"Si crees que la tecnología puede solventar tus problemas de seguridad, entonces no entiendes los problemas y no entiendes de tecnología." Esta frase de Bruce Schneier, uno de los mayores expertos mundiales en criptografía y seguridad informática, refleja muy bien la forma de encarar la defensa de nuestros sistemas IT. Y, lamentablemente, es muy cierto, porque no todo se reduce a la tecnología. Este decálogo intenta ayudar a entender mejor los problemas que atañen a la ciberseguridad:
- Dar un paso atrás y definir documentalmente los riesgos a los que se enfrenta tu empresa: cuál es tu nivel de exposición, qué medidas (técnicas o no) quieres emplear y medir (muy importante) sus resultados, para que la gestión de lo que llamamos “gobierno de los sistemas de información” sea un proceso cíclico de mejora continua, basado en una buena política de seguridad de la información y siempre respaldado por la dirección. Para ello no debes olvidarte de auditar regularmente tus sistemas e insertar los resultados en el proceso de mejora continua.
-
Formar tecnológicamente al staff técnico y, más importante, concienciar a los empleados
,sobre las amenazas que les afectan, ya que ellos mismos pueden ser posibles víctimas del engaño para, o bien extraer información vital de la empresa o instalar un ransomware. El empleado es el eslabón más débil de esta cadena. - Los sistemas IT deben ser una fortaleza. Se debe contar tanto con medidas para restringir el acceso de las personas físicamente, como de aquellos elementos, como firewalls, sistemas de detección y protección contra intrusos, que preserven la disponibilidad, integridad y confidencialidad de tus sistemas de información.
- Cuidar la relación con tus proveedores / terceros y sus accesos a tus sistemas, para que sean monitorizados y clasificados para conocer el grado de dependencia y el riesgo que conlleva, estableciendo contractualmente las garantías y medios de coordinación necesarios ante cualquier imprevisto que pueda afectar a la seguridad de tu empresa.
- La Resiliencia debe ser un pilar en tu gestión de la seguridad, estableciendo planes de continuidad necesarios si se materializa alguna de las amenazas, para que la disponibilidad de tus sistemas se vea afectada en la menor medida posible.
- Aplicar una “Diligencia Debida”, o lo que es lo mismo, cumplir con los estándares, normativas legales y buenas prácticas más importantes (RGPD, ENS, Calificación LEET, ISO’s…).
- El control de accesos debe ser otro pilar fundamental. Contar con una estrategia de Confianza Cero, que sólo permita acceder según la necesidad de cada usuario /rol y se apoyen en un doble (o triple) factor de autenticación. También el cifrado y las comunicaciones cifradas deben ser una prioridad en conexiones entre los empleados y la empresa.
- La “seguridad por el diseño” debe ser un principio que rija los desarrollos, basada en los estándares de frameworks, usando herramientas que inspeccionen el código generado, e incentivar económicamente la colaboración pública para encontrar brechas de seguridad.
- Definir una buena normativa y procedimientos de gestión de incidentes que, bien a través de un SOC (Centro de Operaciones de Seguridad) o de un grupo de técnicos bien formados, sirvan para encarar de forma efectiva cualquier brecha de seguridad que pueda producirse. Además de realizar pruebas de penetración en los sistemas, emulando a los ciberdelincuentes, siempre por personal independiente. Y emplear los informes que ellos generen para introducirlos en el ciclo de mejora continua.
- Una buena gestión de actualizaciones y parches. Hay que estar atentos a los fabricantes y a las entidades estatales e independientes que ofrecen consejos sobre ciberseguridad. Tenemos ejemplos tristemente recientes que nos lo recuerdan, como el ataque de ransomware al SEPE.
En resumen, la clave para contar con una buena estrategia de seguridad, tal y como aconseja Elon Musk, creador de Paypal y Tesla: "piensa constantemente cómo podrías hacer mejor las cosas”.
Rogelio Saavedra es auditor de Seguridad de LEET Security