En la primera parte de nuestra entrevista con Juan Antonio Calles, CEO de Zerolynx y CSO de Osane, vimos cómo garantizar la seguridad de plataformas cloud y abordamos las amenazas actuales más relevantes para la ciberseguridad empresarial y cómo mitigarlas. En esta ocasión, Juan Antonio nos da las claves sobre conceptos como análisis forense digital, biohacking, SIRPs y ciber-resiliencia.

  • ¿Qué importancia tienen los análisis de digital forensics en el mundo empresarial?

Antes de realizar cualquier tipo de análisis forense digital, lo primero será conocer qué ha ocurrido, cuál es el objetivo del análisis y cuáles son los activos afectados. No actuaremos de igual manera para analizar una red Windows afectada por un ransomware, que para investigar cómo se ha interceptado una factura en una estafa del CEO. Debemos adaptar nuestra metodología a cada casuística particular. El análisis forense digital es una función básica en las empresas para contestar a preguntas como: ¿qué ha ocurrido?, ¿cómo o por qué ha sido posible? Y este análisis sirve no solo para examinar un incidente, sino también para aportar luz en litigios, empleados que sustraen información, amenazas llevadas a cabo a través del email corporativo, entre otros.

  • ¿Qué es el biohacking y qué aplicación podría tener para las empresas?

El término biohacking es una acepción muy abierta que puede hacer referencia a varias disciplinas y movimientos que van, desde la biología DIY, pasando por los grinders, que alteran sus cuerpos para añadir tecnología, hasta la nutrigenómica. Desde Zerolynx y en colaboración con Patricia Rada, doctora en bioquímica del Ciberdem (Centro de Investigación Biomédica en Red), estamos investigando para poder llevar a cabo el almacenamiento y ocultación cifrada de información en ADN. Es un estudio complejo en el que encontramos barreras difíciles de superar con la tecnología de la que se dispone a día de hoy. Hemos hecho pruebas sobre simuladores, y ahora desempeñamos pruebas reales sobre cepas de bacterias. Con los recursos adecuados, y viendo el interés de algunas organizaciones para que esto avance, creemos que en un par de décadas podríamos ver algún prototipo. Las posibilidades son casi infinitas, pero no es algo que veremos en empresas a corto plazo.

  • ¿Cuáles son los 5 pasos más importantes de un plan de respuesta a incidentes efectivo?

Antes de que ocurra un incidente, debemos contar con un plan de continuidad de negocio y el correspondiente plan de contingencia; debemos haber formado previamente a los empleados para que sean capaces de detectar el incidente y sepan reaccionar de una forma adecuada, de acuerdo a cómo se haya establecido a nivel corporativo.

El primer paso de un SIRP (Security Incident Response Plan) debe ser la detección y la alerta al equipo de respuesta ante incidentes. Ya que no se debe actuar de igual manera ante un ransomware, una estafa del CEO, o un incendio en el CPD, los empleados que hayan detectado el incidente, deberán facilitar al equipo de respuesta la máxima información, para que en un análisis rápido puedan determinar cómo actuar ante la amenaza concreta. A continuación, y para asegurar la continuidad del negocio, deberían aislarse los entornos afectados, y recoger las evidencias correspondientes para poder investigar el origen del problema más adelante y, de ser necesario, realizar un completo análisis forense que podría acabar en una denuncia si se detecta una acción maliciosa. En ese caso, previo a cualquier actuación sobre los activos afectados, debería garantizarse la correspondiente cadena de custodia y el clonado y firmado digital de los activos afectados, para asegurar la integridad de la información contenida. Posteriormente se escalará el incidente y, si es necesario, se notificará a las autoridades correspondientes. Finalmente, se deberían catalogar, registrar todas las acciones realizadas y lecciones aprendidas, de cara a mejorar ante posteriores incidentes.

Las compañías necesitan definir un responsable de seguridad de la información (CISO) con la formación adecuada, y proveerle de los recursos necesarios para realizar su trabajo. Esta persona necesita un potente equipo de profesionales a su cargo, que puedan trabajar tanto en los aspectos normativos y de cumplimiento de la ciberseguridad, como en todos los aspectos más técnicos y operativos. Existen numerosas tecnologías para la protección de los activos corporativos: sistemas de back-up, firewalls, sondas de prevención de intrusos, SIEMs, etc. Sin embargo, sin los profesionales adecuados todas estas medidas suelen quedar rápidamente obsoletas, mal parametrizadas y dejan de servir como una barrera de protección real frente a los criminales que cada día acechan a las compañías. Todas aquellas compañías que no tengan la capacidad de tener un equipo cyber de alta calidad, deberían contratar los servicios profesionales de empresas especializadas del sector. Un proveedor de confianza, con una protección que se adapte a lo que el negocio necesita, es una opción importante para las empresas que no tienen medios de seguridad propios.