Artículo de Joseph Carson, Jefe Científico de Seguridad de Thycotic.
Los responsables de la seguridad de la información (CISO, por sus siglas en inglés) son los que soportan el mayor peso sobre sus hombros de toda una organización. Ellos solos, en función de sus políticas de seguridad y de la aplicación de las mismas, pueden ser responsables del éxito o la ruina de toda una empresa.
Es, literalmente, un puesto ingrato porque normalmente nadie dice una palabra hasta que algo va completamente mal. Los CISO tienen que equilibrar la capacidad de mantener a su equipo interno al tiempo que protegen los datos y la infraestructura de la organización. En una sola brecha, ya sea debido a un accidente o a la falta de supervisión, toda una organización puede caer de rodillas sin posibilidad de recuperación. Creemos que es crucial que los CISO de todos los niveles se aseguren de que se aplican y se hacen cumplir estrictamente 5 políticas de seguridad esenciales .
No se trata de una lista exhaustiva, pero es un buen punto de partida. Constantemente vemos cómo los directivos se esfuerzan por aplicar estas medidas en todos los ámbitos.
Antes de empezar, es importante señalar que para que sus políticas tengan éxito, tienen que ser adoptadas, reconocidas y apreciadas por cada persona del equipo ejecutivo. La política de la empresa debe establecer que el incumplimiento por parte de los empleados individuales de las políticas de seguridad que emanan de la oficina de Seguridad de la Información puede dar lugar al despido. Hay que tomárselo en serio, porque todos los miembros de la organización son responsables de la seguridad de toda la empresa.
Empecemos con las 5 principales políticas de seguridad que todo CISO debe hacer cumplir.
Menor privilegio
Este es el número uno. Si no estás operando con el mínimo privilegio, corres el riesgo de comprometer cualquier otro sistema de seguridad, política y procedimiento. Puedes tener todos los mejores sistemas de seguridad, pero si una cuenta administrativa o privilegiada se ve comprometida, entonces también lo estarán todos tus sistemas. La mejor manera de asegurarse de que esto no ocurra es operar bajo un proceso llamado Mínimo Privilegio. Este procedimiento, en esencia, consiste en garantizar que cada persona de tu organización y asociada a ella tenga el menor número de privilegios para realizar su trabajo diario.
Por ejemplo, los empleados de su departamento de marketing no necesitan tener derechos administrativos locales en sus puestos de trabajo. Puede que realmente los quieran, por muchas razones, pero en realidad no los necesitan para realizar su función diaria.
He aquí dos aspectos de los privilegios que debe explorar (advertencia: ambos son aspectos en los que Thycotic puede ayudarle). Separar a todos los usuarios de su acceso administrativo permanente o privilegiado (sí, esto incluye incluso a sus administradores de TI y de seguridad); y eliminar todo acceso privilegiado en puntos finales y aplicaciones.
La primera requerirá una solución de Gestión de Cuentas Privilegiadas (PAM), como nuestro Servidor Secreto, destinada a descubrir, almacenar, gestionar y proteger cuentas privilegiadas en toda su organización. Sus administradores pueden iniciar sesión en el sistema y acceder a las cuentas privilegiadas sólo cuando sea absolutamente necesario. Todo este acceso es completamente auditable.
La segunda, eliminar los derechos administrativos de los terminales y las aplicaciones, es más difícil para las organizaciones. A menudo oímos que los altos ejecutivos están dispuestos a aceptar un riesgo de ciberseguridad mucho mayor para su organización que imponer a los empleados normales la carga de tener solo cuentas estándar.
A menudo la razón es el mayor número de tickets de soporte/ayuda requeridos cuando un usuario regular necesita instalar o actualizar aplicaciones. Una vez más, Thycotic puede ayudar aquí con nuestra solución Privilege Manager para Windows y Mac. Privilege Manager le permite configurar rápidamente políticas basadas en aplicaciones para permitir la ejecución de software aprobado (listas blancas de aplicaciones) y denegar y bloquear todas las aplicaciones desconocidas. Y para aquellas aplicaciones sin una política, puede incluirlas en una lista gris y permitir que los usuarios envíen una solicitud de acceso. Ahora los usuarios pueden instalar software aprobado y eludir UAC elevando la aplicación con privilegios basados en las políticas que establezca para ellos.
