Hoy día las noticias sobre amenazas y ataques a los sistemas de información son continuas, por lo que uno se da cuenta de lo expuestos que estamos. Cada día es más difícil generar confianza en nuestros sistemas de información y su vigilancia y protección debe ser una tarea permanente.

Young asian businessman sitting at the table with laptop and holding umbrella over gray background. Looking up

Siempre se va por detrás de “los malos”, somos reactivos. En el contexto de amenazas actuales y su continua evolución, hay que tomar una postura proactiva, hay que ir a por el atacante.

Debemos dotar a las empresas de herramientas y soluciones que faciliten la “caza”, que aporten conocimientos sobre las debilidades y contexto sobre las amenazas, vamos a darle valor a lo que ya conocemos a la hora de mitigar ataques y vamos a automatizar las respuestas a esos ataques.

Además, hay que tener en cuenta que los ataques o amenazas no tienen por qué venir sólo desde fuera de la compañía, sino de los empleados, otro eslabón más de la cadena, y no siempre el más débil, muy al contrario, es otra línea de defensa a la que hay que preparar, cuidar y concienciar.

Los dispositivos desde los que acceden los empleados deberían estar protegidos e incluso bastionados (configurados) correctamente. Y los trabajadores que llevan sus dispositivos particulares podrían estar utilizando aplicaciones no corporativas en la nube o con credenciales particulares y moviendo información de la compañía por Internet sin ningún control.

No quiero dejar de nombrar las fugas de información de empleados descontentos, o con fines poco claros.

Existe todo un conjunto de recursos a nuestra disposición para defendernos (Monitorización, Threat Intelligence, Threat Hunting, SOAR, Machine Learning, UEBA, Deception…) pero, a priori, no es tan fácil. 

La gran empresa, teniendo en cuenta la cantidad de información que manejan sus enormes equipos de TI, el número de clientes que tienen, los servicios que prestan, su reputación, etc., tienen recursos y, por encima de todo, sus direcciones están concienciadas sobre las implicaciones y los retos actuales en Ciberseguridad.

Sin embargo, en el terreno de las PYMES, con menos recursos y, principalmente, dirigidos a su “core” de negocio, generalmente no presta atención a su ciberseguridad hasta que toma conciencia de la importancia que tiene y, generalmente, no es “por las buenas”.

En la PYME nos encontramos empresas que no tienen ni los recursos ni los conocimientos necesarios para abordar con garantías la protección de sus datos y sistemas de información.

businesswoman covering her face with angry mask isolated grey wall background. Negative emotions, feelings, expressions, body language

Amenazas que afectan a PYMES

Según una encuesta de la CEPYME (Confederación Española de la Pequeña y Mediana Empresa) el 33% de la muestra ha experimentado un ataque de ransomware y el 75% de las organizaciones infectadas con ransomware ejecutaban protección de punto final actualizada, es decir, tenían sus antivirus al día.

 

Las cuatro amenazas más comunes que afectan a las PYMES son:

  1. Empleados descontentos:

    El mayor riesgo de seguridad para cualquier organización; saben dónde se almacenan los datos valiosos de la compañía y cómo acceder a ellos. 

  2. Empleados descuidados:

    Otro gran riesgo al compartir contraseñas, no tenerlas a buen recaudo o  por la apertura de mails maliciosos que puedan inyectar malware en la compañía. Estos son algunos ejemplos de lo que hay que evitar. No se trata de ataques malintencionados, pero representa un punto crítico para la seguridad de la compañía.

  3. Infraestructura no actualizada:

    La actividad de los malos es diaria, y muy productiva y va enfocada a cualquier punto de la infraestructura de la empresa, ya sea hardware como software. Resulta de vital importancia mantener los sistemas actualizados y prácticamente en tiempo real, ya que los fabricantes están continuamente sacando parches para tapar agujeros de seguridad.

