Como estar preparado para un incidente de ciberseguridad.

Detectar un incidente a tiempo es una buena medida para saber que su esquema de ciberseguridad esta operando adecuadamente, tener monitoreo y métricas adecuadas le puede permitir actuar acertadamente cuando se presente un incidente. 

Lo recomendado es que tenga preparado un “Plan de respuesta a incidentes de ciberseguridad” el cual contendrá los pasos necesarios para atender de forma organizada un incidente.  

El rollo comienza cuando no se han realizado las tareas para cerrar las posibles brechas por donde los atacantes puedan atentar contra la infraestructura, adicionalmente, si no se monitorean las alertas de las consolas que administradas los principales servicios de la organización no podrá detectar un posible ataque.  La aplicación de los controles preventivos le cierran la puerta a más del 90% de los incidentes de ciberseguridad.

Afortunadamente se existen protocolos que apoyan para saber como atender de forma organizada un posible incidente de ciberseguridad. El siguiente esquema esta basado en el NIST: Computer SecurityIncident Handling Guide.

Existen mucho otros protocolos para atención de incidentes, la mayoría contempla los siguientes paso:

Preparar: Capacitar al personal de seguridad para manejar posibles incidentes mediante entrenamiento, equipamiento y práctica.

Identificar: detectar y decidir si un incidente cumple las condiciones para ser considerado un incidente de seguridad para la organización, y valorar su severidad.

Contener: contención del incidente mediante el aislamiento de sistemas comprometidos para evitar daños transversales a otros sistemas.

Erradicar: detectar la causa raíz del incidente y eliminar las vulnerabilidades de los sistemas afectados.

Recuperar: restaurar los sistemas afectados y asegurar que todos los sistemas están libres de vulnerabilidades y amenazas.

Aprender: analizar los registros de incidentes, actualizar el plan de respuesta y completar la documentación del incidente.

Es más económico para la organización el tener controles preventivos que actuar reactivamente ante un incidente, adicionalmente el contar con un “plan de respuesta a incidentes de ciberseguridad” ayudara en saber como atender el caso, que se puede hacer y que no se debe hacer, por ejemplo reinstalar equipos sin preservar la evidencia para saber por donde fue que ocurrió el incidente.  

Un apunte adicional, si su organización no ha contemplado trabajar organizadamente los temas de ciberseguridad tenga en cuenta que una de estas tres cosas pueden pasar:

1. Fue atacado y no se dio cuenta.
2. Esta siendo atacado y no lo ha detectado.
3. Puede ser víctima de ataques y no se va a enterar.

Ciberseguridad: cinco aspectos que su organización debe tener en cuenta.

 A menudo se ve en las noticias titulares acerca de empresas que han sido “hackeadas” y las terribles consecuencias que esto trae para ellas y sus clientes. Los daños que sufren van desde la pérdida de imagen, aliados, clientes e ingresos hasta el cierre total. La pregunta que se debería hacer es: ¿por qué fue “hackeada”? ¿estaba preparada la empresa para esta clase de eventos?. A continuación se enumeran cinco aspectos que debe tener en cuenta para proteger su organización de posibles ataques de ciberseguridad.

1. Parches de software.

El software que está instalado en la organización tiene vulnerabilidades que deben ser corregidas mediante la instalación de parches. La mayoría del software requiere de actualizaciones que deben ser aplicadas periódicamente para mantener su operación y seguridad. Muchos de los ataques se deben a que el atacante sabe de la existencia de esas vulnerabilidades y busca comprometer los equipos que no tienen instalados los parches necesarios. Lo recomendado es aplicar parches periódicamente y mantener un correcto programa de gestión de vulnerabilidades, ya que un parche no aplicado es una vulnerabilidad que puede explotar un atacante.

2. Como está la empresa en temas de ciberseguridad.

Existen sendos marcos contra los cuales se pueden comparar el estado de la ciberseguridad de la organización. Uno de los recomendados es el Marco de Ciberseguridad del NIST, debido a su sencillez y facilidad de uso. Este marco le permite determinar el estado inicial de la ciberseguridad de su organización y le permite definir un mapa de ruta para avanzar en la implementación de controles que le van a ayudar a manejar el tema de la ciberseguridad.

3. Que hacer en caso de ser “hackeado”.

Tenga en cuenta que por más controles preventivos que ponga, existe la posibilidad de que se materialice un incidente de ciberseguridad, lo mejor para estos casos es estar preparado y saber que hacer en el caso de que los sistemas sean comprometidos. Para esto, tener un plan de recuperación de desastres es una muy buena opción, un plan de continuidad del negocio sería aún mejor.

