Estableciendo las bases de la ciberseguridad en una empresa

Estableciendo las bases de la ciberseguridad en una empresa

El mundo de la ciberseguridad dentro de las empresas es muy variado y depende de múltiples factores y muy diferentes entre ellos. Pero, fundamentalmente, a nuestro entender depende en primera instancia de la madurez de la empresa en materia de ciberseguridad. Hay otros factores a tener en cuenta, como pueden ser: factores normativos a los que la compañía esté sujeta, el propio negocio de la empresa, la elección de proveedores, la elección de software corporativo, presupuestos en seguridad y formación en ésta, elección de medios y capacitación… Pero si no existe una madurez en la empresa y una concienciación a nivel troncal tendremos una ciberseguridad descompensada que tarde o temprano se verá tensionada hasta el punto de quebrarse.

Prevención del malware

Una parte central en la ciberseguridad está muy relacionada con la prevención de malware, que suele estar centralizada en la protección del dispositivo final ya sean estaciones de trabajo, servidores, sistemas de seguridad perimetral, sistemas en la nube, servicios SAS o dispositivos móviles. En función de la solución que dispongamos protegeremos a los usuarios en todos o en algunos de los vectores de ataque que usualmente están expuestos. Y si se han analizado todos los vectores y contamos con una o varias protecciones que abarquen la superficie de exposición, podremos tener una gran protección.

En este campo ha habido un gran avance en los sistemas de protección de endpoint, que ya no se basan sólo en firmas si no que se basan en el análisis de comportamiento. Sin profundizar en este campo, es bueno contar con estas nuevas generaciones de protección que son capaces de detectar ataques en base a comportamiento, y en especial en aquellas que cuentan con características EDR o XDR.  Esto permitirá al equipo de ciberseguridad tomar acciones en base a análisis de la información obtenida, pudiendo determinar durante el paso de tiempo si hemos sido objeto de ataques, cuáles han sido los vectores de ataque, y sobre todo el impacto en la compañía, etc. Porque muchas veces, los ciberataques más sofisticados buscan infiltración y obtención de persistencia tratando de pasar de forma inadvertida durante el mayor tiempo posible.

Así mismo, cada vez los sistemas de protección son más complejos, lo que obligan a un aprendizaje continuo y a especializaciones dentro del personal. Unas de las elecciones que se hacen en las empresas es capacitar a su personal y/o bien contar con colaboraciones externas especializadas en materia de ciberseguridad. En la actualidad hay múltiples servicios de seguridad ofertados, y dependiendo de las empresas de servicios, lo definen o lo etiquetan de una forma diferente. En este artículo queremos mencionar algunos aspectos que por principio deben estar a la hora de construir un entorno de ciberseguridad o que deban ser considerados en entornos propios o el de nuestros partners.

Equipo de Ciberseguridad

La disposición de un equipo de ciberseguridad, dedicado a tiempo completo con la misión de mantener y proteger los sistemas de las empresas, desarrollando procesos de revisión de seguridad e implementando políticas de seguridad, tiene como misión monitorizar activamente las amenazas de ciberseguridad utilizando herramientas (comerciales en su mayoría) y personalizadas, pruebas de penetración y auditorías externas.

Monitorización

Tener un sistema de monitorización de los sistemas, debidamente engrasado permite en base a la información recopilada tomar acciones, correlacionar y remediar activamente, entre otros beneficios.

Gestión de Vulnerabilidades

Establecer procesos de gestión de vulnerabilidades que buscan activamente amenazas de ciberseguridad usando herramientas específicamente diseñadas para la penetración, ya sean automatizadas o manuales, permitirán activar otros procesos de revisiones de seguridad, calidad de servicio o calidad de software , etc..

Navegación Segura

Uno de los principales vectores por el cual los usuarios son atacados es el navegador o navegadores que usamos al conectarnos a internet. Actualmente internet es una herramienta imprescindible para los negocios, por lo que los navegadores son esenciales. Las protecciones para Endpoints junto con otros sistemas de protección, aportan un grado alto de garantía de la ciberseguridad. Pero la formación y concienciación de los usuarios es la medida que más puede mitigar el riesgo.

Accesos privilegiados

El control de las cuentas privilegiadas a los sistemas tiene que estar controlado y auditado en todo momento, estableciendo los mecanismos adecuados para dichos accesos estarán bajo el amparo de políticas estrictas de acceso y/o de procesos manuales según las necesidades de cada empresa. Pero el fin buscado es tener el control de todos los accesos, la gestión de las claves de acceso y la del establecimiento de procesos automáticos de descubrimiento y de rotación. Así evitaremos que la gestión de acceso a nuestros sistemas esté fuera del control.

Establecer un entorno controlado de acceso a los sistemas nos permitirá minimizar la superficie de exposición.

Asegurar los datos de tránsito

Los medios de transmisión de información deben estar acordes con la evolución de los años. Actualmente el emplear mecanismos seguros y que no se conozcan fallos en materia de ciberseguridad es primordial para mantener la confidencialidad. Lo recomendable es el uso de tecnologías TLS, PFS, y conjunto de cifrado robustos con cables criptográficos superiores a 2048 bits.

Estos aspectos y algunos otros no mencionados, son los factores a los que debemos prestar suma atención cuando establecemos las bases de la ciberseguridad, pero uno de los más importantes es que los clientes posean sus datos. Si gran parte de lo enumerado lo tenemos delegado a terceros, es importante contar con el compromiso adquirido por los partners que nos brindan servicios y de los medios que disponen para garantizar su compromiso, todo ello bajo contrato. Por ejemplo, el compromiso de que la información pertenece al cliente y sólo al cliente, que el acceso y el tratamiento de la información está supeditada y asegurada bajo los sistemas de protección, de cifrado adecuados y que, además, cuentan con procesos de auditoría tanto interna y como externa.

Jorge Jiménez

Senior CyberSecurity Administrator

Asseco Spain Group