Embed Size (px)
Citation preview
ciberseguridadDecálogo de
El camino hacia la ciberseguridad en su empresa
1234
9105678
empieza por un solo pasoTodo viaje, por largo que sea,
Lao-Tsé
este decálogo con esa frase tan manida:
“Hoy en día, los procesos de negocio de las empresas dependen cada vez más de internet y las nuevas tecnologías…”.
Pero no.
Podríamos comenzar
Vamos a
comenzarlo con unas preguntas. Intente responderlas sinceramente.
¿Qué pasaría si las aplicaciones que necesita para prestar esos servicios dejaran de funcionar? ¿Tiene
un plan B si falla algo? ¿No? ¿Sus clientes lo saben?
¿Cuáles son los servicios más críticos de su empresa? ¿De qué depende su
funcionamiento?
Seguro que ha analizado los riesgos financieros de su empresa. Pero, ¿ha analizado los riesgos
tecnológicos de sus servicios más críticos?
¿Se ha planteado alguna vez a quién le puede interesar la información que maneja en su empresa? ¿Está controlando bien quién puede acceder a esa información confidencial? ¿Seguro?
¿Ofrece servicios online a través de su página web? ¿Qué pasaría si dejaran de estar disponibles?
¿Cumple la LOPD? ¿De verdad? ¿Informa sobre la política de cookies de su página web?
¿Sabe qué medidas de seguridad debería tener implantadas? ¿Las tiene realmente? ¿Alguien se encarga de comprobar si las que tiene son eficaces?
No se alarme. Seguro que algunos de los asuntos que le planteábamos en las preguntas los tiene contemplados ya en su empresa.
Pero la gestión de la ciberseguridad requiere un planteamiento global y coordinado. Todos los riesgos a los que se exponen los procesos de la empresa y la información que tratan deben ser conocidos y gestionados.
El mayor error que podemos cometer a la hora de analizar los riesgos a los que estamos expuestos es subestimarlos. La sensación de “eso no me va a pasar a mí” a veces es demasiado frecuente en las organizaciones.
Porque las amenazas cambian y evolucionan. De nada sirve ignorarlas. Por eso proponemos este decálogo.
Una hoja de ruta hacia la ciberseguridad de su empresa.
¿Alguna de estas preguntas le ha hecho dudar?
1. Analizar los riesgos
Procesos críticos Dependencias entre activos
AmenazasSeguridad legalSeguridad con tercerosAcuerdos de confidencialidad
2. Los responsables de seguridad
3. Seguridad en el puesto de trabajo
Concienciación del empleadoPolíticas de seguridad
ClasificaciónContraseñasCopias de seguridad
4. La protección de la información
5. Movilidad con seguridadDispositivos móviles
ConexionesUso de la nube Solución corporativa
Software autorizado
6. Protección antimalware
7. Actualización y parcheo
Inventario de activosVulnerabilidades
SegmentaciónRedes wifi
8. La seguridad de la red
9. MonitorizaciónDe la red y de los sistemas
Logs de actividad
Evaluación de la seguridadMejora continua
10. Seguridad gestionada
10 pasospara garantizar la ciberseguridad en su empresa
Analizar los riesgos a los que nos enfrentamos
No sólo las grandes empresas deben preocuparse por su ciberseguridad. La información de su empresa también es importante. Es muy importante garantizar su integridad y disponibilidad, y proteger la información de sus clientes. No piense que la información de su empresa no le interesa a nadie. Hay muchos casos de ciberespionaje entre empresas o de robos de información de clientes.
Su información y la de sus clientes también es muy valiosa para los ciberdelincuentes. También simplemente pueden querer tomar el control de sus equipos para luego utilizarlos en actividades delictivas.
Los mismos controles de seguridad no sirven para todas las empresas. La seguridad es un traje a medida.
Identifique sus procesos críticos. Analice de qué activos, aplicaciones o sistemas dependen. Conozca qué proveedores son necesarios y qué empleados son clave en su funcionamiento.
