Que la tecnología, y como no, como parte de ella también la ciberseguridad, está en un proceso constante de evolución es algo absolutamente constatable. Hay que adaptarse a las situaciones y la defensa contra las amenazas es una de las necesidades más que evidentes. Aunque es algo que desafortunadamente vemos mucho, las organizaciones hoy en día no pueden plantearse mecanismos de defensa del año 2010, para confrontar frente a las amenazas actuales.

A finales del mes pasado tuvo lugar el III encuentro del Esquema Nacional y las X Jornadas SAT, ambas promovidas por el Centro Criptológico Nacional. Tal y como ya avanzamos Sidertia fue patrocinador estratégico de las mismas. Aunque hubo ponencias muy diversas, cabe destacar como elemento común la necesidad de evolución, la de dar un paso adelante para anticiparse a las amenazas. En general, para ser más proactivos.

Ese cambio, se reflejará como no en la evolución del Esquema Nacional de Seguridad, mediante una actualización de dicha norma, que está en sus procesos finales de evaluación. Vigilancia, perfilado, protección de la cadena de suministros, … son elementos en los cuales en Sidertia ya llevamos trabajando desde hace algún tiempo y son foco fundamental de esta evolución. Sirvan como ejemplo destacado de ese cambio, lo expuesto en las dos primeras ponencias del encuentro.

En la primera de ellas Miguel Ángel Amutio, Director de la División de Planificación y Coordinación de la SGAD, y Javier Candau, Jefe del Departamento de Ciberseguridad del CCN, daban cuenta, además de las cifras en relación con la ciberseguridad en el Sector Público, de los cambios que deparará la actualización del Esquema Nacional de Seguridad

De la evolución de esta norma nos espera una revisión de las medidas, una adaptación para promover la capacidad preventiva, de promover acciones para estar más alerta y asegurar adecuadamente los sistemas de la información frente a los vectores de entrada que emplean hoy en día los atacantes. Ya lo indicábamos al principio, hay que adaptarse, porque queramos o no el grueso fundamental de medidas del Esquema Nacional de Seguridad, data del año 2010.

En general hay una tendencia al incremento de las exigencias. 25 medidas que recoge el actual ENS las van a sufrir, bien de forma considerables o bien de manera moderada, frente a solo 8 en las que se simplificarán. Se eliminarán medidas, más bien se adaptan o se incluyen en otras, y aparecerán 7 nuevas. Entre las medidas de nuevo cuño el concepto de prestación de servicios de nube, la vigilancia o la interconexión de sistemas, son algunas de la cuales las organizaciones deberán dar entrada y enfocar sus esfuerzos.

La segunda de las ponencias, “Prevención proactiva” , fue conducida por Pablo López, Jefe del área de Normativa y Servicios de Ciberseguridad del CCN. A través de una visión basada en lecciónes aprendidas, mostró como habían ido evolucionando las acciones en el mundo de la ciberseguridad. Incluso cómo desde el año 2017 el propio Centro Criptológico Nacional iba aprendiendo y cambiando algunas de las metodologías que empleaban hasta esa fecha. Fue interesante como incidió que la experiencia adquirida en determinados incidentes mostró el camino para cambios en las metodologías. Tanto en cómo debían afrontarse el entendimiento de las amenazas, como en los medios que había que disponer para anticiparse a las mismas.

En las circunstancias actuales no vale esperar a ver si pasa algo, hay que ser más proactivos, más vigilantes y tener más capacidad adaptativa. Hay que conocerse más que nunca. Que una organización sea consciente de su superficie de exposición, implica que tendrá mejor capacidad para anticiparse a una amenaza, y como no, también para dosificar loa esfuerzos.

No vale hoy en día alinear el riesgo a parámetros fijos, que encorseten las medidas a aplicar. Sirva el siguiente ejemplo de dogma antiguo y como debe enfocarse los esfuerzos para ser más eficaces.

Supongamos un sistema altamente crítico, por el tipo de información que se maneja. Inicialmente a buen seguro la organización enfocará muchos esfuerzos en protegerlo debido a la sensibilidad de los datos que se manejan. Pero qué pasa si indicamos que este sistema está totalmente aislado y que hay unos procedimientos operacionales de seguridad, que limitan muchísimo la posibilidad de la exfiltración de información. Por lo tanto, si su superficie de exposición es tan baja, por qué dedicar todos los esfuerzos en blindar a cal y canto, algo que a priori, y si se siguen los procedimientos adecuadamente, es prácticamente inaccesible.

En las circunstancias actuales no vale esperar a ver si pasa algo, hay que ser más proactivos, más vigilantes y tener más capacidad adaptativa.

Por el contrario, la misma organización tiene un sistema altamente interconectado, pero que maneja información de menor sensibilidad. Muy probablemente la tendencia debido a la menor criticidad de los datos pueda ser dotarla de menos recursos en materia de seguridad. Sin embargo, con toda probabilidad, su superficie de ataque sea mayor y por lo tanto su riesgo considerablemente más alto, a pesar de que en apariencia sea menos sensible por la información manejada. Además, toda esa interconexión determina que, si el sistema se ve amenazado, no solo se pone en riesgo su propia seguridad, sino la de todos aquellos otros sistemas con los cuales puede estar conectados.

El riesgo por lo tanto no debe entenderse ya como algo fijo. Si no, plantear una posición más dinámica, más adaptada a las circunstancias a las que se enfrentan las organizaciones. El perfilado para entender las situaciones y adaptar las medidas a aplicar, deben considerarse como una máxima a lograr. Las medidas de seguridad, que tienen que adaptar las organizaciones tendrán una base común mínima, pero a partir de ahí deberán perfilarse en función de su riesgo y este estará basado tanto en la superficie de exposición como en sus casuísticas, ambas revestidas de una visión lo más dinámica posible.

Las medidas pueden cambiar en función de las necesidades de los cambios, de las amenazas, de las vulnerabilidades, de la exposición, … Pero para ello hay que hacer un correcto cribado, un Triaje, para abordar de forma adecuada una situación determinada. Por qué ante un incidente, se intenta corregir todo lo que, durante años no se ha realizado. Por qué aplicar todas las actualizaciones ante una situación de alto estrés, donde la aplicación de actualizaciones o subidas de versiones pueden estar afectando a una producción, que además probablemente y derivado del incidente, ya está lo suficientemente mermado. Es momento de actuar con criterio, con una lógica orientada a la situación, de hacer el correcto Triaje, para acometer las medidas adecuadas al momento que ocupa el escenario. Tiempo habrá de corregir todo lo que durante años no había sido afrontado.

Además, en esta segunda de las ponencias de las que nos hacemos eco, se hizo una Preview de una de las aplicaciones en las que está trabajando conjuntamente Sidertia con el Centro Criptológico Nacional y de la que a buen seguro hablaremos en noticias futuras.

Comparte:

Post Relacionados.

Adaptamos la
Ciberseguridad 360º
a tu organización.

Distintivo_ens_certificacion_MEDIA
CCN-CERT Acreditación Difusión Limitada
CCN CERT
SidertiaSolutionsIso9001
Sidertia obtiene el certificado en Administración de sistemas por IQNET
Sophos Partner Sidertia Solutions

Copyright © 2022

cookies-sidertia
Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.
Entendido