Responder una pregunta simple como ¿estamos seguros de ataques cibernéticos? desde el punto de vista de nuestra organización, conlleva siempre a respuestas complejas y elaboradas por parte del equipo responsable. Las empresas reciben cada día más ataques cibernéticos que deben ser gestionados por profesionales de la seguridad, entrenados y certificados para las tareas más específicas de su puesto.

Desde el punto de vista de la elevación de la seguridad dentro de una organización depende de las siguientes dimensiones:

1. Gente

2. Procesos

3. Tecnología

La respuesta a la pregunta planteada involucra la identificación de activos, evaluación de capacidades y determinación del nivel de resistencia a ataques cibernéticos que cada componente tiene, así como la implementación de controles técnicos, administrativos y físicos para proteger dichos activos.

¿Cómo elevar el nivel de seguridad de las personas?

Los responsables de la seguridad de la información de la organización no son los únicos que deben recibir capacitación sobre temas específicos de riesgos y amenazas, sino que se deben hacer esfuerzos generales para que todas las áreas reciban entrenamiento que les permita identificar y mitigar ataques de ingeniería social.

Todo el personal debe poder identificar los correos electrónicos maliciosos, mensajes en redes sociales y llamadas telefónicas ya que estas son parte de las herramientas y vectores de ataque utilizados comúnmente en nuestros tiempos, afectando la disponibilidad, integridad y confidencialidad de los datos de nuestra organización. 

Los especialistas de tecnologías de información, desarrolladores de aplicaciones y administradores de sistemas deben contar con cursos y entrenamientos especializados para diseñar, mantener, operar y mejorar los controles técnicos y aportar al sistema de gestión.

Existen cursos de capacitación especializada en el ciclo de vida del desarrollo, como la certificación Certified Secure Software Lifecycle Professional CSSLP, o la de Certified Cloud Security CCSP enfocada a la administración de ambientes en la nube, ambas de (ISC)2, así como entrenamientos técnicos enfocados en redes, sistemas operativos, arquitectura y aplicaciones como Security+, Cloud+ y Network+ de CompTIA.

¿Cómo elevar el nivel de seguridad mediante procesos?

Al comenzar a implementar un sistema de gestión de seguridad de la información, se debe documentar, implementar y medir procesos dentro de la organización. 

La política de seguridad debe definir de manera clara el uso aceptable y protecciones necesarias para operar de manera segura. Una vez que el personal interno conoce las amenazas y riesgos a las que están sujetos al realizar sus tareas diarias, es momento de definir las prácticas y controles que deben atender, desde el punto de vista de seguridad de la información, para la protección de datos.

El seguimiento a las actividades de los procesos, así como la generación de evidencias dará soporte a nuestro sistema de gestión. Se recomienda empezar con una política de seguridad que incluya por los menos los siguientes rubros:

1. Responsabilidades en seguridad de la información

2. Seguridad en recursos humanos

3. Gestión de activos de información

4. Control de accesos

5. Seguridad en redes, activos y aplicaciones

6. Incidentes de seguridad

7. Cumplimiento y sanciones

¿Cuál es el resultado después del robo de datos personales?

El día de hoy ambas organizaciones fueron víctimas de un ataque cibernético enfocado en el robo de datos personales para cometer fraudes mediante la suplantación de identidad. Los atacantes decidieron enviar un correo electrónico con una aplicación que les provee de acceso necesario a la red del cliente. 

Una política de seguridad de la información debe ser evaluada periódicamente, y su construcción debe ser colegiada en la alta gerencia, ya que su implementación requiere soporte, presupuesto y el desarrollo de capacidades por parte de la misma organización.

Los procesos de seguridad de la información nos ayudan a mitigar vulnerabilidades en nuestros sistemas, comunicaciones y ambientes mediante la estandarización de configuración, el uso de líneas base para aplicaciones y servidores, definición de contraseñas seguras y factores de autenticación requeridos y guías para realización de tareas como respaldos y actualizaciones de seguridad.

Los procesos nos deben indicar el objetivo, la frecuencia con la que tenemos que revisar su aplicación y métricos, configuración inicial, función esperada, los detalles para la ejecución periódica de las actividades relacionadas y los responsables de su ejecución.

¿Cómo elevar el nivel de seguridad mediante tecnología?

Definitivamente las herramientas de software y hardware a utilizar para lograr el objetivo de tener nuestra información y la de nuestros clientes y procesos segura, disponible, íntegra y confidencial son clave en la estratégia de nuestra organización.

El punto más importante para la elección de la tecnología y controles de seguridad adecuados es la mitigación y atención del riesgo asociado. Esto quiere decir que cada control técnico que se implementa en nuestra organización debe responder algunas preguntas:

1. ¿Qué riesgo se mitiga con la aplicación de dicha tecnología?

2. ¿Se cuenta con el entrenamiento y capacidad de implementación del control por parte del personal interno responsable?

3. ¿Se provee soporte técnico, actualizaciones de seguridad y notificaciones por parte del proveedor de la tecnología?

4. ¿El producto es confiable y cuenta con buena reputación?

5. ¿Cuál será el costo total de operación del control?

Conclusión

La afirmación ESTAMOS SEGUROS DE ATAQUES CIBERNÉTICOS requiere que todas las áreas de nuestra organización colaboren con la determinación y aplicación de controles tecnológicos como antimalware y detección de intrusos mediante el análisis del tráfico de red, correlación de bitácoras y cifrado, el seguimiento de una política de seguridad y los procesos claros para tareas que mitiguen riesgos y un programa de entrenamiento a toda la organización. 

Una estrategia que no cuenta con acciones en estas tres dimensiones, gente, procesos y tecnología, fallará al dar un dictamen objetivo y certero sobre la seguridad de la información de nuestra organización.

Por David Schekaiban, Director de Seguridad de la Información en código verde