Cómo definir el nivel ideal de ciberseguridad en un mundo de opciones ilimitadas
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.
Aunque se puede invertir sin límite en ciberseguridad, nunca se puede alcanzar una seguridad total. Al mismo tiempo, las interrupciones en el servicio o la pérdida de datos de los clientes pueden ser extremadamente perjudiciales para la reputación, la confianza y los resultados financieros de su empresa. Por lo tanto, la seguridad es esencial. Es natural preguntarse cuánto tiempo, esfuerzo y dinero debería dedicar su organización para asegurar su protección.
Dado que alcanzar la perfección en ciberseguridad es complicado, es crucial definir primero su nivel mínimo de seguridad: el nivel esencial que su organización necesita para cumplir con los requisitos básicos, los cuales deben incluir:
- Habilidad para recuperar datos y sistemas en caso de una brecha de seguridad grave.
- Adopción de las mejores prácticas de seguridad esenciales frente a las amenazas actuales, tales como el uso de autenticación multifactor (MFA), análisis profundo de paquetes, medidas contra el movimiento lateral, rigurosas políticas de contraseñas y herramientas de detección y respuesta en puntos finales.
- Seguridad adecuada para cumplir con las responsabilidades éticas y poder demostrar la debida diligencia en la protección de los datos de la organización y de los clientes.
- Cumplimiento de todos los requisitos reglamentarios relacionados con la protección y privacidad de datos, específicos para su industria y organización.
En este mismo sentido, sin duda, uno de los controles de seguridad más importantes, relativamente fáciles de implementar y, a menudo, más subestimados o pasados por alto, son las copias de seguridad.
De acuerdo con la práctica común, pocas empresas reconocen que las copias de seguridad son uno de los controles de seguridad más cruciales para el futuro de una organización. La mayoría de las infracciones terminan en la exfiltración de datos, la destrucción masiva de datos, o ambas.
Para romper el ciclo de infracciones, las organizaciones deben aceptar que es imposible prevenir todas las violaciones. Los ciberdelincuentes suelen atacar las copias de seguridad para cifrarlas o destruirlas en el 98.8% de los casos durante ataques como el ransomware. Por lo tanto, es crucial garantizar la capacidad de recuperación sin necesidad de pagar rescates, ya que incluso estos pagos no garantizan la recuperación de los datos.
¿Cuál es el primer paso? Priorice la implementación de controles rigurosos tanto dentro como alrededor de sus copias de seguridad. Al mismo tiempo, asegúrese de que los ciberdelincuentes no puedan moverse lateralmente por su red para acceder, dañar o destruir estos almacenes de datos. Además, asegúrese de que estas medidas de seguridad estén bien coordinadas, sean seguras, resistentes, redundantes y completas, para protegerse contra el riesgo de pérdida total.
Las copias de seguridad también deben ser inmutables, es decir, deben ser inalterables, de modo que no se puedan modificar, eliminar o trasladar fuera de las políticas de retención establecidas ni de los procedimientos de acceso estrictos.
Otro aspecto fundamental es proteger los datos sensibles y asegurar el cumplimiento de las regulaciones.
Todas las empresas tienen, al menos, la responsabilidad ética de proteger los datos que custodian sobre sus empleados, clientes, socios y operaciones. Los bufetes de abogados deben salvaguardar la información confidencial y privada de sus clientes; las organizaciones de atención médica deben preservar la privacidad de los datos de los pacientes; mientras que las infraestructuras críticas y las entidades gubernamentales manejan datos extremadamente sensibles, cuya pérdida puede tener serias repercusiones para la vida de las personas y la seguridad nacional.
La mayoría de las industrias también enfrentan diversas obligaciones legales para proteger los datos. Los marcos regulatorios establecen los estándares que las empresas deben seguir para asegurar la seguridad y la privacidad de la información, es por esto que su organización debe cumplir con los requisitos pertinentes y ser capaz de demostrar la debida diligencia en relación con los objetivos y principios éticos.
Pero ahora, ¿cómo puede cumplir con los requisitos mínimos de ciberseguridad?
La clave para lograr una seguridad eficaz es entender cómo evolucionan las infracciones, incluyendo las tácticas y patrones utilizados. Luego, se debe trabajar para interrumpir el ciclo de la infracción mediante la asignación prioritaria de recursos, inversiones y esfuerzos.
La progresión de una infracción sigue un patrón específico: el atacante obtiene las credenciales, establece un acceso persistente a la red, eleva sus privilegios y luego se desplaza lateralmente en el entorno para llevar a cabo actos maliciosos, como la exfiltración de datos, el cifrado o la destrucción de copias de seguridad.
Por lo anterior, una seguridad efectiva requiere retroceder en esta progresión. Primero, asegúrese de que sus copias de seguridad estén blindadas e inalterables. Luego, proteja los sistemas para impedir el movimiento lateral, implementando rigurosamente la autenticación multifactor (MFA) en todos los controles administrativos. A continuación, concentre sus esfuerzos en restringir el acceso a credenciales y puntos finales y progrese desde estos fundamentos básicos.
Para mantener este proceso escalable, es importante realizar todas estas tareas con pleno conocimiento de las tácticas, técnicas y procedimientos de los ciberatacantes actuales (cómo están comprometiendo a las organizaciones hoy en día en infracciones del mundo real) para que pueda priorizar sus esfuerzos y concentrar sus inversiones.
Los marcos y programas de seguridad organizacional a menudo son insuficientes para enfrentar los patrones, tácticas y métodos de amenazas actuales. Para mejorar la efectividad, las empresas deben enfocarse en defenderse contra las tácticas y patrones de amenaza vigentes. Además, es crucial adquirir únicamente herramientas y soluciones para las cuales usted o su equipo externo tengan la experiencia y habilidades necesarias, evitando así la compra de herramientas costosas y complejas que podrían quedar inactivas o subutilizadas.
La mayoría de las personas en sistemas y seguridad reconocen que no es posible lograr una seguridad perfecta. Sin embargo, al entender las tácticas de los actores de amenazas, que evolucionan constantemente, los equipos de TI pueden interrumpir el patrón de violación en cada etapa y establecer defensas adecuadas y oportunas en las áreas más vulnerables.
Aunque acceder a datos en tiempo real sobre los ciberatacantes puede ser complicado, algunos proveedores de servicios de seguridad gestionados pueden ser de ayuda. Combinado con un enfoque riguroso en el cumplimiento de las regulaciones específicas de su industria, esto puede llevar a un programa de seguridad bien enfocado y ajustado a sus necesidades.
Para más información, visite: https://www.silikn.com/