Confluencias entre elementos, componentes y factores en la gobernanza de la ciberseguridad
Por su parte la privacidad de la información es el derecho (legal y moral) a controlar qué información se puede liberar sobre una entidad/persona (identidad de ella y de las entidades con las que se comunica e interacciona, los contenidos de los mensajes intercambiados, sus geolocalizaciones outdoor/indoor (GPS-Glonass/iBeacon-Buetooth), los instantes de tiempo en que se realizan las acciones, sus perfiles de actuación por vigilancia, etc.). En ciertos entornos, la privacidad puede verse como una característica negociada socialmente, o como una mercancía por la que pagas y comercias, así mismo se puede ver como un privilegio. Pueden identificarse dos aspectos en la privacidad en relación a la direccionalidad del flujo de información: (i) Datos salientes: seguimiento, trazabilidad, geolocalización, registro, logging, vigilancia, etc. (ii) Datos entrantes: comunicación no solicitada, comunicación no deseada, intrusión, etc. Una posible herramienta-instrumento para evaluar la privacidad de una organización es PDT (Privacy Diagnostic Tool), ver URL http://www.ipc.on.ca. La protección que aporta la ciberseguridad es contra las amenazas (cualquier circunstancia o evento que puede potencialmente dañar un sistema de información destruyéndolo, revelando información almacenada, modificando datos, haciendo al sistema no disponible total o parcialmente, etc.) y contra las vulnerabilidades (debilidades, deficiencias, bugs, flaws en un sistema de información IT/OT o sus componentes (hardware, firmware, software, administración, personas, políticas, diseño-configuración-implementación software, etc.) que puede ser explotado por una amenaza, ciberatacante o exploit. Para corregir vulnerabilidades que pueden estar identificadas utilizando el identificador CVE (https://www.cvedetails.com/vulnerability-list/year-2019/) se emiten fix en forma de parches y actualizaciones).
Los agentes de amenazas pueden provenir de muy diversas fuentes: espías industriales, spammers, gobiernos hostiles, empleados disgustados de dentro de una empresa, phishers, spammers, servicios de inteligencia extranjeros, grupos criminales, creadores maliciosos de spyware/malware, operadores de botnets (utilizando tecnología C&C), personal malicioso de dentro de una organización, grupos terroristas, desastres naturales fortuitos y provocados (terremotos, incendios, inundaciones, maremotos, etc.), errores-accidentes humanos, fallos de equipos, obsolescencia programada, uso de troyanos hardware y software, etc. El gobernar, gestionar y mantener la ciberseguridad es una tarea compleja, para los gestores de negocio, para los gestores de ciberseguridad, para los auditores, etc. Un ciber-riesgo representa la medida de la pérdida potencial o impacto cuando una amenaza explota una o varias vulnerabilidades (conocidas y de 0-day). Los impactos pueden ser de naturaleza muy diversa: impactos económicos, impactos a la salud del ser humano, impactos de daño al medio ambiente y seres vivos, impacto a la reputación a las personas físicas o jurídicas, impacto a la dignidad humana, etc. Las entidades de seguros y las ciber-aseguradoras se encargan de convertir todo tipo de impactos o daños generados en una cuantificación económica.
Caracterización de la gobernanza de la ciberseguridad
En la gobernanza de la ciberseguridad se conjugan muy diversos elementos, componentes y factores como la gestión de accesos e identidades (se pueden utilizar herramientas como IAM), la gestión de incidentes de ciberseguridad (un incidente es cualquier evento que conduzca al compromiso de la ciberseguridad de una organización. El proceso de un incidente puede analizarse en varias fases: identificación del incidente, su registro incluyendo todos los detalles, su investigación y RCA/Root-Cause-Analysis, mantener a todas las partes incluida la gerencia informadas, etapas para su remedio, cerrar informe), la gestión de la ciberseguridad (con su ciclo de mejora continua Plan-Do-Check-Act), la continuidad del negocio (utilizando sitios de respaldo como hot-sites y cold-sites), la gestión de contingencias, la gestión de vulnerabilidades (con detección, valoración y eliminación o mitigación de vulnerabilidades), la gestión de riesgos (un elemento central es el análisis de riesgos utilizando herramientas como, por ejemplo, Magerit-Pilar, Octave, etc.), la gestión de los cumplimientos (con estándares como ISO-27001, aspectos normativos, legales, GDPR, PCI-DSS, SOX, etc.), la protección de la información (utilizando criptografía, esteganografía, canales subliminares, contramedidas, etc.), los modelos de madurez (los modelos de madurez de capacidad definen cinco niveles:
- Inicial o ad-hoc. Ningún proceso se ha establecido oficialmente, pero se han establecido algunas prácticas con el tiempo.
