¿Qué es la higiene cibernética y por qué es importante?

Si bien los responsables políticos de los expertos en seguridad cibernética exigen mejorar la higiene cibernética, nadie sabe realmente lo que significa.

Tras las noticias de cada violación cibernética importante, los expertos en seguridad de todo el mundo recomiendan la necesidad de mejorar la ciber higiene.

Y no solo los expertos en seguridad, los responsables políticos y los gobiernos también piden más higiene cibernética.

Pero aunque muchos expertos lamentan la falta de higiene cibernética, no está claro qué significa realmente la higiene cibernética.

Lo que queda claro de todo esto es que no existe una acción singular que comprenda la higiene cibernética. En realidad, parece significar cosas diferentes, desde la administración efectiva de parches hasta saber no usar ciertos tipos de software, hacer copias de seguridad para evitar el acoso cibernético y detectar noticias falsas, y se aplica a diferentes personas, desde empresas y gerentes de TI hasta a Internet cotidiano para usuarios o niños.

Además, no está claro si estas actividades son importantes y, si lo hacen, cómo. Tener un concepto tan importante tan vagamente definido, ampliamente interpretado y, en su mayor parte, no probado, hace poco para mejorar la resiliencia cibernética.

Por eso vamos a tratar de definir aquí en qué consiste la higiene cibernética, su importancia y las mejores prácticas.

¿Qué es la higiene cibernética?

La higiene cibernética se basa en el concepto de higiene personal de la literatura de salud pública.

En un importante informe que examina las prácticas de higiene cibernética en varios países, la Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA) declaró que «la higiene cibernética debe considerarse de la misma manera que la higiene personal y, una vez que se integre adecuadamente en una organización, serán simples rutinas diarias, buenos comportamientos y chequeos ocasionales para garantizar que la salud en línea de la organización esté en óptimas condiciones».

Sin embargo, el informe encontró que no había consenso sobre lo que la higiene cibernética significaba o incluso implicaba. Varios países tienen sus propias recomendaciones, como el Marco de Seguridad Cibernética del NIST, pero no existe un único estándar o mecanismo comúnmente acordado para que una organización evalúe o demuestre la higiene cibernética.

Las buenas prácticas de higiene cibernética crean una postura de seguridad sólida, medida por una calificación de seguridad. Cuanto mayor sea tu puntuación de seguridad, mejores serán tus prácticas de seguridad y podrás evitar mejor las violaciones de datos, ataques cibernéticos, phishing, malware, ransomware, exposición de datos personales y otras amenazas cibernéticas.

En resumen, la higiene cibernética abarca el hardware, software, infraestructura de TI, capacitación en conciencia de seguridad cibernética y, cada vez más, los propios dispositivos de tus empleados.

¿Por qué es importante?

En el actual mapa de amenazas en continuo cambio, tiene más importancia que nunca establecer una rutina de higiene cibernética para impedir que los ciberdelincuentes causen violaciones de seguridad, instalen diferentes tipos de malware y roben información personal de tu empresa y tus clientes.

Muchas empresas confían casi exclusivamente en profesionales de ciberseguridad para realizar las tareas cotidianas establecidas para protegerse a sí mismas y a los datos confidenciales de sus clientes y usuarios.

Esto es un error. Cada empleado necesita comprender las prácticas básicas de higiene cibernética y su papel en la protección y el mantenimiento de sus sistemas y dispositivos de TI. Esto posibilitará una mejor respuesta a incidentes y ofrecerá mecanismos de defensa y efectivos contra ataques cibernéticos.

No importa si tienes 10 o 10.000 empleados, el mundo está cada vez más conectado y el tamaño y el impacto de las violaciones de datos está en aumento. Por contexto, ha habido al menos 34 violaciones de datos que han expuesto a más de 55 millones de personas.

Y no son solo las grandes brechas las que cuestan dinero, el coste medio global de una violación de datos ha crecido un 12 por ciento en los últimos cinco años a casi 4 millones de dólares.

Más allá de mejorar la seguridad, la higiene cibernética también puede ayudar a que tu hardware y software funcionen con la máxima eficiencia. Sin mantenimiento, los archivos pueden fragmentarse y los programas pueden quedar obsoletos. Los parches no solo reducen el riesgo de vulnerabilidades explotables , sino que también pueden introducir funcionalidades nuevas o mejorarlas.

Problemas de la ciber higiene

Es probable que tengas múltiples vectores de ataque que necesitan higiene cibernética. Todo el hardware (computadoras, dispositivos móviles, dispositivos conectados, discos duros y almacenamiento en la nube), programas de software y aplicaciones SaaS probablemente necesiten un mantenimiento regular y continuo.

Cada uno de estos sistemas puede volverse vulnerable con el tiempo a medida que surgen nuevas vulnerabilidades. Los problemas comunes de ciber higiene incluyen:

Pérdida de datos

Los discos duros, el almacenamiento en la nube en línea y las aplicaciones SaaS que almacenan datos confidenciales que no se respaldan o mantienen pueden ser vulnerables a piratería informática, corrupción, fugas de datos e infracciones de datos.

