Título de la entrada del blog

Subtítulo

Graciela Ricci

Cuanto más conscientes son las organizaciones respecto a las amenazas del cibercrimen, menores son las brechas de seguridad que deben cubrir en su evolución; por lo tanto, la inversión es menor y es más sencillo ver su alineación con los objetivos y necesidades del negocio, así como su justificación.   

La inversión en ciberseguridad es más efectiva cuando está dirigida a mitigar riesgos específicos del negocio, por lo cual nuevamente surge la importancia de contar con una estrategia de seguridad alineada a las necesidades del negocio. De lo contrario, no se cuenta con un mecanismo claro y objetivo para priorizar dicha inversión en forma proactiva. Una vez registrado el incidente, se debe actuar en forma reactiva, atacando problemas puntuales, e incurriendo en costos usualmente elevados, dado que el daño ya está hecho y es necesario actuar. 

No hay una única estrategia para organizar la inversión en seguridad IT, pero lo que lo más efectivo es destinar los mayores recursos a mitigar los riesgos más importantes del negocio, o sea, orientar la inversión al riesgo. Para realizar esta administración en forma eficaz, se debe asegurar que el análisis de riesgos disponible, fue guiado por los objetivos del negocio y además se debe tomar en cuenta los riesgos claves de la arquitectura tecnológica requerida para lograr dichos objetivos y los específicos del sector en el cual actúa la organización.

Además, se debe tener en cuenta que los programas de ciberseguridad deben ser lo suficientemente ágiles y flexibles como para adaptarse a las nuevas amenazas que surjan, lo cual hace que sufran más cambios que los programas tradicionales de seguridad IT. Por lo anterior, se sugiere que sean desarrollados a corto plazo (no más de tres años), de forma de tratar de asegurar que los mismos están siendo eficaces y efectivos. Al igual que en los planes tradicionales se debe considerar tanto los controles preventivos como detectivos, así como la capacidad de respuesta ante los eventuales ataques. 

Aunque parezca anticuado y obvio, para la elaboración de los programas de ciberseguridad, sigue siendo fundamental proceder a clasificar los activos informáticos de la organización, así como conocer la normativa interna y externa a nivel de industria y país, en lo relativo a seguridad informática, incluyendo la normativa sobre confidencialidad y privacidad de la información. Una evaluación realista de los activos informáticos de la organización debería tener en cuenta, por ejemplo, los costos financieros de no proteger la información de los clientes como corresponde. 

Otro aspecto importante a considerar es que la estrategia de ciberseguridad que se adopte debe ser desarrolla “end-to-end”. Por ejemplo, no es suficiente monitorear solamente algunos componentes de la arquitectura de seguridad si no tenemos la certeza de que no se perpetrará un ataque explotando los componentes que no están sujetos a revisión. 

En este sentido, muchas organizaciones tienen redes segregadas justamente para brindar mayor protección a los datos más críticos, lo cual es correcto. Pero tampoco será efectivo tener un nivel de control de accesos muy pobre a servidores que administran información pública. En este caso, probablemente estemos facilitando un acceso no autorizado a aplicativos que, si bien administran información pública, cuentan con su propio módulo de control de acceso que contienen las contraseñas de los usuarios las cuales, en la mayoría de los casos, es la misma que utilizan para acceder a los otros sistemas, incluidos los que administran información crítica y/o confidencial. 
 
Entonces, al realizar un ataque sencillo a un servidor mal protegido, el atacante puede obtener información valiosa para planear otro ataque, que incluso puede ser lanzado desde el servidor ya capturado de la víctima (los llamados “zombis”). Las preguntas que surgirán: ¿qué falló?, ¿no se suponía que los controles debían ser costo-beneficio razonables, teniendo en cuenta la clasificación de los activos a los que protegían? El error, muy común, consiste en no considerar la red de forma completa. Hay que conocer y analizar todos los posibles accesos que se tiene entre los distintos equipos. Adicionalmente, y como no podía ser de otra manera, el usuario final colaboró inconscientemente con el atacante al utilizar una misma contraseña para todos sus aplicativos por un tema de comodidad. La falta de concientización y cuidado del usuario final, puede comprometer cualquier arquitectura de seguridad. 

Graciela Ricci
CISA, CGEIT, CRISC
Directora Valor y Gestión TI