La ciberseguridad es la práctica de defender sus redes, sistemas y aplicaciones de amenazas maliciosas en línea.
"Diferentes tipos de ciberseguridad (activos cibernéticos): redes, sistemas, información, programas, otros"
Los datos y las operaciones digitales ya están en el centro de la mayoría de las organizaciones modernas, y esta tendencia solo está aumentando. Pero con esta dependencia de los sistemas computarizados viene una variedad de amenazas. Estos riesgos pueden ser internos, originados en empleados y contratistas. Pueden ser externos, el resultado de la actividad de los ciberdelincuentes, o incluso de sus propios clientes. Pueden ser actos deliberados de robo o interrupción de datos, o simplemente pueden ser causados por errores humanos y negligencia.
No importa dónde o por qué se origina una amenaza cibernética, tiene el potencial de ser devastadora para las empresas, sus empleados y sus clientes. Es por eso que es importante comprender las prácticas y tácticas de ciberseguridad para defenderse eficazmente contra los peligros en el mundo digital.
¿Por qué es importante la ciberseguridad?
Las organizaciones de hoy enfrentan desafíos críticos con respecto a la ciberseguridad. La creación, el procesamiento y el almacenamiento de datos se realizan cada vez más en el borde, lo que aumenta la complejidad operativa y hace que los flujos de datos sean más difíciles de rastrear. Mientras tanto, el poder de cómputo y la inteligencia artificial son cada vez más accesibles, lo que permite a los adversarios cibernéticos dirigirse a las empresas de manera más efectiva que nunca. Y estos delincuentes están muy motivados, impulsados por la posibilidad de recompensas multimillonarias de empresas que a menudo no pueden permitirse no pagar por la restauración de servicios o la recuperación de datos perdidos.
Cualquier organización que utilice tecnología moderna debe lidiar con el riesgo de amenazas potenciales. Tomar medidas para llevar a cabo una evaluación de riesgos es crucial para la salud y la seguridad operativa de las empresas. Las brechas de seguridad de datos y los ataques cibernéticos contra los servicios comerciales tienen el potencial de causar daños financieros y de reputación catastróficos, y el acceso no autorizado a información de identificación personal (proteger datos confidenciales e información de identificación personal) puede tener graves impactos en la vida de los empleados y clientes.
¿Cuáles son los tres pilares de la ciberseguridad?
La mayoría de la gente asociaría la ciberseguridad con la tecnología. Ya sea hardware o software, el malentendido común sobre la ciberseguridad es que solo se basa en componentes tecnológicos.
La tecnología juega un papel importante en la postura de ciberseguridad de una empresa, pero no es suficiente para luchar contra los ciberdelincuentes por su cuenta.
La ciberseguridad robusta comprende tecnología, procesos y tácticas para proteger a los usuarios y las empresas de los ataques cibernéticos. La ciberseguridad puede minimizar el riesgo de ataques cibernéticos exitosos en sus sistemas mediante la implementación de sistemas, redes y tecnologías específicas. Se basa en el modelo de Sistema de Gestión de Seguridad de la Información (SGSI).
Y aquí viene el truco, el SGSI se basa en tres pilares principales: personas, procesos y tecnología.
Para que la ciberseguridad funcione correctamente, necesitaría tecnología específica, los procesos adecuados para habilitar su potencial y que los humanos la utilicen de manera efectiva para anular las vulnerabilidades en las defensas del sistema.
Exploremos los tres pilares a continuación para comprender mejor el SGSI.
Personas
Como "personas" es un término amplio y vago cuando discutimos detalles específicos en ciberseguridad, dividámoslo en dos aspectos principales.
Cuando decimos "personas", en primer lugar, nos referimos a cada persona que trabaja en una organización. Los empleados deben ser conscientes de su papel en el SGSI y cumplirlo adecuadamente.
Para prevenir o, al menos, reducir el efecto de los incidentes de ciberseguridad, los empleados deben saber cómo manejar los datos confidenciales, cómo detectar los correos electrónicos de phishing y cómo navegar de forma segura en la web. Además, deben ser conscientes de cómo usar sus propios dispositivos para el trabajo (traiga su propio dispositivo o BYOD, en inglés), proteger su hogar contra las intrusiones de red cuando trabajan desde casa y más.
A medida que los ciberdelincuentes se dirigen a las personas para infiltrarse en una red, todos los empleados de la empresa deben comprender todas las amenazas conocidas y tratarlas en consecuencia.
En segundo lugar, hay un grupo de personas en cada organización (o, al menos, debería haberlo) a las que se les confía una responsabilidad más amplia. Su Director de Seguridad de la Información (CISO, por sus siglas en inglés) y su(s) equipo(s) deben ser plenamente conscientes de todas las amenazas potenciales y estar equipados con las últimas habilidades y calificaciones para administrar los controles de ciberseguridad, la tecnología y las prácticas involucradas en la lucha contra un ataque cibernético.
Si alguno de los dos grupos se retrasa en la preparación, su organización no podría garantizar las medidas de seguridad adecuadas.
