En el mes de la ciberseguridad y luego de ser testigos de un nuevo incidente en la industria financiera cabe preguntarse el real aporte que tendrá la RAN 20-10 liberada por el CMF, la cual comenzará a regir el 1 de diciembre de este año, estableciendo los lineamientos y mejores prácticas que deben cumplir las entidades en la gestión de la seguridad de la información y ciberseguridad.

Si lo vemos desde la perspectiva de los Basics de seguridad de la información y ciberseguridad, todo indica que está en la dirección correcta. Revisemos cuáles son estos conceptos básicos que indica la RAN 20-10.

  1. Entre ellos, destaca la responsabilidad que tendrán los Directorios en la aprobación de las estrategias de ciberseguridad de sus instituciones
  2. Identificación de activos. El nivel de detalle utilizado en la identificación y caracterización del activo debe ser suficiente para la adecuada gestión de los riesgos asociados. Vale decir, conocer la superficie de ataque
  3. Realizar regularmente, con el suficiente alcance y profundidad, pruebas de seguridad, tales como ethical hacking y/o pentesting. Considera también la evaluación de sus controles existentes de manera de conocer su efectividad y suficiencia
  4. Gestión de las configuraciones y obsolescencia, lo que permite asegurar adecuados controles en la infraestructura TI
  5. Implementar un programa de gestión de parches para asegurar que éstos sean aplicados tanto al software como al firmware de manera oportuna
  6. Gestión de identidades y de los privilegios otorgados a los usuarios en los sistemas y aplicaciones
  7. Security Operation Center (SOC) que opere las 24 horas del día a fin de prevenir, detectar, evaluar y responder a amenazas e incidentes de ciberseguridad

Lo anterior se alinea con las buenas prácticas y recomendaciones de organizaciones internacionales como el Center for Internet Security (CIS) en sus controles hígénicos. Esto es, identificar los activos (hardware y software), configurarlos de manera segura, evaluar sus vulnerabilidades, controlar a los usuarios con privilegios, y monitorear.

Si bien la industria financiera lleva la delantera en estas materias y ciertamente tiene un nivel de madurez mayor que otras, no es la única que está avanzando en un marco normativo. El Coordinador Eléctrico Nacional – CEN – durante este mes de la ciberseguridad lanzó su estándar de Ciberseguridad (NERC-CIP) para el sector eléctrico de Chile, el cual busca convergencia con las demás normas y procesos de los distintos sectores del país, a fin de tener un lenguaje común que permita dar una respuesta coordinada frente a las distintas amenazas e incidentes informáticos.

Restando solo un par de meses para que finalice el presente año, el cual nos ha dejado una importante enseñanza en términos de resiliencia y adaptación, y a la vista de los últimos incidentes dados a conocer en la industria financiera y el reciente compromiso de la clave única, quedan dudas respecto de si lograremos los objetivos planteados por la Política Nacional de Ciberseguridad (PNCS) hacia el 2022, siendo su principal objetivo el lograr para Chile un ciberespacio libre, abierto, seguro y resiliente.

Sin lugar a dudas las normativas ya mencionadas van en la dirección correcta, pero sabemos que se requiere mucho más que normas para mejorar el gobierno y la gestión de la seguridad de la información y la ciberseguridad. También es necesario el compromiso real de las organizaciones para tomarse en serio la seguridad de la información y la ciberseguridad.

 

 

Acerca del autor:

Miguel Rosales M. es fundador y CEO de Adaptive Security, cuenta con una especialización en Cybersecurity en el Massachusetts Institute of Technology (MIT) y con la certificación internacional ISC2 – Certified Information Systems Security Professional (CISSP).

OFICINA

SIGUENOS

Copyright © 2023 ADAPTIVE SECURITY

AVISO LEGAL
POLÍTICA DE PRIVACIDAD