16/01/2024 - tiempo de lectura: 10 minutos
Por Sébastien Deon, ingeniero informático, profesor del Conservatorio Nacional de Artes y Oficios en Francia, del Instituto de Formación de la Profesión de Seguros y autor en Ediciones ENI.
Me gustaría recomendar que nos alejemos del fatalismo ante los riesgos cibernéticos para construir resiliencia y salir victoriosos. Esto significa adoptar una postura basada en una serie de principios que deben respetarse. Por otra parte, lo contrario podría resultar fatal un día para la supervivencia de su organización.
Sería un grave error llegar a una organización y subirse al carro de los proyectos para cumplir la famosa hoja de ruta, sin cuestionarse la ciberseguridad, ciberpostura, ciber-resiliencia, etc.
Resulta tentador querer prescindir de un largo y tedioso análisis de riesgos SSI: más documentación que los equipos no leerán ni tendrán en cuenta, así que mejor concentrarse en las cuestiones operativas.
Pero ¿cuáles son los riesgos reales de no realizar un análisis de riesgos?
Indisponibilidad del sistema, alteración y divulgación de datos, falta de trazabilidad en caso de solicitudes de clientes u otros problemas de confidencialidad, etc. Solo un análisis de riesgos y sus resultados le permitirán tener una visión clara del objetivo que se quiere alcanzar. Mejor aún, este análisis es esencial antes de lanzar cualquier proyecto de SI (instalación de una nueva aplicación, externalización en la nube, sistema de videoconferencia, entorno de trabajo digital en Microsoft 365, implantación de un cuadro de mando empresarial, etc.).
Hay que partir de la base de que en una SI nada es inofensivo. «¿Estoy amenazado, por qué, por quién y cómo? ¿Cuáles son mis puntos débiles? Es imprescindible que el trabajo preparatorio sea meticuloso: identificar los activos esenciales, los activos de apoyo y sus relaciones, estudiar los sucesos temidos y los escenarios de amenazas, valoración y evaluación de riesgos, medidas de seguridad y plan de acción. Una vez evaluados y clasificados los riesgos, teniendo en cuenta factores como la probabilidad de que se produzcan y su impacto, hay que establecer un conjunto de medidas de seguridad para reducirlos.
Acción 2: realice un análisis global de los riesgos.
Haga validar este análisis por la dirección y, a continuación, proponga un plan de acción basado en «quick wins» (o «victorias rápidas»). A continuación, realice análisis de riesgos temáticos (por aplicación, por unidad de negocio, por tema específico, etc.).
Como en cualquier libro, puede ser tentador saltarse un capítulo, sobre todo cuando parece complejo y requiere mucho tiempo.
El plan de recuperación informática no es un tema fácil de aplicar y, a menudo, resulta costoso en comparación a un riesgo que puede ocurrir una vez cada 5 años o quizá nunca. Es el mismo principio de los seguros, que no son obligatorios. A menudo, se recortan los presupuestos, pensando que se podrá volver a empezar con copias de seguridad, paradas de producción, etc., y probablemente muchos codazos de los equipos informáticos, sin preocuparse por el riesgo de burnout.
Acción 3: activar un sencillo y eficaz plan de recuperación informática.
Hay que asumir que un día se producirá un ciberataque que lo paralizará todo, pero no debe ser fatal. Por ello, hay que poner en marcha y probar un PRI sencillo y eficaz, concentrarse en la parte más crítica del SI (por ejemplo, en las tres aplicaciones más sensibles y no en todo el SI) y pensar en un plan basado en la hipótesis de que el 50% de los empleados teletrabajarán y que la empresa de alojamiento tendrá una línea de producción en línea.
Para rendir bien en cualquier disciplina, es importante practicar. Por tanto, no hacer el esfuerzo de ponerse en situación de crisis (cuando todo es normal, cuando no hay presión, cuando hay tiempo para hacerlo) será perjudicial el día de la crisis, porque habrá que improvisar todo: ¿dónde están los documentos de arquitectura?, ¿cómo se accede a las contraseñas de administrador?, ¿a quién hay que avisar?, ¿qué hay que comunicar internamente y qué externamente?, ¿cuándo se reconstruirá el SI?
