Los marcos de ciberseguridad son directrices estructuradas, mejores prácticas y normas diseñadas para ayudar a las organizaciones a gestionar y mejorar su postura de ciberseguridad. Aunque la ciberseguridad pueda parecer compleja, a menudo no es así. Lo mismo ocurre con los marcos: muchos de ellos resultan bastante sencillos una vez que se profundiza en ellos. ¿Cómo entenderlos y utilizarlos en su beneficio? Dušan Kaštan, especialista en ciberseguridad de ESET, ofrece su perspectiva y valiosos consejos.
Comprender los marcos de ciberseguridad: simplificar lo complejo
Cuando la gente piensa en marcos de seguridad, suele asustarse por su complejidad. ¿Qué opinas al respecto?
Quizás, uno de los problemas es que cuando se busca información en Internet, navegar por la plétora de fuentes y encontrar consejos útiles puede ser todo un reto. Muchos artículos con los que te puedes topar intentan resumir marcos de trabajo, pero no son fiables y mezclan datos antiguos con otros nuevos. O juntan marcos que se centran en partes completamente diferentes del negocio y luego le dicen al lector «Ahora elije». Sin embargo, lo más probable es que una organización se beneficie del uso de todos estos marcos a la vez.
El objetivo de los distintos marcos de seguridad es el mismo: proteger la empresa. Pero a menudo intentan alcanzar ese objetivo a través de diferentes pasos. En consecuencia, no debes confiar en un solo marco para proteger tu empresa. Lo ideal es utilizar tres o cuatro de ellos y utilizarlos para proteger la empresa desde múltiples ángulos.
Entonces, si yo fuera propietario de una empresa, ¿por dónde debería empezar con los marcos?
La forma más fácil y práctica de empezar es imaginarse tu propia casa como una pequeña empresa e intentar aplicar el marco allí. Esto es algo que puede hacer cualquiera, no solo los propietarios de empresas. Puede ayudarte a comprender realmente los marcos, ver su alcance y sentir sus efectos.
¿No es esto bastante difícil y quizás innecesario para algunos empresarios, como los que subcontratan las IT de su empresa?
Todo lo contrario. Entender los marcos es importante incluso si subcontratas o utilizas un MSP para la IT de tu empresa. Imagínate que quieres comprar algunos servicios a un MSP, pero ni siquiera sabes cuáles son o qué implican. O que necesitas elegir entre varios servicios, pero no tienes ni idea de cuál es la diferencia entre ellos. No tiene sentido, ¿verdad? Probar los marcos de trabajo por tu cuenta puede ser beneficioso para cualquier empresario y, en efecto, para su empresa.
Los marcos de ciberseguridad se basan en situaciones de la vida real y amenazas comunes. Y como la tecnología es un campo muy dinámico, cambian con el tiempo. Por eso siempre hay que prestar atención a la fecha de publicación y utilizar marcos que estén actualizados.
Pasos prácticos para implantar marcos de seguridad
¿Qué marco es el óptimo para la prueba «casera»?
Un buen punto de partida es el kit de herramientas de ciberseguridad de la GCA. Puede ayudarte en tus primeros pasos en el mundo de los marcos de seguridad. Puedes elegir entre distintos kits de herramientas, en función de si eres un particular, una pequeña empresa, etc. Cada kit de herramientas describe varios aspectos de la ciberseguridad, como el cifrado, la seguridad de las contraseñas, las copias de seguridad, etc. A continuación, te guía para que cubras todos estos aspectos. A continuación, te guía para que cubras todas estas posibles vulnerabilidades, de una en una. Si omites alguno de ellos, sigues siendo vulnerable. Y esto es un problema común.
Por ejemplo, los profesionales de IT a menudo conocen el phishing, por lo que descargan software que puede ayudarles con este problema, pero también hay partes de la ciberseguridad que consideran demasiado complejas y de las que no quieren ocuparse, como el cifrado. Su solución es saltárselas, lo que en última instancia significa que siguen expuestos. Los marcos de ciberseguridad pueden ayudar a los profesionales de IT a ser más sistemáticos y no pasar por alto ninguno de los pasos esenciales.
Cuando se trata de marcos, ¿por dónde empezar?
El CIS tiene una buena guía que puedes seguir. Este marco es especialmente útil para las PYME, pero incluso las grandes empresas pueden beneficiarse de su uso. Tiene varias capas que puedes aplicar, empezando por la primera y haciéndose más compleja a medida que avanzas. La regla principal es cumplir todos los puntos de la primera capa para pasar a la segunda, luego a la tercera, y así sucesivamente. En el caso de las pequeñas empresas, puede que solo sea necesaria la primera capa, pero las grandes empresas pueden -y deben- pasar a la segunda o tercera.
¿Y el marco del NIST?
