La ciberseguridad ha pasado a ser una cuestión clave de la transformación digital de las empresas, y para conocer las claves en esta materia, hablamos con nuestro partner, ITS Security. Responden Miguel Tubia, responsable de operaciones ciberseguridad-CERT, y José Ahedo, responsable del área de Compliance.
¿Por qué una empresa debe contar con una estrategia de ciberseguridad? ¿Cuáles son los requisitos mínimos que esta estrategia debe incluir? 
La ciberseguridad es un proceso en continua evolución. La aparición de nuevas amenazas, e incluso las derivas del propio negocio de las organizaciones, hacen que varíen los riesgos a los que deben enfrentarse las empresas.
Sin una estrategia de ciberseguridad firme y con apoyo de la dirección, la adaptación de las empresas a estos cambios se produce muy lentamente y de forma caótica. Esto deja muchas oportunidades para que se produzcan fallos de seguridad. Estos fallos se pueden materializar desde ataques no dirigidos (distribución de malware), ataques dirigidos (fraudes) o simplemente errores del sistema que deriven en fallos de disponibilidad.
Ahora bien, la definición de la estrategia de ciberseguridad no debería realizarse de forma estandarizada, sino que debería adaptarse al contexto de la empresa. Entre otros aspectos debería considerar su visión, misión, metas y objetivos, su estructura interna, la normativa aplicable, las relaciones con terceros, así como el mapa de riesgos que afecta a la organización. Es decir, se deben conocer los activos a proteger, las amenazas que los afectan, y los requisitos de seguridad que deben aplicarse para satisfacer a todas las partes y alcanzar los resultados esperados. Hoy en día hay muchas empresas que no cuentan con inventarios completos y actualizados de activos, y por tanto no tienen bajo control su protección.
Es también muy importante implantar una cultura de la ciberseguridad y que se conciba como un proceso continuo. Cuando se planifique la implantación de un sistema de seguridad, ya sea tecnológico o de gestión, hay que tener en cuenta que el riesgo no se elimina de forma permanente y general al implantar dicho sistema. Tenemos que supervisar los elementos del ecosistema de seguridad, monitorizarlos y evolucionarlos. Por desgracia, es muy común realizar inversiones en ciberseguridad para luego no revisar si los controles son efectivos, o si saltan alarmas. Por ejemplo, si ponemos un Firewall nuevo, luego debemos revisar los logs para ver si las reglas y tecnologías que tiene el Firewall han encontrado algún riesgo que debamos mitigar.
¿Cuáles son en la actualidad los principales riesgos cibernéticos? ¿Y los más comunes?
En estos momentos gran parte de los incidentes que sufren las empresas tienen por origen ataques de phising que derivan en operaciones fraudulentas. Un atacante consigue meterse en medio de una conversación entre dos organizaciones en la que se está planeando un pago importante, y justo antes de que se ejecute la operación comercial suplanta la identidad de una de las partes mediante un correo en el que solicita que el pago se realice en otro número de cuenta bancaria. La organización víctima no se da cuenta que es un engaño, que el correo no es auténtico, y realiza el pago sin sospechar nada. Cuando se dan cuenta, el dinero ya ha desaparecido de la cuenta y está en poder de los criminales.
Otros de los principales riesgos actuales en el ransomware. Por lo general, estos no suelen deberse a ataques dirigidos, sino que se inician tras la ejecución de ficheros infectados descargados de internet por los usuarios, o que han sido remitidos de forma masiva y sin criterio al correo de éstos. Si no se dispone de las medidas adecuadas, estos ataques pueden conllevar una parada de la infraestructura tecnológica de una fábrica y por tanto de su operación. Incluso, como se puede ver en las noticias últimamente, pueden tener una grave afección sobre los servicios esenciales de ciudad entera y suponer una pérdida irremediable de datos.
No hay que olvidarse de nombrar un riesgo que, quizás no está en la lista de los más críticos, pero es el más común que detectamos en nuestro SOC. Es el uso inadecuado de los sistemas de información por parte de los usuarios. La instalación de software no autorizado o el acceso a sitios Web no relacionados con el negocio y potencialmente peligrosos son ejemplos de acciones potencialmente peligrosas. Estas acciones, en muchos casos, vienen acompañadas de la instalación de software malicioso que puede poner en riesgo a toda la organización.
ITS Security es referencia en esta área, ¿cuáles son las tecnologías protagonistas en materia de ciberseguridad?
Los riesgos relacionados con las nuevas tecnologías no paran de crecer, pero aun así podríamos aseverar que un buen número de organizaciones y usuarios no son plenamente conscientes de las amenazas a las que, absolutamente todos, estamos expuestos.
Ante este riesgo global, es indispensable contar con las herramientas tecnológicas necesarias para hacer frente a estas amenazas, soluciones que sean capaces de contrarrestar ataques cada vez más sofisticados. Sin embargo, la ciberseguridad va mucho más allá de la tecnología. La postura de seguridad para hacer frente a los ciberriesgos no puede estar meramente centrada en las tecnologías de la información.
Cada amenaza de ciberseguridad es muy distinta, y es necesario coordinarse para dar una respuesta exitosa. Y para lograrlo, es imprescindible entender lo que está sucediendo, quién está detrás de la amenazas y por qué; hay que recurrir a profesionales con el conocimiento suficiente para gestionar estos ciberriesgos. Expertos que sean capaces de capitalizar la información fruto de su experiencia obtenida en diversos escenarios de ciberataques, y utilizarla como punto de partida en el siguiente. Y que, por supuesto, sepan apoyarse en la tecnología adecuada.