Todas estas son preguntas que habrá que plantearse a la vez que los servicios informáticos tienen que volver a ponerse en producción lo antes posible.
Un proceso formalizado debe describir cómo funcionan la unidad de toma de decisiones y la unidad operativa. También hay que preparar un kit de gestión de crisis (un conjunto de documentos, una lista de contraseñas, una lista de clientes, números de teléfono de los empleados, un sistema de mensajería de emergencia, un PC de emergencia, un router 4G, carteles para los clientes, enrutamiento telefónico, una descripción de los procesos empresariales en modo no SI, etc.).
Acción 4: formalizar un plan de gestión de crisis, aplicarlo con una empresa de hosting especializada y ponerlo a prueba al menos una vez al año. Céntrese únicamente en las aplicaciones críticas.
Es una tendencia bastante natural no preocuparse por actualizar los distintos elementos que componen el sistema de información, probablemente por falta de tiempo, energía y presupuesto. ¡El famoso presupuesto!
Muchas organizaciones siguen teniendo servidores con Windows 2008 Server, e incluso con la versión 2003 (¡20 años desfasada!). Puede haber buenas razones para ello, como por ejemplo una aplicación antigua que no se puede migrar.
Del mismo modo, los conmutadores y los enrutadores suelen quedar al margen de una política de actualización del firmware. Sin embargo, una versión obsoleta de un router VoIP puede hacer que los piratas informáticos hagan explotar su factura de telefonía. Los fallos de software están por todas partes: en los sistemas operativos, en el código de las aplicaciones, en el diseño de las bases de datos, en las API, en los directorios corporativos, en los dispositivos IP (teléfonos inteligentes, relojes conectados, cámaras, etc.), en los elementos activos de la red, etc. Hay que partir de la base de que la mejor seguridad es disponer de la última versión de software/hardware de un equipo, sobre todo porque los fabricantes y editores ya no mantienen versiones obsoletas.
Acción 5: modernizar todos los elementos del sistema de información mediante procesos formalizados y herramientas de supervisión.
El viejo adagio «es mejor prevenir que lamentar» se aplica perfectamente al mundo de la ciberseguridad. Es un error pensar que los empleados son ejemplares en lo que respecta a la higiene y el comportamiento digitales. Siempre hay personas reticentes, personas que olvidan las buenas prácticas o incluso personas engañadas por un ataque de phishing, una estafa del “Presidente”, etc. ¿Quién no ha hecho clic en un enlace desconocido de un correo electrónico?
Por ello, es importante llevar a cabo un proyecto de concienciación de los empleados utilizando todos los recursos educativos disponibles: enseñarles a través de una plataforma de e-learning (como Pix, por ejemplo), seminarios web internos temáticos (gestión de contraseñas, consecuencias del phishing, etc.), servicios externalizados de campañas de phishing, implantación de flujos de trabajo de seguridad de los sistemas de información (SI) en todos los proyectos relacionados con los SI, etc.
Acción 6: formalizar y aplicar un plan de sensibilización de los empleados. Repetir la operación con frecuencia. Sensibilizar a los recién llegados.
«Tengo los conocimientos y el tiempo necesarios, no quiero depender de proveedores de servicios y ¡me encanta Linux y Google!
El campo de la ciberseguridad se ha vuelto cada vez más complejo y, aunque instalar un SIEM puede resultar sencillo a primera vista, mantener un sistema de este tipo a largo plazo pronto puede convertirse en una pesadilla. La palabra clave es «eficacia», lo que significa que es preferible externalizar la ciberseguridad a especialistas y disponer de un escudo tecnológico robusto y fiable: EDR, SIEM, SOC, autenticación fuerte, bóveda de contraseñas, SSO, VPN, cortafuegos, bastión PAM, gestor de vulnerabilidades, pentest, campaña antiphishing, etc., y, sobre todo, recurrir a servicios gestionados; el objetivo es (re)centrarse en la actividad principal de la organización.
