Muchas organizaciones utilizan las nuevas directrices del NIST con la mejor de las intenciones. Pero si el esfuerzo se convierte en un ejercicio de ‘marcar casillas’, podría llevar a las empresas a una falsa sensación de ciberresiliencia
DAVID SANZ, COMMVAULT
Índice de temas
Qué es el marco de ciberseguridad NIST
A medida que el panorama digital se vuelve más traicionero, las empresas empiezan por fin a tratar la ciberseguridad como un riesgo operativo de primer orden. Y para las empresas que están revisando sus estrategias de seguridad de datos, la guía actualizada del marco de ciberseguridad NIST es un buen punto de partida.
El marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología de EEUU (NIST), publicado por primera vez en 2014, ha funcionado como la principal guía educativa y académica. La versión más reciente incluye actualizaciones importantes, como la incorporación de la gobernanza de datos como uno de los pilares básicos. Por desgracia, se queda corta en un aspecto significativo. No dice lo suficiente sobre el ingrediente más crucial de cualquier plan de ciberseguridad completo y contemporáneo: la capacidad de recuperarse de un ciberataque.
Marco de ciberseguridad NIST o la recuperación ante un ciberataque
Es importante tener en cuenta que recuperarse de un ataque no es lo mismo que recuperarse de una catástrofe o garantizar la continuidad de la actividad. No basta con añadir la función de recuperación a un plan más amplio de respuesta a incidentes. La recuperación debe estar arraigada en la estrategia de seguridad y en sus planes de respuesta. E incluso fuera de un escenario de crisis, debe establecerse un bucle de retroalimentación continuo, en el que todas las partes de la función de ciberseguridad -incluida la recuperación- compartan siempre información y formen parte del mismo flujo de trabajo.
Muchas organizaciones utilizan las nuevas directrices del NIST con la mejor de las intenciones. Pero si el esfuerzo se convierte en un ejercicio de «marcar casillas», podría llevar a las empresas a una falsa sensación de ciberresiliencia, que acabaría en la incapacidad de volver a operar en caso de ataque.
Dado el panorama de amenazas persistentes y el creciente número de normativas, como la Ley de Resiliencia Operativa Digital (DORA) de la UE, las empresas deben abordar urgentemente las lagunas de sus planes de preparación en materia de ciberseguridad.
Cambiar de mentalidad
Aunque el NIST es un marco exhaustivo, el sector de la ciberseguridad (y, por ende, la mayoría de las empresas) presta mucha más atención a la parte que se centra en la prevención de los ciberataques. Eso es importante, pero la prevención nunca puede asegurarse y no debe hacerse a expensas de un plan de seguridad integral.
Cuando las empresas alinean sus propios procesos de ciberseguridad con los del NIST, es posible que no inviertan lo suficiente en la fase de recuperación o que simplemente la ignoren. Ese es un riesgo que ninguna organización puede permitirse: hay que asumirlo, tu empresa sufrirá una brecha. Por tanto, la plataforma de restauración debe integrarse con el portfolio de soluciones de seguridad para ayudar a proteger el entorno empresarial y garantizar que la compañía está preparada para volver a estar online.
El secreto de una recuperación sólida es la planificación. Para estar realmente seguras, las empresas deben tomar medidas ahora para integrar la tecnología y las personas responsables de la recuperación en el resto de su función de ciberseguridad.
Una vez que esto ocurre, aunque los equipos de recuperación pueden seguir operando de forma independiente, existe un bucle de retroalimentación continua. De este modo, las distintas partes de los equipos de seguridad pueden seguir enviando y recibiendo información fácilmente hacia y desde las demás funciones.
Probar, probar, probar
Aunque las empresas a menudo tienen en mente plazos de tiempo para que los sistemas vuelvan a estar online, son muchas menos las que han considerado plenamente lo que se necesita para llegar a ese estado seguro tras un ataque.
Las pruebas ayudan a determinar cuánto tiempo debe llevar cada paso en la identificación y reparación de una brecha, de modo que las empresas tengan un punto de referencia cuando se produzca un incidente real. Y si no se prueban adecuadamente los entornos de backup, la función de recuperación se vuelve mucho más difícil y potencialmente más peligrosa. Al restaurar a partir de un entorno de backup no probado, la empresa podría restaurar inadvertidamente un código malicioso implantado, proporcionar acceso a un atacante o volver a un estado vulnerable.
