Implementando ciberseguridad desde cero (Parte 1)

Gabriel Bergel    30 mayo, 2019
Implementando ciberseguridad desde cero

Cuando aún no se ha implementado ciberseguridad o no se invertido en ella, es muy común preguntarse ¿cómo empiezo?, ¿qué estándares utilizo?, ¿qué controles elijo?, ¿esta tecnología realmente nos protegerá de los ataques actuales?

Debemos partir con la definición de ciberseguridad, que a pesar de que es un termino relativamente nuevo, su concepto no lo es tanto ya que básicamente nos referimos a seguridad informática, proteger y gestionar el riesgo relacionado con la infraestructura computacional e información contenida en dicha infraestructura, es decir, “The Matrix” ;).

Figura 1: Cybersecurity

Además de tener la responsabilidad de implementar la ciberseguridad, se debe concienciar a la empresa, organización, entonces la palabra clave será “creer”. Si no se cree en que la ciberseguridad es necesaria, o mejor dicho fundamental, lamentablemente no se destinará el presupuesto suficiente a este ámbito, es extraño pensar que en el año 2019, en pleno siglo XXI, cuando la información llega por diferentes canales directamente a nuestro teléfono móvil, donde Internet es el canal principal y nos enteramos de las brechas y ciberataques a todas las escalas y a diferentes objetivos, aun sea necesario concienciar sobre lo importante que es invertir en ciberseguridad, si es el caso, lo primero que se debe conseguir es que crean, ya que creer es poder.

Una forma tradicional de vender seguridad o ciberseguridad es a través del miedo, “esto te pasará si no inviertes…”, “si no compras mi tecnología estas totalmente expuesto…”, en ElevenPaths pensamos que la mejor herramienta es la educación, y en este enfoque debemos concentrarnos, en enseñar sobre cuales son las amenazas actuales, cómo se pueden mitigar, como se pueden prevenir, como se debe reaccionar cuando ocurre un incidente, etc.

Si se necesitan brechas que mostrar, recomendamos Information is Beatiful que es un portal muy popular con varios estudios transformados en infografías, o como ellos lo llaman, el “arte de la visualización de los datos”. También en nuestro blog se pueden encontrar diferentes posts sobre investigaciones relacionadas con brechas de seguridad, como la interesante charla que presentaron los colegas Jaime y Pablo en la RootedCON 2019.

Figura 2: brechas y hacks de datos más grandes del mundo

Análisis y gestión
En ciberseguridad, estos dos conceptos siempre van de la mano, ya sea que estamos hablando en un ámbito más técnico, por ejemplo vulnerabilidades, o en un ámbito más de gestión, por ejemplo riesgos”.

Nos centraremos en este ultimo ámbito, para empezar a implementar ciberseguridad hay que tener algo muy claro: cuál es el contexto general de la seguridad de la información. Puedes consultar la charla sobre Análisis de Riesgos que incluimos en la primera temporada de nuestros #11PathsTalks.

Figura 3: contexto general de la seguridad de la información

Una vez que entendemos el contexto general de la seguridad podemos comenzar pero, ¿cómo? Hoy en día hay muchos estándares, marcos de trabajo, metodologías, etc. Siempre es más seguro utilizar los más usados y eficientes, en este sentido creemos que es fundamental entender y ocupar el Framework de Ciberseguridad del NIST (que acaba de cumplir 5 años), ya que aglutina las fases básicas y más importantes en nuestra opinión: Identificar -> Proteger -> Detectar -> Responder -> Recuperar.

Figura 4: fases del framework de ciberseguridad

Este marco voluntario consta de estándares, directrices y buenas prácticas para gestionar los riesgos relacionados con la seguridad cibernética. El enfoque prioritario, flexible y rentable del Marco de Seguridad Cibernética ayuda a promover la protección y la resistencia de la infraestructura crítica y otros sectores importantes para la economía y la seguridad nacional de Estados Unidos.

Una iniciativa que también recomendamos es Secure Control Framework, cuya misión es proporcionar un poderoso catalizador que promueva la forma en que los controles de privacidad y ciberseguridad se utilizan en las capas estratégica, operativa y táctica de una organización, independientemente de su tamaño o industria. Básicamente es un herramienta en un portal web donde existen mas de 100 estándares, ISO, controles, frameworks, etc. y se pueden elegir a cuales se quieren adherir y el portal muestra los controles que deben implementar de manera integral.

Figura 5: portal web SCF (Secure Control Framework)

Continuaremos desarrollando el post en una 2ª parte, estad atentos a nuestro blog y, mientras tanto, los invitamos a ver la 5ª temporada de nuestros #11PathsTalks.

Consulta la segunda parte del post Implementando ciberseguridad desde cero aquí.

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *