La forma en la que madurez de la ciberseguridad en una compañia se logra, va asociado a través de iniciativas priorizadas en el contexto del panorama de amenazas existentes en nuestra organización y la tolerancia al riesgo o apetito al mismo que tengamos.
Mientras que cualquier programa de seguridad formal requiere supervisión e inversión, llegar a una instantánea rápida del nivel de madurez no debería ser un esfuerzo prolongado.
Por ello, os muestro algunas acciones efectivas a considerar a la hora de proporcionar la base para la evaluación de nuestro nivel de madurez en seguridad de la información, acciones que nos produciran un grab rendimiento a corto plazo si las tomamos, con un alto impacto contra el riesgo continuo de las amenazas.
-
Invertir en la retención del talento en seguridad. La tecnología por sí sola no puede manejar el riesgo de incumplimiento. Las organizaciones a menudo implementan el último control de seguridad o los últimos dispositivo, pero los mismos no se tienen configurados o monitorizados adecuadamente para que realicen lastareas de una forma efectiva. Debemos aplicar el nivel adecuado de supervisión y habilidad humana para optimizar las soluciones implantadas, ya bien sea contratando, subcontratando o realizando una combinación de ambas.
-
Insistir en una cultura de conciencia de seguridad . La sensibilización y la capacitación son fundamentales. Establecer un tono en la parte superior, insistiendo en la responsabilidad de los empleados por adherirse, cumplir y comprender las políticas de seguridad, procesos y procedimientos, no sólo dentro de TI, sino a través del negocio es fundamental, pero esta misma concienciación entre los líderes funcionales, debería ser algo impescindible.
-
Mejorar la visibilidad del entorno. El nuevo perímetro para la seguridad son claramente los usuarios finales basados en puntos de acceso iniciales que hemos visto en incontables brechas. La pregunta que debemos hacernos es "¿Mi organización tiene visibilidad sobre la actividad de amenazas en todos los dispositivos del empleado, incluso cuando no están en el entorno corporativo tradicional? ¿Cómo puedo instrumentar los puntos de acceso remoto para aumentar mi visibilidad hacia una rápida detección? "
Debemos tomar la Cloud como una extensión de nuestro dominio de seguridad.
Durante muchos años, la mayoría de las organizaciones vivirán en un entorno híbrido en el que las discusiones de negocios impulsarán la adopción de la nube. ¿Tiene sentido el mismo nivel de confianza y de controles de seguridad en distintos dominios?
-
Desarrollar un plan de respuesta ante incidentes. Debemos crear un equipo CSIRT que esté bien construido, dotado de recursos y que ensaye de manera regular múltiples escenarios de riesgo. Debemos asegurarnos de que los equipos estén listos y tenga expertos cualificados para manejar las complejidades de una respuesta ante violaciones de seguridad. La detección rápida y la respuesta rápida no son prioridades negociables, las mismas una vez se den dichas violaciones, acortaran posibles perdidas o problemas.
-
Mejorar el diseño de la red y la segmentación de datos. La mayoría de las organizaciones no han identificado formalmente qué activos son más críticos para ellos, o no documentan con precisión su red, pero esto el principal paso para conocer nuestra exposición. Sólo entonces podremos segmentar datos y sistemas críticos para aplicar una defensa en capas con un mejor diseño de red para protegerlos.
-
Implementar la autenticación de dos factores. Creo que debería ser una de las principales recomendaciones, teniendo en cuenta que el modelo de conexión desde cualquier lugar, es una realidad. Nos encontramos con que el nombre de usuario y las contraseñas comprometidas se utilizaban con frecuencia para "iniciar sesión" en las redes de cliente a través de sistemas de acceso remoto (por ejemplo, Outlook Web Access, VPN, VDI). Como resultado, la detección de estos ataques, una vez comprometida la password, es muy dificil de detectar. Agregar una capa adicional de autenticación - algo que debemos saber (contraseña) + algo que debemos tener (por ejemplo, un token) debe ser un control de seguridad crítico.
-
Controlar el uso de cuentas privilegiadas. Los privilegios de administrador deben ser la excepción, no la norma. Limitar el número de personas que tienen cuentas privilegiadas para instalar software y, si es posible, realizar listas de privilegios, ya bien sean "listas blancas" o "listas negras". Además, las cuentas de administrador deben ser auditadas con la mayor frecuencia posible para asegurar que se asignen a un administrador que todavía tiene una necesidad válida para dichos privilegios. Las cuentas de administración en general nunca deben utilizarse para tareas rutinarias o del día a día.
-
Tecnologías de Sandbox. El phishing fue el vector de ataque predominante en los compromisos de respuesta a incidentes, según estudios de 2016. El uso de tecnologías de sandboxing avanzadas para detonar archivos adjuntos de correo electrónico y enlaces web antes de que los empleados los vean es fundamental como parte de la estrategia de "prevención" de una organización. La naturaleza humana es ser curioso, así que a pesar de la mejor formación en conciención, debemos poner herramientas acordes.
-
Realizar evaluaciones continuas de vulnerabilidad y remediación. La higiene de entornos TI es la base de cualquier programa de seguridad. Con regularidad, debemos realizar evaluaciones para identificar las vulnerabilidades y asegúrese de que existe un plan para cerrar y corregir dichas brechas.
You don't know what you don't know.
- Identificar amenazas que ya existen en el entorno. El tiempo promedio antes de que se detecten amenazas avanzadas en entornos corporativos es de más de 300 días. Antes de implementar nuevas soluciones de seguridad, debemos empezar a considerar la limpieza de nuestra casa. La caza de amenazas dirigida puede reconocer comportamientos de amenaza incluso sin el malware presente, ayudándo a identificarlas antes de que nos podamos hacer daño.