¡Efectivo, el marketing es muy efectivo! Los fabricantes de herramientas de seguridad (Endpoints, IDS, Firewalls, etc.) están haciendo un gran marketing alrededor de sus productos y los están publicitando como panaceas o píldoras mágicas. En A2SECURE estamos acostumbrados a ver y escuchar como gente del mundo IT cree que “somos muy seguros porque estamos usando el producto X”. Como ya he comentado, considero que los fabricantes de dichos productos son los principales culpables de promover esa falsa sensación de seguridad inflando el scope y las capacidades de los productos así como minimizando el esfuerzo necesario para configurarlos de forma adecuada. Esta situación está llevando a muchas empresas a invertir mucho dinero en este tipo de productos (que incluso en algunas ocasiones nadie sabe cómo configurar o mantener) y obviar las bases de una buena postura en ciberseguridad.
La clave está en los cimientos
Las empresas tienen que empezar a tomarse la ciberseguridad como algo serio ya que esto no va de escribir alguna política/procedimiento, dar un presupuesto a la oficina de ciberseguridad para que contrate más personal y herramientas y marcar la casilla de compliance.
Obviamente cada compañía tiene su propia casuística pero existe un gran número de frameworks y guías (PCI, Critical Security Controls, NIST Cybersecurity Framework, HIPAA, etc.) que pueden ayudar a entender a la organización de qué va esto de la ciberseguridad, su nivel de madurez y a planificar futuras iniciativas. Si el problema está en donde dedicar “mis limitados recursos”, estos frameworks pueden hacer gran parte del trabajo y orientar para identificar cuales son los puntos fuertes y débiles. Sea cual sea el framework, los básicos son los siguientes:
- Risk assessment & Asset management: Si no sabes cuales son tus activos más valiosos y no sabes a qué riesgos y amenazas se enfrentan, como vas a protegerlos? Una vez una organización identifica y cuantifica los activos, riesgos y amenazas, es capaz de aplicar los controles oportunos allí donde son necesarios.
- Policies and procedures: A través de las políticas y procedimientos la organización debe indicar qué controles aplicar para mitigar los riesgos identificados y sobre qué activos aplicarlos así como definir cómo deben interactuar los empleados con ellos.
- Security Culture (factor humano): No inviertas en juguetes, invierte en personas! Si tus empleados están bien informados y entrenados estarás invirtiendo en el que para muchos es el eslabón más débil en la seguridad de cualquier organización.
- Least Privilege: Por muy bien que lo hayas hecho en el punto anterior, todo el mundo puede tener un mal día. Reduce el riesgo de una brecha causada por un factor humano limitando los privilegios de TODOS los usuarios con acceso al entorno IT de la empresa. Solo permite los privilegios necesarios para que las personas puedan desarrollar las funciones asociadas a sus puestos de trabajo.
- Disaster recovery Plan: Por si todo lo anterior falla, define un plan de respuesta ante incidentes y asegurate que el personal está entrenado y sabe lo que hacer. Las principales fases de un plan de respuesta ante incidentes (Identificación, contención, recuperación, etc.) dependen de ello.
Una buena defensa debe construirse alrededor de una combinación de las capas anteriores y complementarse, eso sí, con las herramientas necesarias para llevarla a cabo de forma adecuada.
A2Secure cuenta con un grupo de profesionales técnicos y consultores que pueden ayudar a resolver las dudas sobre incidentes de ciberseguridad.
Autor: Guillem Cuesta