- 21 Diciembre, 2018
- in Ciberseguridad
- 767
Contenido
Este año nos dejó muchas lecciones en materia de ciberataques dirigidos a empresas, bancos e instituciones del estado.
Desde malware, ransomware, DDoS, botnets, entre otros, fueron registrados durante el año, ocasionando pérdida millonarias a las organizaciones afectadas.
Y la pregunta es: ¿Mi empresa está preparada para un ciberataque? la realidad es que es una pregunta bastante difícil de contestar, dado que la complejidad de los mismos cambia a cada momento, dicho lo anterior es de considerar que ninguna empresa puede estar preparada al 100% contra un ciberataque, pero si puede tomar las medidas necesarias para reducir los riesgos de los mismos en un porcentaje adecuado.
El proceso de asegurar los sistemas de una empresa debe verse de forma evolutiva, no podemos estar en el máximo nivel de preparación en el día 1, tenemos que ir paso a paso preparando, implementando y mejorando en procesos, infraestructura y personal para ir elevando nuestro nivel de madurez respecto a ciberseguridad y así reducir los riesgos.
Contenido
A modo de resumen, el conjunto de acciones que se desarrollarían durante un ataque dirigido sobre una organización se podría dividir en:
Para poder hacer frente a estas amenazas, y dotar a la entidad de capacidades reales para estar protegida frente a una amenaza dirigida, se necesitan profesionales y empleados que velen por su seguridad. A grandes rasgos, toda empresa debería contar con los siguientes perfiles o bien subcontratar los servicios de empresas que les puedan proporcionar estos recursos:
Es importante alinearse a una mejor práctica para llevar este esfuerzo; y aunque existen diferentes frameworks como ISO/IEC 27001:2013, las normas COBIT, las directrices de COSO o NIST SP 800-53, por solo nombrar algunos.
Pero entre todas estas hoy hablaremos sobre la norma ISO/IEC 27001 que tiene como eje central proteger la confidencialidad, integridad y disponibilidad de la información en una empresa.
Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una organización.
Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero los utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de documentos) necesarias para prevenir violaciones de la seguridad.
Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo unir todos estos elementos dentro del sistema de gestión de seguridad de la información (SGSI).
Por eso, la gestión de la seguridad de la información no se acota solamente a la seguridad de TI (por ejemplo, cortafuegos, antivirus, etc.), sino que también tiene que ver con la gestión de procesos, de los recursos humanos, con la protección jurídica, la protección física, etc.
Para saber si realmente tu empresa está preparada para resistir y sobrevivir a un ciberataque es necesario que por lo menos tenga una característica de los puntos mencionados anteriormente como: contar con profesionales en seguridad o poseer una certificación bajo algún estándar, con esto garantizas la continuidad de tu empresa luego de un ataque.
Sabemos que no es tarea fácil llevar a cabo este tipo de trabajos, requiere de personal capacitado, infraestructura tecnológica e inversión financiera que en muchos casos las empresas no tienen alguno de estos elementos o carecen de todos.
Tercerizar este tipo de servicios es la solución más viable para mantener los datos de tu empresa seguros.
En el mercado existen muchos proveedores de servicios de seguridad gestionada (MSSP), sin embargo, es necesario identificar los que cumplen con las certificaciones en estándares necesarias para garantizar un óptimo servicio.
Con nuestros productos y servicios de vanguardia en la región tu única preocupación será hacer crecer tu negocio mientras nosotros lo mantenemos seguro.