Debido a que el panorama de las amenazas cibernéticas cambia constantemente, las evaluaciones de seguridad cibernética de rutina son un componente esencial de un programa integral de gestión de riesgos. En todo momento, su empresa debe monitorear la higiene cibernética de todo su ecosistema, incluidos los proveedores terceros y cuartos. Una evaluación de riesgos de seguridad cibernética lo ayuda a hacer esto al identificar los riesgos cibernéticos que afectan su postura de seguridad, lo que le permite tomar decisiones más informadas sobre cómo asignar fondos para implementar controles de seguridad y proteger la red. Veamos algunas de las evaluaciones de riesgos de seguridad cibernética más comunes y las acciones con herramientas que su empresa puede tomar para realizar una evaluación efectiva:
¿Qué es la evaluación de la seguridad cibernética?
Una evaluación de ciberseguridad es un proceso que determina el estado actual de la postura de ciberseguridad de su organización y recomienda pasos para mejorar. Si bien hay muchos tipos diferentes de evaluaciones, este artículo se centra en NIST SP 800-115: Implementación de controles de seguridad para sistemas de información federales (ICS): Metodología de evaluación de seguridad, 2.ª edición (SAM2). El objetivo aquí es proporcionar información básica sobre cómo funciona SAM2 para que pueda decidir si sería adecuado para su situación particular.
Herramientas de evaluación de seguridad cibernética
Las herramientas de evaluación de seguridad cibernética evalúan la postura de seguridad cibernética de su empresa. La evaluación consta de una serie de preguntas que ayudan a determinar la postura de seguridad cibernética actual de su organización, identifican riesgos y oportunidades potenciales y brindan la oportunidad de evaluar sus controles existentes.
La evaluación está diseñada para que la complete un evaluador externo que no haya evaluado previamente a su organización. Se generará un informe de evaluación basado en los resultados de la evaluación, que puede incluir recomendaciones para mejorar su postura de seguridad cibernética.
¿Cómo se hace una evaluación de ciberseguridad?
El primer paso para realizar una evaluación de ciberseguridad es comprender el alcance de su proyecto. Una evaluación de ciberseguridad se puede definir como un análisis que considera todos los aspectos de la seguridad de la información, incluida la seguridad de la red y del sistema, el desarrollo y la implementación de aplicaciones, los modelos de autorización de usuarios (p. ej., inicio de sesión único) y las políticas y procedimientos de gestión de clasificación de datos.
El alcance de su evaluación debe incluir lo siguiente:
- El impacto comercial si ocurre una amenaza o vulnerabilidad;
- Niveles de riesgo actuales para cada área identificada anteriormente;
- ¿Qué tan bien protege cada área contra amenazas conocidas? De no ser así, identifique qué controles pueden necesitar implementarse en función de los estándares/mejores prácticas actuales de la industria;
- ¿Qué otras áreas necesitan atención? Por ejemplo: ¿Tenemos suficiente capacidad de monitoreo para el tráfico de nuestra red? ¿Hay suficiente visibilidad de lo que los clientes hacen en línea como parte de sus actividades diarias sin pasar por nosotros cada vez que inician sesión?
Lista de verificación de evaluación de seguridad cibernética
Puede usar una lista de verificación de evaluación de seguridad estándar para asegurarse de que está cubriendo todas las bases con su evaluación de seguridad cibernética. Esto es especialmente importante cuando se trabaja en grandes proyectos y equipos, ya que reduce el tiempo necesario para que cada persona complete su parte del proceso.
La siguiente es una lista de verificación de muestra que puede personalizar y usar según sea necesario:
- NIST 800-53 (Marco de seguridad informática): este documento define los requisitos mínimos para la gestión de la seguridad de la información a lo largo del ciclo de vida de una organización. Describe cinco áreas de preocupación: evaluación de riesgos, pruebas de penetración, desarrollo e implementación del plan de respuesta a incidentes, desarrollo e implementación del plan de gestión de seguridad de las instalaciones, capacidad de creación/actualización de documentos de orientación de políticas
¿Qué se incluye en una evaluación de seguridad cibernética?
Una evaluación de seguridad es un proceso que utiliza herramientas y técnicas para recopilar información sobre su entorno de red. Una buena evaluación de seguridad tiene como objetivo garantizar que los datos, los sistemas y las aplicaciones de su organización estén lo más seguros posible.
Una buena evaluación de seguridad incluye:
- Alcance, cronograma y costo de la evaluación;
- El equipo que lo realizará;
- El enfoque utilizado para realizarlo (p. ej., pruebas de penetración o exploración de vulnerabilidades);
- Herramientas/técnicas utilizadas durante las fases de recopilación, como escaneo de puertos o software de fuzzing;
- Personas que reciben resultados de esta actividad, es decir, usuarios finales que revisan sus máquinas una por una (sin necesidad de registro manual), socios/proveedores que reciben informes directamente de nosotros a través de archivos adjuntos de correo electrónico.
Servicios de Evaluación de Seguridad Cibernética
Una evaluación de seguridad es una recopilación sistemática de datos para determinar el nivel de riesgo e identificar las debilidades en la seguridad de la información de su organización. El objetivo de una evaluación de seguridad es identificar brechas en los procesos y políticas actuales de su organización, así como evaluar las vulnerabilidades que los piratas informáticos podrían aprovechar.
Las evaluaciones de seguridad se pueden realizar utilizando software de código abierto como Nessus o Qualys' Vulnerability Management Suite (VMS), que le brinda una instantánea de la configuración de su red en este momento, o se pueden subcontratar (como a través de evaluaciones de seguridad cibernética). Este proceso tiene muchos beneficios: es más económico; proporciona retroalimentación en tiempo real; no hay problemas de bloqueo de proveedores porque tiene acceso a todas las herramientas a la vez, y si tiene problemas con alguna herramienta en particular durante la fase de evaluación, ¡entonces puede haber otra disponible de forma gratuita!
Ejemplo de informe de evaluación de seguridad cibernética
Un informe de evaluación de seguridad cibernética es un documento que describe la postura de seguridad actual de su organización y las brechas en ella. También proporciona recomendaciones para mejorar la seguridad cibernética de su organización, incluida la implementación de las mejores prácticas y tecnologías.
Un informe de evaluación de la seguridad cibernética debe incluir lo siguiente:
- El propósito del informe (p. ej., "Proporcionar información sobre nuestro nivel actual de protección")
- Una descripción del tipo de información que se incluirá (p. ej., "Se cubrirán los siguientes temas:")
- Una lista de referencias utilizadas a lo largo de este documento, incluidos los recursos externos que se consultaron durante su creación (p. ej., "El Dr. John Doe escribió este artículo").
¿Cuánto tiempo lleva una evaluación de ciberseguridad?
Depende del tamaño de su negocio, el tipo de evaluación que desea realizar y cuánto tiempo tiene disponible. La velocidad a la que se completará cada parte también tiene un impacto en la rapidez con la que puede obtener los resultados de un tercero, por lo que si son lentos con las respuestas o no brindan ningún resultado, podría retrasar otros proyectos. en progreso por varios días o semanas (dependiendo de cuántos recursos están involucrados). Si esto sucede, entonces, a veces, es mejor volver a intentarlo con otro proveedor hasta que aparezca uno que se adapte a sus necesidades.
¿Qué es una evaluación de seguridad del NIST?
NIST es el Instituto Nacional de Estándares y Tecnología (NIST). Es una agencia no reguladora dentro del Departamento de Comercio de EE. UU., lo que significa que no hace leyes ni hace cumplir las regulaciones gubernamentales. En cambio, NIST crea y publica estándares para edificios, electrónica y software, ¡incluidos los estándares de seguridad de la información!