Después piense en las amenazas que podrían afectar a esos elementos y estudie qué pasaría si una de esas amenazas se materializase. Si lo que ha descubierto le preocupa o ni siquiera se lo había planteado, es el momento de ponerse manos a la obra. Si no lo hace, esto podría impactar gravemente en su negocio.
1
Cada vez hay más amenazas que exceden el ámbito puramente informático. Hace tiempo que la seguridad no se reduce a tener un antivirus y a hacer copias de seguridad.
La seguridad legal, la regularización de los servicios que nos prestan nuestros proveedores, el uso adecuado de las redes sociales en el ámbito empresarial, el aseguramiento de la confidencialidad de la información de la empresa, la reputación digital, son ejemplos de que la gestión de la seguridad en las empresas ha cambiado. Porque los riesgos han cambiado.
Debemos garantizar que cumplimos todas las normativas y leyes que afectan a nuestros sistemas de información y, en general a nuestro negocio. No hacerlo nos expone a posibles sanciones, a perjudicar la imagen de la empresa, e incluso a perder clientes.
Hay que acordar los niveles de servicio (SLA ) que nos prestan los proveedores, por escrito y estableciendo penalizaciones si es necesario. Porque si ellos nos fallan nosotros podemos fallar a nuestros clientes.
Debemos asegurar que nuestros empleados y nuestros colaboradores externos mantienen la debida confidencialidad sobre la información de nuestros proyectos y de nuestros clientes.
La seguridad no depende sólo de los informáticos. Otros departamentos de nuestra empresa tienen también la responsabilidad de garantizarla.
1. Service Level Agreement
Los responsables de la seguridad en la empresa 2
1
Como veremos, es necesario mantener medidas de seguridad técnicas. Pero hay un escenario en el que hay que redoblar esfuerzos: nuestros puestos de trabajo. Los usuarios somos quizás el eslabón más importante de esta cadena.
Se pueden implantar innumerables medidas de seguridad, pero si no formamos y concienciamos a los usuarios en el rol que juegan en el mantenimiento de la seguridad, el trabajo estará incompleto.
Los usuarios en muchos casos somos la primera línea de defensa de la información de nuestra empresa. Los ciberdelincuentes diseñan ataques de ingeniería social dirigidos a los usuarios, porque saben que somos una vía de entrada a la información. Por eso cada vez hay más ciberamenazas relacionadas con las personas. A veces es más fácil
engañar a un usuario que aprovechar una vulnerabilidad técnica.
Ataques de phishing, malware en ficheros adjuntos a correos electrónicos aparentemente normales… Debemos conocer esos riesgos, detectarlos, saber cómo comportarnos ante ellos y reportarlos al personal técnico.
Pero también tenemos que adoptar “hábitos saludables” en materia de seguridad: acostumbrarnos a guardar nuestros documentos en los servidores de ficheros corporativos, utilizar contraseñas robustas, mantener políticas de mesas limpias, bloquear nuestro equipo al ausentarnos, o proteger adecuadamente los dispositivos USB que utilicemos, son algunos ejemplos.
La seguridad en el puesto de trabajo
3
Porque la información que tratamos es el activo más importante de la empresa. Y por eso en primer lugar hay que clasificarla. Un folleto publicitario o nuestra política de calidad es información pública. Pero un procedimiento de trabajo, por ejemplo, ya no lo es. Es información interna. Y la nómina de los empleados, o un acuerdo de colaboración firmado con otra empresa es información confidencial.
Y en función de esa clasificación, definiremos las medidas de seguridad a aplicar.
En cualquier caso es necesario establecer políticas de control de acceso, gestionar los privilegios , autorizar los permisos en cada caso, verificar su vigencia periódicamente. Además hay que monitorizar el acceso a la información de los usuarios, y revisar los registros y logs existentes.
Para proteger su confidencialidad se deben implantar sistemas de autenticación seguros, políticas de contraseñas robustas y, en su caso, mecanismos de cifrado de la información, tanto en su almacenamiento como en su transmisión o transporte en soportes.
Además hay que garantizar su integridad, impidiendo su alteración o modificación no autorizada, y su disponibilidad, implantando políticas de copia de seguridad, replicación o sistemas de redundancia o alta disponibilidad.
