Inicio  ·  Blog

Blog Advanced WAF:

Las cinco prácticas de ciberseguridad que toda empresa debería adoptar

En general, las organizaciones deben implementar las prácticas de ciberseguridad necesarias para mitigar el riesgo y cumplir con los requisitos de cumplimiento. Hemos hablado de cómo mitigar las ciberamenazas conocidas y previsibles. Sin embargo, ¿cuál es el listón más bajo para una organización típica con respecto a la ciberseguridad? Para averiguarlo, tenemos que pensar en el cumplimiento universal y en las obligaciones legales de cualquier organización.

El mosaico más complejo de normas de seguridad se encuentra en Estados Unidos, por esta razón empezaremos por ahí. Por ejemplo, miramos las regulaciones que incluyen un lenguaje similar a la regulación de Massachusetts 201 CMR 17, que decretan lo siguiente:

Toda persona que posea o licencie información personal sobre un residente de la Commonwealth, deberá desarrollar, implementar y mantener un programa integral de seguridad de la información.

https://www.mass.gov/regulations/201-CMR-17-standards-for-the-protection-of-personal-information-of-residents-of-the

Algunos de los estados más poblados de EE.UU. tienen leyes similares, como la Ley SHIELD de Nueva York2 y la Ley de Privacidad del Consumidor de California. Estos requisitos no sólo se dan en Estados Unidos; también podemos encontrar el Reglamento General de Protección de Datos (RGPD) de la UE.

Normativa y prácticas de ciberseguridad

En conjunto, estas leyes establecen la obligación de proteger la información personal de los residentes, detallando requisitos y controles específicos. Si sumamos cada una de estas leyes, constituyen las normas mínimas de seguridad que casi todas las organizaciones deberían adoptar.

No incluimos los requisitos impuestos por sectores específicos, como la banca o la sanidad, ni las obligaciones contractuales. Incluso, tampoco añadimos la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS). También omitimos a propósito los requisitos de seguridad para todas las empresas estadounidenses que cotizan en bolsa y que están cubiertas por los requisitos de protección de la Ley Sarbanes-Oxley.

Un aspecto que impregna todas las obligaciones generales de seguridad, tanto en la regulación gubernamental como en la Ley de Responsabilidad Civil, es la expectativa de «protecciones razonables». 

Dichas expectativas son las cosas que todo el mundo hace o se espera que haga de manera normal en el sector de los negocios. Por ejemplo, el uso de las salidas de incendios en un edificio o la obligación de limpiar los peligros resbaladizos en un sitio de negocios. En conclusión, podría decirse que las protecciones razonables para la ciberseguridad son las mismas que las normas universales de seguridad.

Las organizaciones que descuidan las normas de seguridad más básicas pueden encontrarse en serios problemas con sus clientes, socios y propietarios de la empresa; ya que las empresas no pueden eludir la obligación de proteger la información privada de las personas.

Basándonos en todo esto, hemos elaborado las cinco prácticas de ciberseguridad necesarias para una organización.

practicas de ciberseguridad

1. Designar a alguien a cargo de la ciberseguridad es una de las prácticas de ciberseguridad más eficaces

Es una verdad universalmente reconocida que toda organización que posea ordenadores debe contar con un CISO. Es decir, todas las normativas de ciberseguridad incluyen el requisito, directo o indirecto, de asignar la autoridad y los deberes de ciberseguridad a un papel específico. Este es normalmente llamado responsable de seguridad de la información o responsable de protección de datos.

La persona encargada de la ciberseguridad de una empresa, ya sea a tiempo parcial o completo, tendrá el apoyo organizativo y los recursos para construir, mantener y actualizar el programa de ciberseguridad. Esta persona es el principal punto de contacto para los asuntos de seguridad informática interna y externa de la empresa. 

Por otro lado, esta función también debe tener suficiente independencia para garantizar que los requisitos de seguridad y cumplimiento no se ignoren frente a las necesidades del negocio. Esta función plantea cuestiones y responde a las preguntas de la alta dirección sobre el riesgo de ciberseguridad.

evaluaciones de riesgo seguridad

2. Haz un inventario de tus datos, equipos y procesos de prácticas de ciberseguridad

Si no sabes lo que tienes y dónde está, no puedes protegerlo. Muchas infracciones implican fugas de datos confidenciales almacenados accidentalmente en el correo electrónico o almacenados indebidamente en portátiles perdidos o en copias de seguridad. 

Las organizaciones deben tener un proceso para identificar y catalogar procesos operativos clave y datos críticos como parte de sus prácticas de ciberseguridad.

Considera los tipos de datos que mantiene una organización típica y lo que podría suceder si esa información se perdiera o fuera robada. Un ejemplo serían los datos financieros personales de los empleados en los sistemas de recursos humanos y de nóminas. 