4. Acceso a personal cualificado en ciberseguridad

Contar con acceso a personal con experiencia y conocimiento en ciberseguridad es de gran importancia para atender este tema, ya sea que esté contratado directamente por la empresa o que se tenga contratado como servicio con una empresa especializada. Esto no garantiza que no vaya a ser atacado sin embargo el no tenerlo podría aumentar sus riegos y costos.

5. Software libre y software gratuito con precaución.

Reducir los costos mediante el uso de software libre o gratuito tiene sus riesgos debido al soporte que debe tener esta clase de software. Un ejemplo clásico es Linux, este sistema operativo está inmerso en muchas empresas y al igual que Windows, debe tener el mantenimiento y la administración adecuada. Como recomendación, use esta clase de software con precaución.

Tenga en cuenta estos cinco aspectos para reducir el nivel de exposición de su organización, no son los únicos pero si unos de los más importantes. Recuerde que la ciberseguridad es propia de cada organización, lo que se tiene contemplado para una no necesariamente aplica para otra, asesórese.

Ciberseguridad: cinco aspectos a tener en cuenta para evitar dolores de cabeza.

Son nuevos tiempos, nuevos desafíos, los momentos en los que se contrataba personal y no se capacitaba quedó atrás, la tecnología avanza a pasos agigantados y por ende día a día salen nuevos tipos de ataques cibernéticos que buscan hacerse con los datos de las empresas o que simplemente los secuestran para pedir dinero a cambio de liberarlos. A continuación enumeraremos cinco aspectos que debe considerar para mantener activa la seguridad de su información:

Capacitación

Cuando hablamos de capacitación no solo nos referimos a que los técnicos sepan operar la tecnología de la organización, nos referimos a capacitar todo el personal de la empresa, recuerde que ellos son la primera barrera de defensa contra un ataque cibernético. Un alto ejecutivo que sepa detectar un ataque de phishing, una secretaria que detecte un email falso, son dos ejemplos de personal capacitado que pueden llegar a detener un posible ataque a la organización.

Identificación de riesgos

Saber identificar cuáles son los puntos débiles de la tecnología que posee la organización le permitirá tratar los riesgos en el momento adecuado, navegar a ciegas puede llegar a costar 1.000 veces más de lo que puede costar el invertir en un análisis de riegos, incluido análisis de vulnerabilidades técnicas.

Plan de respuesta a incidentes

Saber que hacer cuando se presenta un incidente es de vital importancia para proteger la información de la organización. Puede tener un equipo interno capacitado en atención de incidentes de ciberseguridad o puede contratar el servicio con una compañía especializada en el tema.

Plan de recuperación de desastres

Este ítem va de la mano con el anterior, pero acá nos centramos en que ya tenemos un plan para seguir operando mientras se soluciona el incidente de ciberseguridad. Centro de datos alterno, servicios en la nube, tecnología probada y copias de respaldo actualizadas son algunos elementos a tener en cuenta para tener un buen plan de recuperación de desastres.

Cultura de ciberseguridad

La protección de la información como cultura organizacional le garantiza que los usuarios van a saber tomar decisiones adecuadas para proteger la información de la organización. No es una tarea a corto plazo, lleva su tiempo el implantarla dentro de la empresa y su adopción debe empezar por la alta dirección. Tres son los aspectos que debe tener en cuenta: concienciación, entrenamiento y desarrollo continuo.

La ciberseguridad debe convertirse en uno de pilares de la organización, no por nada fue catalogado como uno de los principales riesgos que pueden llegar a afectar una organización. (revista Risk in Focus 2020).

Mantener un balance entres estos cinco aspectos le puede evitar dolores de cabeza previniendo la materialización de incidentes de ciberseguridad. 

Como determinar el alcance de unas pruebas de seguridad por primera vez.

El principal asunto cuando se desea verificar el estado de la seguridad de la organización por primera vez, es determinar el alcance del proyecto, es decir, elegir a que se le va a hacer pruebas y como se van a hacer.

Lo recomendado inicialmente es contratar una empresa especializada que ayude con esta labor. Antes de empezar algún proyecto, debe tener en cuenta que se deben firmar como mínimo estos tres documentos:

Acuerdo de confidencialidad: Protege la organización de la empresa contratada.

