Muchos pensamos que los problemas de ciberseguridad nunca nos afectaran, que una protección básica es suficiente y que nuestros usuarios no deben saber de qué se trata, bueno los que piensan de esta manera solo es cuestión de tiempo para verse afectado por un ataque por una brecha en la seguridad que se minimizó, desafortunadamente se darán cuenta cuando el problema sea más que evidente.
¿Qué hacer para prevenir?, ¿Estoy a tiempo de cambiar la configuración de seguridad existente?, ¡Nadie se dio cuenta!, ¿Debo seguir o corregir?, ¡Es muy caro!
Pues bien, hablemos un poco:
Concientizar de forma general, porque hemos visto que la cantidad de usuarios, dispositivos y recursos en las redes de la empresa están creciendo exponencialmente, reconocer que, con esta superficie de ataque en expansión, los activos, la propiedad intelectual, la reputación, el personal y los datos de los clientes de una empresa están en peligro.
En la práctica he visto que se llega a un cierto punto, un tanto irreal, claro, si no se planea la estrategia de ciberseguridad, de esta manera en el mercado laboral y comercial, no es de extrañar que la seguridad cibernética haya aumentado en importancia, si bien es cierto que muchas organizaciones están invirtiendo en soluciones técnicas muy sofisticadas, bajo la expectativa de que tienen todas las soluciones de seguridad de red implementadas con ello, hay empresas que si realizan un plan estratégico de ciberseguridad y las organizaciones que de plano no hacen más que lo básico, en este último, a mi parecer caen en un área de confort, no muy saludable, considero que no sería prudente volverse complaciente con la postura de seguridad.
En efecto, las soluciones tecnológicas son sin duda una pieza esencial del rompecabezas de la defensa, no obstante, pierden mucho de su robustez, si no tenemos una estrategia de seguridad de la información.
Como ejemplo, muchas organizaciones aún tienen que establecer una estrategia de seguridad cibernética proactiva:
- Un enfoque de seguridad reactivo y basado en incidentes.
- Su seguridad no cubre todas las brechas, lo que permite a los actores de amenazas superar las defensas de la red.
- No monitorea la postura de seguridad de la organización.
¿Por qué es importante un plan de seguridad de la información?
Entonces, un plan de estrategia de seguridad cibernética puede ayudar a reducir la cantidad de brechas de seguridad, por supuesto que sí, con ellos también podemos ampliar la visibilidad de las amenazas de seguridad y ayudar a cumplir con los requisitos de las políticas de la empresa, o auditorias, por decir algunos esquemas de requerimientos de seguridad de la información.
En mi experiencia, el plan debe ayudarnos e impulsar a todas las partes interesadas a comprender sus roles y responsabilidades de seguridad cibernética, asegurando que todos contribuyan con su parte para mejorar la seguridad de la organización.
Evaluar la Madurez de la Seguridad Cibernética
Las áreas de Tecnologías de la información deben evaluar la madurez de la postura de seguridad de su organización, recomiendo encarecidamente hacer esto utilizando un marco como el marco de seguridad de red NIST.
Un marco estándar puede ayudar a evaluar la madurez de nuestra organización en docenas de categorías diferentes, desde estrategia y gobierno hasta tecnologías de seguridad específicas y procesos de respuesta a incidentes.
Cuidado, la evaluación no debe limitarse a los sistemas de TI tradicionales; también debe cubrir la tecnología operativa (OT), Internet de las cosas (IoT) y los sistemas ciber físicos.
Después de realizar la evaluación, se debe determinar dónde debemos mejorar a la organización durante los próximos tres a cinco años:
Por ejemplo, si los ataques de inyección son la principal amenaza que hemos observado en nuestro ambiente, las prácticas de codificación segura y la seguridad de la capa de aplicación deben estar especialmente maduras.
Por otro lado, si el ransomware es una de las principales preocupaciones, es importante asegurarse de que las capacidades de copia de seguridad y recuperación estén maduras, sean ágiles, seguras y de alto rendimiento.
Panorama de amenazas
De esta manera, y no menos importante es la comprensión amplia del panorama de amenazas, para hacer esto, primero debemos comprender el entorno operativo de la empresa:
¿Quiénes son los clientes? ¿Cuál es el producto? ¿Quién se beneficia de la disrupción del negocio? ¿Qué amenazas podemos enfrentar? ¿Tenemos brechas de seguridad?
