12/10/2024

Comenzó la Zafra digital: Ethical hacking en EEFF

Comienza el tiempo de la cosecha. Se recogen todas las vulnerabilidades sembradas. Muchas casualmente, pocas…

cosechar

Tiempo de cosecha

Todos los años entre junio hasta septiembre y a veces hasta noviembre se genera lo que con el tiempo hemos llamado la ZAFRA DIGITAL. En este periodo de tiempo definido por ASFI, por cierto poco acertado dado todos los procesos que agobian al negocio y con plazo perentorio al 15 de noviembre se realizan los denominados SERVICIOS DE ETHICAL  HACKING O ANÁLISIS DE VULNERABILIDADES.

Idealmente:

  • Los Términos de referencia deberian ser resultado del análisis de riesgos
  • El proceso de contratación no debería pasar del segundo trimestre del año
  • La ejecución del servicio debería realizarse entre el 2do y 3er trimestre del año
  • El cliente debería realizar actividades de remediación de las vulnerabilidades que no impliquen inversión en recursos, reingeniería o cambio operativo significativo excepto cuando las vulnerabilidades sean MUY CRITICAS
  • La validación de remediación debería darse entre el 3er y máximo el mes de octubre correspondiente al 4to trimestre. Idealmente hasta el mes de septiembre.
  • El informe ASFI con el plan de acción respectivo debería estar terminado en el mes de octubre y aprobado para ser remitido hasta el 15 de noviembre
  • Los informes de ethical hacking deberían integrarse con los de auditoria de sistemas y buscar la causa u origen de las vulnerabilidades detectadas. No hacerlo esa generando la repetición de las mismas .

Definido en el RGSI de ASFI

  • RNSF – Recopilación de Normas del Sistema Financiero,
    • Título VII – Requisitos Mínimos de Seguridad,
      • Capitulo II: Reglamento para la Gestión de Seguridad de la Información,
        • Sección 3: Administración de la Seguridad de la Información,
          • Artículo 8: Análisis de Vulnerabilidades Técnicas

Espero que sea la ultima versión emitida!!

Que se entiende?

  1. Dice por lo menos una vez al año. Y en el 80% de los casos es así. La ley del menor esfuerzo.
  2. Los requisitos deberían ser resultado de un análisis de riesgos que se realiza cada año. Pero en la mayoría es lo mismo que el año anterior. En muchos casos ni existen requisitos. Algunas entidades asumen que el RGSI son los requisitos.
  3. El proceso debe estar amparado bajo un marco normativo interno. El contratante debe plantear las reglas mediante sus políticas de seguridad. Algo pocas veces visto y recibido.
  4. Sobre el personal. En algunos casos se muestra la foto del santito y se le reza. No se valida siquiera que exista. Los casos INTERNACIONALES. Inclusive en los nacionales, La Paz parece internacional. En desmedro del resto. Por supuesto que el costo afecta la posibilidad de contar con recursos dedicados al proyecto.

Que esperamos del cliente:

  1. El cliente cuenta con políticas y procedimientos para establecer las características de las pruebas, por ejemplo:
    • Horarios para pruebas de denegación
    • Escenarios para pruebas de caja negra y caja gris
    • Protocolo para entrega de información
    • Formatos de reportes
    • otros
  2. Las contrapartes técnicas tienen el nivel de autoridad y decisión suficiente para la ejecución del servicio.
  3. Los términos de referencia son consecuencia del análisis de riesgos, por tanto, la criticidad del activo y sus procesos de negocio ya están PREDEFINIDOS
  4. Los términos de referencia y la propuesta de servicio hacen el SLA como parte del contrato.

Zafra industrial

Cosecha manual

A veces no entendemos la lógica de acumular y multiplicar servicios tratando de generar una linea serial de producción. Tanto del lado oferente como del solicitante aceptan la cosecha industrializada por así decirlo para aparentar que se hizo un trabajo sofisticado. 

Existen proveedores industriales que te mandan un curriculum para persignarse, pero al momento de la verdad, no llega ni la caratula de lo ofrecido.

En estos casos recomendamos encarar servicios mas personalizados según las verdaderas necesidades del negocio. Por supuesto que si estas se lanzan en los 2 últimos meses, el resultado no sera el adecuado.

Hay oferentes que no multiplican este servicio de forma industrial y van mas a la calidad que la cantidad. Lamentablemente el mercado se ha prostituido y los costos han bajado significativamente. 

Gestión del Ethical Hacking

Compartimos algunas recomendaciones sobre malas practicas en este servicios que lamentablemente siguen manifestándose en el tiempo.

El modulo es parte del programa CISO. 

Autor / Redactor / Director