De hecho, los registros de los empleados deben estar protegidos por la normativa de ciberseguridad de la Administración de Seguridad y Salud en el Trabajo (en el caso de EEUU). Los ciberdelincuentes suelen apuntar a estos datos para cometer fraudes, por este motivo dicha información debe ser rastreada y protegida. 

También hay que considerar el sistema financiero de la empresa, códigos de acceso bancario y firmas que controlan las transferencias y desembolsos de dinero. Estos datos también son un objetivo directo para los ciberdelincuentes.

Aunque no almacenes la información de las tarjetas de pago de los clientes (y si lo haces, tendrás que cumplir los requisitos de la PCI DSS), tus clientes pueden compartir otra información contigo. Cualquier tipo de información del cliente, desde nombres de usuario y contraseñas hasta información de contacto, es un objetivo potencial para los ladrones de datos.

Una vez que tu organización tenga una idea clara de lo que posee y dónde, podrá realizar un análisis de riesgos.

evaluaciones de riesgo seguridad

3. Realiza evaluaciones de riesgo periódicas

Casi todos los requisitos de ciberseguridad se basan en el riesgo; por lo tanto, es fundamental que las organizaciones identifiquen las amenazas previsibles que pueden interrumpir los activos clave y exponer los datos privados.

Estas amenazas pueden ser externas, como los ciberatacantes o las catástrofes naturales, o internas, como los empleados malintencionados o los usuarios descuidados. Además, dichos riesgos pueden ser tecnológicos, como infectarse con malware o físicos, como olvidarse de borrar los discos duros desechados. 

Evalúa los riesgos al menos una vez al año, así como cuando se produzcan cambios empresariales o tecnológicos importantes. Un buen ejemplo es realizar una evaluación para analizar los riesgos de trasladar la organización a la nube.

Operativa de las prácticas de ciberseguridad

La evaluación de riesgos debe ser lo más formal posible y esto significa emplear un proceso repetible que genere documentación. Si se produce un incidente de seguridad, los abogados y los reguladores probablemente examinarán tus registros de evaluación de riesgos.

Una parte clave del proceso de evaluación de riesgos, que muchas normativas de ciberseguridad exigen explícitamente, es un examen de seguridad de los proveedores, socios y proveedores de servicios. 

El riesgo de terceros es causa importante de infracciones y, por tanto, debe tenerse en cuenta en el plan de seguridad de una organización. Por este motivo, la evaluación de riesgos es una de las prácticas de ciberseguridad necesarias que te recomendamos implementar en tu plataforma tecnológica

controles riesgo seguridad

4. Implantar controles que reduzcan el riesgo como prácticas de ciberseguridad

La implicación de realizar una evaluación de riesgos radica en la obligación que tienes de hacer algo para evitarlos, ahora que conoce los posibles puntos problemáticos. Este es el núcleo del concepto de «seguridad razonable«. Las cosas que se hacen para reducir estos riesgos se llaman controles y se dividen en tres categorías principales:

Controles administrativos mínimos

Los controles administrativos tienen que ver con la gestión de las personas, que en este contexto incluye a los usuarios y al equipo técnico. Todas las normas de seguridad mencionan alguna formación en materia de seguridad para ordenadores.

Dicha formación, normalmente supervisada por el responsable de seguridad, debe informar a los usuarios sobre los principales riesgos, como el phishing y el malware, así como las normas de seguridad específicas que deben seguir, como no almacenar datos confidenciales en equipos personales.

Los requisitos de ciberseguridad también contemplan la aplicación de sanciones a quienes infrinjan las normas de seguridad. Dichas sanciones pueden ser tan severas como el despido o tan básicas como implementar una formación adicional en materia de seguridad.

Otro control administrativo común es la selección del personal recién contratado; este control puede ir desde la simple verificación de la identidad y las cualificaciones de alguien, hasta la comprobación de sus antecedentes penales.

Buenas prácticas de ciberseguridad en la gestión de los usuarios

Por último y como una de las prácticas de ciberseguridad más recomendables, te recomendamos implementar uno de los controles administrativos básicos clave: el aprovisionamiento y la acotación de usuarios

Esto significa establecer nuevos usuarios únicamente con los privilegios de seguridad que requieren para hacer su trabajo. Además, es fundamental suspender inmediatamente las cuentas de los usuarios al dejar la organización. 

Sorprendentemente, este control a menudo se aplaza o se realiza de forma desordenada, lo que conduce a humillantes robos de datos por errores evidentes. El aprovisionamiento descuidado de usuarios es uno de los fallos de auditoría más comunes; este error de novato ocurre tanto en los programas de seguridad establecidos como en los nuevos.

