La seguridad de la información no es un tema que tenga como prioridad solo el personal de tecnologías de la información, ya se ha transformado en un tema recurrente en la agenda del consejo o de la gerencia, o al menos es algo que debería estar sucediendo, tomando en cuenta los incontables casos de ataques a organizaciones y secuestros de infraestructura que se han vuelto parte de las noticias cotidianas.
Y es que para algunas empresas y organizaciones el tema se vuelve complejo cuando no se cuenta con el conocimiento básico en estos temas y se piensa que teniendo una protección perimetral y una antimalware se encuentra resuelto el problema, y en realidad ya no es así de sencillo en nuestros tiempos donde la conexión a internet sucede los 7 días de la semana las 24 horas del día.
En este contexto sirva la presente publicación para proponer una lista de tareas (hay mucho más por hacer) que deberán poner en marcha las organizaciones de cualquier tamaño, antes de que alguna amenazas interna o externa provoque un daño aprovechando una vulnerabilidad desconocida por la organización
Política de seguridad
Podemos emprender acciones y tareas técnicas sin ningún rumbo, contar con mecanismos de generación de passwords, proteger accesos y una gran diversidad y que en muchos casos, estas acciones resultan repetitivas, aisladas pero sobre todo no controladas.
De ahí la necesidad de contar con un documento básico que establezca lo que se debe considerar en seguridad dentro de la organización, que los colaboradores conozcan que existe una forma de hacer las cosas, que se controlan, son medidas y que existe una mejora continua en su implementación.
Para organizaciones de pequeñas a medianas en un solo documento puede contener todo lo que se requiere, y para empresas más grandes o donde se requiera mayor detalle de un tema se deberán desarrollar políticas secundarias que detallen más cada tema en particular
Identificación de activos y análisis de riesgos
¡Protege todo lo que pueden atacar o causar un efecto negativo a nuestra empresa!, esta es una frase típica en las organizaciones y que en algunos casos, cuando no existe un encargado de seguridad, se es encomendada a personal de TI que no cuenta con un inventario actualizado de los activos de la organización, y menos dispone de un análisis de riesgos sobre esos activos, algunos de mucha importancia para la organización y otros no tanto; justo de eso se trata, saber que tenemos, si debemos cuidarlo, que tanto impacto puede tener para el negocio y ver como lo vamos a proteger
Seguridad con terceros
Podemos disponer de cierta seguridad dentro de la organización, pero es un hecho que se cuenta con relaciones comerciales con proveedores o colaboradores externos, ¿Qué pasa con ellos? ¿Sabemos cómo están protegiendo nuestra información? ¿Nos garantizan la CIA de la información?.
Si no estamos seguros de esto, debemos establecer criterios de tratamiento de la información que compartimos con los terceros externos, todo comenzando con un NDA y las condiciones de como será tratada la información de nuestra empresa por ellos y por supuesto basado en el tipo y grado de confidencialidad que se trate dicha información
Seguridad interna con los colaboradores
Hay que establecer mecanismos de protección al interior de nuestra organización, si bien hemos capacitado y concientizado puede no ser suficiente, debemos poner en marcha la implementación de un antimalware o una protección endpoint, si es posible un EDR que hoy en día hay soluciones en nube muy accesibles; establecer protección en navegación y acceso a aplicaciones o software no autorizado, y en caso de que la información sea clasificada como confidencial es necesario poner en marcha un DLP a fin de proteger la fuga de información
Concientización y capacitación
Por muchos casos sabemos que el eslabón más débil son las personas, y desafortunadamente para las empresas tenemos casos en que un usuario provoca sin darse cuenta un problema de seguridad, pero no solo los usuarios finales, debemos reconocer que muchos de los secuestros vía ransomware han sido ejecutados por los propios encargados de los servidores, ya que descargan software de sitios no controlados o bien aplican la famosa llave para hacer el crack del software y ahí comienza la pesadilla para la organización.
Por esto es importante desarrollar nuestro programa de concientización general para nuestros usuarios, pero también formar a quien administran la infraestructura tecnológica con temas relacionados son seguridad
Control de accesos
En los inicios de las redes empresariales, bastaba con controlar los accesos a los servidores e inicios de sesión, y un para de servicios aislados, pero actualmente los controles de acceso se han vuelto un tanto complejos de administrar si no se cuenta con una estrategia eficiente. Y es que debemos recordar que el control de acceso debe considerar: La identificación, autenticación, autorización, auditoria y el no repudio o responsabilidad; cada una de estas deben atenderse en los sistemas empresariales
Clasificación de la información
Las organizaciones donde no se establece la clasificación de la información tiene un grado muy alto de vulnerabilidad, al no controlar la información, carecer de clasificación y así de un responsable, coloca a la empresa en un escenario de alto riesgo. Una clasificación clásica de información puede ser del tipo: pública, interna, reservada, confidencial o altamente confidencial; la clasificación puede variar de organización a organización, pero lo que no puede quedar fuera es que exista dicha clasificación, así como los controles respectivos y los responsables del tratamiento de esta.
