Plan de mejora de la ciber resiliencia

A medida que más organizaciones mantienen más información en bases de datos digitales, y a medida que la dependencia del ciberespacio ahora afecta a todos los sectores de la vida moderna, aumentan los riesgos involucrados para todos nosotros.

El ciberdelincuente nunca ha tenido más que ganar, y nunca ha sido tan fácil ganarlo.

Para organizaciones de cualquier tamaño o tipo, los costes de una violación de datos, a corto plazo y las sanciones financieras por daños a la reputación a largo plazo son significativas.

Ahora ya no es suficiente con  implementar un sistema de seguridad de la información y luego sentarse, confiando en que nuestra información está segura.

Tampoco hay seguridad en la oscuridad: si tu organización tiene presencia en la web, entonces es vulnerable, incluso aunque no creas que sea un objetivo tentador.

Ya no es suficiente suponer que puedes defenderte de todo potencial ataque: debes aceptar que, tarde o temprano, un ataque tendrá éxito. La tradicional seguridad cibernética no es suficiente; la capacidad de una organización para identificar y responder a las brechas de seguridad son ahora un rasgo crítico de supervivencia.

Esto se conoce como ciber resiliencia y vamos a explicar en qué consiste y cómo elaborar un plan de mejora de la ciber resiliencia en nuestra empresa.

¿Qué es la ciber resiliencia?

En términos simples, la ciber resiliencia es una medida con la que una empresa puede gestionar un ataque cibernético o una violación de datos mientras continúa operando su negocio de manera efectiva.

Es probable que las infraestructuras de seguridad de TI utilicen la seguridad basada en políticas para defenderse de los ataques o para levantar una bandera cuando se detecta una amenaza.

Sin embargo, ¿se pueden llevar a cabo procesos comerciales críticos como la contabilidad, el servicio al cliente y el cumplimiento de pedidos durante una violación de seguridad?

Aquí es donde la ciber resiliencia puede ayudar.

El objetivo de la ciber resiliencia es garantizar que las operaciones comerciales estén protegidas y que una amenaza o incumplimiento no desmovilice a toda la empresa. Las amenazas pueden ser intencionales (piratas informáticos maliciosos) o involuntarias (carga de software fallida).

Diferencias con la ciberseguridad

¿Qué queremos decir con ciber resiliencia y cómo se diferencia de la ciberseguridad?

  • La seguridad cibernética es el estado de proteger su información del ataque de identificando riesgos y estableciendo defensas apropiadas.
  • La resistencia cibernética acepta que existe el riesgo de que un ataque sea exitoso por muy bien que estén preparadas tus defensas, y enfatiza en la importancia de la gestión de incidentes y la planificación de la continuidad del negocio.

La seguridad cibernética requiere compromiso. Para que tus sistemas sean completamente seguros, tendrían que estar bloqueados de tal manera que serían inutilizables, incluso por ti. El compromiso que debe aceptar es que, en las operaciones cotidianas, existe siempre un elemento de riesgo.

La ciber resiliencia es un enfoque más amplio que abarca la seguridad cibernética y resiliencia empresarial, y apunta no solo a defenderse de posibles ataques sino también a asegurar tu supervivencia después de cualquier ataque exitoso. Un enfoque efectivo para la ciber resiliencia es:

  • Asegúrate de que su seguridad cibernética sea lo más efectiva posible sin comprometer el usabilidad de sus sistemas.
  • Asegúrate de tener planes de continuidad de negocio sólidos e integrados, de modo que si un ataque tiene éxito, puedan reanudarse las operaciones normales lo antes posible.

Liderazgo para la ciber resiliencia

Menos del 50% de las empresas reconoce que su junta participa activamente en la estrategia de seguridad general, y muchos lo consideran un problema de TI en lugar de gestión de riesgos.

Es muy importante el liderazgo en el desarrollo de la ciber resiliencia. La dirección del negocio debe tomar parte en la construcción de ciber resiliencia. Establecer una estrategia de arriba hacia abajo para gestionar los riesgos de ciberseguridad y privacidad en toda la empresa es esencial.

Dado el impacto potencial que las infracciones de seguridad cibernética pueden tener en una organización y sus clientes, la falta de elaboración de un plan que recoja las disposiciones de seguridad cibernética y resiliencia podría constituir una violación de los deberes legales del director.

Minimizar los efectos de una violación aplicando principios de continuidad del negocio demuestra consideración de las consecuencias a largo plazo para la organización y ayuda a mantener el alto nivel de conducta que esperan sus clientes.

