¿Necesitas ayuda?


Responsable SEMANTIC SYSTEMS, S.L. (NIF B-95234183)
Finalidades Atención al usuario
Destinatarios Prestadores de servicios auxiliares externos con acceso a datos, órganos jurisdiccionales, Administración Pública.
Derechos Revocación, acceso, rectificación, oposición, cancelación, limitación, portabilidad y oposición a decisiones automatizadas rgpd@semantic-systems.com
Info adicional Política de privacidad

ENVIAR

BORRAR


Ciberseguridad en la organización, por dónde empezar

Con la proliferación de todo tipo de Ciberataques, es normal que sintamos cierta incertidumbre o indefensión con respecto a la seguridad de nuestras organizaciones.
 
Nos invade una sensación de premura por convertir nuestras infraestructuras en una fortaleza lo más segura posible. Tod@s sabemos que el camino más corto entre 2 puntos es una línea recta, y ahora tenemos claro cuál es el punto de destino, pero… ¿Conocemos nuestro punto de partida?
 
Para progresar es imprescindible conocer nuestros puntos más débiles, de esta manera conseguiremos planificar una hoja de ruta más efectiva, atajando los peligros más inminentes y securizando nuestro más preciado tesoro, la información.
 

Índice de por dónde empezar en la ciberseguridad de la organización

  • Cómo hacer introsprección, sin trampas
  • ¿Cuándo perdemos el control?
  • Manos a la obra, pero con cabeza
  •  

    Cómo hacer introsprección, sin trampas

    Está bien, tal vez la “introspección” sea un término demasiado filosófico, pero es un buen ejemplo de cómo debemos plantear el primer paso para mejorar nuestra seguridad. Seguramente en otros ámbitos de nuestra organización (finanzas, riesgos laborales…) hayamos aplicado procedimientos tales como “Auditorías” y “Análisis de riesgos”, y es exactamente lo que debemos aplicar en el ámbito de la Ciberseguridad.
     
    El problema es que tenemos una tendencia a ser demasiado benévolos cuando analizamos nuestra propia organización, por lo que es recomendable acudir a algún servicio externo para llevar a cabo estos procesos, dado que lo harán de manera más objetiva y sin sesgos.
     
    Entre todos estos procesos se incluyen por ejemplo “Auditorías de Seguridad” o “Hacking éticos” (test de intrusión).
     
    Como el segundo nombre indica, básicamente se contratan unos hackers que intentarán de distintas maneras atacar nuestras infraestructuras para así sacar a la luz las vulnerabilidades, presentando posteriormente informes sobre los que poder sacar conclusiones de gran valor.
     
    Estas auditorías se pueden enfocar desde diferentes perspectivas, clasificándolas en 3 tipos:
     

    • Caja Negra: Son auditorías o test de intrusión donde el hacker o auditor no posee conocimientos concretos de la infraestructura que ataca.
    • Caja Blanca: En este tipo de auditoría se le facilita al hacker una lista de los activos de nuestra infraestructura en los que queremos que se centre.
    • Caja Gris: En este caso lo más habitual es que el auditor adopte el papel de un empleado, para evaluar los posibles riesgos que puedan provenir desde dentro de nuestra organización.

     
     WBN Sealpath
     

    ¿Cuándo perdemos el control?

    Por otro lado un “Análisis de riesgos” es una auditoría con un enfoque mucho más amplio, en el que no solo se abarcan enfoques técnicos, sino que se analizan otras variables como pueden ser la formación de nuestros empleados, los accesos físicos a nuestras instalaciones, los procedimientos a la hora de tratar, almacenar o destruir información, las comunicaciones con proveedores y clientes…
     
    Incluso normalmente se evalúa si hay planes de contingencia para que en caso de ciberataques exitosos, nuestra organización pueda seguir funcionando con cierta normalidad.
     
    Es habitual que para este tipo de evaluaciones se basen en normas como ISO 27001 (certificación de los Sistemas de Gestión de Seguridad de la Información).
     

    Manos a la obra, pero con cabeza

    Una vez hayamos obtenido la información sobre el estado REAL de nuestra organización, es momento de analizarla con detenimiento. Es habitual sacar conclusiones precipitadas e intentar “tapar agujeros” lo más rápido posible.
     
    Ello nos puede llevar a dedicar tiempo, recursos y esfuerzos a solventar problemas que tal vez no sean los más graves o acuciantes.
     
    Es por esto que es importante trazar un plan en el que plasmar las soluciones que vamos a adoptar para afrontar todas esas carencias detectadas en las auditorías. Con unos plazos realistas y unos objetivos que permitan mejorar progresivamente nuestra situación.
     
    Son tareas todas estas, que somos conscientes que pueden resultar abrumadoras, y es por esto que podéis contar con Semantic Systems para acompañaros desde todo el proceso.
     
    Desde los análisis de riesgos, hasta la planificación de las mejoras y la ejecución de las mismas, sin olvidarnos del servicio de VCISO (CISO Virtual), pudiendo contar con personal especializado en Ciberseguridad para integrarlo en vuestra organización con el fin de asesorar y poder incluso colaborar en la toma de decisiones en la lucha contra las Ciberamenazas.
     


     
    También te puede interesar leer el ebook tecnológico: Los artículos TOP de Seguridad

     


    Iagoba Diaz

    Analista de Ciberseguridad en Semantic Systems