La ciber-seguridad esta siendo reconocida ahora universalmente como un asunto de seguridad nacional, debido a la seria amenaza a gobiernos, negocios, escuelas, y personas. Este es un tema que he discutido con otros CIOS y me ha tocado que delante del ex Presidente Calderón, minimicen este grave o grande el problema, cuando en realidad se ha intensificado y cada vez será peor.
Desde los ataques más sencillos y simples al obtener información por descuido o con ingeniería social, hasta sofisticados actores de amenazas, ya sean criminales motivados financieramente, grupos patrocinados por el estado o hacktivistas de intereses ideológicos, se van moviendo mucho más rápido que los buenos. La gente piensa que solamente los Bancos, Gobiernos o grandes corporativos son los que sufren ataques, sin embargo, también la pequeña y mediana empresa pueden ser presas si cuentan con un catálogo o base de datos de clientes o usan tarjetas bancarias o transacciones en línea.
¿Qué pasa cuando el atacante ya está en nuestra red?, ¿En qué afecta que hacken mi portal, o mi cuenta de correo, o mis redes sociales, o mis dispositivos?, sin duda vivimos en una nueva era de constantes amenazas en internet, las cuales nos obligan a pensar en un plan de defensa.
La antigua idea de proteger la información detrás de dispositivos que bloquean amenazas, ha quedado obsoleto. Es por eso es que debemos estar plateando un nuevo enfoque de ciber defensa, basado en la visibilidad, inteligencia y recopilación automatizada de información. Para un ser humano ya es prácticamente imposible discernir entre un ataque genuino y bombas de humo.
No existe un solo proveedor que tenga la solución integral en seguridad, de hecho, yo contrato al menos a ocho diferentes empresas para ayudar en la estrategia de seguridad
Tener personal capaz y certificado en temas de seguridad, contar con un esquema de gobernanza sólido, basado en procesos, procedimientos, políticas, sensibilización al usuario, auditorías internas y externas, software y hardware, un plan de recuperación en caso de desastres, un plan de continuidad de la operación, es el enfoque integral de ciber seguridad.
La complejidad de los ataques avanzados va en aumento, ataques sin firma, ataques a Smartphones que se conectan a aplicaciones de negocios, tabletas infectadas, sitios en internet cargados de malware sin que los usuarios lo sepan, es lo de a diario.
Hoy estamos en medio de una ciber guerra de dimensiones mundiales y si no me crees, entra a este portal y observa el origen y destino de ataques elaborados desde países de todas las latitudes contra otros países o internos: https://cybermap.kaspersky.com/
Los ataques son desde internos por un empleado descuidado o resentido, hasta ataques externos, los bancos y tiendas son presas fáciles por su arrogancia y falta de velocidad de reacción y aunque no existe infraestructura o sistema 100% inmune, si existe un enfoque efectivo para evitar ataques, detectar ataques, etc., te hago una pregunta a ti mi lector ¿has hecho un ejercicio en tu compañía dónde simulen haber sido atacados?, si tu respuesta es sí y ya tienen un plan de respuesta…mis respetos, eres parte de la élite el 0.1% de entidades que lo han hecho bien y sabrás en su momento reaccionar y defenderte rápidamente.
El enfoque más útil lo he encontrado al escuchar a Sergio Castro Reynoso: “Los tres objetivos de la seguridad son garantizar la confidencialidad, integridad y disponibilidad de la información presente en nuestra red.
Para lograr esto, tenemos tres preceptos arquitectónicos: 1. Prevenir que el intruso entre, 2. Prevenir que el intruso tome control de máquinas en nuestra red, y 3. Prevenir que el intruso salga. Revisando los 27 Controles Críticos veremos que cada uno de ellos ayuda a cumplir uno o más de los objetivos, utilizando uno o más de los preceptos. Entonces, cada vez que implementemos un control de cualquier tipo, debemos preguntarnos si esta cumpliendo algunos de los objetivos de la seguridad informática. Si no lo está, entonces realmente no es un control de seguridad informática”.
Los Controles Críticos a los que se refiere son:
- Control 1: Firewalls, Ruteadores, y Switches
- Control 2: Implementación segura de DNS
- Control 3: Administración de Passwords
- Control 4: Inventario de Hardware
- Control 5: Inventario de software
- Control 6: Inventario de puertos y servicios
- Control 7: Inventario de GUIs
- Control 8: Escaneo y remediación de vulnerabilidades
- Control 9: Endurecimiento de servidores y PCs
- Control 10: Web Application firewall
- Control 11: Protección de base de datos
- Control 12: Antimalware
- Control 13: Protección de plataformas móviles
- Control 14: Protección de redes inalámbricas
- Control 15: Filtrado de email y sitios web
- Control 16: Sistema de prevención y detección de intrusión
- Control 17: Análisis de bitácoras
- Control 18: Análisis de tráfico
- Control 19: Monitoreo de integridad de archivos
- Control 20: Prevención de perdida de datos
- Control 21: Encriptación de datos en transmisión
- Control 22: Encriptación de datos en almacenamiento
- Control 23: Defensa en contra de denegación de servicio
- Control 24: Entrenamiento a usuarios
- Control 25: Control de acceso físico
- Control 26: Pruebas de penetración
- Control 27: Plan de respuesta a incidentes
Finalmente, todo debe desembocar en una estrategia de arquitectura de ciber seguridad, que debe abarcar los siguientes nueve puntos:
- Selección de controles a implementar
- Definición del nivel actual de implementación de cada control
- Identificar proveedores para cada control
- Pedir presentaciones y demostraciones de cada solución
- Emitir licitaciones para cada solución
- Crear Matriz de Análisis de Proveedores (MAP)
- Selección de soluciones
- Implementación
- Proceso de mejora continua
