¡Un pequeño paso, pero necesario!

En noviembre de este año el Gobierno de la República Mexicana dio a conocer su Estrategia Nacional de Ciberseguridad (ENCS) la cual plantea cinco objetivos estratégicos: Sociedad y Derechos, Economía e Innovación, Instituciones Públicas, Seguridad Pública y Seguridad Nacional. Una estrategia un poco tardía para los acontecimientos actuales entorno al uso de las Tecnologías de Información y Comunicación y su implicación en la seguridad del sector público y privado; sin embargo, deja ver el interés creciente del Estado Mexicano en proveer mayor protección del ciberespacio y fortalecer los lazos de comunicación y colaboración entre diversos sectores de la sociedad.

La visión de esta Estrategia Nacional de Ciberseguridad (ENCS), plantea que “En 2030, México será una nación resiliente ante los riesgos y amenazas en el ciberespacio que aprovecha con responsabilidad el potencial de las TIC para el desarrollo sostenible en un entorno confiable para todos”. Para algunos parecerá poco tiempo, pero para muchos otros, y me incluyo, es demasiado tiempo de prórroga para atender los temas relevantes en materia de ciberseguridad que actualmente nos afectan a nivel país. Esta ENCS es solo un plan general que pretende indicar la ruta a seguir, con objetivos ambiguos y sin metas medibles. Quizá sea un tema cultural, esperar que la soluciones siempre provengan del gobierno, algunos dirán “para eso pagamos nuestros impuestos” (los que lo hacen…), en todo caso la pregunta es: ¿realmente vamos a sentarnos a ver pasar el tiempo y esperar que en 2030 se alcance un “…México resiliente ante los riesgos y amenazas en el ciberespacio…”?

Situación actual

Lo que es una realidad es que la tecnología nos ha desbordado a nivel personal y organizacional, nos levantamos y vamos a la cama con ciberataques; el alcance de los ataques no solo afecta nuestros equipos de trabajo (Laptop o PC) han evolucionado y ahora están presentes en los dispositivos móviles, la nube, el IoT (Internet of Things); según Ona Systems el uso de smartphones se incrementó en 394% en 2016. Los ataques de ransomware van al alza y esta tendencia no cambiará. Todos los días salen noticias de importantes empresas víctimas de ciberdelincuentes, es más, ni las consultorías de seguridad más importantes a nivel mundial se salvan; tendríamos que preguntarle a Deloitte si los planes de ciberseguridad que genera para sus clientes también los aplican para ellos mismos.

Las viejas excusas de “mi empresa es pequeña”, “a quién le puede importar mi información”, etc. ya no son válidas, el “cibercrimen no es racista y no discrimina”; si en juego están algunos cuantos pesos fáciles y listos para ser tomados, ellos vendrán por tu dinero sin importar que seas un hospital, organización civil, organización de beneficencia, o lo que quieras, no les importa, quizá porque nunca entraron a la clase de ética de la escuela y prefirieron dedicar su tiempo en aprender cómo vulnerar tus defensas.

>>> EN ARAME SOMOS EXPERTOS EN REDUCIR RIESGOS DIGITALES, CONÓCENOS<<<

Consideraciones para el desarrollo de una Estrategia de Ciberseguridad Empresarial

Ante este abrupto y desolador panorama, la mejor forma de ser “resilientes ante ataques cibernéticos”, (lo cual en términos coloquiales significa cuanta capacidad tenemos de estirar nuestro resorte antes de que se rompa), es generar nuestra propia Estrategia de Ciberseguridad Empresarial.

El objetivo de la Estrategia de Ciberseguridad, debe ser el manejo eficiente y eficaz de los recursos tecnológicos para la prevención, identificación, respuesta y recuperación ante ciberataques que busquen poner en riesgo la operación de los procesos críticos del negocio.

