Síntesis de protocolos de buenas prácticas y aplicación de competencias transversales y longitudinales en ciberseguridad-privacidad
Prof. Dr. Javier Areitio Bertolín – E.Mail: jareitio@deusto.es Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas
27/05/2019Todos somos susceptibles de ser víctimas de un ciberataque o una ciberamenaza. La concienciación y sensibilización en ciberseguridad-privacidad ya no es suficiente para protegernos de forma eficiente (y consecuentemente prevenir-evitar ser víctimas de ciberataques, ciberintrusiones y ciberestafas de forma significativa), actualmente se requiere de enfoques y tácticas más elaboradas basadas en la aplicación de protocolos de buenas prácticas y la ejecución de competencias que deben ser evaluadas con la generación de títulos por niveles como sucede en los idiomas para elevar de hecho los niveles de madurez en ciberseguridad-privacidad.
En el presente artículo se explora, identifica y analiza la 'detonación', 'explotación' e 'ingeniería inversa' de los modelos, frameworks, metodologías, estándares y arquitecturas de ciberseguridad-privacidad como fuentes para la obtención de protocolos de buenas prácticas y competencias (transversales y longitudinales) en ciberseguridad-privacidad. Educar en competencias de ciberseguridad es formar personas aptas para gobernarse así mismas en ciberseguridad y no para ser gobernadas por ciber-atacantes mitigando de posibles amenazas, vulnerabilidades, riesgos, ataques, intrusiones y protegiendo ante ciber-incidentes aislados, persistentes o crónicos en ciberseguridad. El CNSS (Committee on National Security Systems) define ciberseguridad como la capacidad para proteger o defender el uso de una organización del ciberespacio de un ataque realizado a través de dicho ciberespacio con el propósito de trastornar, inhabilitar, destruir o controlar maliciosamente una infraestructura/entorno de computación o destruir la integridad de los datos o robar la información controlada. El NIST (National Institute of Standards and Technology) define ciberseguridad como el proceso de proteger la información previniendo, detectando y respondiendo a los ataques. De forma similar al riesgo de reputación o financiero el riesgo de ciberseguridad afecta a la base de toda organización. Puede conducir a elevar los costos e impactar negativamente en los ingresos. Puede dañar la capacidad de una organización para innovar y ganar y mantener clientes y puede afectar a la salud de las personas y medioambiente.
La ITU-TSS/ITU-T (International Telecommunications Union – Telecommunications Standardization Sector) en su estándar X.1205 define ciberseguridad como un conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas/contramedidas/controles de seguridad, buenas prácticas, aseguramiento y tecnologías que se pueden utilizar para proteger el ciber-entorno y los activos de usuario y de la organización (personal, dispositivos de computación conectados, infraestructuras, aplicaciones/APPs, servicios, sistemas de telecomunicaciones, información almacenada, transmitida y en ejecución, etc. en el ciber-entorno). La ciberseguridad lucha para asegurar la consecución y mantenimiento de las propiedades de seguridad de los activos del usuario y de la organización contra los riesgos de seguridad relevantes del ciber-entorno.
El ISO (International Standardization Organization) define ciberseguridad o seguridad en el ciberespacio como la preservación de la confidencialidad, integridad y disponibilidad (abreviadamente CIA) en el ciberespacio. A su vez el ciberespacio se define como el entorno complejo que resulta de la interacción de personas, software, firmware, hardware y servicios sobre Internet por medio de dispositivos tecnológicos y redes conectadas que no existen en forma física. Una superficie de ataque es el conjunto de interfaces (los vectores de ataque), donde un usuario no autorizado puede intentar entrar datos o extraer información de un sistema o modificar el comportamiento de un sistema. Un vector de ataque se refiere a los interfaces o caminos que un atacante utiliza para explotar una vulnerabilidad (por ejemplo, un exploit puede utilizar una vulnerabilidad de puerto abierto en una variedad de diferentes vectores de ataque como WiFi, redes celulares 3G/4G/5G, IP sobre Bluetooth, etc.). Cuatro estrategias o controles de ciberseguridad-privacidad claves para protegerse y mitigar las ciber-intrusiones son:
(i) Limitar los privilegios administrativos. Permitiendo que sólo el personal autorizado, con privilegios/permisos y de confianza configure, gestione y monitorice los sistemas de computación.