La palabra “evaluación” se refiere a un proceso de evaluación en el que una organización evalúa su estado actual frente a uno o más criterios u objetivos específicos; luego toma medidas basadas en esos hallazgos. Una evaluación de seguridad puede ayudar a las organizaciones a conocer sus vulnerabilidades al observar infracciones pasadas o amenazas actuales planteadas por ciberdelincuentes; determinar si tienen suficientes recursos disponibles para prevenir futuros ataques; identifique áreas donde se podrían realizar mejoras para que los piratas informáticos vuelvan a fallar, ¡y mucho más!
¿Cuáles son las tres etapas de un plan de evaluación de la seguridad?
Una evaluación de seguridad es un proceso que involucra recopilar información sobre su red y clientes, definir los objetivos de la evaluación, diseñar un enfoque para recopilar datos de diferentes fuentes y analizar los resultados.
La primera etapa de cualquier evaluación de seguridad es la planificación. En esta etapa, decidirá qué información recopilar para evaluar la postura de seguridad cibernética de su organización. También puede considerar quién participará en la realización de esta tarea y cuánto tiempo le tomará a cada persona (y su equipo) completarla.
Una vez que haya creado su plan, ¡es hora de ejecutarlo! En esta fase, todas aquellas tareas asignadas durante la planificación comenzarán a trabajar en ellas de forma independiente o conjunta, según su nivel de experiencia.
¿Cómo empiezo una evaluación de seguridad cibernética?
El primer paso para establecer metas es definir el problema. Esto puede ser difícil si nunca lo ha hecho antes, pero debe comenzar con una comprensión clara de lo que su organización está tratando de lograr y cuál es su estado actual.
Una vez que haya definido el problema, es hora de establecer resultados medibles para ayudar a su personal a comprender cómo están progresando hacia esos objetivos. Si es posible, trate de no confiar en las percepciones de los demás sobre lo bien que lo están haciendo; siempre debe reconocer los errores y fallas como individuo o miembro del equipo (¡y no se olvide de usted mismo!). Ser ambicioso pero realista ayudará mucho a lograr el éxito aquí; piense en cosas como: “Quiero que los niveles de condición física de los miembros de mi equipo aumenten en un 20 % durante los próximos seis meses”.
Herramientas gratuitas de evaluación de la seguridad cibernética
Las herramientas gratuitas pueden ser útiles si está buscando una descripción general rápida de la evaluación de la seguridad cibernética. Le mostrarán información esencial sobre su red y le proporcionarán una instantánea de dónde están las cosas. Sin embargo, estas herramientas no son tan detalladas ni confiables como las pagas, por lo que no le brindarán todos los detalles sobre qué tan seguro es su entorno.
Las herramientas de evaluación de seguridad cibernética pagas valen su peso en oro porque entran en más detalles que las gratuitas. También son mucho más precisos cuando se evalúan los niveles de riesgo en diferentes partes de la infraestructura de su empresa (como computadoras de escritorio o dispositivos móviles).
A continuación se encuentran las mejores opciones de herramientas gratuitas de evaluación de seguridad cibernética que debe consultar.
#1. kali linux
Kali Linux es un sistema operativo popular para pruebas de penetración, también conocido como piratería ética. Está basado en Debian Linux y tiene preinstaladas más de 600 herramientas de seguridad. Esto lo hace ideal para probar la seguridad de una red o aplicación web.
Kali puede probar la seguridad de una red o aplicación web realizando varios ataques contra ella (como el escaneo de puertos).
#2. ir phishing
Go phish es un conjunto de herramientas de phishing para probadores de penetración y capacitación en concientización sobre seguridad. Brinda la capacidad de crear correos electrónicos, páginas web y mensajes SMS de phishing realistas que se pueden usar en una evaluación o en un salón de clases.
La herramienta fue creada por Adrienne Porter Felt, quien también creó el popular marco de prueba de penetración Metasploit Framework (MSF). Este proyecto tenía como objetivo facilitar que las personas que no tienen una amplia experiencia en programación construyan sus herramientas sobre las API de MSF sin tener que aprender primero cómo funcionan esas API, ¡y eso es precisamente lo que hicieron!
#3. defendiendo
Defending es un escáner de seguridad basado en la web que utiliza OWASP Top 10 para ayudarlo a encontrar y corregir vulnerabilidades en sus aplicaciones web. Se puede utilizar para pruebas de penetración y seguridad de aplicaciones web. Aún así, está escrito en Python y es de código abierto, por lo que si está interesado en obtener más información sobre sus funcionalidades, consulte su estación remota en GitHub.
#4. Aircrack-ng
Aircrack-ng es un conjunto de herramientas que se pueden utilizar para auditar redes inalámbricas. Se utiliza para auditar la seguridad WiFi y recuperar claves y contraseñas de red.
La herramienta fue desarrollada inicialmente por Simon Paška, quien descubrió que el cifrado WPA/WPA2 era vulnerable a los ataques de denegación de servicio (DoS) mediante un script automatizado conocido como "Aircrack". La primera versión de Aircrack fue lanzada en 2002 por Wichert Akkerman y Michal Zalewski.[4] En 2004, Mikko Hyppönen creó una nueva versión llamada Airmon que admite mon0 en lugar de mon0/1.[5] Para 2007, aircrack-ng se había integrado en el complemento Linux Shodan de Kismet (lanzado inicialmente en 2006).
#5. Suite de eructos
Burp Suite es una plataforma integrada para realizar pruebas de seguridad de aplicaciones web. Contiene una colección de herramientas que respaldan todo el proceso de prueba, desde la interceptación y el monitoreo del tráfico hasta la generación de informes ding.
Burp Suite puede interceptar, manipular y registrar HTTP y solicitudes y respuestas para ordenar la seguridad del sitio web o la aplicación. Incluye funciones como:
- Proxy - Inyecta cargas útiles arbitrarias en conexiones de red en vivo sin permisos especiales; también es útil para probar a terceros como Twitter o LinkedIn (que a menudo requieren permisos especiales).
- repetidor - Le permite repetir solicitudes varias veces usando diferentes entradas fácilmente; útil al probar diferentes combinaciones de parámetros/encabezados, etc., por ejemplo, cambiar los parámetros GET entre dos URL diferentes repitiendo una solicitud varias veces.
Resumen
En conclusión, cabe señalar que una evaluación de seguridad cibernética es un proceso que ayuda a las empresas a evaluar su vulnerabilidad frente a la piratería y el robo. La evaluación incluye realizar un inventario de su infraestructura de red, evaluar los riesgos involucrados con cada sistema, probar vulnerabilidades en esos sistemas y desarrollar un plan de acción para solucionar cualquier problema antes de que se convierta en un problema más significativo. Además, es esencial contar con capacitación continua para que los empleados sepan cómo protegerse mejor de los piratas informáticos que pueden intentar robar información confidencial de los sistemas de su empresa.
Preguntas frecuentes sobre la evaluación de la seguridad cibernética
¿Qué es la Evaluación de la Seguridad Cibernética?
Una aplicación de escritorio independiente que guía a los propietarios y operadores de activos a través de un proceso sistemático de evaluación de la tecnología operativa y la tecnología de la información.
¿Qué es la lista de verificación de evaluación de riesgos de seguridad?
Proporciona una lista de amenazas que afectan la integridad, confidencialidad y disponibilidad de los activos de una organización.
¿Cómo se realiza una evaluación de riesgos de ciberseguridad en 5 pasos?
- Paso 1: Determinar el alcance de la evaluación de riesgos
- Paso 2: Cómo identificar los riesgos de ciberseguridad
- Paso 3: Analizar los riesgos y determinar el impacto potencial
- Paso 4: Determinar y priorizar los riesgos
- Paso 5: Documente todos los riesgos
- EVALUACIÓN DE RIESGOS DE SEGURIDAD CIBERNÉTICA: todo lo que necesita saber
- EXTORSIÓN CIBERNÉTICA: definición, coberturas y ejemplos
- SISTEMA DE SEGURIDAD EMPRESARIAL: De Qué Se Trata, Tipos y Costo
Referencias
