Pura vida estimados!
Comienzo este 2016 compartiendo con ustedes una serie de buenas prácticas en ciberseguridad. Espero les sean de utilidad.
Y aquí, el problema
El número de ataques cibernéticos exitosos, tomando por ejemplo a los EE.UU., han crecido 144% en los últimos cuatro años, y el resto del mundo está cerca. En ese mismo tiempo, el costo para la compañía promedio casi se ha duplicado. (Fuente:
2014 Cost of Cyber Crime Study)
En promedio, los APT persisten en la red desde siete meses antes de que sean detectados. Y el tiempo para resolver esos ataques una vez detectados, tienen un incrementado de hasta 45 días más. (Fuente:
2014 Cost of Cyber Crime Study)
Es obvio decir que las víctimas sufren pérdidas financieras, daños a la marca y daño a las relaciones con clientes. Solamente vean los casos del 2014-2015 de la banca nacional en Costa Rica.
La tecnología permite detectar y bloquear los ataques, pero la tecnología también debe ser aplicada por personal calificado a través de procesos de seguridad reflexivos y probados. Un programa de ciberdefensa y respuesta eficaz debe proporcionar estos procesos, administrados por un equipo de profesionales junto a un Chief Information Security Officer (CISO), que proporcione el liderazgo para planificar, ejecutar y mantener dicho programa.
Y ahora las buenas prácticas.
1. Realizar una evaluación de riesgos
Valore esto como un inventario de datos que podrían ser robados y servicios que podrían ser interrumpidos, junto con una estimación del costo que su empresa incurriría si esos activos estuviesen comprometidos.
Diferentes tipos de datos y recursos, representan diferentes costos para el negocio en caso de robo o equipo dañado. Por ejemplo, dependiendo de su nicho de mercado, la información de marketing puede que no sea tan valiosa para usted como los datos de los clientes. Ya que siempre serán limitados recursos de seguridad de la empresa, debe planificar su inversión y administrar sus recursos para ofrecer la mayor protección a los datos considerados críticos.
Haga un inventario de sus sistemas para identificar los datos que podrían ser robados y los servicios que podrían ser interrumpidos. Sobre la base de la cantidad y el tipo de datos, estime el coste para recuperar los datos o mitigar el daño. Considere siempre el peor de los escenarios.
Involucre a los stakeholders empresariales en el proceso de evaluación de riegos.
Considere la posibilidad de pérdida potencial de ingresos y el daño a la imagen.
Establezca prioridades para la protección y recuperación (desempolve su BCP).
2. Desarrolle un plan de seguridad empresarial
El plan de seguridad empresarial deberá contener tanto la estrategia, como la táctica para llevar a cabo la detección de amenazas, respuesta y recuperación.
Su plan deberá ser la guía para su inversión en tecnologías de seguridad y en la contratación de personal de seguridad. Deberá establecer procesos para la investigación de actividades sospechosas, protección de los recursos, y como responder a fallas de seguridad (
este punto es crítico por el tiempo que debería invertir). También es necesario establecer parámetros básicos para dar declaraciones a la mesa directiva, a los socios, a la prensa o a quienes corresponda, sin poner en riesgo los activos de la empresa y quien o quienes tendrán la responsabilidad de responder si se produce una violación a la seguridad.
Las organizaciones poseen diferentes procesos de planificación, sin embargo, en cualquier plan de seguridad empresarial deben participar tanto las partes interesadas y expertos funcionales de confianza, para establecer los objetivos correctos y definir con cuáles procesos van a ser alcanzados. Recuerde la máxima: "Si un objetivo no se puede medir, no sirve.".
Defina cómo va a proteger los activos, cómo va a detectar las amenazas, y cómo va a responder a las fallas o a la actividad sospechosa.
Enfóquese primero con las
prioridades establecidas en la evaluación del riesgo.
Sea realista; el plan debe estar alineado con el presupuesto.
Revise y actualice toda la documentación regularmente.
3. Coloque a la gente correcta en el lugar correcto
Las personas cualificadas son la parte más crítica de su plan y de la seguridad cibernética, y son a menudo la parte más difícil de obtener. Debe identificar las habilidades y los niveles de habilidad que poseen, con el fin que sean idóneos ejecutar el plan de seguridad de la empresa. Hecho lo anterior, deberá establecer las funciones y responsabilidades de cada grupo e individuo.
Casi todo administrador de sistemas o ingeniero de red sabe qué hacer si un sistema o enlace de red se cae. Pero aplicar inteligencia en la seguridad cibernética es todavía parte de un campo de carreras emergentes, por lo que se tiene que saber lo que busca, además de contar con el equipo básico que se necesita para ejecutar el plan y supervisar el trabajo de los miembros menos entrenados con el fin de que adquieran mayor experiencia.
Las prácticas de contratación varían de una compañía a otra. Comience con una buena comprensión de las habilidades que necesita la persona para satisfacer el puesto a cabalidad, y luego evaluar las capacidades de los candidatos para ejecutar el plan de seguridad. Recuerde la máxima: "Adecuar una persona para un puesto, y no un puesto adecuarse a una persona." Los profesionales de seguridad certificados son de alta demanda, por lo que el ambiente laboral debe estar a la altura, así que asegúrese de ofrecer un ambiente de trabajo y oportunidades de desarrollo que fomenten la retención.
