Ciberseguridad en las empresas 

Por: Oscar Jesús Jaramillo Zavaleta

Una de nuestras responsabilidades como CIO es el cuidado y la protección de información que tienen y generan las empresas. La Alta Dirección debe tener conocimiento de cómo se encuentra el estado de la infraestructura y procedimientos que protegen la información ya que es importante evitar la alteración, robo y exposición en las distintas áreas de la empresa identificando amenazas y riesgos en los sistemas y aplicaciones por ataques internos o externos.

Si bien no es necesario que la Alta Dirección conozca a detalle todos los procesos, si debe acompañarse de un experto que comunique y mantenga en buen estado la privacidad y protección de datos de la organización para hacer frente a los posibles ciberataques a la que está expuesta una empresa.

Sin importar el tamaño, la información es uno de los principales activos de cualquier empresa y el desconocimiento de los colaboradores en el tratamiento de datos es un riesgo que todas las organizaciones tienen.

Los casos de intrusiones a la infraestructura tecnológica y robo de identidad han ido en aumento a causa de diversos factores como el uso de nuevas tecnologías, compras por Internet y banca en línea.

La falta de capacitación y conciencia por los usuarios para la protección de los datos personales, de la empresa y financieros, aunado al desarrollo de técnicas más sofisticadas por los atacantes para la obtención ilícita de este tipo de información han abonado a hacer el medio digital más riesgoso, los atacantes quienes se aprovechan de Internet, y de la falta de precaución del usuario logran sus objetivos de forma casi inmediata.

Para logran que la información corporativa esté protegida, en primera instancia los colaboradores deben entender la protección de sus datos personales.

La protección de los datos corporativos, personales y financieros es una actividad fundamental que debe realizase con absoluta responsabilidad y conciencia, para ello es necesario definir un conjunto de medidas que deberán ser seleccionadas considerando lo siguiente:

Es indispensable que el colaborador identifique qué información pone en riesgo su identidad y su privacidad. Para poder hacerlo es necesario que conozca estas diferencias:

a) Dato personal: es toda información relativa a un individuo que lo identifica o que permite su identificación; origen, edad, lugar de residencia o cualquier tipo de trayectoria, académica, laboral o profesional.

b)  Datospersonalessensibles:sonaquelloscuyousoindebidorepresentaunriesgograve para la persona, que daña su intimidad o que lo hace sujeto de algún tipo de discriminación ya sea de origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencias sexuales.

c)  Datos financieros: es la información que permite conocer la composición o modificación del patrimonio económico de una persona en un momento o periodo determinado (estados de cuenta, transacciones y transferencias, saldos, número de cuenta, usuario y contraseña para el acceso en línea, etc.)

Una vez que el usuario conozca los principales riesgos a los cuales puede estar expuesta su información y las consecuencias que esto conlleva, como el daño en la reputación, ser víctima de agresiones o discriminación, convertirse en una víctima de robo de identidad para cometer cualquier tipo de fraude, mal uso o la afectación del patrimonio financiero, la empresa puede estar más tranquila ya que se crea conciencia y eso ayuda a la protección de cualquier tipo de información, no solo de la personal.

En el otro lado, el lado de la empresa y como comenté en un inicio, la Alta Dirección debería acompañarse de un experto en Ciberseguridad, no necesariamente debe ser empleado de tiempo completo, las empresas pequeñas o PYMES como se les conoce en México pueden contratar servicios externos que les asegure su información e infraestructura.

Ahora, ¿cómo se debe asegurar la infraestructura e información?

Para esto existen muchos marcos de referencia, incluso para tipos de industria, estos marcos de ciberseguridad suministran información valiosa y útil en el diseño de los procesos de control y mitigación de riesgos de ciberseguridad.

A continuación, menciono algunos de los más usados:

Los marcos de la Organización Internacional de Estándares (ISO) ISO/IEC 27001 y 27002

Recomendable para organizaciones de todos los tamaños en cualquier industria que tengan presencia multinacional. El estándar proporciona orientación y recomendaciones para los SGSI organizacionales (sistemas de gestión de seguridad de la información). Está diseñado para ayudar a las organizaciones a identificar y administrar los riesgos para la seguridad de su información y proporciona un conjunto integral de controles para abordar esos riesgos.

NIST CSF (National Institute of Standards and Technology - Cybersecurity Framework) - Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología.

