Equifax: prácticas y estrategias de una postura integral de seguridad.
Share
La estrategia de seguridad de Equifax es definida tanto por la gerencia general local como por la corporativa, con objetivos a mediano y largo plazo. Hace cinco años, la empresa se propuso convertirse en un referente mundial en seguridad. Para lograrlo, han trabajado en un programa robusto de mejora continua e implementación, tomando marcos de referencia mundialmente reconocidos para la gestión de la seguridad y la ciberseguridad.
La «postura de seguridad» de una organización se refiere a su estado general de preparación y capacidad para proteger sus sistemas de información y activos contra amenazas y vulnerabilidades.
Alicia Baldeón, Oficial de Seguridad de la Información de Equifax en la oficina de Ecuador, señala que, para evaluar la posición en seguridad, realizan un benchmarking y una evaluación anual para determinar la eficacia en estos temas en relación con empresas similares. Además, al estar certificados bajo la norma ISO 27001, están obligados a adoptar y mejorar continuamente sus procesos. Para temas de adopción tecnológica han implementado marcos como COBIT e ITIL, y en ciberseguridad siguen los estándares del NIST.
Explica que, en cada uno de los servidores y servicios brindados por los distintos países, implementan agentes de software específicos que permiten , escanear las configuraciones, actualizaciones de hardware y software, el estado de hardening, asegurar que los antivirus estén actualizados, entre otras funciones. Todos los datos recopilados por estos agentes se envían a un repositorio centralizado, gestionado desde la sede corporativa en Atlanta. “Dependiendo de las circunstancias, recibimos indicadores de rendimiento semanalmente que reflejan el estado de implementación y reporte de estos agentes”.
Además, menciona que cada área interna mantiene su propia postura de seguridad, pero es importante que los agentes revisen constantemente las vulnerabilidades, amenazas y virus. “Siempre necesitamos estar al menos al 97 % con esos agentes, reportando, actualizados y siempre vigentes”. De esta manera, toda la corporación mantiene la misma postura y medición de indicadores y nos permite una comparación entre países de la región.
Las políticas y procedimientos para mantener una postura de seguridad sólida en Equifax tienen relación con varios aspectos. El compromiso de la dirección que actúa como un paraguas gigantesco, además de indicadores personales que fomentan una comprensión de la seguridad entre los empleados permitiendo que todas las áreas consideren la seguridad en todas sus actividades y consulten sistemáticamente con el departamento de seguridad.
Alicia Baldeón comenta que, en el ámbito tecnológico, dan énfasis a integrar la seguridad desde el principio del diseño de aplicaciones y servicios, antes de salir a producción y en el monitoreo posterior. “El equipo de seguridad está atento a que se cumplan los estándares de diseño seguro, lo cual incluye la implementación de políticas robustas, el uso de contraseñas fuertes, antivirus, prácticas de codificación segura y configuraciones de red apropiadas para la interacción con los usuarios”.
En relación con los colaboradores de la organización, Alicia Baldeón, enfatiza el desafío de mantener programas de capacitación continuos, alertas regulares y simulaciones frecuentes para que todos estén informados sobre las últimas amenazas de seguridad.
Uno de los indicadores clave de rendimiento (KPIs) de los colaboradores que deben cumplir está relacionado con la seguridad. Para evaluar este aspecto, utilizan una serie de indicadores específicos que miden el comportamiento de seguridad de los empleados. Estos incluyen la forma en que utilizan el Internet y los equipos tecnológicos proporcionados, el uso de tarjetas de acceso a las oficinas, entre otros. “Estas medidas nos permiten obtener el comportamiento de seguridad de cada colaborador, el cual está directamente ligado a los objetivos de cumplimiento anuales”.
Para Alicia Baldeón, un factor clave de éxito ha sido el acercamiento colaborativo hacia los distintos departamentos, evitando imponer reglas o restricciones sin antes interactuar con los responsables de los procesos y consultar cómo las políticas de seguridad podrían afectarles y explorar maneras de mejorarlas. Además, contar con una comunicación directa con el CEO de la organización.
En lo que respecta a las áreas de TI, cualquier adopción de nuevas herramientas requiere una aprobación inicial de seguridad. Baldeón señala que, en el proceso de relación con terceros, se evalúan los riesgos y la seguridad. Solo después de que tanto el tercero como su software hayan pasado estas evaluaciones se procede a trabajar con ellos.
Anualmente, realizan una revisión de la madurez de proveedores externos para asegurar que cumplen con las normas de seguridad establecidas. Si detectan algún incumplimiento, se reporta al responsable de la relación dentro de la organización para gestionar y buscar soluciones.
Hackeo ético en Equifax
Equifax realiza hackeos autorizados de manera permanente como parte de su proceso de gestión de vulnerabilidades, el cual incluye varios niveles de atención. Las vulnerabilidades se tratan según su nivel de criticidad y ha sido vital para evitar ser hackeados.
La atención a las vulnerabilidades es prioritaria y se gestiona antes que cualquier otro requerimiento. “Cuando nuestro equipo recibe información sobre una amenaza de prioridad cero, todas las operaciones se detienen y disponemos de 24 horas para resolver el problema. Si no se resuelve en este plazo, el sistema afectado se desactiva temporalmente, hasta que la vulnerabilidad sea resuelta”, indica Alicia Baldeón, OSI de la compañía.
Además, cuentan con servicios externos para realizar pruebas de pentest en aplicaciones críticas y expuestas a internet y obtener una perspectiva externa sobre la seguridad de la organización.