¿Cómo construir un sistema de seguridad de red estratégico?

La ciberseguridad es la práctica de garantizar la integridad, confidencialidad y disponibilidad de la información. Representa la capacidad de resistir y recuperarse de incidentes de seguridad. Estos incidentes de seguridad incluyen fallas en el disco duro o cortes de energía, así como ciberataques de la competencia. Estos últimos incluyen script kiddies, hackers, bandas criminales capaces de llevar a cabo amenazas persistentes avanzadas (APT) y otros que pueden representar una amenaza grave para una empresa. Las capacidades de continuidad del negocio y recuperación ante desastres son fundamentales para la ciberseguridad (por ejemplo, seguridad de aplicaciones y seguridad de red estrictamente definida).

La seguridad debe ser una prioridad máxima en toda la empresa y la alta dirección debe hacerla cumplir. La fragilidad del mundo de la información en el que vivimos hoy también requiere una sólida estrategia de control de la ciberseguridad. Los gerentes deben comprender que todos los sistemas están diseñados según ciertos estándares de seguridad y que los empleados deben recibir la capacitación adecuada. Por ejemplo, todo código puede tener vulnerabilidades, algunas de las cuales son fallas de seguridad críticas. Después de todo, los desarrolladores son humanos y cometen errores.

Formación en seguridad

Las personas suelen ser el eslabón más débil de un plan de ciberseguridad. Capacite a los desarrolladores para que codifiquen de forma segura, capacite al personal de operaciones para priorizar perfiles de seguridad sólidos, capacite a los usuarios finales para que reconozcan correos electrónicos de phishing y ataques de ingeniería social; en resumen, la ciberseguridad comienza con la concientización.

Sin embargo, incluso con fuertes controles de ciberseguridad, todas las organizaciones siguen siendo vulnerables a algún tipo de ciberataque. Los atacantes siempre explotarán el eslabón más débil, pero muchos ataques se pueden prevenir fácilmente realizando algunas tareas de seguridad básicas (a veces llamadas "higiene cibernética"). A los cirujanos nunca se les permite entrar al quirófano sin lavarse las manos. Asimismo, las organizaciones tienen la responsabilidad de realizar tareas básicas para mantener la seguridad de la red, como mantener prácticas de autenticación sólidas y no almacenar datos confidenciales donde el público pueda acceder a ellos.

Sin embargo, una buena estrategia de ciberseguridad requiere más que estas prácticas básicas. Un hacker experto puede eludir la mayoría de las defensas y superficies de ataque, y para la mayoría de las organizaciones, el número de formas o "vectores" que tienen los atacantes para comprometer los sistemas aumenta constantemente. Por ejemplo, a medida que la información se fusiona cada vez más con el mundo real, los delincuentes y los grupos de espionaje estatales amenazan la ICA de los sistemas físicos en red, como automóviles, plantas de energía, dispositivos médicos e incluso refrigeradores de IoT. Del mismo modo, la omnipresente computación en la nube, el sistema BYOD (traiga su propio dispositivo) y las crecientes tendencias de Internet de las cosas (IoT) han creado nuevos desafíos de seguridad. La defensa de la seguridad de estos sistemas se ha vuelto particularmente importante.

Otra manifestación destacada de una mayor complejidad en la ciberseguridad es el entorno regulatorio que rodea la privacidad del consumidor. Cumplir con marcos regulatorios estrictos, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, también requiere la asignación de nuevos roles para garantizar que las organizaciones puedan cumplir con los requisitos de privacidad y seguridad del GDPR y otras regulaciones.

Como resultado, la demanda de profesionales de la ciberseguridad ha comenzado a crecer aún más y los gerentes de contratación están trabajando arduamente para seleccionar a los candidatos adecuados para cubrir las vacantes. Pero el desequilibrio actual entre oferta y demanda requiere que las empresas se centren en áreas donde el riesgo es mayor.

Tipos de ciberseguridad

El alcance de la ciberseguridad es muy amplio, pero las áreas centrales son las siguientes, y cualquier organización debe prestar mucha atención a estas áreas centrales e incorporarlas en sus estrategia de ciberseguridad:

p>

1. Infraestructura crítica

La infraestructura crítica consiste en los sistemas de redes físicas de los que depende la sociedad, incluidas redes eléctricas, sistemas de purificación de agua, señales de tráfico, y sistemas hospitalarios. Por ejemplo, las centrales eléctricas son vulnerables a los ciberataques cuando están conectadas a Internet. Para las organizaciones responsables de la infraestructura crítica, la solución es hacer su debida diligencia para asegurarse de comprender y protegerse contra estas vulnerabilidades. Otros también deberían evaluar el impacto sobre ellos mismos si la infraestructura crítica de la que dependen está sujeta a un ciberataque y luego desarrollar planes de contingencia.

2. Seguridad de la red (sentido estricto)

La seguridad de la red requiere la capacidad de prevenir intrusiones no autorizadas y personas internas maliciosas. Proteger su red a menudo implica sopesar los pros y los contras. Por ejemplo, los controles de acceso, como inicios de sesión adicionales, pueden ser necesarios por motivos de seguridad, pero también pueden reducir la productividad.

