Segurizar el SI y gestionar los riesgos
Darse cuenta de la importancia del reto de la seguridad y de los riesgos
Cuando se aborda la cuestión de la seguridad de los SI en todo tipo de organizaciones, sea cual sea su sector de actividad y su tamaño, estas siempre juzgan que la seguridad de su SI es adecuada, o al menos suficiente, mientras son perfectamente conscientes de su extrema dependencia del SI. Sin embargo, todo nos lleva a creer que a pesar de los esfuerzos cada vez más importantes en materia de seguridad, especialmente por el hecho del aumento de las inversiones en este ámbito, la mayoría de las organizaciones están lejos de poder descartar el peligro.
Los atacantes son cada vez más sofisticados. A los atacantes con un perfil cibercriminal clásico se están uniendo atacantes estatales, lo máximo en la convergencia de intereses y herramientas. Esta porosidad de perfiles y la selección de los ataques para obtener un acceso discreto y duradero a las redes hacen que la de-tección y la protección sean más complejas. Cada vez más, el material periférico, los proveedores de servicios, los suministradores, los subcontratistas, los orga-nismos reguladores y el ecosistema más amplio de sus objetivos finales están en el punto de mira. El peligro ya no procede únicamente del propio SI, sino que también puede provenir del de sus socios.
Entre las predicciones que McAfee Labs hacía sobre el ciberseguridad en 2024 (https://www.mcafee.com/blogs/es-es/internet-security/6-predicciones-de-ciberseguridad-para-2024/) advertían de cómo la aparición de la IA ha introducido un nuevo nivel de sofisticación y peligro. Las estafas de inteligencia artificial se con-vertirán en las principales amenazas en las redes sociales y aumentarán los frau-des benéficos, las nuevas cepas de malware, y las estafas con códigos QR. Todos recordamos ataques espectaculares realizados durante la última década que han golpeado a grandes grupos internacionales con un impacto económico directo especialmente considerable, a la vez que una degradación de su imagen muy perjudicial a medio plazo. Hay pocos grupos que puedan presumir de no haber sufrido ningún ciberataque que haya tenido éxito...
Gestionar la seguridad y los riesgos
La seguridad de los sistemas de información (SSI) debe entenderse como un conjunto de medios técnicos, organizativos, jurídicos y humanos que tienen la finalidad de conservar, restablecer y garantizar la seguridad del sistema de información. Desde un punto de vista muy general, esta seguridad aspira a la vez a asegurar la disponibilidad del patrimonio de la información a los usuarios autorizados, preservar la integridad, garantizar la confidencialidad prohibiendo todo uso a terceros no autorizados, y asegurar la vigilancia y trazabilidad (el acrónimo DICT sintetiza los objetivos de la seguridad de los SI: disponibilidad, integridad, confidencialidad y trazabilidad) para estar en condiciones de detectar e interrumpir todo uso anormal, o de demostrar un uso de los datos conforme con las normativas y obligaciones.
Pero, para saber protegerse de los riesgos que podrían dañar la disponibilidad, la integridad, la confidencialidad o necesitar la trazabilidad, hay que identificar claramente cada uno de ellos. Se tratará de precisar las posibles causas de aparición de situaciones de peligro para cada riesgo (estratégico, operativo, financiero, jurídico y en términos de imagen), de evaluar las probabilidades de aparición, de evaluar las soluciones de protección también en todos los planos (técnico, organizativo y financiero), o incluso evaluar las soluciones de restablecimiento, para finalmente poder decidir los medios que se implantarán.
Ya sea que se proteja al SI del riesgo mediante medios tecnológicos, organizativos, metodológicos o incluso culturales como que se elija no luchar contra la posible aparición, se preferirá detectar la aparición de una situación comprometida y dotar de los medios para restablecer la situación. O que se estime que el riesgo es demasiado débil o sin consecuencias y se acepte sin ninguna protección específica. Mediante estas evaluaciones y elecciones se determina la política de seguridad de los sistemas de información de la organización.
Para mediar en la elección entre la forma de acción o la aceptación del riesgo sin otra acción, hay que dotarse de criterios que deben tener en cuenta a la vez la sensibilidad de los recursos afectados...
Formalizar la política de seguridad de los SI (PSSI)
El proyecto de formalización de la PSSI consiste en traducir el resultado de los trabajos de gestión de la seguridad y de los riesgos en una política susceptible de apropiación por todos los actores de la organización, desde la alta dirección hasta los ejecutores, los agentes y los prestatarios, un auténtico marco contractual de ejecución de las misiones de cada uno respecto al uso de los SI.
Esto empieza mediante una precisión de los retos estratégicos y normativos que determinará los distintos ángulos de enfoque de los riesgos SSI. El análisis de los riesgos permitirá identificar los criterios de selección de los principios de seguridad que hay que desarrollar y guiar la elaboración de las normas de seguridad.
Por principio de seguridad se entiende tanto la definición de las orientaciones de seguridad consideradas necesarias como las características de la seguridad definidas como importantes. Son los principios que constituirán la base de reflexión para la elaboración de la PSSI y permitirán su transformación en normas de seguridad.
Las normas de seguridad definen exigencias de seguridad para la implantación de los medios, tanto técnicos como organizativos, y para los comportamientos en función de los principios seleccionados....
Formar y educar a los usuarios
El informe Verizon 2023 sobre los compromisos de datos nos enseña que 74 % de las situaciones de peligro implican el factor humano (ingeniería social, errores, abuso), y que el 50% de los ataques por ingeniería social utilizan el pre-texting (estrategia de ingeniería social por la que los atacantes inventan historias creíbles para incitar a las vícti-mas a darles información personal o el acceso a sus cuentas bancarias). Por supuesto, es posible reducir la superficie del riesgo del usuario mediante procedimientos y herramientas técnicas. Un robo de identificadores se puede neutralizar usando un sistema de autentificación de múltiples factores. La ejecución de scripts se puede limitar solo a los usuarios autorizados y cada script puede ser objeto de un análisis antes de autorizar su ejecución. Los procedimientos de acreditación se pueden reforzar y necesitar varias etapas de control y de validación para limitar los riesgos de error de elevación de derechos. Todas estas medidas y estas herramientas tendrán un coste y podría suceder que en muchas situaciones solo sea posible implantar una pequeña parte. Sea cual sea la fuerza de estas medidas, siempre quedarán situaciones donde el usuario podrá cometer un error que el procedimiento no haya previsto o que la herramienta...
Tener en cuenta las particularidades de cada negocio
La seguridad de los SI de una organización aspira a garantizar la disponibilidad, la integridad y la confidencialidad del patrimonio de información de esta organización, así como la trazabilidad de las operaciones realizadas en este patrimonio. Los tres primeros objetivos, que se pueden calificar como estratégicos para los negocios de una organización, deben incluir la identificación de los riesgos de siniestros, y entonces definir los medios para evitar la aparición de estos siniestros tanto como prever las acciones de reparación. El cuarto objetivo aspira a disponer de la información que, en el mejor de los casos, permitirá detectar y anticipar la inminencia de un posible siniestro y, en el peor, participar en la comprensión de las circunstancias que han desembocado en el siniestro para evitar la reproducción, o incluso respetar las obligaciones normativas como demostración, especialmente en el ámbito legal.
Pero, por ejemplo, sí parece deseable mantener una disponibilidad continua del patrimonio de información durante los períodos en que los usuarios lo necesitan, ¿qué precio hay que pagar para garantizarlo? Hay un límite obligatorio que siempre situará este precio por debajo del valor objetivo de la disponibilidad de este patrimonio de información....
Garantizar la aplicación de la PSSI
Aunque la PSSI solo puede ser favorable a los negocios, es frecuente que estos últimos consideren las medidas de seguridad impuestas por la PSSI como limitaciones, incluso obstáculos a su productividad.
Por ejemplo, es difícil imponer una política de contraseñas limitadora con una longitud mínima de una decena de caracteres, una combinación obligatoria de tres tipos de caracteres distintos, una duración de validez de tres meses como máximo, la prohibición de reutilizar las tres contraseñas anteriores y un bloqueo de la cuenta después de tres errores de escritura consecutivos. La dificultad para imponer una auténtica política de gestión de las contraseñas se comprueba en muchas organizaciones: se constata que los usuarios intentan escaparse e incluso los VIP piden ser excluidos de la política.
Trabajar con los negocios en cuanto al análisis de los riesgos sobre su SI, hacerles determinar un nivel de resiliencia (capacidad de un sistema para tratar la avería: la resiliencia preliminar organiza la resistencia al riesgo de avería, la resiliencia de consentimiento organiza el restablecimiento después de la avería) aceptable para su SI, hacer corresponder las normas de seguridad y sus costes para garantizar esta resiliencia preliminar o de consentimiento les permitirá...
La base de una PSSI global
Se trata de identificar algunos grandes temas que conllevan riesgos importantes y constituyen una parte imprescindible de la política de seguridad global del SI. Estos temas deben permitir poner los cimientos de una estrategia global mínima para el conjunto del SI. Aquí no se trata de los temas de las PSSI específicas, sino de lo que es común al conjunto del SI.
Las identidades y las habilitaciones. Es un punto fundamental de la seguridad y, sin lugar a dudas, uno de los temas para los que los riesgos tienen probabilidades aún más elevadas por el hecho de que los procesos de gestión de los derechos de acceso a menudo están mal controlados. Respecto a la PSSI, no solo se trata de definir una solución técnica de tipo IAM (Identity & Access Management, sistema de gestión de las identidades y de los accesos al SI); ante todo, se trata de identificar los procesos (entradas, variaciones, salidas de los agentes o de usuarios externos) y de controlar los mecanismos de habilitación con ayuda de perfiles y de funciones. Este tema también trata del medio de identificación y de su resistencia. Hay que saber que la causa de una gran cantidad de incidentes es el uso fraudulento de identificadores.
Puestos de trabajo. Este tema afecta a todos los dispositivos (PC fijos y portátiles, tabletas y smartphones). Es el punto de entrada usado con más frecuencia para comprometer un SI. Este tema incluye todos los riesgos inherentes a la configuración del dispositivo, fuente potencial del peligro que corre (sistema operativo, puertos de conexión de periféricos, navegadores y redes inalámbricas), o a su uso fraudulento.
Cuentas con privilegios. Aunque se trate de un entorno infogestionado o de un SI en el que interviene una gran cantidad de prestatarios, como en la mayoría de las grandes organizaciones, parece adecuado disponer del control de estas cuentas, así como poder limitar el uso de identificadores con privilegios y hacer un seguimiento del uso lícito....
El RGPD y la protección de datos personales
Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales
El 7 de diciembre de 2018 entró en vigor en España la Ley Orgánica 03/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD). Esta ley tuvo en cuenta las estipulaciones del RGPD y las disposiciones relativas a los «márgenes de maniobra nacionales» autorizados por el RGPD que el legislador ha elegido ejercer.
Esta ley incluye disposiciones comunes aplicables a todos los procesos.
El RGPD es una normativa y no necesita una transposición al derecho nacional.
El reglamento europeo de protección de datos personales
El Reglamento General de Protección de Datos (RGPD en español, y General Data Protection Regulation, GDPR en inglés) es el nuevo reglamento europeo que se aplicará en todos los países de la Unión Europea desde el 25 de mayo de 2018: https://www.boe.es/doue/2016/119/L00001-00088.pdf
Ambiciona tres objetivos en relación con las normativas nacionales anteriores:
-
Reforzar los derechos de las personas, especialmente mediante la creación de un derecho a la portabilidad de los datos personales y las disposiciones propias de los menores.
-
Responsabilizar a los actores que procesan los datos, tanto a los responsables de procesos como a sus subcontratistas.
-
Hacer creíble la normativa gracias a una cooperación reforzada entre las autoridades de protección de los datos de los distintos países de la Unión Europea, que principalmente podrán adoptar decisiones comunes cuando los tratamientos de datos sean transfronterizos y sanciones más fuertes.
Se trata de una normativa europea y, al contrario que una directiva, es directamente aplicable...
La directiva NIS2
En julio de 2016, el Parlamento Europeo y el Consejo de la Unión Europea habían adoptado la directiva "Network and Information Security" (NIS, ahora llamada NIS1). El objetivo de esta directiva es aumentar el nivel de ciberseguridad de los Operadores de servicios esenciales para el funcionamiento de la economía y la sociedad. Con la NIS1, estos grandes actores se vieron obligados a reforzar su ciberseguridad para reducir significativamente la exposición de sus sistemas más críticos a los ciberriesgos, y a comunicar sus incidentes de seguridad a las institu-ciones competentes.
Una nueva directiva, denominada NIS2, que se basa en los logros de la directiva NIS 1, amplía sus objetivos y su ámbito de aplicación. La directiva se aplicará a miles de entidades de distintos sectores que ahora estarán regulados. Esto significa que se verán afectados 600 tipos diferentes de entidades, incluidas administraciones de todos los tamaños y empresas que van desde las PYMEs a grupos que cotizan en Bolsa.
Publicada el 27 de diciembre de 2022 en el Diario Oficial de la Unión Europea, la NIS2 concede 21 meses a cada Estado miembro de la UE para transponer las dis-tintas exigencias reglamentarias a la legislación nacional. Algunos de los requisitos se aplicarán inmediatamente, mientras que otros tendrán un periodo de cumplimiento.
Ya sabemos...
Organizar la resiliencia frente al incidente
En el campo de la ciberseguridad, no es raro oír: «la cuestión no es saber si te van a hackear, sino cuándo». Aunque a menudo estas observaciones son hechas por expertos de empresas de ciberseguridad, no está claro que causen el efecto deseado. Sin embargo, ninguna tipología de empresas ha escapado a ciberataques que han tenido éxito, incluidas aquellas cuyo negocio consiste en protegernos de estas agresiones. ¿Quizás es mejor defender la idea de que la probabilidad de un incidente en el SI (error humano, avería o ciberataque) es suficientemente alta para tener un plan de acciones que anticipe cualquier eventualidad? Entonces se trata de organizar la resiliencia de su SI, y del funcionamiento de la organización, frente a los incidentes de cualquier naturaleza. Hablamos de ciberresiliencia, que debe permitir, en caso de incidente, disponer de un plan de intervención para restablecer el funcionamiento del SI a su estado nominal después de un siniestro.
Este plan de intervención o plan de resiliencia está directamente vinculado con la PSSI, que ha permitido determinar los distintos riesgos potenciales, incluidos aquellos que se habrá decidido no tratar de manera preventiva y para los que deberemos tener un medio de solución si suceden.
El plan de resiliencia responde a la vez a las averías para las que no hay redundancia que garantiza la continuidad de la función, o una redundancia...