La seguridad informática es uno de los puntos más sensibles en la organización empresarial y en los últimos años se han aumentado los esfuerzos para reforzarla a través de controles que buscan detectar y bloquear amenazas. Sin embargo, en muchas ocasiones, los equipos no tienen un conocimiento acabado del estado de seguridad de la organización. A veces hay una “confianza ciega” en los sistemas de ciberseguridad, pero no se sabe con precisión qué zonas de la infraestructura están verdaderamente protegidas y dónde están los puntos débiles.
Es importante entender también el contexto actual de las compañías resultado en parte de la pandemia por el Covid-19, en donde el perímetro se corrió hacia el endpoint. Toda la visibilidad que se construyó en años del lado de la compañía hoy queda relegada si no se obliga al endpoint a conectarse a la infraestructura segura.
Quizás le interese seguir leyendo: Tendencias de seguridad para el 2021 según nuestros expertos
En el siguiente artículo le contamos algunos de los pasos a seguir para tener una mirada más amplia del estado de seguridad de la organización y realizar una eficiente gestión de las vulnerabilidades. Un análisis de este tipo le ayudará a tener un conocimiento profundo y así evitar incidentes de seguridad en un futuro.
La inversión en ciberseguridad superó a otros segmentos de la industria de TI en 2020, con un crecimiento del 10%. Sin embargo, la continuidad del negocio y la productividad de la fuerza laboral prevalecieron sobre la seguridad durante la pandemia. Esto provocó una crisis de violación de datos: en solo 12 meses hubo más registros comprometidos que en la suma de los 15 años anteriores.
Fuente: Canalys
Preguntas para un diagnóstico
Una técnica muy útil para empezar a hacer un diagnóstico ampliado del estado de seguridad y conocer las posibles amenazas informáticas es hacerle preguntas al propio sistema de protección. Las respuestas les darán un panorama claro. ¿Qué clase de preguntas podemos hacer? Algunos ejemplos:
- ¿Cuántos assets en la red poseemos y como está segmentada la red?
- ¿En qué sistemas se están haciendo escaneos?
- ¿Qué controles se encuentran implementados en el firewall aplicativo? ¿Cuáles sistemas cuentan con un Endpoint Detection and Response (EDR)? ¿Cuáles no lo tienen?
- ¿Fueron escaneados todos los servidores del perímetro? ¿Cuándo? ¿Qué vulnerabilidades tienen?
- ¿Está configurada la capacidad de mirar tráfico cifrado en el firewall?
- ¿Qué aplicaciones se encuentran instaladas en los equipos personales? ¿Qué nivel de parchado tienen?
Algunas de estas preguntas pueden tener respuestas parciales o quizá no las tengan, pero el hecho de formularlas abre la puerta a una mejora de las condiciones de seguridad y prevenir ciberataques. Es preferible hacer estas preguntas antes, que en el momento de un incidente donde la urgencia apremia y las respuestas llegan demasiado tarde.
Sigue leyendo: Monitoreo y detección: cuando la prevención falla
Inventarios y mapeo de los activos
La información recolectada a partir de las preguntas y respuestas dará visibilidad y se puede encarar un segundo paso, que es conocer los activos de red. La recomendación de los expertos es realizar un inventario y un mapeo de todos estos activos para reconocer la cobertura y puntos débiles. Por ejemplo, el equipo de seguridad corporativa puede implementar sistemas de EDR, pero si se detecta que solo hay un 60% de cobertura dará la pauta para trabajar en el 40% restante.
También se puede utilizar sistemas de iluminación de la red o por su nombre Continuous Compromise Assessment, que permiten descubrir aquellos activos que salen a internet y que pueden llegar a estar comprometidos.
El inventario no solo debe atender a la seguridad IT, sino que también debe tener en cuenta el estado de protección de las redes de Tecnologías de Operaciones (OT) y del Internet de las Cosas (IoT), que en los últimos años han crecido como blanco de ciberataques.
El 90% de las organizaciones del sector OT ha sufrido al menos un ataque en los últimos años que le ha generado brechas de datos, frenos operativos o disrupciones significativas.
Fuente: Instituto Ponemon
La importancia del Cloud Security Posture Management (CSPM)
Para conocer la protección sobre los entornos en la nube -un aspecto muy importante en tiempos de pandemia y trabajo remoto- se puede usar el Cloud Security Posture Management (CSPM), un sistema que ofrece respuestas a las configuraciones, identificando y remediando riesgos como control de accesos, monitoreo de operacional, respuesta a incidentes y clasificación de activos.
Otro punto importante del diagnóstico ampliado de la seguridad corporativa es conocer el estado de políticas de claves, permisos y credenciales. Esto debe aplicarse tanto a sistemas de negocios, como servidores y Endpoints. En este sentido, los CSPM ofrecen una valiosa información sobre estas configuraciones.
Estado de firewalls
Finalmente, el diagnóstico debe incluir una visibilidad de las configuraciones de los variados sistemas de seguridad de la organización como firewalls, EDR, PAM, firewall aplicativo, AD, etc. Estos sistemas comprenden los muros destinados a defender nuestra red y generalmente han significado inversiones muy grandes en la organización.
Pero no alcanza solo con tenerlos presentes. También hay que configurarlos de forma correcta y con criterios exhaustivos. De lo contrario, se puede tener una falsa sensación de seguridad que costará caro en un ataque.
Un relevamiento para avanzar
Mientras más ojos haya, más seguridad. Estas acciones forman un conjunto de miradas que permiten conocer de forma ampliada la situación en que se encuentra la organización. Lo que se recomienda es trabajar junto a servicios de seguridad de TI para empresas, que son los que pueden saber realmente cuáles son los puntos débiles y solucionarlos a fin de evitar problemas en el futuro.
¿Qué mirada se tiene de la seguridad en su empresa?
¿Se sienten vulnerables frente a las amenazas?
En cualquier caso, podemos ayudarlo.