Está orientado para proteger infraestructura crítica como plantas de energía y represas de ataques cibernéticos. Sin embargo, sus principios pueden aplicarse a cualquier organización que busque una mejor seguridad. Es uno de varios estándares NIST que cubren la ciberseguridad. Como la mayoría de los marcos, el marco NIST de ciberseguridad es complejo y de amplio alcance.

COBIT (Objetivos de Control para Información y Tecnologías Relacionadas. En inglés: Control Objectives for Information and related Technology).

Este marco es similar al marco de NIST e ISO, ya que es un marco más general que la mayoría de las organizaciones pueden usar. También está enfocado en el negocio y orientado a procesos. COBIT a menudo es adoptado por auditores de empresas públicas y se utiliza como una herramienta de cumplimiento para Sarbanes-Oxley.

El Centro de Controles Críticos de Seguridad de Internet (CIS).

CIS funciona bien para organizaciones que desean dar pequeños pasos. Su proceso se divide en tres grupos. Se comienza con lo básico, luego se pasa a lo fundacional y finalmente, a lo organizacional. CIS también es una gran opción si necesitas un marco adicional que pueda coexistir con otros estándares de cumplimiento específicos de industria como NIST.

Los marcos de seguridad cibernética proporcionan una base para lograr una posición de seguridad sólida y evitar violaciones de información. Estos marcos deben emplearse como referencia y no como solución final teniendo en cuenta el enfoque de riesgos.

Si bien cada marco está integrado por controles, habrá que decidir cuáles son aplicables de acuerdo con las condiciones de la empresa y efectuar ajustes o adaptaciones en caso de ser necesario.

La adopción de un marco de referencia requiere dedicar tiempo y recursos; sin embargo, no necesariamente tenemos que hacerlo, una forma organizada de darle seguridad a la empresa y medir continuamente la efectividad es implantar algunos controles de seguridad establecidos por estos marcos.

A mi consideración estos sería los 10 controles que tenemos que establecer para cualquier tamaño de empresa e industria:

1.- Tener un inventario de activos.

Conocer de forma exacta la información de los activos de TI de la empresa, para qué son usados, las características, categoría, ubicación, qué usuario utiliza el activo, entre otros.

2.- Inventario de software.

Conocer con que software cuenta la empresa, en qué dispositivo se está instalado y la versión con la finalidad de saber si aún está en su vida útil, si es funcional o es necesario su reemplazo, actualización o baja.

3.- Implementar configuraciones seguras para todos los dispositivos, laptops, computadoras, equipos de red como firewalls, ruteadores, puntos de acceso inalámbricos.

Debemos prevenir la exposición de la empresa debido a una mala configuración en los dispositivos, configuraciones de seguridad débiles, con valores predeterminados en contraseñas, puertos abiertos que no se utilizan, privilegios de administrador excesivos, certificados mal configurados y procesos de autenticación defectuosos, son en general características que son explotadas por los ciberdelincuentes.

4.- Evaluación continua de vulnerabilidades y remediación.

La evaluación de vulnerabilidades no es un simple escaneo con alguna herramienta, es un proyecto de evaluación de una sola ejecución con fechas establecidas. En necesario contar con un especialista de seguridad de la información que revise el entorno corporativo e identifique las vulnerabilidades potencialmente explotables a las que está expuesta la empresa.

El resultado de esta evaluación nos proporciona un informe detallado que no solo enumerará las vulnerabilidades identificadas, también proporciona recomendaciones para su corrección.

5.- Contar con defensas contra vulnerabilidades y malware para el entorno y las aplicaciones.

Los programas antivirus y antimalware desempeñan un papel indispensable en este tema, aunque no son el único instrumento utilizado para determinar los ataques.

Cuando se trata de administrar riesgos de malware no se debe depender de una sola tecnología como única línea de defensa. Los métodos utilizados deben incluir un enfoque de niveles mediante mecanismos proactivos y reactivos a través de la red.

6.- Contar con procesos de respaldo de información y capacidad de recuperación de datos.

Debemos contar con procesos y herramientas utilizados para respaldar adecuadamente la información crítica con una metodología probada para la recuperación oportuna de la misma.

El objetivo de este control es asegurarnos que se realice una copia de seguridad automática de cada sistema al menos una vez por semana y en caso de un ataque, restaurar rápidamente la información, el sistema operativo y las aplicaciones desde la copia de seguridad.

