La Ciberseguridad en la Empresa

CIBERSEGURIDADEl pasado miércoles 14 de marzo tuve el oportunidad de dar una charla sobre la Ciberseguridad en la Empresa a los alumnos del Máster de Compliance del ICAB.

Es esta charla se trataron y desarrollaron los temas y recomendaciones realizadas por INCIBE en su “Decálogo de Ciberseguridad para la Empresa” en el cual se abarcan aquellos puntos imprescindibles mínimos a considerar en relación a la Ciberseguridad y las medidas a aplicar en el contexto de la empresa para preservar la seguridad de los sistemas, los medios, los aplicativos y como resultado de ello la seguridad y preservación de la información.

A la hora de diseñar e implementar las medidas de Seguridad Informática y de Ciberseguridad  se ha de realizar de una forma ordenada con un plan preconcebido y en concordancia con los objetivos pretendidos considerando el contexto propio de la empresa, elementos determinantes tales como: el sector, el tipo de empresas, información manejada, el volumen y tipo de personal que componen la empresa, los sistemas y medios informáticos existentes y la interrelación de la empresa con su propio contexto.

Es muy práctico y conveniente la realización de una auditoría ISO 27002 para poder conocer cuál es el “status quo” de la empresa y decidir cuál es el nivel de seguridad que se desea en la propia empresa.

Considerando todos estos parámetros se diseña un Plan Director de Ciberseguridad específico para cada empresa que va a servir de guía y hoja de ruta para la implementación de las diferentes medidas que hayan resultado del análisis de la situación del status quo de la empresa.

El Decálogo de la Ciberseguridad

Los capítulos principales reflejados en el Decálogo de CiberSeguridad de INCIBE se reflejan  a continuación:

►Política y Normativa

Se ha de definir una Política de Seguridad en base de la realidad y necesidad de la empresa y de su propio contexto desarrollando las Normativas y los Procedimientos internos necesarios como resultado del despliegue de esta política.

Ciberseguridad_situacion

2 ►Control de Acceso

El control del Acceso Lógico debe ser gestionado de forma ordenada, teniendo en consideración criterios claros para la Identificación, medios seguros para la Autenticación: contraseñas seguras, doble verificación, elementos biométricos, etc., análisis y gestión de las Autorizaciones con designación de permisos en base a perfiles, un completo sistema de trazabilidad para poder garantizar la Accountabilidad de los eventos que se produzcan.

3 ►Copias de Seguridad

Las Copias de Seguridad o Backups son el elemento imprescindible para poder dar una respuesta efectiva frente a cualquier incidente de seguridad o desastre en la empresa y sus sistemas. Se ha de definir qué información es necesaria respaldar en las copias de seguridad, tipología de copias y su cadencia así como realizar pruebas periódicas de restauración para validar su efectividad.

4 ►Protección de Antimalware y Antivirus

Se ha de dotar de medios Antimalware / Antivirus tanto a los servidores como a los dispositivos personales para poder definir un escudo operativo y efectivo para los diferentes tipos de malware:

– Bloquear o dañar la información o dar acceso: Virus, Gusanos, Troyanos, Backdoor, Exploit, Drive by Download, Ransomware.

– Obtención ilícita de información: Spyware , Adware, Hijackers , Keyloggers, Stealers.

– Aprovechando los recursos del Sistema: Botnet, Spam, Minería de Criptomonedas.

5 ►Actualizaciones de Software

La necesidad imperiosa de poseer el Hardware y el Software actualizado con las últimas actualizaciones recomendadas por los fabricantes,  poseer los contratos de soporte de los mismos, no conservar en uso aquellos elementos obsoletos o descatalogados por los fabricantes. Mantener actualizada la CMDB (Configuration Management DataBase).

6 ►Seguridad de la Red

Gestionar la configuración y el diseño de una red segura configurando y parametrizando los flujos en base de reglas por medio de Firewall, dividiendo la red en tramos diferenciados, establecimiento de una zona desmilitarizada (DMZ) y restringir el acceso por medio de la eliminación de las contraseñas y los puertos lógicos por defecto.

Set de Ciberseguridad

7 ►Información en Tránsito

Se ha de poner especial atención en todos los aspectos que conlleva la necesidad de incorporar elementos de Movilidad que permite adaptarse a las nuevas tendencias y requerimientos de la Sociedad de la Información. Las nuevas formas de trabajo debido a la deslocalización y el teletrabajo o la incorporación de los propios dispositivos BYOD – Bring Your Own Device.

 ►Dispositivos de Almacenamiento

Diseño de los Sistemas de Almacenamiento de la información tanto local como externa. Permanente disponibilidad de la información y el aseguramiento de la misma en base a la redundancia de la propia información así como de los elementos adecuados para su preservación y almacenamiento.

9 ►Registro de la Actividad

Para poder llevar a cabo una defensa y protección activa del contexto de la Seguridad de los Medios y de la Información se ha de “Monitorizar” tanto desde el punto de vista de la Explotación y Operación de los Sistema como en términos de Seguridad activa.

La monitorización y registros de eventos sospechosos son una importante vía de identificación y localización de intrusiones y malfuncionamientos.

10 ►Continuidad del Negocio

Ante un desastre la empresa debe ser capaz de reponerse del mismo y volver a la operatividad y la actividad en la menor cantidad posible de tiempo, mitigando el impacto adverso que se pudiera estar produciendo en la empresa, para ello se ha de diseñar un Plan de Recuperación de Desastres (DRP) el cuál debe ser puesto a prueba y validado para verificar su posible efectividad previamente a la aparición de la necesidad real de su aplicación.

Poniendo en práctica las medidas reflejadas en este Decálogo y desarrollando las mismas de acorde a las necesidades de la empresa, su negocio y entorno, es la mejor vía para proporcionar una Seguridad activa contra la Ciberdelincuencia en el contexto de la Empresa.

Anuncios

Acerca de Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Buenas Prácticas, Compliance, Divulgación, Estándares y normas, Legislación, Malware, Opinión, Pentest, Privacidad, Seguridad Informática, Todos, WhatsApp y etiquetada , , , , , , , , , , , . Guarda el enlace permanente.