Los elementos de un plan de ciberseguridad eficaz

Análisis de los elementos clave que constituyen un plan de ciberseguridad eficaz para ayudar a los responsables de seguridad a evitar o mitigar el impacto de una violación.

En ocasiones, saber que alguien no para de pensar en nosotros puede resultar halagador, pero la cosa cambia cuando ese alguien es un hacker. La realidad es que existen agentes maliciosos que buscan constantemente información que puedan robar a su organización. Estos examinan su red en busca de vulnerabilidades que puedan explotar para su beneficio personal y puede que incluso rastreen a sus empleados u otros usuarios que tengan acceso a sus sistemas.

Lo cierto es que la respuesta frente a una violación requiere mucha planificación previa, por lo que toda organización debe tener un plan de ciberseguridad formado por varios elementos clave. Este tipo de plan ayuda a garantizar que todos los responsables de tratar con un ciberataque sepan qué hacer, tengan los recursos a mano para detenerlo, protejan la red y gestionen cualquier repercusión.

Este artículo es el primero de una serie de dos partes y en él examinaremos los principales elementos de un plan de ciberseguridad. El otro artículo trata de la Gestión de Acceso Privilegiado (PAM) en un plan de ciberseguridad. Es conveniente destacar que PAM puede funcionar como una solución central y unificadora para definir y aplicar las políticas de control de acceso que afectan a casi cada aspecto del plan de ciberseguridad y respuesta a incidentes.

Elementos que componen un plan de ciberseguridad

A continuación, vamos a enumerar una serie de elementos que deben estar implementados para a) evitar que las violaciones continúen y b) responder rápidamente a incidentes y mitigar sus impactos. Es necesario que su plan de ciberseguridad incluya todos los elementos siguientes para que su organización pueda responder eficazmente ante una violación.

1. Ponga en orden los sistemas de seguridad básicos

Todo proceso de planificación debe evitar que, en primer lugar, se produzca un problema: los mejores incidentes son aquellos que nunca suceden. Con el fin de alcanzar este objetivo, o al menos reducir las probabilidades de sufrir una violación catastrófica, debe asegurarse de que sus sistemas de seguridad básicos funcionan a todo gas y que sus políticas de seguridad están completamente implementadas. Algunas de ellas son:

  • Firewalls
  • Sistemas de detección de intrusiones
  • Sistemas de Gestión de Eventos e Información de Seguridad (SIEM), de ser necesarios
  • Sistemas de monitoreo de seguridad automatizada u organización alertas, de ser necesarios
  • Filtros de spam/Antiphising
  • Control de acceso: tanto la Gestión de Accesos e Identidades (IAM) como la Gestión de Acceso Privilegiado (PAM) para el acceso administrativo del backend
  • Autenticación de contraseñas fuertes/de dos factores, cuando sean necesarias
  • Cifrado de datos sensibles (en reposo y en tránsito, tal y como lo establecen las regulaciones y políticas)
  • Software de seguridad para smartphones

2. Colabore con las partes internas interesadas

El personal y los equipos de TI, finanzas, jurídicos u otros departamentos de la empresa deben estar preparados para hacer frente a una posible violación de ciberseguridad en cualquier momento. Todo el mundo debe tener un papel predeterminado asociado a su respuesta a incidentes para así conseguir evaluar la situación sin perder ningún tiempo preciado. Para ello, se debe formar a todos los empleados en el reconocimiento de las señales de un ataque ya que, llegado el momento, estos podrán distinguir las tácticas como la ingeniería social que se utiliza para engañar a la gente para que proporcione su información personal, la instalación de software maligno en la red o el robo de información por parte de un hacker. Cuando se trate de una pérdida de datos, todo el equipo tiene que estar listo y en sus puestos, ya que cada minuto cuenta.

3. Trabaje dentro de un marco

La respuesta de ciberseguridad debe adaptarse a las circunstancias y tipos de datos protegidos. Un marco es un componente importante de la gestión de riesgos de ciberseguridad que requiere la gestión de todas las personas, tecnologías y procesos de la organización. En el momento que necesite actuar, este marco debe proporcionarle el plan que necesita para tratar con un incidente de ciberseguridad, sin titubeos ni retrasos. Su alcance debe abarcar todos los procesos de trabajo: desde personas de dentro y fuera de la empresa, incluidos los proveedores, hasta los dispositivos que están conectados a su red corporativa. Si no sabe cómo empezar, consulte el marco del equipo de respuesta a emergencias informáticas de EE. UU. (US-CERT) o el marco de ciberseguridad del NIST.

