El pasado miércoles 14 de marzo tuve el oportunidad de dar una charla sobre la Ciberseguridad en la Empresa a los alumnos del Máster de Compliance del ICAB.
Es esta charla se trataron y desarrollaron los temas y recomendaciones realizadas por INCIBE en su «Decálogo de Ciberseguridad para la Empresa» en el cual se abarcan aquellos puntos imprescindibles mínimos a considerar en relación a la Ciberseguridad y las medidas a aplicar en el contexto de la empresa para preservar la seguridad de los sistemas, los medios, los aplicativos y como resultado de ello la seguridad y preservación de la información.
A la hora de diseñar e implementar las medidas de Seguridad Informática y de Ciberseguridad se ha de realizar de una forma ordenada con un plan preconcebido y en concordancia con los objetivos pretendidos considerando el contexto propio de la empresa, elementos determinantes tales como: el sector, el tipo de empresas, información manejada, el volumen y tipo de personal que componen la empresa, los sistemas y medios informáticos existentes y la interrelación de la empresa con su propio contexto.
Es muy práctico y conveniente la realización de una auditoría ISO 27002 para poder conocer cuál es el «status quo» de la empresa y decidir cuál es el nivel de seguridad que se desea en la propia empresa.
Considerando todos estos parámetros se diseña un Plan Director de Ciberseguridad específico para cada empresa que va a servir de guía y hoja de ruta para la implementación de las diferentes medidas que hayan resultado del análisis de la situación del status quo de la empresa.
El Decálogo de la Ciberseguridad
Los capítulos principales reflejados en el Decálogo de CiberSeguridad de INCIBE se reflejan a continuación:
1 ►Política y Normativa
Se ha de definir una Política de Seguridad en base de la realidad y necesidad de la empresa y de su propio contexto desarrollando las Normativas y los Procedimientos internos necesarios como resultado del despliegue de esta política.
2 ►Control de Acceso
El control del Acceso Lógico debe ser gestionado de forma ordenada, teniendo en consideración criterios claros para la Identificación, medios seguros para la Autenticación: contraseñas seguras, doble verificación, elementos biométricos, etc., análisis y gestión de las Autorizaciones con designación de permisos en base a perfiles, un completo sistema de trazabilidad para poder garantizar la Accountabilidad de los eventos que se produzcan.
3 ►Copias de Seguridad
Las Copias de Seguridad o Backups son el elemento imprescindible para poder dar una respuesta efectiva frente a cualquier incidente de seguridad o desastre en la empresa y sus sistemas. Se ha de definir qué información es necesaria respaldar en las copias de seguridad, tipología de copias y su cadencia así como realizar pruebas periódicas de restauración para validar su efectividad.
4 ►Protección de Antimalware y Antivirus
Se ha de dotar de medios Antimalware / Antivirus tanto a los servidores como a los dispositivos personales para poder definir un escudo operativo y efectivo para los diferentes tipos de malware:
– Bloquear o dañar la información o dar acceso: Virus, Gusanos, Troyanos, Backdoor, Exploit, Drive by Download, Ransomware.
– Obtención ilícita de información: Spyware , Adware, Hijackers , Keyloggers, Stealers.
– Aprovechando los recursos del Sistema: Botnet, Spam, Minería de Criptomonedas.
5 ►Actualizaciones de Software
La necesidad imperiosa de poseer el Hardware y el Software actualizado con las últimas actualizaciones recomendadas por los fabricantes, poseer los contratos de soporte de los mismos, no conservar en uso aquellos elementos obsoletos o descatalogados por los fabricantes. Mantener actualizada la CMDB (Configuration Management DataBase).
6 ►Seguridad de la Red
Gestionar la configuración y el diseño de una red segura configurando y parametrizando los flujos en base de reglas por medio de Firewall, dividiendo la red en tramos diferenciados, establecimiento de una zona desmilitarizada (DMZ) y restringir el acceso por medio de la eliminación de las contraseñas y los puertos lógicos por defecto.
7 ►Información en Tránsito
Se ha de poner especial atención en todos los aspectos que conlleva la necesidad de incorporar elementos de Movilidad que permite adaptarse a las nuevas tendencias y requerimientos de la Sociedad de la Información. Las nuevas formas de trabajo debido a la deslocalización y el teletrabajo o la incorporación de los propios dispositivos BYOD – Bring Your Own Device.
8 ►Dispositivos de Almacenamiento
Diseño de los Sistemas de Almacenamiento de la información tanto local como externa. Permanente disponibilidad de la información y el aseguramiento de la misma en base a la redundancia de la propia información así como de los elementos adecuados para su preservación y almacenamiento.
9 ►Registro de la Actividad
Para poder llevar a cabo una defensa y protección activa del contexto de la Seguridad de los Medios y de la Información se ha de «Monitorizar» tanto desde el punto de vista de la Explotación y Operación de los Sistema como en términos de Seguridad activa.
La monitorización y registros de eventos sospechosos son una importante vía de identificación y localización de intrusiones y malfuncionamientos.
10 ►Continuidad del Negocio
Ante un desastre la empresa debe ser capaz de reponerse del mismo y volver a la operatividad y la actividad en la menor cantidad posible de tiempo, mitigando el impacto adverso que se pudiera estar produciendo en la empresa, para ello se ha de diseñar un Plan de Recuperación de Desastres (DRP) el cuál debe ser puesto a prueba y validado para verificar su posible efectividad previamente a la aparición de la necesidad real de su aplicación.
Poniendo en práctica las medidas reflejadas en este Decálogo y desarrollando las mismas de acorde a las necesidades de la empresa, su negocio y entorno, es la mejor vía para proporcionar una Seguridad activa contra la Ciberdelincuencia en el contexto de la Empresa.
Perito Informático y Tecnológico - PeritoIT 