Éste es un poco más teórico. También es más polifacético. Cuando lo investigas, abarca la evaluación de riesgos, por ejemplo, que no se describe en el marco del CIS. Por otra parte, no es tan instructivo como el CIS. Mientras que el CIS te dice lo que tienes que hacer, el NIST señala algún aspecto de tu seguridad y te dice: «Estas son las cosas que deberías haber cubierto». Si conectamos el marco CIS con el NIST, acabamos con una combinación muy útil. Mientras el NIST te habla de los muchos activos diferentes que deberías asegurar, el CIS puede ser tu guía paso a paso.
Enlaces útiles
Para obtener más información sobre el marco CIS, haz clic aquí.
Para ver las distintas capas y aprender a aplicar el marco CIS paso a paso, haz clic aquí.
Para leer las respuestas a algunas de las preguntas más frecuentes sobre el marco CIS, haz clic aquí.
Para obtener más información sobre el marco del NIST, sus ventajas y posibilidades de aplicación, haz clic aquí.
Volvamos a lo básico. ¿Cómo sería aplicar un marco de seguridad en la realidad?
Bastaría con seguir los pasos descritos por los marcos. Por ejemplo, el marco CIS aconseja empezar con un inventario detallado de los activos. Después, el segundo paso según el marco CIS es el inventario del software. Esto significa que debe preguntarse ¿Qué software utiliza nuestra empresa? ¿Cuántas instancias hay de cada software? ¿Hay aplicaciones sin usar en nuestros dispositivos que no se hayan actualizado recientemente? Cada vulnerabilidad en un dispositivo puede ser potencialmente una vulnerabilidad para toda la empresa, por lo que debería eliminar gradualmente todas las aplicaciones potencialmente inseguras.
Eso es muy útil.
Sí, eso es precisamente lo que quiero decir. Muchos empleados no sienten la necesidad de seguir un marco de seguridad, e incluso los propietarios de empresas a menudo creen que la ciberseguridad es algo en lo que sólo debe centrarse su equipo de IT. Los marcos pueden ser útiles tanto a mayor como a menor escala. Los marcos de ciberseguridad no son sólo un trozo de papel lleno de reglas escritas por algún listo desconocido. Existen para su beneficio, ayudándole a evitar lagunas de seguridad que de otro modo podría pasar por alto. La clave está en aprender a utilizarlos con eficacia.
Errores comunes y vulnerabilidades pasadas por alto en ciberseguridad
¿Cuáles son algunos agujeros de ciberseguridad que las empresas suelen pasar por alto?
Para dar una respuesta precisa a esta pregunta, necesitaría tener acceso a una gran cantidad de datos, cosa que no tengo. Sin embargo, puedo compartir ideas sobre los activos que suelen ser objetivo de los ciberdelincuentes. Parece haber una clara conexión entre estos activos y las vulnerabilidades que se pasan por alto. Los ciberdelincuentes se centran en lo que perciben como los puntos de entrada más fáciles. Pero para llegar a la respuesta, muchos ataques tienen como objetivo los dispositivos móviles. Las contraseñas débiles y la falta de cifrado también suelen ser un problema. Por último, creo que las empresas también suelen fallar en una de las prácticas más básicas: tener una visión perfecta de qué dispositivos tienen en su sistema.
ESET PROTECT tiene la capacidad de recuperar detalles del inventario de hardware de los dispositivos conectados, como detalles sobre la RAM, el almacenamiento y el procesador de un dispositivo. Incluso puede crear grupos dinámicos personalizados basados en los detalles del inventario de hardware de los dispositivos conectados.
¿Cuáles son, en su opinión, algunas de las ideas erróneas más comunes sobre los marcos de trabajo o la ciberseguridad en general?
Los empleados suelen asociar la ciberseguridad con amenazas muy complejas. Pero las amenazas más comunes -y, por tanto, las más peligrosas- suelen ser bastante sencillas. Por ejemplo, los empleados suponen que alguien puede piratear su teléfono y acceder a sus datos. En realidad, es mucho más habitual que los hackers esperen a que alguien introduzca sus credenciales en un lugar público y luego roben el dispositivo cuando se deja desatendido. Este problema podría evitarse fácilmente si las empresas prestaran más atención a los aspectos básicos de la ciberseguridad, y a veces de la seguridad en general. También me viene a la mente otro error muy común.
¿Cuál es?
Las empresas, especialmente las pequeñas, se preguntan a menudo: «¿Por qué iba yo a ser un objetivo interesante para los hackers? Seguro que tienen peces más gordos que pescar». Por desgracia, esta creencia a veces lleva a las empresas a descuidar la ciberseguridad. Sin embargo, lo cierto es que no todos los ataques se dirigen específicamente a las empresas. Muchos ciberdelincuentes atacan indiscriminadamente utilizando herramientas como Ransomware-as-a-Service y métodos similares. Paradójicamente, esta falta de atención convierte a las pequeñas empresas en los objetivos perfectos para los ciberdelincuentes. Por lo tanto, incluso las pequeñas empresas deben dar prioridad a la ciberseguridad, y la implementación de marcos de trabajo puede mejorar significativamente sus defensas.