- Gestionado. La organización ha establecido prácticas y usos para gestionar el proceso.
- Definido. La organización formalmente ha definido su proceso y lo ha descompuesto en subprocesos gestionables.
- Gestionado cuantitativamente. La organización ha definido KPPs (Key Performance Parameters) para sus procesos y subprocesos y utiliza los KPPs para soportar las decisiones de gestión.
- Optimizado. La organización se encuentra comprometida para procesar mejoras, buscando optimizar el proceso o subprocesos.
Algunos modelos de madurez que se pueden utilizar son: SEE-CMM (System Security Engineering Capability Maturity Model) para la ingeniería de seguridad de un sistema o conjunto de sistemas, BSI-MM (Building Security In Maturity Model) modelo de tres capas para facilitar la planificación de iniciativas de seguridad del software, ISM3 (Information System Security Management Maturity Model) define procesos para la gestión operacional, táctica y estratégica de la seguridad de la información (http://www.ism3.com/), GRC MM (Governance, Risk and Compiance Maturity Model) se enfoca en gestionar los riesgos de seguridad IT y llevar a cabo tareas de cumplimiento con leyes y regulaciones, PRISMA (Program Review for Information Security Management Assistance) del NIST, define cinco niveles: políticas, procedimientos, implementación, testeo e integración), las métricas, la gestión de políticas de seguridad, la gestión de la ciberforensia, etc. En la actualidad las organizaciones se encuentran con ciertas dificultades a la hora de gestionar y gobernar los puntos finales (smartphones, tablets, PCs, componentes IoT, PLCs, servidores, etc.).
Es necesario desarrollar guías de gobernanza y aplicarlas adecuadamente. Así mismo, es esencial que la ciberseguridad se realice desde el principio es decir desde la fase de diseño y se implante una “estrategia de defensa en profundidad”. Para empezar, entre los objetivos de ciberseguridad que se deben tener en cuenta se encuentran el uso de antivirus profesionales actualizados (AV), la gestión de parches de sistemas operativos como Windows, la gestión de inventario de todos los activos existentes, tanto autorizados como ilegales (por ejemplo, APPs descargadas de forma no autorizada en un smartphone de la organización y no auditadas), la reconciliación de reglas de firewall y diagramas de red, etc. Es necesario realizar las auditorias (estáticas y dinámicas) y test de penetración de forma regular para conseguir que se implante el fortalecimiento adecuado y este en consonancia con la política de seguridad establecida. La gestión de parches de sistemas operativos necesita inmediata atención en todo tipo de organizaciones.
Análogamente, los dispositivos de computación y aplicaciones Web necesitan comprobar su ciberseguridad. Por su parte, la ciberforensia se encarga de preservar, recoger, validar, identificar, analizar, interpretar, documentar y presentar ciber-evidencias de computación almacenadas en los diversos dispositivos de computación de una organización para anticiparse a acciones no autorizadas que demuestren ser maliciosas-lesivas para las operaciones a realizar, el objetivo es mejorar la ciberseguridad y en su caso poder llevar a cabo procesos legales. El preservar la cadena de ciber-evidencias es una cuestión esencial en ciberforensia. En la cadena de custodia de ciber-evidencias para casos legales las evidencias (datos, códigos, aplicaciones, hardware, firmware, metadatos, dispositivos, etc.) necesitan estar integradas, es decir, cualquier acceso necesita documentarse (quién, qué, donde, cuándo y por qué). Comprometer dicho proceso puede causar problemas legales para las partes implicadas. En la gobernanza de ciberseguridad cada entidad gestiona los riesgos de ciberseguridad y soporta una cultura de ciberseguridad positiva de una manera apropiadamente madura posibilitando líneas claras de responsabilidad, planificación adecuada, investigación y respuesta, aseguramiento y procesos de revisión y proporciona informes a medida personalizados.
