Este es un momento adecuado para reflexionar sobre otro año de trabajo con clientes para ayudarlos a proteger sus organizaciones de las amenazas a la seguridad de TI.
El mundo de la seguridad cibernética nunca se detiene, por lo que es importante analizar lo que hemos aprendido y cómo se puede incorporar en los próximos meses.
La opinión de todos es importante y los comentarios provienen de Turnkey; estos son los pensamientos clave sobre 2022 de algunos de nuestros consultores.
Recuerda lo básico
Una de las formas más sencillas de protegerse contra los ataques cibernéticos es ser riguroso en el seguimiento de las buenas prácticas básicas. Esto incluye pasos como ejecutar software y sistemas operativos actualizados y usar software antivirus.
También implica asegurarse de que todos en la organización tengan claras sus responsabilidades, de modo que usen contraseñas únicas y seguras, sepan que no deben abrir archivos adjuntos de correo electrónico inesperados (potencialmente infectados con malware) de fuentes desconocidas, no hagan clic en sitios web desconocidos, informen incidentes de seguridad y evitar el uso de redes Wi-Fi inseguras, por ejemplo. (Más sobre “el cortafuegos humano” y la gestión del riesgo humano más adelante).
Documentar activos
Las medidas de seguridad robustas son difíciles de introducir y hacer cumplir si una organización no tiene una comprensión integral de sus activos; estos incluyen empleados y propiedad intelectual, así como software, sistemas y redes. Identificar estos activos y documentarlos en un registro de activos (que luego se mantiene y actualiza regularmente) es un primer paso clave para comprender qué amenazas y vulnerabilidades potenciales podrían poner en riesgo a la organización.
Documentar procesos internos
Además de documentar los activos, es importante que las empresas desarrollen y documenten sus propios procesos internos a medida que se desarrollan o implementan. No comprender qué procesos están implementados y cómo funcionan puede resultar en que se requiera una solución de seguridad cibernética más compleja y costosa más adelante si la implementada no cumple con los requisitos de cualquier proceso no documentado que surja repentinamente.
Seguro por diseño es un término de uso común en el desarrollo de software, y el principio de incorporar la seguridad desde cero también debe aplicarse a los procesos internos para combatir los riesgos de fraude u otras preocupaciones normativas o legislativas además de la seguridad.
La responsabilidad final de la actividad debe recaer en los propietarios de los procesos comerciales, pero la práctica también debe fomentarse entre todos los involucrados en cada proceso específico para garantizar que la imagen general sea lo más completa y precisa posible. Por ejemplo, un diagrama de flujo de proceso incorrecto podría dar lugar a que se otorgue un acceso incorrecto a un empleado, y es posible que esto no se identifique en una revisión de seguridad si la documentación inicial utilizada para determinar el acceso no es precisa.
proteger la nube
El mundo de la tecnología empresarial actual depende en gran medida de la nube como plataforma de almacenamiento de datos, por lo que es esencial que este entorno virtual esté protegido de forma segura. La seguridad en la nube abarca la tecnología, los protocolos y las mejores prácticas necesarias para proteger los entornos informáticos en la nube, las aplicaciones en la nube y los datos en la nube.
Al igual que con los activos y los procesos internos, comprender qué se está protegiendo, así como los aspectos del sistema que deben administrarse, es un primer paso clave. Muchas organizaciones aún creen que debido a que sus datos están alojados o administrados por un tercero, ya no necesitan considerar el riesgo. La realidad, sin embargo, es que siguen siendo responsables del riesgo, pero es necesario gestionarlo de otra manera.
Los procesos clave para administrar la seguridad, como el manejo de las vulnerabilidades de seguridad, están en gran medida en manos de los proveedores de servicios en la nube y, como resultado, la visibilidad puede ser limitada. Es fundamental seleccionar un proveedor con un historial comprobado de seguridad en la nube y contar con un marco para verificar el cumplimiento. Las organizaciones también deben asegurarse de que existan acuerdos contractuales apropiados para obtener la visibilidad que necesitan para confirmar que sus datos y procesos están seguros.
Invertir en formación en seguridad
Muchas de las principales filtraciones de datos y estafas en 2022 tienen una cosa en común: comenzaron cuando alguien cayó en una trampa de correo electrónico de phishing, smishing o vishing.
Tradicionalmente, los piratas informáticos se han centrado en romper los cortafuegos. Hoy, sin embargo, gran parte de su tiempo se invierte en ingeniería social que les ayudará a obtener acceso a los datos que desean con la “ayuda” de los usuarios de una organización. No hay sustituto para la inversión en seguridad de TI, pero esto debe reforzarse con capacitación de concientización con el objetivo de construir un firewall humano que también pueda proteger a la organización a través de sus acciones.
Esta capacitación debe ir mucho más allá de ser una casilla de verificación de cumplimiento: debe considerarse un área central de la hoja de ruta de seguridad cibernética de una organización. Cada nivel de usuario en toda la empresa debe ser atendido con contenido apropiado, y la capacitación debe reforzarse con ataques simulados para evaluar las brechas de aprendizaje y conocimiento, así como enseñar a las personas cómo responder. Comprender cómo cambiar los comportamientos de los empleados, terceros y, en algunos casos, los clientes, es fundamental para realizar este cambio.
Los ciberdelincuentes continúan evolucionando su juego, por lo que es esencial que el desarrollo de un firewall humano sea un proceso constante y continuo.
Animar a todos los usuarios a asumir la responsabilidad.
Incluso con capacitación de concientización, los usuarios no necesariamente piensan en la seguridad de la misma manera que los profesionales de seguridad de TI. No es su función estar al tanto de las vulnerabilidades y amenazas, y a menudo pueden encontrar que los controles de seguridad son un obstáculo para sus actividades comerciales diarias. Desde las notas Post-it que muestran las contraseñas hasta evitar un proceso de seguridad prolongado a través de TI en la sombra, hay muchas maneras en que las personas que intentan hacer su trabajo de manera eficiente pueden eludir los controles, lo que representa una amenaza para la empresa en general.
Operar una política de confianza cero, introducir la autenticación multifactor y garantizar que la capacitación en seguridad/phishing sea parte del proceso de incorporación son solo algunas formas de fortalecer el firewall humano.
Todo el mundo tiene alguna responsabilidad por la seguridad cibernética a nivel personal y organizativo. La comunicación y la capacitación deben aclarar esto, mientras que las prácticas deben facilitar la protección de datos y sistemas.