Como deber legal, esto ejerce una presión adicional sobre los directores y la alta gerencia. Como tal, el liderazgo en este respecto no es simplemente una buena práctica, es esencial.

Ciberseguridad e ISO 27001

El primer paso en un plan efectivo de seguridad cibernética es identificar y comprender los riesgos a los que está sujeta la empresa. Para ello debe realizarse una Evaluación de riesgos, pruebas de penetración y conocimiento de ciberataques.

Una vez que comprendas esos riesgos, puedes tomar medidas para controlarlos. Una de la medida más sólida es implementar un sistema de gestión de seguridad de la información (SGSI) que abarca toda la organización, tal como se define en la Norma internacional ISO/IEC 27001: 2013.

ISO 27001 garantiza la seguridad de la información a través de un enfoque coherente para toda la empresa que abarca personas, procesos y tecnología. Establece requisitos específicos sobre los cuales una organización puede ser auditada y certificada, dando a la organización un marco robusto para la seguridad de la información que asegura a los interesados ​​que se siguen las mejores prácticas. ISO 27001 te da la mejor oportunidad de garantizar la seguridad de tus sistemas.

Gestión de riesgos

La seguridad cibernética efectiva  se basa en una gestión de riesgos efectiva. Como cada vez más empresas integran servicios en línea y plataformas basadas en la web, los vectores de amenazas potenciales se multiplican y proliferan los controles necesarios.

Un enfoque débil para la gestión de riesgos a menudo conduce a un enfoque aleatorio para implementar la ciberseguridad. Los aspectos clave pueden ser descuidados a favor de soluciones tecnológicas que no representan adecuadamente la gama completa de amenazas y vulnerabilidades enfrentadas.

Por ejemplo, el 75% de las infracciones del Reino Unido producidas en el 2017 fueron el resultado de correos electrónicos fraudulentos, un riesgo contra el cual la tecnología proporciona solo protección parcial.

La gestión de riesgos debe reconocer que hay tres facetas para proteger los activos de información: personas, procesos y tecnología.

La identificación robusta de amenazas es esencial para desarrollar preparativos coordinados para defenderse, responder y recuperarse de una gama de posibles ataques. En la práctica, sin embargo, este enfoque a menudo no se adopta, con inevitables resultados negativos.

Una vez que se han identificado las amenazas, el siguiente paso es definir cómo se responderá a ellas. Con demasiada frecuencia, las organizaciones asumen una postura reactiva, pero no hacen nada para mitigar la interrupción que sigue al ataque. Para eso, necesitas resiliencia.

Plan de ciber resiliencia: continuidad del negocio y planificación de recuperación ante desastres

Los ataques cibernéticos exitosos pueden provocar serias interrupciones en las operaciones normales de los negocios.

La gestión de la continuidad del negocio forma la columna vertebral de la ciberresiliencia efectiva, asegurando que pueda recuperarse rápidamente y
con una mínima interrupción.

La norma internacional ISO 22301 especifica los requisitos para un sistema de gestión de continuidad de negocio (SGCN). Un SGCN incorpora un rango de continuidad a las medidas para garantizar que tu organización esté preparada para lo inesperado. La ISO 22301 es totalmente compatible con, y complementa fuertemente la ISO 27001.

La continuidad del negocio para los sistemas de información y comunicación puede ser mejorado a través de ISO/IEC 27031. Este estándar proporciona información detallada y valiosa sobre aspectos específicos de continuidad aplicables a los sistemas de información, perfeccionando su SGCN en una herramienta aún más poderosa para la defensa y recuperación cibernéticas.

Además de los estándares internacionales, hay una serie de pasos iniciales que una organización puede adoptar un enfoque formal para la ciber resiliencia.

Pasos y controles

Existen cinco medidas simples de seguridad cibernética que ayudan a proteger contra los ataques más comunes, proporcionando un primer paso asequible hacia controles más robustos.

Las cinco medidas de seguridad son:

  1. Cortafuegos de límite y puertas de enlace de Internet
    2. Configuraciones seguras
    3. Controles de acceso
    4. Protección contra malware
    5. Gestión de parches

Pasos para la ciberseguridad

El marco de los 10 Pasos para la Seguridad Cibernética establece un enfoque simple para el manejo del riesgo cibernético, ayudando a asegurar tu información y asegurar que tu negocio prospere.

Los diez pasos cubren:

  1. Un régimen de gestión de riesgos de la información.
    2. Trabajo doméstico y móvil.
    3. Educación y conciencia del usuario.
    4. Gestión de incidentes.
    5. Gestión de privilegios de usuario
    6. Controles de medios extraíbles
    7. Monitorización
    8. Configuración segura
    9. Protección contra malware
    10. Seguridad de red

Controles esenciales

Los 20 controles críticos están destinados a proporcionar un conjunto de acciones priorizadas para proteger contra una gran cantidad de vectores de ataque conocidos. Desde aspectos básico hasta acciones a nivel de organización, los controles se basan en cinco «principios críticos» que abarcan las lecciones aprendidas durante el desarrollo de estándares de seguridad cibernética:

  1. Aprende de tu enemigo: utiliza ejemplos del mundo real de ataques conocidos para desarrollar controles efectivos
  2. Priorización: comienza con los controles que brindan el mayor beneficio para la infraestructura y el menor gasto de recursos.
  3. Medición: asegúrate de que las métricas utilizadas para definir el progreso usen un lenguaje que sea comprensible para todos los interesados, desde los miembros de la junta hasta auditores, para que los cambios necesarios puedan ser identificados y priorizados.
  4. Monitorización continua: continuamente prueba, verifica y monitoriza tus defensas para asegurarte de poder responder a nuevas amenazas y garantizar la protección de la empresa.
  5. Automatización: usa defensas automatizadas para proporcionar métricas claras y de formato común para determinar su progreso en toda la organización.

Los controles están alineados para soportar marcos de seguridad cibernética como el NIST, el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), y reconocidos estándares de seguridad cibernética como ISO 27001, y con ellos puede establecerse un programa formal de ciber resiliencia.

Tipos

Estos controles se dividen en básicos, fundamentales y organizacionales. Son los siguientes:

  1. Inventario y control de activos de hardware
  2. Inventario y control de activos de software
  3. Gestión continua de vulnerabilidades
  4. Uso controlado de privilegios administrativos
  5. Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores
  6. Mantenimiento, seguimiento y análisis de los registros de auditoría.
  7. Protecciones de correo electrónico y navegador web
  8. Defensas de malware
  9. Limitación y control de puertos, protocolos y servicios de red.
  10. Capacidades de recuperación de datos
  11. Configuración segura para dispositivos de red, como cortafuegos, enrutadores y conmutadores
  12. Defensa de límites
  13. Protección de datos
  14. Acceso controlado basado en la necesidad de saber
  15. Control de acceso inalámbrico
  16. Monitorización y control de cuentas
  17. Implementar un programa de concientización y capacitación sobre seguridad
  18. Seguridad del software de aplicación
  19. Respuesta y gestión de incidentes
  20. Pruebas de penetración y ejercicios del equipo rojo

Marco de ciber resiliencia

Vamos a enumerar una serie de pasos que ayudan a tu organización a desarrollar medidas básicas de seguridad y resiliencia y a proporcionar bases sólidas para la eventual implementación de un programa de ciber resiliencia.

Estos pasos son los siguientes:

1. Identifica tus obligaciones de seguridad

Las leyes, regulaciones y contratos a menudo establecen estándares mínimos de seguridad, y el cumplimiento de estos requisitos debería ser el primer paso en el desarrollo de la seguridad cibernética.

Saber lo que tiene que hacer facilitará la identificación de los marcos que cumplen tus necesidades.

2. Comienza a implementar controles

Con un conjunto de requisitos mínimos identificados, la organización debe identificar e implementar una serie de controles básicos para proporcionar un nivel mínimo de seguridad.

Para muchas organizaciones, esto comenzará con los controles indicados anteriormente. Las organizaciones con un mayor sentido de sus capacidades podrían saltarse este paso y pasar directamente a establecer el núcleo de su función de resiliencia cibernética.

3. Implementar el núcleo del marco

Cualquier marco de ciber resiliencia efectivo debe ser sistemático para que los procesos de seguridad y continuidad se sigan de manera consistente y efectiva, y para que el marco pueda adaptarse a los nuevos desafíos.

Para los propósitos de ciber resiliencia, tiene sentido comenzar con los elementos de seguridad cibernética. La ISO 27001 contiene soluciones que se entienden e implementan ampliamente, por lo que es fácil buscar recursos y apoyo.

4. Expande la resiliencia y cubre necesidades específicas

Con una estructura formal y sistemática de seguridad cibernética, la organización puede protegerse con la continuidad del negocio y las funciones de respuesta a incidentes. Estas proporcionan la resistencia necesaria para sobrevivir a los ataques e incidentes que superan las defensas de la organización.

