Empresa fuerte con ciberseguridad: agosto 2020

Hechizando palabras para volverlas contraseñas seguras.

Para los administradores, siempre será un dolor de cabeza mantener un solo método de autenticación para sus usuarios: las contraseñas, y más aún cuando los usuarios optan por poner contraseñas que les sea fáciles de recordar y por ende fácil de que un perpetrador las adivine. Vamos a ver un método para elegir una contraseña fácil de memorizar y difícil de adivinar.

Pasemos primero por la definición de lo que es autenticación:

“La autenticación es el acto o proceso de confirmar que algo (o alguien) es quien dice ser.”

Son cuatro los factores que un humano puede utilizar para autenticarse:

Algo que el usuario sabe (ejemplo: una contraseña, una clave, un PIN de 4 dígitos)
Algo que el usuario es (ejemplo, la huella digital, el patrón de la voz)
Algo que el usuario tiene (ejemplo, tarjeta de la identificación, token físico, teléfono celular)
Algo que el usuario hace (ejemplo, reconocimiento de voz, firma).

La combinación de dos o más factores se le conoce como múltiple factor de autenticación, y es este, uno de los controles más recomendados para ser implementados dentro de la organización, ya que si un perpetrador logra hacerse con la contraseña de un usuario, también va a necesitar el segundo factor de autenticación para tener acceso a la información.

Por el momento nos centraremos en la elección de contraseñas seguras, dejando el tema de múltiples factores de autenticación para otro capítulo.

Una contraseña segura deberá tener una combinación de las siguientes características:

Tener más de 15 caracteres.
Combinación de mayúsculas y minúsculas.
Mínimo un número.
Mínimo un carácter especial.

El primer paso es la elección de una frase molde que nos sea familiar, ya sea el nombre de una serie de televisión, una película, la frase de una canción o la frase de una poesía. Para este ejemplo voy a elegir el nombre de una serie de televisión:

la ley de los audaces

A partir de esta frase molde vamos a transformarla para usarla con contraseña segura, para este ejemplo vamos a trabajar:

Suprima los espacios, solo con este movimiento ya tenemos una contraseña de 17 y otra de 22 caracteres:

laleydelosaudaces (ya tienes 17 caracteres)

Paso 1. Cambie primera letra “e” por el numero 3

Lal3ydelosaudaces

Paso 2. Cambie las tres últimas letras a mayúsculas:

Lal3ydelosaudaCES

Paso 3. Cambie la palabra “los” por tres signos $$$

Lal3yde$$$audaCES

Solo tres pasos le ayudaran a tener una contraseña segura, estos son algunos ejemplos adicionales para que adivine que tres pasos se usaron para hechizar una contraseña segura:

formal	hechizado
ciberseguridad en proceso	ziverseguridad$2020$PROCESO
juego de tronos	jUego$de$Tr0n0z
hasta la vista baby	HASTA0la1vista3BABY…
Huston tenemos un problema	Tenemos#20UN20#Problema
El dinero nunca duerme	DINer0.NUNc4.DUErm3.

Adicionalmente, recuerde que las contraseñas son como la ropa interior: No puedes dejar que nadie la vea, debes cambiarla regularmente y no compartirla con extraños.Puede utilizar el número de pasos que crea conveniente pero la utilización de muchos pasos al inicio hace difícil el implementar la metodología, se sugiere empezar con solo tres pequeños pasos no complejos y a medida que vaya progresando, ir aumentando su complejidad.

De los afanes de poner proyectos de tecnología en producción.

Pasando el segundo semestre del 2.020 y estamos siendo afectados por una pandemia a nivel mundial la cual nos tomó por sorpresa. Fueron pocos, por no decir que nadie, los que en su sano juicio tuvieron la oportunidad de poner “pandemia” dentro de su matriz DOFA o dentro de su evaluación de riesgos, sin embargo, se está afrontando uno de los mayores hechos donde se han visto afectadas muchas empresas, donde un gran número han cerrado por diferentes factores y otras luchan por poner a tono su infraestructura para ofrecer los servicios de acceso remoto, comercio electrónico, y teletrabajo a sus empleados, clientes y terceros.

El afán por cumplir con los nuevos servicios se traduce algunas veces en dejar de lado la evaluación riesgos, dejando posiblemente expuesta la plataforma de TI. La lista de posibles riesgos podría ser interminable ya que estos dependen del proyecto que se esté trabajando, sin embargo, este es un pequeño listado con los riesgos más comunes:

Multas por utilización de software no licenciado. Teamviewer requiere licencia, los otros también.
Ataque cibernético por exposición de equipos sobre internet. Conexión remota a servidores o estaciones de trabajo de forma directa.
Ataque cibernético por utilización de software para acceso remoto con vulnerabilidades. VNC en versiones antiguas tienen vulnerabilidades fáciles de explotar.
Comprometer la confidencialidad, integridad o disponibilidad de la información por errores de diseño en la arquitectura del servicio. Bypass de controles de seguridad.
Materialización de incidentes de ciberseguridad por puesta en operación de proyectos sin al menos una evaluación de vulnerabilidades.
Multas o fuga de información por permitirle a los usuarios finales instalar software de acceso remoto no autorizado por la organización.
Fuga de información, almacenamiento de información crítica de la empresa en los equipos personales de los empleados que se conectan remotamente.

