El pasado 13 de marzo, CIONET Spain organizó, en colaboración con Radware, una mesa redonda bajo el título "Blinda tu Empresa Contra Amenazas Avanzadas: Cumple con las normativas sin riesgos". Exploramos cómo las organizaciones pueden aplicar medidas eficaces de ciberseguridad para cumplir las exigencias de la normativa actual sin comprometer la eficiencia operativa. En este evento, destacados expertos en ciberseguridad compartieron sus ideas y estrategias para hacer frente a los crecientes retos de la regulación y compliance.

Blinda tu Empresa Contra Amenazas Avanzadas: Cumple con las normativas sin riesgos

Estrategia de ciberseguridad

Infraestructura de ciberseguridad: SOC propio vs MSSP

Dentro de las estrategias de ciberseguridad, las organizaciones se enfrentan a una decisión crucial: implementar un Centro de Operaciones de Seguridad (SOC) propio o externalizar estas funciones a un Proveedor de Servicios Gestionados de Seguridad (MSSP). Esta elección estratégica no solo es fundamental para la protección de los activos digitales, sino que también tiene un impacto significativo en la arquitectura de seguridad y la capacidad operativa de la empresa.

Un SOC propio ofrece a las empresas un control exhaustivo sobre su seguridad. Operando como un centro neurálgico, un SOC interno permite una supervisión continua y en tiempo real de los sistemas de información. Las ventajas de este enfoque incluyen la integración profunda con las operaciones empresariales y la capacidad para adaptarse rápidamente a las amenazas específicas del entorno de la organización. Sin embargo, la inversión necesaria en infraestructura de IT avanzada, así como en el reclutamiento y formación de un equipo especializado puede ser considerable. Además, el mantenimiento y la actualización constante de las capacidades del SOC requieren un compromiso a largo plazo de recursos.

Por otro lado, los MSSPs ofrecen una alternativa escalable y económica para las empresas que prefieren no gestionar su propio SOC. Estos proveedores externos están equipados con las últimas tecnologías y cuentan con equipos de expertos que pueden ofrecer una cobertura de seguridad las 24 horas del día. Al externalizar a un MSSP, las empresas pueden beneficiarse de economías de escala y obtener acceso a capacidades de seguridad avanzadas que podrían ser prohibitivas de desarrollar internamente. Además, los MSSPs pueden proporcionar una visión más amplia de las amenazas emergentes, gracias a su exposición a múltiples entornos de clientes.

Sin embargo, la externalización también puede presentar desafíos, especialmente en términos de personalización y sensibilidad a las necesidades específicas de la empresa. La dependencia de un tercero para la gestión de incidentes críticos plantea preguntas sobre la latencia en la respuesta y la precisión del contexto operativo en las alertas de seguridad.

Factores Decisivos

Al decidir entre un SOC propio y un MSSP, las organizaciones deben considerar:

• Presupuesto y recursos disponibles
  
• Nivel de madurez en ciberseguridad
  
• Requisitos específicos de cumplimiento y seguridad
  
• Sensibilidad y especificidad de los datos manejados

Herramientas de monitorización para cumplimiento normativo

Las herramientas de monitorización para el cumplimiento normativo son componentes esenciales dentro de una estrategia de ciberseguridad efectiva, especialmente para empresas que operan en sectores altamente regulados como la banca, la salud o los servicios públicos. Estas herramientas ayudan a asegurar que las organizaciones cumplan con las regulaciones vigentes, reduciendo el riesgo de sanciones legales y daños a la reputación. Algunas de las principales funcionalidades y beneficios de estas herramientas:

• Automatización de la recopilación de datos: ayuda a garantizar que la información sea precisa, completa y recopilada de manera oportuna. Esto es crucial para cumplir con requisitos normativos que demandan un alto nivel de detalle y frecuencia en los reportes.
  
• Mapeo de requisitos regulatorios: estas herramientas pueden configurarse para mapear los controles de seguridad específicos con los requisitos de cumplimiento normativo aplicables, facilitando la preparación de auditorías y la generación de informes de cumplimiento.
  
• Alertas y notificaciones en tiempo real: cuando se detectan desviaciones de las políticas de cumplimiento. Esto no solo ayuda a corregir rápidamente los problemas antes de que se conviertan en violaciones, sino que también permite a las empresas ser proactivas en la gestión de riesgos.
  
• Integración con otras herramientas de seguridad: la integración con otras herramientas de seguridad, como firewalls, sistemas de prevención de intrusiones y plataformas de gestión de identidades, permite una visión holística de la postura de seguridad de la organización y su alineación con los estándares de cumplimiento.
  
