¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad?

Diego Samuel Espitia    20 abril, 2022
Una mujer usando un ordenador

Si bien el camino de la ciberseguridad no es lineal y cada empresa tienen sus características propias, la experiencia nos ha permitido agrupar a las empresas en cinco niveles de evolución de la ciberseguridad.

Que existan estos niveles no implica que todas las empresas deben llegar al máximo (eso depende mucho de las características y tamaño de las organizaciones) pero si se debe llegar a un nivel óptimo que reduzca la probabilidad de un incidente.

Con este artículo, tratamos de dar una herramienta a las empresas para identificar el lugar donde se encuentran, conocer los retos y necesidades para subir el nivel de evolución. El fin es que puedan crear su plan de acciones de mejora. No es una guía definitiva, pero si una ayuda para simplificar algunos de los pasos que normas o estándares nos indican sin mucho contexto.

Gráfico: los 5 niveles en la ciberseguridad de una empresa
Los 5 niveles en la ciberseguridad de una empresa

En la imagen podemos apreciar los niveles. Analizaremos en detalle cada nivel, teniendo en cuenta la postura en seguridad de redes, seguridad de dispositivos, servicios y gestión de archivos.

Inconscientes

Este tipo de organizaciones toma las decisiones en gestión de la información basándose en recomendaciones o buenas prácticas del mercado. Usualmente, ven la adquisición de equipos de ciberseguridad como un gasto o un cumplimiento a alguna norma del sector.

Esto genera que la adquisición de elementos de ciberseguridad no sea coherente y se realice con el único objetivo de tener un mínimo control o cumplimiento. Por otro lado, no se tienen ninguna política de seguridad o de gestión de la información, que los empleados o terceras partes deban cumplir, exponiendo así la información propia y de sus clientes.

  • La red corporativa habitualmente cuenta con sistemas de protección perimetral y controles de navegación. Esto gestionado por el personal de TI, cumpliendo los requerimientos de negocio más que los de ciberseguridad. Sin ningún tipo de segmentación ni controles de acceso de dispositivos.
  • Se habilitan accesos remotos a equipos en la red con el único control de un usuario y contraseña, que usualmente es compartido por varios trabajadores, para poder conectarse a equipos o servicios internos desde los hogares.
  • Los equipos de la organización suelen tener un sistema de antivirus no empresarial, que no puede ser monitoreado ni controlado desde un sistema central.
  • Los sistemas operativos suelen no estar gestionados en las actualizaciones o configuraciones adecuadas, por lo que es común que los equipos convivan con software malicioso, sin que estos sean detectados.
  • La información en estas organizaciones no es controlada ni clasificada, por lo que cualquier usuario en la red puede acceder a toda la información sin restricciones. Los directivos suelen generar copias no controladas de la información y el trabajo no se realiza en equipo o con una trazabilidad sobre el acceso a los datos, sino que se maneja de forma independiente en los dispositivos de los usuarios.
  • Los sistemas de almacenamiento en la nube no tienen habilitado los sistemas de control de acceso, ni son cifrados. Suelen usarse conectados como un directorio adicional al sistema operativo de los usuarios, por lo que la función principal es de un respaldo de la información.

Reactivos

Este tipo de organizaciones inician el proceso de integrar la seguridad de la información en los ámbitos organizacionales de la empresa, entendiendo que en el mundo actual todo depende del manejo de la información y por ende la ciberseguridad es pilar fundamental en el crecimiento como empresa.

La principal característica de estas organizaciones es que cuentan con un servicio de centro de operaciones de seguridad (SOC), de forma externa o interna. Permitiendo que la correlación y la detección de amenazas se haga de forma reactiva en la red y basada en las configuraciones de detección.

  • Este tipo de organizaciones tienen muchos servicios en la nube y varios dispositivos de seguridad en la red que envían los eventos al centro de operaciones para la detección de amenazas. En algunos de estos casos, las amenazas que se monitorean y alertan tienen origen en redes externas, pero en pocas ocasiones se monitorea con igual rigor las amenazas internas.
  • La gestión de la seguridad suele ser responsabilidad del área de tecnología, donde se tienen equipos de administración de red y equipos básicos de seguridad, encargados de tomar las medidas reactivas ante las notificaciones del SOC.
  • Para las conexiones remotas, los usuarios cuentan con accesos de VPN, controlados a través de sistemas de identificación centralizados como el directorio activo y monitoreados desde el SOC. Sin embargo, las redes no están segmentadas y las conexiones de la VPN tienen los mismos privilegios y accesos que la red de la organización.
  • Los dispositivos de los usuarios están gestionados desde una administración central, que despliega las políticas de control y permisos de acceso, tomando como base de control la tipificación de usuario, pero se suelen tener administradores locales en las máquinas y usuarios administrativos para labores de dirección o de gestión de red.
  • Se permite conectar dispositivos personales a la red empresarial, permitiendo posible acceso de software malicioso o la extracción de información sensible. Teniendo en cuenta la falta de controles sobre los archivos esto es una de las principales causas de fugas de información.
  • Se tienen sistemas de respaldo no empresariales, como lo son discos externos o carpetas compartidas en la nube, sin garantía de recuperación de los datos y propensas a ser atacadas en secuestros de información.
  • Los sistemas de almacenamiento en la nube no tienen habilitado los sistemas de control de acceso, ni son cifrados. Suelen usarse conectados como un directorio adicional al sistema operativo de los usuarios, por lo que la función principal es de un respaldo de la información.

