¿Cuáles son los tres pilares de la ciberseguridad?


La ciberseguridad es un problema empresarial, no de TI. Las organizaciones deben fomentar una cultura de ciberseguridad defendida por la administración y respaldada por la tecnología, la gobernanza y la conciencia del personal.

Te puede interesar: ¿Cuáles son los tres pilares de la ciberseguridad?

¿Quién vendrá después de mí?
Contrariamente a la intuición, los ataques cibernéticos que acaparan los titulares, como la reciente  violación de datos de Blackbaud  y el  hackeo a Twitter,  pueden hacer que la alta gerencia y los ejecutivos de alto nivel se sientan seguros e inmunes a las amenazas cibernéticas. Si hay objetivos más grandes y mejores, ¿por qué los piratas informáticos prestarán atención a su organización?

Pero al igual que los delincuentes en el mundo físico, existen varios estratos de ciberdelincuentes. Hay criminales que llevan a cabo robos de diamantes y hay criminales que roban bolsos. Claramente, estos no son los mismos individuos. Es poco probable que los ciberdelincuentes que se dirigen a víctimas de alto perfil y valor se dirijan a la pequeña y mediana empresa (PYME) promedio.

Pero eso no significa que las pymes no tengan nada que temer. Todo lo contrario. Es posible que los niveles superiores del mundo de los ciberdelincuentes no lo consideren una víctima potencial, pero todos los demás ciberdelincuentes sí lo hacen. Es como una tienda de conveniencia que se siente segura porque la tripulación de Ocean's 11  nunca los detendrá. El hecho de que eso sea cierto no significa que puedas ignorar a todos los demás matones.

En el caso del ciberdelito, las amenazas más comunes, las que enfrentan las PYME todos los días, son independientes de las víctimas y no están dirigidas en absoluto. Si los ciberataques están automatizados y pueden afectar a suficientes pymes, los ciberdelincuentes seguirán ganando terreno.

Hay  30 millones de pymes  en Estados Unidos. En el Reino Unido, la cifra es de  5,9 millones. En Perú 1,9 millones, lo que representa más del 99 por ciento de las empresas. Por lo tanto, es posible que los ciberdelincuentes no se dirijan directamente a usted, pero todas las PYME y SMM están en su punto óptimo para las víctimas, y están atacando a tantas de ellas como les sea posible. Quienquiera que sea.

La mayor amenaza a la que se enfrentan las pymes es el malware. El malware es un software diseñado para realizar alguna acción en beneficio de los ciberdelincuentes o  actores de amenazas . El malware puede filtrar datos, capturar pulsaciones de teclas para robar credenciales de inicio de sesión o detalles de tarjetas de crédito, o puede ser ransomware. El ransomware cifra sus datos y exige un pago, generalmente en Bitcoin, para descifrarlos.

La herramienta preferida para propagar malware es el correo electrónico. El correo electrónico corrupto puede tener un archivo adjunto malicioso o puede contener un enlace a un sitio web de imitación fraudulento que se hace pasar por un sitio web genuino. Cualquiera de los dos infectará a la víctima.

Una organización necesita ver su ciberseguridad de manera integral. Está formado por tres pilares. Cada uno debe ser tan sólido como los otros dos, y deben combinarse para apuntalar una cultura empresarial orientada a la seguridad. Y el hilo conductor de todo es la gente.

Primer pilar: tecnología
La tecnología incluye las medidas y los sistemas de hardware y software que implementa para mejorar sus defensas y cerrar las brechas de seguridad. Pero la tecnología también incluye preocupaciones genéricas de TI, como la topología del diseño de su red. ¿Su red está segregada o completamente plana? ¿El malware podría atravesarlo sin restricciones o la segmentación lo contendría? La ingeniería básica de redes sólidas es el primer elemento de su pilar tecnológico. La ubicación acertada de enrutadores, conmutadores y firewalls configurados correctamente proporciona una base para que los complementos de ciberseguridad se asienten.

Todos los sistemas operativos y software de aplicación deben estar dentro de los períodos de soporte de los fabricantes. Todos deben estar actualizados, incluido el firmware de dispositivos como enrutadores y firewalls.

El uso de la encriptación para el correo electrónico y la encriptación de los discos duros de dispositivos portátiles y móviles es de sentido común y, dependiendo de su ubicación geográfica, puede ser obligatorio por la legislación local, como las Regulaciones Generales de Protección de Datos  (GDPR) de Europa  . El control de los dispositivos USB debe implementarse para satisfacer sus necesidades.

