Llegan refuerzos para los jefes de ciberseguridad
A medida que aumenta nuestra dependencia de las infraestructuras informáticas, más temible resulta la perspectiva de un ciberataque. Es evidente que los sistemas de suministro de energía y demás infraestructuras críticas están dotados de mecanismos de protección contra ciberataques, pero el número de esos ataques se multiplica y, al tiempo, las arquitecturas de las tecnologías de la información y la comunicación (TIC) devienen en inmensas marañas, en sistemas de sistemas, y por ello resulta prácticamente imposible para los responsables de la ciberseguridad disponer de una visión general de sus puntos débiles y de las consiguientes relaciones de dependencia. En este contexto se puso en marcha el proyecto CYBERWIZ, como explicó Frank Schlottke, coordinador del mismo y también director general de Applied Security GmbH: «Cada vez resulta más inviable dominar por completo la ciberseguridad, porque las empresas administran arquitecturas enormes de sistemas dentro de sistemas. En esas arquitecturas existen detalles que suponen puntos vulnerables. Es fundamental ser consciente de esos puntos vulnerables y de las interrelaciones en esos complejos sistemas de sistemas, para que uno pueda tomar las decisiones adecuadas. Por norma, el volumen de trabajo de los técnicos de seguridad de las empresas suele ser abrumador, lo que complica la situación». Con ánimo de echarles una mano, en CYBERWIZ se ha creado securiCAD, una herramienta que permite observar las relaciones e interdependencias que hay entre sistemas, detectar aspectos que tratar e inversiones recomendables y, en suma, gestionar la ciberseguridad de las arquitecturas a medida que se amplían o modifican. En pocas palabras, securiCAD es una herramienta de modelización de ciberamenazas y gestión de riesgos. Se ocupa de tareas importantes como modelizar infraestructuras informáticas, simular casos de uso que comportan riesgos, emitir informes de resultados en apoyo de la toma de decisiones... y todo ello, de manera automatizada. En última instancia, se pretende dotar a la organización de funciones muy especializadas y automáticas, incluida la gestión proactiva de riesgos. Concretamente, el sistema proporciona un mapa térmico (heat map) de los puntos vulnerables propios de cada configuración del sistema. Ello permite realizar con facilidad una comparación visual de las distintas opciones posibles. Genera una lista de recursos vulnerables, informa a los responsables de la ciberseguridad sobre sus probabilidades de recibir ataques, indica los tipos de ataques que podrían ocurrir y recomienda medidas para evitarlos. «El sistema simula ciberataques automáticamente, muestra todas las vías de ataque concebibles y especifica la probabilidad de éxito de cada ciberataque, así como el tiempo necesario. Entonces se recomiendan medidas preventivas, se compara la situación a priori y a posteriori y las mejoras logradas son objeto de seguimiento en el tiempo», señaló Schlottke. Ya se ha ensayado securiCAD en condiciones realistas y se ha confirmado que su funcionamiento sería el esperado. «Hemos obtenido resultados excelentes, y también valoraciones muy positivas de un cliente de pruebas, quien quedó muy sorprendido con la rapidez a la que logramos resultados en su entorno informático, muy complejo —aseguró Schlottke—. Conseguimos detectar riesgos y huecos en su arquitectura de seguridad, y aprovechamos la valoración recibida para mejorar la interfaz de usuario y también el aspecto y la facilidad de uso de la herramienta, con el fin de satisfacer no solo a técnicos de nuestro sector sino también a personas del ámbito puramente comercial». A diferencia de algunos métodos punteros, como las pruebas de penetración, securiCAD mantiene totalmente intacta la infraestructura informática del cliente durante los procesos de análisis y evaluación; por tanto, la empresa puede seguir funcionando sin alteraciones ni interrupciones. «Se ahorra así mucho tiempo y personal; tanto, que decidimos permitir al usuario que ejecutase pruebas proactivas con las que pronosticar los efectos de posibles cambios en la infraestructura informática. De este modo, se puede invertir el presupuesto remanente para seguridad informática en los aspectos que vayan a resultar más beneficiosos», señaló Schlottke para concluir.
Palabras clave
CYBERWIZ, securiCAD, infraestructura crítica, ciberseguridad, ciberataque, amenaza para la seguridad, vulnerabilidad, tecnología de la información