Artículos

¿Estás
_
seguro
_
de
_
que
_
estás
_
ciberseguro?

Ciberseguridad · CrowdStrike · Darktrace · UareSafe

Pegasus ha puesto de manifiesto la necesidad de tener protegidos nuestros sistemas. Te contamos cómo minimizar los riesgos y amenazas para tu empresa con una correcta política de ciberseguridad.

El pasado 4 de mayo de 2022 aparecía publicado en el BOE el Real Decreto 311/2022 que regula el Esquema Nacional de Seguridad (ENS), justificado entre otros por la evidencia de que los “sistemas de información están expuestos de forma cada vez más intensa a la materialización de amenazas del ciberespacio, advirtiéndose un notable incremento de ciberataques, tanto en volumen y frecuencia como en sofisticación con agentes y actores con mayores capacidades técnicas y operativas”, lo que constituye una descripción clara del entorno en el que nos encontramos tanto las empresas privadas, la administración y también los ciudadanos a nivel individual.

Un hecho relevante es que por primera vez la norma se fija en la “cadena de suministro”, es decir, el ENS pasará a ser de obligado cumplimiento no solo para las administraciones públicas sino también para “los operadores del sector privado que prestan servicio a entidades del sector público, por razón de la alta imbricación de unos y otras [que] han de garantizar el mismo nivel de seguridad que se aplica a los sistemas y a la información en el ámbito del sector público”.

Esta situación es perfectamente extrapolable a cualquier empresa con independencia de su tamaño, dada la alta imbricación o relación que la tecnología confiere a los procesos empresariales en el lado de los clientes, empleados y proveedores.

España, como país, ocupa el puesto nº 8 de los 160 países que participan en el National Ciber-Security Index (NCSI), índice que mide los mecanismos de ciberseguridad que han implementado los gobiernos centrales, con una puntuación de 88.31, y con un nivel de desarrollo digital de 73.92. Nada mal si tenemos en cuenta que en el NCSI tenemos por detrás a la mayoría de países Europeos, Japón, EE.UU o China. En este sentido el informe especial de mayor de 2022 “Ciberseguridad de las instituciones, órganos y organismos de la UE”, nos ofrece una imagen real de la situación en administración pública, con una conclusión aplicable a la empresa privada: “En general, el nivel de preparación no es proporcional a las amenazas”.

Fuente: https://ncsi.ega.ee/country/es/

Medidas de ciberseguridad desde una perspectiva global

El profesor titular de la Universidad Politécnica de Madrid y representante de la Fundación Círculo de Tecnologías para la Defensa y la Seguridad, Victor A. Villagrà, expuso en el encuentro Innobar, celebrado en el Espaitec-UJI cuatro pilares de la ciberseguridad, que a su vez deberían conocer el personal que se dedica a esta cuestión en las empresas: Amenazas, conocer cuáles son y quién las genera; Política de Ciberseguridad, la planificación y gobierno; Tecnologías, entenderlas y aplicar las adecuadas; Operaciones de ciberseguridad, es decir el conjunto de acciones para la protección de activos.

En cualquier caso, desde el INCIBE, se apuntan un conjunto mínimo de medidas que recomiendan aplicar, priorizándolas en cada organización en función de sus capacidades específicas:

Mejoras en la autenticación

Uno de los principales problemas en ciberseguridad atañe a la gestión de las contraseñas. De hecho, uno de los primeros ataques que realizan los ciberdelincuentes tiene como objetivo este punto. Así pues, es muy importante establecer un modelo de uso de contraseñas seguras con complejidad suficiente y cambio periodico, en todas las aplicaciones, servicios web en uso e incluso en los equipos (portátiles, sobremesas, móviles, etc.).

Una vez que los ciberdelincuentes obtienen una contraseña, es común que realicen ataques a otros servicios donde han identificado que tenemos una cuenta activa. A fin de evitar este problema, se recomienda no reutilizar credenciales. han identificado que tenemos una cuenta activa. A fin de evitar este problema, se recomienda no reutilizar credenciales.

Leyendo estos dos puntos anteriores, nos damos cuenta de la relevancia de establecer mecanismos adicionales que garanticen la seguridad de nuestros accesos. Con esta idea surge la denominada autenticación multifactor, que solicita al usuario un elemento adicional, como la confirmación de inicio de sesión desde un dispositivo móvil o con el envío de SMS.

Por último, y no menos importante en este punto, es aplicar el principio de mínimos privilegios, tanto a nivel de usuario (eliminando permisos innecesarios) como a nivel de recursos (usando equipos sin cuentas de administrador).

Elementos de ciberseguridad

Mantener el software actualizado, priorizando no tener vulnerabilidades clasificadas críticas o altas, es muy relevante tal y como hemos comprobado recientemente con vulnerabilidades similares a la pasada Log4Shell o la actual Follina. Así, las empresas deben monitorizar e identificar dichas vulnerabilidades mediante diferentes métodos, bien mediante herramientas de análisis de vulnerabilidades, o bien mediante la suscripción a los avisos de los fabricantes u organizaciones tipo CERT-CSIRT.

