Introducción
Como la mayoría de las empresas de hoy en día, nuestro negocio está totalmente digitalizado y, por tanto, depende de la información; de las bases de datos, repositorios y sistemas donde esta información se almacena y se gestiona; de las redes de datos que nos permiten acceder y distribuir dicha información; y, por último, de los equipos y dispositivos que se conectan a esas redes y que nos permiten trabajar con ella.
Cualquier incidente sobre cualquiera de estos activos (información, sistemas, aplicaciones, redes y equipos) pondrá en peligro la continuidad del negocio al paralizar la práctica totalidad (en función del alcance del incidente) de los procesos que nos permite funcionar.
Estos incidentes pueden ser de dos tipos: técnicos (fallos de los equipos), o de seguridad (ataque premeditado). Es sobre este último de lo que trata este documento.
En este documento se expondrán las políticas, objetivos y procedimientos de seguridad para, en primera instancia, evitar en la medida de los posible que los incidentes de seguridad ocurran y en segunda instancia, estar preparados si estos llegan a producirse.
Por último, pero quizás lo más importante para el negocio, es que siendo una empresa TIC, que además ofrece un servicio de ciberseguridad en su catálogo, la reputación es una cuestión de estar en el mercado, o ser expulsado definitivamente de él.
Objetivos de seguridad
Como empresa nos planteamos los siguientes objetivos de seguridad cuyo cumplimiento serán medidos con indicadores que mostraremos en el cuadro de mando del Comité de Dirección y del Comité de Seguridad:
- Proteger los activos de información: cada activo tendrá un propietario establecido, así como las personas, convenientemente identificadas, que tienen acceso a este activo. Cada activo solo es accesible por su propietario. Si fuese necesario, se autorizará el acceso a otras personas, pero por defecto será en modo lectura, sin ningún otro privilegio. Solo en caso necesario y bajo autorización del propietario, o de la dirección (según el tipo de activo), se concederá todos los privilegios de uso a la persona autorizada.Métricas: Activos protegidos / Activos totales, Cuentas de usuario activas / Empleados activos, Activos públicos / Activos privados.
Integridad de la información: en todo momento, durante las operaciones que se realizan sobre la información, se debe mantener la integridad de ésta. Se impedirá lectura, modificación, encriptación y borrado siempre que no está autorizado. Los sistemas donde esta información se almacena y los equipos y redes por los que esta se transmite deben ayudar activamente a que esto se cumpla, cifrando extremo a extremo si la red no es confiable (Internet).
Métricas: Activos cifrados / Activos totales
Control de acceso con mecanismo AAA:
- Autenticación: todos los empleados y usuarios del sistema tendrán credenciales de acceso (usuario y contraseña, biométricos) que garantice que la persona es la que dice ser. Para aumentar la seguridad y dificultar la suplantación de identidad, en todos aquellos activos que pueda ser implantado se usará el doble factor con aplicación en el móvil.
- Autorización: los activos, sean del tipo que sean, deberán preguntar por la autorización de uso antes de permitir el acceso independientemente de que la persona se haya autenticado con éxito.
- Accounting: todo acceso y modificación de cualquier activo quedará convenientemente registrado.
- Elaborar un plan de continuidad que permita recuperarse ante un desastre en el menor tiempo posible.
Métricas: el propio plan, informe de simulacro de desastre, progreso de los proyectos
Informar, formar y concienciar a todos los empleados en materia de seguridad de la información, especialmente en sus funciones, obligaciones y responsabilidad para cumplirlas.
Métricas: resultado de hacking
Registrar y gestionar los incidentes de seguridad: para ello se usará el SOC (Centro de Operaciones de Seguridad) que funciona 24×7 todos los días del año. Los incidentes serán registrados y etiquetados como de «seguridad« y en función de su impacto se les pondrá un nivel de criticidad, tal y como está establecido en la Gestión de Incidentes.
Métricas: progreso en el tiempo del número de incidencias de seguridad, tiempos de resolución
Auditoría: basado en el dashboard de seguridad y en sistemas de vigilancia en tiempo real, se revisarán constantemente los eventos relacionados con la seguridad (por ejemplo, intentos de accesos denegados), las métricas de incidentes, la revisión de las listas de autorizaciones (personas que haya sido dadas de baja, que hayan cambiado de departamento, etc.) para prevenir actuaciones no deseadas.