GRC, resiliencia y servicios de Análisis de Cumplimiento Normativo

 

El panorama actual al que las empresas se tienen que enfrentar en materia de seguridad, privacidad y ciberseguridad, es complejo y dicha complejidad crece exponencialmente con el tiempo.

Si ese, junto con la protección y prevención, es uno de los puntos sobre sobre los que las empresas deben poner foco, no lo es menos el cumplir con los requisitos normativos al respecto.

Quizá todas no (aunque convendría que sí) pero, dependiendo de su actividad, sector al que se dedican, tamaño, tipo de clientes, etc., muchas empresas estarán obligadas a cumplir con determinadas normativas, directivas, reglamentos, regulaciones y leyes. Y, en caso de no cumplir con ellas, además de estar expuestas a posibles incidentes, podrán verse afectadas por sanciones y multas por dicho incumplimiento.

El objetivo final es la seguridad, la protección, la prevención y la resiliencia. Por ese motivo, la regulación en materia de protección de datos, seguridad y ciberseguridad es clave y se ampara en la necesidad de implementar robustos sistemas de GRC (Gobierno / Gobernance, Riesgo / Gestión del Riesgo / Risk Management y Cumplimiento / Compliance) en las organizaciones afectadas.

Pero, ¿conocemos las normativas que podrían afectar o aplicar en nuestra empresa? ¿Sabemos si tenemos obligatorio cumplimiento de las mismas o sólo a nivel de recomendación? ¿Sabemos si las cumplimos y en qué grado las cumplimos? Y, si no las cumplimos, o no al 100%, ¿sabemos qué tenemos que hacer para cumplirlas?¡Quizá haya que ponerse a ello lo antes posible!

Pero, en términos de Gobierno, Riesgo y Cumplimiento (GRC) respecto a la ciberseguridad, ¿de qué estamos hablando exactamente? Hablamos del establecimiento, implementación y gestión de determinadas políticas, procedimientos, recursos, modos de funcionar, servicios, controles, tecnologías, etc., en nuestra empresa, con las que poder garantizar que cumplimos con los principales marcos normativos internacionales de seguridad.

Existen multitud. Pero centrándonos en marcos o normas relativas a la ciberseguridad y a la protección de datos, entre las cuales podríamos identificar las siguientes (entre muchas otras):

• ISO/IEC (International Standarization Organization), y concretamente, la norma ISO 27001, que se focaliza en garantizar la seguridad, confidencialidad e integridad de los datos en los sistemas digitales que los procesan.

• NIST (Instituto Nacional de Estándares y Tecnología).

• CIS (Centro de Ciberseguridad), que ofrece controles críticos de seguridad para la prevención y mitigación de ciberamenazas.

• Directivas NIS y NIS2 (Network and Information Security), directiva europea para garantizar la seguridad en las redes y sistemas TI de la Unión Europea.

• ENS (Esquema Nacional de Ciberseguridad), que establece la política de seguridad para el uso de medios electrónicos en la Administración Pública (afectada y obligada y las empresas que trabajen con ella).

• RGPD / GDPR (Reglamento General de Protección de Datos), para el establecimiento de normas de protección de los derechos y libertades en lo que a los datos personales respecta.

• LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), que viene a -sustituir a la antigua LOPD (Ley Orgánica de Protección de Datos) y trata de ser la equiparación de la RGPD al ordenamiento jurídico español.

• LSSICE (Ley de Servicios de la Sociedad de la Información y comercio Electrónico), que regula cómo deben ser los servicios TI y las contrataciones electrónicas.

La adhesión a estas normativas no solo es un requisito legal en muchos casos, sino que también es esencial para proteger los activos digitales de la empresa y la confianza de los clientes.

Por tanto, la evaluación del cumplimiento normativo es el primer paso en el proceso de consecución de un buen modelo GRC en materia de privacidad y ciberseguridad.

Esto implica un análisis exhaustivo por parte de expertos de las prácticas de seguridad y privacidad de la empresa, teniendo en cuenta los requisitos establecidos por los marcos normativos aplicables a cada caso.

En dicha tarea, los analistas revisan las políticas y procedimientos existentes en la organización, identifican vulnerabilidades y brechas de seguridad, y, con todo ello, determinan acciones de mejora y/o correctivas para incrementar el cumplimiento al mayor nivel posible.

Tras una concienzuda evaluación del cumplimiento normativo por parte de expertos, la empresa debe realizar una serie actividades recomendadas, con el fin de garantizar la adecuación técnica al cumplimiento normativo en materia de ciberseguridad, correspondiente al framework que haya sido analizado.

Digamos que el ejercicio o servicio profesional se compone de dos fases. La primera de ellas la auditoría del estado actual y la segunda de ellas la consultoría. El asesoramiento técnico profesional y experto, es vital, orientando sobre las medidas específicas que una organización concreta debe tomar para cumplir con los requisitos normativos.

La implementación de medidas para alcanzar un buen nivel de GRC, implica:

• Configuración y administración de sistemas de seguridad.

• Concienciación, educación y capacitación del personal en las políticas de seguridad.

• Implementación de controles y medidas técnicas de seguridad.

• Definición y aplicación de un Plan de Respuesta a Incidentes.