7.- Límites y controles de acceso de red como puertos, aplicaciones, protocolos y servicios.

Los atacantes buscan constantemente y de forma remota servicios de red y dispositivos vulnerables y accesibles de forma remota. Muchas instalan y activan servicios automáticamente sin alertar a los usuarios o administradores.

Debemos limitar los servicios innecesarios para reducir las posibles exposiciones a ataques administrando el uso operativo de puertos, protocolos y servicios en dispositivos en red para minimizar las ventanas de vulnerabilidad disponibles para los atacantes.

En este control debemos incluir los controles para acceso inalámbrico, actualmente la mayoría de los dispositivos se conectan en una organización de esta forma, incluso los personales. Los puntos de acceso no seguros brindan a los atacantes un punto de entrada en el entorno tecnológico. Los métodos de ataque incluyen comprometer los dispositivos inalámbricos de los empleados y usarlos para ingresar a la red, así como colocar puntos de acceso inalámbricos no autorizados en la organización, proporcionando acceso sin restricciones a los intrusos.

8.- Contar con el uso de privilegios de administración y acceso.

Las empresas deben identificar sus activos más sensibles y críticos de la información menos sensible y de acceso público en su infraestructura. En muchos casos, los usuarios tienen acceso a todos o la mayoría de los activos críticos. Una vez que los atacantes han penetrado utilizando las credenciales de un usuario, pueden encontrar y exfiltrar fácilmente información importante, causar daños físicos o interrumpir las operaciones.

Es necesario contar con procesos y herramientas para la administración de accesos seguros a activos críticos de acuerdo con la asignación de qué personas, computadoras y aplicaciones tienen la necesidad y el derecho de acceder a estos activos críticos basado en una clasificación aprobada.

9.- Contar con un proceso de Gestión de respuesta a incidentes.

Las empresas en algún momento tendrán que lidiar con un ataque que rompa con éxito sus defensas. Por esta razón necesitan tener un plan para responder y gestionar un incidente de seguridad.

El plan debe incluir detalles sobre procedimientos, informes, recopilación de datos, responsabilidad de la gestión, protocolos legales y estrategia de comunicación. De esa manera, la organización podrá comprender, administrar y recuperarse.

La falta de un plan de respuesta a incidentes podría resultar en que un ataque no sea detectado o en una respuesta no efectiva ante un incidente.

Este plan nos permite proteger la información de la organización y su reputación, mediante el desarrollo e implementación de una infraestructura de respuesta a incidentes (planes, roles definidos, capacitación, comunicaciones, supervisión administrativa) para descubrir rápidamente un ataque y contener de forma efectiva el daño, restaurando la integridad de la infraestructura y los sistemas.

10.- Realizar pruebas de penetración y ejercicios de vulnerabilidad.

¿De qué forma podemos saber que nuestra empresa es o no vulnerable?

Haciendo ejercicios de penetración y vulnerabilidad. Estas pruebas técnicas nos ayudan a identificar las vulnerabilidades de ciertos elementos en la estructura de TI. El objetivo es encontrar las debilidades imitando ataques que ayudan a determinar qué tan lejos puede llegar un atacante.

Una prueba de penetración debe ser periódica, por lo menos cada año para evitar la pérdida de información; la frecuencia con la que se realiza este tipo de pruebas depende de la evaluación de riesgos y la estructura de la empresa. Esta evaluación permite saber qué tanto pueden afectar los sistemas e infraestructura en caso de un ciberataque real.

Actualmente la ciberseguridad debe ser prioridad en cualquier empresa, hay una nueva realidad, entre más usuarios y dispositivos estén conectados, los riesgos asociados a fraudes electrónicos y ciberataques serán un dolor de cabeza. La poca planificación, cultura cibernética y escasa inversión en ciberseguridad, traerá consecuencias tecnológicas devastadoras.

¿Es costoso? Depende de cómo se vea. El objetivo de la ciberseguridad es reducir el riesgo frente a agentes externos que traten de acceder sin autorización.

La pregunta que debes hacer es ¿Cuánto cuesta mi información? Dinero, tiempo, esfuerzo reputación y trabajo de todos los empleados. 

Fuentes:

ISACA, NIST, Cisco, Microsoft, CIS