Armatum es la plataforma del grupo tecnológico español ABAI para ayudar a las organizaciones a obtener una valoración económica cuantitativa del Riesgo Cibernético mediante una combinación de estándares, métodos estadísticos y simulación basada en el estándar Open FAIR™.
Se trata de una herramienta que puede revolucionar los análisis que se realizan a las empresas del riesgo cibernéticos, análisis que tradicionalmente duran meses, por otros mucho más precisos y reducidos en el tiempo. El cliente inmediato son las consultoras, integradoras, bufetes de abogados, aseguradoras, “todo aquel que necesita medir el riesgo y conocer las debilidades y las recomendaciones óptimas para reducción de pérdidas”, como explica Manuel Carpio, director de Ciberseguridad de Armatum, en esta video entrevista, quien añade al cliente final, que serían “todas las empresas cuyos servicios están basados directa o indirectamente en las tecnologías de la información. Allí donde haya un riesgo tecnológico que deba ser medido para ser tratado o transferido mediante una póliza de aseguramiento se puede aplicar Armatum, y lo va a hacer reduciendo significativamente los tiempos y simplificando el proyecto de forma rigurosa”.
Carpio subraya el valor de esta plataforma a la hora de relacionar el riesgo entre los departamentos de ciberseguridad y la alta dirección de la empresa, muchas veces incapaces de encontrar un punto de unión que sirva para que ambos entiendan la problemática con sus propios términos. “Yo personalmente la veo como la piedra Rosetta que encontró Champollion en Egipto, y que fue capaz de traducir los jeroglíficos en lenguaje entendible en el mundo actual. Digo esto porque precisamente uno de los problemas que resuelve la plataforma es ese desentendimiento que ha existido tradicionalmente entre los departamentos de TI con la alta dirección de la empresa, que no entiende de tecnología pero sí de problemas financieros y de riesgos operacionales. Y es que lo que hace la plataforma es hacer de una especie de Google translator traduciendo el riesgo tecnológico al riesgo financiero”.
Pero, ¿cómo funciona este producto? ¿Qué información y estándares utiliza para que ese análisis tenga validez? “La plataforma está basada en estándares y solo estándares internacionales sometidos a público escrutinio -explica el director de Ciberseguridad de la compañía-. No nos hemos inventado nada, como decía Steve Jobs lo que hemos hecho es unir los puntos. Hemos unido varios estándares que estaban hablando cada uno de una cosa y hemos desarrollado unos algoritmos como argamasa para producir el resultado del que hemos hablado. Estos estándares son fundamentalmente Open FAIR™, un estándar abierto, que está publicado, como corazón de la herramienta, del cálculo, pero este viene acompañado de otros estándares, como por ejemplo el modelado de las variables que forman parte de un sistema de información complejo (…) mediante simulaciones Montecarlo como si fuera un director de orquesta y cada uno de los instrumentos son las distintas variables estadísticas que intervienen, como por ejemplo la resistencia de un router a ser atacado, la probabilidad de error de un operador a la hora de escribir una contraseña, etc”.
A la hora de evaluar la calidad de Armatum, este profesional de la seguridad digital, con dilatada experiencia, no lo duda: “No hay nada mejor a nivel mundial. Hemos aunado las mejores metodologías científico-técnicas para la medición de los fenómenos de riesgo que se dan en un sistema de información. Estamos en el borde de la tecnología. No he encontrado ningún instrumento de medida de riesgo tecnológico mejor que Armatum”.
Entre los atributos de la herramienta, además de las ya citadas, cabría destacar las propias pruebas frente a ciberataques que, más allá de la información que se recoge mediante formularios, esta realiza: “No basta con que el usuario del sistema haga declaración de cómo se está operando el sistema, cuáles son las características de seguridad del sistema, qué tipos de medidas tiene desplegadas, etc., que es algo de lo que el usuario tiene declaración mediante una serie de formularios, pero es que además nosotros añadimos unas capas absolutamente transparentes e inocuas para ese sistema que consiste en la realización en paralelo de pruebas sustantivas, que son tres: un test de penetración (hacking ético desde el exterior), además hacemos una simulación de phishing y smishing, y un test de ciberinteligencia avanzado sobre esa empresa sobre redes abiertas, dark web y deep web, sobre posibles amenazas que se ciernen sobre esa empresa, sobre sus servicios o sobre sus directivos. Todas estas pruebas externas las hacemos de forma paralela a la cumplimentación de los formularios, y de forma inocua. Además, si el cliente lo desea, podemos hacer pruebas internas, también inocuas. Se trataría de un pentesting interno caja blanca sobre segmentos de usuarios y de servidores (no hacemos explotación de esas vulnerabilidades, solo tomamos nota); además soltamos un ransomware fake para medir la porosidad de la red interna; y nuestros consultores también hacen una revisión física del entorno para ver las condiciones de segmentación interna, de sistemas de protección física, de controles de acceso, etc. Todo esto lo hacemos usando una appliance propia, que no se conecta con el exterior, y que no necesita instalación en ningún sitio. Con todo esto, con las pruebas internas y las pruebas externas tenemos una idea muy clara de cuál es el grado de coherencia de los datos que se han suministrado en paralelo por parte de la organización acerca del estado de situación de las medidas de seguridad, es decir, no nos fiamos solo de aquello que se declara por parte del cliente, sino que hacemos estas pruebas como prueba del algodón de que lo que se está declarando es cierto y se corresponde con la realidad”.
El tiempo que Armatum tarda en realizar el estudio es otro de sus puntos fuertes, como explica Manuel Carpio: “La plataforma reduce a cuestión de días lo que sería un trabajo que hoy se tarda entre tres y cinco meses, con la intervención de muchos consultores con un alto grado de especialización. Armatum hace todo ese trabajo y finalmente genera un informe de unas 80 páginas, absolutamente adaptado a cada cliente, que recoge toda la bitácora de lo que ha sido el proyecto, las circunstancias específicas del cliente, la situación de sus contramedidas, de sus vulnerabilidades, de su organización, servicios, de sus posibles pérdidas, etc. Todo esto está recogido en ese informe que se saca en cuestión de días y lo puede hacer una persona sin demasiados conocimientos tecnológicos, porque precisamente todos esos conocimientos están concentrados en la herramienta. Nosotros somos el fabricante de la herramienta, pero quien tiene que operar con ella son esos consultores, esos integradores que habitualmente están en casa del cliente, que conocen sus circunstancias, y a quienes esta herramienta va a ayudar a reducir drásticamente esos tiempos necesarios y también ese sufrimiento en casa del cliente, porque la herramienta es totalmente online y no necesitas estar molestando, pidiendo que queden contigo, etc. Cada uno se conecta cuando encuentra huecos y contesta a sus formularios”.
En el video adjunto se puede ver la entrevista completa.