La paella de la evaluación en ciberseguridad
Pocos platos españoles son tan emblemáticos como la paella, que hunde sus raíces en la región de Valencia. Originada como comida de campesinos, se preparaba en los campos con ingredientes locales y con lo que la tierra ofrecía. Al igual que la sociedad ha ido evolucionando, así lo ha hecho este plato hasta llegar a ser todo un símbolo de la gastronomía española, y en un manjar apreciado por propios y extraños.
Dejaremos para otra ocasión los apasionantes debates que la paella genera en torno a su preparación: el tipo de arroz adecuado, los ingredientes “permitidos”, con o sin “socarrat” (arroz tostado en el fondo de la paella), etc. Centrémonos en lo importante: la paella reúne diversos ingredientes para crear algo delicioso. ¿Qué tiene que ver eso con nosotros? A eso vamos: el proceso de evaluación de seguridad en la ciberseguridad también amalgama diversos elementos para proteger la infraestructura TI.
Abordamos esta analogía a partir de los nueve puntos de fricción recurrentes entre los equipos técnicos y los clientes, que hemos detectado merced a nuestra experiencia en el sector, y que se repiten donde quiera que haya servicios como escaneos de vulnerabilidades y pentests. Estas fricciones son a menudo el resultado de una desconexión en la comunicación, lo que deviene en una mala comprensión mutua y una ralentización del trabajo. Se trata de desafíos que no solo son inherentes a nuestro trabajo, sino que reflejan problemáticas comunes en todo el sector de la ciberseguridad y el cumplimiento normativo. Hoy vamos a ponerle fin a esta desconexión entre cliente y proveedor con algo tan español, y a la vez universal, como la paella.
Lo habitual de una paella que se precie es que se disfrute en reuniones familiares y festividades, pues se trata de un plato que fomenta la comunidad y el acto de compartir. Es una ocasión perfecta para fomentar la conversación fluida y amigable en torno a una mesa con un proyecto gastronómico compartido. Bien se puede decir que esa misma conversación es la necesaria entre los departamentos y equipos de cliente y proveedor, para fomentar la colaboración y la eficiencia en las tareas a acometer. Algo que también bebe de un espíritu de proyecto compartido: trabajar juntos para asegurar y fortalecer la infraestructura tecnológica de una organización.
En BOTECH hemos elaborado un manual de prerrequisitos que compartimos con nuestros clientes al inicio de toda tarea de evaluación en seguridad. Pero para explicarlo para todos los públicos, hemos querido tomar esos 9 puntos de fricción para añadirlos como ingredientes de nuestra particular paella. Veamos, pues, cuáles son esos 9 ingredientes que nos permitirán quedar como auténticos chefs de la evaluación en ciberseguridad.
El primer punto de fricción entre departamentos tiene que ver con la definición clara y detallada de los sistemas, aplicaciones, redes, dispositivos y demás recursos tecnológicos que serán objeto de las pruebas. Es crucial especificar qué activos están incluidos en la evaluación, su localización y cómo se interconectan entre sí para asegurar una cobertura completa y eficaz de las pruebas
En nuestra analogía, el arroz es la base de la paella, al igual que el alcance e inventario de activos es la base de cualquier evaluación de seguridad, soportando y afectando a todos los demás componentes.
No se debería abordar una evaluación sin una representación visual de la red informática de la organización, destacando cómo los diferentes dispositivos se comunican entre sí, el flujo de datos y los puertos utilizados. Este diagrama es esencial para entender la estructura de la red y planificar las pruebas de seguridad.
El equivalente en la paella es el caldo, que da sabor y une todos los ingredientes, similar a cómo el diagrama de red conecta y da contexto a todos los componentes de la infraestructura TI.
Estas reglas constituyen el conjunto de políticas configuradas en firewalls y enrutadores que regulan el tráfico permitido o bloqueado a través de la red. Comprender estas reglas es fundamental para evaluar la seguridad de la red y así identificar posibles vulnerabilidades.
En la paella, el azafrán es esencial para darle su color y sabor característicos, igual que las reglas de cortafuegos y enrutadores son cruciales para definir el "color" y la seguridad de la red.
Este punto de fricción se refiere a la capacidad de conectarse e interactuar con los sistemas que son objeto de las pruebas, incluyendo la creación de cuentas de usuarios, implementación de MFA, configuración de VPNs, etc. Este acceso es necesario para realizar evaluaciones de seguridad de manera efectiva.
Si hablamos de efectividad, el pollo es uno de los ingredientes principales que aporta sustancia de cara al resultado final, al igual que el acceso adecuado es fundamental para realizar pruebas efectivas.
Una máquina de Salto es un sistema seguro que actúa como un punto intermedio entre el usuario y los activos de la red objetivo, mientras que la VPN facilita un canal seguro de comunicaciones a través de una red pública, como Internet, para el acceso remoto a la red de la organización. Cuando se abordan tareas de evaluación, los equipos técnicos deberían conocer al detalle la existencia de sistemas como los descritos.
En la paella, la capa adicional de complejidad y sabor, análoga a la capa adicional de seguridad y conectividad, vendría representada por el conejo.
Este cuestionario es un conjunto de preguntas o verificaciones específicas destinadas a evaluar el cumplimiento de los requisitos de seguridad de datos de la Industria de Tarjetas de Pago (PCI DSS) en entornos alojados en Amazon Web Services (AWS). No siempre aplica, pero si aplica es necesario que el equipo técnico esté al tanto de su existencia.
Un cuestionario sobre PCI en AWS asegura que se cumplan los estándares “frescos y relevantes” de la industria, de manera análoga a cómo las judías verdes añaden frescura y un toque de color.
El entorno de datos de crédito (CDE) engloba el conjunto de sistemas, redes y aplicaciones que procesan, almacenan y transmiten datos de tarjetas de crédito, enfocándose en la seguridad y protección de dichos datos.
Tienen una importancia crítica (pero no siempre atendida en las primeras comunicaciones entre clientes y proveedores), al ser elementos destacados que deben llamar la atención. Exactamente la función de unas gambas en una paella.
El pimiento rojo decora y distingue visualmente la paella, igual que la distinción de entornos ayuda a visualizar y organizar la infraestructura de TI.
Por “distinción” entendemos la diferenciación clara entre los entornos PCI y no PCI, así como entre producción y pre-producción, para garantizar que las medidas de seguridad sean apropiadas y específicas para cada entorno.
Implica el proceso de definir y documentar los rangos de direcciones IP y otros identificadores de red dentro de la infraestructura de TI, incluyendo los rangos asignados a diferentes segmentos de red, como subredes para desarrollo, producción y administración.
En la paella, el limón se añade al final y puede ajustar el sabor según la preferencia, de manera análoga a cómo la identificación de rangos permite ajustes finales y personalización en la evaluación de seguridad.
¿Listos para disfrutar? Ahora que ya sabemos qué ingredientes debemos usar, solo nos queda encender los fogones y aplicar, paso a paso, la siguiente receta.
Tras estos pasos, que reflejan los componentes críticos de la evaluación de seguridad, se logra una "paella de la ciberseguridad" auténtica y fiel a sus raíces, así como completa y efectiva. Una garantía de protección de la infraestructura IT de la organización.
No queda más que sentarse a la mesa, regar el manjar a preferencia de cada cual en sus copas, y brindar por una experiencia más segura y eficiente.