Copias de seguridad
Las copias de seguridad de datos han estado presentes de la misma existencia de las tecnologías. Los ataques a infraestructuras por ciberdelincuentes por Ransomware son el ejemplo clásico en nuestra actualidad y las consecuencias que se deben enfrentar sin un plan de respaldos; con la llegada de la infraestructura en nube hoy es mucho más sencillo contar con respaldos automatizados basados en nube, pero si hay problemas de servicios de internet y los respaldos en cloud no funcionan, entonces se debe tener siempre ese plan local de restauración de datos; este tema va completamente ligado al control e inventario de activos, a la clasificación por importancia de los mismos, así como la clasificación de la información, de esta manera nuestro plan de respaldos puede ser muy eficiente y no caer en el caso típico de respaldar todo, todas las veces, todos los días.
Protección de activos
Si ya tenemos un registro de los activos a través de nuestro inventario actualizado y hemos identificado los riesgos a los que están expuestos, es tiempo de protegerlos. Este tema es muy amplio y tiene una gran diversidad de soluciones y acciones de acuerdo al tipo de organización de la que estemos hablando, pero tratando de no equivocarme considero que lo esencial es establecer protecciones basadas en host, protección basadas en redes y protección basadas en factor humano, de estas hay muchas derivaciones y muchas tareas que hacer, pero considero que de estos tres topics podemos basarnos para un estado inicial de protección
Actualización de sistemas
Los sistemas operativos son uno de los principales objetivos de los delincuentes y basta con recordar la gran vulnerabilidad basada en el protocolo SMB en Sistemas Microsoft, dicho ataque denominado EternalBlue, que en 2017 puso de cabeza a las empresas de todo el mundo, ya que a través de exploits liberados masivamente se podía tener acceso al disco completo de los equipos sin que el antimalware fuera capaz de detenerlo.
Las vulnerabilidades del tipo ZeroDay son un tema recurrente, pero no tanto como las vulnerabilidades conocidas y que son explotadas «fácilmente» debido a que los sistemas operativos y software no es actualizado con regularidad y bajo un ambiente controlado
Control de acceso remoto
Aunque consideré anteriormente el control de acceso, hoy en tiempos de COVID y de trabajo remoto es indispensable tomar atención a este tema y no confiarnos en que la conexión VPN es la solución completa en este tema. Debemos tener en cuenta como sé proteger al endpoint, estar consientes que el usuario puede conectarse desde una red completamente casera y sin ningún tipo de control y que una conexión VPN no garantiza que el verdadero usuario sea el autorizado.
Pensemos que pasaría si esta máquina ha sido comprometida por un ciberdelincuente, ha vulnerado el sistema y obtenido el control total del equipo incluyendo la captura de las contraseñas del usuario y la VPN, activada por la madrugada con un control remoto y realizar la conexión «autorizada» a la red empresarial.
Definitivamente el control remoto es un reto que conlleva muchas tareas de monitoreo, detección, atención y labores de inteligencia en caso de intento de accesos no autorizados.
Plan ante desastres y continuidad del negocio
¿Estamos listos para atender un incidente de seguridad? ¿Qué pasa con nuestro negocio si sufrimos un ataque, hay un terremoto, una inundación o una pandemia?. Cualquier empresa pequeña o grande debe tener en cuenta que pasaría ante un escenario como el cuestionado. Todas las organizaciones deben contar con un plan de continuidad, seguir operando en un porcentaje aceptable, recuperarse en un tiempo que requiera el negocio y disponer de la mayor información en dicha recuperación. Estos planes pueden llegar a ser un dolor de cabeza para los encargados de tecnologías, procesos y otras áreas, pero en algún momento se debe comenzar en su implementación y madurarlo de forma que pueda medirse y mejorarse a mediano y largo plazo.
CONCLUSIONES
Solo he listado algunos de los ítems más importantes, sin embargo quedan muchos que considerar, y estos deberán ser tratados por las empresas a la brevedad, ya que las amenazas crecen día con día y no solo por lo que nos ha obligado a realizar la era COVID, sino que la transformación digital nos empuja no solo a poner en marcha soluciones de negocio basadas en tecnologías emergentes y disruptivas, también nos obliga a considerar un plan estratégico de seguridad basado en las prioridades del negocio y que este plan cumpla su objetivo de proteger los activos indispensables para las empresas.
Metodología de MITRE ATT&CK: Un Enfoque Integral para la Ciberseguridad El marco de MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ha emergido como uno de los modelos más importantes en la ciberseguridad. Proporciona una descripción...
En un mundo cada vez más interconectado, donde las amenazas cibernéticas son cada vez más sofisticadas y frecuentes, el papel del Chief Information Security Officer (CISO) se ha vuelto crucial en la estructura organizativa de las empresas. El CISO es el encargado de...
En una época en la que las filtraciones de datos y los ciberataques son cada vez más frecuentes, proteger la información confidencial nunca ha sido tan importante. Los métodos tradicionales de autenticación, como las contraseñas y los PINs, están resultando...