Claves para administrar correctamente la ciberseguridad en la empresa

La ciberseguridad se ha convertido, con el transcurso de los años, en una preocupación de primer nivel dentro del sector corporativo. Especialmente cuando hablamos de compañías que manejan una gran cantidad de información crítica o cuando su dotación de empleados es extensa y móvil.

No obstante, existe hoy un fenómeno contradictorio. Aunque esta preocupación se ha instalado en la mente de gerentes y tomadores de decisiones en las compañías, no todas estas han invertido tiempo y recursos suficientes en establecer protocolos, incorporar tecnologías o educar a sus trabajadores en las implicaciones de un eventual ataque a la ciberseguridad de la organización.

En este sentido, César Pallavicini, gerente general de Pallavicini Consultores, destaca que es necesario que los directivos pongan en la agenda del directorio y comités de riesgo operacional el tema de la ciberseguridad, debido a que todos los eventos ocurridos este año seguirán creciendo durante los próximos años en forma exponencial, dice.

“La gobernanza de este tema es fundamental y prioritaria. Idealmente los presupuestos de inversión y gasto deben ser asignados y seguidos en forma separada de las inversiones en tecnologías, y dependiendo del sector o rubro, las exigencias regulatorias aumentarán. Adicionalmente, las leyes se están actualizando, agregando multas y penas de cárcel para los delitos informáticos, posterior al convenio de Budapest firmado por Chile. Es importante también establecer un programa de cibercultura que permita desarrollar un plan de capacitación en todos los niveles de la organización”, opina Pallavicini.

En la misma línea, Pablo Dubois, gerente de Productos de Seguridad de CenturyLink para América Latina, sostiene que lo más importante hoy en día es entender que la seguridad ya no pasa por prevenir no tener ningún incidente de seguridad, sino asumir que es muy posible que ya lo haya tenido o esté muy próximo a tenerlo y cuáles serán las contramedidas ante ello.

“Esto no quiere decir que las protecciones pasen a un segundo plano, más que nunca las protecciones tienen que estar, con un enfoque en capas de seguridad principalmente con el objetivo de reducir la superficie de ataque posible”, dice Dubois.

Reparto de responsabilidades

Un desafío que enfrenta gran parte de las empresas en la actualidad es , los que van desde la planilla de nómina con información personal sensible (direcciones, teléfonos, sueldos y bonos), pasando por costos operacionales, información misional y de núcleo de negocio hasta procesos y procedimientos, planes de acción, planes estratégicos, e información de TI, entre muchos otros tipos de datos.

Toda esta información se encuentra dispersa en cada funcionario de la organización además de dispositivos tanto corporativos como personales, smartphones, tabletas, y medios extraíbles. Estos últimos con el agravante de que por lo general no se encuentran inventariados, lo que constituye uno de los problemas más grandes que tienen que enfrentar las compañías.

En este punto, la abogada experta en materias tecnológicas, María José Arancibia, señala que, desde el punto de vista legal, “es necesario que los trabajadores cualquiera sea su puesto y rango deban ser cuidadosos de la información que manejan. Todo lo cual se refleja en un reglamento interno de higiene y seguridad que debe firmar cada trabajador al momento de ingresar. Asimismo, un protocolo en caso de divulgación de información sensible de la empresa”.

¿Qué hacer ante un incidente de ciberseguridad en la empresa?

Los expertos coinciden en la necesidad de que toda empresa cuente con un plan de contingencia que especifique cómo actuar en estos casos. Así, la mitigación del problema se realizará de manera más rápida y eficiente.

“Este plan debe permitir tomar decisiones rápidas que aíslen el incidente lo más posible; debe contemplar la erradicación del incidente (por ejemplo, desactivar las cuentas de usuario afectadas, proteger puntos críticos de conectividad), y la recuperación una vez resuelto”, sostiene Felipe Stutz, director de soluciones para América Latina de Orange Business Services.

Stutz agrega que a partir de la puesta en vigencia del reglamento GDPR, aquellas empresas que trabajen con datos de ciudadanos pertenecientes a la Unión Europea (y toda compañía que mediando o no el cumplimiento de una ley maneje con responsabilidad los datos de sus clientes) debe notificar el incidente de forma inmediata si hubiera datos de clientes afectados. “No tener un plan de contingencia o tener un socio tecnológico en quien puedan confiar la vigilancia de sus activos digitales (así como las empresas han hecho hasta el día de hoy con sus activos físicos), es un gran riesgo para el negocio y puede tener un costo muy alto”, advierte.

Por su parte, Marcelo Díaz, gerente general de Makros, indica que es ideal, en estos casos, contar con algún centro de respuesta a incidentes, o CSIRT, y tener también clara la declaración de manejo de incidentes como un procedimiento: “Si no se puede llegar a tal grado de madurez, al menos declarar roles y responsabilidades para que se pueda dar seguimiento a un incidente, así como también poder trabajar sobre las lecciones aprendidas de los mismos. Es importante también establecer una estrategia donde se cuente con el apoyo de los proveedores en momentos como esos”.

A su vez, David Fernández Granado, director de Ciberseguridad de Minsait, (una compañía de Indra), indica que hay cinco reglas básicas para prevenir los ciberataques en la empresa:

1. Primero la actualización. “Que los equipos estén convenientemente actualizados es esencial dentro de una estrategia de ciberseguridad. Esto afecta a los sistemas operativos, que deberán tener instaladas todas las actualizaciones relacionadas con la seguridad interna, pero también a los antivirus.”
2. Luego, el correo electrónico y la navegación. “Con frecuencia, el correo electrónico acaba convirtiéndose en la mejor puerta de entrada para los ciberataques. Basta con que un empleado abra un correo indebido para que infecte a todos los demás, de modo que todas las empresas deben llevar a cabo una adecuada labor de protección informática del correo electrónico. En cuanto a la navegación por internet, la compañía debe proteger todos sus equipos frente a cualquier posible amenaza.”
3. La detección de malware. “Tener los equipos preparados es esencial, pero nunca hay que olvidar la prevención y detección tecnológica. Para evitar cualquier tipo de amenaza, las empresas deben llevar a cabo campañas de detección de malware y de evaluación de su efectividad sobre la infraestructura.”
4. Aislamiento y gestión de crisis. “Si el equipo de ciberseguridad informática ha encontrado un equipo que ha sido infectado, debe aislarlo de la manera más rápida posible para evitar el contagio a los demás. Una vez aislado, deberá proceder con su limpieza total y la restauración de todo el sistema.”
5. Por último, es vital la recuperación. “Por muchas medidas de seguridad que tome una empresa, nadie puede asegurar al 100% que sus puertas sean impenetrables. La posibilidad de acabar infectados es real y, por ello, conviene tener preparadas diversas medidas para recuperar el material perdido en caso de que haya incidentes relacionados con la ciberseguridad.”

Fernández Granado concluye que luego de realizar este proceso se debe efectuar un análisis forense del ataque, sus razones y las medidas tomadas, todo ello para tener un sistema resiliente que aprenda de sus debilidades, y de esta manera ir mejorándolo.

Tips para gestionar la seguridad empresarial

Consejos de Carlos Bastidas Ocampo, experto de ciberseguridad del Centro de Competencia Regional de SONDA:

• Considerar y aplicar los requerimientos de esquemas regulatorios en distintos países que imponen por ley el resguardo y la protección de datos personales. Algunos ejemplos son el marco de regulación europeo GDPR y leyes como la 1581 en Colombia, 29773 en Perú, 25326 en Argentina, 18331 en Uruguay, o leyes sectoriales, como la HIPPA que busca la protección de datos sensibles referentes a la salud.
• Normativas de entidades regulatorias como las de la Super Intendencia Financiera en Colombia, la SBIF en Chile, o la Super Intendencia de Banca, en Ecuador, entre otras.
• Esquemas regulatorios de la industria financiera como PCI DSS “Payment Card Industry Data Security Standard”, creado por el consorcio Visa-Master Card.
• Buenas prácticas, como ISO 27001:2015 para protección de la información, ISO 22301 para esquemas de continuidad de negocio, o BCP.

Adicionalmente y a nivel de controles tecnológicos se debe considerar:

• Protección de perímetro vía firewalls, IPS, filtros de contenido, restricción a redes de almacenamiento externas como Google drive, Dropbox entre otras, antimalware de borde, etc.
• Protección de fuga de información como DLP
• Protección de acceso a la red como NAC
• Protecciones de endpoint como cifrado de disco duro, antimalware de endpoint
• Esquemas de control de identidad
• Controles de restricción de almacenamiento en medios extraíbles tipo pendrive o discos duros removibles

Publicado en: “Search Data Center”