Por ejemplo, cada empleado puede ser informado sobre cómo detectar y responder a las amenazas conocidas. Pueden operar inmaculadamente contra todas las amenazas que conocen. Sin embargo, si su personal de TI no está al tanto de una amenaza cibernética recién surgida, no podría informar a sus otros empleados al respecto. Este último, a su vez, no sabrá la amenaza cuando se tropiece con ella, por lo que no será capaz de reaccionar correctamente.
Por otro lado, incluso si su personal de TI es consciente de todas las amenazas persistentes avanzadas, solo se necesita que uno de sus empleados se deslice y haga clic accidentalmente en un archivo adjunto de correo electrónico de phishing. El archivo adjunto puede contener ransomware o un virus problemático y hacer que los datos de su empresa se corrompan o se vuelvan inutilizables rápidamente.
Ambos escenarios pueden conducir a la pérdida de datos y la interrupción de las operaciones comerciales. Para evitar un impacto negativo en su empresa, necesitaría que ambas partes del pilar de personas funcionen de manera sincronizada para contrarrestar las amenazas de manera efectiva.
Profundizar en el primer pilar de la ciberseguridad
Según una investigación de Proofpoint realizada para el "Estado del Phish 2022" de Verizon, el 78% de las organizaciones sufrieron ataques de ransomware basados en correo electrónico en 2021. Además, los investigadores identificaron 15 millones de mensajes de phishing armados con cargas de malware que luego se vincularon con ransomware de etapa posterior.
¿Por qué esto es importante aquí?
Bueno, para que cualquier correo electrónico de phishing tenga éxito, necesita que un usuario objetivo muerda el anzuelo. En una organización, los empleados son la superficie de ataque más amplia para los ciberdelincuentes, incluso si solo un usuario se involucra con malware, puede propagarse por su red casi instantáneamente.
Esta es la razón por la cual la capacitación de sus empleados para prevenir ataques de phishing y de ingeniería social es crucial. En el mejor de los casos, sus empleados sabrían cómo detectar un correo electrónico de phishing e informarlo. También serían conscientes de no descargar ningún archivo adjunto sospechoso de remitentes desconocidos y de no responder a las solicitudes de información de credenciales e inicio de sesión, ya que los atacantes cibernéticos pueden intentar robar datos confidenciales a través de ellos.
Uno de los enfoques más rentables para la ciberseguridad sensata es la capacitación de los empleados. Puede dividir la capacitación en dos categorías: formal e informal.
La capacitación formal debe incluir capacitación sobre las políticas y los procedimientos de su empresa junto con pautas específicas de respuesta a incidentes.
En cuanto a la capacitación informal, usted puede considerar simular ataques de phishing y hacer un seguimiento con comentarios.
También puede enviar correos electrónicos masivos informando a sus empleados sobre amenazas actuales u otra información beneficiosa. Por ejemplo, un correo electrónico de recordatorio puede reiterar que los empleados nunca deben proporcionar credenciales de inicio de sesión u otros datos confidenciales por correo electrónico, incluso si el remitente y el mensaje parecen legítimos. Es una tarea simple, pero puede evitar que sus empleados interactúen con amenazas (aún) desconocidas para ellos.
Además, las empresas deben considerar recordatorios anuales específicamente para su personal de nómina, ya que diciembre, enero y febrero traen una mayor probabilidad de estafas de phishing de W-2. Durante tales ataques digitales, es más probable que su personal de nómina reciba un correo electrónico (supuestamente del director general o director financiero de la empresa) solicitando información de W-2 del empleado.
Los recordatorios, como los dos anteriores, son una excelente manera de combinar la capacitación formal e informal, pero también hay más cosas que puede hacer.
Por ejemplo, puede incluir ejercicios de sobremesa en la capacitación sobre ciberseguridad de sus empleados. Durante tales ejercicios, sus empleados pueden prepararse para una violación de datos real.
La simulación de un ciberataque exitoso puede permitir a los ejecutivos probar las habilidades del empleado para responder a una amenaza cibernética en curso de acuerdo con las políticas y los procedimientos de su organización.
Al principio, tales prácticas pueden parecer abrumadoras para su fuerza laboral, pero con el tiempo, pueden beneficiar significativamente la postura de ciberseguridad de toda su empresa.
Procesos
Los procesos en ciberseguridad se refieren a sistemas de gestión, políticas y procedimientos, gobierno y gestión de terceros, todos los cuales deben abordarse correctamente para que los procesos funcionen de manera efectiva.
Los procesos son críticos para cualquier estrategia de ciberseguridad, ya que definen cómo se comporta una organización frente a un ataque cibernético. Describen las actividades, los roles y la documentación utilizados para mitigar los riesgos de los ciberataques.
Los procesos deben revisarse continuamente para adaptarse a la naturaleza en constante evolución de los ciberataques. Sin embargo, los procesos se asemejarían a conchas huecas si las personas que las manejan no estuvieran preparadas adecuadamente.
