Entrades

Recentment el BOE ha publicat el RD 43/2021 de seguretat de les xarxes i sistemes d’informació indicant així a les empreses essencials l’obligatorietat de tenir un Responsable de la Seguretat de la Informació (RSI), també coneguda com Chief Information Security Office (CISO), com a la persona experta en la protecció dels sistemes d’informació de les empreses, tindrà les competències per elaborar i supervisar les polítiques de seguretat i les mesures tècniques i organitzatives a implantar a l’organització.

Així doncs, les empreses essencials han d’implementar un Sistema de Gestió de la Seguretat de la Informació (SGSI) i és el Responsable de la Seguretat de la Informació l’encarregat d’operar-lo i gestionar-lo.

Actualment existeixen diferents normatives o marcs reconeguts que regulen un SGSI, com és la ISO/IEC 27001 o l’Esquema Nacional de Seguretat (ENS) en el qual certifiquen aquestes polítiques i mesures tècniques i organitzatives.

Perquè hi hagi una implantació d’un SGSI garantint la seguretat de la informació de les nostres dades recomanem:

  • Sponsors interns: és important el suport total de la junta directiva que impulsi totes les polítiques i normes que s’hauran d’aplicar, i sobretot els costos que pot implicar aventurar-se en un projecte com aquest.
  • A qui involucrem en el Comitè de Seguretat TIC? Com serà l’encarregat de prendre les decisions transcendentals en matèria de seguretat a l’organització que afectaran a tot l’organisme, és recomanable que sigui un comitè interdisciplinari amb les diferents àrees responsables d’àrea fent èmfasi amb els departaments legals, financers, operació/producció, RRHH, seguretat física i òbviament, Informàtica.
  • Elaborar una política de seguretat i normes de seguretat que siguin personalitzades a l’organització:
    • Seguretat per Defecte: Els sistemes es configuraran per a proporcionar les funcionalitats mínimes requerides perquè la persona i l’organització assoleixin els seus objectius.
    • Zero Trust o Confiança zero: Tot element del sistema que no hagi sigut configurat i estigui configurat per nosaltres, haurà de ser tractat com una amenaça.
    • Mínims privilegis: els usuaris i sistemes disposaran dels mínims privilegis i accessos per a l’operativa diària, i s’implementaran els processos d’autorització necessaris per a tasques fora dels habituals.
  • GAP Analisys, anàlisis d’insuficiències inicials, hem de ser molt objectius en aquest punt per evitar desviacions i possibles sobre costos. Amb aquest anàlisis tindrem una serie tasques i projectes a implementar i assignar-ho correctament a la persona adequada.
  • Definir una matriu RACI i establir sessions de controls trimestrals per al seguiment dels projectes identificats.
  • Escollir un bon software i metodologia de Gestió de Riscos i formar-se molt bé en aquest, doncs l’estratègia a escollir per a protegir els nostres sistemes, han d’estar basada en els riscos obtinguts.
  • Seguretat integral a tota l’organització: un SGSI es recolza en la comprensió i l’acceptació de les diferents polítiques i normes de seguretat per part de tota l’organització i treballadors. Comunicar-les i fer-les arribar de la forma adequada a tots els usuaris serà la clau de l’èxit d’aquest projecte.
  • Definir un bon calendari d’auditories tècniques i normatives per garantir que les diferents mesures i controls que s’hauran anat implementant segons el Pla, es mantenen i estan en el grau de maduresa requerit.
A Infordisa disposem d’un departament especialitzat en la implementació de Sistemes de Gestió de la Seguretat certificables per la ISO/IEC 21001 i l’Esquema Nacional de Seguretat (ENS).

Vols més informació dels nostres serveis en ciberseguretat?

 

És impossible garantir la seguretat total de la informació, la qual cosa significa que les empreses han d’estar preparades per reaccionar davant un possible desastre que pugui paralitzar ala seva activitat. Avui en dia, rebre un atac informàtic i perdre totes les dades és quelcom comú que de ben segur hem viscut amb més o menys proximitat. La informació amb la que treballen les empreses és un actiu essencial per al seu negoci, i quedar-se sense aquest actiu pot impedir treballar de manera temporal o permanent.

Davant d’una eventual pèrdua de dades per atac o per accident, cal que contemplem els següents aspectes que permetran assegurar la continuïtat de la nostra activitat i de l’empresa:

Pla de continuïtat de negoci

El pla de continuïtat de negoci és un recull de pautes que indiquen com actuar davant d’un possible desastre. Aquest pla es presenta com una política de seguretat que ha de definir un seguit de punts clau:

  • Identificar els actius crítics. Cal que tinguem reconeguts aquells actius que son condicionants per a la continuïtat del negoci. No és igual de crítica la documentació comercial en PDF que la base de dades del nostre sistema ERP.
  • Definir responsabilitats. Ha de quedar molt clar qui s’ha de fer càrrec de la situació en cas de desastre, per tant és important marcar rols i responsabilitats dels actors en aquesta situació.
  • Realitzar una anàlisi de riscs. Per tal de classificar els actius, determinarem quines dependències tenen, quant temps podem estar sense aquest actiu, i quin temps mínim de recuperació seria acceptable.
  • Definir política de comunicació. Davant un desastre, pot ser molt important la comunicació als afectats o a les autoritats pertinents, per tant cal definir el missatge que s’ha de transmetre i com fer-ho.
  • Marcar la periodicitat de revisió. Aquest pla no pot quedar-se obsolet, per aquest motiu ha de tenir una data de caducitat que asseguri que periòdicament es revisa i se’n comprova la validesa.
  • Escollir l’estratègia de continuïtat. Quina serà l’estratègia més adequada per a la nostra empresa? Haurem de valorar si podem plantejar solucions de backup estàndard o caldrà dissenyar sistemes Disaster Recovery (DR)

