Tabla de Contenidos
En Guatemala, al igual que en muchos otros países, no existe un estándar nacional, legal o transversal mínimo para la seguridad de la información. Ninguna ley nacional define lo que se considera una “seguridad razonable”. Las regulaciones y políticas gubernamentales varían en su enfoque y aplicación, dejando a muchas organizaciones en un estado de incertidumbre sobre las medidas que deben tomar para proteger adecuadamente la información sensible que almacenan, transaccionan o transmiten.
La «ciberseguridad razonable» se refiere a la implementación de medidas de seguridad que son adecuadas y proporcionales al tamaño, complejidad y naturaleza de una organización, así como a la sensibilidad de la información que maneja. Estas medidas buscan proteger contra la pérdida, uso indebido, acceso no autorizado o modificación de datos, basándose en prácticas reconocidas y estándares de la industria.
La ciberseguridad razonable implica un enfoque equilibrado que considera los recursos disponibles, el costo de las herramientas de seguridad y las mejores prácticas, asegurando que los riesgos y posibles daños sean mitigados de manera efectiva y justificada.
Un buen ejemplo de esto son los Controles de Seguridad Críticos del CIS, que pueden implementarse de manera prescriptiva y de una manera que permita a todos aquellos que usan y confían en el ecosistema tecnológico evaluar si se tomaron medidas razonables de ciberseguridad.
La ciberseguridad ha pasado rápidamente de ser un ámbito técnico a formar parte de la toma de decisiones basada en riesgos para todas las empresas. Los cambios rápidos en la complejidad y la conectividad también significan que las decisiones de una empresa individual pueden afectar al ecosistema en general. Por lo tanto, incluso las soluciones técnicas bien definidas deben operar en una red compleja de preocupaciones empresariales, económicas y sociales para ser efectivas.
Muchos países han promulgado leyes de notificación de brechas de ciberseguridad y algunos han ido más allá al promulgar leyes de privacidad de datos que requieren ciberseguridad razonable.
En este entorno complejo, el progreso requerirá la convergencia de la tecnología, la política pública y la economía. Las leyes y regulaciones deberían ser unánimes en exigir que los controles de ciberseguridad deben ser razonables. Considerando las emergentes leyes de privacidad, así como los estándares de ciberseguridad existentes en la industria, se propone que se pueda derivar, articular y emplear una definición de ciberseguridad razonable utilizando los estándares y buenas prácticas existentes de la comunidad de ciberseguridad.
Contexto de Guatemala
En Guatemala, la ciberseguridad es una preocupación creciente debido al aumento de las amenazas e incidentes ocurridos, y la dependencia de la tecnología en las organizaciones. Las empresas y las instituciones gubernamentales están cada vez más conscientes de la necesidad de proteger sus sistemas y datos contra accesos no autorizados, ataques cibernéticos y violaciones de datos. Sin embargo, la falta de una normativa clara y coherente dificulta la implementación de medidas de seguridad efectivas y uniformes.
La situación legal en Guatemala es similar a la de muchos otros países en desarrollo, donde las leyes de ciberseguridad y protección de datos están en etapas iniciales de desarrollo, donde aún piensan en leyes punitivas y no preventivas. A pesar de esto, las empresas y algunas organizaciones estatales, están adoptando estándares internacionales y mejores prácticas para protegerse contra las amenazas cibernéticas.
Implementación de Ciberseguridad Razonable
Para los profesionales de ciberseguridad, la implementación de medidas de ciberseguridad razonables implica seguir un enfoque estructurado y basado en estándares reconocidos internacionalmente. Un buen ejemplo de esto es la utilización de los Controles de Seguridad Críticos del CIS (CIS Controls) que ofrecen un marco práctico y detallado para lograr esto. A continuación, se describen algunos pasos clave que se deben tomar para la implementación de la ciberseguridad razonable:
Conocer el Entorno
El primer paso es comprender el entorno de TI de la organización. Esto incluye identificar todos los activos (hardware y software) en la red y clasificar los datos que se deben proteger. Es fundamental priorizar la aplicación de controles de seguridad en función de dónde residen los datos de alto valor. Es decir, las joyas de la corona que queremos proteger y los riesgos asociados a las mismas.
Gestión de Cuentas y Configuración
Una vez que se entienden los activos, el siguiente paso es gestionar las cuentas y configuraciones. Esto incluye definir procesos para la creación y revocación de cuentas y determinar los accesos que estas cuentas tienen a los recursos del sistema. La gobernanza de cuentas es esencial para mitigar los riesgos de ataques que aprovechan las cuentas comprometidas.
Herramientas de Seguridad
El uso de herramientas comerciales de ciberseguridad puede proteger contra ataques comunes, como intrusiones y malware. Es importante implementar herramientas que prevengan a los usuarios de acceder a sitios web maliciosos y que bloqueen archivos adjuntos de correo electrónico peligrosos. Estos dos últimos puntos son la principal causa de incidentes de ciberseguridad. Además, el monitoreo continuo a través de herramientas de detección y respuesta en puntos finales (EDR) es crucial para defenderse contra las principales amenazas. Por supuesto existen muchos otros controles y herramientas que se pueden implementar, esto va depender de lo que designemos como ciberseguridad razonable para la organización.
Recuperación de Datos
Todas las organizaciones deben tener un plan de recuperación de datos en caso de una brecha de seguridad. Esto incluye realizar copias de seguridad automatizadas y desarrollar un programa para mantener una capacidad de respuesta a incidentes. Es esencial identificar roles y contactos clave responsables de coordinar y responder a un incidente.
Conciencia de Seguridad
La educación sobre la conciencia de seguridad es una parte integral de cualquier programa de ciberseguridad. Esto incluye capacitar a los miembros de la organización para reconocer ataques de ingeniería social, también es importante realizar pruebas de penetración para evaluar la resistencia de la organización a intrusiones según sea necesario.
Procesos Empresariales y Subcontratación
Las organizaciones deben evaluar y gestionar los proveedores de servicios que manejan datos sensibles y funciones críticas. Esto incluye inventariar, clasificar y evaluar a los proveedores para garantizar que cumplen con los estándares de seguridad requeridos. Los ataques de cadena de suministro son una causa cada vez más común de incidentes de ciberseguridad.
Conclusión
En cualquier organización, establecer y mantener un programa de ciberseguridad que equilibre la complejidad de los controles de seguridad implementados, con el riesgo y las consecuencias de una brecha de ciberseguridad, es de vital importancia. La utilización de los Controles de Seguridad Críticos del CIS, siempre y cuando estén adaptados al contexto local y a las necesidades específicas de la organización, proporciona una base sólida para lograr una ciberseguridad razonable.
Este enfoque no solo ayuda a proteger la información y los sistemas críticos, sino que también contribuye a cumplir con las expectativas de seguridad de los clientes, socios y reguladores, reduciendo al mismo tiempo el impacto de un incidente de ciberseguridad.
Columna original de Pablo Barrera, Diretor Services de ES Consulting.