Métricas y buenas prácticas en gobernanza de la ciberseguridad
Algunas de las razones por las que la ciberseguridad es parte de la gobernanza de ciberseguridad son: para definir la postura frente al riesgo, para equilibrar los requisitos locales y globales, para gestionar los datos, para responder inteligentemente a los cambios y transformaciones, para aplicar métricas relevantes, etc. Existen diversas buenas prácticas en ciberseguridad como: utilizar un enfoque basado en riesgo para la ciberseguridad, crear una política de ciberseguridad jerárquica, aplicar a tiempo los parches y actualizaciones de seguridad, realizar backups y comprobarlos periódicamente, utilizar el principio del mínimo privilegio, emplear la autenticación robusta multi-factor y mutua, gestionar contraseñas de forma segura. Utilizar contraseñas de elevada entropía (si no es posible, sería el caso de los PIN (de cuatro caracteres numéricos, se permite tres reintentos) utilizar un mecanismos de bajo número de reintentos), cambiarlas periódicamente y modificarlas contraseñas por defecto (para todo tipo de dispositivos de computación incluso IoT/IoP/IoE), aplicar medidas de seguridad físicas (como Tempest, compartimentación, armarios con cerradura, habitaciones con puertas dotadas de cerraduras con tarjetas de proximidad RFID/NFC, etc.), ejecutar medidas de seguridad de recursos humanos, formar-educar-concienciar a los usuarios, implantar el cifrado/esteganografía/canales subliminares para los datos/códigos, utilizar controles de acceso (con mecanismos de autorización como ACLs, listas de capacidades, roles, matrices de control de acceso, BLP, etc.), comprobar la respuesta a ciber-incidentes de forma continuada, proteger las cuentas con privilegios es clave para reducir los ciberataques en las organizaciones, eliminar todas las cuentas huérfanas (son cuentas de usuarios que se han ido de una empresa o han fallecido, etc.), implantar una monitorización de red eficiente, usar herramientas de gestión y analítica, implantar dispositivos de seguridad de red (firewall, IDS/IPS, DLP, UTM/Unified Threats Management, AV de red, etc.), implantar una arquitectura efectiva de ciberseguridad para los puntos finales.
En las buenas prácticas de la gobernanza de la ciberseguridad se establecen los objetivos de todo CSIRT (Computer Security Incident Response Team) a nivel organizacional, como una empresa, industria, ecosistema OT/CPS, etc. Los principales objetivos de un CSIRT son definir las políticas, procedimientos y servicios de respuesta a incidentes proporcionados identificando los riesgos, crear una capacidad de reporte de incidentes eficiente y personalizada a medida, identificar (buscar la causa raíz), contener y erradicar el incidente, recuperarse de incidente, investigar el incidente, asistir en la prevención de recurrencia del incidente, integrar todas las lecciones aprendidas. Los servicios CSIRT se agrupan en tres categorías:
- Reactivos. Por ejemplo, alertar de vulnerabilidades, gestión de incidentes, etc.
- Proactivos. Por ejemplo, detectar intrusiones con anticipación, uso de mecanismos de predicción, uso de mecanismos de bloqueo de ciber-ataques o intentos de intrusión antes de que puedan realizar acciones perversas, implantar auditorias (estáticas y dinámicas) y diseminar la información, empleo de mecanismos de prevención, etc. La planificación de la mitigación de ataques y amenazas, el análisis de tendencias de incidentes y la revisión de arquitecturas de ciberseguridad son algunos de los mecanismos proactivos para valorar amenazas y prevenir los incidentes de ciberseguridad.
- Gestión de calidad de seguridad. Por ejemplo, análisis de riesgos, planificación de recuperación de desastres, educar y entrenar al personal, etc. El FIRST (Forum of Incident Response and Security Teams) es una asociación global de CSIRTs. Las métricas de gobernanza de ciberseguridad son esenciales para poder medir la efectividad de las acciones ejecutadas en gobernanza de ciberseguridad. El término métrica hace referencia al resultado de la comparación de dos o mas medidas con una escala, referencia o umbral para producir un resultado que tenga sentido.
Algunas métricas de gobernanza de ciberseguridad son: (i) Tecnológicas. Por ejemplo, número de sistemas con requerimientos de ciberseguridad, número de vulnerabilidades enumeradas y remediadas, etc. (ii) Operacionales. Por ejemplo, número de ciber-incidentes por eventos de ciberseguridad, número de ciberataques con y sin éxito, etc. (iii) Cumplimiento. Por ejemplo, número y estado de controles de requerimientos regulatorios (PCI-DSS, GDPR, SOX, etc.), número de excepciones de política implantadas, etc. (iv) Organizacionales y de rendimiento. Por ejemplo, participación de empleados en formación, estado de los objetivos del plan de ciberseguridad, etc. (v) Valor de negocio. Por ejemplo, valor de datos críticos por área, cobertura del seguro de ciber-responsabilidad, etc. (vi) Proceso de negocios. Por ejemplo, número de procesos de negocios con datos sensibles, procesos que utilizan sistemas de fabricante contra sistemas desarrollados en casa, etc.
Gobernanza y sus clases
En general, la gobernanza hace referencia al conjunto de responsabilidades y prácticas realizadas por aquellos responsables de una empresa/ negocio/ organización/ industria (por ejemplo, la alta gestión/dirección ejecutiva de una corporación, el jefe de una organización, etc.) con el objetivo de proporcionar dirección estratégica, asegurar que los objetivos se realicen, determina que riesgos deben gestionarse apropiadamente y verifica que los recursos de la organización se utilicen de forma responsable. Los riesgos y recursos pueden estar asociados con diferentes dominios (por ejemplo, tecnología de la información (IT), tecnologías operacionales (OT), finanzas, cumplimiento legal y de regulaciones, ciberseguridad, etc.) y los diferentes dominios requieren expertos especializados para poder gestionar adecuadamente los riesgos. De este modo la gobernanza de la organización usualmente se organiza en dominios. La gobernanza de la ciberseguridad se refiere al componente de la gobernanza de la empresa/organización que aborda la dependencia de la organización frente a los ciber-riesgos procedentes del ciberespacio en presencia de atacantes y amenazas. La gobernanza de la ciberseguridad de este modo engloba la gobernanza de la seguridad de los sistemas de información y operacionales IT/OT; si la gobernanza de la seguridad de los sistemas de información puede identificarse con la gobernanza de la seguridad de la información depende de cómo de fino la organización interpreta-analiza la seguridad de la información.
Sin embargo, mientras aspectos de la gobernanza de seguridad de la información pueden tratar información fuera del ciberespacio, el flujo de información entre los dominios 'ciber' y 'no ciber' es tan predominante que en general es preferible para la gobernanza de la ciberseguridad englobe a la gobernanza de seguridad de la información. La gobernanza corporativa representa el área para llevar a cabo los objetivos de una organización y en este sentido engloba cualquier dominio de gestión que puede conducir al éxito a largo plazo de la organización. La gobernanza corporativa puede ser aceptada como una forma de gestión que proporciona una comunicación bien organizada de arriba hacia abajo entre todos los participantes de una compañía/organización/empresa/industria. Elementos claves de la gobernanza corporativa son las políticas y procesos globales para optimizar y utilizar los datos (gobernanza de datos). La gobernanza de la información, núcleo de la gobernanza corporativa, incluye las políticas y procesos globales para optimizar y utilizar los datos. Gartner define a gobernanza de la información como la especificación de los derechos de decisión y una estructura de responsabilidad para asegurar el comportamiento apropiado en la valoración, creación, almacenamiento, uso, archivo y borrado de información. Incluye los procesos, roles y políticas estándares y métricas que permiten el uso eficiente y efectivo de la información permitiendo que una organización realice sus objetivos. La gobernanza de datos y la gobernanza de tecnologías de la información constituyen un programa de gobernanza de información global.
El primer enfoque de la gobernanza en tecnologías de la información es establecer el marco y buenas prácticas para realizar los objetivos de negocio deseados basados en las inversiones en tecnología de la información. El enfoque de gobernanza de datos se enfoca en los procesos, métodos, herramientas y técnicas para posibilitar que los datos sean de alta calidad, fiables y únicos. La gobernanza de datos es el nivel más bajo en el que se implementa la gobernanza de la información. Sin embargo, la gobernanza de datos incluye elementos de calidad de datos, gestión de datos, desarrollo de política de gobernanza de información, mejora del proceso de negocios y cumplimiento y gestión de riesgos. La gobernanza de datos es el núcleo de la administración de datos considerando cuestiones como gestión de meta-datos, seguridad de datos y autenticación estableciendo reglas de calidad de datos y políticas e integración de datos. La gestión de información en una organización esta completada por la gobernanza de información con la integración de la gobernanza de tecnologías de información y la gobernanza de datos creando un equilibrio entre el uso y la seguridad de la información. La gestión de datos es un subconjunto de la gestión de la información. Los procesos que permiten a las organizaciones sistematizar, gestionar y entender todos los tipos de datos, incluyendo la integración del descubrimiento de dispositivos IP, la compartición de datos, las bases de datos de infraestructura y repositorios, los eventos y alarmas, la integración con terceras partes, la integración automatizada de parches y las aplicaciones son atributos de la gestión de información inteligente.
