4. Eliminación. El riesgo nunca será cero, pero podemos erradicar algunos concretos. Por ejemplo, desconectando una máquina de la red eliminamos vectores de ataque online. Esto es más sensato de lo que parece porque no necesitamos que la nevera tuitee. Lo mismo ocurre descontinuando sistemas obsoletos sin actualizaciones de seguridad, como Windows XP.

Principales tipos de amenazas en IT

No solo el ransomware acecha tras una esquina, hay toda una serie de amenazas a nuestra infraestructura IT que podemos clasificar por:

• Amenazas operativas. Fallos y errores de máquinas o, peor aún, de quienes las manejan, sean técnicos que configuran mal un servidor dejando puertas abiertas o sea el depredador natural del técnico que se alimenta de su cordura: el usuario, la paradoja andante capaz de incendiar todo sin haber «tocado nada»**.
• Amenazas de seguridad. Que evolucionan en variedad y sofisticación a una velocidad que sería la envidia de Darwin: phishing, credenciales filtradas, ransomware, DDoS…
• Amenazas normativas. Cada vez más importantes, porque la legislación se está haciendo más estricta con el panorama actual. El riesgo son multas y sanciones por incumplimiento.
• Amenazas reputacionales. Las más incalculables e impredecibles, porque la reputación es un jarrón de porcelana, frágil y que, cuando se rompe, quizá se puede pegar, pero nunca quedará igual. Eso provoca pérdida de confianza del cliente, daña nuestra capacidad para conseguir nuevos usuarios o contratos y pone en peligro la supervivencia.

Esas tipologías no viven en compartimentos estancos, un fallo operativo o de seguridad pondrá en riesgo la reputación y puede acarrear sanciones también.

Por ejemplo, Gitlab tuvo un fallo operativo en 2017 con una base de datos de producción, provocando horas de downtime y la pérdida de 300 GB de información… y de reputación. Igualmente, un apagón en un centro de datos de AWS en 2021 dejó sin servicio a empresas como Coinbase o Disney+, mostrando que, a pesar de la estrategia de transferencia, el riesgo no se crea ni se destruye, solo se transforma.

Del mismo modo, tenemos la multa récord a Amazon de 746 millones de euros (la calderilla de Bezos en el bolsillo del pantalón) por incumplimiento del RGPD. O los 18,5 millones de Target (más 202 por facturas legales, mostrando que los abogados son otra amenaza) por el robo de 40 millones de números de tarjetas de crédito e incumplimiento del PCI-DSS.

En cuanto a reputación, el caso Cambridge Analytica supuso un daño a Facebook mayor que cualquier declaración de Zuckerberg, mientras que el hackeo a Sony Pictures en 2014 dejó la sensación de que mejor no confiarles ni el nombre del gato.

Cómo diseñar un plan efectivo para reducir riesgos

En un escenario como este, todo lo que no sea un plan integral se va a quedar corto. Este no consiste en un documento estático que se quede en el cajón susurrando que por qué lo hemos abandonado, sino una manera de actuar alineada con las mejores prácticas y estándares, como la ISO 31000 o la NIS SP 800-37 para gestión de riesgos.

Partiendo de ahí, los pasos para nuestro plan serían:

1. Identificación de riesgos.
2. Análisis de los mismos.
3. Priorización.
4. Seguimiento.

Analicemos cada paso.

1. Identificación de riesgos

La ciberseguridad es el continente más grande que existe y es imposible abarcarlo todo, pero tampoco es necesario. Cada organización tiene un modelo de amenazas diferente y el primer paso es identificar cuáles son las prioritarias para nuestros activos críticos (datos, sistemas y servicios).