    Incluso, en las aplicaciones desarrolladas internamente, es necesario adquirir la cultura de Desarrollo Seguro y de Análisis continuo de Vulnerabilidades que solucione y mitigue cualquier problema de seguridad.

  4. El perímetro de seguridad:

    De la empresa ha cambiado porque cada vez son más los usuarios/empleados que utilizan sus dispositivos personales para conectarse a los sistemas de las empresas, o que directamente trabajan desde fuera de ella (desde su casa o desde cualquier punto con una conexión a Internet). Resulta clave saber qué precauciones hay que tomar al crear una infraestructura informática segura para una fuerza laboral remota.

Las Pymes se enfrentan a los mismos retos en seguridad que las organizaciones más grandes (ransomware, prevención de intrusos, spam, phishing, etc.) y, sin embargo, no cuentan con los recursos para invertir en una infraestructura robusta.

Image of businessman examining objects with magnifier-1

Mitigar amenazas 

Entrando en materia, ¿qué fases hay que seguir para mitigar las amenazas de ciberseguridad?:

  1. Concienciación:

    Resulta básico conocer qué es la ciberseguridad y cómo nos puede afectar, cubriendo todos los posibles vectores de ataque, haciendo partícipes a los usuarios/empleados del problema y enseñando cómo detectarlo y afrontarlo. 

  2. Recopilar información

    Los sistemas, tanto de software como de hardware, se basan y mueven información. Hay que aprovechar esa característica para tener una completa telemetría de los sistemas de información que permitan buscar amenazas, correlar eventos, aprender cómo y de dónde vienen y, por supuesto, proponer acciones que mitiguen los efectos de un ataque.

  3. Prevención:

    Toma de medidas que imposibiliten que las incidencias, debidas a ataques, se produzcan con frecuencia, ya sea reforzando el control de acceso a datos o aplicaciones, plan de copias de seguridad, protección de endpoints, etc.

  4. Detección:

    Gracias a la monitorización continua de los sistemas, y con el análisis de la telemetría recopilada en tiempo real, se podrá detectar cualquier actividad sospechosa.

  5. Corrección:

    Sobre lo que ha permitido el ataque evitando que se vuelva a producir.

Si bien se trata de fases enfocadas a la prevención y detección, tradicionalmente utilizados en el ámbito de la ciberseguridad, deben ser complementados con nuevas maneras de afrontar los riesgos, acorde con las nuevas amenazas

¿Te contamos más?

Seguridad Adaptativa

Actualmente, en el mundo digital, predecir nuevas amenazas y automatizar las respuestas y prácticas de seguridad cibernética, para liberar el tiempo de los especialistas en el análisis y resolución de los incidentes más complejos, es clave para adelantarse a un universo en expansión de amenazas y riesgos.

Además, confiar sólo en las defensas perimetrales de prevención y detección, y la seguridad basada en reglas, como antivirus y firewalls, se vuelve menos eficaz a medida que las organizaciones utilizan cada vez más sistemas basados ​​en la nube e interfaces de programación de aplicaciones (API) abiertas para crear ecosistemas empresariales modernos. El departamento de TI simplemente no controla los límites de las tecnologías de la información de una organización como solía hacerlo.

Por tanto, la mentalidad actual de respuesta a incidentes de muchas organizaciones, que consideran los incidentes de seguridad como eventos únicos, debe cambiar a una postura de respuesta continua.

Se debe suponer que la organización se verá comprometida, que la capacidad del hacker para penetrar en los sistemas nunca se contrarresta completamente.

La monitorización continua de los sistemas y del comportamiento es la única forma de detectar amenazas de manera confiable antes de que sea demasiado tarde. Se trata de la Seguridad Adaptativa, modelo definido por Gartner Adaptive Security Architecture.

Este enfoque continuo, sin embargo, genera un enorme volumen y variedad de datos a una gran velocidad. La analítica avanzada será la base de la protección de seguridad de próxima generación y Gartner predice que, para 2020, el 40% de las grandes organizaciones habrá establecido un "almacén de datos de seguridad" para respaldar esta función.

