El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha publicado una guía para los equipos de seguridad de la información sobre cómo mantener unas defensas digitales sólidas en medio de un “periodo prolongado de amenaza elevada”.
Esto ocurre mientras crece la preocupación de la organización por el bienestar de los ciberprofesionales del país, que tienen que mantener unas ciberdefensas resistentes como consecuencia de la actual guerra cinética y cibernética entre Rusia y Ucrania.
La autoridad cibernética ha enumerado varias medidas que las empresas y organizaciones del Reino Unido pueden adoptar para garantizar que sus expertos en seguridad se mantengan felices, sanos, funcionales y eficientes durante el periodo de conflicto en curso.
Medidas a tomar cuando la amenaza cibernética es mayor, según el NCSC.
“La amenaza a la que se enfrenta una organización puede variar con el tiempo. En cualquier momento, es necesario encontrar un equilibrio entre la amenaza actual, las medidas necesarias para defenderse de ella, las implicaciones y el coste de esas defensas y el riesgo general que esto supone para la organización”, escribe NCSC, a cuyo juicio puede haber momentos en los que la amenaza cibernética para una organización sea mayor de lo habitual.
A juicio de la entidad, pasar a la alerta máxima puede
- ayudar a priorizar el trabajo de ciberseguridad necesario
- ofrecer un impulso temporal a las defensas
- dar a las organizaciones la mejor oportunidad de prevenir un ciberataque cuando puede ser más probable, y de recuperarse rápidamente si éste se produce
La guía del NCSC explica en qué circunstancias puede cambiar la amenaza cibernética y describe los pasos que puede dar una organización en respuesta a una amenaza cibernética intensificada.
Respecto de los factores que afectan al riesgo cibernético de una organización, NCSC observa que la visión de una organización sobre su riesgo cibernético puede cambiar si surge nueva información que indique que la amenaza ha aumentado. Esto podría deberse a un aumento temporal de la capacidad del adversario, si, por ejemplo, hay una vulnerabilidad de día cero en un servicio muy utilizado que los actores de amenazas capaces están explotando activamente. O podría ser más específico para una organización, un sector o incluso un país en particular, como resultado del hacktivismo o de las tensiones geopolíticas.
Estos diversos factores significan que las organizaciones de todos los tamaños deben tomar medidas para asegurarse de que pueden responder a estos eventos. Es raro que una organización pueda influir en el nivel de amenaza, por lo que las acciones suelen centrarse en reducir su vulnerabilidad al ataque en primer lugar y en reducir el impacto de un ataque exitoso. Incluso el atacante más sofisticado y decidido utilizará vulnerabilidades conocidas, configuraciones erróneas o ataques de credenciales (como robo de contraseñas, intento de uso de contraseñas violadas o reutilización de tokens de autenticación) si puede. Eliminar su capacidad de utilizar estas técnicas puede reducir el riesgo cibernético para su organización.
Medidas a tomar
Lo más importante para las organizaciones de todos los tamaños es asegurarse de que los fundamentos de la ciberseguridad están en marcha para proteger sus dispositivos, redes y sistemas. Las acciones que se detallan a continuación consisten en garantizar que los controles básicos de ciber higiene están en marcha y funcionan correctamente. Esto es importante en cualquier circunstancia, pero es fundamental durante los periodos de mayor amenaza cibernética.
Es poco probable que una organización pueda hacer cambios generalizados en los sistemas rápidamente en respuesta a un cambio en la amenaza, pero las organizaciones deben hacer todo lo posible para aplicar estas acciones como una prioridad.
- Compruebe los parches de su sistema
- Verifique los controles de acceso
- Asegúrese de que las defensas funcionan
- Registre y supervise
- Revise sus copias de seguridad
- Tenga un plan de incidencias
- Compruebe su huella en Internet
- Tenga una respuesta para el phishing
- Revise el aceso de terceros
- Informe a su organización en general
Acciones avanzadas
“Las grandes organizaciones deberían llevar a cabo todas las acciones indicadas anteriormente, para asegurarse de que se aplican las medidas de seguridad más fundamentales”, escribe la entidad, que recomienda a las organizaciones que dispongan de más recursos considerar las siguientes medidas:
“Si su organización tiene planes para realizar mejoras en la ciberseguridad a lo largo del tiempo, debería revisar si acelera la aplicación de las principales medidas de mitigación, aceptando que esto probablemente requerirá una nueva priorización de los recursos o de la inversión.
Ningún servicio o sistema tecnológico está totalmente libre de riesgos y las organizaciones maduras toman decisiones equilibradas e informadas basadas en el riesgo. Cuando la amenaza se agudiza, las organizaciones deben revisar las decisiones clave basadas en el riesgo y validar si la organización está dispuesta a seguir tolerando esos riesgos o si es mejor invertir en remediarlos o aceptar una reducción de la capacidad.
Algunas funciones del sistema, como el intercambio de datos abundantes desde redes no fiables, pueden conllevar intrínsecamente un mayor nivel de riesgo cibernético. Las grandes organizaciones deben evaluar si es apropiado aceptar una reducción temporal de la funcionalidad para reducir la exposición a las amenazas.
Las organizaciones más grandes tendrán mecanismos para evaluar, probar y aplicar parches de software a escala. Cuando la amenaza es mayor, sus organizaciones pueden desear adoptar un enfoque más agresivo para parchear las vulnerabilidades de seguridad, aceptando que esto puede tener un impacto en el propio servicio.
Durante este tiempo, las grandes organizaciones deberían considerar la posibilidad de retrasar cualquier cambio significativo en el sistema que no esté relacionado con la seguridad.
Si dispone de un equipo de seguridad operativa o de un SOC, puede ser útil considerar la adopción de medidas para ampliar el horario operativo o poner en marcha planes de contingencia para ampliar las operaciones rápidamente si se produce un ciberincidente.
Si dispone de sistemas que puedan tomar medidas o notificaciones automatizadas basadas en la inteligencia sobre amenazas, también podría considerar la posibilidad de adquirir fuentes de información sobre amenazas que puedan ofrecerle información relevante para el periodo de mayor amenaza”.