Ciberseguridad en la empresa - Métricas

En economía, lo que no se puede medir no se puede mejorar, y en ciberseguridad, esto no es diferente. Una gestión eficaz de los distintos índices de rendimiento puede significar la diferencia entre un proyecto práctico y eficiente y una pérdida total de dinero.

Desgraciadamente, y pese a lo que pueda parecer, todavía hoy en día y en un alto porcentaje de empresas, e incluso puede que, hasta algún organismo oficial, en materia de seguridad de la información, ésta es una práctica poco frecuente, y de aplicación más bien reciente, diría yo.

Por lo tanto, aquí os detallo algunas sugerencias de las métricas de ciberseguridad más habituales, que pueden y deberían seguirse para garantizar la eficiencia de todo proyecto de seguridad.

1. Número de dispositivos infectados por botnets en un período determinado

Saber si las botnets han invadido nuestros entornos, o si se ha intentado una invasión, es una medida importante de ciberseguridad a seguir. Existen muchos actores maliciosos que buscan en internet puertos abiertos o dispositivos vulnerables, conocer estas redes y los modos de operación pueden mostrarnos los atacantes al acecho. El phishing y el drive by/watering hole son otros métodos comunes de infección.

2. Número de sistemas vulnerables con vulnerabilidades conocidas

Conocer la cantidad de activos vulnerables en nuestro entorno es una medida clave de ciberseguridad para determinar el riesgo en el que incurre su empresa. Administrar las actualizaciones y los parches de seguridad es un proceso complejo, pero muy importante para evitar brechas de seguridad y vulnerabilidades que pueden explotarse en el entorno. Un análisis de vulnerabilidades que incluya todos los activos nos indicará lo que se debe hacer para mejorar la postura de seguridad de la empresa. Un programa de administración de vulnerabilidades no es una exquisitez, sino una necesidad.

3. Número de certificados SSL configurados correctamente

Un certificado SSL es un pequeño archivo que certifica la propiedad de una clave criptográfica para el sitio web o la empresa con la que se intercambian los datos, lo que garantiza la autenticidad de la transacción. Controlar los requisitos de seguridad para cada certificado, así como garantizar que estén configurados correctamente en los servidores, evita que caigan en las manos equivocadas y que la identidad digital de la empresa no se utiliza para robar información del usuario o similar.

4. Volumen de datos transferidos utilizando la red corporativa

Si los empleados tienen acceso no restringido a internet a través de la red corporativa, monitorizar el volumen de tráfico nos permitirá identificar el uso indebido de los recursos de la compañía. Al descargar software, videos, películas y aplicaciones, un usuario podría dejar la puerta abierta a que botnets y malware invadan el entorno, incluso más si las descargas provienen de sitios web conocidos como peligrosos.

5. Número de usuarios con nivel de acceso "superusuario".

Las mejores prácticas en la administración de la seguridad de la información incluyen un control total del nivel de acceso de los usuarios a los recursos de la compañía, es necesario que un empleado sólo tenga acceso a los datos, sistemas y activos que son necesarios para su trabajo. La identificación de los niveles de acceso de todos los usuarios de la red le permite ajustarlos según sea necesario, bloqueando los accesos de cualquier “superusuario” o administrador a información y recursos no autorizados para él.

6. Número de días para desactivar las credenciales de los empleados.

Al monitorizar estas métricas de ciberseguridad, podemos ver si los equipos de Recursos Humanos y TI están trabajando en sintonía. En un escenario ideal, el acceso de los antiguos usuarios que ya no forman parte de la empresa debe cancelarse de inmediato. Mantenerlos activos es un riesgo tremendo, ya que podrían filtrar información sensible y/o comprometer sistemas críticos.

7. Número de puertos de comunicación abiertos durante un período de tiempo.

Como regla general, deberemos evitar permitir el tráfico entrante para NetBIOS (UDP 137 y 138, TCP 135-139 y 445). Cumplir con el protocolo SSL de salida (TCP 443): una sesión que permanece activa durante mucho tiempo podría ser un túnel SSL VPN que permita el tráfico bidireccional. Todos los puertos comunes para los protocolos que permitan sesiones remotas, como TCP 22 (SSH), TCP 23 (telnet), TCP 3389 (RDP) y TCP 20 y 21 (FTP) deben ser supervisados, sí o sí.

8. Frecuencia de revisión de accesos de terceros

Normalmente, los administradores de TI suelen otorgar acceso a terceros en sus redes para completar un proyecto o actividad. En estos casos, es importante controlar si el acceso se cancela una vez finalizado el proyecto o actividad para el que fuera implementado. De lo contrario, se pondría en peligro nuestro entorno, si el proveedor decidiera regresar y extraer datos o llevar a cabo otra actividad maliciosa; por ejemplo, podrían estar trabajando ahora para la competencia.

9. Frecuencia de acceso a sistemas empresariales críticos por parte de terceros.

Crear una asignación de sistemas críticos para la empresa, y conocer los usuarios que acceden a ellos es imperativo ciberseguridad. La monitorización de los intentos de acceso a servidores o aplicaciones que no deban ser utilizados por usuarios no autorizados, nos puede indicar una mala conducta e intenciones de comprometer nuestro entorno.

10. Porcentaje de socios comerciales con políticas efectivas de ciberseguridad.

Debemos mantener un control estricto y monitorizar las métricas de ciberseguridad de las compañías que brindan servicios a nuestro negocio. Dar acceso a sus entornos a esta empresa subcontratada puede ser un gran riesgo si primeramente no se cuenta con políticas efectivas para nuestra seguridad. No es demasiado decir que, si nuestra empresa invierte en seguridad, pero tenemos terceros conectados a nuestros sistemas, tenemos nuestra seguridad al descubierto.

Yo creo sinceramente, que implementar todas las medidas relatadas anteriormente es imprescindible, yo diría incluso "obligatorio", y ya hay paises de nuestro entorno inmediato, que están barajando, la implementación de un "código de ciberseguriad" con reglas de obligado cumplimiento (cómo el código de ciruculación), y con sanciones también para las empresas que sufran un incidente de seguridad, como consecuencia de no haber cumplido las normas.

Fran Brizzolis.

Referencias:

https://www.certsi.es/blog/46-metricas-mejorar-ciberresiliencia-servicio-esencial

https://www.incibe.es/protege-tu-empresa/blog/mide-seguridad-informacion

http://cso.computerworld.es/pubs/cso18/index.html?page=25

http://www.magazcitum.com.mx/?p=2206