Pura vida estimados!
Comienzo este 2016 compartiendo con ustedes una serie de buenas prácticas en ciberseguridad. Espero les sean de utilidad.
Y aquí, el problema
El número de ataques cibernéticos exitosos, tomando por ejemplo a los EE.UU., han crecido 144% en los últimos cuatro años, y el resto del mundo está cerca. En ese mismo tiempo, el costo para la compañía promedio casi se ha duplicado. (Fuente: 2014 Cost of Cyber Crime Study)
En promedio, los APT persisten en la red desde siete meses antes de que sean detectados. Y el tiempo para resolver esos ataques una vez detectados, tienen un incrementado de hasta 45 días más. (Fuente: 2014 Cost of Cyber Crime Study)
Es obvio decir que las víctimas sufren pérdidas financieras, daños a la marca y daño a las relaciones con clientes. Solamente vean los casos del 2014-2015 de la banca nacional en Costa Rica.
La tecnología permite detectar y bloquear los ataques, pero la tecnología también debe ser aplicada por personal calificado a través de procesos de seguridad reflexivos y probados. Un programa de ciberdefensa y respuesta eficaz debe proporcionar estos procesos, administrados por un equipo de profesionales junto a un Chief Information Security Officer (CISO), que proporcione el liderazgo para planificar, ejecutar y mantener dicho programa.
Y ahora las buenas prácticas.
1. Realizar una evaluación de riesgos
Valore esto como un inventario de datos que podrían ser robados y servicios que podrían ser interrumpidos, junto con una estimación del costo que su empresa incurriría si esos activos estuviesen comprometidos.
- ¿Por qué?
- ¿Cómo?
- Factores de éxito
Considere la posibilidad de pérdida potencial de ingresos y el daño a la imagen.
Establezca prioridades para la protección y recuperación (desempolve su BCP).
2. Desarrolle un plan de seguridad empresarial
El plan de seguridad empresarial deberá contener tanto la estrategia, como la táctica para llevar a cabo la detección de amenazas, respuesta y recuperación.
- ¿Por qué?
- ¿Cómo?
- Factores de éxito
Enfóquese primero con las prioridades establecidas en la evaluación del riesgo.
Sea realista; el plan debe estar alineado con el presupuesto.
Revise y actualice toda la documentación regularmente.
3. Coloque a la gente correcta en el lugar correcto
Las personas cualificadas son la parte más crítica de su plan y de la seguridad cibernética, y son a menudo la parte más difícil de obtener. Debe identificar las habilidades y los niveles de habilidad que poseen, con el fin que sean idóneos ejecutar el plan de seguridad de la empresa. Hecho lo anterior, deberá establecer las funciones y responsabilidades de cada grupo e individuo.
- ¿Por qué?
- ¿Cómo?
- Factores de éxito
Busque gente con experiencia en las áreas especializadas de alta prioridad del plan: móvil, nube, seguridad de aplicaciones, etc.
Examine los certificados de alto nivel. Por dar un ejemplo, el más reconocido es el ISC2: Certifed Information Systems Security Professional (CISSP). Así se asegura que los profesionales tengan cierto nivel.
4. Despliegue sus defensas
Las tecnologías para defensa cibernética ofrecen una serie de funciones de seguridad interesantes: protegen los datos críticos con cifrado; detectan y bloquean los ataques que desean penetrar en la red; detectan brechas de seguridad, por lo que pueden responder rápidamente para proteger los activos; y permiten al staff de seguridad investigar dichas infracciones de actividad sospechosa. Al desarrollar el software en casa, también se pueden aumentar las defensas al incluir seguridad en el proceso de desarrollo.
- ¿Por qué?
- ¿Cómo?
La información de seguridad puede ser gestionada por medio de sus eventos en un Security Information and Event Management (SIEM), el cual acumula los datos de los logs y otras fuentes en todo el entorno de red, para correlacionarlos y analizarlos. Esto permite detectar patrones de ataque y ayuda al equipo de operaciones de seguridad a investigar y remediar dichos ataques.
- Factores de éxito
Implemente su defensa en capas que pueden bloquear los ataques en el borde de la red, detectar y detener las comunicaciones de malware dentro de la red; además de detectar y remediar las intrusiones exitosas.
Seleccione las soluciones de seguridad empresariales que aprovechan la mejor inteligencia de amenazas disponibles.
Recoja la mayor cantidad de datos del entorno que pueda.
5. Respuesta a incidentes
Cuando se produzca una brecha de seguridad (y ocurrirá sin lugar a dudas...) el plan de seguridad debe entrar en acción, para así proteger los activos críticos (como prioridad en su plan). El equipo encargado de llevar esta acción deberá: detener el ataque o al menos dar en cuarentena los sistemas afectados, resolver la vulnerabilidad explotada (remediar); recoger y preservar los datos que podrían ser utilizados como prueba en un proceso penal; comunicarse con los clientes afectados, empleados y otros para cumplir con las responsabilidades legales.
- ¿Por qué?
- ¿Cómo?
La acción más urgente para remediar es, detener el ataque. Ejemplos: arreglo de las vulnerabilidades en el código, bloqueando el ataque, o poner en cuarentena a los sistemas infectados. La retroalimentación posterior debe evaluar los daños, realizar cualquier comunicación necesaria, identificar las lecciones aprendidas y agregar lo aprendido en su plan de seguridad.
- Factores de éxito
Identifique y corrija las deficiencias en el plan.
Aplique técnicas forenses aceptadas en su país para preservar la evidencia.
Hay una frase que reza: "La mejor defensa en la ofensiva.". Yo la cambiaría por: "La mejor defensa es la que más se practica."
Saludos gente, nos vemos.