ciberseguridad

Implementando ciberseguridad desde cero

Cuando aún no se ha implementado ciberseguridad, o no se ha invertido en ella, es muy común preguntarse ¿cómo empiezo?, ¿qué estándares utilizo?, ¿qué controles elijo?, ¿esta tecnología realmente nos protegerá de los ataques actuales?

Debemos partir con la definición de ciberseguridad, que a pesar de que es un término relativamente nuevo, su concepto no lo es tanto, ya que básicamente nos referimos a seguridad informática, proteger y gestionar el riesgo relacionado con la infraestructura computacional e información contenida en dicha infraestructura, es decir, “The Matrix”.

Además de tener la responsabilidad de implementar la ciberseguridad, se debe concienciar a la empresa, organización, entonces la palabra clave será “creer”. Si no se cree en que la ciberseguridad es necesaria, o mejor dicho fundamental, lamentablemente no se destinará el presupuesto suficiente a este ámbito, es extraño pensar que en el año 2019, en pleno siglo XXI, cuando la información llega por diferentes canales directamente a nuestro teléfono móvil, donde Internet es el canal principal y nos enteramos de las brechas y ciberataques a todas las escalas y a diferentes objetivos, aun sea necesario concienciar sobre lo importante que es invertir en ciberseguridad. Si es el caso, lo primero que se debe conseguir es que crean, ya que creer es poder.

Una forma tradicional de vender seguridad o ciberseguridad es a través del miedo, “esto te pasará si no inviertes…”, “si no compras mi tecnología estás totalmente expuesto…”, en ElevenPaths pensamos que la mejor herramienta es la educación, y en este enfoque debemos concentrarnos, en enseñar sobre cuáles son las amenazas actuales, cómo se pueden mitigar, cómo se pueden prevenir, cómo se debe reaccionar cuando ocurre un incidente, etc.

Si se necesitan “brechas” que mostrar, recomendamos Information is Beatiful que es un portal muy popular con varios estudios transformados en infografías, o como ellos lo llaman, el “arte de la visualización de los datos”.

También en nuestro blog se pueden encontrar diferentes posts sobre investigaciones relacionadas con brechas de seguridad, como la interesante charla que presentaron los colegas Jaime y Pablo en la RootedCON 2019.

ciberseguridad

Análisis y gestión

En ciberseguridad, estos dos conceptos siempre van de la mano, ya sea que estamos hablando en un ámbito más técnico, por ejemplo vulnerabilidades, o en un ámbito más de gestión, por ejemplo “riesgos”.

Nos centraremos en este último ámbito, para empezar a implementar ciberseguridad hay que tener algo muy claro: cuál es el contexto general de la seguridad de la información. Puedes consultar la charla sobre Análisis de Riesgos que incluimos en la primera temporada de nuestros #11PathsTalks.

Una vez que entendemos el contexto general de la seguridad podemos comenzar, pero, ¿cómo? Hoy en día hay muchos estándares, marcos de trabajo, metodologías, etc. Siempre es más seguro utilizar los más usados y eficientes, en este sentido creemos que es fundamental entender y ocupar el Framework de Ciberseguridad del NIST (que acaba de cumplir 5 años), ya que aglutina las fases básicas y más importantes en nuestra opinión: Identificar -> Proteger -> Detectar -> Responder -> Recuperar.

Este marco voluntario consta de estándares, directrices y buenas prácticas para gestionar los riesgos relacionados con la seguridad cibernética. El enfoque prioritario, flexible y rentable del Marco de Seguridad Cibernética ayuda a promover la protección y la resistencia de la infraestructura crítica y otros sectores importantes para la economía y la seguridad nacional de Estados Unidos.

Una iniciativa que también recomendamos es Secure Control Framework, cuya misión es proporcionar un poderoso catalizador que promueva la forma en que los controles de privacidad y ciberseguridad se utilizan en las capas estratégica, operativa y táctica de una organización, independientemente de su tamaño o industria.

Básicamente es un herramienta en un portal web donde existen más de 100 estándares, ISO, controles, frameworks, etc. y se pueden elegir a cuáles se quieren adherir y el portal muestra los controles que deben implementar de manera integral.

RELACIONADOS