Empresa fuerte con ciberseguridad: julio 2020

Desmitificando términos relacionados con ciberseguridad.

Algunas veces cuando se desea contratar los servicios para evaluar el estado de la seguridad informática, algunos de los términos que se utilizan resultan un poco confusos o no son fáciles de entender, por ello, en las siguientes líneas vamos a describir los principales términos utilizados en ciberseguridad tratando de explicarlos de una forma fácil.

Estos son algunos de los términos utilizados cuando se desena contratar pruebas de seguridad informática:

• Pruebas de seguridad informática

• Pruebas de ingeniería social

• Análisis de vulnerabilidades

• Gestión de vulnerabilidades

• Auditoría informática

• Hacking ético

• Pentesting

Pruebas de seguridad informática: se refiere a un grupo de ejercicios que se puede llegar a realizar una o varias veces. Dentro de estos ejercicios pueden estar contemplados el análisis de vulnerabilidades, auditorias, pentesting, hacking ético entre otras.

Pruebas de ingeniería social: Las pruebas de ingeniería social se refiere al arte de vulnerar el sistema operativo humano, es decir, hacer que informáticamente las personas hagan cosas que normalmente no harían, por ejemplo, revelar sus contraseñas. (Si, si pasa).

Análisis de vulnerabilidades: Es una labor automatizada mediante la cual se verifica, mediante un software especializado, si las vulnerabilidades reportadas a nivel mundial hasta el momento de las pruebas, se encuentran presentes en los equipos que se desean analizar.

Gestión de vulnerabilidades: es un proceso continuo de TI consistente en la identificación, evaluación y corrección de vulnerabilidades en los activos de una organización.

Auditoría informática: proceso que consiste en recoger, agrupar y evaluar evidencias para determinar si lo que esta, es lo que debe ser. El deber ser puede ser una línea base, normatividad, mejores prácticas o regulaciones entre otras.

Pentest: La prueba de penetración es un procedimiento formal que tiene como objetivo descubrir vulnerabilidades de seguridad, riesgos de fallas y un entorno poco confiable. Puede verse como un intento exitoso pero no dañino de penetrar en un sistema de información específico.

Hacking ético: es un término global que incluye todos los métodos de hacking y otros métodos de ataque cibernético relacionados.

Comparado con el hacking ético, el pentest es una fase enfocada. En pocas palabras, el hacking ético es algo así como un término genérico, y el pentest es sólo un fragmento de todas las técnicas de hacking, por lo tanto, las pruebas de penetración son un subconjunto del hacking ético.

En este cuadro se puede ver más en detalle la diferencia entre los dos términos, y uno de los factores que más los diferencia es el hecho de que no se requiere certificaciones para ejecutar pruebas de pentest lo cual si es requerido para ejecutar pruebas de hacking.

Pentest	Hacking ético
Un término limitado que se centra en realizar evaluaciones de ciberseguridad en sistemas de TI.	Un término integral en el que las pruebas de penetración son solo una característica.
Un probador necesita tener un buen conocimiento y habilidades solo en el área específica para la cual realiza la prueba pentest.	Un hacker ético necesita poseer un conocimiento integral de diversas técnicas de programación y hardware.
Cualquiera que esté familiarizado con las pruebas de penetración puede realizar pruebas de pentest.	Por lo general, se requiere una certificación obligatoria de ethical hacking. (Ejm CEH)
Se requiere acceso solo a aquellos sistemas en los que se realizará la prueba de pentest.	Se requiere acceso a una amplia gama de sistemas informáticos en toda la infraestructura de TI.

Recuerde que las pruebas de seguridad informática siempre deben ser realizadas por personal especializado de preferencia con experiencia, certificado o con estudios en el área.

Cuatro componentes para prevenir incidentes de ciberseguridad.

Uno de los pilares fundamentales sobre los cuales esta soportada gran parte de las organizaciones es la tecnología. Mantener este pilar operando es fundamental ya que en él se apoya el manejo de la información, los datos y las conexiones que necesita la organización para apalancar los procesos de negocio.

Para mantener este pilar en operación, son cuatro los componentes básicos que le pueden llegar a ayudar para minimizar el impacto de un posible incidente de seguridad:

• Tecnología actualizada.

