Ciberataques y sus consecuencias es un tema con el que nos tropezamos usualmente en las redes. Los que trabajamos en el sector de seguridad de la información podemos apreciar como los ciberataques se incrementan cada año, siendo las técnicas empleadas así como los objetivos a atacar cada vez mas amplios y novedosos. No existe discusión, las organizaciones entienden que cada vez se hace mas apremiante evaluar sus errores y se les facilite estrategias en cuanto a ciberseguridad.
Tomando como referencia nuestra experiencia recogida en mas de 150 auditorías en materia de seguridad de la información, podemos hacer un resumen de los errores mas habituales cometidos por empresas de diferentes sectores y dimensiones ubicados principalmente en España. Esperamos con este resumen hacer un aporte positivo para la seguridad de vuestra organización. Empecemos:
Error 1. Falta de preparación en la respuesta ante incidentes de seguridad
Es un error bastante extendido en empresas desde pymes hasta empresas que forman parte del Ibex 35 , no disponer de una adecuada preparación ante la eventualidad de un incidente de seguridad. Entendemos por incidente de seguridad, un evento que pone en riesgo la continuidad de un negocio, es decir si una empresa fabrica zapatos, pues que su línea de producción se vea afectada y no pueda entregar su producto en tiempo, calidad y forma adecuadas.
La respuesta ante incidentes de seguridad debe contemplar la alerta temprana, así como una repuesta basada en estrategias de continuidad.
No solo se ha de disponer de una estrategia de continuidad ante incidentes, recogido en planes de continuidad de negocio, si no que estos planes deben de ser probados regularmente, con el objetivo de asegurar la idoneidad de estos y poder adecuarlos y mejorarlos.
Error 2. No revisar los derechos de accesos de los usuarios
Si bien las organizaciones tienen claro que la segmentación del acceso a la información es fundamental para evitar accesos no autorizados, revelación ó fugas de información, en muchos casos no se realizan revisiones periódicas de los derechos de accesos de los usuarios, teniendo como consecuencia un problema potencial de acceso no autorizado a la información. La periodicidad de las revisiones debe ser marcada en base a la naturaleza y los requisitos de la información que manejan las organizaciones.
Error 3. Clasificación de la información no desarrollada
Las organizaciones no tienen una política clara de clasificación de la información, no pudiendo determinar claramente que nivel de confidencialidad tienen los datos, en consecuencia no se puede disponer de una estrategia clara de como almacenar, transmitir, salvaguardar ó eliminar dicha información.
Error 4. No disponer de una política adecuada para la gestión de passwords
Aunque es cada vez mas usual usar contraseñas complejas que sean cambiadas cada cierto tiempo, esta practica se limita a ciertas aplicaciones o servicios que usan las organizaciones. Disponer de una política de gestión de contraseñas es fundamental y debe de ser implementada de manera holística, cubriendo todas las aplicaciones y servicios de acceso a la información que manejan la organizaciones. Además dichas contraseñas deben ser almacenadas de manera segura. es decir cifrada.
Error 5. No disponer de políticas de escritorio de trabajo y bloqueo de pantalla
Es muy habitual la existencia de escritorios donde haya papeles con información sensible o equipos de usuarios sin bloquear cuando estos no están en sus puestos de trabajo. Esta situación cotidiana es un riesgo potencial de fuga de información.
Error 6. No existe un enfoque global para la gestión de vulnerabilidades
No se suele disponer de un enfoque global que cubra la gestión de parches de seguridad para todos los sistemas y aplicaciones que usa una organización. Además no se dispone de un método seguro, de forma que se ejecuten pruebas con anterioridad a la implementación de dichos parches.
Error 7. Falta de Sistemática
No se dispone de un enfoque sistemático y formal en las organizaciones para la gestión de la seguridad de la información. Se actúa de manera totalmente reactiva bien porque se ha tenido un desastre o un ciber ataque.
La solución mas adecuada desde nuestro punto de vista es implementar un SGSI ya que nos aportará una visión del estado de la seguridad de la información basado en riesgos y podremos enfocarnos en su tratamiento de manera ordenada y proactiva. Mas allá de obtener el certificado ISO 27001. Un SGSI se esta convirtiendo en una herramienta indispensable como aliado de la ciberseguridad.