Por supuesto, tendrá al menos un cortafuego (en inglés firewall) . Los dispositivos modernos admiten adiciones de seguridad, como   suites de seguridad de puerta de enlace . Estos están diseñados para atrapar virus y amenazas de malware en el punto de entrada a su red. Por el contrario,   las suites de protección de punto final , que contienen paquetes antivirus y antimalware, intentan capturar las amenazas en las computadoras de su red. Ninguno reemplaza al otro, pero si solo puede tener uno, implemente la protección de punto final.

Las medidas de filtrado de correo electrónico y anti-spam reducirán drásticamente las posibilidades de que las amenazas transmitidas por correo electrónico lleguen, pero nunca son 100% efectivas. Puede ser muy difícil detectar y atrapar un correo electrónico fraudulento bien escrito, especialmente si no tiene un archivo adjunto. Los días en que los correos electrónicos fraudulentos estaban mal escritos y salpicados de mala gramática no han quedado atrás, pero ciertamente están en camino de desaparecer. Los ejemplos modernos son ingeniosos y muy convincentes.

Los sistemas de detección de intrusos (IDS) utilizan técnicas como recopilar y cotejar automáticamente los registros del sistema de los servidores y dispositivos de red, y analizarlos en busca de anomalías o comportamientos sospechosos. Esto se puede configurar para que ocurra periódicamente o, si el sistema es lo suficientemente sofisticado, casi en tiempo real. Un IDS también puede observar archivos clave del sistema dentro de los servidores, donde cualquier modificación sería un indicador de compromiso.

¿Cómo saber si todos estos pasos funcionan de manera óptima? Mediante pruebas de penetración ó pentest y agujeros de seguridad ó vulnerabilidad. Una prueba de penetración intentará sondear sus defensas desde fuera de su organización. Pueden incluir hasta miles de pruebas individuales, cada una diseñada para buscar una vulnerabilidad potencial específica. Un escaneo de vulnerabilidades es similar, pero se ejecuta en su red, dentro del firewall. Escanea todos los dispositivos conectados a su red, buscando vulnerabilidades como software y sistemas operativos desactualizados o sin parches.

Las pruebas de penetración y los análisis de vulnerabilidades deben ejecutarse con una frecuencia programada, y los resultados deben usarse para proporcionar un alcance de trabajos de reparación que deben ser atendidos. Cuando un actor de amenazas, o uno de sus escáneres automatizados, detecta una vulnerabilidad y aplica un exploit, usted tiene un compromiso en sus manos. Encuéntrelos y corríjalos antes de que lo hagan los actores de las amenazas.

Y no olvide las copias de seguridad. Realice copias de seguridad en una variedad de medios e incluya una copia de seguridad fuera del sitio en su régimen. La copia de seguridad en dispositivos de almacenamiento conectados a la red en las instalaciones permite una recuperación más rápida que desde las copias de seguridad fuera del sitio, pero las copias de seguridad fuera del sitio o fuera de las instalaciones proporcionan las soluciones de recuperación más sólidas. Entonces, haz ambas cosas. Un incendio o una inundación pueden hacer que sus instalaciones sean inaccesibles. Sin una copia de seguridad externa, quedará inoperativo y no podrá operar.

Las copias de seguridad de servidores basadas en imágenes, actualizadas constantemente, le permiten recuperar rápidamente un servidor porque también se realiza una copia de seguridad del sistema operativo, no solo de los datos. Algún software de respaldo puede convertir una imagen de respaldo en una máquina virtual, de modo que el respaldo pueda activarse en otro hardware, o como otra instancia de servidor en la nube, restaurando el acceso a su servidor caído en minutos, no en horas.

La replicación del servidor mantiene un servidor clonado actualizado que puede proporcionar una transición casi instantánea si el servidor principal muere. Con una infraestructura basada en la nube, esto es fácil de hacer.

Sea cual sea el tipo de régimen de respaldo que utilice, pruébelo. Ensaye escenarios de recuperación ante desastres.

Cuando el equipo de TI llega al final de su vida útil, asegúrese de que se lleve a cabo una destrucción segura de datos en las unidades para evitar la pérdida de información y datos por supervisión.

Segundo pilar: gobierno de TI
La gobernanza de TI es el conjunto general de controles que usted establece y aplica para gobernar el uso de todos sus activos de TI. Adoptan la forma de políticas y procedimientos que garantizan que su personal conozca y se adhiera a las mejores prácticas comerciales en materia de TI y seguridad. Además, las políticas y procedimientos específicos para  la protección de datos se  están volviendo comunes, si no obligatorios.

