Pruebas basadas en amenazas: hacia una mayor resiliencia dirigida

Hace ya muchas lunas, cuando la ciberseguridad se llamaba seguridad informÔtica y los responsables de dicha seguridad andaban muy lejos de la dirección de su compañía, y mÔs aún de su consejo de administración, algunos pioneros, con quien tuve la suerte de trabajar, proponían que el presupuesto de seguridad fuera a prevenir aquellos ataques que se veían en la industria, en vez de intentar proteger a la organización de todo ataque posible.

Protegernos de todo y en todo momento, si bien es una bonita quimera, no es en absoluto viable, tanto desde el punto de vista económico, como desde el punto de vista estratégico.

En el sector financiero, hace menos de una década de la llegada al campo de la seguridad tecnológica de teorías militares de defensa basadas en el anÔlisis de las amenazas que despliega el enemigo.

AsĆ­, en 2014, el Banco de Inglaterra propuso CBEST, un programa de evaluación de seguridad basado en amenazas (concepto conocido con las siglas en inglĆ©s TLPT: ā€œthreat-led penetration testingā€). En 2016, se publicaban las guĆ­as prĆ”cticas de CBEST. En 2017, la autoridad monetaria de Hong Kong publicaba iCAST (ā€œintelligence-led Cyber Attack Simulation Testing) y el Banco Central de Holanda hacĆ­a lo mismo con TIBER-NL (ā€œThreat Intelligence Based Ethical Red teamingā€). Finalmente, en 2018, la Asociación Bancaria de Singapur (ABS) publicó AASE (ā€œAdversarial Attack Simulation Exercisesā€). En mayo de 2018 el Banco Central Europeo publica TIBER-EU, un marco de pruebas de seguridad, en el entorno de producción, basado en dos elementos esenciales: un informe de inteligencia sobre amenazas y unas pruebas de intrusión guiadas por dicho informe de amenazas. TIBER prevĆ© que ambos elementos sean realizados a travĆ©s de proveedores externos a la entidad financiera. Todas estĆ”n propuestas van dirigidas a aumentar la resiliencia tecnológica del sector financiero.

En enero de 2022, el Banco de España publicó la guía de implementación de TIBER-ES, en línea con las directrices de TIBER-EU. La propia guía recuerda que estas pruebas estÔn dirigidas a entidades significativas o sistémicas, ya sean bancos, aseguradoras, gestoras de activos o infraestructuras críticas de mercado, todas ellas con un grado de madurez suficiente como para poder embarcarse en este tipo de evaluación. En Europa, la implementación de cada uno de los TIBER nacionales va a suponer un ahorro de esfuerzos, ya que el objetivo es garantizar el reconocimiento de estas pruebas en todas los Estados que adopten el marco TIBER-EU.

El elemento adicional que puede suponer el despegue de estas pruebas es la próxima aprobación del reglamento europeo sobre la resiliencia operativa digital del sector financiero (conocido por las siglas DORA), donde probablemente se exigirÔn este tipo de pruebas de seguridad a las entidades financieras significativas.

Los proveedores nacionales de informes de inteligencia y de pruebas de intrusión tienen aquí una oportunidad de oro para satisfacer con profesionalidad y calidad un mercado que sólo va a poder crecer en los próximos años. Desde esta columna les invito a internacionalizarse y a dedicar partidas importantes de su presupuesto a innovar en este campo, que ahora empieza a dar sus primeros pasos.

Concluyo enumerando las principales recomendaciones que proponĆ­an en 2021 los proveedores de ciberinteligencia en una encuesta realizada en el entorno CBEST. Toda una lista de ideas a desarrollar en un continuo proceso de innovación: creación de un marco global de pruebas TLPT a nivel mundial que permita a las marcas financieras globales una reducción de costes regulatorios; adaptación de los informes de inteligencia a las necesidades reales de cada entidad evaluada; posibilidad de ā€œpivotarā€ en las pruebas de intrusión, tal y como harĆ­a un atacante real, asĆ­ como inclusión de tĆ©cnicas activas de reconocimiento de vulnerabilidades en la creación del informe de inteligencia; creación de una versión con pruebas mĆ”s ligeras para entidades mĆ”s pequeƱas; un papel mĆ”s relevante del denominado equipo morado (ā€œthe purple teamā€, formado por atacantes y defensores) para que la prueba realizada sea una verdadera oportunidad de aprendizaje para el equipo defensor (ā€œthe blue teamā€) y, finalmente, una mayor cooperación con los servicios de inteligencia nacionales.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×