Estrategia de Ciberseguridad en NEKT

En NEKT utilizamos el modelo de defensa en profundidad, que plantea un esquema holístico en el que la tecnología de protección posee un papel fundamental pero no único. Para esto, consideramos diferentes tipos de controles, así como un diagnóstico de postura de seguridad previo para conocer los retos en cada organización. La seguridad por capas asegura que en el caso de que un control de seguridad pueda fallar, exista redundancia para proteger un sistema durante su ciclo de vida.

Análisis Postura de Seguridad.  

Antes de la implementación de cualquier control, es importante tener un diagnóstico con el que podamos crear un plan de seguridad que nos permitirá reducir la superficie de ataque y mejorar la postura de seguridad de la organización. Se identificará el nivel de madurez de ciberseguridad a nivel del negocio, señalando los puntos críticos de acción que deben implementarse como una estrategia de seguridad enfocada a gestionar y reducir el nivel de riesgo.

El cuestionario cuenta con múltiples preguntas que corresponden a lo que el framework de ciberseguridad elegido (NIST, CIS, COBIT, etc.) señala como puntos fundamentales de cualquier estrategia de seguridad.  Se evalúan políticas, procedimientos y controles que deben ser parte de una organización para garantizar un protocolo de ciberseguridad eficiente.

Controles de negocio.  

La alta dirección juega un papel fundamental en la estrategia de seguridad de la información de las compañías. La definición de un presupuesto asignado para mantener y robustecer la postura de seguridad ya no es opcional. Un programa de ciberseguridad con fondos insuficientes proporciona una falsa sensación de seguridad y puede ser peor que la falta de seguridad.

Las finanzas no son la única área de los controles de este rubro: Es crucial la identificación de las áreas del negocio que son más críticas y clasificarlas para permitir que el equipo de ciberseguridad se adapte y centre sus esfuerzos en proteger los activos más vitales de la empresa. Los controles de negocio requieren la participación de todas las áreas de una empresa. Uno de los aspectos clave de estos controles es la evaluación de riesgos comerciales; saber las cosas malas qué suceden (impacto) si un sistema o información se ve comprometida es vital para que el equipo de ciberseguridad priorice las configuraciones y mitigaciones para sistemas y datos. Si estos departamentos no están completamente comprometidos con la ciberseguridad, seguramente habrá fallas en el futuro. También es importante saber que riesgos están dispuestos a tomar, ya que eso lleva a una asignación eficiente del presupuesto.

Controles físicos.  

Muchos riesgos se pueden reducir con una cerradura o un candado. Una vez que un adversario tiene acceso físico a tus instalaciones, puede comprometer más fácilmente tu infraestructura tecnológica. Los controles físicos son cerraduras de puertas, acceso por credenciales, cámaras, guardias de seguridad y otras protecciones físicas. Estos controles garantizan que solo el personal autorizado tenga acceso físico a los sistemas. Los controles físicos se dividen en dos categorías, proteger o detectar. Las puertas cerradas detienen a un adversario  mientras que las cámaras y los sensores de movimiento lo detectan. Saber que has tenido una intrusión permitirá a tu equipo de ciberseguridad responder al incidente y revertir cualquier acción que se haya tomado.

Controles administrativos.  

Los controles administrativos se diferencian de los controles de negocio en que se centran en los procesos y procedimientos administrativos que rodean la información y las TI. Una forma de pensar en los controles administrativos es que son los controles que no son físicos ni técnicos: son los procesos humanos. Estos controles incluyen:

• Protección de información, ya sea digital o en papel
• Seguridad del personal (verificación de antecedentes, despidos y transferencias)
• Gestión de la configuración (controlar qué cambios le suceden a TI,  quién lo hace, y cómo revertirlos)
• Procedimientos de mantenimiento
• Respuesta a incidentes
• Capacitación y concientización sobre seguridad

Controles tecnológicos.  

El modelo de defensa en profundidad es una estrategia de seguridad que coloca las aplicaciones y los datos  que habitan una arquitectura en capas de seguridad designadas. Si bien los atacantes aún podrían obtener acceso a una parte de un sistema, la idea es que estas múltiples y variadas capas de seguridad evitarán que el atacante obtenga acceso total a la infraestructura.

La inversión en nuevas tecnologías debe ser justificada conforme a riesgo de negocio aceptado, nivel de exposición de información sensible (PII, secretos comerciales, estrategias de crecimiento etc.) y la reducción de la superficie de ataque. 

En NEKT sabemos que todas las organizaciones han invertido en  prevenir y proteger sus activos, por eso, las recomendaciones derivadas de la evaluación de la postura de seguridad toma en cuenta las soluciones implementadas de TI y ciberseguridad, para ampliar su alcance (con o sin costo), o en su caso y derivado del nivel de riesgo, sugerir la implementación de nuevas tecnologías y servicios.  Nuestro portafolio de tecnologías y servicios está diseñado para poder responder a los diferentes requerimientos acorde a nuestro modelo de defensa en profundidad por lo que en cada capa podemos otorgar detección, protección y monitoreo de manera integral.

Hardening, menor privilegio y zero trust

Los servidores y clientes (equipos de escritorio y portátiles) requieren que se modifiquen muchos valores de configuración predeterminados con el fin de proteger la infraestructura. Cuando los sistemas operativos se instalan por primera vez, son muy permisivos con su configuración de seguridad y, para protegerlos, deben configurarse (hardening).  Estas configuraciones le dicen al sistema (y algún software) cómo comportarse en diferentes aspectos, por ejemplo:

• Quién tiene acceso y cuándo siempre basado en el menor privilegio
• Uso y complejidad de la contraseña
• Reglas de bloqueo de cuenta
• Auditoría y rendición de cuentas:monitorea el sistema para saber quién hizo qué y cuándo (Zero Trust)
• Cómo manejar medios externos
• Cifrado
• Comportamiento del navegador de Internet

Monitoreo continuo.  

Cada una de las capas de esta estrategia de defensa en profundidad puede volverse obsoleta e ineficaz a medida que pasa el tiempo. A veces, las configuraciones de la computadora pueden cambiar mientras se realiza el mantenimiento, o cuando se identifican nuevas vulnerabilidades y se lanzan parches. Ambos escenarios pueden hacer que su ciberseguridad sea ineficaz, por lo que la última capa es el monitoreo continuo. 

Se deben reevaluar algunos controles periódicamente para determinar qué tan bien se utilizan y qué tan efectivos son para mitigar las vulnerabilidades.

Los equipos de cómputo deben ser monitoreados continuamente para el cumplimiento de configuración así como para detectar malware, cambios no autorizados, y validar la necesidad de parches. A veces, los parches no se instalan y el equipo de ciberseguridad debe saber cuándo falla la aplicación de esos parches y el departamento de TI deberá asegurarse de que el problema se resuelva de manera oportuna.

Algunas amenazas, especialmente aquellas consideradas como avanzadas, persistentes y altamente elusivas por estar mimetizadas con procesos legítimos del sistema pueden eludir soluciones de antivirus tradicionales, realizar cambios en los sistemas para obtener control de ellos o cifrarlos previo a la extracción de información y exigir rescate de ellos (ransomware). El monitoreo continuo de la integridad, las pruebas de penetración y validación constante de la resiliencia a ataques de nuestra infraestructura complementa una estrategia preventiva al cambiar el paradigma y estar preparados en caso de que se materialice un incidente.

Open chat
¿Necesitas ayuda?