La inversión en ciberseguridad crecerá este año entre un ocho y un 20 por ciento, según la fuente que se consulte. No es una cifra nada desdeñable, pero dado el creciente número de incidentes que llegan a nuestros ojos y oídos cada día, podemos pensar que quizás no resulte suficiente.
No obstante, lo que deben plantearse las organizaciones es si esas inversiones son canalizadas de la forma más eficiente. Ya en 2019, el reputado Instituto Ponemon publicó un informe titulado The Cybersecurity Illusion: The Emperor Has No Clothes, en el que, a pesar del continuo aumento, la mitad de las compañías se declaraban incapaces de determinar si están obteniendo todo el valor de las inversiones realizadas.
Pues bien, el conocimiento de uno mismo es fundamental para poder actuar sobre los aspectos que tienen que mejorarse. Y disponer de una métrica fiable es la única forma de poder comprobar si las actuaciones realizadas contribuyen realmente a esa mejora.
En términos de ciberseguridad, probablemente no haya ningún sistema tan completo y fiable como es la calificación que desde hace varios años estamos gestionando en Leet Security.
En una ocasión, alguien de una gran compañía de telecomunicaciones de este país nos dijo que en ninguna de las auditorías y certificaciones recibidas hasta la fecha habían tenido que mostrar tal cantidad de evidencias como las que le solicitamos en la evaluación de sus servicios de Data Center Virtual. Somos conscientes de ello, y en realidad esta es la única forma de asegurarnos de que cubrimos todo lo que puede afectar a la seguridad.
Y aun más. Con la misma métrica aplicada en momentos sucesivos, se puede constatar la evolución de las capacidades de ciberseguridad, tanto en la preparación ante los ataques que con seguridad llegarán, si es que aun no lo han hecho, como en la recuperación, en el caso de sufrir algún tipo de incidente. La calificación se convierte así en una herramienta que permite comprobar si esas inversiones están aportando el valor esperado.
Pero nos encontramos en un entorno cambiante, en el que las métricas no pueden permanecer estáticas. Y por eso hemos publicado la versión 3.0 de la metodología y marco de controles. Por supuesto, mantiene la filosofía y la estructura de cinco niveles, en las tres dimensiones de: confidencialidad, integridad y disponibilidad. Pero hemos incorporado muchas de las cosas que se han mostrado importantes desde la última actualización. A modo de resumen destacamos lo siguiente.
Privacidad
La publicación del Reglamento General de Protección de Datos (RGPD) y su posterior trasposición y desarrollo legislativo ha traído mucha cola y algunas cuantiosas sanciones (es una pena que el régimen sancionador sea el principal incentivo para la adopción de medidas). Pero con todo ello, sigue existiendo una carencia en la definición de las medidas de seguridad organizativas y técnicas que deben aplicarse y demostrarse, que debiendo ser las adecuadas, no están explicadas en ninguna parte.
Por esto hemos tomado como referencia un marco de privacidad que, aún alineado con estas normativas, sí establece medidas específicas y palpables, como es el NIST Privacy Framework, que hemos incorporado enriqueciendo nuestro referencial. Esto nos permite, adicionalmente a la calificación, establecer unos criterios para verificar el cumplimiento de estos principios, y junto con el nivel de ciberseguridad, añadir un «calificador complementario» de privacidad, cuando se ha comprobado su implantación. Algo que resultará de suma utilidad tanto para responsables como para encargados del tratamiento de datos personales.
Teletrabajo y ciberseguridad
Desde el mes de marzo del pasado año, el teletrabajo (y las videollamadas) se han convertido en la práctica más habitual para desarrollar una gran mayoría de actividades profesionales. Por ello, hemos reforzado notablemente los controles dedicados a este aspecto, tomando como referencia la norma NIST, SP 800-46r2. Aunque ahora se está implantando el retorno a las oficinas, el teletrabajo es una práctica que va a permanecer, por lo que evaluar que este y la conexión remota se realizan con todas las garantías es una necesidad.
Control de acceso
Es otro de los aspectos que se han reforzado con mayor intensidad. Numerosos incidentes, como el recientemente sufrido por Continental Oil, son debidos a contraseñas débiles y que permanecen durante años. Hoy en día hay todo un mundo más allá de las contraseñas en control de acceso. Tomando como punto de partida la publicación especial del NIST 800-63, se han incorporado requisitos relativos a los diferentes tipos de autenticadores que una organización puede implementar, dando una gran importancia al empleo de factores múltiples.
Cadena de suministro
Ya lo teníamos contemplado, pero ahora lo destacamos. La seguridad de la cadena de suministro es crucial para la continuidad de negocio (la cita es de Paul Kirvan), y una notable proporción de incidentes que afectan a las organizaciones (casi el 50 por ciento según nuestro último estudio) ha tenido su origen en alguno de sus proveedores. Pero esto no es de extrañar, ya que la práctica totalidad de entidades cuentan con proveedores que de alguna manera se conectan a los sistemas o bien procesan datos de la entidad en los sistemas del proveedor.
La seguridad de la cadena de suministro y la gestión de las terceras/cuartas partes forman un capítulo que cobra tanta importancia como la seguridad de los sistemas propios.
Vulnerabilidades y parcheos
En realidad, esto no es una novedad, pero sigue siendo una de los principales coladeros. También tenemos notables ejemplos muy cercanos, por lo que no nos cansaremos de pregonarlo. Y aunque siempre se puede sufrir una vulnerabilidad de día cero, es de importancia capital disponer de procedimientos para asegurar que sistemas operativos y aplicaciones, tanto de servidores como equipos personales, resultan prontamente actualizados con los parches de seguridad publicados por los fabricantes.
Hay otras muchas novedades, como medidas aplicables a la tecnología de contenedores, de uso creciente, refuerzo de la seguridad por defecto y desde el diseño, acorde a las mejores prácticas recogidas en el estándar BSIMM10, consideración de los principios de confianza cero (Zero Trust), tomando como fuente la publicación NIST, 800-207 y un largo etcétera.
Como nuestro marco es de uso general, hemos hecho también alguna adaptación a entornos de sistemas de control industrial con el objetivo de asegurar que las prácticas de ciberseguridad se pueden aplicar en este tipo de entornos. Se han realizado modificaciones en los literales de las mismas, explicitando cómo se debían implementar en entornos de este tipo. De esta manera, se mejora la compatibilidad del referencial con entornos OT.
Formación y concienciación
Finalmente, queremos hacer una especial mención, dada la importancia y transcendencia que ello tiene, a la sección de formación y concienciación. El phishing y el ramsomware, posiblemente, son los mayores problemas a que nos enfrentamos a diario. La mejor forma de combatirlo es asegurar que nuestro personal es plenamente consciente de las amenazas y que cuenta con la información para no caer en el engaño. En esto, es mucho mejor pasarse que quedarse corto.
En resumen, en Leet Security nos renovamos para seguir teniendo el sistema más completo y fiable para determinar el nivel de ciberseguridad aplicado por las organizaciones en la prestación de sus servicios y contribuir con ello a la mejora de sus capacidades.
