La compañía para la que se desarrolla este proyecto tiene actividades de Contact Center en la ciudad de Bogotá, ofrece servicios de atención a usuarios, fidelización de clientes, cobro de cartera, ventas, encuestas, mesas de ayuda para infraestructura interna de las compañías, servicios de back office y front office, para otras empresas de diferentes sectores.

De acuerdo con los tipos de actividades que la empresa desarrolla, la compañía se convierte en responsable tanto del manejo de información confidencial de los clientes de las empresas para las cuales presta los servicios, como del adecuado uso de las aplicaciones internas y de los canales de conexión a la infraestructura de sus diferentes compañías a las que atiende. Teniendo en cuenta lo anterior, muchos de los clientes actuales requieren que se establezca una conexión directa con sus aplicativos de negocio críticos, para realizar las gestiones que se contratan y de esta forma prestar un servicio de calidad.

La compañía debe regir su operación bajo el cumplimiento de las diferentes normativas generadas por el Gobierno Nacional, entre ellas la Circular 007 de 2018 (SFC, 2018) la cual involucra diferentes tipos de entidades del sector financiero (empresas vigiladas por la Superintendencia Financiera de Colombia (SFC)). Esta Circular define que “La ciberseguridad es el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas, con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad” (O4IT, 2019). Los numerales que hacen especial énfasis para el cumplimiento por parte del Contact Center son:

3.10 "El cumplimiento de las obligaciones y medidas establecidas en los contratos con terceros críticos, la adopción y el cumplimiento de políticas para la gestión de los riesgos de seguridad de la información y ciberseguridad."

4.1. "PREVENCIÓN: corresponde a los controles que se deben desarrollar e implementar para velar por la seguridad de la información y la gestión de la ciberseguridad. Con la prevención se adquiere la capacidad de limitar o contener el impacto de un posible incidente de ciberseguridad."

4.1.9. "De acuerdo con la estructura, canales de atención, volumen transaccional y número de clientes, monitorear diferentes fuentes de información tales como sitios web, blogs y redes sociales, con el propósito de identificar posibles ataques cibernéticos contra la entidad."

4.2. "PROTECCIÓN Y DETECCIÓN: incluye las actividades que se deben desarrollar e implementar para identificar la ocurrencia de un evento de ciberseguridad. Con protección y detección se permite el descubrimiento oportuno de eventos e incidentes de ciberseguridad y cómo protegerse ante los mismos."

4.3. "RESPUESTA Y COMUNICACIÓN: incluye las actividades que se deben desarrollar e implementar para mitigar los incidentes relacionados con ciberseguridad."

Así mismo, el impacto que podría causar la materialización de un incidente para este Contact Center puede afectar el cumplimiento de los SLAs pactados con los diferentes clientes, dando como resultado la penalización en dinero, en futuros contratos, perdida de imagen, entre otras. La inteligencia de amenazas puede contribuir a evitar que este tipo de situaciones ocurran, tal como se menciona en el informe publicado por la firma IDC (Report, content.fireeye.com, 2020).

Por otro lado, según la Cámara Colombiana de Informática y Telecomunicaciones (CCIT) para el 2019 (Colombia, 2019 - 2020), se registraron las siguientes estadísticas de ataques para las cadenas de suministros registradas en Colombia: 

·       54% de incremento en el número de incidentes, con respecto al 2018

·       80% de correos fraudulentos personalizados (spear phishing)

·       7994 casos reportados por acceso abusivo a sistema informático

·       2387 casos reportados como uso de software malicioso

·       37% en infección de sitios

·       30% de los ataques de Ransomware han sido dirigidos a Colombia a nivel Latinoamérica

·       612% crecimiento en los ataques de Malware

·       170 empresas reportaron ataques DDoS que consiguieron interrumpir sus servicios de cara a sus clientes

Los incidentes que se puedan ocasionar en los clientes representan un alto riesgo tanto para el Contact Center como para los otros clientes, los cuales deben generar acciones al interior de la compañía para asegurar su infraestructura y consigo la continuidad del negocio. Este tipo de acciones son clasificadas como reactivas puesto que se necesita que se genere un incidente para tomar una acción al respecto.

