La pandemia ha acelerado la transformación digital a un nuevo nivel, pero también ha dejado visible lo vulnerable que están las empresas a nivel tecnológico. Ya tener un firewall y un antivirus no es sinónimo de estar protegidos. Casos de ataques y filtraciones de datos como los realizados en grandes empresas financieras (bancos y cooperativas) y entidades del gobierno a nivel nacional, así como casos internacionales que casi a diario son noticia han evidenciado que contar con dispositivos de seguridad sin una estrategia de protección completa a todo nivel no es suficiente.
De acuerdo con los datos presentados por el informe de “Estado Actual de la Ciberseguridad 2020 Ecuador” realizado por la revista IT AHORA, para el 90% de empresas participantes en el informe consideran que la ciberseguridad es un riesgo a nivel organizacional. Se evidenció que el 13% de las empresas encuestadas no tienen una persona asignada específicamente a tareas de Seguridad de Información y Ciberseguridad en la organización exceptuando de este porcentaje obviamente a los Banco y Seguros. Dentro del Enfoque para administrar riesgos, el 37% cuenta con un enfoque informal mientras que el 10% no gestiona riesgos de seguridad de información ni ciberseguridad. Dentro de los principales servicios de ciberseguridad gestionados por terceros, el 56 % tiene un servicio de monitoreo de eventos de seguridad y ciberseguridad, 53% Servicios de gestión de vulnerabilidades, 34% servicios de gestión de incidentes, entre otros.
Con base a lo expuesto en el informe podemos ver que existen factores con los cuales podemos sentirnos identificados:
- Las soluciones de seguridad están desactualizadas u obsoletas, no permiten una protección completa sobre la superficie vulnerable
- No se cuenta con personal o departamentos de TI para una administración adecuada de las soluciones de seguridad
- El control adecuado sobre el crecimiento de aplicaciones e infraestructura fuera del perímetro de las empresas
- El aumento de modalidades de tele-trabajo o home-office y la dificulta de una gestión adecuada de la seguridad
- La creciente necesidad de evolución del negocio hacia nuevas modalidades de comercialización de productos basados en sitios transaccionales y no convencionales
- La falta de control sobre el activo más importante de las empresas que es la información y sobre la cual ya existe una ley de protección de datos personales que lo estaremos abordando en otro blog.
- La falta de capacitación y concienciación al usuario final que si bien es considerado el eslabón más débil de la cadena, también es el más importante.
Existen varios frameworks, estándares, marcos regulatorios y buenas prácticas tales como NIST, COBIT, ISO 2700, CIS CONTROL, PCI, entre otras, que son un conjunto predefinido de políticas y procedimientos definidos por las principales organizaciones de ciberseguridad para mejorar las estrategias de seguridad de la información en un entorno empresarial, y están documentadas para el conocimiento teórico y los procedimientos de implementación práctica.
En este caso, los controles CIS son un conjunto de acciones priorizadas desarrolladas por una comunidad de TI global. Actualmente los especialistas en seguridad tanto del sector público como del privado han utilizado este conjunto de mejores prácticas para mejorar la postura de ciberseguridad de su organización.
Los controles de CIS han sido madurados por una comunidad internacional permitiendo la mejora continua de sus controles basados en:
- personas que comparten información sobre ataques y atacantes, identificar causas raíz y traducir eso en tipos de acciones defensivas;
- documentar historias de adopción y compartir herramientas para resolver problemas;
- dar seguimiento a la evolución de las amenazas, las capacidades de los adversarios y los vectores actuales de intrusiones;
- mapear los Controles de CIS a los marcos regulatorios y de cumplimiento, y dar prioridad colectiva y centrarse en ellos;
- Identificar problemas comunes (como la evaluación inicial y los mapas de ruta de implementación).
Estas actividades aseguran que los Controles CIS no son solo otra lista de buenas prácticas, sino un conjunto de acciones priorizadas y altamente focalizadas que tienen una red de soporte comunitario para hacerlas implementables, utilizables, escalables y compatibles con todos los requerimientos de seguridad gubernamental o industrial.
En el marco de la realidad actual y donde la transformación digital ha dado un salto es muy importante que las empresas conozcan cual es el estado de madurez en el que se encuentran, que tan vulnerables están y como mitigar estas vulnerabilidades. Una evaluación basado en CIS CONTROL nos permitirá tener esta visibilidad y poder desarrollar un mapa de ruta eficiente de cara a la protección de la organización a nivel global.
«Existen dos tipos de empresas: aquellas que han sido atacadas y aquellas que no saben que lo han sido», John Chambers, ex CEO de Cisco