El principal objetivo de la gobernanza de datos es un rendimiento de negocios seguro y efectivo. Incorporar la seguridad de la información en la gobernanza de información es una parte integral de la gobernanza corporativa. La gobernanza corporativa incluye todos los aspectos de la gobernanza para tratar con cada tipo de riesgo. De la misma forma que los ejecutivos corporativos son responsables de la gobernanza corporativa también son responsables de la gobernanza de tecnologías de la información y de la seguridad de la información. La gobernanza de la seguridad de la información incluye no sólo la seguridad de tecnologías de información sino también la seguridad física y la seguridad de información en papel. La gobernanza de la seguridad de la información es el proceso de establecer y mantener un marco y soportar una estructura de gestión de procesos para proporcionar el aseguramiento de que las estrategias de seguridad de la información están alineadas-sincronizadas y soportan los objetivos de negocios y son consistentes con las leyes y regulaciones aplicables a través de la adherencia a las políticas y controles internos y proporcionar la asignación de responsabilidad, todo en un esfuerzo a la gestión de riesgos. La gobernanza de la seguridad de la información requiere una adecuada planificación estratégica y toma de decisiones adecuada. Para una gobernanza satisfactoria se debería preguntar: que datos se necesitan proteger, donde se encuentran los riesgos, que políticas estratégicas se deberían crear, que equipos deberían ser responsables de llevar a cabo estas políticas, etc. Se debe crear concienciación y formación en toda la organización, se debería monitorizar y medir que políticas operan y cuales no, que equipos o personas no siguen las políticas de seguridad, cada cuanto tiempo ocurre una brecha de seguridad, con que frecuencia se comprueban las medidas de seguridad, cual es el tiempo de respuesta a los ciber-incidentes, etc. Se deben establecer comunicaciones abiertas entre todos los agentes implicados, así mismo se debe promover una adaptabilidad, agilidad y una resiliencia satisfactoria preguntándonos que opera y no opera, que se debe cambiar, etc.
Correlación KPI y gobernanza en ciberseguridad. Bases de la gobernanza de la seguridad
Para gobernar los diversos objetos de ciberseguridad se utilizan KPI (Key Performance Indicator). Por ejemplo, el KPI utilizado para el parcheo de sistemas operativos como Windows suele ser del 99%, lo que significa que el 99% de los dispositivos de computación tendrán el ultimo parche o el parche del ultimo mes. De forma similar se gestionarán los restantes objetos de ciberseguridad. Un KPI es una medida de rendimiento, comúnmente se utiliza para ayudar a una organización a definir y evaluar como de bueno es, normalmente en términos de hacer progreso hacia sus objetivos de organización a largo plazo. Los objetivos de ciberseguridad IT/OT son, por ejemplo: comprobación del 100% de las aplicaciones Web y procesos operacionales OT, comprobación y cumplimiento automatizado, cero vulnerabilidades en aplicaciones Web de producción, entorno continuado de escaneo de nuevas vulnerabilidades en IT/OT, etc. Se pueden identificar diversas categorías de KPI: (i) WRT (Weighted Risk Trend). Establece una representación basada en terminología de negocio del riesgo desde los defectos de seguridad de aplicaciones Web sometidas a investigación sobre un periodo de tiempo especificado o iteraciones repetidas del desarrollo de la aplicación. (ii) DRW (Defect Remediatio Window). Representa el intervalo temporal desde que se identifica un defecto de seguridad de una aplicación Web sometida a investigación hasta que se cierra la verificación. (iii) RDR (Rate of Defect Recurrence). Representa la tasa de recurrencia de los defectos de seguridad de aplicación Web sometida a investigación se re-introducen en una aplicación, organización u otra unidad lógica dada. (iv) SCM (Specific Coverage Metric). Representa la funcionalidad total basada en flujo o componente que ha realizado el test de seguridad de la aplicación Web. (v) SQR (Security to Quality defect Ratio). Representa la tasa de defectos de seguridad al número total de defectos de calidad software generados (funcional, rendimiento y seguridad). Algunos ejemplos de KPIs son: número de dispositivos monitorizados, número total de eventos, número de eventos por dispositivo, número de eventos por servicio o aplicación, número de eventos por cuenta, tiempo de detección, tiempo de resolución, número de analistas de ciberseguridad asignados, número de falsas alertas positivas, número de eventos por localización, etc.
Algunos principios de base para la gobernanza de la ciberseguridad son:
- Establecer y desarrollar la ciberseguridad como un sistema (la ciberseguridad se debe entender como un sistema de elementos interdependientes y enlaces entre ellos, el optimizar la ciberseguridad necesita entender este sistema y no puede verse aislado de la gobernanza, gestión y aseguramiento).
