Cómo mantener en un mínimo el riesgo en una organización

  • Artículo
  • 5 minutos para leer

De forma muy similar a la seguridad física, la seguridad de la información se ha definido como una tarea continuada para aplicar los procedimientos y los principios de seguridad correctos y prevenir, en lugar de un estado absoluto y estático. La reducción de los riesgos del programa de seguridad debe estar en línea con el objetivo de la organización y se estructura en torno a tres direcciones estratégicas clave:

  • La creación de resistencia en la estrategia de ciberseguridad

  • El aumento estratégico del esfuerzo por parte del atacante

  • La contención táctica del acceso de los atacantes.

Resistencia

La creación de resistencia de ciberseguridad en una organización requiere un equilibrio entre las inversiones en todo el ciclo de vida de la seguridad, la aplicación diligente de mantenimiento, la respuesta inmediata a las anomalías y las alertas para evitar que descienda la garantía de seguridad y el diseño de una defensa en profundidad con la aplicación de mínimos privilegios.

El equilibrio de las inversiones le ayudará tanto a evitar los ataques de ciberseguridad como a restaurar las operaciones normales con rapidez en caso de que se produzca un ataque. Al invertir en ambos, se reducirá el riesgo al que se enfrenta su organización. Las funciones del NIST se corresponden bien con estos dos objetivos:

  • Identificar y proteger: conocer su postura y sus atacantes, e invertir en el establecimiento y la mejora de los controles para evitar ataques a los datos y sistemas a lo largo del tiempo. Un enfoque de defensa en profundidad puede mitigar aún más el riesgo, con controles complementarios diseñados para tratar el posible error del control principal (por ejemplo, suponiendo que los controles de red no funcionarán e implementando diversas protecciones para la seguridad de los datos y puntos de conexión).

  • Detectar, responder y recuperar: esté atento para que, cuando los atacantes obtengan acceso a los sistemas y a los datos, pueda detectarlos con rapidez y restaurar las operaciones normales y las garantías de seguridad.

Aumento del costo del atacante

Los ataques de ciberseguridad son planeados y llevados a cabo por atacantes humanos que deben obtener una rentabilidad por dichos ataques (dicha rentabilidad puede ser un beneficio económico o un objetivo pretendido). A medida que invierta en seguridad, debe considerar detenidamente cómo puede perjudicar el retorno de la inversión del atacante con sus inversiones en estrategias de defensa.

La mejor manera de dañar la capacidad de un atacante para que no consiga atacar a su organización es impedir y detectar métodos de ataque sencillos y baratos para que le cueste más lograr su objetivo. De este modo, aumentará rápidamente ese costo mínimo que el atacante debe invertir y le convertirá en un objetivo menos atractivo en general (en especial, para los atacantes a quienes les impulsa el beneficio económico). Algunos atacantes, como los estados nación, tienen recursos considerables para la investigación y la ejecución de sus ataques, pero el aumento de los costos sigue repercutiendo en el número de ataques que pueden perpetrar con la cantidad finita (aunque grande) de talento y el tiempo disponible. A menudo, los atacantes con recursos han invertido en la creación de una biblioteca de ataques avanzados, pero normalmente los reservan hasta que los necesitan porque, de otro modo, corren el riesgo de "quemarlos", al exponerse a que los proveedores y las organizaciones de destino los descubran y los mitiguen. Al evitar los ataques económicos y sencillos, repercute en la eficacia de todos los atacantes y se reduce el riesgo en general.

Se trata de una mentalidad general con muchas aplicaciones posibles, entre las que cabe mencionar las dos siguientes:

  • Criterios de inversión: a medida que considere varias inversiones en seguridad, evalúe si las posibles inversiones reducen el costo general para los atacantes. Por ejemplo, puede plantearse si una inversión en seguridad obliga a un atacante a crear o a comprar una opción más cara. ¿Elimina una de las muchas opciones baratas en el menú de opciones del atacante? ¿O solo elimina un método de ataque costos o inusual?

  • Objetivos de simulación de ataque: a medida que se comprometa con las pruebas de penetración o las actividades de formación de equipos de red, debe centrar estos equipos en la identificación y catalogación de los métodos con el costo más bajo para llegar a los datos esenciales para la empresa, de modo que pueda eliminarlos primero.

Contención del acceso del atacante

Cualquier estrategia de contención debe intentar limitar tanto el tiempo de un atacante como los niveles de privilegios adquiridos dentro de un entorno. La contención es una parte importante de la resistencia y la recuperación. Si un atacante puede escalar privilegios o lograr que nunca lo detecten, su ámbito de daño aumenta.

El riesgo de seguridad real de una organización se ve influenciado en gran medida por el acceso que un adversario pueda obtener a los datos y los sistemas valiosos. Las inversiones deben centrarse en garantizar que las medidas de seguridad restringen la cantidad de acceso que un adversario obtiene al entorno durante una operación de ataque y limitan la cantidad de privilegios o permisos que obtiene un adversario:

El tiempo: limite el período en que el adversario puede tener acceso a su entorno durante una operación de ataque. Para ello, principalmente se requieren operaciones de seguridad que detecten los ataques potenciales con rapidez, dando prioridad a las posibles detecciones. Gracias a esto, su equipo podrá centrarse en investigar rápidamente los ataques reales, frente a los falsos positivos, y reducirá el tiempo medio necesario para corregir esos incidentes reales.
Encontrará más información sobre estos objetivos y las métricas en la sección de operaciones de seguridad.

Privilegio: limite los privilegios y permisos que puede obtener un adversario durante una operación de ataque (por los permisos y por la cantidad de privilegios de tiempo asignados). A medida que los atacantes obtengan más privilegios, podrán acceder a más sistemas y datos que constituyan su objetivo, o bien usar esos sistemas como base para moverse dentro de su entorno. La estrategia de seguridad debe centrarse en contener esos privilegios mediante:

  • Controles preventivos
  • Estrategias de detección, respuesta o recuperación cuya prioridad se determine a fin de centrarse en los recursos esenciales para la empresa y en grandes cantidades de permisos para los activos, por lo general, roles de operaciones de TI.