Las herramientas utilizadas para monitorear la seguridad de la red generan grandes cantidades de datos, pero las alertas válidas a menudo se pasan por alto debido al volumen de datos generados. Para gestionar mejor la supervisión de la seguridad de la red, los equipos de seguridad utilizan cada vez más el aprendizaje automático para detectar tráfico anómalo y generar alertas de amenazas en tiempo real.

3. Seguridad en la nube

Cada vez más empresas están migrando datos a la nube, lo que también plantea nuevos desafíos de seguridad. Por ejemplo, en 2017 hubo informes casi semanales de violaciones de datos debido a instancias de nube mal configuradas. Los proveedores de servicios en la nube están desarrollando nuevas herramientas de seguridad para ayudar a los usuarios empresariales a proteger mejor sus datos, pero una advertencia: pasar a la nube no es una panacea para hacer la debida diligencia en materia de ciberseguridad.

4. Seguridad de aplicaciones

La seguridad de aplicaciones (AppSec), especialmente la seguridad de aplicaciones web, se ha convertido en el eslabón más débil de las tecnologías de ataque, pero pocas organizaciones pueden mitigar por completo todas las 10 vulnerabilidades web principales de OWASP. . La seguridad de las aplicaciones debe comenzar con prácticas de codificación segura y reforzarse mediante pruebas difusas y pruebas de penetración.

El rápido desarrollo y despliegue de aplicaciones en la nube ha impulsado a DevOps a convertirse en una disciplina emergente. Los equipos de DevOps suelen priorizar las necesidades empresariales por encima de la seguridad, pero a medida que proliferan las amenazas, este enfoque puede cambiar.

5. Seguridad del Internet de las Cosas (IoT)

El Internet de las Cosas se refiere a una variedad de sistemas físicos en red críticos y no críticos, como electrodomésticos, sensores, impresoras, y cámaras de seguridad. Los dispositivos de IoT a menudo quedan inseguros y ofrecen pocos parches de seguridad, lo que amenaza no solo a los usuarios sino también a otras personas en Internet, ya que estos dispositivos suelen ser utilizados por actores maliciosos para crear botnets. Esto crea desafíos de seguridad únicos para los usuarios domésticos y la sociedad.

Tipos de ciberamenazas

Las ciberamenazas comunes incluyen las siguientes tres categorías:

Ataques de confidencialidad

Muchos ciberataques incluyen Esto incluye un una amplia variedad de ataques criminales, como fraude con tarjetas de crédito, robo de identidad o robo de una billetera Bitcoin, comenzando con el robo o la copia de la información personal de un objetivo. El espionaje estatal también utiliza como parte importante de su trabajo ataques clasificados, intentando obtener información clasificada que involucre intereses políticos, militares o económicos.

Ataques a la integridad

En general, los ataques a la integridad están diseñados para interrumpir, dañar o destruir información o sistemas, y a las personas que dependen de esa información o sistemas. Los ataques a la integridad pueden ser sutiles, con manipulación y destrucción a pequeña escala, o catastróficos, con daños a gran escala al objetivo. El atacante puede ser un script kiddie o una organización de espionaje estatal.

Ataques de disponibilidad

Evitar que los objetivos accedan a los datos son las formas más comunes de ransomware y ataques de denegación de servicio (DoS) en la actualidad. El ransomware normalmente cifra los datos en el dispositivo de destino y exige un rescate para descifrarlos. Un ataque de denegación de servicio (DoS), a menudo en forma de ataque de denegación de servicio distribuido, inunda un objetivo con solicitudes, inmovilizando recursos de la red y haciéndolos no disponibles.

Cómo se llevan a cabo estos ataques:

1. Ingeniería social

Si un atacante puede encontrar un punto de entrada directamente desde un ser humano, entonces él o ella no puede Requiere una laboriosa piratería de equipos informáticos. El malware de ingeniería social, que suele utilizarse para distribuir ransomware, es el ataque número uno (a diferencia de los desbordamientos del búfer, las configuraciones erróneas o los exploits avanzados). La ingeniería social permite engañar a los usuarios finales para que ejecuten programas troyanos, a menudo desde sitios web en los que confían y que visitan con frecuencia. La formación continua de los usuarios en materia de seguridad es la mejor defensa contra este tipo de ataques.

2. Ataques de phishing

Basándonos en la práctica exitosa de los ataques de phishing, a veces la mejor manera de robar la contraseña de otra persona es engañarla para que la proporcione ellos mismos. Incluso los usuarios inteligentes que están bien capacitados en seguridad pueden ser vulnerables a ataques de phishing.

Es por eso que la autenticación de dos factores (2FA) es la mejor protección: sin un segundo factor (como un token de seguridad de hardware o un autenticador de token de software en el teléfono del usuario), las contraseñas robadas no tendrán sentido para el atacante.