Cada uno de estos riesgos se trabajan de forma diferente dependiendo de la organización, recursos e infraestructura que se posea, no obstante, cada organización deberá realizar una evaluación de riesgos para determinar el nivel de exposición de los nuevos servicios, ya que el no hacerlo sería como ir a la guerra sin el equipo necesario.

Estos riesgos también ocurren en todos aquellos proyectos que se ponen en producción sin evaluar los riesgos a los que se verán expuestos, estemos o no en pandemia.

Para finalizar, les dejo una frase de Georges de Moura, jefe de Soluciones de Industria del Centro de Ciberseguridad del Foro Económico Mundial (WEF, por sus siglas en inglés):

“Las empresas deben acelerar su transformación digital para aprovechar sus beneficios y lograr un equilibrio entre agilidad, escalabilidad, eficiencia, rentabilidad y ciberseguridad”.

Evaluación de riesgos: diagnosticando el estado de la ciberseguridad.

La evaluación de riesgos es el corazón de todo marco que busca medir los niveles de riesgos a los cuales se ven enfrentadas las organizaciones. Escoger una metodología adecuada, ligera y fácil de utilizar, facilita la tarea cíclica de analizar los riesgos que pueden llegar a afectar las operaciones de la organización.

Independientemente de la metodología que se escoja, la evaluación de riesgos permite determinar la probabilidad de que una amenaza pueda explotar una vulnerabilidad expuesta de un activo y de esta manera medir el impacto que esto tendría sobre la organización.

Estas son las principales etapas de una evaluación de riesgos:

Preparar y planificar: se debe definir el alcance y los objetivos del analisis de riesgos.
Identificar activos y evaluar la sensibilidad: se debe de identificar los activos y hacer una evaluación inicial con respecto a los atributos de confidencialidad, integridad y disponibilidad. Otros atributos pueden ayudar en la priorización del plan de remediación como son: criticidad, dependencia, valor cuantitativo, entre otros.
Realizar análisis de amenazas: Se deben identificar las amenazas y ver los posibles escenarios para examinar la capacidad, la motivación y la probabilidad.
Realizar análisis de vulnerabilidad: se evalúan los activos con respecto a las vulnerabilidades conocidas determinando adicionalmente el nivel de esfuerzo (recursos y capacidad) que requiere un agente para montar un ataque.
Determinar los riesgos: Determinar la medida del riesgo teniendo en cuenta las amenazas, vulnerabilidades, probabilidad e impacto sobre los activos. Definir el apetito de riesgo y determinar el riesgo residual.
Plan de remediación: se debe priorizar los riesgos identificados y de acuerdo con la prioridad de los activos, definir un plan de remediación prioritario de acuerdo con los objetivos de la organización.

Los resultados esperados después de una evaluación de riesgos son los siguientes:

Activos identificados y valorados.
Amenazas y vulnerabilidades identificadas y valoradas.
Niveles de riesgos identificado y valorados. Probabilidad x Impacto en activos.
Plan de remediación priorizado para inicio de fase de mitigación de riesgos.

La mitigación de riesgos puede tener cuatro escenarios los cuales se muestran a continuación junto con un ejemplo:

tratado: se aplican controles para reducir el nivel de riesgo.
evitado: se elimina la fuente del riesgo.
transferido: se adquiere un seguro.
aceptado: no se puede hacer algo al respecto, solo aceptar el riesgo.

La evaluación de riesgos da una visión clara acerca de los peligros a los cuales se ve enfrentada la organización y que se debe hacer para mitigar estos riesgos. Trabajar sin esta herramienta sería como navegar sin una brújula, cualquier cosa puede suceder. Conocer los puntos débiles de la organización permite tomar las decisiones adecuadas en los momentos oportunos.

Bueno, ya se tiene un diagnóstico acerca del estado de la ciberseguridad en la organización, el siguiente paso es acometer el plan de remediación para reducir los niveles de riesgos.

La escalera de ciberseguridad, un ascenso seguro para proteger la información digital.

En este post analizaremos la herramienta “escalera de ciberseguridad” la cual nos va a permitir ver, desde otro ángulo, que tan avanzado está en el componente de ciberseguridad de la organización.