Y no olvidemos que la información también se almacena y gestiona en soporte papel.
La protección de la información 4
5Poder trabajar con el portátil en casa, en el hotel o en el aeropuerto nos permite acceder a la información desde cualquier sitio y ser más productivos. Pero las ventajas que presenta la movilidad traen también una serie de riesgos que hay que gestionar.
¿Los portátiles y las tablets de su empresa están cifrados? ¿Qué pasaría si se extravía o roban un portátil?
¿Desde dónde conectan los usuarios? ¿Conocen los riesgos de las WiFis de los hoteles y lugares públicos? ¿Disponen de la posibilidad de acceder por VPN ?
Hay que definir una política al respecto y formar a los empleados para que la cumplan, y para que protejan adecuadamente sus dispositivos y la información que contienen.
¿Sus empleados utilizan servicios en la nube? ¿Han establecido una política corporativa al respecto? ¿Qué tipo de información se puede subir a la nube?
¿Sabe lo que es el BYOD ? ¿Conoce sus características y sus riesgos?
1 VPN: Virtual Private Network2 BYOD: Bring Your Own Device
Movilidad con seguridad
1
2
La protección contra el malware en la empresa debe basarse en una solución corporativa, estándar y presente en cualquier dispositivo que pertenezca o se conecte a la red corporativa.
En muchos casos un dispositivo USB o un correo electrónico con un fichero adjunto contaminado, o el acceso a una página web maliciosa es el origen de muchos problemas en las empresas.
La existencia de software dedicado a la detección de código malicioso puede en algunos casos prevenir y en otros limitar el daño que puede causar el malware en una empresa.
También es necesario determinar cuál es el software autorizado en la empresa, y filtrar el acceso por internet a sitios web potencialmente maliciosos.
Porque igual que la tecnología ha evolucionado, los ciberdelincuentes también lo han hecho. Ya no se trata de vándalos o “curiosos”, sino de grupos criminales que se han dado cuenta de lo importante que es la información y de lo valiosa que puede llegar a ser.
Muchas veces incluso su objetivo no es sólo la información a la que pueden tener acceso, sino que también buscan tomar el control de equipos de la empresa atacada, para después utilizarlos en ataques dirigidos a otras compañías.
Ha surgido la industria del cibercrimen organizado, y hay que estar preparado para defenderse de ella.
Protección antimalware 6
En seguridad, estar al día es fundamental. En todos los sentidos, y desde el punto de vista técnico más si cabe.
Como primer paso, es imprescindible disponer de un inventario de todos los activos y dispositivos informáticos de la empresa, y mantenerlo continuamente actualizado. Este inventario debe contemplar las características técnicas de los equipos, sus sistemas operativos, versiones, licencias y aplicaciones instaladas, con todas sus características.
Para poder llevar a cabo un mantenimiento adecuado de los niveles de seguridad de los sistemas, es necesario estar informados de la aparición de las últimas versiones de las aplicaciones que tenemos instaladas, y de las vulnerabilidades que pueden afectarles.
La gran mayoría de los ciberataques explotan vulnerabilidades conocidas que afectan a las aplicaciones o a las plataformas que las alojan. Aprovechando esas vulnerabilidades los ciberdelincuentes pueden tomar el control de los sistemas. Con ese objetivo rastrean la web buscando equipos desactualizados, para poder atacarlos utilizando vulnerabilidades conocidas.
Por ese motivo, los sistemas operativos y las aplicaciones deben disponer de las últimas versiones y parches.
Actualización y parcheo 7
La red que interconecta todos nuestros sistemas de información es crítica. Debe ser segura y estar protegida frente a ataques, externos e internos. Lo que ocurre en nuestra red debe estar monitorizado, para proteger la información de nuestros sistemas y nuestras aplicaciones.
Por ese motivo, la conectividad a la red de la empresa debe estar restringida por defecto.
Se deben definir responsabilidades y procedimientos de trabajo para la gestión del equipamiento de red. Si es posible, las funciones de administración de la red deben estar separadas de las funciones de operación.