Asimismo, los pasos iniciales hacia una Estrategia de Ciberseguridad son:

1)Identificar en donde estamos parados: ¿cuál es el nivel de madurez en materia de seguridad de mi empresa y en que nivel se encuentran el resto de las empresas del sector al cual pertenezco?

2)Realizar el inventario de activos a proteger, así como los diversos riesgos a los cuales están expuestos estos activos y cómo es que contribuyen a los procesos críticos del negocio.

3)En relación al factor humano, generar un catálogo de roles que de forma clara muestre los accesos, permisos, funciones y responsabilidades, así como las habilidades y conocimientos de las personas involucradas en las diversas actividades de la empresa.

Todo en el entendido de que para que una Estrategia de Ciberseguridad sea efectiva debe contemplar 3 aspectos fundamentales:

La evaluación del riesgo se vuelve una pieza clave ya que involucra una toma de decisiones nada fáciles, esto debido a que se debe definir qué riesgo es asumible para el negocio y cual no lo es; un análisis erróneo podría repercutir en una pobre resiliencia operativa reflejada en una deficiente capacidad para reponerse ante ciberataques y así poner en alto riesgo la operación del negocio. De ahí la importancia de alinear la Estrategia de Ciberseguridad con los objetivos del negocio para tener más oportunidad de recibir los presupuestos solicitados, debido a que mostramos con claridad los dolores, pero también un plan sólido y eficiente para reducir los riesgos que afectan a lo que realmente importa para el negocio.

Una vez concluida la evaluación del riesgo, se debe planear cómo se llevará a cabo la coordinación y cooperación entre las diversas áreas de la empresa para implementar un proceso de respuesta a incidentes que sea efectivo al momento de una crisis; definir cuáles son los parámetros para saber cuándo se está en una crisis de seguridad y definir un plan de acción que permita al personal saber cuáles son sus roles y responsabilidades ante tal crisis, en qué casos deberán escalar el incidente de seguridad así como los requisitos legales para llevar un caso a la justicia,  los canales y medios de acceso a la información deben ser claros y conocidos por todos los involucrados.

Posteriormente fortalecer el eslabón más débil en la cadena de seguridad, es decir el factor humano: enfatizar en la Estrategia de Ciberseguridad que, sin un plan adecuado de capacitación y concientización del personal, las tecnologías y procesos dispuestos para fortalecer los esquemas de seguridad empresarial tendrán mayor probabilidad de fracasar.

Finalmente, y tomando como base el Círculo de Deming, definir cómo es que se verificará la efectividad de la Estrategia Ciberseguridad; es decir se realizaran auditorias de seguridad periódicas, se certificaran determinados procesos, cuáles son los tiempos en los cuales se tiene presupuestado alcanzar el siguiente nivel de madurez, etc.

Cómo parte del proceso de mejora continua, la mejor forma de saber si nuestra Estrategia de Ciberseguridad funciona, es probándola, los ejercicios de Hacking Ético contemplan no solo ataques controlados de caja negra (externos) sino también ataques de caja gris (Internos) que conjugados con técnicas de Ingeniería Social y Amenazas Persistentes Avanzadas (ATPs), pueden ofrecernos un panorama claro y permitirnos conocer si nuestra Estrategia de Ciberseguridad funciona o si es necesario hacerle ajustes, todo ello debido a que las actividades de Hacking Ético permitirán identificar riesgos y vulnerabilidades que inicialmente no se pudieron haber detectado en la fase de valoración del riesgo o que se pensaba que ya habían sido corregidos o mitigados al mínimo con una probabilidad de explotación muy baja.

Parte de la oferta de servicios de consultoría de Arame son las pruebas Hacking Ético, las cuales te pueden ayudar a evaluar la eficiencia de tu Estrategia de Ciberseguridad Empresarial.

>>>Si quieres conocer más de Seguridad informática, Contáctanos<<<

Escrito por Alejandro Reyes, Ingeniero en Seguridad Arame