Desde que se comenzó a hablar de seguridad de la información, hace unos cuantos años, las organizaciones han sufrido un cambio continuo de los ecosistemas de ciberseguridad. Esta evolución va desde el propio concepto (diferenciar la seguridad de la información de la seguridad informática), hasta el punto de adoptar los conceptos y terminologías más actuales. Respecto a la parte tecnológica, los ciberataques han evolucionado de manera exponencial y la situación geopolítica actual ha acelerado este hecho.
En este contexto, partimos de que lo que realmente se debe proteger es la información, que es el activo esencial en toda organización. Todos los servicios esenciales se sostienen en activos de soporte, por ello debemos fortificar las medidas de seguridad a implantar en cada infraestructura, tanto hardware como software. Sin olvidar, por supuesto, poner el foco (y muy relevante) en la formación y concienciación del usuario.
Estructura jerárquica
Cuando realizamos análisis de riesgos sobre nuestros sistemas de información, debemos definir toda la estructura jerárquica entre los distintos activos, desde la información y los servicios, hasta los activos de tipo infraestructura o del propio personal. Es importante tener claras las dependencias entre estas tipologías de activos, ya que en función de su naturaleza se derivan distintas amenazas.
Estas amenazas, que pueden ser de distinta índole, como las de origen industrial, natural, errores de los usuarios o de atacantes, etcétera, a su vez tienen distintas probabilidades e impactos en los sistemas de información, por lo que es importante conocer el grado de exposición a los riesgos. Cuanto mayor sea nuestro conocimiento sobre los activos a analizar, mayor precisión obtendremos sobre los resultados deseados.
La manera en la cual mitigaremos esos riesgos es con la propia implementación de salvaguardas. Estas pueden ser de distinta tipológica o basadas en marcos normativos. ¿Qué marco normativo nos interesa cumplir? Esto debe valorarse en cada organismo. Tan importante es tener implantadas medidas de seguridad, como gestionarlas de manera adecuada. De nada vale aplicar una medida si luego cae en saco roto, ya esté bien implantada o no, o si cumple o no su función de acuerdo a unos umbrales establecidos.
Cuanto mayor sea nuestro conocimiento sobre los activos a analizar, mayor precisión obtendremos sobre los resultados deseados
Por ello es muy importante tener definidos de manera real los sistemas de gestión de seguridad. En este ámbito se debate sobre si el uso del ciclo de Deming está en desuso o no es necesario. Las últimas versiones de las normativas ISO 27001 ya marcan unas pautas no estrictamente adheridas a este ciclo, si bien, al final, todo se basa en la mejora continua, que es el core de la ciberseguridad.
Que la seguridad emane de forma expresa de la dirección del organismo también marcará la diferencia. No hay que dejarse llevar por el prejuicio de que hay organismos que pueden ser un objetivo más evidente que otros de cara a ser atacados. Todos están igual de expuestos y lo que marcará la diferencia son las medidas de seguridad implantadas.
El Esquema Nacional de Seguridad, la ISO 27002 y la Directiva NIS2 son, entre tantas, normas que se pueden aplicar a los sistemas para robustecer esta seguridad y mitigar riesgos.
Seguridad de la información: optimización de recursos
Si bien es verdad que gestionar toda la operativa puede resultar un trabajo arduo, ya que exige utilizar recursos especializados, tiempo, labores administrativas, lecturas de guías técnicas, etcétera, cada vez existen más herramientas que ayudan a llevarlo a cabo de manera optimizada.
Dentro de este marco de herramientas, Procesia ha elaborado KeepArmor, diseñado bajo la premisa de optimizar los recursos dedicados a la seguridad para, a la par, ganar tiempo y asegurar el cumplimiento de los distintos marcos normativos de seguridad.
Concretamente, KeepArmor es una herramienta de bastionado automático de activos basada en las guías definidas por el Centro Criptológico Nacional (CCN). Esta solución es aplicable tanto a organismos del sector público como del privado y tampoco distingue entre el número de activos a bastionar, ya que además funciona en infraestructuras con distintos sistemas operativos de manera recurrente y en paralelo.
Con este bastionado, y con solo un ‘clic’, es posible tener configurado en las máquinas, por ejemplo, todas las políticas de directorio activo requeridas para cumplir con el Esquema Nacional de Seguridad, así como de las distintas normas de seguridad. Todo automatizado. También ofrece la posibilidad de implantar medidas adicionales a las guías de cara a robustecer la seguridad de los sistemas.
KeepArmor seguirá haciendo evolutivos de cara a implementar su propio módulo de gobierno, riesgo y cumplimiento que sirva de apoyo y soporte a toda esa parte de gestión de la seguridad, que, como ya se ha comentado, es tan o más importante que el hecho de establecer medidas de seguridad sin el control adecuado.
Preparación
Hay que tener claro que debemos estar preparados, ya sean organismos privados, públicos y/o infraestructuras críticas, para los ciberataques que puedan venir.
Se debe formar al personal técnico en materia de seguridad, tanto al personal TIC como al específico de seguridad. Para los usuarios, igualmente, es necesario implementar campañas de concienciación efectivas y periódicas, basadas en los datos de recopilación de incidentes, ya sea a nivel general o del propio organismo. Hacer campañas ficticias de phishing nos ayudará a saber el grado de concienciación del usuario, así como los cuestionarios u otro tipo de acciones de impacto similares.
No en vano, según el último estudio del Instituto Nacional de Ciberseguridad, en base a su equipo de respuesta a incidentes de ciberseguridad, los ataques gestionados aumentaron un 16,6 por ciento en 2024 con respecto a 2023. El CCN por su parte, en su último informe Ciberamenazas y tendencias 2024, hace hincapié en cómo el estado bélico actual está influyendo en los ataques cibernéticos, así como en el crecimiento de los ransomware, e indica, curiosamente, que las empresas pequeñas y medianas son las que más riesgo tienen de ser atacadas. Además, también hace hincapié en cómo los nuevos ataques dirigidos hacen uso de técnicas de inteligencia artificial.
Que no nos pillen desprevenidos. Hagamos uso de la seguridad preventiva. Fortifiquemos nuestros sistemas de información, hagamos de la seguridad un proceso, no un proyecto.
