Artículos

¿Estás
_
seguro
_
de
_
que
_
estás
_
ciberseguro?

Ciberseguridad

Pegasus ha puesto de manifiesto la necesidad de tener protegidos nuestros sistemas. Te contamos cómo minimizar los riesgos y amenazas para tu empresa con una correcta política de ciberseguridad.

El pasado 4 de mayo de 2022 aparecía publicado en el BOE el Real Decreto 311/2022 que regula el Esquema Nacional de Seguridad (ENS), justificado entre otros por la evidencia de que los “sistemas de información están expuestos de forma cada vez más intensa a la materialización de amenazas del ciberespacio, advirtiéndose un notable incremento de ciberataques, tanto en volumen y frecuencia como en sofisticación con agentes y actores con mayores capacidades técnicas y operativas”, lo que constituye una descripción clara del entorno en el que nos encontramos tanto las empresas privadas, la administración y también los ciudadanos a nivel individual.

Un hecho relevante es que por primera vez la norma se fija en la “cadena de suministro”, es decir, el ENS pasará a ser de obligado cumplimiento no solo para las administraciones públicas sino también para “los operadores del sector privado que prestan servicio a entidades del sector público, por razón de la alta imbricación de unos y otras [que] han de garantizar el mismo nivel de seguridad que se aplica a los sistemas y a la información en el ámbito del sector público”.

Esta situación es perfectamente extrapolable a cualquier empresa con independencia de su tamaño, dada la alta imbricación o relación que la tecnología confiere a los procesos empresariales en el lado de los clientes, empleados y proveedores.

España, como país, ocupa el puesto nº 8 de los 160 países que participan en el National Ciber-Security Index (NCSI), índice que mide los mecanismos de ciberseguridad que han implementado los gobiernos centrales, con una puntuación de 88.31, y con un nivel de desarrollo digital de 73.92. Nada mal si tenemos en cuenta que en el NCSI tenemos por detrás a la mayoría de países Europeos, Japón, EE.UU o China. En este sentido el informe especial de mayor de 2022 “Ciberseguridad de las instituciones, órganos y organismos de la UE”, nos ofrece una imagen real de la situación en administración pública, con una conclusión aplicable a la empresa privada: “En general, el nivel de preparación no es proporcional a las amenazas”.

El índice se divide en 12 categorías y en cada una de ellas se obtiene una puntuación en base a una serie de indicadores y en algunos casos evidencias de los mismos. Si enlazamos con la URL de la fuente a pie de imagen, obtendremos el detalle completo de cada una de ellas.

Incluso aquellas empresas con ciertas capacidades en ciberseguridad, están rodeadas de amenazas. Lo sabe muy bien Juan Carlos García, responsable SOC y Country Manager España de Sofistic, división de ciberseguridad de Cuatroochenta, quien frecuentemente se encuentran casos cada vez más complejos.

Sofistic también tiene experiencia en infraestructuras críticas, como el aeropuerto de “El Dorado” en Bogotá, Colombia, (dicho sea de paso, puesto 74 en el índice NCSI). Este aeropuerto es el segundo con más tráfico de Sudamérica, lo que da una idea del reto de gestionar su ciberseguridad y aún así se logró una visibilidad completa de las amenazas y una reducción de los incidentes del 98% en su primer año de funcionamiento.

En cualquier caso, desde el INCIBE, se apuntan un conjunto mínimo de medidas que recomiendan aplicar, priorizándolas en cada organización en función de sus capacidades específicas:

Mejoras en la autenticación

Uno de los principales problemas en ciberseguridad atañe a la gestión de las contraseñas. De hecho, uno de los primeros ataques que realizan los ciberdelincuentes tiene como objetivo este punto. Así pues, es muy importante establecer un modelo de uso de contraseñas seguras con complejidad suficiente y cambio periodico, en todas las aplicaciones, servicios web en uso e incluso en los equipos (portátiles, sobremesas, móviles, etc.).

Una vez que los ciberdelincuentes obtienen una contraseña, es común que realicen ataques a otros servicios donde han identificado que tenemos una cuenta activa. A fin de evitar este problema, se recomienda no reutilizar credenciales. han identificado que tenemos una cuenta activa. A fin de evitar este problema, se recomienda no reutilizar credenciales.

