Navegación

Artículos Relacionados

De hacktivismo y otros bichos


Realidad Digital
De hacktivismo y otros bichos

Por: Fernando Thompson.Director General de Tecnologías de la Información
Universidad de las Américas Puebla. Clasificado como uno de los mejores 10 CIOs y líder en TI.

No basta usar dispositivos que impidan el acceso a las amenazas. El nuevo enfoque de ciberdefensa está basado en visibilidad, inteligencia y recopilación de información.

Fernando Thompson

• Un solo proveedor no tiene una la solución integral en seguridad
• Aunque no existe infraestructura 100% inmune, sí existe un enfoque efectivo para evitar y detectar ataques
• Todo control debe cumplir al menos uno de los objetivos de la seguridad informática

La ciberseguridad está siendo reconocida ahora universalmente como un asunto de seguridad nacional, debido a la seria amenaza a gobiernos, negocios, escuelas, y personas. Este es un tema que he discutido con otros CIOs y me ha tocado que, delante del expresidente Calderón, minimicen este grave problema, cuando en realidad se ha intensificado, y cada vez será peor.

Hoy estamos en medio de una ciberguerra de dimensiones mundiales, y si no me crees, consulta este Mapa de Ciberamenazas de Kaspersky, y observa el origen y destino de ataques elaborados desde países de todas las latitudes contra otros países o internos.

Desde los ataques más sencillos o con ingeniería social para obtener información, hasta sofisticados actores informáticos (ya sean criminales motivados financieramente, grupos patrocinados por algún estado o hacktivistas de intereses ideológicos), las amenazas se van moviendo mucho más rápido que los buenos. La gente piensa que solamente Bancos, Gobiernos y grandes corporativos son los que sufren ataques; sin embargo, también la pequeña y mediana empresa puede ser presa si cuenta con un catálogo o base de datos de clientes, o si usa tarjetas bancarias o transacciones en línea.

¿Qué pasa cuando el atacante ya está en nuestra red? ¿En qué afecta que “hackeen” mi portal o mi cuenta de correo, o mis redes sociales, o mis dispositivos? Sin duda, vivimos en una nueva era de constantes amenazas en internet, las cuales nos obligan a pensar en un plan de defensa.

A un ser humano le resulta prácticamente imposible discernir entre un ataque genuino y bombas de humo. No existe un solo proveedor que tenga la solución integral en seguridad. De hecho, yo contrato al menos a ocho diferentes empresas para ayudar en la estrategia de seguridad.

El enfoque integral de ciberseguridad implica:

  • Tener personal capaz y certificado en temas de seguridad
  • Contar con un esquema de gobernanza sólido, basado en procesos, procedimientos, políticas, sensibilización al usuario, software y hardware
  • Realizar auditorías internas y externas
  • Desarrollar un plan de recuperación en caso de desastres, un plan de continuidad de la operación.

La complejidad de los ataques va en aumento: ataques sin firma, ataques a smartphones que se conectan a aplicaciones de negocios, tabletas infectadas, sitios en internet cargados de malware sin que los usuarios lo sepan, es lo de a diario.

Los ataques pueden ser internos (por un empleado descuidado o resentido), hasta sofisticados ataques externos. Los bancos y las tiendas son presas fáciles por su arrogancia y falta de velocidad de reacción, y aunque no existe infraestructura 100% inmune, sí existe un enfoque efectivo para evitar y detectar ataques. Te hago una pregunta a ti, lector: ¿Has hecho un ejercicio en tu compañía dónde simulen haber sido atacados? Si tu respuesta es “Sí” y ya tienen un plan de respuesta… ¡mis respetos! Eres parte de la élite de 0.1% de entidades que lo han hecho bien y sabrás en su momento reaccionar y defenderte rápidamente.

El enfoque más útil lo he encontrado al escuchar a Sergio Castro Reynoso: “Los tres objetivos de la seguridad son garantizar la Confidencialidad, Integridad y Disponibilidad de la información que está en nuestra red”.

Para lograr esto, tenemos tres preceptos arquitectónicos:

  1. Prevenir que el intruso entre
  2. Prevenir que el intruso tome control de máquinas en nuestra red
  3. Prevenir que el intruso salga

Revisando los 27 Controles Críticos de Seguridad Informática, de la norma ISO, veremos que cada uno ayuda a cumplir uno o más de los objetivos anteriores. Entonces, cada vez que implementemos un control de cualquier tipo, debemos preguntarnos si está cumpliendo alguno de los objetivos de la seguridad informática. Si no es así, entonces realmente no es un control de seguridad informática.

Los Controles Críticos a los que se refiere son:

  • Control 1: Firewalls, Ruteadores, y Switches
  • Control 2: Implementación segura de DNS
  • Control 3: Administración de Passwords
  • Control 4: Inventario de Hardware
  • Control 5: Inventario de software
  • Control 6: Inventario de puertos y servicios
  • Control 7: Inventario de GUIs
  • Control 8: Escaneo y remediación de vulnerabilidades
  • Control 9: Endurecimiento de servidores y PCs
  • Control 10: Web Application firewall
  • Control 11: Protección de base de datos
  • Control 12: Antimalware
  • Control 13: Protección de plataformas móviles
  • Control 14: Protección de redes inalámbricas
  • Control 15: Filtrado de email y sitios web
  • Control 16: Sistema de prevención y detección de intrusión
  • Control 17: Análisis de bitácoras
  • Control 18: Análisis de tráfico
  • Control 19: Monitoreo de integridad de archivos
  • Control 20: Prevención de perdida de datos
  • Control 21: Encriptación de datos en transmisión
  • Control 22: Encriptación de datos en almacenamiento
  • Control 23: Defensa en contra de denegación de servicio
  • Control 24: Entrenamiento a usuarios
  • Control 25: Control de acceso físico
  • Control 26: Pruebas de penetración
  • Control 27: Plan de respuesta a incidentes

 

Finalmente, todo debe desembocar en una estrategia de arquitectura de ciberseguridad, que debe abarcar los siguientes nueve puntos:

 

  1. Selección de controles a implementar
  2. Definición del nivel actual de implementación de cada control
  3. Identificar proveedores para cada control
  4. Pedir presentaciones y demostraciones de cada solución
  5. Emitir licitaciones para cada solución
  6. Crear una Matriz de Análisis de Proveedores (MAP)
  7. Selección de soluciones
  8. Implementación
  9. Proceso de mejora continua

 

Por Fernando Thompson, CIO de la UDLAP

y Experto en la Materia de Realidad Digital

  • Fuente 1: Forrester Research
  • Fuente 2: Microsoft
  • Fuente 3: ISO 27000
Show Comments (0)

Comentarios

Suscríbete a nuestra Newsletter

Date de alta y recibe las novedades más interesante sobre las soluciones de Realidad Digital que necesitas en tu empresa.

Continuando acepto la aviso de privacidad