4. Esté atento a la inteligencia de amenazas

Cuantas más decisiones informadas tome durante un ciberataque, mejor. En primer lugar, tiene que reconocer las señales y tácticas de un ataque, así como los procedimientos y técnicas empleando como referencia indicadores predeterminados. La inteligencia de amenazas incluye estos indicadores, además de contexto e ideas útiles sobre amenazas existentes y emergentes para los activos de la empresa. El conocimiento que se incluye en este tipo de inteligencia está basado en pruebas, lo que proporciona las herramientas necesarias para tomar decisiones informadas en el momento en el que se produce un incidente de ciberseguridad. Existen una serie de vulnerabilidades que proporcionan contexto a la amenaza: contraseñas administrativas compartidas, software sin parches que opera en sistemas, configuraciones de infraestructura o de negocio y procesos. El reconocimiento de las acciones que un miembro del equipo lleva a cabo accidental o deliberadamente también proporciona la inteligencia de amenazas necesaria para responder adecuadamente a un incidente de ciberseguridad.

5. Comprenda los factores regulatorios y la responsabilidad general

La respuesta a una violación debe tener en cuenta las regulaciones de su sector, en particular en ámbitos como la sanidad o las finanzas. Si la información personal se expone, usted se arriesga a que le multen o le impongan otras sanciones. Por ejemplo, si se determina que su organización ha gestionado de manera negligente la seguridad, esta puede hacer frente a consecuencias jurídicas (agravios) y regulatorias. En esos casos, disponer de un registro de auditoría detallado de lo sucedido antes, durante y después de la violación puede resultar bastante útil para eximir a su organización de la acusación de negligencia en sus obligaciones de seguridad.

6. Lleve a cabo una evaluación del riesgo exhaustiva

Para ello, consulte un modelo sobre las amenazas más extendidas basadas en los riesgos identificados, la probabilidad de que se produzcan y el daño que pueden provocar. Las medidas que se adopten a partir de dicho modelo deben involucrar al personal adecuado que aparece indicado en el mismo. Una vez que se prioricen las amenazas de ciberseguridad, los pasos que cada individuo del personal tiene que abordar a medida que se producen se volverán más claros para todas las partes interesadas. La evaluación del riesgo no solo perfecciona su respuesta de ciberseguridad, sino que, sobre todo, ayuda a evitar ataques, ya que implica ponerse en el lugar del atacante. Si sabe qué es lo que más les puede interesar a los hackers, le resultará más sencillo centrar sus recursos en la protección de los datos más valiosos.

7. Comience la planificación de respuesta a incidentes

Consulte los cambios en la planificación, amenazas y regulaciones más recientes. Incluya las últimas mejoras, formación y preparación para que sus equipos sepan cómo actuar tan pronto como se detecte la amenaza. También es conveniente tener en cuenta que, a pesar de todos los esfuerzos preventivos, siempre existe la posibilidad de que se produzca una violación de seguridad. Las amenazas de ciberseguridad están en constante evolución, por lo que es importante ser proactivo, por lo que estas mejoras, formación y preparación deben ser implementadas antes de que se produzca el próximo intento de violación.

Es necesario comprobar y tener al día cada plan de respuesta a incidentes, ya que lo más probable es que los anticuados no sean eficaces.

En caso de que se produzca un ataque, si todos los elementos de su plan están implementados, podrá avisar de inmediato a todo el personal y programas de gestión de riesgos asociados con la ciberseguridad. Otro factor clave cuando se produce un incidente es la visibilidad: lo ideal es que pueda ver quién ha accedido a la red, a qué sistemas y a qué hora (un sello distintivo de los sistemas de Gestión de Acceso Privilegiado), para recabar tanta información como sea posible.

 

En la segunda parte de esta serie de artículos podrá informarse sobre cómo PAM hace que todos los demás elementos de su plan de ciberseguridad funcionen según lo previsto… PAM y el plan de ciberseguridad.