Tampoco hay que olvidarse de los dispositivos móviles, una amenaza que no suele cubrirse habitualmente y va aumentando su criticidad rápidamente. Aquí Sofistic ofrece la aplicación UareSafe especialmente destinada a los teléfonos móviles

Algunas de las soluciones recomendables, dependiendo de las capacidades de las empresas, podrían ser:

La gran cantidad de alertas que pueden llegar a generarse en una infraestructura de tamaño medio, hace casi inviable que sean atendidas de forma eficiente si no hay un equipo dedicado a ello. Desde el SOC de Sofistic alertamos de multitud de incidentes, algunos de ellos críticos para las empresas a las que monitorizamos. Por poner ejemplo, hace unos días detectamos desde nuestro SOC un caso de fuga de información:

A principios de la semana, comenzamos a detectar que cierto usuario estaba siendo muy activo, moviendo grandes volúmenes de información a través de varios servicios cloud. Llegado el viernes, a principio de la mañana sucedieron diversos eventos, todos ellos relacionados entre sí: el volumen de información fue excesivo para ser esa hora, se detectó una conexión anómala a un FTP privado, se detectó un intento de borrado de información en la nube de la empresa. Bloqueado el usuario y avisado al cliente, se confirmó que dicho empleado abandonaba la empresa al finalizar la jornada del viernes y lo que había hecho era exfiltrar gran cantidad de información de diversa índole, y sobre la cual no tenía permiso de acceso. Si no llega a ser por Darktrace, no hubiera sido posible detectar dicho incidente.

¿Quieres conocer más sobre los servicios de Sofistic?

Contacta con nuestros especialistas

Redes y sistemas

La segmentación óptima de las diferentes redes utilizadas es esencial, no sólo para mejorar la gestión y rendimiento, sino también para mejorar la ciberseguridad. Un ejemplo de esta segmentación es la separación de las redes corporativas de las redes de invitados. Otro ejemplo, sería aplicar una política de filtrado de tráfico, evitando acceso a páginas webs que sean consideradas como inseguras.

Fuente: bayshorenetworks *La imagen hace referencia a una solución concreta OTaccess Server.

También es importante no descuidar la fortificación y bastionado de sistemas en la nube (cloud). Este aspecto es muy relevante sobre todo en entornos de desarrollo seguro, donde cualquier desarrollador puede crear e inicializar una instancia. Dejar servicios en la nube expuestos supone un riesgo muy elevado.

La estrategia de copias de seguridad de la organización, es vital para la continuidad de negocio y la recuperación ante desastres. Esta estrategia debe contemplar diferentes casuísticas y se recomienda seguir la regla 3-2-1. Es imprescindible que estas medidas se prueben periódicamente.

Correo electrónico y concienciación

El correo electrónico es de vital importancia para las empresas, por eso es imprescindible aplicar políticas y protocolos de protección que eviten por ejemplo incidentes como el phishing o el denominado “fraude del CEO”.

Concienciar y formar a los empleados, para que sean capaces de identificar y protegerse de amenazas dirigidas, así como ayudarles con las mejores prácticas de seguridad en el uso de la tecnología. Estos puntos son aspectos clave, pues muchas veces son la puerta de entrada preferida por los delincuentes para acceder a los sistemas TI.

Planes de contingencia

Hoy en día es prácticamente imprescindible contar con un PCN (Plan de Continuidad de Negocio) mediante el que analizar el posible impacto en el negocio de las distintas amenazas, elaborar planes operativos de recuperación y ejecutar periódicamente pruebas de validación del propio PCN. Se trata de que sean “documentos con vida” cuya aplicación permita mantener, revisar y probar periódicamente el plan de continuidad que nos permita retomar la actividad en caso de producirse cualquier contingencia.

Una buena forma de hacerlo es aplicar el Ciclo PDCA o círculo de Deming para conseguir una mejora continua.

Planificar (Plan)
Conseguir nuestros objetivos es tener claros cuáles son y qué pasos daremos para lograrlos

Hacer (Do)
Poner en práctica lo planeado anteriormente... No hacer nada es camino seguro al fracaso

Verificar (Check)
Igual de importante que actuar es verificar y reflexionar sobre lo hecho e identificar aciertos o puntos a mejorar

Actuar (Act)
Solucionar los errores y potenciar los aciertos.

A la vista de todo lo anterior podríamos enunciar unos principios básicos que cualquier empresa debería plantearse en aras de su seguridad:

La seguridad como proceso integral.
Gestión de la seguridad basada en riesgos.
Prevención, detección, respuesta y conservación
Existencia de líneas de defensa.
Vigilancia continua
Reevaluación periódica.
Diferenciación de responsabilidades.