Profundizar en el segundo pilar de la ciberseguridad
Aquí discutiremos cuatro ramas principales de procesos como parte de su estrategia de ciberseguridad.
Dependiendo de los detalles de la empresa, algunos pueden parecer más relevantes que otros, pero todos ellos combinados pueden mejorar drásticamente sus defensas.
Sistemas de gestión
Un sistema de gestión adecuado contribuye en gran medida a fortalecer su plan de ciberseguridad.
Los empleados, ejecutivos y profesionales de la ciberseguridad deben comprender sus deberes y responsabilidades con respecto a la ciberseguridad. Si su organización es más grande que la mayoría, los niveles de competencia asignados a diferentes empleados variarán mucho.
Si dirige una pequeña empresa, estos niveles estarán, más o menos, nivelados.
En ambos casos, un sistema de gestión robusto mejorará la conciencia de seguridad y fortalecerá sus defensas. Sin un sistema de este tipo, los problemas (y los datos) a menudo podrían escapar de su enfoque y abrir vulnerabilidades en su plan de protección de ciberseguridad. Si los problemas persisten sin ser reconocidos, pueden conducir a la corrupción, eliminación o el compromiso de los datos.
Actividades de gobernanza de la seguridad empresarial
La gobernanza reduce el riesgo de acceso no autorizado de terceros a los sistemas y datos de TI de la empresa. Esta vertiente del segundo pilar comprende el desarrollo, la evaluación, la institucionalización y la mejora de la gestión de riesgos empresariales (ERM, por sus siglas en inglés) y las políticas de seguridad.
El gobierno es responsable de determinar cómo el personal, los ejecutivos y los especialistas en seguridad trabajan juntos para asegurar la disponibilidad de los datos, garantizar la prevención de pérdida de datos (DLP, por sus siglas en inglés) y proteger de manera óptima la imagen pública de su empresa.
Las actividades de gobierno deben ser consistentes con sus requisitos de cumplimiento, políticas de gestión y cultura de la empresa. Para garantizar un estado de desarrollo y sostenibilidad, es vital realizar una evaluación periódica de amenazas, vulnerabilidades y riesgos específica para la industria de su organización.
Al hacerlo, las empresas pueden reducir el riesgo de que un activo físico en su poder pueda ser robado o dañado. Por lo tanto, en esencia, la política de seguridad de la empresa incluiría cerraduras físicas, barreras, cercas, sistemas de respuesta a incendios, rayos, sistemas de detección de intrusos, cámaras y alarmas.
Políticas
Las políticas "generan" un curso de acción predeterminado para guiar a los empleados y ejecutivos hacia estrategias y objetivos alineados con las preferencias de su empresa. Es un vínculo directo entre la visión de su empresa y las operaciones del día a día.
Las políticas son responsables de identificar actividades cruciales y proporcionar una estrategia primaria para manejar varios problemas que puedan surgir.
Cuando un lector explora la política, ya sea un empleado o un ejecutivo, el texto puede identificar sus límites y opciones para guiarlo a través de un proceso de toma de decisiones y, en última instancia, superar posibles problemas.
Las políticas son más eficientes cuando presentan al lector un plan de acción claro y fácil de entender requerido para implementar el propósito de la política. Si se prepara correctamente, una política ayudará a minimizar o eliminar los malentendidos al establecer límites y responsabilidades claros para su fuerza laboral.
Una política bien escrita también dará a los ejecutivos control sobre los eventos por adelantado y ayudará a evitar que los empleados cometan errores simples.
Gestión de terceros
Mejor conocida como "gestión de proveedores", la gestión de terceros permite a las organizaciones gestionar los costos, mitigar el riesgo y mejorar la excelencia del servicio para mejorar el valor obtenido de sus proveedores.
En el panorama actual de la ciberseguridad, elegir proveedores que admitan los mismos niveles (o superiores) de ciberseguridad que su propia organización es fundamental. Los proveedores pueden ser fácilmente un objetivo para un ataque cibernético. Permitir que los atacantes accedan al sistema informático de un proveedor también puede traducirse en ciberdelincuentes que se infiltran en el sistema de su empresa.
Tecnología
El tercer pilar de la ciberseguridad puede ser etiquetado como "tecnología" o "datos e información".
La protección de datos e información es el más técnico de los tres pilares (por lo tanto, "tecnología").
Los datos recopilados que necesitan protección provienen de varias fuentes; tenemos tecnología de la información (TI), datos personales, tecnología operativa (OT, por sus siglas en inglés) y datos operativos.
Todo lo anterior debe gestionarse adecuadamente y asegurarse para evitar la corrupción o pérdida de datos en cualquier momento.
Conocer los datos que maneja su empresa permite a su equipo de ciberseguridad evaluar sus riesgos asociados y desarrollar una lista de la tecnología necesaria para proteger dichos datos. El hardware y el software se pueden implementar para reducir (o prevenir) el impacto de los incidentes de ciberseguridad, dependiendo de su plan de seguridad, el personal de TI disponible y el presupuesto.