- Realiza un programa de análisis de riesgos de TI, es vital saber cuáles son los puntos débiles de tu organización y donde se debe mejorar.
- Realiza frecuentemente copias de respaldo de toda la información crítica, la frecuencia dependerá de que tan actualizada necesitas la información.
- Ten a la mano un plan de recuperación de desastres, es decir, que hacer en caso de una catástrofe en TI, como por ejemplo, se fue el fluido eléctrico, no hay acceso al centro de datos o estamos en pandemia.
- Evalúa periódicamente la controles actuales, es bueno saber si los controles que tienes están haciendo su trabajo o si por el contrario en algún momento se desactivaron y siguen sin operar.
- Desarrolla un plan de respuesta a incidentes de ciberseguridad, es importante saber que hacer o como actual en caso de que se materialice un incidente grave e la organización.
"Empresa fuerte con ciberseguridad" es el lugar donde encontrarás todo lo que necesitas para fortalecer la ciberseguridad de tu organización. Desde consejos prácticos hasta soluciones paso a paso, te guiaremos en la protección de tus activos y la prevención de riesgos cibernéticos. Únete a nosotros en la lucha por una empresa más fuerte y segura en el mundo digital.
Cinco cosas que debes hacer para exorcizar a los hackers
Para que sirve un análisis de riesgos en tecnología.
Si realmente quiere abordar adecuadamente el tema de ciberseguridad en su organización entonces debe empezar por este aspecto: el análisis de riesgos, ya que esto le permitirá definir proyectos e iniciativas que le ayudaran a atacar la ciberseguridad de forma organizada.
El análisis de riesgos consiste en evaluar el riesgo al que está expuesta la organización y en concreto, los activos. Aquí la palabra activo se refiere a equipos, personas o lugares (entre otros) que contenga información y tenga valor para la organización, por lo tanto se debe proteger.
A continuación veremos un conjunto de fases que son comunes a las metodologías de análisis de riegos:
Fase 1: Determine el alcance que va a tener el análisis de riesgos. En la mayoría de los casos cuando se está empezando con riesgos, el alcance es el área o departamento de Tecnología Informática.
Fase 2: Identifique claramente los activos que van a ser evaluados, recuerde que acá, un activo es algo que tiene o procesa información y que adicionalmente tiene valor para la organización.
Fase 3: Identifique las amenazas a las que están expuestos los activos. Por ejemplo: Internet, incendios, inundaciones, virus etc.
Fase 4: Aquí es donde ingresa el análisis de vulnerabilidades técnicas el cual evalúa la existencia de vulnerabilidades en el hardware o software de la organización, adicionalmente también se debe tener en cuenta la evaluación de vulnerabilidades no técnicas como por ejemplo personal no capacitado.
Fase 5: Un control es algo que se tiene para evitar que se materialice un riesgo, por ejemplo un antivirus, eso es un control que se tiene para evitar los virus, ya teniendo esto claro, en esta fase se analizan los controles existentes como por ejemplo el firewall, antivirus, copias de respaldo entre otros.
Fase 6: En esta fase se puede calcular en riesgo con base en la información recolectada de activos, amenazas, vulnerabilidades y controles.
Fase 7: Una vez evaluados los riesgos y habiendo definido el nivel de riesgo aceptable, se procede a tratar los riesgos que superen el nivel definido para lo cual existen cuatro estrategias:
- Transferir el riesgo: la compra de un seguro es un ejemplo de la transferencia de un riesgo.
- Eliminar el riesgo: eliminar el servicio de Internet gratuito para visitantes.
- Asumir el riesgo: cuando se tienen aplicaciones implantadas en sistemas obsoletos, la organización decide asumir el riesgo porque no tiene como solucionarlo.
- Mitigar el riesgo: esta es la estrategia más común y consiste en aplicar controles para reducir el nivel de riesgo, un ejemplo es la adquisición de nueva tecnología como firewalls modernos.
Ya que el volumen de información que se maneja en un ejercicio de análisis de riesgos es bastante alto, lo recomendado es que apoye de una solución de software, esto le ahorrará, tiempo y esfuerzo.
Los resultados del análisis de riesgos le permitirá proponer proyectos e iniciativas orientados a proteger la información de su organización.
En resumen, el análisis de riesgos sirve para identificar los activos críticos para la organización, al igual que el riesgo al cual están expuestos.
Si desea mayor información o quiere contratar servicios, por favor use este formulario: https://www.activosti.com/contact.html
Ciberseguridad, revisión mínima al recibir un cargo responsable de TI.
El mundo de la ciberseguridad cambia constantemente, cada semana se reportan más de cien nuevas vulnerabilidades, los riesgos empresariales cambian constantemente y saber en que estado se encuentra el riesgo digital es responsabilidad de director de tecnología, gerente, coordinador o el cargo responsable de TI.
A menudo se reciben cargos directivos en esta área, los cuales involucran la responsabilidad de la ciberseguridad por lo que se carga con el cuidado de los datos digitales de la organización.
Estos son algunos de los posibles asuntos que deberá atender cuando se recibe un cargo de estos:
- Documentación actualizada de infraestructura y red interna.
- Existencia y estado del plan de tratamiento de riesgos.
- Existencia y estado del plan de continuidad del negocio.
- Existencia y estado del plan de recuperación de desastres.
- Existencia y estado del plan de gestión de vulnerabilidades de TI.
- Análisis de brecha para determinar el estado de la ciberseguridad contra el marco de ciberseguridad del NIST, ISO 27001, COBIT, entre otras.
- Revisión de los resultados del ultimo análisis de riesgos de TI.
Adicionalmente, y dependiendo del cargo, propender por la revisión técnica de lo siguiente:
- Estado de las copias de respaldo de la información crítica.
- Verificación y cambio de las claves de acceso.
- Análisis de vulnerabilidades en toda la superficie de ataque.
- Verificación de la correcta operación de la seguridad perimetral. Detección y contención.
- Análisis y revisión de controles internos.
Estos son solo algunos de los asuntos que se deberán atender, como siempre, esto depende de cada organización y del nivel de evolución tecnología que se tenga. Se podría incluir asuntos como revisión del licenciamiento y otras cosas, pero aquí nos centramos en lo mínimo que debería tener ciberseguridad.
Atender estos asuntos le garantizan como mínimo el 80% de la revisión de la ciberseguridad, si no los tiene, se deberá propender por la implementación lo antes posible.
Ingeniería social: el arte de "hackear" el sistema operativo humano.
Los delincuentes informáticos siempre buscan formas para acceder a la información de forma no autorizada y obtener beneficios económicos. Muchas de las técnicas que utilizan están relacionadas con el acceso a los sistemas informáticos mediante la explotación de alguna vulnerabilidad no atendida, no obstante, en ocasiones los sistemas están bien asegurados y sin embargo el delincuente logra ingresar en el sistema mediante el uso de credenciales válidas obtenidas de manera fraudulenta de un usuario autorizado, a esto se le conoce como ingeniería social.
La ingeniería social es una técnica utilizada desde hace mucho tiempo para "hackear el sistema operativo humano" es decir hacer que las personas realicen acciones no deseadas que puedan llegar a poner en riesgo la información personal o de la organización.
Los objetivos que persigue la ingeniería social son los mismos que tiene el "hacking": ganar acceso no autorizado a sistemas informáticos, redes, datos digitales o información y esta dirigida generalmente a organizaciones que pueda llegar a tener información de interés para el atacante.
Existen un gran numero de situaciones en las cuales se puede poner en riesgo información confidencial, estas son solo algunas de ellas:
Almuerzo de trabajo en sitios públicos: es impresionante la cantidad de información que se puede reunir en un restaurante, muchos de los empleados hablas acerca de nuevos proyectos, futuros negocios, nuevas contrataciones o despidos. Evite hablar de asuntos confidenciales en sitios públicos incluido el transporte público.
Reutilización de papel impreso: preste atención cuando se reimprime en papel utilizado para ahorrar dinero y ser ecológico, en algunas ocasiones la información que esta en el otro lado de la página puede ser importante, por ello, las destructoras de papel son de gran ayuda y los residuos se pueden reciclar.
Información confidencial en la basura: mucha de la información confidencial de la organización es impresa, y esta se desecha al tacho de la basura directamente, nuevamente se recomienda una destructora de papel.
Puestos de trabajo con información confidencial expuesta: anteriormente se requería que el atacante robara documentos físicos para extraer información, hoy en día basta con un dispositivo móvil para tomar fotografías de la información confidencial y nadie sospechará del robo. Mantenga una política de escritorios limpios, bloquee la pantalla de su ordenador cada vez que se ausente de su puesto y manténgase alerta de personas desconocidas cerca de las oficinas.
Existen un gran número de situaciones adicionales donde un delincuente puede llegar a intentar obtener datos, estas son algunas de ellas: phishing, tailgating, shulder surfing, dumpster diving entre otros.
El perpetrador experto en estas técnicas también puede llegar a tener dotes de carisma, persuasión y manipulación para intentar obtener información de empleados y contratistas.
La mejor manera de proteger a la organización contra los ataques de ingeniería social es mantener el personal capacitado y concientizado, por ello, incluir charlas regulares y campañas recurrentes acerca de este tema, mantendrá a su personal alerta para detectar esta clase de amenazas.
Recuerde que el empleado es el eslabón más débil de la cadena de seguridad, capacitarlo, aumentará la seguridad de su organización.
Como estar preparado para un incidente de ciberseguridad.
Detectar un incidente a tiempo es una buena medida para saber que su esquema de ciberseguridad esta operando adecuadamente, tener monitoreo y métricas adecuadas le puede permitir actuar acertadamente cuando se presente un incidente.
Lo recomendado es que tenga preparado un “Plan de respuesta a incidentes de ciberseguridad” el cual contendrá los pasos necesarios para atender de forma organizada un incidente.
El rollo comienza cuando no se han realizado las tareas para cerrar las posibles brechas por donde los atacantes puedan atentar contra la infraestructura, adicionalmente, si no se monitorean las alertas de las consolas que administradas los principales servicios de la organización no podrá detectar un posible ataque. La aplicación de los controles preventivos le cierran la puerta a más del 90% de los incidentes de ciberseguridad.
Afortunadamente se existen protocolos que apoyan para saber como atender de forma organizada un posible incidente de ciberseguridad. El siguiente esquema esta basado en el NIST: Computer SecurityIncident Handling Guide.
Existen mucho otros protocolos para atención de incidentes, la mayoría contempla los siguientes paso:
Preparar: Capacitar al personal de seguridad para manejar posibles incidentes mediante entrenamiento, equipamiento y práctica.
Identificar: detectar y decidir si un incidente cumple las condiciones para ser considerado un incidente de seguridad para la organización, y valorar su severidad.
Contener: contención del incidente mediante el aislamiento de sistemas comprometidos para evitar daños transversales a otros sistemas.
Erradicar: detectar la causa raíz del incidente y eliminar las vulnerabilidades de los sistemas afectados.
Recuperar: restaurar los sistemas afectados y asegurar que todos los sistemas están libres de vulnerabilidades y amenazas.
Aprender: analizar los registros de incidentes, actualizar el plan de respuesta y completar la documentación del incidente.
Es más económico para la organización el tener controles preventivos que actuar reactivamente ante un incidente, adicionalmente el contar con un “plan de respuesta a incidentes de ciberseguridad” ayudara en saber como atender el caso, que se puede hacer y que no se debe hacer, por ejemplo reinstalar equipos sin preservar la evidencia para saber por donde fue que ocurrió el incidente.
Un apunte adicional, si su organización no ha contemplado trabajar organizadamente los temas de ciberseguridad tenga en cuenta que una de estas tres cosas pueden pasar:
- Fue atacado y no se dio cuenta.
- Esta siendo atacado y no lo ha detectado.
- Puede ser víctima de ataques y no se va a enterar.
Ciberseguridad: cinco aspectos que su organización debe tener en cuenta.
A menudo se ve en las noticias titulares acerca de empresas que han sido “hackeadas” y las terribles consecuencias que esto trae para ellas y sus clientes. Los daños que sufren van desde la pérdida de imagen, aliados, clientes e ingresos hasta el cierre total. La pregunta que se debería hacer es: ¿por qué fue “hackeada”? ¿estaba preparada la empresa para esta clase de eventos?. A continuación se enumeran cinco aspectos que debe tener en cuenta para proteger su organización de posibles ataques de ciberseguridad.
1. Parches de software.
El software que está instalado en la organización tiene vulnerabilidades que deben ser corregidas mediante la instalación de parches. La mayoría del software requiere de actualizaciones que deben ser aplicadas periódicamente para mantener su operación y seguridad. Muchos de los ataques se deben a que el atacante sabe de la existencia de esas vulnerabilidades y busca comprometer los equipos que no tienen instalados los parches necesarios. Lo recomendado es aplicar parches periódicamente y mantener un correcto programa de gestión de vulnerabilidades, ya que un parche no aplicado es una vulnerabilidad que puede explotar un atacante.
2. Como está la empresa en temas de ciberseguridad.
Existen sendos marcos contra los cuales se pueden comparar el estado de la ciberseguridad de la organización. Uno de los recomendados es el Marco de Ciberseguridad del NIST, debido a su sencillez y facilidad de uso. Este marco le permite determinar el estado inicial de la ciberseguridad de su organización y le permite definir un mapa de ruta para avanzar en la implementación de controles que le van a ayudar a manejar el tema de la ciberseguridad.
3. Que hacer en caso de ser “hackeado”.
Tenga en cuenta que por más controles preventivos que ponga, existe la posibilidad de que se materialice un incidente de ciberseguridad, lo mejor para estos casos es estar preparado y saber que hacer en el caso de que los sistemas sean comprometidos. Para esto, tener un plan de recuperación de desastres es una muy buena opción, un plan de continuidad del negocio sería aún mejor.
4. Acceso a personal cualificado en ciberseguridad
Contar con acceso a personal con experiencia y conocimiento en ciberseguridad es de gran importancia para atender este tema, ya sea que esté contratado directamente por la empresa o que se tenga contratado como servicio con una empresa especializada. Esto no garantiza que no vaya a ser atacado sin embargo el no tenerlo podría aumentar sus riegos y costos.
5. Software libre y software gratuito con precaución.
Reducir los costos mediante el uso de software libre o gratuito tiene sus riesgos debido al soporte que debe tener esta clase de software. Un ejemplo clásico es Linux, este sistema operativo está inmerso en muchas empresas y al igual que Windows, debe tener el mantenimiento y la administración adecuada. Como recomendación, use esta clase de software con precaución.
Tenga en cuenta estos cinco aspectos para reducir el nivel de exposición de su organización, no son los únicos pero si unos de los más importantes. Recuerde que la ciberseguridad es propia de cada organización, lo que se tiene contemplado para una no necesariamente aplica para otra, asesórese.
Ciberseguridad: cinco aspectos a tener en cuenta para evitar dolores de cabeza.
Son nuevos tiempos, nuevos desafíos, los momentos en los que se contrataba personal y no se capacitaba quedó atrás, la tecnología avanza a pasos agigantados y por ende día a día salen nuevos tipos de ataques cibernéticos que buscan hacerse con los datos de las empresas o que simplemente los secuestran para pedir dinero a cambio de liberarlos. A continuación enumeraremos cinco aspectos que debe considerar para mantener activa la seguridad de su información:
Capacitación
Cuando hablamos de capacitación no solo nos referimos a que los técnicos sepan operar la tecnología de la organización, nos referimos a capacitar todo el personal de la empresa, recuerde que ellos son la primera barrera de defensa contra un ataque cibernético. Un alto ejecutivo que sepa detectar un ataque de phishing, una secretaria que detecte un email falso, son dos ejemplos de personal capacitado que pueden llegar a detener un posible ataque a la organización.
Identificación de riesgos
Saber identificar cuáles son los puntos débiles de la tecnología que posee la organización le permitirá tratar los riesgos en el momento adecuado, navegar a ciegas puede llegar a costar 1.000 veces más de lo que puede costar el invertir en un análisis de riegos, incluido análisis de vulnerabilidades técnicas.
Plan de respuesta a incidentes
Saber que hacer cuando se presenta un incidente es de vital importancia para proteger la información de la organización. Puede tener un equipo interno capacitado en atención de incidentes de ciberseguridad o puede contratar el servicio con una compañía especializada en el tema.
Plan de recuperación de desastres
Este ítem va de la mano con el anterior, pero acá nos centramos en que ya tenemos un plan para seguir operando mientras se soluciona el incidente de ciberseguridad. Centro de datos alterno, servicios en la nube, tecnología probada y copias de respaldo actualizadas son algunos elementos a tener en cuenta para tener un buen plan de recuperación de desastres.
Cultura de ciberseguridad
La protección de la información como cultura organizacional le garantiza que los usuarios van a saber tomar decisiones adecuadas para proteger la información de la organización. No es una tarea a corto plazo, lleva su tiempo el implantarla dentro de la empresa y su adopción debe empezar por la alta dirección. Tres son los aspectos que debe tener en cuenta: concienciación, entrenamiento y desarrollo continuo.
La ciberseguridad debe convertirse en uno de pilares de la organización, no por nada fue catalogado como uno de los principales riesgos que pueden llegar a afectar una organización. (revista Risk in Focus 2020).
Mantener un balance entres estos cinco aspectos le puede evitar dolores de cabeza previniendo la materialización de incidentes de ciberseguridad.
Como determinar el alcance de unas pruebas de seguridad por primera vez.
El principal asunto cuando se desea verificar el estado de la seguridad de la organización por primera vez, es determinar el alcance del proyecto, es decir, elegir a que se le va a hacer pruebas y como se van a hacer.
Lo recomendado inicialmente es contratar una empresa especializada que ayude con esta labor. Antes de empezar algún proyecto, debe tener en cuenta que se deben firmar como mínimo estos tres documentos:
Acuerdo de confidencialidad: Protege la organización de la empresa contratada.
Autorización de trabajo: Se autoriza a la empresa para que ejecute las pruebas con un alcance y tiempo determinado.
Reglas de juego: Definir que esta autorizada y que no esta autorizada a realizar la empresa contratada, quien da las autorizaciones y permisos requeridos.
Antes de contratar una empresa, verifique que cuenta con lo siguiente: experiencia, software licenciado, personal capacitado, estar legalmente constituida y que pueda entregar pólizas de garantía.
A continuación se listarán las pruebas básicas para empezar:
Revisión de la arquitectura de la red de la organización: con esto verificará que el diseño de la red es el adecuado para proteger la información digital.
Análisis de vulnerabilidades a todos los equipos de la organización: Se necesita identificar vulnerabilidades en todos los equipos. Credenciales.
Pentest interno tipo caja negra (sin dar información): Es la forma más recomendada para verificar el punto de vista de un atacante.
Pentest caja gris para verificar la seguridad del core del negocio: Se requiere para revisar el estado de los equipos relacionados con la información crítica.
Pruebas de ingeniería social aleatorio: En este punto se evaluará si los empleados saben identificar un ataque.
Pruebas de verificación de controles: Aquí se evaluará si los equipos y software adquiridos está operando adecuadamente y haciendo el trabajo para el cual se compraron.
Las pruebas de análisis de vulnerabilidades se deben realizar con credenciales, las demás, depende del alcance que les quiera dar. La pruebas también pueden ser de tipo internas (cuando se realizan desde dentro de la organización, esto mide un atacante interno) o pueden ser externas (ver la posición de un atacante externo).
Por lo general, los resultados de las pruebas se entregan en tres documentos:
Informe ejecutivo: documento para personal no técnico que requiere entender cuál fue el resultado de las pruebas. Debe contener conclusiones y recomendaciones.
Informe técnico: documento para personal técnico que se va a encargar del cierre de las vulnerabilidades halladas. Esto no es el reporte de las herramienta, esto corresponde a la verificación de los resultados por parte de un especialista en seguridad.
Plan de remediación: documento técnico con priorización de cierre de vulnerabilidades.
Reporte de salida de las herramientas utilizadas: son los datos en crudo entregados por las herramientas utilizadas.
Recuerde que esta clase de pruebas se deben de realizar periódicamente para lo cual lo recomendado es realizar un contrato anual con ejecución mensual de análisis de vulnerabilidades, las demás pruebas, para ejecución de una o dos veces por año, claro esta que esto depende de cada organización.
Tecnología obsoleta: ahorro de dinero vs ciberseguridad.
Muchos de los procesos de la organización se ven en problemas cuando la alta dirección no ve prudente actualizar la tecnología existe porque siempre ha operado bien y no ha puesto problemas, esto es válido desde el punto de vista de que: "algo que siempre ha funcionado bien no se cambia", pero que sucede cuando lo que esta operando tiene vulnerabilidades que no han sido detectadas y estas vulnerabilidades están siendo explotadas sin darnos cuenta de ello, poniendo en riesgo la información digital de la organización. En este articulo vamos a ver las principales amenazas que pueden afectar los procesos de la organización:
- Un módem que conecta la empresa a Internet desde hace varios años. Los módem desactualizados contienen contraseñas obsoletas de fácil acceso para un delincuente. Por seguridad, pida a su proveedor que actualice su módem.
- Un sistema operativo que ya no es soportado por el fabricante. Actualice los sistemas operativos que ya no tienen soporte por el fabricante ya que todo sistema operativo tiene un tiempo de vida útil, después d este tiempo el sistema es vulnerable.
- Aplicaciones que siempre han funcionado. Actualice las aplicaciones, si persisten aplicaciones sin código fuente o demasiado obsoletas, ya es tiempo de actualizar su desarrollo.
- Bases de datos fuera de mantenimiento. Esto es quizás uno de los riesgos mas grandes ya que en las bases de datos es donde se encuentra la información critica de la organización.
- En general, dispositivos con mas de 5 años de uso.
Como puede observar, mantener tecnología obsoleta puede poner en riego la información digital de la organización, lo recomendado en estos casos es mantener actualizada la tecnología en cada uno de los procesos críticos de la organización.
Cuando se suprimen controles para ahorrar dinero
Dos grandes variables que siempre van a estar en la cima de las organizaciones son la información y el dinero, por ello, la inversión en tecnología y seguridad orientada a proteger los datos les permite enfocarse en maximizar sus utilidades, el asunto es que cuando se requiere reducir o recortar presupuesto, en la mayoría de los casos se inicia por las áreas de tecnología afectando la renovación o adquisición de soluciones que son usadas para mantener a raya a los delincuentes.
Estos son algunos de las soluciones básicas con las que debe contar una organización para proteger su información digital:
- Protección de usuario final (antivirus, anti ransomware).
- Protección de correo electrónico.
- Protección de perímetro (firewall).
- Protección de información (backup).
- Acceso remoto seguro (VPN).
- Protección de navegación.
- Protección de servidores.
- Cifrado de información crítica.
Estas son solo algunas de las soluciones básicas que deben seguir operando en una organización, pero como siempre, todo depende de las prioridades o objetivos de negocio de cada organización, por ello, es bueno determinar cuáles son esos activos críticos que deben ser protegidos y que no se les puede reducir los controles existentes ya que el nivel de riesgo puede elevarse.
Como recomendación final, tener cuidado cuando se desea reducir costos suprimiendo o quitando controles que protegen la información ya que su recuperación puede llegar a salir mas costosa que el ahorro que se está haciendo.
Acerca del ransomware, las copias de respaldo y su importancia.
Ransomware es un virus que infecta los equipos haciendo un encriptado (cifrado) de la información. Este virus es controlado por atacantes que piden dinero electrónico (bitcoins) para darle de nuevo acceso a su información. Los atacantes no se pueden rastrear y es difícil dar con su paradero, adicional que solo dan días para el pago del rescate o la información será eliminada.
Esta clase de virus ataca principalmente a equipos que no están actualizados y que no cuentan con un antivirus que detenga esta clase de ataques. No hay diferencia entre el tamaño o sector de las organizaciones.
Si fue atacado y quiere saber si existe una herramienta que le ayude a recuperar su información, puede visitar el siguiente sitio web: https://www.nomoreransom.org/. Este sitio no es el único pero si uno de los que se actualizan constantemente.
Gran parte de estos ataques no tienen solución y se debe recurrir a las copias de respaldo más recientes que se tengan ya que el pago del rescate no garantiza que le sea regresada su información digital, adicional que el precio es bastante elevado pasando por el cobro de un (1) bitcoin por equipo, el cual al día de hoy está cercano a los $11.000 dólares, más de 40 millones de pesos colombianos. Tampoco se recomienda recurrir a terceros ya que algunos de ellos exigen pagos por anticipado para recuperar la información sin ofrecer garantías de que sea posible recuperarla.
Es aquí donde cobra importancia el tener una copia actualizada de respaldo de la información digital. Estas son algunas de las recomendaciones yendo desde lo más simple hasta lo más complejo dependiendo de su organización:
- Mantenga una copia de respaldo de la información preferiblemente fuera del equipo que la contiene.
- Las copias de respaldo deben de estar resguardadas fuera de la oficina o edificio y preferiblemente en custodia de un tercero. Las buenas prácticas hablan de fuera de la ciudad, con las nuevas tecnologías, la nube es una buena opción.
- Las copias de respaldo deberán de ser tan frecuentes como sea el cambio de la información que se desea recuperar en caso de algún incidente. Ejemplo: Una copia anual, otra mensual (retención de seis meses) y otra semanal (retención de cuatro semanas) todo depende de cada organización.
- Solo se debe permitir el acceso a las copias de respaldo a las personas que estén debidamente autorizadas. Este es un punto crítico porque en algunas ocasiones los atacantes revisan copias de respaldo en lugar de equipos en producción.
- Se debe verificar que las copias de respaldo son recuperables en caso de ser requeridas. Lo recomendado es realizar este ejercicio por lo menos dos veces al año.
- Si la copia se realiza en medios magnéticos como CDs, discos duros, cintas, memorias USB, SAN, NAS, entro otros, recuerde que estos elementos tienen un tiempo de vida útil, por lo que si requiere guardar la información por un tiempo prolongado es mejor que prevea su reemplazo.
- Si cambia el software o hardware con el cual realizó las copias de respaldo, recuerde que solo con ese hardware o software podrá tener acceso para recuperar la información. Mantenga lo necesario para recuperar la información.
Estas son solo algunas recomendaciones para mantener a salvo las copias respaldo de la información, sin embargo, recuerde que todo depende de la organización y los procesos que tenga.
Recomendación final, mantenga actualizado su programa de copias de respaldo inclusive si tiene alta disponibilidad en su infraestructura.
Menú de pruebas de seguridad informática
- Análisis de vulnerabilidades: Es una tarea automatizada por medio de la cual se verifica si las vulnerabilidades reportadas a nivel mundial se encuentran presentes en los equipos que se están analizando.
- Pentest o hacking ético: procedimiento formal que tiene como objetivo descubrir vulnerabilidades de seguridad, riesgos de fallas y un entorno poco confiable. Puede verse como un intento exitoso pero no dañino de penetrar en un sistema de información específico.
- Caja negra: Sin información solo el objetivo de las pruebas.
- Caja gris: Información parcial como los equipos a los cuales se les va a hacer pruebas.
- Caja blanca: Información completa para poder determinar las vulnerabilidades con conocimiento del objetivo.
- Hardening o aseguramiento de equipos: Aseguramiento de equipos de acuerdo con las mejores prácticas de la industria, alguna normatividad o línea base de la organización.
- Auditoria de seguridad informática: Comparar algo que existe contra algo que debería existir ya sea una normatividad, mejores prácticas o línea base previamente establecida.
- Análisis de vulnerabilidades en código fuente: Búsqueda de vulnerabilidades en código fuente desarrollado. Esta clase de pruebas es propia de las organizaciones que desarrolla software para uso interno o de terceros.
- Pruebas de ingeniería social: Esta clase de pruebas se pueden definir como “el arte de hackear al ser humano”, es decir, hallar vulnerabilidad en las personas. Esto se puede corregir mediante las capacitaciones empresariales.
- Red Team: Equipo dedicado a la ejecución permanente de ataques de pentest controlados. Es utilizado en grandes organizaciones que cuentas con los recursos necesarios para esta clase de pruebas.
- Pruebas de estrés: Pruebas orientadas a determinar cuál es el punto máximo de stress que puede resistir un aplicativo o un servicio. Pueden ser con equipos reales (más costoso) o con equipos simulados.
- Pruebas de efectividad de controles: Estas pruebas corresponden a la evaluación de los controles existentes.
- Pruebas de recuperación de desastres: Si la organización cuenta con un pla de recuperación de desastres, este se debe probar para verificar que realmente funciona. Lo recomendado es que se haga dos veces al año.
- Pruebas de atención (detección) de incidentes: Estas pruebas permiten determinar si los usuarios finales están en la capacidad de detectar y reportar un incidente de ciberseguridad.
- Prueba de concepto (PoC): Corresponde a una prueba mínima o parcial de un servicio o producto que se desea adquirir o poner en producción.
Quiere mayor seguridad en sus activos digitales: hardening
En el mundo de la ciberseguridad, realizar análisis de vulnerabilidades es una práctica común para saber qué control aplicar en aras de reducir el riesgo, pero existen vulnerabilidades que no se pueden descubrir mediante un análisis de vulnerabilidades estándar, aquí en donde entra al juego el hardening.
Hardening: Conjunto de actividades que son llevadas a cabo para “reforzar” al máximo posible la seguridad de un equipo.
Estas son algunas de las tareas que se realizan en un proceso de hardening:
- Suprimir servicios innecesarios.
- Desactivar o eliminar usuarios no necesarios.
- Desinstalar software no requerido.
- Desactivar funciones no necesarias.
- Cerrar accesos no utilizados.
- Asignar contraseñas fuertes.
- Endurecer las configuraciones.
Para la ejecución de estas tareas existen en el mercado plantillas prediseñadas que los técnicos pueden ajustar de acuerdo a las necesidades o a los requerimientos que en temas de regulación tenga la organización. Las más utilizadas son CIS, DISA y NSA. Tenable tiene el software necesario para verificar la correcta implementación de las plantillas y para saber cuándo uno de los controles puesto ha sido alterado.
Para la realización de estas labores se requiere de personal altamente calificado, ya que es una labor que requiere alto conocimiento técnico acerca del tema, por lo que se recomienda capacitar al personal en estas labores o contratar los servicios con una empresa especializada.
Si desea ir un paso más allá en temas de protección de información digital, el hardening le podrá ayudar en reducir la superficie de exposición de sus activos digitales.
Activando el servicio de teletrabajo de forma segura.
El teletrabajo llegó para quedarse, facilitando la forma de desarrollar las tareas cotidianas de forma remota. Facilitar el teletrabajo de forma segura es uno de los retos a los cuales se ven enfrentados los departamentos de tecnología ya que un descuido puede poner en riesgo la información digital de la organización.
Estos son algunos de las recomendaciones
para que la organización active el servicio de teletrabajo seguro:
- Establecer canales seguros de comunicación:
Se hace indispensable el uso de servicios como VPN para conectarse de forma
remota a la red de la organización.
- No se recomienda activar direcciones
IP públicas sobre equipos que no estén protegidos por un servicio de firewall, UTM,
WAF entre otros.
- No activar servicios de red directamente sobre Internet.
- Utilizar programas de software
licenciado. Teamviewer, anydesk y otros son software de pago que requieren licencia.
- Otorgar el mínimo de los
privilegios para el usuario final.
- En lo posible utilizar software
para prevención de fuga de información. DLP.
- Los equipos asignados a los
usuarios finales deben tener end point protection (antivirus) licenciado y
actualizado.
- Preferiblemente que los equipos
de los usuarios remotos sean de la organización, con ello se puede tener mejor control
de la información que se maneja en el equipo.
- Si el equipo es propiedad del
usuario final, se debe establecer los controles adecuados para evitar la fuga
de información como por ejemplo, subordinar el equipo a las políticas de la organización.
(esto requiere de una autorización del propietario del equipo).
- Concientizar al usuario final en temas de
ciberseguridad como por ejemplo, como evitar ser presa del phishing.
- Adquirir polizas de ciberseguridad para la organización. (En Colombia ya existen).
Estas son las recomendaciones básicas para que una organización le permita conectarse de forma segura a sus usuarios remotos. Tenga en cuenta que pueden llegar a existir recomendación particulares, por lo que se sugiere hacer los ajustes pertinentes de acuerdo con el perfil de la organización.
Ciber-resiliencia: ¿Que tan rápido se puede recupera de un ciberataque?
Por definición:
“capacidad de la organización para recuperarse de forma rápida ante un ciberataque.”
Ya se han tratado temas de riesgos digitales, amenazas cibernéticas,
vulnerabilidades, activos y otros más, ahora, la respuesta a la siguiente pregunta le permitirá saber que tan robusta es
su organización en términos de ciberseguridad: ¿Qué tan rápido se puede
recuperar de un ciberataque?
La respuesta a esta pregunta lo va a posicionar pasos adelante o pasos
atrás de su competencia, esto debido a que si su competencia se recupera más rápido,
podrá atender más rápidamente el mercado en el cual están compitiendo. Esta
respuesta también puede influir en el impacto económico que pueda llegar a
tener un ciber-ataque en su organización, ya que si no tiene operativos los servicios, no se puedrá facturar, por ende no habrá
ingresos económicos.
Tres de las ventajas de una organización ciber-resilente:
- Reducción del impacto económico
- Ventaja frente a la competencia
- Gestión y tratamiento de riesgos
Estos son los pasos recomendados para que la organización sea
ciber-resilente:
Evaluación: Evaluar los riesgos poniendo la vista en la recuperación ágil de la operación en el caso de ocurrir un ciberataque.
Protección: Elegir los controles adecuados para proteger y mantener la operación, iniciando con los servicios básicos de la organización.
Monitorización: El monitorear contantemente del desempeño de los controles seleccionados y su correcta operación le darán esa ventaja que necesita para tomar las decisiones adecuada en el momento oportuno.
Solución: Aplicar las acciones necesarias para mejorar los controles de acuerdo con los datos obtenidos de la monitorización del desempeño de los mismos.
Recuperación: Aquí es importante abordar los temas de “plan de recuperación de desastres”, “plan de continuidad del negocio”, es saber qué hacer en el caso de que los controles fallen y se deba mantener la operación de la organización.
Ciber-resilente: recuperar la operación de los servicios básicos lo más
rápido posible.
A menor tiempo de recuperación de los servicios esenciales de la organización,
mayor es su grado de ciber-resilencia, por ende, mayor ventaja competitiva,
mayores ingresos y mejor imagen
corporativa.
Métricas: la importancia de medir y controlar en ciberseguridad.
Las métricas en ciberseguridad permiten
medir, controlar y tomar decisiones de acuerdo a sus resultados y metas
definidas, ajustándose a cada organización
y a sus objetivos de negocio. En este post vamos a trabajar cinco métricas que
pueden ayudarle a tomar decisiones relacionadas con la protección de los datos
digitales de su organización.
Las métricas se deben medir por periodos de tiempo para permitir llevar estadísticas de su comportamiento y facilitar la toma de decisiones. En la mayoría de los casos, el periodo de tiempo se toma de forma mensual.
Relacionadas con la prevención de materialización
de incidentes:
Tiempo
medio para detectar o descubrir una vulnerabilidad.
Corresponde al tiempo que se demora la organización en detectar una posible vulnerabilidad presente en los activos y que puede llegar a ser explotada por alguna amenaza. Esta métrica se puede medir en días y el riesgo es directamente proporcional a esta métrica, a mayor número de días, mayor riesgo.
Tiempo
medio de remediación de vulnerabilidades
Esta métrica corresponde al número de días que la organización se tarda en remediar una vulnerabilidad una vez que ha sido detectada. Es de tener en cuenta que la no remediación de estas vulnerabilidades puede incidir en la materialización de los incidentes de ciberseguridad. A mayor tiempo de remediación, mayor riesgo.
Número de incidentes de ciberseguridad: reportados/solucionados
Corresponde al número de incidentes de ciberseguridad reportados en un periodo de tiempo y la atención y soluciones de estos incidentes.
Tiempo
medio para detectar o descubrir la causa de un incidente
Se refiere al tiempo medio que se tarda en descubrir un problema. Mide el período entre la materialización del incidente y la cantidad de tiempo que le toma identificar la causa del mismo. El equipo de atención de incidentes debe tener tiempos cortos de detección para poder a entrar a trabajar sobre la causa.
Tiempo
medio de resolución de un incidente
Se refiere al tiempo que lleva solucionar el incidente. Es una medida de la cantidad promedio de tiempo que se necesita para solucionar la materialización del incidente.
Cuando se habla de tiempos, lo más común es
que sea en días, claro está que existen organizaciones que toman estos periodos
de tiempo en horas, incluso minutos, ya que una hora de inactividad puede
costar miles de dólares, ejemplo: sector financiero.
Una cita del famoso físico matemático británico, William Thomson Kelvin: “Lo que no se define no se puede medir. Lo que no se mide no se puede mejorar. Lo que no se mejora, se degrada siempre”.
Es importante definir las métricas
adecuadas para la organización ya que esto facilita la toma de decisiones y el ajuste
de procesos. No tener métricas es tomar decisiones a ciegas.
Otras métricas que pueden resultar de interés:
- Número de intentos de intrusión/contención
- Costo por incidente
- Número de usuarios con nivel de acceso "privilegiado".
- Número de días para desactivar las credenciales de los empleados.
- Frecuencia de revisión de accesos de terceros
Hablando de términos de tiempo en ciberseguridad: periódicamente, MTTD y MTTR.
Ya hemos hablado de cada cuanto se debe
hacer pruebas de seguridad, en Porque el análisis de
vulnerabilidades dos veces al año no es suficiente, en
esta entrada vamos a tratar la periodicidad y dos términos nuevos que han sido
acuñados “recientemente” por los especialistas en ciberseguridad: MTTD y MTTR.
Tanto si la organización cuenta o no, con
un programa de gestión de riesgos, es muy importante la ejecución de las
pruebas de análisis de vulnerabilidades para determinar la existencia de debilidades
en los activos críticos de la organización. Por normatividad, estas pruebas se
deben de realizar, para unas empresas dos (2) veces al año y para otras cuatro (4)
veces al año. Se debe tener en cuenta que estas normatividades tienen más de
diez (10) años y hablan acerca de lo “mínimo” que se debe hacer. Más allá de
cumplir con las normatividades, está el hecho de detectar posibles riesgos a
tiempo para prevenir los incidentes de ciberseguridad.
El término “periódicamente” se refiere a
que una actividad se repite a intervalos de tiempo, en términos de
ciberseguridad, un año es una barbaridad de tiempo, más aún cuando, solo
durante el 2019 se descubrieron 12174 vulnerabilidades a un promedio de 230
nuevas vulnerabilidades por semana. Por ello, cuando la organización tiene
definido el término periódicamente como un año, sería similar a una persona que
se hace chequeos de salud periódicamente cada 10 años.
Ahora, aceptemos temporalmente el periodo anual.
En ciberseguridad se manejan dos términos importantes que son: MTTD y MTTR. En palabras
simples, el primero se refiere al tiempo que se demora una organización en
detectar una vulnerabilidad crítica en la organización y el segundo se refiere
a, una vez detectada una vulnerabilidad, cuánto tiempo se demora el equipo
responsable en cerrar esa vulnerabilidad.
Las preguntas ahora serían:
¿Cuánto tiempo se está dispuesto a estar a
ciegas sin saber si existen vulnerabilidades críticas en los activos críticos de
la organización? Posibles respuestas: un mes, tres meses, un año... este es el tiempo que la organización va a estar en riesgo por desconocimiento.
¿Una vez identificada la vulnerabilidad, cuánto
tiempo se está dispuesto a permitir que la organización esté en riesgo? Posibles respuestas: un día, una semana, un mes... este es el tiempo que la organización va a estar en riesgo por no tratamiento a tiempo de los riesgos.
En cualquiera de los dos casos, entre más alto es este tiempo, mayor es el riesgo que corre la organización.
Para el siguiente ejercicio, definamos un riesgo como: Posibilidad de sufrir un incidente de ciberseguridad por desconocimiento de las vulnerabilidades a las cuales está expuesta la plataforma de tecnología.
El anterior gráfico muestra el nivel de riesgo cualitativo conocido, el cual va creciendo periódicamente durante un año. Para la serie 1, suponemos que los análisis son realizados el primer día de cada mes, el nivel de riesgo va creciendo durante el mes pero llega a cero el primer día de cada mes debido a que se ejecuta un nuevo análisis y se conocen las nuevas vulnerabilidades que pueden afectar la plataforma. Lo mismo ocurre para la serie dos (2) de forma trimestral y para la serie tres (3) de forma anual. De las tres (3) series la que más alto riesgo tiene es la serie con periodicidad anual (número 3), en la otra mano, la que menos riesgo tiene es la serie número uno (1) con periodicidad mensual, como resultado: entre más frecuentes se realicen las pruebas menor va a ser el nivel de riesgo.
A manera de conclusión podemos afirmar que
a mayor frecuencia de las pruebas de seguridad, menor es el riesgo al cual se
ve expuesto la organización.
ActivosTI cuenta con un paquete análisis de
vulnerabilidades consumible por puntos durante un año. Puede ponerse en
contacto al PBX:(+571) 9260100 o al móvil: (+57) 3152301090 o por email a
soluciones@activosti.com.