De acuerdo con el informe de TRUSID (TRUSID, 2019) “los Contact Center son los enlaces más débiles en la cadena de autenticación”, por lo que los ciberdelincuentes están dirigiendo sus ataques a este tipo de compañías ya que cuentan con información confidencial de clientes. TRUSID indica que “Los centros de llamadas son ahora el vector de elección para ataques criminales. Este año, el 51% de los encuestados de la industria de servicios financieros y el 32% de todos los encuestados reconocieron el canal telefónico como la fuente principal de ataques”.

La CISA (CISA, 2020) publicó un artículo alertando sobre las posibles amenazas a las que están expuestos los centros de comunicaciones, como por ejemplo los ataques de denegación de servicio de telefonía (TDoS). Tal como lo menciona la empresa SecureLogix (Securelogix, 2020), “el objetivo de este tipo de ataques es realizar una cantidad significativa de llamadas y mantener esas llamadas activas durante el mayor tiempo posible, para abrumar o al menos "obstruir" todo o una parte del sistema de voz de la víctima. Esto puede incluir circuitos troncales, teléfonos de emergencia, asistentes / agentes, un sistema de respuesta de voz interactiva (IVR), números de teléfono específicos o algún otro punto de estrangulamiento”.

Adicionalmente, los ataques cibernéticos a nivel mundial han aumentado con el paso del tiempo, ocasionando significativas pérdidas económicas, de reputación y tecnológicas en industrias de todos los sectores y tamaños, sumado a ello la falta de tiempo o de conocimiento del personal de seguridad para realizar investigaciones avanzadas.

De acuerdo con el reporte publicado por el equipo de X-Force IRIS de IBM - 2020 (Index, 2020), “más de 8.500 millones de registros se vieron comprometidos en 2019, una cifra que es más del 200 por ciento mayor que la cantidad de registros perdidos en 2018, debido a servidores mal configurados (incluido el almacenamiento en la nube de acceso público, las bases de datos en la nube sin asegurar y las copias de seguridad de rsync protegidas incorrectamente o los dispositivos de almacenamiento de área de red conectados a Internet abiertos) lo que representó el 86 por ciento de los registros comprometidos en 2019”.

El reporte de Mandiant – Fireye 2020 (Report, Deep Dive Into Cyber Reality Security Effectiveness Report, 2020), indica que el 53% de los ataques no fueron prevenidos o detectados, únicamente se generaron alertas del 9% de los ataques, en el 68% del tiempo de operación de las compañías, los controles desplegados no lograron prevenir o detectar ataques de ransomware, en el 48% de los eventos los controles desplegados no pudieron prevenir o detectar los ataques en algunas de sus etapas y en el 67% de los incidentes, las técnicas y tácticas de exfiltración fueron exitosas.

De acuerdo con los estudios realizados por la firma IDC (Future, 2018) , el proceso de inteligencia de amenazas ha contribuido a que los equipos de seguridad de TI sean 32% más eficientes, a la recuperación del retorno de inversión en un corto periodo de tiempo, identificación de amenazas 10 veces más rápido, detección del 22% de las amenazas antes de que impacten al negocio, 86% menos de indisponibilidad y una disminución en sanciones o multas por incumplimiento.

De igual forma, la inteligencia de amenazas ayuda a las empresas a detectar y analizar ciberamenazas de manera oportuna, permitiendo la gestión proactiva para la mitigación de estas por parte de los equipos de seguridad, lo que la convierte en una “parte fundamental de cualquier ecosistema de seguridad (amenazas, 2020), brindando un contexto que ayuda a las empresas a tomar decisiones sobre el estado de su seguridad a través de la identificación de tácticas y técnicas usadas por los atacantes.

