Ciberseguridad – Vulnerabilidad en la gestión de riesgos
Network Testing e Internal y External Pentesting
En la actualidad, el progreso tecnológico está presente en muchos ámbitos y sistemas, siendo un activo importante en el desarrollo de todas las empresas e instituciones, incluyendo los medios audiovisuales. Es por ello que la ciberseguridad debe ir a la par de este progreso, las amenazas que puedan originarse también están en constante evolución.
Telefónica Servicios Audiovisuales (TSA), junto a Telefónica Tech, son conscientes que toda acción y operación que se realiza en el mundo audiovisual puede sufrir amenazas o ataques y enfocan su misión en ayudar a las empresas a mejorar su postura en ciberseguridad. Para ello, se distribuye la labor en identificar, proteger, detectar posibles fallos y responder. Otros de los importantes puntos a tratar son la reducción de los riesgos, facilitar el cumplimiento de la normativa sobre protección de datos (GRPD europea y LOPDGDD) y mejorar la eficacia operativa de las compañías audiovisuales.
Dentro de las capacidades que se ofrecen en materia de ciberseguridad, una de las más básicas e importantes es la comprobación de la seguridad de la red del cliente, en la que se despliegan transmisores de ataque probando la infraestructura del cliente, el software y los empleados. Este porfolio está dividido en “Detección y Respuesta”, “Inteligencia sobre Amenazas” y “Vulnerabilidad en la Gestión de Riesgos”. Dentro del apartado de Vulnerabilidad, situamos dos métodos importantes a la hora de enfrentarnos a ciberamenazas, como son el Network Testing (Pruebas de Red) y el Internal and External Pentesting (Pruebas Internas y Externas de penetración).
Las organizaciones audiovisuales están cada día más conectadas a servicios en Internet, esto hace que sean objetivos muy atractivos a ciberdelincuentes.
La ciberseguridad de estos clientes está continuamente a prueba de los ciberdelincuentes: los atacantes simplemente escanean Internet buscando identificar objetivos vulnerables, sin la ciberdefensa adecuada y atacarlos.
Como punto de partida, los clientes deben conocer qué está mal y plasmarlo en un listado con prioridades, donde el objetivo es corregir de manera urgente la mayor cantidad de vulnerabilidades posibles.
Mediante el Network Testing, somos capaces de identificar las vulnerabilidades de seguridad con soluciones seguras y fiables, tras la detección se dan una serie de recomendaciones para asegurar la red de una organización.
Se realiza una evaluación a través de un perímetro de seguridad en “caja blanca” combinado con la metodología OSSTMM (Open Source Security Testing Methodology Manual, Manual de Metodología para el Testeo de Seguridad en Código Abierto) y los mejores escáneres automáticos disponibles.
Las fases de este testeo de red son;
Planificación, realización del análisis de seguridad y entrega del informe final.
El Compromiso que buscamos es:
- Proteger la infraestructura que esté orientada a internet.
- Escaneo de vulnerabilidades de servicios que se ejecutan en puertos abiertos para encontrar vulnerabilidades comunes.
- Prueba y verificación manual de servicios y explotación limitada de vulnerabilidades relevantes.
Respecto a otra de las acciones que podemos ejecutar para ayudar a nuestros clientes en materia de ciberseguridad audiovisual, ofrecemos el Internal and External Pentesting. Se trata de ejecutar escenarios de ataque multipaso y multivectorial que primero, encuentren vulnerabilidades y luego intenten explotarlas para adentrarse en la infraestructura de la empresa.
Se realizan mediante pruebas de “caja negra”, utilizando técnicas y herramientas OSINT (Open-Source Intelligence, Inteligencia de código abierto) y siguiendo la metodología OSSTM. Este testeo, puede ser ejecutado internamente (alguien de la organización, o un insider malicioso o simplemente un empleado negligente) o externamente (atacante remoto que se introduce en la red interna).
El test está dividido en fases:
- Pre-Engagement, en la que se determina el alcance, criterios de éxito, reglas de compromiso, revisión de vulnerabilidades y amenazas pasadas.
- Engagement, referida a la prueba de seguridad y en la que se consideran diferentes escenarios como, por ejemplo, qué hacer cuando se encuentran datos sensibles
- Post-Engagement, donde se vuelven a realizar pruebas de vulnerabilidad o se limpia el entorno, entre otras actividades.
Esta prueba es necesaria para evaluar la exposición de la empresa a las amenazas y vulnerabilidades, así como la capacidad de cumplir los requisitos normativos y probar las operaciones de seguridad. A parte, permiten a los clientes comprender y gestionar los riesgos de su entorno, identificar los puntos débiles ocultos y desarrollar medidas de seguridad eficaces.
Mediante el Network Testing y el Internal and External Pentesting se obtiene un reporte de alto nivel con información de gestión y revisión técnica detallada de las vulnerabilidades. Realizamos una reunión de Kick off para marcar el inicio del proyecto y una reunión de prueba con una presentación ejecutiva de las vulnerabilidades críticas y de alto nivel junto con una guía de acción sobre la remediación y las salvaguardias para el futuro, además de la repetición de las pruebas como punto final.
También, se da acceso a los cuadros de mando y a los flujos de trabajo de corrección a través del Portal del Cliente.
Asier Anitua Valluerca
Gerente Desarrollo de Negocio
Telefónica Servicios Audiovisuales