Icono del sitio LexGoApp Blog

Diez claves necesarias  que ayudan a definir una estrategia de ciberseguridad eficiente en cualquier organización

Por Manuel Asenjo, director de IT de Eversheds Sutherland.

En estos tiempos que corren con la guerra de Ucrania en su máximo apogeo nos encontramos con varios avisos de que el panorama de la ciberdelincuencia y de los ataques dirigidos por fuerzas hostiles se va a recrudecer.  El autor de este artículo, director de seguridad de un conocido  despacho internacional ofrece algunas pautas basadas en su actividad diaria que ayudan a definir una estrategia de ciberseguridad en cualquier organización.

  1. Contar con personal especializado:   Debe haber un equipo responsable interno o externo encargado de gestionar la ciberseguridad. 

Alguien debe aplicar inteligencia y cordura a las medidas que se implanten.

 Debemos cuestionarnos todo y a todos. Tal y cómo nos indica el paradigma Zero Trust

No debemos fiarnos de nada ni de nadie, sólo así seremos capaces de proteger nuestro tesoro de manera eficiente. 

2- Usuarios, primera línea de defensa: . ¿Qué es lo más importante de tu puesto de trabajo? ¿El ordenador? ¿La mesa? No, eres tú. Por eso aparte de tener un buen antivirus o copia de seguridad los usuarios deben estar concienciados sobre qué deben hacer en caso de que les llegue algún mensaje dudoso o sospechoso.

 Los usuarios son la primera línea en la defensa de la información. Debemos conocer los riesgos, phishing, malware, ransomware, etc. Saber qué hacer cuando detectemos algo sospechoso, tener claro a quién llamar. 

No basta con esto, también debemos tener hábitos saludables, no guardar en nuestro ordenador la información si no en el servicio de almacén de la empresa, bloquear el equipo cuando nos levantemos, no meter pen drives ni cd ‘s de origen desconocido, no navegar por páginas peligrosas ni descargar programas piratas.

  1. Protección tecnológica del puesto de trabajo :. Volvemos a nuestro puesto de trabajo.

 Nuestro puesto está conectado a una red de trabajo esa red es el castillo que debemos defender con sistemas perimetrales (un foso/firewall) que sólo permitirá entrar las conexiones autorizadas, un sistema que monitorice el tráfico y que nos permita saber quién accede a qué y desde donde.

Es  muy recomendable usar un sistema IPS/IDS (Intrusion Prevention System / Intrusion Detection System) que según diferentes reglas podrá bloquear determinadas conexiones si toman caminos que no deben tomar. 

También podemos tener un centro de pantallas, un panel de control, un sistema que recogiendo información de los diferentes elementos de protección (sensores), antivirus, IPS, Firewall entre otros pueden enseñarnos aplicando inteligencia el estado de nuestro castillo en tiempo real. 

Estas herramientas se llaman SIEM (Security Information and Event Management).

  1. Saber responder a un ciberataque  no basta con poner todo tipo de barreras para proteger nuestra información debemos tener constancia y prueba de lo que haya acontecido al menos durante un tiempo.

 ¿Para qué? Para poder responder a cuatro preguntas. ¿Quién? ¿Cómo? ¿Cuándo? Y ¿Qué o Por qué? Quién o desde dónde han accedido a nuestros sistemas. Cómo han podido entrar, qué métodos han utilizado. 

Cuándo ha tenido lugar el incidente y desde cuándo estamos comprometidos. Por qué han entrado y que se han llevado. 

Todas estas preguntas podrán responderse en mayor o menor medida haciendo un estudio forense de los sistemas atacados y será necesario para esclarecer los hechos, depurar responsabilidades y tomar las medidas legales y de compliance pertinentes. 

  1. Definir acuerdo de confidencialidad:.   En el caso de que la empresa o el profesional trabajen con personal interno o externo, debemos tener un acuerdo de servicio y confidencialidad con dicho personal.

 Estos acuerdos cubrirán la parte legal y de compliance de la que seremos responsables al hacernos cargo de la información de nuestros clientes. 

