Empresa fuerte con ciberseguridad: septiembre 2020

Activando el servicio de teletrabajo de forma segura.

El teletrabajo llegó para quedarse, facilitando la forma de desarrollar las tareas cotidianas de forma remota. Facilitar el teletrabajo de forma segura es uno de los retos a los cuales se ven enfrentados los departamentos de tecnología ya que un descuido puede poner en riesgo la información digital de la organización.

Estos son algunos de las recomendaciones para que la organización active el servicio de teletrabajo seguro:

Establecer canales seguros de comunicación: Se hace indispensable el uso de servicios como VPN para conectarse de forma remota a la red de la organización.
No se recomienda activar direcciones IP públicas sobre equipos que no estén protegidos por un servicio de firewall, UTM, WAF entre otros.
No activar servicios de red directamente sobre Internet.
Utilizar programas de software licenciado. Teamviewer, anydesk y otros son software de pago que requieren licencia.
Otorgar el mínimo de los privilegios para el usuario final.
En lo posible utilizar software para prevención de fuga de información. DLP.
Los equipos asignados a los usuarios finales deben tener end point protection (antivirus) licenciado y actualizado.
Preferiblemente que los equipos de los usuarios remotos sean de la organización, con ello se puede tener mejor control de la información que se maneja en el equipo.
Si el equipo es propiedad del usuario final, se debe establecer los controles adecuados para evitar la fuga de información como por ejemplo, subordinar el equipo a las políticas de la organización. (esto requiere de una autorización del propietario del equipo).
Concientizar al usuario final en temas de ciberseguridad como por ejemplo, como evitar ser presa del phishing.
Adquirir polizas de ciberseguridad para la organización. (En Colombia ya existen).

Estas son las recomendaciones básicas para que una organización le permita conectarse de forma segura a sus usuarios remotos. Tenga en cuenta que pueden llegar a existir recomendación particulares, por lo que se sugiere hacer los ajustes pertinentes de acuerdo con el perfil de la organización.

Ciber-resiliencia: ¿Que tan rápido se puede recupera de un ciberataque?

Por definición:

“capacidad de la organización para recuperarse de forma rápida ante un ciberataque.”

Ya se han tratado temas de riesgos digitales, amenazas cibernéticas, vulnerabilidades, activos y otros más, ahora, la respuesta a la siguiente pregunta le permitirá saber que tan robusta es su organización en términos de ciberseguridad: ¿Qué tan rápido se puede recuperar de un ciberataque?

La respuesta a esta pregunta lo va a posicionar pasos adelante o pasos atrás de su competencia, esto debido a que si su competencia se recupera más rápido, podrá atender más rápidamente el mercado en el cual están compitiendo. Esta respuesta también puede influir en el impacto económico que pueda llegar a tener un ciber-ataque en su organización, ya que si no tiene operativos los servicios, no se puedrá facturar, por ende no habrá ingresos económicos.

Tres de las ventajas de una organización ciber-resilente:

Reducción del impacto económico
Ventaja frente a la competencia
Gestión y tratamiento de riesgos

Estos son los pasos recomendados para que la organización sea ciber-resilente:

Evaluación: Evaluar los riesgos poniendo la vista en la recuperación ágil de la operación en el caso de ocurrir un ciberataque.

Protección: Elegir los controles adecuados para proteger y mantener la operación, iniciando con los servicios básicos de la organización.

Monitorización: El monitorear contantemente del desempeño de los controles seleccionados y su correcta operación le darán esa ventaja que necesita para tomar las decisiones adecuada en el momento oportuno.

Solución: Aplicar las acciones necesarias para mejorar los controles de acuerdo con los datos obtenidos de la monitorización del desempeño de los mismos.

Recuperación: Aquí es importante abordar los temas de “plan de recuperación de desastres”, “plan de continuidad del negocio”, es saber qué hacer en el caso de que los controles fallen y se deba mantener la operación de la organización.

Ciber-resilente: recuperar la operación de los servicios básicos lo más rápido posible.

A menor tiempo de recuperación de los servicios esenciales de la organización, mayor es su grado de ciber-resilencia, por ende, mayor ventaja competitiva, mayores ingresos y mejor imagen corporativa.

Métricas: la importancia de medir y controlar en ciberseguridad.

Las métricas en ciberseguridad permiten medir, controlar y tomar decisiones de acuerdo a sus resultados y metas definidas, ajustándose a cada organización y a sus objetivos de negocio. En este post vamos a trabajar cinco métricas que pueden ayudarle a tomar decisiones relacionadas con la protección de los datos digitales de su organización.

Las métricas se deben medir por periodos de tiempo para permitir llevar estadísticas de su comportamiento y facilitar la toma de decisiones. En la mayoría de los casos, el periodo de tiempo se toma de forma mensual.

Relacionadas con la prevención de materialización de incidentes:

Tiempo medio para detectar o descubrir una vulnerabilidad.

Corresponde al tiempo que se demora la organización en detectar una posible vulnerabilidad presente en los activos y que puede llegar a ser explotada por alguna amenaza. Esta métrica se puede medir en días y el riesgo es directamente proporcional a esta métrica, a mayor número de días, mayor riesgo.

Tiempo medio de remediación de vulnerabilidades

Esta métrica corresponde al número de días que la organización se tarda en remediar una vulnerabilidad una vez que ha sido detectada. Es de tener en cuenta que la no remediación de estas vulnerabilidades puede incidir en la materialización de los incidentes de ciberseguridad. A mayor tiempo de remediación, mayor riesgo.

Número de incidentes de ciberseguridad: reportados/solucionados

Corresponde al número de incidentes de ciberseguridad reportados en un periodo de tiempo y la atención y soluciones de estos incidentes.

Tiempo medio para detectar o descubrir la causa de un incidente

Se refiere al tiempo medio que se tarda en descubrir un problema. Mide el período entre la materialización del incidente y la cantidad de tiempo que le toma identificar la causa del mismo. El equipo de atención de incidentes debe tener tiempos cortos de detección para poder a entrar a trabajar sobre la causa.

Tiempo medio de resolución de un incidente

Se refiere al tiempo que lleva solucionar el incidente. Es una medida de la cantidad promedio de tiempo que se necesita para solucionar la materialización del incidente.

Cuando se habla de tiempos, lo más común es que sea en días, claro está que existen organizaciones que toman estos periodos de tiempo en horas, incluso minutos, ya que una hora de inactividad puede costar miles de dólares, ejemplo: sector financiero.

Una cita del famoso físico matemático británico, William Thomson Kelvin: “Lo que no se define no se puede medir. Lo que no se mide no se puede mejorar. Lo que no se mejora, se degrada siempre”.

Es importante definir las métricas adecuadas para la organización ya que esto facilita la toma de decisiones y el ajuste de procesos. No tener métricas es tomar decisiones a ciegas.

Otras métricas que pueden resultar de interés:

Número de intentos de intrusión/contención
Costo por incidente
Número de usuarios con nivel de acceso "privilegiado".
Número de días para desactivar las credenciales de los empleados.
Frecuencia de revisión de accesos de terceros

Hablando de términos de tiempo en ciberseguridad: periódicamente, MTTD y MTTR.

Ya hemos hablado de cada cuanto se debe hacer pruebas de seguridad, en Porque el análisis de vulnerabilidades dos veces al año no es suficiente, en esta entrada vamos a tratar la periodicidad y dos términos nuevos que han sido acuñados “recientemente” por los especialistas en ciberseguridad: MTTD y MTTR.

Tanto si la organización cuenta o no, con un programa de gestión de riesgos, es muy importante la ejecución de las pruebas de análisis de vulnerabilidades para determinar la existencia de debilidades en los activos críticos de la organización. Por normatividad, estas pruebas se deben de realizar, para unas empresas dos (2) veces al año y para otras cuatro (4) veces al año. Se debe tener en cuenta que estas normatividades tienen más de diez (10) años y hablan acerca de lo “mínimo” que se debe hacer. Más allá de cumplir con las normatividades, está el hecho de detectar posibles riesgos a tiempo para prevenir los incidentes de ciberseguridad.

El término “periódicamente” se refiere a que una actividad se repite a intervalos de tiempo, en términos de ciberseguridad, un año es una barbaridad de tiempo, más aún cuando, solo durante el 2019 se descubrieron 12174 vulnerabilidades a un promedio de 230 nuevas vulnerabilidades por semana. Por ello, cuando la organización tiene definido el término periódicamente como un año, sería similar a una persona que se hace chequeos de salud periódicamente cada 10 años.

Ahora, aceptemos temporalmente el periodo anual. En ciberseguridad se manejan dos términos importantes que son: MTTD y MTTR. En palabras simples, el primero se refiere al tiempo que se demora una organización en detectar una vulnerabilidad crítica en la organización y el segundo se refiere a, una vez detectada una vulnerabilidad, cuánto tiempo se demora el equipo responsable en cerrar esa vulnerabilidad.

Las preguntas ahora serían:

¿Cuánto tiempo se está dispuesto a estar a ciegas sin saber si existen vulnerabilidades críticas en los activos críticos de la organización? Posibles respuestas: un mes, tres meses, un año... este es el tiempo que la organización va a estar en riesgo por desconocimiento.

¿Una vez identificada la vulnerabilidad, cuánto tiempo se está dispuesto a permitir que la organización esté en riesgo? Posibles respuestas: un día, una semana, un mes... este es el tiempo que la organización va a estar en riesgo por no tratamiento a tiempo de los riesgos.

En cualquiera de los dos casos, entre más alto es este tiempo, mayor es el riesgo que corre la organización.

Para el siguiente ejercicio, definamos un riesgo como: Posibilidad de sufrir un incidente de ciberseguridad por desconocimiento de las vulnerabilidades a las cuales está expuesta la plataforma de tecnología.

El anterior gráfico muestra el nivel de riesgo cualitativo conocido, el cual va creciendo periódicamente durante un año. Para la serie 1, suponemos que los análisis son realizados el primer día de cada mes, el nivel de riesgo va creciendo durante el mes pero llega a cero el primer día de cada mes debido a que se ejecuta un nuevo análisis y se conocen las nuevas vulnerabilidades que pueden afectar la plataforma. Lo mismo ocurre para la serie dos (2) de forma trimestral y para la serie tres (3) de forma anual. De las tres (3) series la que más alto riesgo tiene es la serie con periodicidad anual (número 3), en la otra mano, la que menos riesgo tiene es la serie número uno (1) con periodicidad mensual, como resultado: entre más frecuentes se realicen las pruebas menor va a ser el nivel de riesgo.

A manera de conclusión podemos afirmar que a mayor frecuencia de las pruebas de seguridad, menor es el riesgo al cual se ve expuesto la organización.

ActivosTI cuenta con un paquete análisis de vulnerabilidades consumible por puntos durante un año. Puede ponerse en contacto al PBX:(+571) 9260100 o al móvil: (+57) 3152301090 o por email a soluciones@activosti.com.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario