Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Estrategia de Ciberseguridad para la empresa, la mejor inversión

Estrategia de Ciberseguridad para la empresa, la mejor inversión

Estrategia de ciberseguridad. Fases de implantación y plan de respuesta ante un ciberataque.

Los ciberataques son el pan nuestro de cada día. Nos desayunamos cada día con nuevas brechas de seguridad en la información almacenada por grandes empresas, bien sea por un ataque directo de un grupo de cibercriminales, bien sea por una mala gestión de esos datos o por algún tipo de negligencia en el cumplimiento de las obligaciones de implementar y mantener las medidas de seguridad técnicas y organizativas necesarias para su resguardo.

Las grandes empresas son las que llenan los titulares (Ashley Madison, Yahoo, Panama Papers, Gmail, Dropbox, Sony,….), pero la amenaza es incluso más grave para las pequeñas empresas a las que un ataque de este tipo, si no les aboca al cierre, al menos les ocasionará los suficientes perjuicios como para ver comprometida su viabilidad.

De las consecuencias de un ciberataque ya hemos hablado en otras ocasiones, pero nunca está de más recordar algunas de ellas: pérdida de producción por la denegación del servicio de acceso o disponibilidad de la información empresarial; incumplimiento o retraso en el cumplimiento de contratos con nuestros clientes, algunos de ellos con cuantiosas cláusulas penales; reducción de la confianza de los inversores; caída de los ingresos y un daño reputacional importante que mermará la confianza del cliente, hasta el punto de poder llegar a hacer tambalear la viabilidad de la empresa, unido a la posibilidad de encontrarnos ante un difícil escenario para atraer y retener a los empleados.

Evaluar el alcance y el impacto de un ataque

Estrategia ciberseguridad empresarialNo hay una manera sencilla de racionalizar los riesgos y consecuencias y posibles. No vale escudarse en que “somos muy pequeños, quién nos va a querer atacar” o “nuestra información no es importante”. Además, el problema de una crisis de ciberseguridad es que puede ocurrir en multitud de maneras diferentes, por lo que detectar y evaluar el alcance y el impacto de un incidente es, a menudo, un proceso difícil y consume mucho tiempo y recursos.

Sin embargo, eso no significa que no se pueda hacer. Pero debemos de estar preparados y afrontar y valorar la ciberseguridad de nuestra empresa como verdaderamente se merece: con un buen plan de seguridad que nos brinde una capa adicional de protección y la capacidad de gestionar de forma controlada nuestro inventario activos de seguridad de la información.

Desarrollo de una estrategia de ciberseguridad

Mantener una suma de soluciones parciales inconexas suele “rellenar” las soluciones de seguridad de la empresa conteniendo carencias o innecesarias y costosas redundancias.

Estrategia de ciberseguridadComo primer paso antes de cualquier otra actuación, deberemos desarrollar una estrategia global de seguridad con la que conseguir identificar, entre otros factores, nuestro perfil de seguridad actual, nuestro inventario de activos y los riesgos físicos y lógicos a los que están sometidos, las personas implicadas en términos tanto de accesos, privilegios, funciones y responsabilidades, habilidades y conocimientos y cuáles son los procesos y tecnologías que utilizamos en nuestra organización.

La evaluación del riesgo es vital en nuestra estrategia ya que requiere la toma de las decisiones más difíciles respecto del alcance del Plan de Ciberseguridad. ¿Qué riesgo podemos considerar como asumible y qué riesgo no lo es y por tanto debemos atajar con prioridad? Tendremos opciones en la evaluación del riesgo, pero es importante destacar que si alineamos el Plan de Ciberseguridad con los objetivos de negocio, debemos saber que no todos los riesgos van a poder paliarse o minimizarse con inversión en un solo ejercicio.

Ser estratégico y proactivo en la elaboración de este enfoque completo y de extremo a extremo de los requisitos de seguridad de la organización es vital de cara a conseguir un plan de seguridad eficaz y eficiente.

Implantación

Estrategia de ciberseguridad Tras ese análisis inicial y desarrollo de la estrategia de seguridad, siempre orientada a los objetivos de negocio de la empresa y teniendo bien presentes cuáles son los riesgos asumibles por la organización, la implantación del plan de seguridad es el siguiente eslabón de la cadena.

Aplicar los procedimientos desarrollados en el plan, eliminar los puntos críticos detectados en el análisis inicial e implantar las medidas de control técnicas, organizativas y buenas prácticas en el uso de las TICs, manejo y seguridad de los datos, son los puntos en los que centrarse inicialmente.

Un sistema de seguridad de la información en un cajón es inseguro

La implantación de un Plan Estratégico de Seguridad debe mantenerse de forma sistemática y auditarse. Se trata de un proceso de mejora continua, en el que las acciones de mejora se deben medir y valorar asíduamente, se debe corregir y volver a implantar las correcciones así como las nuevas acciones de seguridad planificadas que tengan cabida en el presupuesto anual. Es… el círculo vicioso de la mejora de la seguridad de nuestra organización.