  1. Supervisar el correo electrónico:  Las empresas y los profesionales se ven asediados hoy en día a través del correo electrónico principalmente. Pocos son los que introducen pendrives y otros medios para intercambiar información. Últimamente todo llega por correo.

 Por tanto, debemos presuponer que el mayor número posible de ataques nos puede llegar por el correo o entrando en páginas web de dudosa reputación. Si asumimos esto ya tendremos mucho ganado, ya que podremos estar atentos a esas dos vías principalmente.  

  1. Clasificar la información por su importancia:. ¿Cuál es nuestro tesoro? Nuestra información sin duda es el activo más importante. Pero dentro del tesoro no todas las piezas valen lo mismo. Debemos clasificar nuestra información en función de su importancia.

 Esto es importante porque no todo el mundo debe poder acceder a todo. Debemos segmentar la información para que en caso de que se vea comprometido un equipo o un usuario el resto de las unidades o información no se ven perjudicadas. 

Para esto todos los sistemas tanto en nube cómo on-premise tienen control de usuarios con mayor o menor privilegio. Debemos guardar para nosotros nuestras contraseñas que deben cumplir unos mínimos de complejidad. 

Debemos activar en la medida de lo posible sistemas multifactor de acceso, debemos cifrar los ordenadores y si es posible las comunicaciones 

Es fundamental proteger nuestro tesoro. Y si se pierde o nos lo roban tendremos copia de seguridad para poder recuperarlo.

  1. Protección de dispositivos móviles:  Hasta ahora hemos visto la protección con respecto al puesto de trabajo, pero no todas las comunicaciones ni acceso a la información suceden en nuestro puesto de trabajo. 

Los dispositivos móviles nos acompañan siempre, en muchas ocasiones es necesario acceder a información confidencial sin estar dentro de la red corporativa por lo que nuestras protecciones en ese caso no nos protegerán. 

Debemos saber desde dónde se conectan nuestros usuarios y darles pautas al respecto. Debemos evitar las redes de centros comerciales, hoteles y aeropuertos. En general cualquier red pública.

 Hoy en día tenemos a nuestra disposición tarifas planas o con alto volumen de datos por lo que es muy recomendable que la conexión sea individualizada si se está fuera del perímetro del puesto de trabajo. 

En caso de que tengamos que conectarnos desde fuera, sería ideal disponer de un servicio VPN (Virtual Private Network), este servicio cifra la comunicación entre el origen y el destino de manera que, aunque se capture no se pueda interpretar. 

Es necesario  disponer de algún tipo de servicio de acceso y operación en remoto de los dispositivos para que en caso de extravío o robo podamos borrar el contenido en remoto. También es importante en el caso de los portátiles que vayan cifrados totalmente. 

Si alguien roba el ordenador podrá eliminar la información y usarlo, pero no tendrá acceso a nuestro tesoro, la información.

  1. El antivirus como  armadura. En todos los dispositivos debemos tener al menos una solución antivirus, antimalware o EDR (Endpoint Defense & Response). 

Es nuestra armadura, cuándo sin querer o queriendo dejemos entrar algún bicho. La armadura nos debe proteger, debe ser corporativa y multidispositivo. 

Debemos tenerlo actualizado y operativo, de nada nos vale si lo tenemos apagado. 

El sistema de defensa nos protegerá cuando nos llegue un correo malicioso, cuando alguien se intente conectar sin permiso o cuando metamos un pendrive infectado.

  1. Actualizar sistemas operativos:  Esto es muy, muy, muy importante. Los sistemas operativos son programas y los programas tienen fallos en su programación (todos en mayor o menor medida) algunos de estos fallos se pueden usar para acceder a los equipos que los ejecutan (fallos explotables). 

Si estos fallos no se han hecho públicos se llaman fallos o vulnerabilidades de Día 0 o Zero Day. Eso significa que quien los descubre en lugar de informar a los fabricantes y a la comunidad para que se ponga remedio lo antes posible lo vende al mejor postor. 

Tarde o temprano el fallo es detectado y se corrige con actualizaciones. Las actualizaciones pueden llevar mejoras en los programas y también corregir fallos de seguridad. Sea por un motivo u otro lo mejor es estar actualizado.

Salir de la versión móvil