• Ingenieros capacitados con experiencia.

• usuario final concientizado.

• procedimientos adecuados.

El primer paso es mantener equipos de protección perimetral actualizados y con los debidos contratos de mantenimiento, de la misma forma, el software de los servidores deberá estar actualizado y con sus respectivas licencias operativas, igualmente pasa con el software de los computadores del personal, deberán estar actualizados y operativos.

De preferencia, todo el software de organización deberá esta inventariado y adquirido a un fabricante reconocido que le pueda brindar el soporte y la capacitación para la operación del mismo. El software libre o “gratis” no ofrece el soporte que se puede llegar a requerir en caso de un incidente, adicional, en la mayoría de los casos la curva de aprendizaje es alta y no es fácil de conseguir personal para su operación, por todo esto lo recomendado es software comercial.

Importante tener el personal de tecnología con experiencia y capacitado en la operación de los equipos de cómputo y usuario final. No se recomiendan practicantes o ingenieros recién egresados para administrar los equipos en donde se encuentra la información crítica de la organización. Dejar la operación del centro de cómputo a personas sin experiencia es igual a contratar a una persona que acaba de sacar su licencia de conducir para transportar gente en un bus de servicio público.

El talón de Aquiles de toda empresa, “usuario final no capacitado”. Este es el eslabón más débil de la cadena de seguridad, un usuario final capacitado será nuestra primera línea de defensa, por ejemplo, reportará posibles ataques a través del correo electrónico.

Procedimientos adecuados, para que recorrer a ciegas el camino que muchas empresas ya lo han recorrido. Una buena práctica es alinear los procedimientos de la organización con las mejores prácticas en temas de ciberseguridad. Adoptar un marco de trabajo como el marco de ciberseguridad del NIST le puede ayudar a madurar los procesos en temas de ciberseguridad.

Para finalizar, recuerde siempre tener personal capacitado y usuario final concientizado, por lo demás, tener en cuenta las recomendaciones sobre los cuatro componentes básicos que le pueden ayudar en la prevención de la materialización de un incidente de ciberseguridad.

Porque el análisis de vulnerabilidades dos veces al año no es suficiente.

Con el creciente aumento de ataques informáticos que sufren las organizaciones actualmente, se hace necesario reevaluar la frecuencia con la que se revisan las vulnerabilidades informáticas presentes en los equipos informáticos y los riesgos digitales a los que estos están expuestos.

Independiente del país donde se encuentre, la normatividad le exigirá que realice dos o cuatro análisis de vulnerabilidades dependiendo del sector en el cual se encuentre. Esta es la medición mínima que debe hacer de acuerdo con las normatividades vigentes hace más de diez años.

La pregunta aquí sería: ¿desea cumplir con la normatividad exclusivamente o prefiere atender su cumplimiento y a la vez proteger su organización con la detección temprana de riesgos digitales?

Analicemos el caso de la empresa AAA que desea solo cumplir con la normatividad y para ello contrata una consultoría externa que ejecuta dos análisis de vulnerabilidades al año, uno en la primera semana de enero y otro en la primera semana de julio.

Teniendo en cuentas que la mayoría de los fabricantes liberan parches de seguridad semanalmente y que solo durante el 2019 se descubrieron 12174 vulnerabilidades a un promedio de 230 nuevas vulnerabilidades por semana, vamos a tomar la semana como la unidad de frecuencia de análisis de vulnerabilidades.

Para la empresa AAA, si solo se realizan dos análisis durante el año entonces solo en dos de las cincuenta y dos (52) semanas sabrá cómo está sus activos informáticos con respecto a las vulnerabilidades conocidas hasta el momento, tendrá solo 4% de visión, lo que quiere decir que el 96% del año no sabrá si esta expuesta, adicionalmente, si son descubiertas nuevas vulnerabilidades en febrero, marzo o cualquier otro mes ciego, deberá esperar hasta la primera semana de julio para saber si las nuevas vulnerabilidades halladas se encuentran en alguno de sus activos informáticos.

En la tabla podemos observar que a medida que se incrementa el número de análisis por año, también aumenta el porcentaje de visibilidad del riesgo digital.

