Este año nos dejó muchas lecciones en materia de ciberataques dirigidos a empresas, bancos e instituciones del estado.

Desde malware, ransomware, DDoS, botnets, entre otros, fueron registrados durante el año, ocasionando pérdida millonarias a las organizaciones afectadas.

Y la pregunta es: ¿Mi empresa está preparada para un ciberataque? la realidad es que es una pregunta bastante difícil de contestar, dado que la complejidad de los mismos cambia a cada momento, dicho lo anterior es de considerar que ninguna empresa puede estar preparada al 100% contra un ciberataque, pero si puede tomar las medidas necesarias para reducir los riesgos de los mismos en un porcentaje adecuado.

El proceso de asegurar los sistemas de una empresa debe verse de forma evolutiva, no podemos estar en el máximo nivel de preparación en el día 1, tenemos que ir paso a paso preparando, implementando y mejorando en procesos, infraestructura y personal para ir elevando nuestro nivel de madurez respecto a ciberseguridad y así reducir los riesgos.

Etapas de un ciberataque en una empresa

A modo de resumen, el conjunto de acciones que se desarrollarían durante un ataque dirigido sobre una organización se podría dividir en:

• Acceso a la red interna: el ciberdelincuente buscará inicialmente identificar vulnerabilidades que pueda utilizar para lograr acceso a la red interna de la organización. Para ello, podrá hacer uso de múltiples vías como son los sistemas expuestos en Internet, redes Wi-Fi, uso de ingeniería social, correos electrónicos, entre otros.
• Control de la empresa: el objetivo final del atacante será lograr el control de los sistemas de la organización, su infraestructura interna, los datos de los clientes, información estratégica, etcétera.
• Detección de la amenaza: dependiendo de las medidas de seguridad internas y de las capacidades de detección del equipo de seguridad, el ataque será identificado antes o después.
• Respuesta al incidente: una vez se ha detectado dicho ataque, la organización deberá poner a prueba sus capacidades operativas y procedimientos para solventar el incidente en el menor tiempo posible. Será necesario analizar la situación para identificar la información y sistemas que han podido ser comprometidos por el ataque.
• Análisis del incidente ocurrido: posteriormente se debe realizar un análisis en profundidad que permita identificar el grado de compromiso mediante el análisis forense de sistemas.
• Expulsión del atacante: de forma paralela, el equipo de respuesta a incidentes deberá trabajar en la identificación del atacante, en la detección de los puntos de acceso y en los sistemas comprometidos.
• Fortificación de sistemas: asegurar los puntos de acceso y realizar auditorías para identificar otras posibles vulnerabilidades que podrían ser utilizadas.

Perfiles de seguridad que toda empresa debe tener

Para poder hacer frente a estas amenazas, y dotar a la entidad de capacidades reales para estar protegida frente a una amenaza dirigida, se necesitan profesionales y empleados que velen por su seguridad. A grandes rasgos, toda empresa debería contar con los siguientes perfiles o bien subcontratar los servicios de empresas que les puedan proporcionar estos recursos:

• CISO (Chief Information Security Officer): perfil que define las pautas de seguridad.
• Managers de seguridad: conjunto de empleados que gestionan los perfiles técnicos.
• Hackers éticos: técnicos dedicados a realizar acciones ofensivas y auditorías sobre los sistemas de la organización en busca de vulnerabilidades que pudieran ser aprovechadas.
• Equipo de seguridad: técnicos dedicados a asegurar los sistemas y despliegue de medidas de seguridad.
• Operarios SOC (Security Operation Center): técnicos dedicados a la identificación y respuesta a amenazas.
• Analistas forenses: técnicos dedicados al análisis de sistemas comprometidos para identificar el origen y las vulnerabilidades utilizadas.

Mejores prácticas para la ciberseguridad empresarial

Es importante alinearse a una mejor práctica para llevar este esfuerzo; y aunque existen diferentes frameworks como ISO/IEC 27001:2013, las normas COBIT, las directrices de COSO o NIST SP 800-53, por solo nombrar algunos.

Pero entre todas estas hoy hablaremos sobre la norma ISO/IEC 27001 que tiene como eje central proteger la confidencialidad, integridad y disponibilidad de la información en una empresa.

Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

¿Cómo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una organización.

Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero los utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de documentos) necesarias para prevenir violaciones de la seguridad.

Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo unir todos estos elementos dentro del sistema de gestión de seguridad de la información (SGSI).

Por eso, la gestión de la seguridad de la información no se acota solamente a la seguridad de TI (por ejemplo, cortafuegos, antivirus, etc.), sino que también tiene que ver con la gestión de procesos, de los recursos humanos, con la protección jurídica, la protección física, etc.

Deja la ciberseguridad de tu empresa en manos de expertos

Para saber si realmente tu empresa está preparada para resistir y sobrevivir a un ciberataque es necesario que por lo menos tenga una característica de los puntos mencionados anteriormente como: contar con profesionales en seguridad o poseer una certificación bajo algún estándar, con esto garantizas la continuidad de tu empresa luego de un ataque.

Sabemos que no es tarea fácil llevar a cabo este tipo de trabajos, requiere de personal capacitado, infraestructura tecnológica e inversión financiera que en muchos casos las empresas no tienen alguno de estos elementos o carecen de todos.

Tercerizar este tipo de servicios es la solución más viable para mantener los datos de tu empresa seguros.

En el mercado existen muchos proveedores de servicios de seguridad gestionada (MSSP), sin embargo, es necesario identificar los que cumplen con las certificaciones en estándares necesarias para garantizar un óptimo servicio.

Con nuestros productos y servicios de vanguardia en la región tu única preocupación será hacer crecer tu negocio mientras nosotros lo mantenemos seguro.