Leyendo estos dos puntos anteriores, nos damos cuenta de la relevancia de establecer mecanismos adicionales que garanticen la seguridad de nuestros accesos. Con esta idea surge la denominada autenticación multifactor, que solicita al usuario un elemento adicional, como la confirmación de inicio de sesión desde un dispositivo móvil o con el envío de SMS.

Por último, y no menos importante en este punto, es aplicar el principio de mínimos privilegios, tanto a nivel de usuario (eliminando permisos innecesarios) como a nivel de recursos (usando equipos sin cuentas de administrador).

¿Quieres conocer más sobre los servicios de Sofistic?

Contacta con nuestros especialistas

Redes y sistemas

La segmentación óptima de las diferentes redes utilizadas es esencial, no sólo para mejorar la gestión y rendimiento, sino también para mejorar la ciberseguridad. Un ejemplo de esta segmentación es la separación de las redes corporativas de las redes de invitados. Otro ejemplo, sería aplicar una política de filtrado de tráfico, evitando acceso a páginas webs que sean consideradas como inseguras.

Fuente: bayshorenetworks *La imagen hace referencia a una solución concreta OTaccess Server.

También es importante no descuidar la fortificación y bastionado de sistemas en la nube (cloud). Este aspecto es muy relevante sobre todo en entornos de desarrollo seguro, donde cualquier desarrollador puede crear e inicializar una instancia. Dejar servicios en la nube expuestos supone un riesgo muy elevado.

La estrategia de copias de seguridad de la organización, es vital para la continuidad de negocio y la recuperación ante desastres. Esta estrategia debe contemplar diferentes casuísticas y se recomienda seguir la regla 3-2-1. Es imprescindible que estas medidas se prueben periódicamente.

Correo electrónico y concienciación

El correo electrónico es de vital importancia para las empresas, por eso es imprescindible aplicar políticas y protocolos de protección que eviten por ejemplo incidentes como el phishing o el denominado “fraude del CEO”.

Concienciar y formar a los empleados, para que sean capaces de identificar y protegerse de amenazas dirigidas, así como ayudarles con las mejores prácticas de seguridad en el uso de la tecnología. Estos puntos son aspectos clave, pues muchas veces son la puerta de entrada preferida por los delincuentes para acceder a los sistemas TI.

Planes de contingencia

Hoy en día es prácticamente imprescindible contar con un PCN (Plan de Continuidad de Negocio) mediante el que analizar el posible impacto en el negocio de las distintas amenazas, elaborar planes operativos de recuperación y ejecutar periódicamente pruebas de validación del propio PCN. Se trata de que sean “documentos con vida” cuya aplicación permita mantener, revisar y probar periódicamente el plan de continuidad que nos permita retomar la actividad en caso de producirse cualquier contingencia.

Una buena forma de hacerlo es aplicar el Ciclo PDCA o círculo de Deming para conseguir una mejora continua.

P

Planificar (Plan)
Conseguir nuestros objetivos es tener claros cuáles son y qué pasos daremos para lograrlos

D

Hacer (Do)
Poner en práctica lo planeado anteriormente… No hacer nada es camino seguro al fracaso

C

Verificar (Check)
Igual de importante que actuar es verificar y reflexionar sobre lo hecho e identificar aciertos o puntos a mejorar

A

Actuar (Act)
Solucionar los errores y potenciar los aciertos.

Veíamos en la introducción que el ENS aprobado por RD 311/2022 se fijaba por primera vez en la “cadena de suministro”. Conviene pues revisar los accesos establecidos para los proveedores y dependencias con sus sistemas y sus redes, pues un tercero con el que se colabora pueda ser utilizado como vector de entrada en la organización e incorporarlos a nuestro PCN.

A la vista de todo lo anterior podríamos enunciar unos principios básicos que cualquier empresa debería plantearse en aras de su seguridad:

  • La seguridad como proceso integral.
  • Gestión de la seguridad basada en riesgos.
  • Prevención, detección, respuesta y conservación
  • Existencia de líneas de defensa.
  • Vigilancia continua
  • Reevaluación periódica.
  • Diferenciación de responsabilidades.

Contar con una adecuada política de ciberseguridad no solo es importante, es urgente. Cada empresa está en un estadio diferente en cuanto a su implementación, y es que no es fácil en la medida que las soluciones implican esfuerzos ya que modifican formas de hacer arraigadas y establecidas. Lo importante es dar el paso y contar con un plan que permita alcanzar gradualmente objetivos concretos en materia de ciberseguridad. Tu empresa te lo agradecerá.