Propuesta

Diseñar un esquema de aseguramiento proactivo basado en herramientas de código abierto (Open Source) para la gestión de nuevas amenazas en ciberseguridad para una empresa de Contact Center a través del modelamiento de procesos de seguridad y análisis de recursos económicos, humanos y tecnológicos necesarios para la implementación.

Objetivos específicos 

·     Identificar y definir las herramientas Open Source adecuada para automatizar el proceso de inteligencia de amenazas.

·     Diseñar el proceso para la gestión proactiva de nuevas amenazas.

·     Identificar los costos, tecnologías y las capacidades humanas para llevar a cabo el esquema de aseguramiento proactivo contra amenazas.

Modelamiento del proceso y herramientas tecnológicas

El ciclo de inteligencia de amenazas es un proceso continuo de cinco pasos llevado a cabo por equipos de Seguridad de la Información, para proporcionar a las áreas interesadas información relevante y oportuna de amenazas, vulnerabilidades y actores maliciosos, buscando la reducción del riesgo de materialización de un ataque. Los cinco pasos del ciclo son: dirección y planeación, recolección y procesamiento, análisis y producción, difusión y retroalimentación.

· Planificación y dirección: los equipos definen el propósito y los objetivos de una operación de inteligencia, conocidos como requisitos prioritarios de inteligencia (PIR por sus siglas en inglés Priority Intelligence Requirements). Los PIR reflejan lo que un equipo de inteligencia necesita identificar para satisfacer el propósito de la operación.

· Recolección y Procesamiento:  Los equipos de inteligencia determinan tipo de información y fuentes de datos que serán usadas. En este paso los equipos usan las plataformas de inteligencia de amenazas (TIP por sus siglas en inglés Threat Intelligence Platform).

Para la gestión de inteligencia de amenazas enfoque del proyecto, se identificó la necesidad de automatizar todo el ciclo del proceso propuesto de manera estandarizada a través de del uso de una herramienta para TIP y una para gestión de flujo de procesos.

o   Herramienta TIP: tiene la capacidad de consolidar, correlacionar, y clasificar la información de una manera estructurada para que sea fácilmente consumible, estas herramientas se usan para recolectar y utilizar de manera efectiva información sobre amenazas, vulnerabilidades, ataques y exploits.

En el mercado existen diferentes tipos de herramientas TIP, cada una con diferentes capacidades y bajo diferentes modelos de licencia, algunas de las evaluados en este proyecto son: OpenCTI, MISP, CRITS y CIF.

Para el desarrollo del proyecto, se seleccionó la herramienta OpenCTI, la cual cuenta con características como:

· Cuenta con plantillas predefinidas para correlacionar información de interés

· Creación de perfiles de las amenazas y actores de acuerdo con los intereses del Contact Center.

· Cuenta con panel de recomendaciones para aplicación de reglas y firmas para los dispositivos de control.

· Proporciona documentación muy extensa y completa, entre otras características.

o   Herramienta Flujo de Procesos: permite la creación de flujos de procesos a través de plantillas personalizadas, la selección y uso de analizadores de indicadores de compromiso de forma automatizada y la generación de reportes estadísticos en tiempo real.

Se evaluaron herramientas para este proyecto que cumplieran lo requerido, tales como: Cyphon y TheHive; la herramienta seleccionada es TheHive, teniendo en cuenta que también puede integrarse con OPENCTI.

·     Análisis y producción: Los equipos deben analizar la información correlacionada de la TIP de manera efectiva con el fin de extraer información de interés para el negocio y producir entregables de valor para la organización.

·      Difusión: Los equipos de Seguridad de la Información deben distribuir los informes de inteligencia a las partes interesadas que van desde analistas de SOC hasta líderes responsables de la asignación de recursos y establecimiento de prioridades estratégicas.

·      Retroalimentación: Las partes interesadas deben proporcionar retroalimentación del proceso aplicado al equipo de inteligencia para ayudar a afinar las iteraciones futuras del paso de análisis y producción.