Autorización de trabajo: Se autoriza a la empresa para que ejecute las pruebas con un alcance y tiempo determinado.

Reglas de juego: Definir que esta autorizada y que no esta autorizada a realizar la empresa contratada, quien da las autorizaciones y permisos requeridos.

Antes de contratar una empresa, verifique que cuenta con lo siguiente: experiencia, software licenciado, personal capacitado, estar legalmente constituida y que pueda entregar pólizas de garantía.

A continuación se listarán las pruebas básicas para empezar:

• Revisión de la arquitectura de la red de la organización: con esto verificará que el diseño de la red es el adecuado para proteger la información digital.

• Análisis de vulnerabilidades a todos los equipos de la organización: Se necesita identificar vulnerabilidades en todos los equipos. Credenciales.

• Pentest interno tipo caja negra (sin dar información): Es la forma más recomendada para verificar el punto de vista de un atacante.

• Pentest caja gris para verificar la seguridad del core del negocio: Se requiere para revisar el estado de los equipos relacionados con la información crítica.

• Pruebas de ingeniería social aleatorio: En este punto se evaluará si los empleados saben identificar un ataque.

• Pruebas de verificación de controles: Aquí se evaluará si los equipos y software adquiridos está operando adecuadamente y haciendo el trabajo para el cual se compraron.

Las pruebas de análisis de vulnerabilidades se deben realizar con credenciales, las demás, depende del alcance que les quiera dar. La pruebas también pueden ser de tipo internas (cuando se realizan desde dentro de la organización, esto mide un atacante interno) o pueden ser externas (ver la posición de un atacante externo).

Por lo general, los resultados de las pruebas se entregan en tres documentos:

• Informe ejecutivo: documento para personal no técnico que requiere entender cuál fue el resultado de las pruebas. Debe contener conclusiones y recomendaciones.

• Informe técnico: documento para personal técnico que se va a encargar del cierre de las vulnerabilidades halladas. Esto no es el reporte de las herramienta, esto corresponde a la verificación de los resultados por parte de un especialista en seguridad.

• Plan de remediación: documento técnico con priorización de cierre de vulnerabilidades.

• Reporte de salida de las herramientas utilizadas: son los datos en crudo entregados por las herramientas utilizadas.

Recuerde que esta clase de pruebas se deben de realizar periódicamente para lo cual lo recomendado es realizar un contrato anual con ejecución mensual de análisis de vulnerabilidades, las demás pruebas, para ejecución de una o dos veces por año, claro esta que esto depende de cada organización. 

Tecnología obsoleta: ahorro de dinero vs ciberseguridad.

Muchos de los procesos de la organización se ven en problemas cuando la alta dirección no ve prudente  actualizar la tecnología existe porque siempre ha operado bien y no ha puesto problemas, esto es válido desde el punto de vista de que: "algo que siempre ha funcionado bien no se cambia", pero que sucede cuando lo que esta operando tiene vulnerabilidades que no han sido detectadas y estas vulnerabilidades están siendo explotadas sin darnos cuenta de ello, poniendo en riesgo la información digital de la organización. En este articulo vamos a ver las principales  amenazas que pueden afectar los procesos de la organización: 

• Un módem que conecta la empresa a Internet desde hace varios años. Los módem desactualizados contienen contraseñas obsoletas de fácil acceso para un delincuente. Por seguridad, pida a su proveedor que actualice su módem.   
• Un sistema operativo que ya no es soportado por el fabricante. Actualice los sistemas operativos que ya no tienen soporte por el fabricante ya que todo sistema operativo tiene un tiempo de vida útil, después d este tiempo el sistema es vulnerable.
•  Aplicaciones que siempre han funcionado. Actualice las aplicaciones, si persisten aplicaciones sin código fuente o demasiado obsoletas, ya es tiempo de actualizar su desarrollo. 
• Bases de datos fuera de mantenimiento. Esto es quizás uno de los riesgos mas grandes ya que en las bases de datos es donde se encuentra la información critica de la organización. 
• En general, dispositivos con mas de 5 años de uso.

El tiempo de vida útil para la mayoría de los equipos de tecnología es de cinco años, posterior a este tiempo los fabricantes dejan mantener la seguridad de estos equipos, por lo que se recomienda su reemplazo. 

Como puede observar, mantener tecnología obsoleta puede poner en riego la información digital de la organización, lo recomendado en estos casos es mantener actualizada la tecnología en cada uno de los procesos críticos de la organización.