Las respuestas a estas preguntas ayudarán a comprender el panorama de amenazas y adaptarnos al entorno comercial más amplio.
Comprender a los atacantes, ¿algo muy difícil?, ¿será imposible? ¿Son piratas informáticos individuales, grupos del crimen organizado o atacantes patrocinados por el estado? ¿Qué tipo de recursos tienen? ¿Qué los motiva?
Saber esto nos ayudará a tener una ventaja para proteger el negocio de estas amenazas.
Lo más sencillo, la planificación de la incorporación y educación de los empleados
En el Informe de investigaciones de violación de datos de Verizon del año pasado, una encuesta encontró que el segundo tipo de ataque más común que resultó en la divulgación de datos fue el phishing, muy real, en dicho informe nos indica que el 33% de los ataques fueron de ingeniería social y el 28% involucró malware.
Es correcto, ¡Estos números son alarmantemente altos!, especialmente cuando más y más organizaciones almacenan varios puntos de datos sobre los clientes, incluidos datos financieros, información de contacto y contraseñas.
¿Qué buscan los atacantes?, pues a las cuentas con muchos privilegios, esta es una gran brecha de seguridad y son el objetivo principal de un atacante, ya que estas cuentas pueden aprovecharse para la filtración masiva de datos valiosos.
Incorporación de empleados
Para evitar privilegios innecesarios y frustrar posibles ataques de phishing, el plan de estrategia de seguridad cibernética debe incluir una lista de verificación de incorporación que garantice protocolos estrictos para el acceso a la red de un nuevo empleado.
La siguiente no es una lista exhaustiva, pero está lista de verificación tiene varias preguntas que podrían ser útiles al determinar un proceso de permiso adecuado:
- ¿Para qué departamento trabajará el empleado?
- ¿A qué recursos de red necesita acceder el empleado para realizar sus funciones laborales?
- ¿Quién es el jefe directo del empleado?
- ¿Se necesitan privilegios extendidos y para qué función laboral?
- ¿Es necesario el acceso físico a algún recurso?
- “Si la contratación es una transferencia, ¿qué recursos del puesto anterior ya no se necesitan?”
La última pregunta implica la incorporación de un empleado ya existente que se transfiere a un nuevo puesto, en la práctica, desafortunadamente, no se tiene una política para estos movimientos y el perfil del usuario acumula privilegios, sin duda, es otro problema real para las organizaciones y sobre manera para el área de TI.
Si nuestra estrategia de seguridad cibernética no incluye la revocación de privilegios cuando un empleado se transfiere, los atacantes pueden usar los permisos acumulados para realizar movimientos laterales a través de la red.
Recomiendo se realicen revisiones periódicas de los permisos de los usuarios para identificar cualquier privilegio innecesario que deba revocarse para garantizar que este problema no suceda, cuiden este punto, en la práctica es terrible esta práctica y preocupa que muchos no ven la brecha de seguridad que ello implica.
Políticas de cambio de contraseña
Bueno, algo tan sencillo se convierte en un problema grave de seguridad, el cambio de contraseñas por más variables y complejidad se configuren, siempre el usuario encontrará la forma de colocar algo de referencia a su usuario de red, de correo electrónico, fechas importantes, nombre de la empresa, departamento donde trabaja, etc., en este sentido lo mejor es hacer conciencia que una contraseña robusta tiene su finalidad de hacer un poco más seguro su acceso a los distintos sistemas de la empresa.
Veamos, la frecuencia con la que los usuarios deben cambiar sus contraseñas, es una condición que asegura la renovación de credenciales, aun cuando en algunos lugares estos cambios de contraseña obligatorios se consideran un concepto en extinción, la contra parte, el ciber criminal, pueden aplicar algo como los registradores de teclas que se pueden usar para capturar cambios de contraseña e identificar patrones de comportamiento del usuario para averiguar dichas contraseñas, incluso después de que se hayan cambiado, por lo que, las reglas de caducidad de la contraseña también deberán enterarse, por ejemplo: durante incorporación de los nuevos usuarios e incluirlo en plan estratégico de seguridad de información.
