Una política, marco o estrategia de ciberseguridad se puede llegar a definir como una guía de buenas prácticas para una organización, donde se recogen diferentes puntos para llegar al objetivo del mismo. Alguno de los puntos más importantes en este tipo de estrategias es la recolección de planes, procedimientos y procesos que determinaran como una organización debe o tiene que actuar para proteger los activos de la información de posibles entes mal intencionados. También es importante que a esta estrategia se complemente con las responsabilidades y deberes del personal de la organización para preservar y proteger de manera proactiva los activos.
En simples palabras, una estrategia efectiva de Ciberseguridad tiene que ver con entender “¿Qué es lo qué debo de proteger?” y del cómo se desarrollará e implementarán las medidas de seguridad para evitar, de manera proactiva, un incidente informático que llegue a perjudicar a una organización. Esto, además de una política estricta de desconfianza a todo activo que se conecte, interactúe o trabaje con la organización.
Además, debe considerar otros elementos de vital importancia para la estrategia, como es la capacitación constante del personal interno ante posibles amenazas, para así dotarlo de conocimientos para detectarlas y reportarlas. Al final del día, el eslabón más vulnerable de toda empresa no es siempre la tecnología, sino el ser humano.
Según el estudio de Accenture, lanzado en el mes de mayo del presente año, solo un 5% de las empresas alrededor del mundo cuenta con una estrategia de ciberseguridad efectiva. El resultado del estudio realizado nos muestra, una vez más, que muchas empresas de diferentes sectores NO se encuentran preparadas para afrontar un ataque informático, o no saben cómo afrontarlas de manera proactiva, durante o después de un incidente.
Las razones del porqué esto ocurre son diversas, pero lo más frecuente es la falta de actualización y visión del panorama actual respecto al cómo trabajan los actores de amenazas. Es menester el que exista un cambio profundo en la forma de trabajar la ciberseguridad en diferentes organizaciones, centrándose en las fases de planificación y ejecución.
Para entender realmente lo que se necesita para llegar a aplicar una estrategia efectiva de ciberseguridad, que mantenga nuestros negocios siempre disponibles, lo primero es comprender qué es lo que realmente se debe proteger. La respuesta debe ser formulada y respondida por los encargados de la seguridad de la información (CISO, principalmente), como también con el asesoramiento del personal que trabaja de manera interna, para así tener una mayor visión de qué activos se deben de resguardar para minimizar los daños ante un incidente informático, y sobre el cómo liderar en momentos de crisis e incertidumbre.
Las empresas mejor preparadas en materias de estrategias de ciberseguridad no solo realizan un plan minucioso del cómo prevenir y afrontar un incidente, sino que también los ponen a prueba. Es decir, comprueban las copias de seguridad de los activos, llevan a cabo auditorias de seguridad de manera permanente y constante (una vez al mes, por ejemplo) y mantienen dentro de su plantel interno o externo, a personas entendidas del tema y actualizadas en cuanto a lo que está ocurriendo dentro de la región.
Las fallas más comunes dentro de las organizaciones
Algunas de las fallas más comunes que presentan las organizaciones en cuanto a estrategia de ciberseguridad, tienen que ver con factores tan simples como:
- No establecer un proceso de formación y capacitación de seguridad informática al personal interno y externo.
- No realizar las pruebas de seguridad a la infraestructura de la organización, de la mano de un Ethical Hacker y/o pentester.
- No elaborar una política de ciberseguridad adecuada para la organización.
- No elaborar una política de protección de datos del personal e información sobre los activos que pueden estar en riesgo dentro de la organización.
- Exceso de confianza.
El operar a ciegas nos hace más propensos a que cuando ocurra un incidente informático que afecte la productividad y la integridad de la organización, no se tenga una idea clara de dónde puede venir el problema. El resultado final siempre será una pérdida de tiempo exagerada para intentar resolver el problema.
Zero Trust: Un modelo de Seguridad para todos
R: La iniciativa de Zero Trust en los entornos digitales es considerada como una capa adicional de seguridad, en la que se elimina el concepto de confianza de la arquitectura de red de una organización. Y esto no aplica sólo al personal, sino también a las tecnologías, dispositivos, datos, infraestructura y redes que usa dicha organización. Pero, para ello es necesario hacer un análisis previo y determinar la superficie o área a proteger.
Imagen: Microsoft 365
La estrategia Zero Trust es considerada por muchos expertos en el ámbito de la ciberseguridad, como unas de las mejores soluciones para implementar en todo tipo de organización, con el objetivo de minimizar en lo posible un incidente informático. Esto, debido a que el factor de la desconfianza es el eje central de todo el ecosistema que plantea Zero Trust (confianza cero). Es decir, el sistema no confiará en tu identidad, sin antes verificar -en base a diferentes procesos- que en verdad eres tú y de cuáles son tus atribuciones y limitantes. Esto dificultará, en gran medida, el trabajo que realizan los actores de amenazas para llegar a comprometer a una organización.
La confianza siempre ha sido una vulnerabilidad que, lamentablemente, nunca se podrá mitigar, a menos que las personas mal intencionadas NO usen tal brecha para obtener beneficios personales pero, eso seria estar pensando en una utopía que nunca llegará. Es por ello que el factor de no ser confiado puede macar una gran diferencia entre ser o no ser hackeados por una persona mal intencionada. Al menos a nivel de sistema de identificación.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
