Segurilatam 004

Primer cuatrimestre 2017 47 artículo técnico Ciberseguridad ciberseguridad ha cambiado radical- mente: ahora hablamos de firewalls y sistemas de prevención de intru- sos (IPS, por sus siglas en inglés) de nueva generación; de protección de los endpoints (junto a un enfoque ha- cia la detección y respuesta de inci- dentes); de herramientas de detec- ción de anomalías en el tráf ico, en los usuarios o en los patrones de uso del software ; de sistemas de integra- ción de múltiples fuentes de infor- mación y detección inteligente de in- cidentes (la evolución de los famosos SIEM junto con el aprovechamiento de técnicas de inteligencia artificial, analítica y big data ); de administra- ción de identidades, de diversas tec- nologías para cifrar la información en distintas partes y con distintas técni- cas, etc. Lo recomendable es centrarse en los riesgos de la organización y la estrate- gia definida para manejarlos. Este en- foque nos dará orden y prioridad en las inversiones y alineamiento con la organización y sus líderes. Espero haberles ofrecido algunas ideas para actualizar y/o cambiar sus puntos de vista sobre los retos de la ciberseguridad y la forma de enfren- tarlos. Les deseo mucha suerte en esta aventura. Para el personal de sistemas debe existir una normativa que vaya evolu- cionando hacia incorporar procesos cla- ros de control de cambios y configura- ciones (que incluyan procesos de segu- ridad como la gestión de parches y el proceso de remediación) en todo tipo de infraestructura e, incluso, un proceso de desarrollo de software seguro. Los procesos Además de los procesos de seguridad mencionados, hemos de contar con uno de monitoreo de la seguridad y otro ro- busto de manejo de incidentes de segu- ridad. Respecto a este último, es distinto al que la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL, por sus siglas en inglés) recomienda para ma- nejar incidentes de TI. Y en una versión moderna y necesaria del proceso no es suficiente con ligarlo al de monitoreo (es decir, que a través de monitorear alarmas y eventos de seguridad se dispare un pro- ceso de manejo de incidentes), sino que debemos tener actividades de hunting : su- poner que ya fuimos comprometidos y tratar de encontrar indicadores de dicho compromiso para actuar en consecuencia. La tecnología Podemos afirmar que en los últimos tres años casi toda la tecnología de la cadena: la alta dirección, en general, no entiende de ciberriesgos ni ha asu- mido la responsabilidad de definir la es- trategia de ciberseguridad de las orga- nizaciones. El personal de sistemas está orientado hacia la continuidad opera- tiva pero no a la seguridad. Y las empre- sas no suelen contar con profesionales responsables de las funciones de ciber- seguridad o las mismas carecen de las calificaciones técnicas para lidiar con las nuevas amenazas o no poseen las habi- lidades de comunicación y negociación para concienciar a los ejecutivos y lo- grar los patrocinios adecuados a las ini- ciativas y proyectos de seguridad. Sin tratar de abarcar todas las posi- bles aristas, y siempre teniendo claro que cada organización es distinta, puedo sugerir algunas ideas divididas en tres ejes: el elemento humano, los procesos y la tecnología. El elemento humano Propongo que todos los líderes de las organizaciones, públicas y privadas, en- tiendan más de los ciberriesgos a los que se enfrentan y cómo, si los mismos se materializan, pueden impactarlos ne- gativamente. Un análisis muy concreto de las brechas que tienen para lograr un nivel adecuado de seguridad es alta- mente recomendable, así como traducir lo anterior a una estrategia de ciberse- guridad basada en iniciativas concretas que estén dimensionadas en términos de presupuesto, tiempo y esfuerzo para implementarlas. Teniendo en cuenta lo anterior, de- berían asignar al personal responsa- ble o complementar, si fuera necesa- rio, el equipo humano ya disponible. Es importante que aclaremos que no hay una práctica unificada respecto a dónde ubicar dicho personal; pero po- dríamos decir que las funciones opera- tivas deben ir muy de la mano del área informática, las funciones normativas pueden estar en un rol de la alta direc- ción o reportar a áreas de finanzas o, in- cluso, del negocio, y las tareas de vigi- lancia y cumplimiento pueden ubicarse en áreas de auditoría, contraloría o de riesgos.