Un tema delicado que aún es cuestión de debate en algunas organizaciones es la educación de los empleados hacia el cuidado de la ciberseguridad, estoy consciente que no siempre es fácil cambiar los protocolos de seguridad cibernética dentro de una organización existente, cambiar la cultura en un paso, no es recomendable, por el contrario, es una tarea continua de concientización que exige a los integrantes de TI una constante actualización.
La comunicación efectiva da continuidad de protección cibernética, la cual proporcionará al largo plazo que se reduzca la brecha de seguridad que provoca la falta de información a los usuarios, este debe ser un objetivo de la organización.
Además de las estrategias de seguridad cibernética, se puede lanzar programas de capacitación para alertar a los usuarios para que puedan identificar señales de advertencia de phishing e ingeniería social.
En la práctica, se ha demostrado que la capacitación de usuarios reduce las tasas de clics de los enlaces de correo electrónico de phishing del 25 % en 2018 al 3 % en 2021, por lo que puede ser un componente crítico de una sólida estrategia a definir.
Aprovechar los puntos de referencia de seguridad y los estándares de cumplimiento
Establece los mejores estándares y enfoques hacia las regulaciones cibernéticas.
El marco NIST una hoja de ruta para que se comience con el desarrollo y la colaboración de seguridad cibernética, seguir este marco mantendrá a las organizaciones alineadas y controlan la forma en que las empresas protegen los datos, especialmente dentro de una industria específica, cubre las pautas generales que protegerán a la empresa en su conjunto.
Algunos otros marcos con los que deberíamos estar familiarizados:
- Familia ISO/IEC 27000: un marco internacional para la gestión de sistemas de seguridad.
- SOC 2: estándares de seguridad que supervisan los datos almacenados en la nube.
- CIS v7: pautas y estándares generales para el desarrollo de estándares de seguridad básicos.
- COBIT: un marco para el rendimiento de la producción que funciona bien con la ciberseguridad.
Desarrollar políticas de seguridad
Una de nuestras tareas en área de tecnologías de la información y la alta dirección de la empresa es establecer una política de seguridad de la información, como componente central de la estrategia de seguridad general.
Definimos entonces que, una política de seguridad es un conjunto de prácticas y procedimientos escritos que todos los empleados deben seguir para garantizar la confidencialidad, integridad y disponibilidad de datos y recursos.
Visto desde el área de TI, las políticas de seguridad describen lo que espera la empresa y cómo alcanzar esas expectativas y las consecuencias de las infracciones de la política, por lo que recomiendo dividir una política de seguridad en múltiples políticas más pequeñas, de esta manera, se puede hacer que las políticas sean más fáciles de administrar y más fáciles de entender para los usuarios.
Ejemplos de políticas de seguridad
Política de estaciones de trabajo:
Cómo los empleados deben asegurar sus estaciones de trabajo proporcionadas por la empresa, como lo es, usar software antivirus, bloquear la estación de trabajo cuando no esté en uso, usar contraseñas seguras y aplicar actualizaciones de seguridad.
Política de escritorio limpio:
Particularmente habla de la madurez laboral del empleado y cómo deben tratar su área de trabajo personal, desde luego que esto también puede aplicarse a los empleados remotos, cuidemos que los empleados no deben colocar a la vista documentos confidenciales, notas con contraseñas o información confidencial.
Política de uso aceptable:
Uso de herramientas digitales y de colaboración unificada, los empleados deben conocer los requisitos de la organización en términos de navegación permitida en Internet, uso adecuado del correo electrónico y las redes sociales, así como la transferencia electrónica de información confidencial.
Política de acceso remoto:
El medio de conexión y cómo se permite a los empleados acceder de forma remota a los recursos corporativos a través de VPN, SLVPN u otra tecnología, quién puede acceder a los sistemas corporativos de forma remota, los dispositivos que pueden usar y a qué sistemas o datos se puede acceder.
Debemos ofrecer un plan claro y detallado que estandarice la seguridad en toda la organización, debemos lograr pasar de la seguridad reactiva a la proactiva, asegurando que estemos listos y preparados para responder a diversas amenazas relevantes.
Views: 4