Desarrolle las descripciones de los puestos, sus funciones y responsabilidades con base al plan de seguridad.
Busque gente con experiencia en las áreas especializadas de alta prioridad del plan: móvil, nube, seguridad de aplicaciones, etc.
Examine los certificados de alto nivel. Por dar un ejemplo, el más reconocido es el ISC2: Certifed Information Systems Security Professional (CISSP). Así se asegura que los profesionales tengan cierto nivel.
4. Despliegue sus defensas
Las tecnologías para defensa cibernética ofrecen una serie de funciones de seguridad interesantes: protegen los datos críticos con cifrado; detectan y bloquean los ataques que desean penetrar en la red; detectan brechas de seguridad, por lo que pueden responder rápidamente para proteger los activos; y permiten al staff de seguridad investigar dichas infracciones de actividad sospechosa. Al desarrollar el software en casa, también se pueden aumentar las defensas al incluir seguridad en el proceso de desarrollo.
Esperar a ser vulnerado, es asumir que ya se ha producido dicho problema. Ninguna defensa cibernética es 100% eficaz, por lo que el despliegue en capas de las defensas que posea, son una solución óptima para reducir el riesgo. Recuerde que hay un balance entre la eficiencia y la seguridad, por lo que a mayor profundidad en los anillos de seguridad la defensa debe ser menos restrictiva, para que en si misma no se vuelva un problema inmanejable para la empresa. Por supuesto, dicha flexibilidad nunca debe ser sinónimo de descuido.
Los cibercriminales se han convertido en expertos en evadir defensas, aunque siempre se pueden encontrar pistas en el entorno. Las tecnologías de seguridad recopilan y analizan grandes volúmenes de datos, los cuales son procesados para hacer
threat intelligence por medio de los investigadores de seguridad. Los dispositivos como los cortafuegos de próxima generación y sistemas de prevención de intrusiones recogen datos de la red en tiempo real y aplican inteligencia de amenazas para detectar ataques.
La información de seguridad puede ser gestionada por medio de sus eventos en un Security Information and Event Management (SIEM), el cual acumula los datos de los logs y otras fuentes en todo el entorno de red, para correlacionarlos y analizarlos. Esto permite detectar patrones de ataque y ayuda al equipo de operaciones de seguridad a investigar y remediar dichos ataques.
Es necesario algo más que los cortafuegos y antivirus para dar seguridad a un sistema autónomo.
Implemente su defensa en capas que pueden bloquear los ataques en el borde de la red, detectar y detener las comunicaciones de malware dentro de la red; además de detectar y remediar las intrusiones exitosas.
Seleccione las soluciones de seguridad empresariales que aprovechan la mejor inteligencia de amenazas disponibles.
Recoja la mayor cantidad de datos del entorno que pueda.
5. Respuesta a incidentes
Cuando se produzca una brecha de seguridad (y ocurrirá sin lugar a dudas...) el plan de seguridad debe entrar en acción, para así proteger los activos críticos (como prioridad en su plan). El equipo encargado de llevar esta acción deberá: detener el ataque o al menos dar en cuarentena los sistemas afectados, resolver la vulnerabilidad explotada (remediar); recoger y preservar los datos que podrían ser utilizados como prueba en un proceso penal; comunicarse con los clientes afectados, empleados y otros para cumplir con las responsabilidades legales.
La velocidad y la efectividad de su respuesta determinará cuánto daño sufrirá. Una investigación muestra que el tiempo promedio para resolver un ataque cibernético en empresas de Estados Unidos es de 45 días a un costo de casi 1.6 millones USD por incidente. Peor aún, los cibercriminales pueden seguir filtrando datos hasta que el ataque se detenga por completo. Súmele a eso, que su empresa estará sujeta a los requisitos legales para la notificación a los clientes afectados, socios y autoridades policiales.
En caso de una violación a la seguridad, debe ejecutar su plan de seguridad para la respuesta a incidentes. Los miembros del equipo y otros en la organización deben conocer sus responsabilidades y cómo realizarlas. Los procesos deben abarcar todo lo que se debe hacer, pero deben mantenerse lo suficientemente simple para ejecutarse sin problemas. Las obligaciones legales y de comunicación deberían haber sido identificadas y planeadas por adelantado.
La acción más urgente para remediar es, detener el ataque. Ejemplos: arreglo de las vulnerabilidades en el código, bloqueando el ataque, o poner en cuarentena a los sistemas infectados. La retroalimentación posterior debe evaluar los daños, realizar cualquier comunicación necesaria, identificar las lecciones aprendidas y agregar lo aprendido en su plan de seguridad.
Practique su plan de respuesta a incidentes antes de tener que ejecutarlo de verdad.
Identifique y corrija las deficiencias en el plan.
Aplique técnicas forenses aceptadas en su país para preservar la evidencia.
Hay una frase que reza: "La mejor defensa en la ofensiva.". Yo la cambiaría por: "La mejor defensa es la que más se practica."
Saludos gente, nos vemos.