Algunas organizaciones también pueden ver el valor en la aplicación de procesos más rigurosos en torno a la seguridad en la nube o gestión de la cadena de suministro, o en áreas específicas de su industria.

5. Gobierno

El último paso es asegurarte de que el marco de ciber resiliencia permanezca eficaz. Esto requiere compromiso, apoyo e interés activo de la alta gerencia para asegurar que todos los aspectos del sistema se mantengan efectivamente.

Sin ese impulso, incluso las medidas iniciales más sólidas serán menos eficaces a largo plazo. La participación activa de la alta dirección es la clave para un gobierno exitoso.

Funcionamiento de la ciber resiliencia

La resistencia cibernética, cuando se pone en práctica, debe considerarse una medida preventiva para contrarrestar el error humano, el software y el hardware inseguros.

Por lo tanto, el objetivo de la ciber resiliencia es proteger activamente a toda la empresa, teniendo en cuenta todos los componentes inseguros de la infraestructura.

La resistencia cibernética ha evolucionado para incluir cuatro componentes principales: Protección contra amenazas, Recuperación, Adaptabilidad y Durabilidad.

Protección contra amenazas

A medida que la tecnología evoluciona, también lo hace la cantidad y el vigor de los ataques cibernéticos. Por lo tanto, la seguridad básica no ayudará a proteger la empresa.

¿Cuáles son los pasos que debe seguir una organización para protegerse en caso de una amenaza?

En primer lugar, la empresa necesita estar segura contra ataques de correo electrónico específicos. Es importante ir más allá del simple software antispam y antivirus e incorporar mecanismos de autenticación de DNS en el entorno.

No permitas una brecha en la seguridad del correo electrónico bajo el supuesto de que el equipo de TI tiene diferentes productos de terceros para la seguridad. Invierte en una solución única que pueda adaptarse al mundo de los ciberataques en evolución.

Una solución de detección y respuesta de punto final (EDR) puede ser la mejor opción para tu organización. Las herramientas de EDR funcionan monitorizando los eventos de punto final y de red y registrando la información en una base de datos central donde se llevan a cabo análisis, detección, investigación, informes y alertas adicionales.

La detección se facilita mediante el uso de herramientas de análisis, que identifican tareas que pueden mejorar el estado general de seguridad al desviar los ataques comunes y facilitar la identificación temprana de los ataques en curso.

Recuperabilidad

La capacidad de recuperación es la capacidad de una empresa para volver a las funciones comerciales normales después de un ataque.

Un ataque de ransomware bien diseñado puede cifrar todos tus datos, lo que te obliga a pagar un rescate a los atacantes o perder los datos. Siempre debes tener copias de seguridad periódicas y exhaustivas de tus datos en una red separada que pueda usarse para restaurar los datos borrados.

Similar a un simulacro de incendio, ejecutar una simulación de un escenario de violación de datos ayudará a fortalecer la ciber resiliencia. Sigue todos los pasos que tu organización tomará en caso de una violación. Es decir, cómo el equipo de TI escalará una posible violación de seguridad, se comunicará con los clientes, informará a las partes interesadas e informará a las agencias policiales.

Adaptabilidad

Debido a que los atacantes desarrollan constantemente nuevas formas de evadir la detección y crear nuevos planes de ataque, es importante que la infraestructura de toda la empresa pueda adaptarse y evolucionar para defenderse de futuras amenazas.

El equipo de seguridad debe poder identificar una violación de seguridad y responder rápidamente para evitar ataques. Además, debe haber un seguimiento de administrador incorporado para identificar a los usuarios infectados o en riesgo.

La adaptabilidad es un componente clave de la ciber resiliencia. Si el equipo de seguridad cuenta con educación para la conciencia del usuario, puede reconocer amenazas reales e incorporar la automatización para eliminar tales amenazas. La organización estará un paso más cerca de un sistema más ciberresistente.

Durabilidad

La durabilidad de la resistencia cibernética de toda su empresa está dictada no solo por su entorno de TI, sino también por la capacidad de la empresa de funcionar con éxito después de un ciberataque. El componente de durabilidad de la ciber resiliencia mejorará con las actualizaciones periódicas y las mejoras del sistema realizadas por el equipo de TI.

El objetivo principal de la ciber resiliencia es proteger todo el negocio. Dado que las consecuencias de una violación de datos pueden ser técnicas, sociales y financieras, es imperativo que todas las empresas prioricen la resistencia cibernética al integrar las operaciones comerciales con TI.