Acción 7: recurrir a proveedores de ciberservicios especializados.
La escasez de talentos en ciberseguridad supone un problema real de recursos. Es imposible dominarlo todo, tanto desde el punto de vista técnico como normativo. Parece claro que recurrir a soluciones de terceros es inevitable (SOC gestionado, SIEM externalizado, CISO como servicio, asistencia en la gestión de crisis, etc.).
«¿Y si alguien me pide que cartografíe mi sistema de información? No te preocupes, tengo un archivo Excel casi actualizado que contiene la lista de mis servidores, el número de vCPU, el tamaño de la memoria, el tamaño de los discos y la versión del sistema operativo. ¡Eso es suficiente para empezar! En cuanto a la red, la buscaré; debo de tener un archivo de vídeo en alguna parte... Igualmente, me acuerdo de todo».
Por supuesto que debe conocer todo lo posible los componentes de su SI y desde diferentes perspectivas:
Son competentes y tienen contratos que tienen en cuenta todos los aspectos de las limitaciones de seguridad de los sistemas de información. Así que puede estar tranquilo. Por desgracia, el mundo no es perfecto, por lo que es imprescindible leer todos los contratos de servicios (instalación, mantenimiento, venta de licencias, subcontratación en cascada, etc.).
Es necesario redactar un Plan de Aseguramiento de la Seguridad y un Plan de Aseguramiento de la Calidad para establecer los requisitos de su SSI (por ejemplo, todos los proveedores de servicios deben conectarse con su nombre al sistema de mantenimiento remoto de su organización).
Acción 9: realice un análisis meticuloso de los contratos de servicios y exija el cumplimiento de los requisitos en materia de SSI.
Imaginemos que todo el sistema informático se aloja en una o dos salas de ordenadores dentro de las instalaciones de la empresa. Esto puede parecer atractivo y tranquilizador para los directivos y el departamento informático, que piensan que todo está en su sitio y que, por lo tanto, pueden controlarlo fácil y rápidamente. Sin embargo, en caso de ciberataque, este es el peor escenario posible, ya que todo o parte del SI no estará disponible, lo que supondrá volver a la Edad de Piedra del papel y el lápiz. No habrá telefonía IP, ni Internet, ni correos electrónicos, ni aplicaciones empresariales, ni acceso a los datos de los clientes, ni pedidos… En resumen, una catástrofe.
Acción 10: distribuya las aplicaciones en modo híbrido para minimizar el impacto de un ciberataque. Utilice el sentido común y no ponga todos los huevos en la misma cesta. En otras palabras, debe distribuir sus servidores, aplicaciones, etc., en diferentes lugares y nubes: M365 para el lugar de trabajo digital, SIEM externalizado, PRI externalizado, arquitectura híbrida (en las instalaciones, nube privada, nube pública) en función de las cargas de trabajo. La aplicación adecuada, en el momento adecuado y en el lugar adecuado.
Sébastien DEON es el director de Sistemas de Información del Consejo Departamental de Meurthe-et-Moselle en Francia. Experto en gobernanza y estrategia de sistemas de información, ciberseguridad, alojamiento de datos sanitarios y diseño de productos y servicios informáticos críticos y sensibles desde hace más de 30 años, trabaja regularmente en proyectos en estos ámbitos: arquitecturas Iaas/Paas/SaaS de computación en nube privada y pública, ciberseguridad, ISO 27k, intercambio y puesta en común de datos en entornos híbridos, cartografía de SI, urbanización, copia de seguridad externalizada, BCP/PRA, etc. ), así como sobre temas de actualidad como la gobernanza de datos, la responsabilidad digital y la inteligencia artificial generativa. Ha diseñado e implantado infraestructuras ISP seguras para varios miles de clientes, así como plataformas de alojamiento de datos sanitarios y de mensajería segura. También es columnista y autor de varios libros y vídeos publicados por ENI.
Ediciones ENI Editorial | líder en informática