Sistemas de parches
Esta es una de las políticas más fáciles, y curiosamente una de las más olvidadas en una organización. Si operas bajo el mínimo privilegio, y mantienes tus sistemas actualizados con los últimos parches de seguridad y errores, estás mitigando el 99% de todas las amenazas potenciales en tu organización. Tal vez no debería decir "políticas olvidadas", porque en realidad oímos mucho de empresas que deciden no actualizar/parchear sus sistemas por diversas razones. La razón número uno para no hacerlo es porque puede romper las aplicaciones existentes que se construyeron internamente. Todos hemos oído eso antes, organizaciones que todavía están en versiones no soportadas de Windows.
Una vez más, los directivos se enfrentan al dilema "riesgo frente a recompensa". Si parchean sus sistemas, podría costarles horas de inactividad, recursos, horas y dinero. Pero si no parchean los sistemas, todo sigue como siempre, y solo esperan no ser el próximo objetivo de un ciberataque.
Hablando de ciberataques, el ransomware WannaCry es un gran ejemplo de por qué es fundamental mantener los sistemas parcheados y actualizados. Cuando se descubren vulnerabilidades, los hackers rápidamente intentan construir herramientas que se aprovechen de estas vulnerabilidades e intentan explotar las organizaciones que no han parcheado sus sistemas de esta vulnerabilidad. Microsoft parcheó sus sistemas meses antes de que se lanzara el ransomware WannaCry. Los atacantes crearon WannaCry en un esfuerzo por explotar a aquellas organizaciones que no mantuvieron sus sistemas actualizados, y fueron miles.
Formación en seguridad
El eslabón más débil de cualquier medida de seguridad siempre va a ser el ser humano, y por eso recomiendo eliminar al ser humano de la ecuación siempre que sea posible (como utilizar un gestor de contraseñas centralizado, como Secret Server, en lugar de exigirle que recuerde contraseñas). Aun así, es importante asegurarse de que todos los empleados reciban formación trimestral sobre seguridad. La formación interactiva también es útil, como hacer que los empleados simulen un ataque de phishing para ver cómo responden y poder remediar a los empleados que no superen la prueba.
Los empleados que sigan suspendiendo las pruebas de formación en seguridad deberían correr el riesgo de ser despedidos. Los atacantes siempre están tratando de encontrar los puntos más débiles de una red, y no hay nada mejor que un empleado regular que será víctima de un ataque de phishing o ingeniería social con el fin de obtener acceso a su red.
Simulacros de emergencia de seguridad
Este aspecto se pasa por alto con frecuencia en muchas organizaciones. Muchos equipos informáticos y de seguridad disponen de sistemas de copia de seguridad, procedimientos de recuperación en caso de catástrofe, políticas de emergencia, etc., pero siguen sin ponerlos a prueba en un simulacro real.
Al menos una vez al trimestre, su equipo debería realizar ejercicios que simulen un ataque o un suceso catastrófico para su organización. Pídales que restauren las copias de seguridad y se aseguren de que funcionan, o que cambien todo a los sistemas de conmutación por error en un escenario de recuperación de desastres. Toda la preparación y planificación de los eventos es inútil si no funcionan realmente y si el equipo no está adecuadamente preparado y no tiene experiencia en cómo volver a poner todo en marcha inmediatamente.
¿Cuánto tardaría su organización en sufrir un acto de la naturaleza o un ciberataque? Si no sabe la respuesta, quizá sea el momento de realizar algunos simulacros de emergencia de seguridad.
Documentar, informar y auditar
Documente todo lo que hace, informe sobre el éxito de sus políticas y realice auditorías internas de todos sus sistemas. Aunque no sea una organización sujeta a consideraciones normativas como PCI o HIPAA, sigue siendo muy positivo que se enfrente a auditorías internas cada trimestre. Por último, tampoco programe estas auditorías, llévelas a cabo sin previo aviso. Realizar auditorías sorpresa de sus sistemas garantiza que sus equipos de TI y de seguridad siempre hacen todo lo posible para asegurarse de que siguen las políticas que usted ha establecido.
Esperamos que le hayan resultado útiles, no sólo si es usted un CISO, sino para cualquier persona encargada de dirigir los programas de seguridad y protección de toda su organización.