Como no tenemos presupuesto infinito, y no todos los riesgos son iguales, debemos:

1. Hacer un inventario. Con herramientas como Pandora ITSM, que trazará todo lo que tenemos, asociando tickets a cada elemento para facilitarnos la vida.
2. Escanear vulnerabilidades de cada elemento. Con aplicaciones como Nessus u OpenVAS, para asegurarnos de no vernos afectados por alguna CVE (Common Vulnerabilities and Exposures). Igualmente, deberíamos realizar auditorías de código en nuestras aplicaciones críticas.
3. Anticipar amenazas. Todo lo que no sea un enfoque proactivo está destinado a fracasar. Por eso, usando fuentes como MITRE ATT&CK, estaremos al día y anticiparemos nuevas amenazas potenciales.

El resultado material de este paso es una lista de riesgos asociados a nuestra infraestructura. Por ejemplo, que nuestro viejo ERP ya no recibe actualizaciones de seguridad, exponiéndonos a ataques SQLi.

2. Análisis de riesgos

No todos los riesgos son iguales. Algunos pueden ser improbables y otros verosímiles, pero causar un impacto mínimo. Por eso, debemos determinar ambos factores y catalogar los riesgos detectados por probabilidad e impacto. Con eso tendríamos una tabla o clasificación que indique si cada factor de riesgo es bajo, medio o alto.

Por ejemplo, si seguimos el principio 3-2-1 de backups, la copia offsite puede ser difícil de acceder, con lo que la probabilidad de brecha es baja, pero su impacto en caso de suceder sería alto.

Si trabajamos para una organización madura con datos históricos, podemos hacer un análisis cuantitativo además de cualitativo. Esto implica familiarizarse con conceptos de gestión de riesgos como:

• ARO (Annual Rate of Ocurrence): La probabilidad de que el riesgo se haga realidad durante un año.
• SLE (Single Loss Expectancy): La pérdida que produce el riesgo cuando se hace realidad.
• ALE (Annualized Loss Expectancy): La pérdida que produce un riesgo a lo largo del año. Normalmente, es la multiplicación de los dos factores anteriores, probabilidad por pérdida en cada evento.

El resultado tangible de esta fase debe ser una clasificación de riesgos (cualitativa, cuantitativa o ambas) por nivel de criticidad.

3. Priorización de riesgos

Durante nuestra labor, sentiremos que tenemos mil frentes abiertos para unos pocos soldados. El paso anterior sirve para destinarlos a la trinchera adecuada. Es decir, asignar los recursos que poseemos a cubrir las amenazas con mayor impacto.

Por ejemplo, tenemos una lista que ríete de la de la compra semanal. En ella, detectamos un riesgo DDoS con un ALE calculado de 300.000 euros, porque somos una tienda online y cada segundo de downtime cuenta. Del mismo modo, analizamos que, por los datos de clientes a conservar, el RGPD puede ponernos una cuantiosa multa de más de 100000 euros si no los cuidamos bien.

El resultado de este paso sería un listado de acciones inmediatas, como, por ejemplo, implementar un WAF (Web Application Firewall) y/o hablar con Cloudflare para mitigar ese DDoS, además de repasar bien los puntos del RGPD que minimicen la posible multa.

Y luego, seguiremos con los otros riesgos que no tienen tanto cero detrás.

4. Seguimiento y monitorización

Vaciar el mar a cubos es más fácil que contener todas las amenazas. Además, estas se reproducen más rápido que los tribbles (referencia para verdaderos geeks que delatan mi edad y obsesiones). Por eso, tras los pasos anteriores, el trabajo no ha hecho más que empezar.

En este paso debemos validar la eficacia de las medidas y seguir adaptándonos a las nuevas amenazas que emergen cada día.

O sea, hacer nuestro trabajo, cuyo rendimiento se suele valorar con métricas como:

• MTTD (Mean Time to Detect). Tiempo promedio para detectar un incidente. Cuanto menos, mejor, algo que conseguiremos con un buen SIEM, por ejemplo.
• MTTR (Mean Time to Respond). Tiempo promedio para contener una amenaza. Aquí podemos ayudarnos con automatización de medidas, como que el EDR de un equipo lo ponga en cuarentena cuando detecte peligro de ransomware.
• Tasa de falsos positivos. Optimizando y afinando reglas de detección y herramientas, para no morir bajo una montaña de alertas.

Estrategias prácticas para anticiparse a amenazas

Esperar no es manera de vivir, ni de defender nuestra infraestructura IT. Por eso, la gestión de riesgos tiene que ser proactiva y anticipatoria, asumiendo que no es cuestión de si alguno se hará realidad, sino cuándo, y poner en marcha estrategias que mitiguen al instante. Siguiendo el esquema de las 4 clásicas que hemos visto, podemos implementar:

Reducción de riesgos. Minimizando la probabilidad de que ocurra la brecha y el daño con:

• Las mejores prácticas de diseño y seguridad. Como segmentación de redes para evitar movimientos laterales de atacantes.
• La implantación de un SIEM. Que avise en tiempo real de cualquier peligro e incluso automatice respuestas inmediatas.
• Política estricta de backups, minimizando el daño de posibles malwares.
• Defensas contra ataques más comunes, como el DDoS, mediante firewalls en el perímetro y servicios como Cloudflare.
• Formación a usuarios. Sobre nuevos ataques y protección contra ellos.

Transferencia de riesgos. Que implica estrategias como:

• Seguros ante desastres. Porque lo contrario es hacer acrobacias sin red.
• Delegación de seguridad. En equipos y empresas reputadas para aquello en lo que no somos expertos, o bien confiando en los equipos de seguridad de nubes como la de Google.
• Servicios de terceros, como puede ser un WAF de empresas como Imperva ante tráfico malicioso, o el CDN (Content Delivery Network) de Akamai u otros.

Eliminación de riesgos. Que es imposible, pero se puede reducir muchísimo en algunos aspectos con tácticas como:

• Implantar un modelo Zero Trust donde se verifica cada acceso, incluso interno.
• Implantar un rígido sistema de permisos y accesos. Nadie que no sea imprescindible puede acceder a ciertas partes del sistema o datos, eliminando el número de usuarios que pueden causar daño, involuntario o no.
• Otras acciones como, por ejemplo, crear una web estática si no precisamos interacción con el usuario, eliminando vectores de ataque como la base de datos.

Aceptación de riesgos. Cuando estos tienen bajo impacto o un coste prohibitivo de mitigar. Por ejemplo, asumiendo que un porcentaje de phishing atravesará nuestras defensas.

Herramientas esenciales para proteger la infraestructura

Gran parte de la ciberseguridad cotidiana se basa en manejar herramientas especializadas. Sin ellas, es imposible hacer frente al panorama actual de riesgos.

IDS, firewalls, SOAR… las opciones son muchas y debemos implantar las necesarias según el análisis de riesgos de los pasos anteriores, pero en el centro de esas herramientas está el SIEM, el centro del mando, el ordenador central del Enterprise, que permite proactividad y actuación instantánea ante brechas. Eso se debe a la capacidad de un SIEM como el de Pandora para:

• Unificar información de fuentes diferentes mediante logs (de servidores, endpoints, red…).
• Correlacionar eventos detectando patrones de ataque complejos.
• Avisar inmediatamente al SOC, creando tickets automáticos como hace Pandora SIEM.
• Desplegar medidas automatizadas Como bloquear las IP de las que proviene un DDoS.

La clave es que el SIEM actúa como el ojo de Sauron que todo lo ve y primera línea de defensa activa, enviando las primeras respuestas automatizadas al frente de batalla.

Sin él, las demás aplicaciones realizarán una defensa fragmentada, sin perspectiva amplia ni comunicarse con el resto de herramientas, lo que permitirá que ataques sofisticados, con muchas piezas móviles, pasen por debajo de nuestro radar.

Normativas clave para la seguridad IT

En tecnología hay que atender a muchos amos, y uno de los más importantes es la legislación sobre ciberseguridad, especialmente, en estos tiempos revueltos.

Todo responsable debe ponerse el traje de abogado, teniendo muy clara la legislación que le afecta.

Por ejemplo, la NIS2 europea se aplica a empresas consideradas críticas, como las de energía, por ejemplo, mientras que la PCI-DSS nos afectará en caso de que procesemos pagos online, el RGPD nos atañe a todos y la ISO 27001 no es ley obligatoria, pero sí un marco de excelencia y buenas prácticas que nos otorgará reputación y confianza de clientes e instituciones.

Estas leyes demandan auditorías, monitorización activa, mantenimiento de logs… Debemos conocer sus exigencias, pero esta es la clave para cumplir con todas ellas:

Si aplicamos las mejores prácticas de ciberseguridad, permaneciendo en la punta de lanza de la excelencia, e implantamos herramientas profesionales que nos ayuden, iremos por delante de los requisitos y los cumpliremos.

La ley suele ir algo por detrás de la innovación y es normal, con lo que si nos aseguramos de conocer y aplicar dicha innovación, nos aseguraremos de cumplir.

Caso práctico: Cómo Pandora SIEM ayuda a proteger tu negocio

No importa que seas el mejor en esto, no podrás detener el tsunami constante de amenazas sin herramientas especializadas. Buena suerte dejándote los ojos en logs o desperdiciando tu experiencia en mitigar DDoS y el enésimo phishing, mientras actores maliciosos usan ataques complejos que hacen brecha porque no tienes tiempo de mirar.

Por eso es necesario usar herramientas que también apliquen mejores prácticas y tener ese director de orquesta llamado SIEM.

En el caso de Pandora SIEM, este permite, entre muchas otras cosas:

1. Correlación avanzada

Detectando amenazas complejas al cruzar datos y telemetría de redes, endpoints y apps en segundos, reforzado por IA para la gestión de todos esos datos. Y sin importar si usas Red Hat, Windows, MacOs o todos a la vez.

Ejemplo: Identificación de un ataque APT (patrón: VPN + descargas masivas + PowerShell sospechoso), evitando robo de datos.

2. Reglas personalizadas

Adaptando la detección a los riesgos únicos de nuestro sector y sus requerimientos legislativos.

Ejemplo: Regla anti-fraude para nuestra empresa financiera que bloquee transacciones superiores a 10.000€ desde ubicaciones anómalas, reduciendo fraudes.

3. Respuesta automatizada ajustable

Mitigando amenazas sin intervención humana y alertando al SOC para el resto de medidas.

Ejemplo: Neutralización de un ransomware poniendo en cuarentena el endpoint, desconectando la red y avisando al SOC.

4. Auditorías sin esfuerzo

Generando la evidencia e informes necesarios para normativas con un clic.

La formación y cultura de seguridad en la mitigación de riesgos

Una cadena es tan fuerte como su eslabón más débil y, en ciberseguridad, ese suele ser el usuario que siempre encuentra la manera de hacer justo lo que dijimos mil veces que no hiciera.

Los actores maliciosos se aprovechan de ello, como de los sesgos cognitivos y psicológicos que todos tenemos, para sus ataques de ingeniería social, combinado con el hecho de que esos usuarios no son expertos en lo suyo y que el cambio de hábitos es difícil.

No es necesario convertirlos en expertos para una gestión de riesgos eficaz. Afortunadamente, una formación continua en los puntos clave y los principales ataques (como el phishing) mitigará la mayor parte de amenazas.

Esto deja claro que dicha mitigación, y la seguridad en general, es una cuestión de procesos, herramientas, conocimiento y personas. Y cualquier estrategia de reducción de riesgos no puede dejar de lado ninguna de esas columnas de la casa, o esta será endeble y, tarde o temprano, se convertirá en ruinas.