Las empresas deben realizar activamente pruebas de recuperación reales o simuladas que pongan a prueba todas las facetas de su ciberresiliencia para descubrir los puntos débiles, incluido cualquier problema que pueda afectar a la capacidad de la organización para volver a poner en funcionamiento sus sistemas informáticos.
Enlazar los pasos
Integrar las herramientas de recuperación en el arsenal más amplio de respuesta a incidentes puede aportar información valiosa tanto para prepararse como para responder a un ataque.
Históricamente, la falta de inversión en recuperación reflejaba la falta de innovación en este campo. Mientras que áreas como la gestión de identidades han sido un gran foco de atención tanto para los proveedores de TI como para los clientes, ha habido muchas menos atención en las herramientas de recuperación. En su lugar, las empresas tienden a subir todos sus datos al proveedor de nube de su elección y asumen que la calidad del servicio es el único factor que importa.
Hoy en día, sin embargo, los sistemas de recuperación modernos pueden supervisar activamente los repositorios de backup y enviar regularmente información a los equipos de seguridad para detectar cualquier comportamiento anómalo mucho más rápido que en el pasado. Una capacidad vital, ya que los hackers dirigen cada vez más sus esfuerzos a los centros de datos. Y a medida que una plataforma de restauración ciberresiliente se integra en el ecosistema de seguridad moderno, debe conectarse con sistemas como SIEM y SOAR, para que las empresas tengan la capacidad de auditar todo su entorno informático, tal y como exigen diferentes normativas en todo el mundo.
Alinear a las personas con el proceso
Mientras que muchas organizaciones cuentan con expertos dedicados a los demás procesos del marco NIST, pocas tienen equipos o incluso personas dedicadas a gestionar la recuperación.
A menudo, la función se sitúa en algún lugar entre los dominios del CISO y del CIO, sin que nadie la asuma como propia. El equipo de seguridad, sobrecargado de trabajo, suele considerar que la recuperación es tediosa y algo que ocurre sólo al final de un proceso caótico del que debería encargarse el equipo de TI.
Mientras tanto, el equipo de TI, a menos que esté muy familiarizado con la seguridad, puede que ni siquiera sepa qué es el marco NIST. Ante la avalancha de reclamaciones, su atención se centra simplemente en conseguir que el entorno vuelva a estar funcionando lo antes posible, y puede que no reconozcan lo peligrosa que puede ser una recuperación precipitada y no planificada.
Tomarse esto en serio implica dedicar recursos a supervisar la recuperación, asegurándose de que este paso no se pasa por alto en la planificación y las pruebas en curso, y mucho menos en el caos que a menudo acompaña a una brecha.
Tomarse esto en serio implica dedicar recursos a supervisar la recuperación, asegurándose de que este paso no se pasa por alto en la planificación y las pruebas en curso, y mucho menos en el caos que a menudo acompaña a una brecha
Cuando se le da una directriz estratégica desde la dirección ejecutiva y se le asignan las responsabilidades adecuadas, la persona o el equipo encargado de la recuperación puede garantizar que los protocolos de respuesta se prueban con regularidad, así como servir de puente para conectar la recuperación con el resto de la función de ciberseguridad.
El paso más vital para el marco de ciberseguridad NIST
En esta era en la que todas las empresas deben asumir un posible ciberataque, la recuperación debe reconocerse tan importante como los demás pasos del marco del NIST. O quizá incluso más importante.
Las empresas que sólo jueguen a la ciberdefensa acabarán perdiendo. Los hackers intentarán todas las tácticas posibles para vulnerar los sistemas corporativos. Simplemente no hay forma de protegerse contra todas las maniobras.
En lugar de eso, las organizaciones deben prepararse mejor que los malos actores. De lo contrario, sin un plan de respuesta probado para volver a la actividad de una manera fiable y segura, las empresas se encontrarán sin más opciones que pagar el rescate (lo cual, además, no garantiza que recuperen sus datos).
