Muchas veces contamos con una gran cantidad de controles de seguridad, políticas, procedimientos, etc. y aún así nuestra organización sufre algún tipo de incidente de seguridad, donde no logramos encontrar los motivos por los cuales sucedió a pesar de la implementación de tantos controles, y es cuando dudamos de la eficacia de nuestra estrategia para proteger a la organización.
¿Te ha pasado que tienes todo al día y aún así se infecta algún activo?
¿Conoces a alguien al que ya le sucedió algo así?
¿Por qué se infecta un equipo?
En muchas ocasiones he comentado que no importa el número de controles y productos de seguridad con los que cuenta una empresa, si alguna persona abre la puerta y deja pasar al atacante, de nada servirá. Así mismo, existen algunas variables que no podemos controlar, como el actuar de las personas.
Tienes módulos de protección contra malware (ransomware, virus, troyanos, spyware, criptomineros, etc), contra ataques e intrusos (IPS e IDS), sandbox, firewall, segmentación de red, etc. y aún así, un equipo o dispositivo se infecta, por lo que te cuestionas si vale la pena contar con todo esto si al final tendrás un problema de infección.
En todos los casos, nadie se encuentra exento de sufrir un incidente de seguridad, no hay nada ni nadie que pueda protegerte al 100% y quien diga que sí lo hace, miente.
La probabilidad de que suceda algún ataque o incidente siempre existirá, y es trabajo de los especialistas en ciberseguridad reducirla al mínimo y estar preparados para cuando suceda, tener todo lo necesario para disminuir el impacto que podría ocasionar a la empresa (pérdidas económicas, reputación, etc.).
El problema principal que vemos y la principal causa en la mayoría de este tipo de casos, es que todo sucede por un usuario que realizó una actividad o acción que no debía, ya sea por falta de capacitación sobre el manejo adecuado de los equipos e información con que trabaja, por desconocimiento de las políticas de seguridad de la organización, negligencia o accidente.
Los usuarios deben convertirse en nuestros aliados y principal escudo de seguridad contra ataques.
La tarea de un especialista en seguridad es proteger y disminuir el impacto que puede ocasionar un ataque, teniendo en cuenta el mayor número de posibles puntos de entrada y las afectaciones que podría tener cada uno de ellos si es que una amenaza se materializa.
Por ejemplo, si sabemos que nuestro servidor de archivos es el más vital para que la empresa funcione, deberemos pensar en la forma para mantener esa información siempre confidencial (donde aplica), disponible e íntegra.
Pensemos en que alguien copia un archivo malicioso en un servidor y se cifra toda nuestra información, el impacto puede ser enorme, deberíamos tener por lo menos lo siguiente para disminuir el daño:
- Monitoreo (Para detectar a tiempo).
- Respaldos (Para restablecer el servicio).
- Protección de Red (Para aislar el incidente y evitar propagación).
- Plan de contingencia / Plan de Respuesta a incidentes (Para saber las acciones a realizar).
Si hiciste la tarea bien, sabrás los puntos que debes atacar y las acciones que debes realizar cuando suceda un incidente que afecte el servidor (Respuesta a incidentes, plan de contingencia, etc.), por lo que el impacto que pueda ocasionar a la empresa se reduce al mínimo y podrás restablecer la operación en el tiempo establecido.
Contar con un ecosistema de seguridad completo te ayuda a que estos incidentes sucedan con menor frecuencia y siempre te encuentres preparado.
Si quieres saber más sobre ecosistemas de seguridad puedes leer sobre protección en capas o si deseas comenzar a proteger tu empresa visita el artículo ¿Cómo proteger mi empresa?
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.