27 Avr Director de Proyecto de Ciberseguridad
En este post quisiera describir uno de los últimos proyectos que he realizado para una importante empresa de la Comunidad Valenciana en el que core de su negocio se basa en el mundo online, en concreto en servicios prestados a través de un conjunto de servidores alojados en un importante CPD de Madrid. Estamos ante un Proyecto de Ciberseguridad donde la auditoria, detección de riesgos y realización del plan de acción resultan clave para el futuro y continuidad de negocio de esta empresa.
Director de Proyecto de Ciberseguridad
Formado en Master en Ciberseguridad y Hacking Ético, mi terreno más productivo es en la dirección y supervisión del equipo técnico que realiza el proyecto a mi cargo. En este caso conté con algunos hackers (éticos) y mis conocimientos en ISO27001, entre otras cuestiones, así como tener la capacidad de hablar o servir de traductor, de los idiomas que gerencia habla y que los técnicos hablan. Este último punto es FUNDAMENTAL para centrar el proyecto y alinearlo con lo que el negocio espera. Entendamos que el CEO no habla el lenguaje de mi equipo de hackers, pero al revés tampoco, en ocasiones es casi una traducción simultánea.
Los pasos realizados para este cliente fueron:
- Entender el objetivo de la auditoria de Ciberseguridad.
- Analizar la arquitectura de servidores que el cliente disponía, junto con sus tecnologías de virtualización, lenguajes de programación, portales web orientados al cliente, etc
- Planteamiento de las fases de la auditoria de Ciberseguridad.
- Visita al CPD del cliente para auditar los armarios, routers, switches, etc
- Hacking ético de las IP públicas.
- Hacking y descubrimiento de las vulnerabilidades dentro de su VPN.
- Informe de riesgos
- Informe de plan de acción.
Dado el éxito del mismo, ahora estamos ya planteando una segunda fase donde nos responsabilizaremos de la puesta en marcha de los resultados del plan de acción, priorizados, entre los que se encuentran cuestiones relativas con IPS, WAF, DMZ y otras cuestiones necesarias para securizar y dar continuidad de negocio a esta empresa.
Por último quisiera subrayar algunas cuestiones que pudimos llegar a evidenciar en la auditoria:
- Conseguimos averiguar mediante ataque de diccionario usuario y contraseña de administrador de ciertos Terminal Server.
- Conseguimos, mediante sniffer en red y contra routers, usuario y contraseñas de administración de electrónica de red.
- Vulnerabilidades graves de portales web.
- Extracción y robo (ético) de bases de datos de clientes.
Conclusión
Toda empresa que disponga de servicios expuestos a internet, véase Terminal Server, portales web, servicios web, ecommerce, etc está en riesgo y necesita ser auditada en términos de Ciberseguridad si no quiere tener problemas legales, de parada de servicio, etc La combinación de un Director de Proyecto de Ciberseguridad con un buen equipo de hackers seleccionado en función del tamaño de la auditoria, dispositivos y tecnología a auditar es fundamental para que tanto dirección de la empresa como el equipo técnico interno queden satisfechos. Mi gran ventaja es hablar el idioma de ambos mundos.
Si pensamos justamente en la Digitalización Empresarial o bien en un Plan Director TI, un Proyecto de Ciberseguridad es básico y fundamental.
Luis Vilanova Blanco. Interim Manager. CEO en www.ciberseguridad.com
Luis.vilanova@ciberseguridad.com