Per Maria González, Responsable Tècnica Àrea Ciberseguretat
La preocupació per mantenir fora de perill la informació i la resta d’actius de l’empresa s’està convertint en un repte inabastable que estressa als CISO, Responsables de seguretat i Directors de TI. Notícies diàries de robatoris de dades, denegacions de servei, segrest de dades a través de xifrat (ransomware) generen tant a empreses com a ciutadans inseguretat, desconfiança i fins i tot psicosi.
L’aplicació de mesures de seguretat a mínims ja sigui per desconeixement, per manca de recursos o de pressupost i hackers cada vegada més sofisticats analitzant dia rere dia com millorar les seves tècniques i com obtenir el major benefici, generen que les empreses sempre se sentin un esglaó o diversos per sota sense arribar mai a tenir el control i la maduresa suficients per enfrontar-se a possibles incidents / atacs de seguretat.
Hi ha qui opina, “per què posar mesures de seguretat si ho aconseguiran igual?” Per contra, hi ha qui diu “com més impediments posem, més difícil ho tindran”.
El símil és fàcil, l’empresa casa nostra. No volem que entrin a robar a casa, per la qual cosa intentem aplicar diferents mesures de seguretat: tanquem amb clau la porta, en alguns casos amb dos panys, en altres afegim una alarma i fins i tot porter / vigilant de seguretat a la finca. Els expliquem als nostres fills que hi ha unes normes, “tanca la porta amb clau, connecta l’alarma, no deixis les finestres obertes, si perds les claus avisa per canviar el forrellat …”. Si ho extrapolem a l’empresa necessitem mesures de seguretat tècniques com són contrasenyes robustes, doble o múltiple factor d’autenticació, xifrat, solucions de seguretat com ara tallafocs, antivirus, NAC, WAF, IRM, DLP etc i polítiques, normatives i procediments que ens especifiquin com treballar protegint la informació.
Com aborden en l’actualitat les empreses aquesta problemàtica? Si ho simplifiquem en tres tipologies d’acord amb la implicació de la Direcció, pressupostos i recursos, podem resumir:
Les que aconsegueixen tenir un suport més gran de la Direcció contemplen projectes globals començant per la definició del Pla Director de Seguretat o un servei d’Oficina Global de Seguretat, tots dos tenen un objectiu comú que és establir el pla d’acció per a posteriorment implantar-lo i mantenir-lo i així iniciar , millorar i optimitzar totes les mesures de seguretat des de la part de polítiques, normatives i procediments fins a la més tècnica com un servei de detecció i resposta a incidents seguretat (MDR) i / o més específiques com pot ser una solució de recol·lecció i anàlisi de logs o una eina per a anàlisi de vulnerabilitats.
Una segona tipologia d’empresa es centra a aconseguir un major nivell de seguretat basant-se en el compliment i adequació a normatives, lleis o estàndards com ISO27001 (Sistema de Gestió de Seguretat de la Informació), ENS (Esquema Nacional de Seguretat), RGPD (Reglament general de Protecció de Dades), PCI-DSS (Payment Card Industry Data Security Standard), ISO22301 (Sistema de gestió de Continuïtat de Negoci), ISO31000 (Sistema de gestió de Riscos) etc.
Finalment, ens trobem amb una tercera tipologia d’empreses que aborda la seguretat a través de projectes més focalitzats en aquelles àrees on tenen major preocupació. El seu objectiu en molts casos és comprovar si el disseny de la seva infraestructura de seguretat i comunicacions és l’òptim, si les configuracions dels equips o la identificació, autenticació i permisos dels usuaris són els adequats per no generar gaps de seguretat i en especial, la major inquietud i curiositat que tenen moltes empreses i que fa que sigui un dels projectes més demandats i recurrents, és saber què aconseguiria un hacker realitzant un atac als sistemes, fins on accediria o quina informació aconseguiria treure tant realitzant-lo externament, des de dins de la companyia, a través de la WIFI o de les webs.
El camí per aconseguir un nivell de maduresa adequat i per prendre el control de la seguretat d’una organització és important però cada empresa avaluant la criticitat del seu negoci, necessitats, recursos i “timings” ha d’establir petits i / o grans passos per evitar incidents de seguretat que puguin fins i tot portar al tancament del negoci.