(ii) Parchear la seguridad de los sistemas operativos. Aplicar prácticas efectivas para desplegar nuevos parches de seguridad a tiempo para los sistemas operativos/hipervisores.
(iii) Listas blancas de aplicaciones. Sólo permitir aquellas aplicaciones que hayan sido aprobadas para operar en las redes.
(iv) Parchear la seguridad de las aplicaciones. Aplicar prácticas efectivas para desplegar los nuevos parches de seguridad a tiempo.
Buenas prácticas en relación al núcleo del marco del NIST
A partir de modelos de ciberseguridad estilo marco o CF (Cybersecurity Framework) del NIST (National Institute of Standards and Technology) se pueden inferir las siguientes funciones a nivel del núcleo:
1) Proteger. Proteger los activos con las contramedidas más eficientes y apropiadas (defensa en profundidad). Se trata de desarrollar e implantar las salvaguardas (de todo tipo técnicas, de gestión, procedurales, etc.) para asegurar la entrega de servicios críticos. Posibilita soportar la capacidad de limitar o contener el impacto de un evento potencial de ciberseguridad. Ejemplos de categorías de salvaguardas dentro de esta función son: IAM, gestión de identidad, control de acceso, SIEM, DLP, IPS, AV, NGFW, concienciación y formación, seguridad de datos y metadatos, procesos y procedimientos de protección de información, mantenimiento y tecnologías de protección.
2) Identificar. Identificar qué activos necesitan protección, así como las amenazas y riesgos a dichos activos. Permite desarrollar un entendimiento en la organización para gestionar los riesgos de ciberseguridad a nivel de sistemas, personas, activos, datos y capacidades. Las actividades en esta función son fundamentales para un uso efectivo del CF. Entender el contexto de negocios, los recursos que soportan funciones críticas y los riesgos de ciberseguridad relacionados, permiten a una organización enfocarse y priorizar sus esfuerzos de forma consistente con su estrategia de gestión de riesgos y necesidades de negocio. Ejemplos de categorías de salvaguardas dentro de esta función son: la gestión de activos en el entorno de negocios, la gobernanza en ciberseguridad, la valoración de riesgos y la estrategia de gestión de riesgos.
3) Detección anticipada. Detectar intrusiones, brechas de ciberseguridad-privacidad y accesos no autorizados lo antes posible. Posibilita desarrollar e implantar actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad. Permite descubrir anticipadamente o al menos a tiempo los eventos de ciberseguridad. Ejemplos de categorías de salvaguardas dentro de esta función son: gestión de anomalías y eventos, monitorización continua de seguridad y procesos de detección.
4) Respuesta. Responder a todo evento potencial de ciberseguridad-privacidad. Permite desarrollar e implantar las actividades apropiadas para tomar las acciones que tienen que ver con el incidente de ciberseguridad detectado. La función respuesta soporta la capacidad para contener el impacto de un incidente potencial de ciberseguridad. Ejemplos de categorías de salvaguardas dentro de esta función son: planificación de respuestas, comunicaciones, análisis, mitigación y mejoras. Bloquear los movimientos laterales de los agentes de intrusión, planificación de contingencias.
5) Recuperación. Recuperarse de todo evento de ciberseguridad-privacidad restaurando las operaciones y servicios a la normalidad. Posibilita desarrollar e implantar las actividades apropiadas para mantener planes de resiliencia y para restaurar cualesquiera de las capacidades o servicios que fueron deteriorados o perdidos debido al incidente de ciberseguridad. La función recuperación soporta la recuperación a tiempo de las operaciones normales con el objeto de reducir el impacto del incidente de ciberseguridad. Ejemplos de categorías de salvaguardas dentro de esta función son: la planificación de la recuperación, mejoras y comunicaciones, restores de backups, etc.
Modelos de ciberseguridad-privacidad
Existe una gran variedad de modelos de ciberseguridad:
1) Modelos de madurez de ciberseguridad (CMMs). Son muy genéricos, se utilizan para que las organizaciones adopten un conjunto de procedimientos en el dominio de la ciberseguridad. Dentro de los modelos CMM se puede destacar el modelo SSE-CMM (Systems Security Engineering-Capability Maturity Model) este modelo ha sido aprobado como el estándar internacional ISO/IEC 21827 describe las características esenciales de un proceso de ingeniería de seguridad de una organización que debe existir para asegurar la ingeniería de seguridad adecuada. Este estándar no prescribe un proceso o secuencia concreto, sino que recoge las prácticas generalmente observadas en la industria. El modelo representa una métrica estándar para las prácticas de ingeniería de seguridad que cubren:
(i) Todo el ciclo de vida, incluyendo el desarrollo, operación, mantenimiento y actividades de desmantelación.
(ii) Toda la organización, incluyendo las actividades de gestión, organización e ingeniería.
(iii) Las interacciones corrientes con otras disciplinas como sistemas, software, hardware, factores humanos y test de ingeniería, gestión operación y mantenimiento de sistemas.
(iv) Interacciones con otras organizaciones, incluida adquisición, gestión de sistemas, certificación, acreditación y evaluación. El objetivo es facilitar un incremento de madurez de los procesos de ingeniería de seguridad dentro de la organización. El SSE-CMM esta relacionado con otros CMMs que se enfocan en diferentes disciplinas de ingeniería y áreas y puede utilizarse en combinación o conjunción con ellos. SSE-CMM se utiliza para que las organizaciones apliquen de forma sistemática la práctica de los principios de ingeniería de ciberseguridad. El modelo SAMM (Software Assurance Maturity Model) de OWASP es un framework abierto para ayudar a las organizaciones a formular e implementar una estrategia para la seguridad del software que esta ideada para los riesgos específicos que existen en las organizaciones.
2) Modelos de ciberseguridad relacionados con la toma de decisiones. Se incluyen los modelos de gobernanza y gestión, los de sincronización con el negocio y los modelos de optimización. El responsable de la toma de decisiones puede decidir que nivel seleccionar de acuerdo a un análisis costo-beneficio. El modelo RAOM (Risk Assessment and Optimization Model) permite resolver el problema de selección de contramedidas donde el costo y riesgo afectan a la decisión final del nivel de riesgo.
3) Modelos relacionados con la privacidad. La privacidad diferencial (protege los resultados de las interrogaciones a una base de datos o reservorio de datos en general) es un modelo de privacidad cuyo principio subyacente es que la presencia o ausencia de cualquier registro único individual en una base de datos o reservorio datos en general debería ser imperceptible cuando se miran las respuestas devueltas por las interrogaciones. El modelo PMRM (Privacy Management Reference Model and Methodology) del grupo OASIS posibilita: analizar el impacto de nuevos casos de uso de privacidad para una organización, diseñar servicios de gestión de privacidad operacional, mejorar los servicios que necesitan cumplimientos por ejemplo con la GDPR, determinar el uso y requisitos de servicios de seguridad desde un punto de vista de la privacidad y posibilita desarrollar arquitecturas de privacidad. Este modelo permite evaluar casos de uso en los que la información personal (o PI) fluye a través de las fronteras del sistema, jurisdicción, política y regulación. El PMRM es una herramienta valiosa que ayuda a mejorar la gestión de la privacidad y el cumplimiento en entornos IT/OT, smart-grid, redes sociales, identidad federada, cloud-computing y entornos de complejidad donde el uso de la información personal se gobierna a través de leyes, regulaciones, contratos de negocios y otras políticas, pero donde los modelos tradicionales enfocados en la empresa son inadecuados. La metodología PMRM abarca las siguientes tareas: definir y describir casos de uso, identificar dominios de negocios concretos y entender los roles de todos los actores y sistemas dentro de ese dominio en relación a las cuestiones de privacidad, identificar los flujos de datos y puntos de contacto para toda la información personal dentro de un dominio de privacidad, especificar diversos controles de privacidad, establecer la correspondencia entre los mecanismos técnicos y procesos para los servicios operacionales, realizar valoraciones de riesgo y cumplimiento. El objetivo del modelo de privacidad k-anonimato es prevenir la re-identificación de registros en base a un conjunto predefinido de atributos, preservando el anonimato de los que responden en el conjunto de datos. Este modelo puede trasladarse/trasponerse al dominio de entidades en general (personas, máquinas, programas, objetos IoT/IIoT, etc.) que deseen ocultarse.
4) Modelo de arquitectura de seguridad Jericho. Consta de capas que de fuera hacia dentro son: seguridad de red y dentro seguridad de host. La seguridad de host se compone internamente de seguridad de aplicaciones (que integra la lógica de presentación, la lógica de negocios y la lógica de acceso a los datos), de los servicios y componentes runtime, de los servicios y componentes de plataforma y del sistema operativo).
5) Modelos de ciberseguridad relacionados con las infraestructuras críticas. La NERC (North American Electric Reliability Corporation) y el ISO/IEC 17799 especifican guías para los sistemas de electricidad.
6) Modelos de ciberseguridad relacionados con marcos a nivel de empresas. Estos modelos se proponen para a utilizarse a nivel organizacional. El marco de seguridad de IBM consta de cinco componentes: datos, personas, red, infraestructura y proceso. El marco de IBM influye en la gobernanza, gestión de riesgos y cumplimiento a través de soluciones completas IBM. Incluye componentes como idear recompensas e incentivos, modelar la cultura corporativa y liderar la estrategia.
7) El NTSB (National Transportation Safety Board) como modelo para la ciberseguridad. El 12 de mayo del 2015 el tren 188 descarrila al norte de Filadelfia. Algunas ideas importantes extrapolables a la ciberseguridad: revisar el post-incidente, las lecciones aprendidas permiten mejorar la respuesta, aprender de los errores/gaps/vulnerabilidades, determinar causas probables y prevenir intrusiones/accidentes futuros, recomendar mejoras, reducir riesgos en vez de eliminarlos, la cooperación es esencial, evaluar todos los factores técnicos, humanos, etc., es necesario medir la tasa de riesgo, etc.
8) Modelos de ciberseguridad relacionados con marcos o frameworks nacionales o internacionales. De acuerdo a las recomendaciones por ENISA (European Network and Information Security Agency) los sistemas ICT deben ser securizados en Europa de forma coherente a través de las fronteras y debería ser seguido de forma consistente con el tiempo. La ENISA ayuda a la identificación y análisis de tendencias de amenazas con el tiempo sugiriendo la implementación e infraestructura de protección, pero no identifica un marco específico. La mayor parte de las estrategias de seguridad de información internacionales incluye guías para facilitar su implantación.
9) Otros modelos de ciberseguridad. Los que se infieren de otros ámbitos, los basados en marcos genéricos, los modelos de ciberseguridad para vehículos (algunas protecciones esenciales son el control del acceso al firmware y limitar la capacidad de modificarlo, utilizar técnicas de segmentación y aislamiento en la arquitectura del vehículo, controlar las comunicaciones internas del vehículo, logs de eventos, control de la comunicación con servidores de back-end, controlar los interfaces inalámbricos, uso de claves de control, etc.), los modelos de ciberseguridad para robots (RSF/Robot Security Framework es además una metodología para realizar valoraciones de seguridad en robótica; el modelo GRL puede analizarse en la URL: https://github.com/aliasrobotics/RSF.
Modelos de seguridad relacionados con el control de acceso
Un modelo de seguridad es una declaración que expone en líneas generales los requisitos necesarios para soportar e implantar adecuadamente una cierta política de ciberseguridad. Las políticas de seguridad especifican que todos los usuarios deben identificarse, autenticarse y autorizarse antes de acceder a los recursos (por ejemplo, de red, de servidores, etc.), el modelo de seguridad puede presentar en una matriz de control de acceso lo que debería construirse para cumplir con los requisitos de la política de ciberseguridad.
- Modelo BLP (Bell-LaPadula). Modelo que sólo protege la confidencialidad de la información dentro de un sistema. Incluye tres reglas: (i) Regla de seguridad simple. Un sujeto o entidad no puede leer datos de un nivel de seguridad superior (no se autoriza la lectura ascendente). (ii) Regla de propiedad. Un sujeto no puede escribir datos a un objeto de un nivel de seguridad inferior (no se autoriza la escritura descendente). (iii) Regla de propiedad estrella. Un sujeto que tiene capacidades de lectura y escritura sólo puede realizar dichas funciones al mismo nivel de seguridad.
- Modelo Biba. Modelo que protege la integridad de la información dentro de un sistema. Integra dos axiomas: (i) Axioma de integridad simple. Un sujeto no puede leer datos de un nivel de integridad inferior (no se autoriza la lectura descendente). (ii) Axioma de integridad . Un sujeto no puede modificar un objeto de un nivel de integridad superior (no se autoriza la escritura ascendente).
- Modelo Clark-Wilson. Modelo de integridad implantado para proteger la integridad de datos y para asegurar que tengan lugar que las transacciones formateadas adecuadamente. Integra tres reglas: (i) Los sujetos sólo pueden acceder a los objetos a través de programas autorizados (triple acceso). (ii) Se aplica la separación de responsabilidades. (iii) Se requiere la auditoría.
- Modelo de flujo de información. La información se restringe en su flujo sólo para ir y desde las entidades de forma que no niegue la política de seguridad.
- Modelo de no interferencia. Los comandos y las actividades realizadas en un nivel de seguridad no deberían verse o afectar a los sujetos u objetos a diferente nivel de seguridad.
- Modelo de Brewer y Nash. Un modelo que permite controles de acceso que cambian dinámicamente que protege contra conflictos de interés.
- Modelo de Graham-Denning. Un modelo que crea los derechos para los sujetos que correlaciona las operaciones que puede ser ejecutado sobre los objetos.
- Modelo de Harrison-Ullman. Un modelo que permite los derechos de acceso ser cambiados y especifica como los sujetos y objetos deberían crearse y borrarse.
Protocolo genérico de buenas prácticas en ciberseguridad-privacidad
Una lista de buenas prácticas para proteger los datos y usuarios en su interacción con Internet son:
1) A nivel de Web. Evitar guardar información de la cuenta como contraseñas o información de tarjetas de crédito en los navegadores Web o extensiones de dichos navegadores Web. Evitar utilizar computadores públicos y conexiones WiFi públicas para abrir sesión (logearse) en cuentas y para acceder a información sensible. Asegurarse que cualquier sitio Web que pida la inserción de credenciales de cuenta y las utilizadas para realizar transacciones online se cifren con un certificado digital (clave pública firmada por una Autoridad de Certificación y estandarizado bajo X.509v3-ITU-T) válido para asegurar que sus datos se encuentren seguros. Las direcciones de estos sitios Web deberán estar marcados en verde y en el campo URL debe empezar por HTTPS y nunca por HTTP. Utilizar siempre que se pueda extensiones del navegador ad-blocking, script-blocking, coin-blocking para proteger los sistemas contra ataques maliciosos de anuncios (adware), de scripts diseñados para lanzar malware o para minar criptomonedas (como bitcoin) de forma no autorizada. Se deben cerrar las cuentas y apagar los dispositivos de computación y dispositivos móviles cuando no se utilicen. Emplear programas y dispositivos para automáticamente bloquear la sesión activa después de un cierto período de inactividad.
2) A nivel de los dispositivos. Ejecutar aplicaciones de antivirus/antimalware profesional (de reputación) en todos los dispositivos y manténgalas actualizadas (de forma automatizada y manual) con las últimas versiones. Mantener todo el hardware y software actualizado con las últimas versiones de parches. Crear múltiples backups redundantes de todos los datos y código críticos-sensibles y guardarlos fuera de la red para el caso de una infección ransomware/ART u otro incidente malware de destrucción. Esto le permitirá recuperar los ficheros perdidos cuando se necesite.
3) A nivel de correo electrónico. Se debe evitar abrir correos electrónicos, descargar ficheros adjuntos o hacer clic en enlaces (link) sospechosos enviados de fuentes desconocidas o no confiables (tener en cuenta que se puede falsificar el remitente de un correo electrónico lo cual puede conducir al fraude denominado phishing de CEOs). Verificar los adjuntos o links no esperados de emisores conocidos contactando con ellos vía otro método de comunicación. Evitar proporcionar la dirección de correo electrónico, número de teléfono u otras informaciones personales a fuentes desconocidas. Evitar proporcionar información sensible a cualquiera a través de correo electrónico. Si debes hacerlo asegurarse de cifrarlo antes de enviar. Desconfiar de los correos electrónicos escritos con un sentido de la urgencia y que piden una respuesta inmediata como los que empiezan diciendo que su cuenta se cerrará si no haces clic en un link embebido o proporcionar al emisor información sensible. Ser consciente de que los correos electrónicos con pobre gramática, diseño y deletreo suelen ser maliciosos. Asegurarse que el nombre del remitente corresponde con una dirección de correo electrónico correcta para identificar tácticas de spoofing de correo electrónico comunes. Nunca abrir un correo electrónico spam. Informar de ellos como spam y/o borrarlos. No responder a correos electrónicos basura o spam o utilizar enlaces 'unsubscribe' ya que esto sólo confirma al spammer que su correo electrónico esta activo y puede aumentar el problema.
4) A nivel WiFi. No efectuar compras mientras este conectado a una red WiFi pública, así mismo evite la visita de sitios Web que requieren inicio de sesión, así como evite revisar sus cuentas (por ejemplo acceso a la Web-intranet de su empresa o bancos), su correo electrónico online y las redes sociales; tener en cuenta que la protección antivirus no puede protegerle contra las amenazas de redes WiFi públicas y gratuitas (como el robo de identidad en WiFi de cafeterías, aeropuertos, hoteles, estaciones de autobuses, grandes almacenes, etc.). Sólo por el hecho de que una red WiFi tenga contraseña no significa que sea segura.
5) A nivel de contraseñas y autenticación multi-factor. Utilizar contraseñas robustas (de elevada entropía) en todas sus cuentas. Si la contraseña es larga y contiene caracteres de un alfabeto de elevada cardinalidad es menos susceptible de ataques por fuerza bruta. Utilizar una combinación de letras mayúsculas, minúsculas, números y caracteres especiales. Evitar contraseñas que se encuentren en el diccionario y sean fáciles de adivinar como nombres de animales domésticos, nombres y cumpleaños de sus hijos, etc. Para reducir el riesgo del compromiso de una cuenta se debería evitar utilizar la misma contraseña en múltiples cuentas o plataformas. Nunca compartir la contraseña con nadie, dejar las contraseñas fuera del alcance de otros para que no las puedan leer o almacenadas en ficheros en texto en claro no seguros en computadores y dispositivos móviles. Considerar el uso de frases de paso o acrónimos largos para aumentar la longitud de la contraseña. Aplicar autenticación de dos factores o 2FA o mejor autenticación multi-factor o MFA en todas las cuentas que ofrezca. Esto ayuda a prevenir el acceso no autorizado en caso del compromiso de las credenciales.
Buenas prácticas en ciberseguridad
Para evitar ser víctima de ciber-ataques posibles buenas prácticas a implantar son:
1) Documentar sus políticas de ciberseguridad. Es esencial documentar sus protocolos de actuación en ciberseguridad. La herramienta Cyberplanner de la FCC (Federal Communications Commission) proporciona un punto de arranque para documentar su ciberseguridad.
2) Backup redundante y regular todos sus datos. Se deben hacer copias de seguridad de todos los documentos en procesador de textos, hojas de cálculo, bases de datos, ficheros financieros, ficheros de recursos humanos, ficheros de cuentas por cobrar/pagables, etc. Asegurarse de realizar copias de seguridad de todos los datos almacenados en la nube/niebla. Asegurarse de que los backups se guarden en localizaciones separadas en caso de fuego o inundación. Asegurarse de tener el último backup si se necesita, comprobar regularmente para asegurase que funciona correctamente los restores para restaurar los backups redundantes.
3) Utilizar identificación-autenticación multi-factor. Algo que se sabe (PIN, contraseña, solución de una pregunta o acertijo, etc.), algo que se lleva (smartcard de conexión galvánica o proximidad, token-hardware, implante médico, etc.), lo que uno es (biometría fisiológica (hulla dactilar, iris, etc.), biometría de comportamiento (como se firma manuscrita, como se andad, etc.)), donde uno esta, localización-lugar (coordenadas longitud-latitud, IP, MAC, etc.) donde uno se encuentra (indoor con iBeacon/Bluetooth, outdoor por satélites GPS, Galileo, Glonass, triangulación de estaciones de teléfonos móviles, etc.), en que instante de tiempo: fecha/hora tiene lugar la autenticación, uso de tecnología ZK mutua, etc.
4) Implantar la estrategia de defensa en profundidad y la ciberseguridad-privacidad por diseño.
5) Instalar software antivirus en todos los dispositivos y en la red, actualizada en todo momento.
6) Planificar los dispositivos móviles (tablets, smartphones, PCs, wearables, smart-waches, fitness trackers, dispositivos IoT, etc.). Se debe aplicar una política BYOD, una política de contraseñas y de actualizaciones de seguridad automáticas, etc.
7) Formar a los empleados en las políticas de ciberseguridad de red de la organización examinando y expidiendo certificados de nivel.
8) Aplicar las prácticas seguras para las contraseñas. Se deben utilizar contraseñas de elevada entropía (gran longitud y compuestas por mayúsculas, minúsculas, números y caracteres especiales) y se exige cambiarlas cada día, semana, mes, año según política de seguridad aplicada.
9) Utilizar cortafuegos NGFW/UTM multifuncionales. Es una de las primeras líneas de defensa en un ciberataque. Se debe desplegar un firewall externo y otros internos para protección adicional. Los empleados que trabajen desde sus casas deben instalar un firewall en sus casas y operar con VPN basado en cliente.
Consideraciones finales
Es un gran error afirmar que la ciberseguridad-privacidad es un problema ya que lo que realmente es un problema son las amenazas, vulnerabilidades, ataques, intrusiones, incidentes, riesgos, etc. a los que la ciberseguridad-seguridad se ofrece mitigar o resolver todas estas situaciones no deseadas, anómalas, maliciosas que producen daños, robos, secuestros, perjuicios, etc. Actualmente la concienciación en ciberseguridad-privacidad ya no es suficiente se requiere algo más en forma de competencias longitudinales y transversales evaluadas convenientemente que den lugar a evidencias en forma de diversos niveles o títulos en función del nivel de preparación y habilidades adquiridas (similar a los títulos-niveles en idiomas).