Proactivos

Estas empresas tienen sistemas e infraestructuras que les permiten tomar controles anticipados, lo que les permite que todas las decisiones en seguridad de la información se basen en datos y en la detección oportuna de las amenazas, para lo que cuentan con una arquitectura de seguridad orientada a los retos que conlleva el manejo de la información.

Para esto, no solo cuentan con un SOC, sino que realizan un análisis de las amenazas internas y externas que se detectan en estos sistemas, para así poder implementar las mejoras en los controles y en las políticas corporativas de manejo de la información.

  • Estas organizaciones utilizan sistemas de gestión de identidades para iniciarse en los procesos de clasificación de la información y mejoras en los controles de acceso. Controlan no solo el acceso a los datos, sino que permite a través de múltiples factores de autenticación garantizar la identidad de un usuario, mitigando los ataques más comunes de suplantación de identidad.
  • Para que esto funcione correctamente se tienen controles corporativos sobre dispositivos de red y de usuarios en la empresa, que permita no solo detectar amenazas existentes, sino que basado en el conocimiento y comportamientos detectados en las redes o en los dispositivos, se pueden generar alertas y controles sobre situaciones sospechosas. Estas implementaciones usan los indicadores de ataque, en lugar de indicadores de compromiso, siendo proactivos en la aplicación del control.
  • Otra característica importante es el nivel de concientización del personal, entrenado en cómo detectar amenazas y qué herramientas usar para las comunicaciones empresariales, siempre teniendo en cuenta la categorización de los documentos.

Todo lo anterior es gestionado por un equipo dedicado a ciberseguridad, con un nivel directivo que le permite opinar y analizar las decisiones corporativas con una visión de protección hacia los datos y que le permite disponer de equipos especializados en monitoreo, respuesta de incidentes, gestión de identidades, arquitectura de seguridad, entre otros

Anticipados

En estas organizaciones las plataformas, la arquitectura de red y los procedimientos corporativos tienen como objetivo la protección de la información y la respuesta anticipada a posibles amenazas del mundo cibernético, generando una protección de la información en cualquier punto donde esta se encuentre y cuidando cualquier forma de comunicarla o conectarse a la misma.

  • La alta dirección de la empresa es consciente de la importancia de la seguridad de la información, por lo tanto, cada decisión que se haga en proveedores, equipamiento, despliegue de red, uso de servicios en nube y demás, tiene un análisis previo del área de seguridad de la información, que a su vez garantiza que las políticas y controles estén alineados a los objetivos empresariales.
  • Los sistemas de gestión y clasificación documental están muy integrados a los sistemas de gestión de identidad, permitiendo una trazabilidad de eventos sobre cada archivo corporativo y un control de acceso basado en las identidades, ya no solo de los trabajadores sino de los equipos o sistemas autónomos dentro de la red que por programación tengan acceso a archivos de la empresa.

Todo esto orquestado por el equipo de seguridad, que depende directamente de la presidencia o junta directiva, en el cual se compone de personal capacitado para la detección, para el monitoreo, para la cacería de amenazas, para equipos de ataque y equipos de defensa, soportados con herramientas especializadas para cada campo y con una protección avanzada en los dispositivos de usuarios y en los dispositivos de red, que controlan los accesos y que permite modificar la arquitectura de la red.

Automatizados

Este es el nivel más alto en la gestión de la seguridad de la información empresarial. Su principal característica es que, al tener una estructura y arquitectura sólida y trabajada en seguridad, se integra a plataformas de automatización inteligente, que permitan orquestar los diversos sistemas de monitoreo, detección y threat hunting, usando tecnología de aprendizaje profundo y genera reacciones automáticas a las diversas amenazas o comportamientos detectados.

  • Estas empresas basan su funcionamiento de seguridad de la información en la confianza cero (Zero Trust), que extiende controles a todos los niveles e instancias donde se manejen, gestionen, generen o manipulen datos, sin importar si son empleados, proveedores, terceras partes, dispositivos autómatas o cualquiera que tenga acceso a datos.
  • Para la gestión de estos sistemas de orquestación y de automatización, se requiere de un personal especializado en ciberseguridad y de empleados concientizados, además de tener políticas claras de seguridad y que estén muy alineadas al negocio para evitar las fricciones que se pueden generar en la aplicación de los controles.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.