3. Software sin parches

Puede resultar difícil culpar a su organización si un atacante lanza una vulnerabilidad de día cero contra usted, pero si la organización no instala parches, parece que sí. no ha hecho lo suficiente para cumplir con sus responsabilidades. Si una vulnerabilidad lleva meses o incluso años siendo revelada y una empresa no ha instalado parches de seguridad, inevitablemente será acusada de negligencia. ¡Así que recuerda parche, parche, parche y di cosas importantes tres veces!

4. Amenazas en las redes sociales

El término "phishing" generalmente se refiere a ocultar la propia identidad en un entorno en línea e impresionar a los demás diseñando cuidadosamente una imagen en línea de alta calidad. impresión profunda, especialmente con la intención de atraer a otros a una relación romántica. Sin embargo, los "trucos" no aparecen sólo en el panorama de las citas. Las cuentas "caballo" de confianza pueden propagar "problemas" a través de la red LinkedIn. ¿Le sorprendería que alguien que conociera bien a sus contactos profesionales se acercara para charlar con usted sobre su trabajo? Como dice el refrán, "La desgracia viene de la boca". Espero que las empresas y los países se tomen más en serio el espionaje de las redes sociales.

5. Amenazas persistentes avanzadas (APT)

El espionaje estatal involucra no sólo a países y organizaciones gubernamentales, sino también a empresas. Así que no se sorprenda si hay múltiples ataques APT jugando al escondite en la red de su empresa. Si su empresa se dedica a tener una participación duradera en alguien o en cualquier lugar, entonces debe considerar la postura de seguridad de su empresa y cómo responder a ataques APT sofisticados. Esto es especialmente cierto en la industria tecnológica, que está plagada de valiosa propiedad intelectual que ha sido el objetivo de muchos delincuentes y espías estatales.

Carreras en ciberseguridad

Ejecutar una sólida estrategia de ciberseguridad también requiere el talento adecuado. La demanda de talento profesional en ciberseguridad, incluidos ejecutivos de nivel C e ingenieros de seguridad de primera línea, nunca ha sido tan alta. A medida que las empresas se vuelven más conscientes de la protección de datos, los líderes de seguridad se están trasladando a la alta dirección y a las salas de juntas. El director de seguridad (CSO) o el director de seguridad de la información (CISO) se ha convertido ahora en un puesto de gestión central que cualquier organización formal debe tener.

Además, los roles se han vuelto más especializados. Atrás quedaron los días del analista de seguridad promedio. Hoy en día, los evaluadores de penetración pueden centrarse en la seguridad de las aplicaciones, la seguridad de la red o aumentar la conciencia sobre la seguridad entre los usuarios de phishing. La respuesta a incidentes las 24 horas del día, los 7 días de la semana, también está comenzando a ser algo común. A continuación se detallan algunos roles básicos dentro de un equipo de seguridad:

1. Director de seguridad de la información/Director de seguridad

El CISO es un ejecutivo de nivel C responsable de supervisar el departamento de seguridad de TI de la organización. y otros comportamientos operativos relacionados del personal. Además, el CISO es responsable de dirigir y gestionar la estrategia, las operaciones y los presupuestos para garantizar la seguridad de los activos de información de la organización.

2. Analista de Seguridad

Un analista de seguridad también es conocido como analista de seguridad de redes, analista de seguridad de datos, analista de seguridad de sistemas de información o analista de seguridad de TI. Esta función suele tener las siguientes responsabilidades:

Planificar, implementar y actualizar medidas y controles de seguridad;

Proteger los archivos digitales y los sistemas de información contra el acceso, la modificación o la destrucción no autorizados.

Mantener datos y monitorear el acceso seguro;

Realizar auditorías de seguridad internas/externas;

Administrar la red, los sistemas de protección y detección de intrusiones; analizar las vulnerabilidades de seguridad para determinar su implementación y su causa raíz; ;

Definir, implementar y mantener políticas de seguridad empresarial;

Coordinar planes de seguridad con proveedores externos;

3. Arquitecto de seguridad

Un buen arquitecto de seguridad de la información debe poder trabajar tanto en el ámbito empresarial como en el técnico.

Si bien esta función puede variar según los detalles de la industria, también es un puesto de nivel superior responsable principalmente de planificar, analizar, diseñar, configurar, probar, implementar, mantener y respaldar la infraestructura de seguridad de redes y computadoras de una organización. Esto requiere que los arquitectos de seguridad comprendan completamente el negocio de la organización y sus necesidades de tecnología e información.

4. Ingeniero de Seguridad

El trabajo de un ingeniero de seguridad es proteger los activos de la empresa de las amenazas en primera línea. El ingeniero de seguridad de TI es un puesto relativamente nuevo que se centra en el control de calidad de la infraestructura de TI. Esto incluye diseñar, construir y proteger sistemas escalables, seguros y robustos; operar sistemas y redes de centros de datos; ayudar a las empresas a comprender las amenazas cibernéticas avanzadas y ayudar a las empresas a desarrollar estrategias de ciberseguridad para proteger estas redes;