- Entender la cultura a nivel de individuo y de la organización, así como los patrones de comportamiento de los usuarios finales (el valor de negocio y los riesgos de negocio relacionados con los aspectos de ciberseguridad se ven influenciados por la cultura del individuo y de la organización. En la gobernanza y gestión de la ciberseguridad se deben tener en cuenta estos factores y se deben incorporar a las medidas de seguridad operacionales, tácticas y estratégicas).
- Conocer el impacto potencial de los ciberdelitos y ciberataques (la ciberseguridad se debe ver desde el punto de vista del daño potencial y los impactos de los ciberataques se deben estimar para poder gestionar adecuadamente la ciberseguridad y pueda tolerar dichos niveles de riesgo).
- Establecer gobernanza de ciberseguridad (la ciberseguridad se transforma con los objetivos de la organización y sus miembros, están sujetos a reglas de gobernanza claras que proporcionen un rumbo de dirección y límites razonables, por ejemplo, adoptar y mejorar el marco de la gobernanza organizacional para la ciberseguridad).
- Saber los objetivos del aseguramiento de la ciberseguridad (la ciberseguridad abarca muchos aspectos, algunos aspectos de la ciberseguridad pueden estar fuera de la organización y deben considerarse las cuestiones de aseguramiento y los riesgos asociados), establecer claramente el estado del negocio para la ciberseguridad y el riesgo deseado para la organización (para proporcionar la ciberseguridad adecuada se deben tener en cuenta consideraciones de costo-beneficio, cultura de la organización, valores de ciberseguridad y el caso de negocios se debe definir y conocerlo todos los niveles de gestión).
Políticas de seguridad. Proceso-Guía-Estándar
Una política de seguridad es un documento formal que establece las reglas, procedimientos y responsabilidades asociadas con la protección de los sistemas de información, el hardware, el firmware y el software utilizado para ejecutarlos y los datos que contiene. Esta política debería ser escrita por un gestor competente que tenga responsabilidad estratégica para la organización. Las políticas de seguridad son el fundamento de la infraestructura de seguridad. Así mismo, una política de seguridad es un documento o conjunto de documentos que describe los controles de seguridad que se implantarán en la organización/empresa/compañía/industria a alto nivel. Sin ellos no se puede proteger una organización de posibles pleitos, pérdida de ingresos, publicidad maliciosa y ataques de ciberseguridad. Las políticas de seguridad no son específicas de la tecnología y posibilitan a una organización actuar sobre diferentes áreas:
- Proteger la información propietaria confidencial de robos, uso indebido, revelación no autorizada o modificación.
- Reducir o eliminar la responsabilidad legal a empleados y terceras partes.
- Prevenir el derroche de los recursos de computación de la organización.
Una política de seguridad debería revisarse al menos una vez al año. Cualquier cambio realizado debería documentarse en la historia de revisiones y versiones del documento. En caso de que exista cualquier cambio importante necesita ser notificado también a los usuarios. La política de seguridad sólo es tan buena como las declaraciones de política que contiene. Dichas declaraciones deben estar escritas de forma muy clara y estilo formal. Algunos ejemplos de declaraciones de política son: todos los servidores deben configurarse con el mínimo de servicios para realizar sus funciones designadas, todos los computadores, tablets y smartphones deben tener protección antivirus activada y actualizada para proporcionar protección continua y en tiempo real, todos los accesos a los datos estarán basados en una necesidad válida de negocio y sujetos a un proceso de aprobación formal, mientras se utiliza Internet ninguna persona se le permite abusar, difamar, acechar, hostigar o amenazar a ninguna otra persona o violar los derechos legales locales o internacionales, debe mantenerse una copia de respaldo o backup y un medio de restauración lejos del sitio donde se encuentra del equipo informático a proteger, el software no se debe copiar, sacar o transferir a ninguna tercera parte o equipo que no sea de la organización, etc.
Una política de seguridad es un documento que especifica los requisitos o reglas que se deben satisfacer (por ejemplo, política de contraseñas, política de seguridad física, etc.). En el dominio de la ciberseguridad las políticas son específicas, cubriendo una única área, por ejemplo, política de “uso aceptable” debería cubrir las reglas y regulaciones para el uso apropiado de dispositivos de computación. Una política de seguridad define los objetivos de seguridad y el marco de seguridad de una organización. Un proceso es un esquema paso a paso detallado de cómo documentar lo que especifica la acción exacta que será necesaria para implementar un mecanismo de seguridad. Las guías son recomendaciones que pueden personalizarse y utilizarse en la creación de procedimientos. Un estándar normalmente es un conjunto de requisitos específicos de procedimiento o específicos del sistema que se deben satisfacer por todos. Por ejemplo, se debe tener un estándar que describe como endurecer una estación de trabajo Windows 10 para colocarla en una red externa DMZ (Zona Desmilitarizada colocada entre la intranet e Internet).
