Los ciberataques no paran sin importar si eres una empresa pequeña o una multinacional, tanto es así que prácticamente a diario hay una nueva noticia de algún ciberdelito, como es es el caso de la empresa de distribución de productos químicos Brenntag, la cual pagó la bicoca de $ 4,4 millones en Bitcoin a la banda de ransomware DarkSide para recibir el descifrador de archivos y evitar que los actores de la amenaza filtren públicamente datos robados.
En este hecho observamos un denominador común que se extiende a lo largo y ancho de muchas organizaciones en todo el planeta, y aquí amplío el espectro para no mirar solo en nuestro continente y hacer una crítica constructiva, ya que por si solas es poco probable que las instituciones refuercen las practicas en ciberseguridad o inviertan más dinero a no ser que sufran alguna infiltración o incidente que cause impactos negativos.
Es aquí donde tenemos la gran responsabilidad bajo nuestros cargos, de alertar, informar, enseñar, crear cultura a lo interno, buscar los recursos financieros necesarios para emprender políticas de seguridad sustentables con visión de futuro, implantar framework fiables y comprobados, con tecnologías que apoyen los mismos.
Brenntag pagó una cuantiosa suma para tratar de evitar el desastre, pero el daño ya estaba hecho. Los atacantes ingresaron, tomaron el control y luego cobraron sus dividendos. Con una parte de ese dinero por el cual fueron extorsionados, hubiesen podido invertirlos en un plan de seguridad de la información y empoderarse para evitar llegar a estas consecuencias, pero no fue así.
La destacada firma Ernst & Young en una encuesta global de seguridad de la Información, dice que el 70% de las organizaciones afirman que ahora sus directivos tienen un conocimiento exhaustivo de la ciberseguridad o que están adoptando medidas positivas para mejorarla. Pero hay más trabajo que hacer. El 77% de las organizaciones siguen operando con un sistema de ciberseguridad y con opciones para adaptarse muy limitadas, mientras que el 87% de las organizaciones advierten que aún no disponen de presupuesto suficiente para proporcionar los niveles de ciberseguridad que desean.
Entonces sabemos lo qué ocurre si analizamos el panorama a la luz de los datos, los ciberatacantes explotan vulnerabilidades, causándonos brechas de seguridad, todo esto ante la vista de nuestros CTO, CIO o Directores de Tecnología, porque aún cuando tiene el conocimiento no tienen los recursos financieros para adquirir tecnologías, el personal, capacitarlos y entrenarlos.
Evalúa tus números, datos, alternativas a lo interno y lo externo (subcontratando), las respuestas solo las tendrás tú y dependerá de tus capacidades. A continuación te muestro una tendencia clara acerca de la tercerización.
Imagen 1. ¿Cuales funciones de seguridad realizas internamente y cuales subcontratas?
Para esto debe abordar varios elementos. Primeramente plantéate una estrategia clara de seguridad de la información. Apalancate con un framework con el que que te sientas cómodo. De esto hablé un poco en mi artículo pasado pero nunca está demás volverlo a recordar.
ISO, nos ofrece el estándar ISO/IEC 27032, publicado en Julio del 2012, cuya revisión debe estar próxima a salir este año. No debemos menospreciar los controles técnicos indicados en la ISO/IEC 27002 que es la guía para dar cumplimiento y certificación a ISO/IEC 27001 que son aplicables, o Cobit que ya tiene su versión más reciente 2019 o NIST SP 800-53 Rev. 5.
En ese orden de ideas ISO/IEC 27001, por ejemplo, expone el análisis de brecha cómo una técnica para determinar los pasos para pasar del estado actual a un estado futuro deseado, y ello se responde con tres preguntas:
Un análisis de brechas requiere tres pasos:
1. Determinar el estado actual: A fin de identificar, en la organización, los procesos y controles de seguridad vigentes con sus características.
2. Identificación de objetivos: por comparación con otras organizaciones (o de otras divisiones de la organización) determinar el grado de madurez necesario para cada control de seguridad por ejemplo, a través de la técnica de "benchmarking", que es un proceso continuo por el cual se toma como referencia los productos, servicios o procesos de trabajo de las empresas líderes, para compararlos con los de tu propia empresa y posteriormente realizar mejoras e implementarlas.
3. Análisis de brechas: el análisis de la disparidad es identificar las diferencias que puedan existir entre los controles de seguridad en la actualidad y a los requisitos de la norma ISO/IEC 27001 (para el caso de este framework que estamos colocando como ejemplo). Esto permite a la empresa determinar cuáles son los procesos actuales que necesitan mejora(s).
La principal utilidad de un análisis de brechas es proporcionar una base para la identificación y medición de las inversiones necesarias en tiempo, dinero, recursos humanos y recursos materiales para lograr la aplicación propuesta del SGSI.
Cómo expliqué, hay diferentes métodos para mitigar brechas. Apalancarse con el framework de ISO/IEC 27001 es una de ellas con la que puedes obtener buenos resultados. Adicionalmente, les recomiendo buscar apoyo profesional, con personas calificadas que incluirán tecnología y conocimiento en el manejo de los mejores framework disponibles. Como comenté al principio, es posible que sus recursos financieros no le alcance para contratar el personal, entrenarlo y capacitarlo, pero para esto existen empresas altamente especializadas que lo ayudarán a mitigar este riesgo por un costo razonable.
Tienes muchas opciones, no esperes a que una brecha se materialice para buscar resolverla.