Backup

El backup és un sistema que te com a objectiu emmagatzemar de tota la informació i el seu històric, de manera continuada, i ser capaç de poder-lo restaurar en qualsevol moment sense afectar a la integritat de les dades. Com a sistema pot suposar un temps alt de recuperació, però és imprescindible per recuperar la normalitat.

Seguint estratègies com el backup 3-2-1, qualsevol empresa pot obtenir les màximes garanties amb els mínims recursos. Aquesta estratègia respon a les següents claus:

3: Disposar de 3 còpies de cada arxiu (l’original i dues còpies)

2: Utilitzar 2 suports de còpies diferent, per plantejar diferents escenaris de desastre

1: Ubicar 1 de les còpies fora del centre principal, per evitar desastres físics com incendis o inundacions.

És un sistema amb un cost baix però amb un temps de restauració més alt.

Disaster Recovery (DR)

Un sistema DR o Disaster Recovery va molt més enllà d’un sistema de backup. El que busca és garantir les dades i també els processos, fent-los disponibles amb una menor finestra temporal.

El sistema Disaster Recovery planifica el sistema necessari per tal que en un cas de desastre, existeixi una alternativa disponible de manera immediata que afecti molt menys la continuïtat del negoci. Permet no dependre de temps de recuperació o restauració, i proposa derivar l’activitat a un sistema alternatiu que, encara que sigui de manera temporal, es presenti com a sistema principal. D’aquesta manera el temps de recuperació del sistema afectat no perjudica la continuïtat de l’activitat.

Es tracta d’un sistema amb un cost més alt però amb un temps de restauració mínim.

Si vol valorar quin és el plantejament de continuïtat de negoci que més s’ajusta a les seves necessitats, el nostre equip de professionals aportarà una visió crítica i conclourà la millor estratègia per a la seva empresa.

Ja hem parlat de la conscienciació de l’usuari i com aquest pot ajudar a prevenir desastres, tot i això cal que a nivell tècnic l’empresa disposi de les mesures de seguretat oportunes per garantir un entorn laboral segur. Aquestes mesures passen per la utilització d’eines de seguretat perimetral que protegeixin activament l’entorn i xarxa de l’empresa.

Definim com a seguretat perimetral totes les eines i tècniques de protecció informàtica que tenen l’objectiu d’esdevenir una línia de defensa del nostre sistema informàtic. Aquestes eines no només ens protegeixen d’aquells atacs intencionats que volen entrar a la nostra infraestructura, sinó que també acompanyen a l’usuari per protegir la seva activitat.

 

Algunes de les principals eines de seguretat perimetral informàtica son:

Tallafocs o firewalls

Els tallafocs son eines de seguretat bàsiques en qualsevol entorn empresarial i que mitjançant una política d’accessos determinen què pot i què no pot accedir a la xarxa. En termes generals aquests dispositius poden aplicar mesures:

  • A nivell de xarxa filtrant IP concretes
  • A nivell de passarel·la controlant aplicacions específiques
  • A nivell personal aplicant-se als mateixos dispositius dels usuaris

Detecció i prevenció d’intrusos

Els sistemes de detecció (IDS) i prevenció (IPS) d’intrusos s’utilitzen per monitoritzar i controlar els accessos als equips de la xarxa de l’empresa. La seva principal missió és identificar un possible atac, registrar-ne els esdeveniments, bloquejar l’atac i notificar-ne als administradors o responsables de seguretat.

Es tracta de sistemes que contínuament monitoritzen el tràfic entrant i el comparen amb bases de dades actualitzades d’atacs ja coneguts, per tal d’identificar-ne activitats sospitoses i notificar-ho per a la seva eliminació. Son elements sovint integrats als mateixos tallafocs per dotar-los de millors funcionalitats.

Honeypots

Els honeypots son sistemes de hardware o software pensats com a trampes per atraure els atacants i poder identificar així el seu comportament. Aquests sistemes simulen equips vulnerables que s’esposen sense cap risc per a l’empresa i recullen informació que servirà per prevenir atacs futurs a sistemes més importants.

Aquests honeypots han evolucionat molt els últims anys i actualment s’implementen en forma de honeynets o xarxes de honeypots que simulen sistemes complets que permeten recopilar així més i millor informació sobre els atacs.

Control d’accessos i identitat

Es tracta de productes destinats a dotar a l’empresa de mecanismes que permetin gestionar els usuaris i les seves dades d’identificació, associar-hi rols, permisos i polítiques de seguretat, i controlar-ne així els accessos als recursos. És bàsic disposar d’un servidor de domini que gestioni amb èxit aquesta informació, però sempre és interessant complementar-los de més tècniques per aportin gestió dels accessos a la xarxa corporativa per part d’usuaris interns i externs, o eines Sign-On que unifiquin els accessos a diferents sistemes i aplicacions amb un mecanisme d’identificació comú.