¡Perfecto! Pensamos igual
Pues después de meditar por unos segundos que me parecieron eternos, tuve una conclusión, previamente me obligué a detener emociones y pensar de manera más fría, la conclusión llegó lentamente.
¿Y si esto es parte de la prueba del puesto?
No es que la hubieran maquinado expresamente, pero …
“En el negocio digital el aspecto técnico-operativo ES EL NEGOCIO de cara al cliente”
Algún CEO debió decirlo
El razonamiento que tuve fue simple, mi jefe debe saber esto ahora mismo, sino como reacciona en caso de que le pregunten “de más arriba” es un negocio digital y esto afecta en caso de que se filtre en las demás áreas o en la prensa, redes sociales, o que se convierta en un rumor mal informado.
Tomé el valor que me he reservado para este tipo de eventos, me indique para mis adentros “esto es parte de ser el responsable” y me fui a verle y, en los 3 minutos que me llevó llegar a su oficina, practique mentalmente las palabras de apertura de la conversación, para indicar mi postura.
Hola Martín – dije lo mas fuerte y claro que pude – vengo de una reunión con Rodrigo y el director de seguridad del banco, ocurre que una empresa de seguridad ha hecho un ataque para detectar las vulnerabilidades de los canales digitales y ha encontrado la manera de ingresar a nuestra red local – y guardé silencio una vez terminadas las frases – Me había propuesto actuar dependiendo de su reacción, si me regañaba guardar silencio y escuchar, si se preocupaba mucho esperar el reproche y y buscar en sus palabras algún apoyo para salir a flote, si me mandaba con mi mentor … mala señal: ¡Héctor no estaba listo para el cargo!
¿Y cual es el impacto? – preguntó
Le respondí que eran los flancos los que nos habían atacado y a continuación – al ver su tranquilidad – le detalle las lecciones aprendidas a la velocidad prudente para decirlas todas y a la vez necesaria para no enredar las palabras.
Asintió con la cabeza – en señal de aprobación – y me mandó con la gente de operaciones a resolver el aspecto técnico, me dijo que gracias por avisarle y revisa todo – ordenó – para asegurar con el equipo de operaciones que ya no se tienen las vulnerabilidades – fue su señal de despedida –
Salí mucho más tranquilo, felicitándome por mi decisión y acudí directo con operaciones del banco, la persona que me atendió en los años que llevaba en la empresa, nunca tuvimos precisamente empatía en el día a día, sin embargo ese día me miró y me dijo – ¿Estás bien Héctor?-
-Si claro respondí, todo bien, solo que tuve un problema y le detalle el tema del ataque
-¡Tranquilo! dijo alzando la voz, a tu Eduardo (mi mentor y jefe anterior) le pasó muchas veces (puse cara de sorpresa Eduardo nunca me lo dijo antes y yo era su mano derecha y el hombre de más confianza, por ello me recomendó para sucederle en el puesto, cuanto aprecio le sumaba ahora) y resolvió todas – sentenció –
-Lo revisamos no pasa nada, eso es cosa de todos los días – dijo como cualquier cosa –
[Párrafo técnico]
Y tomamos acciones, para encontrar la maldita webshell escondida en un directorio de imágenes del sitio, donde estaba con nombre de una imagen pero oculta en base64 para pasar los IDS y WAF.
[Fin del párrafo técnico]
El párrafo técnico quiere decir en lenguaje de gente decente que: Borramos un archivo, que permite realizar acciones en el servidor vía un navegador como un control remoto, pero disfrazado para saltar a los guardias de seguridad.
Ahí terminó la aventura primera de tantas … la lección más grande que he recibido al tener responsabilidades, en los años siguientes tuvimos mucho más trabajo y eventos de este tipo, no son tan relevantes ya que sabíamos los procedimientos y como actuar.
Cuándo me invitaron a buscar otros aires fuera del banco, dejé documentado el proceso con lecciones aprendidas para tales efectos, y te comparto algunas lecciones aprendidas que quizá te sirvan si te mueves en este mundo digital financiero, muchas gracias por leerme, y:
Para sumarte algo de valor, te doy mis lecciones aprendidas:
- Tienes que tener un plan de reacción y comunicación ante eventos de seguridad (para que no te pase lo que a mí), de cara a los equipos internos y al exterior de la organización en caso de ser necesario
- La continuidad del negocio es primero, la seguridad es un actor importante pero no el único
- La revisión de vulnerabilidades DEBE ser diaria, y dos o tres veces durante el día
- Se debe automatizar las acciones de revisión de vulnerabilidades
- Para ajustes en ambientes productivos, se debe contar con políticas y procedimientos de revisión de seguridad y vulnerabilidades
- Los flancos son un eslabón débil
- La configuración de cualquier software nuevo debe ser revisada como política para detectar vulnerabilidades
- Cada vez que se exponga una nueva salida a internet, debe tener una política asociada para determinar vulnerabilidades
- Los procesos de puesta en producción, deben seguir la política de 3 ojos: ¿quién desarrolla?, ¿quién publica? ¿quién certifica la seguridad? y con DevOps se DEBE automatizar por supuesto
- Los procesos de desarrollo, deben tener políticas de automatización de código seguro y vulnerabilidades
- El aspecto de seguridad debe ser revisado por terceros
- La seguridad es un actor importante del negocio
- A la seguridad NO se le teme, se le comprende, se le estudia y se asume cierto riesgo
- Los equipos de desarrollo, deben estar capacitados en esquemas de seguridad
- NUNCA se está 100% seguro, si lo crees ya tienes una vulnerabilidad
Espero aportar algo de conocimiento y ayuda en tu negocio, hay mas historias que esta en situaciones de seguridad, desde falsos positivos, de como virus cifran información y como llegaron a la entidad para ponerla en jaque, hasta situaciones de verdad complejas y donde hemos tenido que investigar el como … hemos hecho ingeniería inversa para lograr protegernos y entender los ataques …
Pero la lección mas grande que me llevo y te comparto, es la siguiente:
“En temas de seguridad, no importa cuantas herramientas tengas instaladas, ni cuantos procesos y políticas estén implementadas, ni el monitoreo proactivo del perímetro, el eslabón más débil siempre será el factor humano, pero siempre es buena apuesta hacer todo lo anterior (herramientas/ procesos/ políticas/ monitoreo proactivo/etc.”
Un intento de hacker
Muchas gracias por leerme, y te pido unos minutos más como un favor especial para darte mas valor, me ayudas a contestar la siguiente encuesta, me ayuda a saber más de que temas te interesan y como puedo contribuir a que sigas teniendo más temas interesantes.