• Definición y puesta en marcha de una nueva estrategia y de consultorías periódicas.

Como decíamos, cada empresa, dependiendo de su sector, mercado, tipo de clientes, volumen, etc., tendrá sus propias necesidades y desafíos particulares y únicos en el ámbito de la ciberseguridad y la privacidad.

Esto es lo que hace necesario que, cada una de ellas, cuente con estrategias de consultoría y acción personalizadas, adaptadas 100% a las casuísticas específicas de cada empresa, con un enfoque particular para abordar ausencias detectadas y diseñar soluciones convenientes ajustadas a las circunstancias particulares de cada organización.

Las empresas no cuentan con un equipo experto dedicado a esto, por lo que subcontratan este tipo de servicios especializados de ciberseguridad y ciberinteligencia, como los que ofrecemos en Zerolynx: GRC, Análisis de Cumplimiento Normativo y Adecuación Técnica para el Cumplimiento Normativo.

¿Quieres que averigüemos si tu empresa cumple con la/s normativa/s que le pueda/n afectar y, si no cumple, indicarte qué debes hacer para cumplir?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

Red Team Vs Estándares de seguridad

Buenas a todos, en el post de hoy quería hablaros de una dura realidad, una realidad que llevamos años encontrándonos en muchos de los Tests de Intrusión y ejercicios de Red Team que realizamos todas las semanas, y que, imagino que a pocos os resultará desconocida. Me refiero a los procedimientos, y más concretamente pero de forma general, a todas aquellas organizaciones que cumplen con determinadas normativas y estándares internacionales como pueda ser la ISO/IEC 27001, y que por ello, se sienten falsamente seguras.

Por desgracia, es habitual que durante los primeros días de muchos proyectos de seguridad ofensiva, logremos llegar a ser administradores del dominio, sin que el Blue Team/SOC se percate de nada. Esto seguramente no sorprenda a la gran mayoría de nuestro público, ya que indudablemente muchas empresas tienen un largo camino de mejora por delante, sin embargo, no deberíamos normalizar este tipo de situaciones cuando una organización está certificada bajo un estándar de seguridad.

¿Por qué ocurren estas cosas? ¿Certificarnos bajo un estándar ISO es inútil? En absoluto, es una de las opciones más recomendables para establecer una línea base de seguridad en una organización. Sin embargo, los auditores de la entidad certificadora no realizan una revisión completa cuando van a auditar una organización, sino que realizan un sondeo, poniendo mucho hincapié en "el papel". Revisan los procedimientos operativos, el plan director, validan determinados patrones, como por ejemplo, si existen administradores locales "de más" en los equipos, si el directorio activo se mantiene limpio y los empleados que han salido de la organización han sido correctamente eliminados, o si se realizan "pruebas de ciberseguridad", sin fijarse técnicamente en los resultados.

¿Y qué ocurre entonces? La respuesta es muy obvia, muchas organizaciones asumen estas auditorías como un simple check y se autoengañan, generando la documentación necesaria para salir bien en la fotografía del auditor, sin importarles lo más mínimo su seguridad. Como se suele decir, pasamos del cumplimiento al "cumplo y miento".

En este sentido, cualquier sencilla evaluación de seguridad en forma de Test de Intrusión o Red Team bastará para sacar a la luz la realidad de su estado de seguridad, y mostrar las vergüenzas que se han intentado cubrir con el cumplimiento de la normativa X. ante los clientes y la junta directiva.

Nos preocupa que determinadas organizaciones sigan con la técnica del avestruz, ocultando la cabeza bajo el suelo para no ver la realidad. Como empresas, tenemos una responsabilidad con nuestros clientes, empleados y proveedores, y debemos convertirnos en entidades resilientes, capaces de dar una respuesta temprana y acertada ante las amenazas que puedan acontecernos, que cada vez son más frecuentes y peligrosas.

Tradicionalmente, los vulnerability assessments y los tests de intrusión eran herramientas muy interesantes, y lo siguen siendo para obtener una línea base de seguridad de la organización y establecer una hoja de ruta con el camino a seguir para cerrar riesgos inmediatos e identificados. Sin embargo, durante los últimos años se han complementado con los ejercicios más completos de Red Team, de los que ya os hemos hablado largo y tendido en Zerolynx. En estos ejercicios se realiza la emulación de escenarios reales de amenazas a los que se puede enfrentar una organización, analizando la seguridad desde el punto de vista del adversario, con el objetivo de evaluar no sólo el factor tecnológico, sino también los procesos y personas detrás de estas tecnologías de seguridad.

Los ejercicios de tipo Red Teaming son una buena opción para alcanzar esa ciberresiliencia, puesto que permiten entrenar al Blue Team, calibrar de forma adecuada los sistemas de alerta y respuesta, y de forma general, evaluar y ayudar a mejorar el plano tecnológico, el de procesos y el humano.

Por lo que si cumplís o estáis trabajando para cumplir uno de dichos estándares, no os olvidéis de la realidad, ya que cuando os estafen con una factura falsificada dirigida a vuestro departamento de compras u os entre un ransomware..., no podréis enrollar uno de estos papeles cual periódico en los San Fermines y atizarle al malware para pararlo... :)

¡Saludos!