Controles técnicos mínimos

Cuando te preocupa el riesgo informático, tiene sentido buscar controles informáticos que te ayuden. El control más obvio y sencillo es la autenticación, empezando por las contraseñas. 

Dado que los ataques a las contraseñas son la causa más común de las infracciones, es una buena idea definir a fondo tu estrategia de control de accesos. Un buen punto de partida es considerar el uso de la autenticación multifactor

Si todavía no puedes utilizar la autenticación multifactor, es importante recalcar que con este método ganarás mucho en la prevención de la usurpación de credenciales asegurándote de que las contraseñas sean únicas, es decir, que no se reutilicen de otros sitios.

Otro control técnico imprescindible es algún tipo de filtro de Internet, es decir, un cortafuegos. Existe una gran variedad de cortafuegos que pueden ofrecerte diferentes capacidades y niveles de protección. 

El problema con los firewalls es que deben estar configurados adecuadamente para mantener a los atacantes fuera y al mismo tiempo dejar entrar a los clientes. Los cortafuegos también deben mantenerse con parches periódicos y se deben realizar revisiones de la configuración para que puedas asegurarte de que funcionan correctamente.

Gestión segura de los accesos remotos, clave en las prácticas de ciberseguridad

Si los usuarios trabajan a distancia y la mayoría lo hace hoy en día, tu organización debe establecer un método seguro para el acceso remoto. La mayoría de las prácticas de ciberseguridad exigen el uso de la encriptación cuando se transmiten datos confidenciales a través de redes públicas

Esto significa utilizar una red privada virtual (VPN), que cifra el tráfico de los trabajadores remotos de vuelta a los sistemas de la organización. Al igual que con cualquier control técnico, es recomendable que planifiques cuidadosamente la implantación de una VPN; para ello, deberás tener en cuenta el diseño de la red, el método de autenticación y los requisitos de ancho de banda.

Aunque no siempre se menciona específicamente en las normas de ciberseguridad, la protección antivirus está muy implícita. A veces se expresa como «software de seguridad del sistema que debe incluir protección contra el malware«, que es una forma de cubrir una amplia variedad de controles de malware

Sin embargo, dado que el software antivirus existe desde hace más de 30 años y está disponible en casi todas las plataformas informáticas, se considera fácilmente una medida de «seguridad razonable«. También es lo que mi antiguo mentor llamaba «algo que tienes que hacer para no parecer estúpido«. 

Controles físicos mínimos

Como los controles de seguridad física no implican a los ordenadores, a menudo se pasan por alto. Sin embargo, se trata de algo tan sencillo como guardar bajo llave los equipos y soportes informáticos. Una de las formas más comunes de robo de datos es la sustracción, robo o pérdida de ordenadores portátiles, a menudo en coches aparcados. 

Este riesgo se soluciona fácilmente con el cifrado de todo el disco. Casi todas las normativas de ciberseguridad incluyen el cifrado de los dispositivos portátiles, que por suerte está integrado en todos los sistemas operativos modernos.

Cualquier equipo que sea retirado, donado o desechado debe tener sus sistemas de almacenamiento ilegibles. De esta forma, se garantiza que no queden datos confidenciales en el dispositivo una vez que salga de las manos de la organización. 

Cualquier técnico te dirá que los datos borrados pueden restaurarse, así que es mejor prevenir que lamentar y borrar o destruir completamente las unidades. Las organizaciones deben ser conscientes que las copiadoras e impresoras modernas también pueden retener rastros de imágenes previamente escaneadas o impresas localmente en las unidades internas.

seguridad procesos operativos

5. Incorporar la ciberseguridad a los procesos operativos, una de las prácticas de ciberseguridad más eficientes

Muchos procesos de ciberseguridad quedan fuera del ámbito directo del equipo de seguridad. Uno de estos procesos es la selección de personal, que suele estar gestionada por el departamento de recursos humanos. Otra área son los procesos operativos de TI, que afectan directa y significativamente a la ciberseguridad de una organización.

Uno de los procesos operativos de TI más básicos y poderosos para la ciberseguridad es el endurecimiento y la aplicación de parches a los sistemas. Por suerte, dicha tarea conlleva dos prácticas sencillas; eliminar o cambiar las credenciales predeterminadas y aplicar rápidamente los parches de seguridad críticos.

Las organizaciones también deben supervisar los sistemas y las redes para detectar desviaciones de las normas previstas, así como actividades inesperadas o maliciosas. 

Para vigilar las configuraciones de seguridad y los niveles de parches se realizan escaneos periódicos de vulnerabilidad. Dicha tarea se lleva a cabo tanto en el perímetro de Internet como en los sistemas internos clave. Estas comprobaciones tienen la ventaja de cumplir con otro requisito básico de cumplimiento; probar y evaluar la eficacia de las medidas técnicas de seguridad.