Sus procedimientos deben documentar y detallar las acciones necesarias para mantener, parchear y monitorear todos los elementos en la sección de tecnología. ¿Cómo se asegurará de que se hayan aplicado todos los parches de seguridad? ¿Cuál es el programa de pruebas de respaldo y cuándo se probó por última vez? ¿Cuál es su proceso para abrir un puerto en el firewall? ¿Existe un caso comercial documentado para que ese puerto esté abierto y se ha revisado? ¿Dónde se guardan esos registros?

Todas las actividades que rodean los componentes del pilar tecnológico deben estar consagradas en procedimientos, y esos procedimientos deben generar una pista de auditoría o registros.

La forma más común de autenticación sigue siendo la contraseña. ¿Tiene una política de contraseñas con pautas para crear contraseñas seguras? ¿Le dice al personal que no use los nombres, cumpleaños y otros datos personales de los miembros de la familia que se pueden obtener a través de investigaciones o ingeniería social? ¿Se aplica la complejidad siempre que sea posible, o la autenticación de dos factores es obligatoria cuando está disponible?

Una Política de uso justo enumerará qué es y qué no es un uso aceptable de sus activos de TI y telecomunicaciones. No se puede dar a la gente la excusa "Nadie dijo que no podía". Documente lo que está permitido y lo que no.

Es posible que necesite que el gobierno cumpla con una ley, reglamento o estándares como GDPR,  ISO 27001Privacy Shield o la  Ley de Privacidad del Consumidor de California .

Debe tener un procedimiento de violación de datos y un procedimiento de incidentes de TI, y ambos deben ensayarse.

Recuerde, si no está escrito, no es un procedimiento. Decir "Todo el mundo sabe qué hacer" no es un procedimiento, eso es conocimiento tribal. Significa que no hay gobernanza ni control en torno a esa actividad, y ciertamente no habrá una pista de auditoría.

Y obviamente, los procedimientos son completamente ineficaces si no se siguen.

Tercer pilar: conciencia del personal
Tu personal es el elemento más importante en la seguridad de tus sistemas y la seguridad de tus datos. Cyber-friction es el nombre del rechazo que puede recibir contra el cambio y cualquier paso adicional que se requiera para garantizar buenas prácticas de seguridad. Los cambios, las políticas y los procedimientos deben implementarse de manera informada e inclusiva, de modo que obtenga la aceptación y el apoyo del personal. Necesita que se den cuenta, y agradezcan el hecho, de que los pasos de seguridad están ahí para protegerlos tanto como a la organización.

¿Es razonable esperar que tu personal sepa cómo identificar correos electrónicos fraudulentos y otras formas de ataque sin la capacitación adecuada? Por supuesto no. Requieren capacitación en concientización sobre ciberseguridad y se debe completar al menos una vez al año. Cuanto mejor puedan detectar las amenazas, mejor podrán proteger a la organización. Muchos ataques de ransomware cierran empresas. Su fuerza laboral tiene un gran interés en garantizar que tu organización no esté expuesta a riesgos cibernéticos.

Una cultura orientada a la seguridad es aquella en la que su fuerza de trabajo está facultada para consultar cualquier cosa sospechosa, solo para estar seguro. Y poder hacerlo sin críticas. Cada falsa alarma o “Pensé que lo comprobaría, por si acaso”, es una indicación de que comprenden las amenazas y no están tomando atajos ni esperando ciegamente lo mejor.

Los valores en el lugar de trabajo como estos deben inculcarse en la organización de arriba hacia abajo. Estar demasiado petrificado para hacer su trabajo no le sirve a nadie. Pero la diligencia debida voluntaria, el sentido de compromiso y la comodidad de una gobernanza sensata son indicadores de la verdadera aceptación del personal.

Es gente, todo el camino hacia abajo
Empieza por arriba. La alta dirección debe comprender que todos son un objetivo. Deben apreciar los requisitos y el presupuesto de las defensas tecnológicas. La ciberseguridad sustenta la continuidad del negocio y la capacidad de mantener el comercio.

El fracaso no es una opción. El presupuesto cibernético será más barato que el caos causado por un solo ataque de ransomware exitoso. Recuerde que hay daño a la reputación, así como también financiero.

La tecnología defensiva se debe instalar, configurar, mantener y parchear. Por personas, guiadas por la gobernanza.

El personal debe utilizar un comportamiento sensato y contraseñas sólidas. La gobernanza proporcionará orientación y controles, pero alguien tiene que redactar las políticas y los procedimientos.

Se puede lograr una fuerza laboral empoderada que opere con mentalidad de seguridad, pero no sucede sin un plan de gestión para que esto suceda.

Realmente es gente hasta el final.


via

Publicar un comentario

0 Comentarios