Cinco principios fundamentales y la iniciativa de los 20 controles críticos son parte de los mecanismos que apuntan a mejorar la seguridad.
Mitigar riesgos o vulnerabilidades que se encuentren en los sistemas y estar mejor preparados ante futuras amenazas es lo que se está considerando cada vez más en materia de ciberseguridad. En definitiva, son las medidas que hace falta implementar por usuarios, empresas u organizaciones.
La seguridad es un proceso, no es un proyecto, más bien, tiene que estar siempre funcionando, indicó Gabriel Bergel, fundador y organizador de 8.8 Computer Security Conference en el evento ChileCompra Day el pasado 10 de enero.
En la oportunidad el experto precisó los mecanismos para implementar ciberseguridad “desde cero”, tratando de ser lo más eficiente posible en presupuesto, cantidad de personas en que se invierte, entre otros.
Según Bergel, las amenazas no se pueden controlar, pero las vulnerabilidades sí. Para ello, presentó cinco principios fundamentales y también la iniciativa de los 20 controles críticos, detallados a continuación.
Cinco principios fundamentales:
1° Implementar la estrategia en base a los ataques que le han pasado a la organización.
2° Priorizar en base a los activos más importantes.
3° Realizar métricas para tener un lenguaje compartido.
4° Diagnóstico y mitigación continua.
5° Automatizar.
En tanto, los controles presentados son:
- Tener un inventario y clasificarlo para definir la importancia de cada servidor.
- Establecer el software y hardware autorizado y no autorizado. Por ejemplo, horarios para las aplicaciones o prohibición del uso de USB.
- Gestión continua de la vulnerabilidad. Monitorear y mitigar lo que se vaya encontrando es fundamental.
- Uso controlado de privilegios administrativos. Tener un control de lo que hacen los usuarios en el sistema y los accesos de acuerdo al rol de las personas.
- Configuración segura para hardware y software en dispositivos móviles, portátiles y otros. Es muy común que las empresas tengan vinculados los celulares con el correo electrónico.
- Mantenimiento, monitoreo y análisis de logs (registros) de auditoría. La plataforma tiene que estar registrando lo que pasa en cada momento. Además, se debe tener la capacidad de mirar esos logs y descubrir lo que está pasando.
- Protección del correo electrónico y navegador web. Hoy en día el principal objetivo de los cibercriminales no son los sistemas o plataformas web, son los usuarios (más del 80% de los ataques son hacia las personas).
- Defensa contra malware. Es la pieza de software más utilizada en el cibercrimen.
- Limitaciones y control de puertos de red, protocolos y servicios. Se recomienda disminuir los puertos para ocupar solamente los estrictamente necesarios.
- Capacidad de recuperación de datos. Respaldar la información en un disco duro externo y, preferentemente, cifrarlo.
El resto de los controles se encuentran disponibles en el Centro de Seguridad para Internet (Center for Internet Security).
Por último, Bergel indicó que la seguridad tiene que tener sentido para el negocio, ser un habilitador y no un bloqueo. “Tenemos que priorizar los controles en base al plan de negocio y al impacto que puede tener dentro de nuestros activos”, precisó.
Recomendaciones para disminuir riesgos y vulnerabilidades que permiten implementar la ciberseguridad “desde cero”.