Formación

Formación en ciberseguridadNi siquiera la mejor tecnología del mundo es capaz de proteger a nuestra empresa u organización por sí misma. El factor humano es vital y determinante en la fortaleza o debilidad de la seguridad implementada. De hecho, el eslabón más débil es el que marca la resistencia de la cadena y, como dice el gran Angelucho “somos nuestra mayor vulnerabilidad, pero también nuestro mejor antivirus”.

Es, por tanto, fundamental (tanto o más que las medidas físicas implementadas) desarrollar una cultura de ciberseguridad que debe ser informada y extendida a toda la organización. El conocimiento y responsabilidad de todos los empleados vendrán dados por el desarrollo e implementación de buenos hábitos de seguridad y comportamientos seguros, tratados y explicados a fondo mediante programas de formación continua.

El chiste está en hacer comprender a todos los miembros de nuestra empresa que cada uno de los empleados es responsable de la seguridad de toda la organización. Un “simple” comportamiento no seguro o descuidado de uno de ellos puede desencadenar vulnerabilidades críticas que pueden poner en riesgo los activos de información de la empresa.

Para ser eficaz, el plan de seguridad debe ser responsabilidad conjunta de todos los miembros de la organización, desde el consejo de administración y comité de dirección hasta el último escalafón de la plantilla.

El Plan-B: cómo actuamos en casos de crisis

Estrategia de ciberseguridad. Plan de respuestaLa seguridad total no existe. Todo es susceptible de ser atacado y comprometido. Por ello, además de tener desarrollado e implantado el Plan Estratégico de Seguridad, debemos saber cómo actuar en el caso de que se produzca una crisis de seguridad. Un plan de respuesta ante cibeataques nos permitirá gestionar la  situación de una manera estructurada y completa.

La distribución exacta del plan variará dependiendo del tamaño de la empresa, la naturaleza de la actividad del negocio, las leyes que rigen el sector, etc, pero debería seguir una serie de pasos que a continuación evidenciamos. Podemos, no obstante,  comenzar con el desarrollo de un plan básico que podamos ir escalando a medida que la organización crezca y se desarrolle de forma más compleja.

  • Definir los parámetros de una crisis de seguridad: Debemos tener claro qué es una crisis de seguridad y qué significa para nuestra organización.

Definir el riesgo y determinar cuáles son para nuestro caso concreto – y en aplicación de la ley – los datos y sistemas críticos. Es decir, qué tipos de datos tratamos, quién tiene acceso a ellos y cuáles son nuestros sistemas más críticos; aquellos que si fueran violados o comprometidos, supondrían  una crisis potencial de nuestra organización o una infracción de las leyes que nos aplican.

  • Escalar acciones y responsabilidades: Debemos garantizar que las personas adecuadas tengan las herramientas necesarias para evaluar el impacto potencial de un incidente de seguridad, garantizando al mismo tiempo el menor número de “falsas alarmas”. Esto es, a la vez que un proceso de filtrado eficaz, una manera de asegurarse de que las personas adecuadas son parte del proceso de evaluación inicial.
  • Implicaciones legales de una crisis de seguridad: En función del modelo de negocio y de los datos que manejemos, un incidente de seguridad está sujeto a diferentes requisitos legales, tanto en lo que se refiere a obligaciones como a los plazos para ejercerlas.

Es nuestra responsabilidad entender y cumplir estos requisitos, para lo que, en muchas ocasiones, se hace necesaria la participación de un equipo especializado de abogados digitales y profesionales en informáticos forenses y en seguridad de sistemas.

  • Organigrama de acción en las primeras 24-48 horas: Debemos tener claras las tareas, acciones, funciones y comunicaciones que cada miembro del equipo debe acometer durante una crisis, pero de manera especial dentro de las primeras 24-48 horas.

Toda la organización, sin excepción, debe saber perfectamente qué debe hacer (y, sobre todo, que NO debe hacer), cómo hacerlo y a quién dirigirse si se produce un incidente de seguridad.

Si no lo pruebas, no sabrás si funciona

Una vez que tengamos desarrollado nuestro Plan de Seguridad, y como una parte fundamental del mismo, una de las mejores maneras de probar su eficacia y, a la vez, descubrir no solo riesgos y vulnerabilidades que podrían no haber sido contemplados inicialmente (o haber sido mal evaluados) sino también comprobar que la organización lo conoce y lo cumple,  es someter a la organización a un ataque real.

Los ejercicios de pentesting, ataques controlados llevados a cabo por profesionales de la seguridad de sistemas, son el mejor ejercicio para comprobar la fortaleza de la seguridad de una organización.  Los mejores proveedores de servicios de ciberseguridad en las empresas ya ofrecen este tipo de tests de intrusión como valor añadido necesario para cualquier organización que tenga la ciberseguridad como premisa.

Recuerda: tu plan y estrategia de ciberseguridad no será completo si no se ha comprobado concienzudamente que funciona.

Y …. a nadie le gustaría tener que comprobarlo en medio de un ciberataque real, no?

By | 2017-04-17T20:21:49+00:00 octubre 12th, 2016|Blog, ciberseguridad|0 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.