Es necesario implantar sistemas de monitorización del tráfico de nuestra red, que registre lo que está ocurriendo, y que
nos permita protegerla tanto de manera preventiva como reactiva.
Definir una adecuada segmentación de la red permite controlar la visibilidad entre los diferentes sistemas de la red de la empresa, e impedirá que un posible ataque o un malware pueda propagarse por la red o hacer más daño. La división en dominios de red puede realizarse de manera física o lógica, pero en cualquier caso hay que definir adecuadamente sus perímetros de seguridad, y las posibilidades de interconexión controlada entre ellos.
Y no olvidemos las redes WiFi. Con demasiada frecuencia están desprotegidas o mal configuradas, lo que puede permitir el acceso a nuestros sistemas desde el exterior.
La seguridad de la red de la empresa 8
Nuestros activos deben estar actualizados, y nuestra red adecuadamente segmentada. Pero además es necesario que sepamos lo que ocurre, que monitoricemos lo que ocurre en nuestra red y en nuestros sistemas.
Los accesos autorizados o rechazados a los sistemas o a las aplicaciones, los cambios en la configuración de los sistemas, el uso de privilegios especiales, las alarmas o avisos que se puedan generar en los sistemas que integran nuestra red son ejemplos del tipo de información que se debe registrar y analizar para poder detectar de manera preventiva situaciones anómalas.
Toda esta información nos servirá también para, en caso de sufrir un incidente de seguridad, poder analizar qué es lo que ha ocurrido y para identificar posibles fallos de seguridad.
El acceso a los logs de actividad de nuestra red y nuestros sistemas debe estar controlado, para evitar su deshabilitación y su manipulación.
Periódicamente debemos realizar también un análisis de capacidad de los servidores y dispositivos de nuestra organización, para detectar consumos excesivos de recursos que pueden identificar problemas de seguridad, rendimiento o funcionalidad.
También es necesario monitorizar y filtrar el tráfico de la red para detectar posibles situaciones sospechosas.
Monitorización 9
Como la calidad, como la prevención de riesgos laborales, la ciberseguridad de la empresa debe ser gestionada de una manera eficiente y organizada. Es necesario supervisar y controlar la validez de las medidas de seguridad implantadas. Para ello se deberán definir indicadores que nos permitan medir su eficacia y que nos permitan comprobar que los controles definidos realmente han mejorado el nivel de seguridad de la empresa.
La gestión de la seguridad contempla desde aspectos organizativos, como la definición de roles y disponibilidades y la definición de políticas y normativas de seguridad, hasta aspectos técnicos como la gestión de los incidentes de seguridad (desde su detección, notificación y registro hasta su resolución) o la gestión de las vulnerabilidades técnicas de los sistemas y aplicaciones corporativas.
Hay que reevaluar los riesgos de manera periódica, revisar la adecuación de las medidas de seguridad implantadas . Nuestros procesos cambian, y las amenazas cambian. Las medidas de seguridad que sirven hoy no tienen por qué servir mañana y las de ayer quizá no nos sirvan hoy.
Hay que estar atentos. El objetivo es, como siempre, mejorar.
Ciberseguridad gestionada 10
Este decálogo es un punto de partida, una hoja de ruta útil para emprender el camino hacia la gestión de la ciberseguridad de su empresa.
En la web de INCIBE (www.incibe.es) dispone de un amplio abanico de servicios orientados a ampliar la información con los temas que aquí se han expuesto. Allí encontrará contenidos audiovisuales, material de descarga y mucha información de gran ayuda para guiar a su empresa en el camino de la ciberseguridad.
Si su empresa no tiene los medios o el personal necesario para llevar a cabo las iniciativas propuestas por si misma, le ofrecemos también el Catálogo de empresas y Soluciones de Seguridad TIC de INCIBE (http://incibe.es/icdemoest/empresas/Catalogo_STIC/) , que recoge una
buena parte de las empresas proveedoras de soluciones de seguridad TIC presentes en el mercado español.
Esperamos que todos estos servicios le resulten de utilidad.