¿Hablamos?

Machine Learning

El correcto tratamiento de los datos junto con técnicas de Machine Learning, que consisten básicamente en automatizar, mediante distintos algoritmos, la identificación de patrones o tendencias que se esconden en los datos, permiten prever e identificar ataques con mayor efectividad y rapidez. 

A través de estos procesos de Machine Learning se logra perfeccionar la monitorización y correlación de eventos en los SIEM (Security Information and Event Management, por sus siglas en inglés), herramientas capaces de capturar prácticamente todo tipo de datos y eventos de nuestros sistemas de información y mediante correlación, monitorizar y alertar ante cualquier tipo de incidencia generando alertas y/o acciones para mitigar el problema.

Si además, se añaden herramientas de análisis de comportamiento de usuarios (UBA), desde dónde acceden, a qué, cuándo y cómo, el conjunto de todas las tecnologías y herramientas descritas van configurando un efectivo cortafuegos contra los ataques de ciberseguridad.

 

CSVD y herramientas SOAR

En este punto, las inversiones en equipos, conocimientos y recursos humanos pueden resultar prohibitivos para las Pymes, y la solución llega de la mano de proveedores de seguridad gestionada o MSP.

Los beneficios de contar con un proveedor MSP se traducen en: un servicio de alta calidad, las soluciones más seguras, no tener que invertir en infraestructura nueva, aprovechar el potencial de la nube, y proteger toda la red, desde los endpoints hasta la nube y, por supuesto, su nivel de conocimientos en la materia.

A3Sec cuenta con una amplia experiencia en el tratamiento de datos, su localización y gestión, lo que permite obtener una total visibilidad de sus operaciones. Tecnologías como Machine Learning, UBA y automatización de acciones (SOAR), lo que nos permite enfocar la ciberseguridad de nuestros clientes de manera proactiva, asegurando una toma de decisiones rápida y efectiva ante incidentes o amenazas, que minimizarán el impacto de los riesgos del cliente. 

Desde nuestro Centro de Seguridad y Vigilancia Digital (CSVD) somos capaces de monitorizar la infraestructura de TI de nuestros clientes, desde la gestión y seguimiento de vulnerabilidades, gestión de eventos de seguridad, vigilancia de marca y gestión del fraude, completando la defensa con sistemas de prevención, detección y respuesta, así como con herramientas de orquestación SOAR.

 

¿Quieres conocer más sobre la aplicación de SOAR en tu organización?

Descarga el Caso de Uso

Nueva llamada a la acción

 
Eduardo Valenzuela

Por Eduardo Valenzuela
>_

Otros Blogs

Consejos para mejorar la ciberseguridad de tu compañía en 2024

5 Consejos para...

El año 2024 presenta desafíos más complejos para asegurar la información. La...

Leer más
Tendencias Ciberseguridad 2023

Tendencias en...

La ciberseguridad se ha convertido en una necesidad imperante debido al aumento...

Leer más
Tendencias y medidas preventivas de ciberseguridad en 2024

Tendencias y medidas...

Desde el aumento de los ciberataques a gran escala hasta el incremento de las...

Leer más
Guerreras-digitales

Mujeres en A3Sec:...

Las guerreras digitales en A3Sec desempeñamos un papel fundamental...

Leer más
que-es-un-soc

Cómo gestionar los...

La ciberseguridad es un aspecto fundamental para cualquier empresa que quiera...

Leer más

UEBA: qué es y cómo...

La Analítica de Comportamiento de Usuario (User and Entity Behavior Analytics,...

Leer más
que-es-un-soc

Cómo prevenir el...

¿Qué es phishing?. Phishing término derivado de la palabra inglesa “fishing”,...

Leer más
que-es-un-soc

Tipos de virus...

Los virus informáticos son programas maliciosos que se propagan de un ordenador...

Leer más
Isotipo A3Sec