DURANTE EL ÚLTIMO año, el mundo ha sido testigo de un aumento exorbitante de ataques cibernéticos con niveles de destrucción sin precedentes. Los grupos de atacantes no sólo no respetan fronteras ni industrias, sino que han aprendido a colaborar e innovar para aumentar su efectividad y lograr sus objetivos geopolíticos y financieros. Una de las principales consecuencias de este desarrollo es que la ciberseguridad ya no es únicamente un problema de TI. Se trata de un problema de negocios, que todo ejecutivo, desde el CEO hasta el COO y CFO, debe tener en el radar.
Para tomar conciencia de este problema y llevar a cabo acciones preventivas o —si fuera necesario— medidas paliativas, puedes empezar por preguntar a tus equipos de TI y seguridad las preguntas correctas. Con ello lograrás armarte del conocimiento necesario para asignar responsabilidades. Metabase Q te proporciona una guía ejecutiva de diagnóstico:
1. ¿Cuántos de nuestros sistemas tienen software desactualizado con vulnerabilidades conocidas?
Debes considerar no sólo computadoras sino cualquier aplicación, impresora o dispositivo conectado a internet (IoT) y cualquier aparato que pueda tener software o firmware sin actualizar. Si normalmente no se hacen actualizaciones de software (semanal o mensualmente), es probable que tu infraestructura se encuentre comprometida por vulnerabilidades.
2. ¿Cuál es el porcentaje de sistemas expuestos a internet?
¿Sabes si estos sistemas exponen puertos administrativos o de alto riesgo? Todos y cada uno de los sistemas que están expuestos a internet pueden ser vulnerables a ataques de actores maliciosos.
3. ¿Qué tipo de datos están expuestos a internet?
¿Datos personales? ¿Financieros? Pide que la evaluación incluya almacenamiento en la nube y sistemas locales conectados a internet.
4. ¿Cuál es el número total de rutas de ataque a nuestra red?
Cada ruta entre dos sistemas de una red es una ruta de ataque potencial que incrementa el riesgo total. Aun cuando tus sistemas centrales estén seguros, si un atacante es capaz de entrar a tu infraestructura por medio de un servicio externo, toda tu red está en riesgo.
5. ¿Qué porcentaje de las cuentas de nuestra organización tienen activada la autenticación multi-factor?
Esta función proporciona una verificación adicional de seguridad que garantiza que el usuario que acceda a datos sensibles, tendrá los permisos necesarios para hacerlo.
6. ¿Cuál sería el daño potencial si las credenciales de un miembro de la compañía fueran robadas?
Ya sea que se infiltre por medio de un correo electrónico falso o cualquier otro tipo de engaño, es importante tener claro a qué información tendría acceso el atacante y si las contraseñas no han sido comprometidas ya. Vale la pena monitorear qué tan seguido cambian de contraseña los empleados y cuántos de ellos usan contraseñas personales para cuentas de la compañía.
7. ¿Qué porcentaje de nuestra información almacenada está encriptada? ¿Qué porcentaje de nuestra red está encriptada?
8. ¿Con qué frecuencia llevamos a cabo pruebas de penetración (pentests/evaluaciones de hackeo ético) o auditorías? ¿Cuáles han sido los resultados?¿Se han encontrado riesgos?
9. En caso de un incidente de seguridad, ¿sería posible restaurar nuestros sistemas a partir de un respaldo? ¿Se han hecho pruebas o simulacros recientemente? ¿Nuestros respaldos están espaciados por aire (air-gapped) para no ser vulnerables a malware?
10. ¿Nuestros desarrolladores están familiarizados con temas de seguridad de redes, aplicaciones y datos? ¿Llevamos a cabo evaluaciones de amenazas antes de construir sistemas? ¿Nuestros equipos de seguridad y de desarrolladores trabajan de la mano?
11. ¿Cuál es nuestro proceso de selección de proveedores? ¿Los proveedores siguen las mismas prácticas de seguridad que nosotros? ¿Estamos monitoreando la actividad y seguridad de nuestros proveedores?
12. ¿Cuántos ataques, que podían haber implicado pérdidas financieras significativas, han prevenido nuestras soluciones y procesos de seguridad actuales? ¿Qué han ignorado? En otras palabras, ¿cuál es la eficiencia de los sistemas de seguridad con los que contamos?
13. ¿Tenemos un equipo de manejo de incidentes? ¿Saben nuestros desarrolladores, equipo de TI y ejecutivos cómo responder en caso de un incidente de seguridad? ¿Cuándo fue la última vez que practicamos manejo de incidentes?
14. ¿Cuál es nuestro nivel de riesgo general? ¿Ha subido o bajado a lo largo del tiempo? ¿Nuestros reportes de riesgo tienen métricas cuantificables o se trata sólo de un estimado subjetivo?
Te proponemos estas preguntas como punto de partida. Como ejecutivo no debes simplemente suponer que tu compañía está a salvo. Haz las preguntas correctas, analiza los datos y únete a la conversación.
POR LOUISE IRELAND
CONTACT@METABASEQ.COM
@LOUISESIRELAND
edp