Esta herramienta consta de siete peldaños o escalones los cuales de acuerdo con nuestros avances, nos permitirán determinar qué tan arriba estamos en la protección de la información digital, para ello, se evalúa la inclusión de tareas, proyectos o metodologías al componente de ciberseguridad.

Nota: Recuerde que de acuerdo con post anteriores, se recomienda que la frecuencia del análisis de vulnerabilidades sea mensual.

El punto de inicio de todo organización es proteger su perímetro y sus computadores internos ya sean estos servidores o estaciones de trabajo, eso es lo mínimo con lo que se debe empezar, a partir de ahí, se pasa al primer escalón que es el análisis de vulnerabilidades, el cual revisar de forma automática las vulnerabilidades conocidas hasta el momento en los equipos tecnológicos que tenemos dentro de la organización (la nube, también hace parte de la organización).

El segundo escalón son las pruebas de hacking ético o pentest (para ver la diferencia, puede revisar post anteriores). Esta es la forma manual de hallar vulnerabilidades por parte de un experto en ciberseguridad. Un gran número de vulnerabilidades no puede ser hallado de forma automática, por lo que se recomienda contratar esta clase de pruebas o tener un especialista en nómina.

El tercer escalón es la evaluación de controles, dentro de las tareas más comunes esta la revisión de los firewalls (UTM) y sus diferentes módulos para verificar que estén haciendo su trabajo, en especial revisión de las reglas del firewall las cuales es una práctica común el modificarlas y no documentarlas. Otra tarea es verificar que los end point (antivirus avanzados), tengan los módulos necesarios para detener los últimos ataques que han sido reportados (ramsonware o secuestro de información). Otras tareas dependerán en gran parte del tipo de tecnología que tenga la empresa.

El cuarto escalón corresponde a la evaluación de riesgo, para esto lo recomendado es hacerse de una metodología adecuada que le permita evaluar los riesgos a los cuales se encuentra enfrentada su organización. La correcta identificación de los riesgos junto con sus vulnerabilidades, amenazas, impacto y activos jugaran un papel importante en la protección de su información digital.

Quinto escalón, Evaluación de riesgos de amenazas, esta etapa se centra en evaluar que tanto puede llegar a impactar una amenaza a la organización, todo esto dentro del componente de ciberseguridad.

Sexto escalón, evaluación del marco de ciberseguridad, aquí se evalúa la organización en referencia al marco de ciberseguridad del NIST, del cual ya hemos hablado con anterioridad en este blog.

Por último, el séptimo escalón, evaluación de la postura de ciberseguridad, esto se refiere al estado de seguridad del hardware, software y políticas de una empresa, su capacidad para gestionar sus defensas y su capacidad de reacción a medida que cambia la situación (según el NIST). Una postura de ciberseguridad eficiente y efectiva requiere una comprensión clara de lo que es importante para su organización y por qué.

Para organizaciones pequeñas lo recomendado es llegar por lo menos hasta el tercer escalón donde se evalúan periódicamente los controles de ciberseguridad existentes, a partir del cuarto escalón, es donde realmente comienza el trabajo continuo en ciberseguridad.

Tenga en cuenta que cada escalón anterior es insumo para el siguiente escalón hasta llegar a la cima de la escalera.

Sea cual fuere el escalón donde se encuentra actualmente su organización, recuerde siempre avanzar al siguiente nivel. Entre más arriba este su organización, más protegida va a estar su información digital.

Verificando la postura de ciberseguridad.

Medir para controlar y mejorar, estas son premisas para la mayoría de los marcos o mejores prácticas de ciberseguridad, por lo tanto, he elegido el siguiente cuestionario para evaluar la postura de ciberseguridad de su organización.

Este cuestionario se elaboró para ayudarle a comprender su postura actual en materia de ciberseguridad y proporcionarle una visión general de alto nivel de lo que puede necesitar para mejorar su postura en materia de ciberseguridad.

Obsérvese que esta lista de verificación no pretende ser exhaustiva y sirve únicamente como orientación inicial. Para una evaluación más detallada de su postura de ciberseguridad, recomendamos realizar una evaluación completa de la postura de ciberseguridad.

Por favor, marque todos los elementos que se aplican a su situación específica, súmese una unidad por cada pregunta afirmativa, al final, con la suma total de los puntos podrá tener un dato de referencia acerca de cuál es su postura con relación a la ciberseguridad.

Tengo una idea clara de mi postura de seguridad general y cómo se relaciona con mis activos críticos.
Soy consciente de las lagunas de seguridad a las que se enfrenta mi organización.
Tengo un plan claramente definido para abordar mis lagunas de seguridad en el futuro.
Nunca me he enfrentado a un incidente de seguridad en mi organización.
Confío en mi capacidad para demostrar el cumplimiento de los marcos reglamentarios que se aplican a mi organización.
Soy consciente de cuáles son mis activos y aplicaciones de misión crítica.
Sé cuántos activos y aplicaciones de misión crítica están expuestos en Internet.
Conozco los principales riesgos de seguridad de la información desde una perspectiva empresarial.
Mis riesgos de seguridad de la información han sido identificados y evaluados para cada activo y aplicación de misión crítica.
Tengo políticas de ciberseguridad apropiadas y las reviso regularmente (al menos anualmente).
Tengo una organización de ciberseguridad apropiada con funciones y responsabilidades claramente definidas.
Tengo un plan de tratamiento de riesgos de ciberseguridad.
Tengo un Plan de Continuidad de Negocios con un Plan de Recuperación de Desastres relacionado.
Tengo un plan de manejo de crisis.
Tengo un plan de seguridad de la información y de ciberseguridad.
Tengo un Plan de Respuesta a Incidentes.
Tengo un Programa de Concienciación de Seguridad de la Información.
Ya he realizado una evaluación o auditoría de seguridad independiente en el pasado.
Ya he realizado una prueba de penetración interna o externa.
Ya he realizado una campaña de phishing.

Revisando los resultados

Ahora que ha calculado su puntuación, eche un vistazo a su calificación.

Descargo de responsabilidad: Por favor, tenga en cuenta que su postura de ciberseguridad es única para su organización y depende en gran medida de sus objetivos empresariales, necesidades y apetito de riesgo. Por lo tanto, la calificación de una determinada postura de ciberseguridad debe tomarse con un grano de sal, ya que puede significar cosas diferentes para las distintas organizaciones. Recomendamos una evaluación completa de la postura de ciberseguridad para obtener una visión holística y contextual de su postura de ciberseguridad que se adapte a su contexto empresarial específico.

Puntaje	Rating	Definición
18 – 20	Muy bueno	¡Felicidades, su postura general de ciberseguridad es muy buena! Parece que su organización ha implementado las estrategias, procesos y procedimientos necesarios para optimizar su postura de ciberseguridad y fortalecer sus defensas. Es consciente de sus activos críticos y puede hacer frente a los incidentes de seguridad con confianza y preparación. Aunque su postura de seguridad cibernética es ejemplar, recuerde que debe estar alerta y seguir revisando su estrategia de ciberseguridad con regularidad para que siga teniendo éxito.
15 – 17	Bueno	¡Bien hecho, su postura general de ciberseguridad es buena! Ha hecho considerables esfuerzos para fortalecer su postura de ciberseguridad y proteger sus activos y aplicaciones de misión crítica. Ha seguido casi todas las prácticas recomendadas de ciberseguridad y ha aumentado su postura de ciberseguridad a un nivel satisfactorio. Sin embargo, todavía hay margen de mejora para ayudar a su organización a lograr una postura óptima de ciberseguridad.
11 – 14	Promedio	Su postura de ciberseguridad es promedio. Ha dado varios pasos para asegurar sus activos y aplicaciones de misión crítica, pero todavía hay un margen considerable de mejora. Asegúrese de revisar su estrategia de ciberseguridad para identificar dónde ha sido eficaz, qué debe seguir haciendo y qué tendrá que hacer para reforzar sus defensas de ciberseguridad en el futuro.
6 – 10	Pobre	Desafortunadamente, su postura de ciberseguridad está por debajo de los niveles aceptables y pone a su organización en riesgo. Si bien ha dado los primeros pasos para mejorar su postura en materia de ciberseguridad, sus activos y aplicaciones de misión crítica no están aun suficientemente protegidos contra las infracciones e intrusiones. Deberá evaluar cuidadosamente su estrategia de ciberseguridad y elaborar un plan de acción con estrategias y tácticas claramente definidas para abordar sus deficiencias de manera rápida y eficaz.
0 - 5	Muy pobre	Tenga cuidado, su postura de ciberseguridad está muy por debajo de los niveles aceptables y pone a su organización en un alto riesgo. Para proporcionar al menos un nivel mínimo de protección de la ciberseguridad, lo más probable es que tenga que revisar toda su estrategia de postura de ciberseguridad para comprender mejor lo que necesita proteger, por qué necesita protegerlo y qué hay que hacer para mejorar su postura de ciberseguridad.

Independientemente de los resultados, recuerde que la ciberseguridad es cíclica y debe ejecutar las opciones de mejora y tareas de mantenimiento de forma periódica.

Si requiere ayuda en la mejora de su postura de ciberseguridad, por favor póngase en contacto con especialistas en ciberseguridad.

ActivosTI: www.activosti.com, Móvil:3152301090 - PBX: 9260100 Bogotá Colombia.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario