A continuación se desglosan las ocho estrategias de mitigación que conforman los 8 pilares esenciales de la ciberseguridad:

1. Control de aplicaciones. Mantener el control sobre las aplicaciones para evitar la ejecución de software no autorizado o no aprobado, por ejemplo, .exe y scripts.
2. Parchear las aplicaciones. Para remediar o arreglar cualquier vulnerabilidad identificada en las aplicaciones, manteniendo las aplicaciones al día con los últimos parches y actualizaciones instaladas.
3. Configurar los ajustes de macros de Microsoft Office. Asegurarse de que todas las macros no deseadas están bloqueadas en Internet, permitiendo únicamente las macros examinadas dentro de las «ubicaciones de confianza».
4. Endurecimiento de aplicaciones. Para proteger los sistemas contra la funcionalidad vulnerable de una aplicación. Por ejemplo, configura los navegadores web para bloquear flash, anuncios y javascript.
5. Restricción de los privilegios administrativos. Para evitar que los usuarios administradores tengan un acceso potente a los sistemas. Reevaluar periódicamente la necesidad de los privilegios.
6. Parchear los sistemas operativos. Asegurarse de que se utiliza la última versión del sistema operativo y evitar el uso de versiones no compatibles. Mitigar cualquier vulnerabilidad identificada que sea de «riesgo extremo» en las 48 horas siguientes a su descubrimiento.
7. Autenticación de múltiples factores. Para protegerse de las actividades de riesgo, la MFA incluye VPN, RDP, SSH y otros accesos remotos, para todos los usuarios que tengan acceso privilegiado a sistemas y redes sensibles.
8. Copias de seguridad periódicas. Mantener copias de seguridad diarias para garantizar que el acceso a los datos críticos esté siempre disponible, incluso en caso de ciberataque o incidente.

Para ayudar a la implementación, el marco de los pilares de la ciberseguridad se complementa con un modelo de madurez, construido sobre la base de la experiencia en la producción de inteligencia sobre ciberamenazas, la respuesta a incidentes de ciberseguridad, la realización de pruebas de penetración y la experiencia previa en la asistencia a empresas en la implementación de los pilares esenciales. El modelo de madurez consta de cuatro niveles de madurez diferentes (del nivel de madurez cero al nivel de madurez tres).

Al implantar los pilares de la ciberseguridad, las empresas deben identificar un nivel de madurez objetivo adecuado para su entorno, y luego trabajar progresivamente para que cada uno de los ocho controles de seguridad ascienda cada nivel de madurez hasta alcanzar ese objetivo. Como los ocho controles o estrategias de seguridad se complementan entre sí, las empresas deben planificar la consecución del mismo nivel de madurez en las ocho estrategias antes de pasar a niveles superiores.

Se recomienda que las organizaciones se propongan alcanzar el nivel de madurez 3 para cada estrategia de mitigación. Una vez alcanzado, es importante que las organizaciones mantengan ese estado y reconozcan que el nivel 8 esencial es sólo una línea de base para la ciberseguridad.

• Conciso y claro: Proporciona directrices claras a las organizaciones que buscan reducir la posibilidad de ser víctimas de violaciones de datos.
• Riesgo frente a respuesta: los diferentes niveles de madurez permiten a las organizaciones mitigar el riesgo a un nivel igual al del adversario al que probablemente se enfrenten. Lo que puede ser útil cuando se busca alinear con los objetivos de gestión de riesgos.
• Facilidad para alcanzar los objetivos de cumplimiento: con resultados claros, es fácil para las organizaciones demostrar su cumplimiento de un determinado nivel de madurez.
• Centrarse en las soluciones técnicas: las estrategias de los pilares de la ciberseguridad se centran en los factores técnicos para la mitigación.

Veamos un ejemplo de estrategia para implantar el marco de principio a fin utilizando una metodología de mejora continua de la ciberseguridad. A continuación se describen las fases clave a alto nivel:

Fase 1: Evaluar. Se definirá el alcance del compromiso y se llevará a cabo una evaluación de la ciberseguridad para identificar la alineación de los sistemas, políticas y procesos TIC actuales con el marco de los pilares básicos de la ciberseguridad.

Fase 2: Planificar. A partir del resultado de la Fase 1, se revisarán las actividades de corrección identificadas y se priorizarán en función de los requisitos de la organización y la madurez recomendada.

Fase 3: Ejecutar. Asistir a la empresa en la implantación de los controles identificados en la Fase 2.

Fase 4: Supervisar. Esta fase suele realizarse mensualmente como una actualización del progreso, con una reevaluación anual de las actividades realizadas y la madurez alcanzada, de la que se informa a la alta dirección.

Fase 5: Mantener. Esta fase es continua después de la Fase 2, para garantizar el seguimiento del progreso y la aplicación de mejoras, para mantener el nivel de madurez requerido.

Con el aumento de los ataques a la ciberseguridad, la mayoría de las empresas carecen de las habilidades y el tiempo necesarios para mitigar sus riesgos y acuden a otras empresas especializadas donde se ofrece un servicio integral totalmente gestionado que protege y certifica tu negocio, lo que resulta en la mitigación de tus riesgos, la creación de confianza y la captación y retención de clientes. Conviértete en un experto con un curso de seguridad informática para saber más sobre cómo puedes proteger tu empresa o trabajar como especialista.