El porcentaje de incertidumbre se puede determinar como el porcentaje del tiempo en un año en el que la empresa no sabe si está expuesta a nuevos riesgos digitales. A mayor frecuencia de análisis, menor porcentaje de incertidumbre.

Para concluir, se puede decir que dos veces al año no es suficiente, el análisis de vulnerabilidades se debe realizar lo más frecuentemente posible para reducir el nivel de incertidumbre ante los riesgos digitales. A manera de anotación debo decir que hay organizaciones que de acuerdo con la criticidad de sus activos, realizan dos o tres análisis por semana.

En una próxima entrada veremos las diferencias entre los siguientes términos: Análisis de vulnerabilidades, pruebas de hacking ético, pruebas de pentesting y pruebas de auditoría.

Tenga en cuenta que para este post solo se trató exclusivamente del tema de análisis de vulnerabilidades, independiente si se realiza de forma interna o con una firma externa especializada en el tema, más adelante hablaremos de la inclusión del análisis de vulnerabilidades dentro de un programa de gestión de vulnerabilidades y como se puede incluir este programa dentro del marco de ciberseguridad para el tratamiento de riesgos digitales.

Que es el marco de ciberseguridad del NIST - Cyber security Framework. Para que sirve y como empezar.

En el actual mundo de la seguridad de la información existen por lo menos una docena de normas, marcos y mejores prácticas que nos adentran dentro del camino de la protección de los datos. Por nombrar solo algunas de ellas, estan: COBIT, ISO 27001, NIST SP 800-53. Elegir cual es la que más se ajusta a la organización no es una dicisión fácil de tomar pero que se debe hacer ya que atacar el asunto de forma desorganizada puede traer consecuencias no deseadas, por ello, si se quisiese aprovechar lo mejor de cada uno de estas normas, marcos de trabajo, mejores prácticas y metodologías de la industria con el fin de establecer una línea de trabajo consistente y práctica para abordar los riesgos de ciberseguridad actuales, muy seguramente la elección sería el Marco de Ciberseguridad del NIST (NIST Cybersecurity Framework).

Este marco está basado y/o hace referencia a los siguientes estándares, directrices y mejores prácticas:

Control Objectives for Information and Related Technology (COBIT)
Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)
ANSI/ISA-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program
ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and Control Systems: System Security Requirements and Security Levels
ISO/IEC 27001:2013, Information technology --Security techniques --Information security management systems --Requirements
NIST SP 800-53 Rev. 4: NIST Special Publication 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations

Los objetivos del marco de ciberseguridad del NIST son:

Identificar estándares de seguridad y guías aplicables de forma trasversal a todos los sectores de infraestructuras críticas.
Establecer un lenguaje común para gestionar riesgos de ciberseguridad.
Proveer un enfoque priorizado, flexible, repetible, neutral, basado en desempeño y efectivo en términos de coste-beneficio basado en las necesidades del negocio.
Ayudar a los responsables y operadores de infraestructuras críticas a identificar, inventariar y gestionar riesgos informáticos.
Establecer criterios para la definición de métricas para el control del desempeño en la implementación.
Establecer controles para proteger la propiedad intelectual, la privacidad de los individuos y las libertades civiles cuando se ejecuten actividades de ciberseguridad.
Identificar áreas de mejora que permitan ser gestionadas a través de colaboraciones futuras con sectores particulares y organizaciones orientadas al desarrollo de estándares.
No introducir nuevos estándares cuando existan iniciativas ya desarrolladas que cubran los objetivos de la orden ejecutiva.

De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en estándares, directrices y prácticas existentes para que las organizaciones de infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. Además, se diseñó para fomentar las comunicaciones de gestión del riesgo y la seguridad cibernética entre los interesados internos y externos de la organización".

De acuerdo con lo anterior, los objetivos del marco de trabajo en su implementación en una organización se podrían catalogar en los siguientes puntos:

Describir la postura actual de ciberseguridad
Describir el estado objetivo de ciberseguridad
Identificar y priorizar oportunidades de mejora en el contexto de un proceso continuo y repetible
Evaluar el progreso hacia el estado objetivo
Comunicación entre las partes interesadas internas y externas sobre el riesgo de ciberseguridad

Todo esto enmarcado en un enfoque orientado a la gestión del riesgo.

