Como parte de la presentación de los resultados del Estado Actual de la Ciberseguridad Ecuador 2021, IT ahora realizó el conversatorio Fortalecimiento de la ciberseguridad de los canales digitales con el auspicio de multinacional de tecnología Lumen.
Participaron líderes de Seguridad de la Información de varias verticales de negocio: educación, gobierno, salud, sector financiero. Entre ellos, Juan Carlos Armijos, CISO de Banco de Loja; Liliana Córdova, CISO de la Escuela Politécnica Nacional; Eduardo Alvarado, CISO de la Cooperativa de la Policía Nacional; David Cuaical, Subdirector Nacional de Tecnología de la Información del IESS; Paúl Moreno; Analista de Tecnología y Seguridad Informática de Corporación Siegfried y Ricardo Pulgarín; Regional Security Solutions Architect North Latam Cluster de Lumen.
El teletrabajo propiciado por la pandemia exigió establecer acciones y lineamientos para la continuidad del negocio, las compañías dependiendo su tamaño ampliaron sus VPN y reforzaron los nuevos perímetros de seguridad.
Eduardo Alvarado, CISO de la Cooperativa de la Policía Nacional, CPN, dijo que definieron una estrategia considerando el mínimo riesgo y una seguridad robusta para mantener el control adecuado y garantizar la seguridad de los accesos desde cada punto de origen de teletrabajo hacia la organización.
La conformación de un comité de crisis encabezado por la gerencia facilitó la toma de decisiones ágiles e inmediatas en Banco de Loja en la pandemia. Juan Carlos Armijos, CISO de Banco de Loja, señaló que se adquirieron licencias para VPN y se tomaron acciones de ingeniería social para la concientización por grupos de los empleados de la institución.
En el Instituto Ecuatoriano de Seguridad Social, se implementaron alrededor de 7500 VPN para asegurar y garantizar la continuidad de los procesos internos y prestación de servicios a los afiliados, empleadores y pensionistas. David Cuaical, Subdirector Nacional de Tecnología de la Información del IESS, comenta que se implementaron acciones de detección y bloqueo de amenazas, incrementando los controles de seguridad de la Infraestructura tecnológica del IESS.
Para Paúl Moreno, Analista de Tecnología y Seguridad Informática de Corporación Siegfried, la pandemia obligó a realizar cambios disruptivos para lograr una óptima transformación digital de los procesos claves de la organización, integrando recursos digitales y humanos con aplicaciones de comunicación, estableciendo un trabajo seguro desde los hogares hacia la compañía, a través de canales y metodologías agiles. Resalta la importancia de continuar evolucionando en esta nueva realidad.
Liliana Córdova, Oficial de Seguridad de la Información de la Escuela Politécnica Nacional, EPN, la densidad digital provocada por la pandemia aumentó significativamente los riesgos cibernéticos y evidenció la necesidad de establecer una política pública sobre el uso pedagógico de las plataformas de comunicación y colaboración.
Ricardo Pulgarín, Regional Security Solutions Architect North Latam Cluster de Lumen, sostuvo que la pandemia impulsó de 1 a 10 el teletrabajo, y las previsiones señalan que en las compañías al menos la mitad continuarán bajo esta modalidad de trabajo.
Prácticas de seguridad
El plan estratégico de seguridad de Banco de Loja implementado a inicios de año, basado en las normas ISO 27000, les permitió realizar una clasificación de activos y un análisis de riesgo. Juan Carlos Armijos mencionó que los activos fueron etiquetados siguiendo una clasificación en tres niveles, y un control con herramientas automatizadas. Además, establecieron políticas y sanciones. “La clasificación de los activos de información facilitó la entrega de controles y privilegios de acceso al personal que requiere la información”.
La EPN definió la entrega de acceso a docentes y estudiantes de los recursos estrictamente necesario para sus actividades, además del seguimiento de los perfiles de seguridad. Liliana Córdova comentó que establecieron recomendaciones para los docentes sobre seguridad, el uso del doble factor de autenticación en todos los sistemas institucionales y en los sistemas de calificaciones.
Eduardo Alvarado señaló que basados en un análisis de riesgo se determina la criticidad de los activos y sobre esa base se desarrolla una estrategia que implica los controles de acceso.
David Cuaical, mencionó que el IESS cumplió con normativas específicas relacionadas con políticas y procedimientos de seguridad de información e informática, buenas prácticas de Gestión de Riegos de TI y planes de contingencia. Además, fortalecieron los procesos internos de control y análisis de vulnerabilidades, incidentes de seguridad informática y riesgos de TI y establecieron reglas y políticas a nivel de equipos de seguridad perimetral para detener amenazas y bloquearlas.
Ricardo Pulgarín señaló que al llevar la oficina a la casa el perímetro de seguridad cambió, así como las políticas de seguridad informática. En el nuevo perímetro hay que tener presente nuevos mecanismos de seguridad para implementar dependiendo del apetito de riesgo, por ejemplo, antivirus en una VPN o nuevos controles de seguridad, endpoint con gestión de activos que levante la VPN, filtre el tráfico, etc.
Finalmente, la capacitación permanente a los usuarios internos para mantener las buenas prácticas de seguridad y el buen uso de herramientas permitirá reducir esa brecha delicada al exponer la red empresarial a equipos externos en un ambiente de teletrabajo, indicó Paúl Moreno.
Conclusiones:
Ricardo Pulgarín, Regional Security Solutions Architect North Latam Cluster de Lumen, resaltó los principales retos de la seguridad focalizados en tres aspectos:
Seguridad personal:
- Es importante los temas de autenticación y autorización de acceso a la información
- La segmentación de redes, uso de firewall capa tres, switches, control de acceso a la VPN
- A nivel de seguridad personal es importante el manejo de phishing, concienciación de ciberseguridad y seguridad informática
Seguridad de la información:
- Levantamiento de la matriz de activos y los riesgos para priorizar las políticas de seguridad de la información y sus controles
- Control y protección de las fugas de información según jerarquías
- Evaluación de las sanciones incorporadas en las políticas de seguridad
- Seguimiento al manual de conducta de ciberseguridad y políticas dentro de la compañía
Seguridad informática
- Implementación de políticas de autenticación adicionales con el uso de factores biométricos.
- Definición, implementación y control de herramientas de antimalware, análisis de vulnerabilidades, seguridad informática de manera periódica.
- Implementación de soluciones de continuidad del negocio con un balanceador de data center.
- Monitoreo de seguridad de dispositivos, logs, ingeniería forense para tener una visión holística de la seguridad de la organización.