La concienciación y sensibilización en ciberseguridad-privacidad en un alto grado de casos se recibe bien, pero en poco tiempo se olvida y cae en saco roto, oyéndose frases como: total por aceptar las condiciones de esta APP no va a pasar nada; no seamos tan estrictos; eso de la ciberseguridad son cuentos rocambolescos; no nos pongamos paranoicos; me fío; asumo los riesgos sin más; como no soy analfabeto digital de esto ya se todo; no creo que sea tan grave; es mas cómodo dejar todas las sesiones abiertas; yo uso la misma contraseña para todo y no me pasa nada; subo a Instagram selfies donde muestro un saludo en forma de V de victoria con mis dedos dejando mis huellas dactilares expuestas a posibles copias; las comunicaciones a través de Whatsapp/Telegram/Facebook-Messenger son lo más seguro que conozco, algunas se encuentran cifradas y todo, etc.
La ciberseguridad busca proteger toda organización/empresa/industria/ecosistema de aquellos agentes maliciosos que desean hacer daño a las personas, negocios infraestructuras, etc., robar, secuestrar información, dinero, espiar, utilizar sus sistemas de computación para acciones maliciosas, etc. Un conjunto de baja cardinalidad de posibles controles y buenas prácticas en ciberseguridad-privacidad es: realizar un inventario y control de todos los activos hardware, software, etc., realizar una gestión continua de las vulnerabilidades (detección, valoración y actuación), uso controlado de privilegios/permisos administrativos (root, supervisor, etc.), configurar de forma segura hardware, firmware, software en servidores, PCs, móviles, objetos IoT/IIoT, etc., realizar un mantenimiento, monitorización/respuesta a incidentes y análisis de logs de auditoría de todos los eventos de ciberseguridad-privacidad (es útil utilizar herramientas como SIEM).
Referencias
- Areitio, J. 'Seguridad de la Información: Redes, Informática y Sistemas de Información'. Cengage Learning-Paraninfo. 2018.
- Areitio, J. 'Confluencias entre elementos, componentes y factores en la gobernanza de la ciberseguridad'. Revista Eurofach Electrónica. Nº 469. Mayo 2019.
- Areitio, J. 'Exploración horizontal y vertical de la ciberseguridad y privacidad: entorno y núcleo'. Revista Eurofach Electrónica. Nº 463. Abril 2018.
- Areitio, J. 'Estrategias, enfoques y tácticas de protección para la Industria 4.0 en ciberseguridad'. Revista Eurofach Electrónica. Nº 456. Febrero 2017.
- Musa, S.M. 'Network Security and Cryptography'. Mercury Learning and Information. 2017.
- Kostopoulos, G. “Cyberspace and Cybersecurity”. Auerbach Publications. 2017.
- Stiennon, R. 'Surviving Cyberwar'. Bernan Press. 2019.
- Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.
- Ellis, R. and Mohan, V. 'Rewired: The Past, Present and Future of Cybersecurity'. Joh Wiley & Sons Inc. 2019.
- Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.
- Johnson, T.A. 'Cybersecurity: Protecting Critical Infrastructures From Cyber Attacks And Cyber Warfare'. CRC Press. 2015.
- Gurevich, V. 'Cyber and Electromagnetic Threats in Modern Relay Protection'. CRC Press. 2017.
- Brooks, C.J., Craig, P. and Short, D. 'Cybersecurity Essentials'. Sybex. 2017.
- Chang, C-H and Potkonjak, M. 'Secure Systems Design and Trustable Computing'. Springer. 2015
- Westcott, S. and Riescher Westcott, J. 'Cybersecurity: An Introduction'. Mercury Learning & Information. 2019.
Actualmente la concienciación en ciberseguridad-privacidad ya no es suficiente se requiere algo más en forma de competencias longitudinales y transversales evaluadas convenientemente que den lugar a evidencias en forma de diversos niveles o títulos en función del nivel de preparación y habilidades adquiridas (similar a los títulos-niveles en idiomas)