• Reportes y análisis forenses: Facilitan la creación de reportes detallados que pueden ser utilizados durante las auditorías internas o externas. 

Reporte de ciber incidentes

El reporte de ciber incidentes es una fase crítica en la gestión de eventos de seguridad. Este proceso no solo ayuda a documentar incidentes y responder adecuadamente, sino que también es fundamental para cumplir con requisitos normativos y mejorar las estrategias de seguridad mediante el aprendizaje continuo.

Encaje en el ciclo de vida de un evento de seguridad

El ciclo de vida de un evento de seguridad típicamente incluye la detección, análisis, contención, erradicación, recuperación y forensics. El reporte de ciber incidentes se sitúa principalmente en las fases de erradicación y recuperación:

• Respuesta: Una vez detectado un incidente, se activan los procedimientos de respuesta. Aquí, el reporte inicial del incidente es crucial para documentar lo ocurrido y comunicarlo a las partes interesadas pertinentes, incluyendo equipos internos de respuesta a incidentes y, en algunos casos, autoridades externas.
  
• Recuperación: Durante la recuperación, se realiza un análisis más detallado del incidente. Los reportes finales incluyen detalles sobre las causas del incidente, el impacto y las medidas tomadas para remediar la situación y prevenir futuros incidentes. Este reporte ayuda a cerrar el ciclo del incidente proporcionando datos vitales para futuras estrategias de protección y prevención.

La regulación europea en cuanto a reporte de incidentes de ciberseguridad no sólo impone requerimientos sobre el "qué" y el "cuándo" informar, sino que también establece claras directrices sobre el "cómo" y el "quién" debe reportar. Estas normas están diseñadas para garantizar que durante todo el ciclo de vida de un incidente de seguridad, desde su detección hasta su resolución, los interlocutores correctos estén involucrados y los procesos adecuados se sigan de manera sistemática.

Requerimientos normativos en reporting 

Las regulaciones europeas han cambiado el modelo de reporte de incidentes al hacerlo más estructurado y exigente en términos de velocidad y calidad de la respuesta. Las organizaciones no solo tienen que ser capaces de reaccionar rápidamente, sino que también deben ser proactivas en su enfoque de gestión de riesgos, garantizando que los procedimientos de seguridad y notificación estén bien integrados y sean efectivos. Esto refleja un cambio hacia una mayor responsabilidad y una mayor transparencia en la gestión de la ciberseguridad.

Bajo el marco del GDPR y la Directiva NIS (y su actualización NIS2), es fundamental que las organizaciones tengan definido claramente quién es responsable de manejar y reportar los incidentes. Generalmente, esta responsabilidad recae en el DPO o en el equipo de respuesta a incidentes de ciberseguridad. Este equipo debe tener un conocimiento profundo de los requerimientos de reporte y estar entrenado para evaluar la gravedad y el impacto de los incidentes.

Modelos de automatización y herramientas de IA

La automatización y la inteligencia artificial juegan un papel cada vez más importante en el reporte de ciber incidentes, especialmente en entornos con una gran cantidad de datos y eventos de seguridad. Estas tecnologías pueden ayudar a:

• Automatizar la recolección de datos: Herramientas y plataformas pueden recolectar automáticamente datos de múltiples fuentes (como logs de seguridad, monitores de red, y sistemas de gestión de eventos e información de seguridad - SIEM).
• Análisis y priorización: Las herramientas de IA pueden analizar rápidamente grandes volúmenes de datos para identificar patrones, tendencias y anomalías, priorizando incidentes según su severidad y urgencia.
• Generación de reportes: Las soluciones avanzadas pueden generar automáticamente reportes preliminares y detallados, destacando los aspectos clave del incidente, medidas tomadas, y recomendaciones para la mitigación futura.
   
  

Relación con terceros

La estrategia de ciberseguridad de una organización no solo debe enfocarse en la protección interna, sino también en cómo interactúa y se protege en relación con terceros. Esta interacción puede incluir proveedores, clientes, socios comerciales y otros servicios externos que podrían tener acceso a los sistemas y datos de la empresa.

Impacto de la normativa de seguridad en la relación con terceros/proveedores

La normativa de seguridad tiene un impacto significativo en la manera en que las organizaciones gestionan sus relaciones con terceros y proveedores. Dado el creciente número de ciberataques que implican a terceros como vectores de ataque, la regulación ha intensificado su enfoque en cómo las empresas deben asegurar los datos y los sistemas que son accesibles para sus socios comerciales. Este impacto se manifiesta en varios aspectos clave de las relaciones entre las empresas y sus proveedores:

• Mayor escrutinio y Due Diligence: Las normativas de seguridad imponen a las empresas la obligación de llevar a cabo evaluaciones de riesgo y due diligence más rigurosas antes de establecer relaciones con proveedores. Esto incluye la evaluación de las prácticas de seguridad de los proveedores, su cumplimiento con las normativas relevantes y su capacidad para gestionar y responder a incidentes de seguridad. Esto se hace para asegurar que los riesgos asociados con terceros no comprometan la seguridad de los datos ni la integridad de los sistemas de la organización.
  
• Acuerdos contractuales más estrictos: La normativa también ha influido en la redacción y negociación de contratos con terceros. Los SLAs y otros contratos ahora a menudo incluyen cláusulas específicas relacionadas con la seguridad, que pueden incluir requisitos para la implementación de controles de seguridad específicos, la realización de auditorías regulares y la obligación de notificar a la empresa contratante en caso de una brecha de seguridad. 
  
• Auditorías y monitoreo continuo: Para cumplir con la normativa, las organizaciones deben implementar procesos de auditoría y monitoreo continuo de los proveedores. Esto asegura que los terceros cumplen constantemente con las expectativas y requisitos de seguridad acordados. Las auditorías pueden ser tanto internas como realizadas por terceros independientes y a menudo son necesarias para mantener la conformidad con estándares de seguridad específicos y normativas vigentes.
  
• Formación y concienciación: Muchas normativas de seguridad destacan la importancia de la formación y concienciación en ciberseguridad, no solo para los empleados internos sino también para los terceros que manejan datos sensibles o tienen acceso a sistemas críticos. 

Protección de las comunicaciones API y reportes de eventos en aplicaciones API

La seguridad de las APIs es a menudo un vector de ataque explotado debido a su accesibilidad y a la valiosa información que manejan. La protección de las comunicaciones API y el manejo adecuado de reportes de eventos son esenciales para asegurar la integridad, disponibilidad y confidencialidad de los servicios digitales. Estas son algunas estrategias y tecnologías clave para proteger las APIs:

• Autenticación y autorización: Implementar mecanismos robustos como OAuth, OpenID Connect y JWT para asegurar que solo los usuarios y servicios autorizados puedan acceder a las APIs. Estos tokens proporcionan una forma segura de manejar la identidad y los permisos sin exponer las credenciales del usuario directamente.
  
• Cifrado: Utilizar TLS (Transport Layer Security) para cifrar los datos transmitidos entre el cliente y el servidor. Esto protege la integridad y la confidencialidad de los datos en tránsito, evitando ataques de tipo "man-in-the-middle".
  
• Limitación de tasa: Implementar limitaciones de tasa para prevenir el abuso de la API y reducir el riesgo de ataques de denegación de servicio (DoS). Las limitaciones de tasa pueden ser configuradas basándose en el número de solicitudes por minuto/hora desde una única dirección IP o cuenta de usuario.
  
• Validación de entrada: Asegurarse de que todas las entradas a las APIs sean validadas apropiadamente para prevenir inyecciones SQL, XSS y otros ataques de inyección. Esto incluye la verificación de todos los parámetros de entrada contra un conjunto esperado de tipos de datos y formatos.
  

¿Cómo puede aportar valor Radware?

Radware ofrece una serie de soluciones robustas para fortalecer la ciberseguridad de las organizaciones, garantizando la protección integral tanto de la red como de las aplicaciones. Sus Firewalls de Aplicaciones Web y sistemas de mitigación de DDoS son esenciales para defender contra ataques externos, mientras que sus herramientas de análisis de comportamiento y respuesta automatizada a incidentes facilitan la detección y manejo de amenazas internas. Además, Radware ayuda a las organizaciones a cumplir con diversas normativas de seguridad y privacidad como GDPR, HIPAA y PCI DSS, proporcionando un marco de seguridad que asegura la integridad y la confidencialidad de los datos.

La capacidad de Radware para integrar sistemas de gestión de eventos e información de seguridad (SIEM) y soportar procesos de auditoría y reporte fortalece aún más la postura de ciberseguridad de las organizaciones. Estos sistemas no solo mejoran la capacidad de detección y respuesta rápida ante incidentes, sino que también aseguran la documentación adecuada y el cumplimiento de los requisitos regulatorios. Con programas de capacitación y concienciación, Radware también promueve una cultura de seguridad proactiva dentro de las organizaciones, haciéndolas más resilientes frente a las ciberamenazas actuales y futuras.