Prácticas de ciberseguridad mínimas

F5 Labs habla a menudo de la filosofía de asumir los ataques. Esto significa que hay que prepararse para un incidente de seguridad inevitable. Por este motivo, es tan importante implementar las prácticas de ciberseguridad mínimas. Todos los requisitos de ciberseguridad incluyen una disposición para informar oportunamente a las autoridades y a las víctimas en caso de un robo de datos

Para ello, las organizaciones deben contar con procesos para detectar, responder y documentar los incidentes de seguridad que afecten a datos personales y privados. Además, disponer de procedimientos adecuados de copia de seguridad y restauración es también uno de esos requisitos implícitos de «seguridad razonable«.

Por último, las organizaciones deben asegurarse de que los proveedores externos también siguen unas mínimas prácticas de ciberseguridad. En algunas ocasiones, esto se lleva a cabo mediante una auditoría de terceros, o puede tomar la forma de obligaciones contractuales para mantener las medidas de seguridad.

Conclusión

Aunque se trata de una pequeña lista de prácticas de ciberseguridad básicas, algunas organizaciones no cumplen con estas disposiciones básicas o ni siquiera son conscientes de ellas. Recuerda que las prácticas que hemos mencionado son sólo los requisitos de seguridad básicos. Si quieres profundizar (y deberías), revisa nuestros controles de seguridad recomendados.

Otros contenidos de nuestro blog que pueden interesarte:

Cómo mitigar las vulnerabilidades de las aplicaciones

Actualmente, las aplicaciones no sólo permiten la transformación digital de un negocio, sino que son, a su vez, el negocio. Para mantener la agilidad al tiempo que se acelera la velocidad de comercialización, las organizaciones han adoptado el desarrollo ágil y han...

Guía práctica para elegir el WAF adecuado para tu empresa

A pesar de los grandes esfuerzos colectivos que ha realizado la industria tecnológica para reforzar las prácticas de desarrollo de aplicaciones seguras, la mitad de estas siguen siendo vulnerables a los ataques. Violaciones de datos confirmadas El informe Verizon 2018...

OWASP Top 10, cómo evitar las principales amenazas de seguridad en aplicaciones web

Hay una razón por la que el OWASP Top 10 ha recibido tanta atención últimamente. Es la misma razón por la que seguimos escuchando hablar de importantes brechas de seguridad y de datos a diestro y siniestro. La seguridad de aplicaciones web es difícil, muy difícil. Por...

El ROI oculto de la seguridad en la nube

Seguro que ya habéis escuchado esto antes: empresas de todos los tamaños están experimentando la transformación digital, trasladando aplicaciones y servicios a la nube en un esfuerzo por impulsar la productividad y acelerar la innovación y todo esto con la finalidad...

Proteja sus APIs y Aplicaciones donde quiera que se alojen

Todas las organizaciones quieren lo mismo de sus aplicaciones: el mejor rendimiento para sus usuarios y una seguridad excepcional para evitar pérdidas y daños. Es un concepto sencillo, pero ofrecer una seguridad integral que no ralentice la...

Actualizar la seguridad a la velocidad del negocio

En el vertiginoso mundo actual, los cambios en las empresas deben producirse en un abrir y cerrar de ojos o tendrán un importante impacto negativo. Algunos cambios están impulsados por la necesidad del negocio, otros por el entorno y la seguridad. Por ejemplo, la...

Las tres fases de la transformación digital

En los últimos años, las empresas de todos los sectores industriales se han embarcado en un viaje de transformación digital de una forma u otra. Las empresas están aprovechando la proliferación de tecnologías digitales para definir nuevos modelos de negocio o...

La mitad del malware del mundo está ahora encriptado

Lo que no puedes ver podría estar perjudicando a tu organización y el cifrado es un importante punto ciego. Según F5 Labs más del 80% del tráfico mundial de Internet está encriptado y la falta de visibilidad del tráfico encriptado supone una importante amenaza para la...

El estado de la estrategia de las aplicaciones 2021: La eficacia de la automatización

La automatización es un componente crítico de la transformación digital, ya que es la automatización de las tareas a través de las aplicaciones lo que constituye el foco de la primera fase para la digitalización empresarial. La transformación digital de los flujos de...

Firewall Avanzado de Aplicaciones Web (AWAF)

¿Por qué necesitan las organizaciones un AWAF? Hoy en día, las empresas están ampliando sus negocios mediante el uso de aplicaciones basadas en la web y alojadas en la nube, por lo que contar con un firewall avanzado de aplicaciones web (AWAF) robusto y ágil para...

¿Necesitas información personalizada sobre Advanced WAF?

Nuestros asesores podrán ofrecerte una solución a medida de tus necesidades

Contactar con un asesor