El Cybersecurity Framework de NIST utiliza un lenguaje común para guiar a las compañías de todos los tamaños a gestionar y reducir los riesgos de ciberseguridad y proteger su información.

El marco comtempla un conjunto de actividades de ciberseguridad, resultados y referencias informativas que son usuales a través de los sectores de infraestructura crítica. Así, proporciona la orientación detallada para el desarrollo de perfiles individuales de la organización. Mediante el uso de los perfiles, el marco ayudará a la organización a alinear sus actividades de ciberseguridad con sus requisitos de negocio, tolerancias de riesgo y recursos. Por su parte, los niveles de implementación del marco (tiers) proporcionan un mecanismo para que las empresas puedan ver y comprender las características de su enfoque para la gestión del riesgo de ciberseguridad.

El framework Core consta de cinco funciones:

Identificar (Identify): Permite determinar los sistemas, activos, datos y competencias de la organización, su contexto de negocio, los recursos que soportan las funciones críticas y los riesgos de ciberseguridad que afectan este entorno.
Proteger (Protect): Permite desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto de un evento potencial de ciberseguridad.
Detectar (Detect): Permite desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización continua.
Responder (Respond): Permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto.
Recuperar (Recover): Permite el despliegue de actividades para la gestión de resiliencia y el retorno a la operación normal después de un incidente.

Niveles de implementación del marco

Los niveles de Implementación le permiten a la organización catalogarse en un umbral predefinido en función de las practicas actuales de gestión de riesgo, el entorno de amenazas, los requerimientos legales y regulatorios, los objetivos y misión del negocio y las restricciones de la propia empresa.

Perfiles del Marco

Los perfiles se emplean para describir el estado actual (Current profile) de determinadas actividades de ciberseguridad. El análisis diferencial entre perfiles permite la identificación de brechas que deberían ser gestionadas para cumplir con los objetivos de gestión de riesgos. De acuerdo con las descripciones anteriores, la arquitectura global del marco de trabajo de ciberseguridad quedaría de la siguiente manera:

Implementación del marco

Para implementar un programa de ciberseguridad basado en el CSF del NIST, se debe seguir los siguientes pasos:

Paso 1 – Priorización y definición de alcance: Mediante la identificación de los objetivos y misión del negocio y las prioridades de alto nivel en términos organizacionales, se decide de forma estratégica el entorno de aplicabilidad de los controles. Este entorno puede ser toda la organización, una línea de negocio en particular o un proceso, teniendo presente que cada uno de estos elementos puede tener diferentes niveles de tolerancia al riesgo.
Paso 2 – Orientación: Se identifican los sistemas, activos, requerimientos regulatorios, amenazas y vulnerabilidades vinculadas al entorno de aplicabilidad definido.
Paso 3 – Crear un perfil actual: A través de las funciones del marco básico y empleando las categorías y subcategorías, se obtienen los resultados de implementación de controles en el entorno.
Paso 4 – Ejecutar un análisis de riesgos: Se ejecuta un análisis de riesgos que permita determinar la probabilidad y el impacto de eventos de ciberseguridad en el entorno analizado.
Paso 5 – Crear un perfil objetivo: Se establecen los objetivos que en términos de ciberseguridad la organización pretende cubrir.
Paso 6 – Determinar, analizar y priorizar las brechas detectadas: Mediante el análisis diferencial entre el perfil actual y el perfil objetivo, se define un plan de acción priorizado en términos de coste/beneficio, que permita la determinación de recursos y acciones de mejora.
Paso 7 – Implementar el plan de acción: Se procede con la alineación de controles y despliegue de mejoras de forma paulatina y monitorizada.

Todas estas acciones deben ser implementadas dentro de un entorno de mejora continua, permitiendo que la organización optimice sus controles de seguridad y escale a niveles superiores dentro del marco de coberseguridad.

A manera de conclusión se puede afirmar que el marco de ciberseguridad del NIST ofrece el mejor complendio de lo contemplado en las normas, marcos y mejores prácticas que tratan acerca de la protección de la información. Es sin lugar a dudas un forma fácil y rápida de abordar el tema de protección de la información con respecto a los riesgos digitales.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario