Actualmente, la red de información electrónica se ha convertido en una parte sistémica de nuestra vida diaria. Todos los tipos de organizaciones utilizan esta red para desempeñar de forma eficaz sus actividades. En tal sentido, aprovechan para recopilar, procesar, almacenar y compartir información digital, y a medida que se compila y se comunica más información digital, la protección de esta, se vuelve incluso más importante para nuestra seguridad nacional y estabilidad económica, así como los intereses individuales de una empresa.

¿Temes que tu empresa sea víctima del hurto de información y datos que pongan en riesgo su funcionamiento? Te invitamos a continuar en el artículo y conocer más sobre este aspecto fundamental de la Ciberseguridad. 

 

Gestión de riesgos de Ciberseguridad

Vivimos en la Sociedad de la Información, donde la tecnología, de manera holística, ha hecho de nuestro entorno un espacio más chico e interconectado.

Según la comunidad de EADIC, “Ante una amenaza de interrupción del sistema por un ataque informático, éste debe tener los cortafuegos, antivirus, antimalware, sistemas de seguridad, entre otros, adecuados y actualizados”. Por tal motivo, según nuestra investigación y el material compartido por nuestro especialista Ignacio Íñigo Hernández, la ISO 27005, en conjunto a la norma ISO 22301, son básicas para la gestión de riesgos y la continuidad de negocio, ya que evalúan problemas potenciales y garantizan a cualquier empresa continuar con sus actividades luego de un ataque.

 

Los peligros más frecuentes que puedan poner en riesgo la imagen o funcionalidad de una compañía a nivel informativo:

Según Ignacio, uno de los ataques más frecuentes y uno de los mayores peligros son “los ataques de denegación de servicio, donde se pone en peligro la accesibilidad al sistema y disponibilidad del mismo. El objetivo es básicamente tumbar la web de una empresa impidiéndole ejercer sus funciones de forma correcta”. Se entiende entonces que esto puede ocasionar que las empresas se vean afectadas parcial o permanentemente por el daño ocasionado a la funcionalidad y disponibilidad de su web y/o sistemas.

Ignacio señala también que otro tipo de ataque es aquel que afecta a la confidencialidad de los datos. Las motivaciones pueden ser muy variadas, desde tratar de robar información restringida a un ente gubernamental, pasando por el espionaje de la competencia en el caso de empresas comerciales, y hasta vender información privada perteneciente a simples ciudadanos de a pie en la Darknet.

Por otro lado, debido a la pandemia por Covid-19 y el trabajo desde casa, se han visto incrementados, según Ignacio, los ataques dirigidos a las empresas que obligadas por esta nueva circunstancia se han visto obligadas a  trabajar de manera remota  y no siempre con el tiempo necesario para poner en marcha las medidas adecuadas para garantizar la seguridad.

 

El teletrabajo y sus riesgos.

“El teletrabajo crea una nueva estructura de red dentro de la empresa”, así afirma el especialista Ignacio. Existen ahora “nodos” de información que están fuera del entorno seguro de la organización y por lo tanto deben ser protegidos. Para ello es necesario:

  • Rediseñar la seguridad de red.
  • Utilizar VPN.
  • Formación y concientización del personal en el manejo de datos informáticos bajo un entorno seguro.
  • Software de protección especializado para el resguardo de información (antivirus, antimalware).
  • Asegurarse de que el software utilizado está actualizado con los últimos parches de seguridad.

 

¿Cómo hacer frente a estos ataques?

  • Firewall de seguridad actualizada dentro de las empresas que examinan información tanto de entrada como salida.
  • Instalación de software en equipos locales para la protección de datos: antivirus, antimalware, sistemas anti exfiltración de datos, etc..
  • (IDS) y de centralización de login y eventos (SIEMS).
  • Mecanismos de firma digital para asegurar la integridad de los datos
  • Cifrado de correos para asegurar la confidencialidad, por ejemplo con PGP.

 

Análisis de riesgos para la continuidad del negocio.

¿Qué tipos de análisis de riesgo existen?

Ignacio explica que, fundamentalmente se hacen dos tipos de análisis de riesgos, los cuantitativos que te dan una medida cuantificable de los activos, que por lo general se reflejan casi siempre en dinero. Y el análisis cualitativo que es más subjetivo, donde se establecen una serie de medidas en base al riesgo y su implicación para las actividades de la empresa. Normalmente, se hace una combinación de estos análisis para generar un reporte costo-beneficio que ayuda a identificar los activos clave y la inversión necesaria para garantizar la continuidad del negocio.

Presumamos que una compañía es víctima de un ataque mediante Ransomware, y por ello debe pagar una cantidad de bitcoins a los crackers que secuestraron cierta información. En este ejemplo, amén del pago en criptomonedas, tenemos un escenario que causó o puede causar una interrupción en el servicio y operación de la empresa.

La empresa por tanto, debe plantearse dicha situación o amenaza mediante un debido Plan de Continuidad de Negocio, para establecer los mecanismos o salvaguardas que disminuyan el impacto de este incidente, y que ayuden a reanudar las operaciones en el tiempo mínimo aceptable, para poder seguir operando con normalidad a pesar del contratiempo. En este caso concreto por ejemplo asegurándose de que tiene una política adecuada de copias de seguridad que le permitan recuperarse del ataque en un tiempo aceptable que no afecte a la empresa de un modo significativo.

 

Pasos de la gestión del riesgo:

  • Definir alcance
  • Identificación de amenazas
  • Identificación de vulnerabilidades
  • Análisis de posibles controles a implementar
  • Determinación de probabilidad de ocurrencia
  • Análisis de impacto
  • Documentación de resultados y recomendaciones.

 

Tipos de respuesta al riesgo:

  • Rechazar: Implica ignorar que existe un determinado riesgo. En ningún caso una opción aceptable.
  • Aceptar: Se conoce el riesgo pero se determina que es aceptable. Importante documentarlo.
  • Mitigar: Se decide implementar una contramedida.
  • Transferir (modelo de seguros): Se contrata a un tercero para que asuma el riesgo.
  • Evitar/Elimiar: Se decide dejar de utilizar un determinado producto o sistema debido a su alto riesgo.

 

Plan de recuperación de desastres (DRP)

Según Ignacio consiste “en un sub-plan (quizás el más importante) dentro de la Continuidad de Negocio”. Existen diferentes maneras de abordar el desarrollo de un plan de recuperación, pero éste siempre debe estar alineado con el plan de continuidad, por lo que debe considerar los elementos que definen la razón de ser de una organización.

“El DRP debe incluir los criterios para determinar cuándo un incidente de seguridad no se puede resolver mediante los procedimientos comunes de atención y se considera como un desastre”.

Si tu empresa se ve afectada por un ciberataque, te preguntarás…

 

¿Cuáles son las fases para crear un plan de continuidad?

  • Elaboración de la declaración de políticas para el plan de contingencia
  • Realización del análisis de impacto sobre el negocio (BIA)
  • Identificación de controles preventivos
  • Desarrollo de plan de contingencia y estrategias preventivas
  • Prueba, formación, ejecución del plan y su mantenimiento.

  

Para finalizar, y gracias a la ayuda de Ignacio, podemos decir que en muchas organizaciones como bancos, empresas financieras, el sector salud, entre otros, los planes de continuidad de negocio y de sistemas de seguridad de la información, son fundamentales en la sociedad de la información y en un mundo movido por las TICS.{:}