Pero si nos centramos únicamente en hablar de tecnología, lo cierto es que hoy en día el concepto de amenaza sigue estando muy presente. Hemos evolucionado de un cliente que únicamente buscaba proteger el perímetro, hacia la anticipación y la observación de los riesgos con el fin de prevenir los ataques.
Las estrategias de defensa proactiva y el uso de técnicas de ciberinteligencia avanzada contra amenazas, proporcionan un punto de partida muy robusto para resistir a gran parte de los métodos de ataque más sofisticados. Es importante saber reaccionar apropiadamente ante un incidente de seguridad, pero nuestro objetivo tiene que ser impedir que éstas se materialicen, y que, en el caso de que ocurran, su impacto sea mínimo.
Debemos entender el problema para afrontar los riesgos de ciberseguridad de forma óptima.
En primer lugar, debemos conocer cuál es nuestro nivel de ciberseguridad. Para ello, es imprescindible realizar un análisis de situación interna y de vulnerabilidades que nos permita conocer nuestro nivel real de ciber-resiliencia, a partir del cual desarrollar y ejecutar un plan de remediación que permita corregir las fallas identificadas.
Para conseguir alcanzar esa postura de seguridad real en nuestros clientes, es necesaria la correcta orquestación de diferentes soluciones.
En este aspecto, las soluciones puntuales siguen siendo un elemento clave de resiliencia en ciberseguridad, con herramientas que incluyen software antivirus, seguridad perimetral, sistemas antimalware y sistemas NAC (Network Access Control), detección y monitorización de ciberamenazas a través de SIEM, detección de intrusos y sistemas de protección (IDS e IPS), sistemas DLP (Data Lost Prevention), CASB (Cloud Access Security Manager) o IRM (Integrated Risk Management) en torno a la protección de la información corporativa, BAS (Breach and Attack Simulation) y un largo etcétera.
Por supuesto, toda esta tecnología debe ir apoyada en los servicios más avanzados de monitorización de riesgos de seguridad y respuesta a incidentes a través del SOC de ITS, miembro del principal foro internacional de Equipos de Respuesta (FIRST), del foro europeo TF-CSIRT, y del foro nacional CSIRT.es.
Unido a la aplicación de técnicas de ciberinteligencia avanzada contra amenazas desde nuestra unidad experta, Unit71 – Threat Intelligence Team. Unit71 reúne, investiga, analiza y proporciona información sobre las últimas amenazas en ciberseguridad IT y ciberseguridad industrial OT.
Adicionalmente, no hay que olvidar que la mejor defensa es el sentido común y las buenas prácticas. Tareas de formación y concienciación siempre deben ser necesarias y complementarias al despliegue de soluciones de seguridad.
Y a nivel normativo ¿qué debe hacer cualquier compañía para cumplir con la legislación?
El primer paso que debe dar una organización para el cumplimiento es realizar una identificación de las normativas que le aplican por el tipo de actividad que realiza, la información que trata y sus relaciones con terceras partes.
Puesto que el tratamiento de datos personales va intrínseco a los negocios al estar soportados por personas físicas y dirigido en ocasiones a éstas, una organización esté sujeta al cumplimiento de la normativa aplicable en materia de protección de datos. En Europa haríamos referencia al Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés), pero también deberíamos considerar la normativa estatal complementaria que desarrollará aspectos no determinados en éste. En España aplicaría la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
Hay que tener en cuenta que ambas normativas prácticamente no incluyen un desarrollo de su apartado más técnico y, requiriendo una gestión proactiva del riesgo, sugieren la aplicación de las medidas de seguridad tomando de referencia normas más técnicas como son la ISO27001 (sobre Sistemas de Gestión de Seguridad de la Información), y el Esquema Nacional de Seguridad (ENS), en el ámbito privado y público, respectivamente. Es importante mencionar que si una organización presta servicios de la información a organismos públicos estará sujeto al cumplimiento del ENS con un nivel de seguridad que vendrá marcado por la categorización de los sistemas que soportan los servicios ofrecidos a la ciudadanía por el correspondiente organismo.
De igual forma, si una empresa hace uso de medios electrónicos para el desarrollo de su negocio (algo habitual, aunque no tengan un negocio online) deberá tener en cuenta la normativa que protege la privacidad, como es el reglamento europeo e-Privacy y en España la Ley de la Sociedad de Servicios de la Información y el Comercio Electrónico (LSSICE o LSSI). En el caso de que las operaciones del negocio conlleven el procesamiento de datos de titulares de tarjetas bancarias, deberán considerar también la adecuación a Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS. Dicho estándar es muy exigente en cuanto a la aplicación técnica de medidas en favor de garantizar un alto nivel de seguridad.
En el caso de que la empresa esté prestando un servicio esencial para la ciudadanía (como puede ser el suministro de energía, aguas o transporte) y sea identificado por el Estado como un operador crítico para alguna de sus infraestructuras, ésta deberá adaptarse a la Ley de Protección de Infraestructuras Críticas (LPIC). Adicionalmente, tanto los operadores críticos como operadores de servicios digitales que presten servicios dependientes de redes y sistemas de información (cualidades globalizadas estos días) deberán cumplir con unos requerimientos determinados en la Directiva NIS y el Real Decreto-ley 12/2018 que la transpone en España, los cuales variarán en función del grado de riesgo de la actividad que desempeñen.
Las anteriores son solo algunas de las obligaciones que pueden aplicar a nuestro negocio, y que, considerando la globalización de los mercados y la evolución de los sectores y la tecnología, puede conllevar la necesidad de adaptarse a otros estándares impuestos por las instituciones de otros estados u otros organismos. Se dibuja por tanto la necesidad de realizar un análisis de nuestra situación y definir una hoja de ruta para un adecuado cumplimiento.