Las personas deben seguir este estándar de forma exacta si desean instalar una estación Windows 10 en un segmento de red externo. Un estándar puede ser una selección de tecnología, por ejemplo, la empresa ZXP utiliza un cierto centro de seguridad FGT para monitorización continua y soportar políticas y procedimientos que definen como se utiliza. Una guía es un conjunto de sugerencias específicas de procedimiento o específicas del sistema para buenas prácticas. No se requiere que se satisfagan, pero son muy recomendadas. Las políticas de seguridad hacen referencia frecuente a estándares y guías que existen dentro de una organización. Los requisitos o estándar de robustez de contraseñas UCSC (University of California Santa Cruz) especifica las siguientes condiciones que debe cumplir cada contraseña: que sean de al menos ocho caracteres, que contengan al menos tres de los siguientes tipos de caracteres: letras minúsculas, letras mayúsculas, números, caracteres especiales, que no se encuentren en el diccionario, que no sean nombres comunes, ni información personal (nombres de familiares, amigos, lugares, mascotas, fechas de cumpleaños), que una palabra no le preceda o siga un dígito (sería el caso: paraiso7 no cumple UCSC). No cumplen con los requisitos UCSC las contraseñas #%@*)$^&, zpWQmvYe. La contraseña Pg&8cTmy si cumple los requisitos UCSC. Cuando se guarden los hash de las contraseñas se debe utilizar salted hashes. Un salt es un dato aleatorio.
Cuando un sistema de contraseñas adecuadamente protegido recibe una nueva contraseña crea un valor hash de dicha contraseña, un valor salt pseudoaleatorio (generado por un PRNG, como LCG, NLFSR, etc.) y a continuación el valor combinado se almacena en su base de datos. De esta forma se defiende contra ataques de diccionario y ataques de hash conocidas. Por ejemplo, si alguien utiliza la misma contraseña en dos sistemas diferentes y se utilizan empleando el mismo algoritmo hash (por ejemplo, SHA 256/512), el valor hash debería ser el mismo, sin embargo, si uno de los sistemas utiliza salt con los hashes, el valor será diferente. El robo/secuestro de identidad puede prevenirse de la forma siguiente: asegurar contraseñas robustas y únicas, evitar compartir información confidencial online especialmente en medios sociales, comprar en sitios Web conocidos y confiables, utilizar la última versión de los navegadores, instalar herramientas antimalware y anti-spyware avanzadas, utilizar herramientas de seguridad especializadas contra datos financieros, actualizar siempre el sistema y el software incluyendo los últimos parches, proteger tu DNI y Número de la Seguridad Social. En el marco de la gestión de riesgos del NIST SP 800-37 se pueden identificar seis etapas:
- Categorizar el sistema de información (iniciar).
- Seleccionar los controles de seguridad (diseño).
- Implantar los controles de seguridad.
- Valorar los controles de seguridad.
- Autorizar el sistema de información.
- Monitorizar los controles de seguridad.
Consideraciones finales
En la gobernanza de la ciberseguridad en las organizaciones confluyen diversos aspectos, como por ejemplo: organizativos, técnicos (que posibilitan el despliegue de tecnologías de seguridad frente a ciber-ataques como monitorización, detección, prevención, análisis, control, respuesta, remedios, predicción, etc.), etc. En la gobernanza de la ciberseguridad (IT/OT) nos encontramos con tres factores clave: (i) Las personas. En este contexto podemos identificar roles y responsabilidades, cultura en ciberseguridad, socios corporativos, experiencia en el trabajo, formación formal, interna y específica del fabricante, etc. (ii) Las tecnologías. Aquí podemos identificar herramientas como SIEM, controles de ciberseguridad, gestión de dispositivos y redes, ciberforensia, inteligencia de amenazas, detección de incidentes y vulnerabilidades, herramientas propietarias, etc. (iii) Los procesos. Aquí podemos identificar políticas de ciberseguridad, estándares y guías, inventario de activos, operaciones de seguridad, planificaciones, imperativos de negocios, etc. Implementar un SOC (con capacidades como gestión de alertas, respuesta a incidentes, consumo y creación de inteligencia de amenazas, caza de amenazas, gestión de vulnerabilidades, red-team, recogida de datos y cumplimientos, reducir brechas de ciberseguridad, visibilidad de red y detección anticipada de amenazas y comportamientos anómalos de usuarios) para monitorizar lo que sucede en las redes de una organización permite detectar las ciber-amenazas mucho antes que sucedan y nos de tiempo para responder y tomar las precauciones necesarias.
Los SOC ayudados por herramientas SIEM son un componente fundamental para la gobernanza de la ciberseguridad. Por ejemplo, un ataque a una aplicación Web puede detectar fácilmente un SOC analizando los patrones de tráfico, de forma que cualquier tráfico anómalo es un indicador de que algo malo o perverso esta intentándose realizar. La protección de infraestructuras críticas en finanzas, banca, transporte, hospitales, administraciones públicas, educación, energía producción y distribución, etc. son algunos de los retos de la gobernanza de la ciberseguridad. Los sistemas, cuanto más complejos, suelen necesitar exploits más primitivos para ser ciber-atacados. Uno de los factores de éxito claves en la gobernanza de la ciberseguridad es la naturaleza adaptativa, ciber-resiliente y flexible de las provisiones de gobernanza.
Para establecer la gobernanza de la ciberseguridad, se pueden considerar diferentes factores: identificar las necesidades e intereses de todos los implicados tanto internos como externos en ciberseguridad de la organización (incorporar las necesidades de confidencialidad y secreto en el proceso de identificación), gestionar la estrategia de transformación de la ciberseguridad (definir las expectativas y alinearlas con la estrategia de tolerancia cero o vivir con los riesgos), definir la estructura de la ciberseguridad (con roles y responsabilidades, establecer umbrales para ataques, brechas de ciberseguridad y ciber-incidentes), gestionar los riesgos de ciberseguridad (determinar los niveles de tolerancia del riesgo en función de los ataques y brechas a nivel de gestión y del personal), optimizar los recursos de ciberseguridad (evaluar la efectividad de los recursos de ciberseguridad en comparación con las necesidades de riesgo), monitorizar la efectividad de la ciberseguridad implantada (integrar medidas y métricas de ciberseguridad en mecanismos de comprobación de cumplimiento rutinarios), etc.
Referencias
- Areitio, J. 'Seguridad de la Información: Redes, Informática y Sistemas de Información'. Cengage Learning-Paraninfo. 2018.
- Areitio, J. 'Integración SIEM-SOC: ciberseguridad-privacidad motores clave y esencia de la accesibilidad y sostenibilidad real y creíble en nuestra sociedad'. Revista Eurofach Electrónica. Nº 468. Enero 2019.
- Areitio, J. 'Exploración horizontal y vertical de la ciberseguridad y privacidad: entorno y núcleo'. Revista Eurofach Electrónica. Nº 463. Pp. 54-62. Abril. 2018.
- Areitio, J. 'Estrategias y tácticas de defensa a los intentos de intrusión y ataques en ciberseguridad-privacidad'. Revista Eurofach Electrónica. Nº 467. Noviembre 2018.
- Landau, S. 'Listening In: Cybersecurity in an Insecure Age'. Yale University Press. 2019.
- Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.
- Trim, P. and Lee, Y-I 'Cyber Security Management: Governance, Risk and Compliance Framework'. Routledge. 2014.
- Boggero, M. 'The Governance of Private Security'. Palgrave Macmillan. 2018.
- Chakraborty, R.S., Mathew, J. and Vasilakos, A.V. 'Security and Fault Tolerance in Internet of Things'. Springer. 2019.
- Gupta, P.K., Tyagi, V. and Singh, S.K. “Predictive Computing and Information Security”. Springer. 2018.
- Benson, V., McAlaney, J. and McAlaney, J. 'Cyber Influence and Cognitive Threats'. Academic Press. 2019.
- Dehghantanha, A., Conti, M. and Dargahi, T. 'Cyber Threat Intelligence (Advances in Information Security)'. Springer. 2019.
- Augenbaum, S. 'The Secret to Cybersecurity: A Simple Plan to Protect Your Family and Business from Cybercrime'. Forefront Books. 2019.
- Meeuwisse, R. and Meeuwisse, M. 'How to Hack a Human: Cybersecurity for the Mind'. Cyber Simplicity Ltd. 2019.
- Aleem, A. 'Cyber Security: A Guide to Fraud Prevention and Building a Secure Framework'. Wiley. 2019.
- Dykstra, J. 'Essential Cybersecurity Science: Build, Test, and Evaluate Secure Systems'. O'Reilly Media. 2016.