La mala higiene cibernética podría significar la pérdida de datos de otras maneras, aunque es posible que no se corrompan o desaparezcan, es cada vez más común extraviar los datos debido a la gran cantidad de lugares donde se pueden almacenar. Es por eso que la clasificación robusta de datos es importante.

Violaciones de seguridad

Las violaciones de datos son cada vez más comunes y costosas. El phishing , los ataques de whaling, la falta de gestión de la configuración y la mala seguridad de la red pueden conducir a la exposición de secretos comerciales e información personal. Esto puede provocar el robo de identidad del cliente, el espionaje industrial y una pérdida de posición en el mercado.

Software desactualizado

Las aplicaciones de software deben tener parches de seguridad aplicados regularmente para evitar vulnerabilidades conocidas. El éxito del gusano informático de ransomware WannaCry es un gran ejemplo de por qué parchear los sistemas operativos es una parte importante de la buena higiene cibernética.

Software de seguridad antiguo

El software antivirus y otro software de seguridad deben mantenerse actualizados para mantenerse al día con el panorama de amenazas en constante cambio. Además, puede resultarle útil invertir en monitorización continua de seguridad.

Mala o falta de gestión de riesgos de proveedores

Atrás quedaron los días en los que puedes pensar únicamente en la postura de seguridad de tu organización. Lo más probable es que varios de tus proveedores externos y proveedores de servicios tengan acceso a tus redes Wi-Fi o procesen datos confidenciales en tu nombre. Esta es la razón por la que la gestión del riesgo del proveedor es tan importante.

Mejores prácticas de higiene cibernética

Las mejores prácticas de ciberseguridad son realmente solo mejores prácticas de ciberseguridad. Los controles del Centro de Seguridad de Internet (CIS) para una defensa efectiva es un buen lugar para comenzar.

Los controles para una defensa efectiva se pueden dividir en tres grupos:

  • Básicos de CIS
  • Fundamentales de CIS
  • De organización CIS

¿Cuáles son los controles básicos de CIS?

Hay seis controles en los controles básicos de CIS, a saber:

  1. Inventario y control de activos de hardware: este control requiere que las organizaciones administren dispositivos de hardware en su red para garantizar que solo los dispositivos autorizados tengan acceso a áreas sensibles.
  2. Inventario y control de los activos de software: este control mitiga este riesgo al requerir que las organizaciones administren activamente todo el software en la red para que solo el software autorizado esté instalado y pueda ejecutarse.
  3. Gestión continua de vulnerabilidades: este control requiere que las organizaciones adquieran, evalúen y actúen continuamente sobre nueva información para identificar vulnerabilidades, remediarlas y minimizar la ventana de oportunidad.
  4. Uso controlado de privilegios administrativos: el principio de privilegios mínimos y otros métodos de control de acceso , como la autenticación de dos factores o la autenticación de múltiples factores, se diseñan para establecer procedimientos y herramientas para rastrear, controlar, prevenir y corregir el uso, asignación y configuración de privilegios administrativos.
  5. Configuración segura de hardware y software en dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores: las organizaciones deben establecer, implementar y administrar activamente la configuración de seguridad de dispositivos móviles, ordenadores portátiles, servidores y estaciones de trabajo utilizando procesos de gestión de configuración y control de cambios para evitar que los atacantes exploten servicios vulnerables y configuraciones. Esto debería incluir el uso de contraseñas complejas.
  6. Mantenimiento, monitorización y análisis de registros de auditoría: las organizaciones deben recopilar, administrar y analizar registros de auditoría de eventos para ayudar a la detección, identificación y recuperación de ataques.

¿Cuáles son los controles fundamentales de CIS?

Hay diez controles en los controles fundamentales de CIS, a saber:

1. Protección de correo electrónico y navegador web

Este control puede minimizar la superficie de ataque y las oportunidades para que los atacantes manipulen el comportamiento humano a través de su interacción con los navegadores web y los sistemas de correo electrónico.

2. Defensas de malware

Las empresas deben intentar evitar la instalación, propagación y ejecución de código malicioso al tiempo que optimizan el uso de la automatización para permitir la actualización rápida de la defensa, la recopilación de datos y las acciones correctivas.

3. Limitación y control de puertos, protocolos y servicios de red

Este control debe administrar el uso operativo continuo de puertos, protocolos y servicios en dispositivos en red para minimizar las ventanas de vulnerabilidad disponibles para los atacantes.

4. Capacidades de recuperación de datos

Las empresas deben utilizar procedimientos y herramientas para realizar copias de seguridad de la información crítica con una metodología probada para la recuperación oportuna.

5. Configuración segura de dispositivos de red, como cortafuegos, enrutadores y conmutadores

Las organizaciones deben establecer, implementar y administrar activamente la configuración de seguridad de los dispositivos de infraestructura de red mediante el uso de procesos de gestión de configuración y control de cambios para evitar que los atacantes exploten servicios y configuraciones vulnerables.

6. Defensa de límites

Los controles de defensa de límites detectan, evitan y corrigen el flujo de información que se transfiere a través de redes de diferentes niveles de confianza con un enfoque en datos que dañan la seguridad.

7. Protección de datos

Los datos confidenciales residen en muchos lugares. La protección de esos datos se logra mejor mediante la combinación de cifrado, protección de integridad y técnicas de prevención de pérdida de datos.

8. Acceso controlado basado en la necesidad de saber

Las organizaciones deben tener procesos y herramientas para rastrear, controlar, prevenir y corregir el acceso seguro a activos críticos de acuerdo con los derechos de control de acceso de personas, computadoras y aplicaciones en función de una necesidad o derecho previamente clasificado.

9. Control de acceso inalámbrico

Los controles de acceso inalámbrico son procesos y herramientas para rastrear, controlar, prevenir y corregir el uso seguro de redes inalámbricas de área local (WLAN), puntos de acceso y sistemas de clientes inalámbricos.

10. Monitorización y control de la cuenta

Este control requiere una gestión activa durante todo el ciclo de vida de las cuentas del sistema y de las aplicaciones (su creación, uso, inactividad y eliminación) para minimizar las oportunidades para los atacantes.

¿Cuáles son los controles organizacionales del CIS?

Hay cuatro controles organizacionales de CIS, a saber:

  • Implementa un programa de concientización y capacitación sobre seguridad: las organizaciones deben identificar el conocimiento específico, las habilidades de seguridad necesarias para apoyar la defensa de la organización, desarrollar y ejecutar un plan para evaluar, identificar brechas y remediar a través de programas de políticas, planificación, capacitación y concientización .
  • Seguridad del software de aplicación: las organizaciones deben administrar la seguridad de todo el software interno y adquirido durante su ciclo de vida.
  • Respuesta y gestión de incidentes: las organizaciones deben proteger su información y reputación desarrollando e implementando una infraestructura de respuesta a incidentes (por ejemplo, planes, funciones definidas, capacitación, comunicaciones, supervisión de gestión) para descubrir rápidamente los ataques y luego contener el daño, erradicar el acceso del atacante y restaurar la integridad de la red y los sistemas.
  • Pruebas de penetración y ejercicios de equipo rojo: las organizaciones deben probar su defensa general (tecnología, procesos y personas) simulando los objetivos y acciones de un atacante. Esto puede incluir pruebas de penetración en el sitio y fuera del sitio, evaluaciones de seguridad de la red y pruebas de implementación de políticas de seguridad de la información.

¿Cómo puedo medir mi higiene cibernética?

Las clasificaciones de seguridad son una forma excelente y cada vez más común de medir la efectividad de tu higiene cibernética.

Las clasificaciones de seguridad o clasificaciones de ciberseguridad son una medición dinámica, objetiva y basada en datos de la postura de seguridad de una organización. Son creados por una plataforma de calificación de seguridad confiable e independiente que los hace valiosos como un indicador objetivo del desempeño de seguridad cibernética de una organización.

Así como las calificaciones crediticias apuntan a proporcionar una medida cuantitativa del riesgo crediticio, las calificaciones de seguridad apuntan a proporcionar una medida cuantitativa del riesgo de ciberseguridad.

Cuanto mayor sea su calificación de seguridad, mejores serán las prácticas de higiene cibernética de tu organización.

A diferencia de las técnicas tradicionales de evaluación de riesgos, como las pruebas de penetración, los cuestionarios de seguridad y las visitas in situ, las calificaciones de seguridad se derivan de información objetiva y verificable externamente.

Las calificaciones se basan en el análisis de vectores que incluyen:

  • Susceptibilidad a los ataques de hombre en el medio
  • Certificados SSL / TLS inseguros
  • Configuraciones SPF, DKIM y DMARC
  • Seguridad de transporte estricta de HTTP (HSTS)
  • Riesgo de suplantación de identidad y phishing
  • Vulnerabilidades
  • Susceptibilidad al malware
  • Seguridad de la red
  • Puertos innecesarios de administración abierta, base de datos, aplicación, correo electrónico y uso compartido de archivos
  • Exposición a violaciones de datos conocidas y fugas de datos
  • Software vulnerable
  • Accesibilidad HTTP
  • Configuración segura de cookies
  • Resultados de cuestionarios inteligentes de seguridad

Reduce el impacto humano

Incluso con la mejor protección, no hay garantías de que tu empresa no sea víctima de un ataque de ransomware, violación de datos u otra amenaza de ciberseguridad. Por eso es tan importante reducir el impacto humano al automatizar las prácticas de seguridad siempre que sea posible.

Proporcionar inicios de sesión de doble autenticación que requieren contraseñas complejas, bloquear ciertos tipos de archivos y probar a los usuarios con sus conocimientos de seguridad son pasos que todas las compañías pueden realizar para proteger las redes diversificadas de hoy.

Para las empresas con escasez de profesionales en seguridad cibernética, estos pasos, aunque simples, pueden ser un desafío. Es por eso que es útil encontrar herramientas como el aprendizaje automático que puedan reaccionar y predecir comportamientos maliciosos por ti.

Con el aprendizaje automático y la detección basada en el comportamiento, puedes liberar a tu equipo de TI de procedimientos manuales exhaustivos.