14
Tema
Ferias Central Alemania
Tema Central Alemania
enero - marzo 2019
Los últimos virus que tuvieron efectos mundiales como WannaCry
y NotPetya han demostrado claramente que la seguridad
cibernética es esencial. Paralelamente la ciber seguridad está
cambiando: Miles de millones de dispositivos con “The Internet
of Things”, además de laptops y servidores son posibles objetivos
de ataques que requieren nuevos enfoques. El primer paso para
la defensa correcta es utilizar best practices comprobadas.
Para ello es importante utilizar y dirigirse a lo nuevo: Según un
studio de Business Insider Intelligence, hasta finales de 2019
se conectarán nueve mil millones de dispositivos IoT (Internet
of Things) a las redes inalámbricas de las compañías en todo el
mundo. La superficie que puede ser atacada cibernéticamente ya
no se limita a laptops o servers, sino forma una compleja mezcla
de dispositivos en red, servicios y plataformas. Las compañías
deben cambiar el management de vulnerabilidades: identificar
bugs y errores de configuración ya no es suficiente. Se necesita
analizar toda superficie atacable, lo cual es únicamente posible
con la exposición cibernética. Este es un nuevo enfoque que
administra los nuevos ciber-riesgos y los mide para finalmente
reducirlos.
Best Practices
para la
seguridad
cibernética
Buenas noticias: todavía no es demasiado tarde para actuar.
Existen un par de procedimientos comprobados con los cuales
las compañías pueden crear procesos óptimos y acercarse a una
seguridad cibernética moderna. Las compañías podrán entender
las debilidades y riesgos, reducirlos y analizar continuamente,
priorizar procesos e implementar una exposición cibernética
confiable y a largo plazo.
Regla 1: Gestionar los riesgos activamente
En mayo de 2017 el virus WannaCry se expandió por todo el
mundo. Rápidamente quedó claro, que el virus explotaba un
espacio en la programación que había sido parchado desde
marzo del mismo año. El problema fue la incompleta o inexistente
gestión de parches y la falta de conocimiento de la propia red.
Sin conocer la propia red no se puede contar con la seguridad
cibernética. Una vista completa de todos activos en cada
plataforma es la mejor defensa contra ataques elaborados. Lo
mismo vale para la red, nódulos, activos, tools y puntos débiles.
Un sistema de seguridad cibernética que pueda ejercer amplia
resistencia comienza conociendo la propia red.
Las empresas tampoco deberían subestimar los riesgos que
suponen los propios empleados. Muchos empleados cuentan
con derechos o autorizaciones que no están bajo el radar.
Muchos de los vacíos de seguridad son encontrados cuando es
demasiado tarde. Todas las redes tienen puntos ciegos que las
hacen vulnerables. A ello también pertenecen los datos de los
trabajadores, los cuales tienen mucho valor para los posibles
atacantes. Por este motivo se deben asegurar los datos tan
cuidadosamente, como si se tratase de información sensible o
crítica para la empresa. Es necesario contar con un management
de credenciales, derechos de ingreso y contraseñas.
Regla 2: Impulsar la modernización
Las compañías no pueden realizar grandes cambios cuando
estos son excluidos desde un principio. Esto vale sobre todo para
la seguridad informática. Cuando las compañías actualizan la
infraestructura computacional es cuando se da la oportunidad
para reducir el área atacable y reaccionar rápidamente ante
los cambios en el panorama de amenazas. Es así que se puede
aumentar la seguridad mediante una vista completa de la propia
red, monitoreo completo y continuo y mediante el parchado
de debilidades. Sistemas “legado” (Legacy Systems) para los
cuales no existen mas actualizaciones pueden ser aislados de la
15
conexión al internet o de una red con acceso al internet hasta que
puedan ser cambiados.
Posiblemente la compañía llegará a un punto en el que los recursos
simplemente no sean suficientes para poder hacer mantenimiento
a estos sistemas. Es ahí donde deben ser priorizados. Una
posibilidad para forzar estándares de seguridad es determinar
inamoviblemente cuáles sistemas serán respaldados y cuáles no.
Regla 3: Usar el framework para la seguridad cibernética
Las empresas intentan demasiado seguido reinventar la rueda de
la seguridad cibernética, sobre todo cuando se trata de procesos
y procedimientos. Esto es innecesario ya que existen varias
normas, investigaciones y estadísticas para el tema seguridad
cibernética que demuestran por qué diferentes métodos ya han
sido comprobados.
Sobre todo las normas existentes son de gran ayuda como la NIST
o la ISO/IEC-27000. Ellas apoyan a las empresas a automatizar
controles técnicos y a aumentar la efectividad de la seguridad.
Utilizar medidas apropiadas no ayuda solo en contra de posibles
ataques sino también con la implementación de leyes como
ser el Reglamento General de Protección de Datos de la Unión
Europea: Este reglamento tiene en cuenta medidas técnicas y
organizacionales para la seguridad de la información. Asimismo
menciona la estrategia de la empresa al respecto de estándares
comprobados de normas reconocidas que a su vez dan pautas
fáciles de seguir. Así se matan dos pájaros de un tiro.
Regla 4: Invertir en personal fuerte
Por último, es importante tener trabajadores bien capacitados
e informados al respecto en temas de informática. Ellos son
una parte primordial de la defensa de las posibles amenazas.
Sin embargo en muchos sectores, desde la administración
pública, hasta compañías de aprovisionamiento, los trabajadores
formados y con experiencia están entrando en jubilación. Esta
pérdida de know-how hace la batalla contra amenazas más difícil.
Un buen personal informático y sobre todo especialistas para
ciberseguridad no son fáciles de encontrar. Las compañías
pelean entre sí por este tipo de trabajador. Es por ello que se debe
tener condiciones atractivas para incentivar el querer trabajar en
la empresa y mantenerse dentro de la misma. Estas condiciones
no son únicamente monetarias: posibilidades de trabajo flexibles,
un plan de desarrollo profesional y posibilidades de subir en la
jerarquía son factores que crean buenas condiciones.
Incluso cuando todo esto es cumplido las compañías no deben
quedarse de brazos cruzados. Los trabajadores de todas las
áreas deben ser capacitados constantemente. Esto vale también
para sensibilizar intentos de phishing o social engineering,
pero también para enseñar sobre utilizar los propios aparatos
electrónicos para el trabajo, usar software y servicios de terceros.
Resumen
Wannacry y NotPetya fueron disparos de alerta para las compañías
y a todas les debería quedar claro que la seguridad cibernética no
es un tema que se debería tomar a la ligera. Pero aún cuando la
seguridad cibernética eficiente implica una gran carga se debe
saber que con el uso de best practices se puede llegar a un buen
nivel de seguridad. Es conveniente que las compañías comiencen
hoy en vez de mañana, ya que en la seguridad cibernética existe
una segunda constante: el siguiente ataque viene con seguridad.
(HC)
Fuente: Security Insider