Cuando se suprimen controles para ahorrar dinero

Dos grandes variables que siempre van a estar en la cima de las organizaciones son la información y el dinero, por ello, la inversión en tecnología y seguridad orientada a proteger los datos les permite enfocarse en maximizar sus utilidades, el asunto es que cuando se requiere reducir o recortar presupuesto, en la mayoría de los casos se inicia por las áreas de tecnología afectando la renovación o adquisición de soluciones que son usadas para mantener a raya a los delincuentes.


Estos son algunos de las soluciones básicas con las que debe contar una organización para proteger su información digital:

  • Protección de usuario final (antivirus, anti ransomware).
  • Protección de correo electrónico.
  • Protección de perímetro (firewall).
  • Protección de información (backup).
  • Acceso remoto seguro (VPN).
  • Protección de navegación.
  • Protección de servidores.
  • Cifrado de información crítica.

Estas son solo algunas de las soluciones básicas que deben seguir operando en una organización, pero como siempre, todo depende de las prioridades o objetivos de negocio de cada organización, por ello, es bueno determinar cuáles son esos activos críticos que deben ser protegidos y que no se les puede reducir los controles existentes ya que el nivel de riesgo puede elevarse.


Como recomendación final, tener cuidado cuando se desea reducir costos suprimiendo o quitando controles que protegen la información ya que su recuperación puede llegar a salir mas costosa que el ahorro que se está haciendo. 


Acerca del ransomware, las copias de respaldo y su importancia.

Ransomware es un virus que infecta los equipos haciendo un  encriptado (cifrado) de  la información. Este virus es controlado por atacantes que piden dinero electrónico (bitcoins) para darle de nuevo acceso a su información. Los atacantes no se pueden rastrear y es difícil dar con su paradero, adicional que solo dan días para el pago del rescate o la información será eliminada. 

Esta clase de virus ataca principalmente a equipos que no están actualizados y que no cuentan con un antivirus que detenga esta clase de ataques. No hay diferencia entre el tamaño o sector de las organizaciones. 

Si fue atacado y quiere saber si existe una herramienta que le ayude a recuperar su información, puede visitar el siguiente sitio web: https://www.nomoreransom.org/. Este sitio no es el único pero si uno de los que se actualizan constantemente.

Gran parte de estos ataques no tienen solución y se debe recurrir  a las copias de respaldo más recientes que se tengan  ya que el pago del rescate no garantiza que le sea regresada su información digital, adicional que el precio es bastante elevado  pasando por el cobro de un (1) bitcoin por equipo, el cual al día de hoy está cercano a los $11.000 dólares, más de 40 millones de pesos colombianos. Tampoco se recomienda recurrir a terceros ya que algunos de ellos exigen pagos por anticipado para recuperar la información sin ofrecer garantías de que sea posible recuperarla. 

Es aquí donde cobra importancia el tener una copia actualizada de respaldo de la información digital. Estas son algunas de las recomendaciones yendo desde lo más simple hasta lo más complejo dependiendo de su organización:

  • Mantenga una copia de respaldo de la información preferiblemente fuera del equipo que la contiene.
  • Las copias de respaldo deben de estar resguardadas fuera de la oficina o edificio y preferiblemente en custodia de un tercero. Las buenas prácticas hablan de fuera de la ciudad, con las nuevas tecnologías, la nube es una buena opción.
  • Las copias de respaldo deberán de ser tan frecuentes como sea el cambio de la información que se desea recuperar en caso de algún incidente. Ejemplo: Una copia anual, otra mensual (retención de seis meses) y otra semanal (retención de cuatro semanas) todo depende de cada organización.
  • Solo se debe permitir el acceso a las copias de respaldo a las personas que estén debidamente autorizadas. Este es un punto crítico porque en algunas ocasiones los atacantes revisan copias de respaldo en lugar de equipos en producción. 
  •  Se debe verificar que las copias de respaldo son recuperables en caso de ser requeridas. Lo recomendado es realizar este ejercicio por lo menos dos veces al año.
  • Si la copia se realiza en medios magnéticos como CDs, discos duros, cintas, memorias USB, SAN, NAS, entro otros, recuerde que estos elementos tienen un tiempo de vida útil, por lo que si requiere guardar la información por un tiempo prolongado es mejor que prevea su reemplazo.
  • Si cambia el software o hardware con el cual realizó las copias de respaldo, recuerde que solo con ese hardware o software podrá tener acceso para recuperar la información. Mantenga lo necesario para recuperar la información.

Estas son solo algunas recomendaciones para mantener a salvo las copias respaldo de la información, sin embargo, recuerde que todo depende de la organización y los procesos que tenga. 

Recomendación final, mantenga actualizado su programa de copias de respaldo inclusive si tiene alta disponibilidad en su infraestructura. 

 

Menú de pruebas de seguridad informática

Existe una gran variedad de pruebas de seguridad informática empezando con la más básica que es el análisis de vulnerabilidades hasta llegar a la auditoría de cumplimiento la cual es el aseguramiento máximo de una plataforma de ciberseguridad.
Estos son las principales tipos de pruebas de ciberseguridad:
  • Análisis de vulnerabilidades: Es una tarea  automatizada por medio de la cual se verifica si las vulnerabilidades reportadas a nivel mundial se encuentran presentes en los equipos que se están analizando. 
  • Pentest o hacking ético: procedimiento formal que tiene como objetivo descubrir vulnerabilidades de seguridad, riesgos de fallas y un entorno poco confiable. Puede verse como un intento exitoso pero no dañino de penetrar en un sistema de información específico.
    • Caja negra: Sin información solo el objetivo de las pruebas.
    • Caja gris: Información parcial como los equipos a los cuales se les va a hacer pruebas.
    • Caja blanca: Información completa para poder determinar las vulnerabilidades con conocimiento del objetivo.
  • Hardening o aseguramiento de equipos: Aseguramiento de equipos de acuerdo con las mejores prácticas de la industria, alguna normatividad o línea base de la organización. 
  • Auditoria de seguridad informática: Comparar algo que existe contra algo que debería existir ya sea una normatividad, mejores prácticas o línea base previamente establecida. 
  • Análisis de vulnerabilidades en código fuente: Búsqueda de vulnerabilidades en código fuente desarrollado. Esta clase de pruebas es propia de las organizaciones que desarrolla software para uso interno o de terceros.
  • Pruebas de ingeniería social: Esta clase de pruebas se pueden definir como “el arte de hackear al ser humano”, es decir, hallar vulnerabilidad en las personas. Esto se puede corregir mediante las capacitaciones empresariales. 
  • Red Team: Equipo dedicado a la ejecución permanente de ataques de pentest controlados. Es utilizado en grandes organizaciones que cuentas con los recursos necesarios para esta clase de pruebas.  
  • Pruebas de estrés: Pruebas orientadas a determinar cuál es el punto máximo de stress que puede resistir un aplicativo o un servicio. Pueden ser con equipos reales (más costoso) o con equipos simulados. 
  • Pruebas de efectividad de controles: Estas pruebas corresponden a la evaluación de los controles existentes. 
  • Pruebas de recuperación de desastres: Si la organización cuenta con un pla de recuperación de desastres, este se debe probar para verificar que realmente funciona. Lo recomendado es que se haga dos veces al año.
  • Pruebas de atención (detección) de incidentes: Estas pruebas permiten determinar si los usuarios finales están en la capacidad de detectar y reportar un incidente de ciberseguridad. 
  • Prueba de concepto (PoC): Corresponde a una prueba mínima o parcial de un servicio o producto que se desea adquirir o poner en producción. 
La aplicación de cada una de estos tipos de pruebas depende de cada organización. Recuerde que la superficie de ataque se expande con cada componente tecnológico presente en cada proceso.
La frecuencia con la que aplique las pruebas incidirá directamente en el tiempo medio de detección de vulnerabilidades, el cual corresponde al tiempo que se demora su organización en detectar una vulnerabilidad. A mayor tiempo, mayor riesgo.


Quiere mayor seguridad en sus activos digitales: hardening

En el mundo de la ciberseguridad, realizar análisis de vulnerabilidades es una práctica común para saber qué control aplicar en aras  de reducir  el riesgo, pero existen vulnerabilidades que no se pueden descubrir mediante un análisis de vulnerabilidades estándar, aquí en donde entra al juego el hardening.

Hardening: Conjunto de actividades que son llevadas a cabo para “reforzar” al máximo posible la seguridad de un equipo.

Estas son algunas de las tareas que se realizan en un proceso de hardening:

  • Suprimir servicios innecesarios.
  • Desactivar o eliminar usuarios no necesarios.
  • Desinstalar software no requerido.
  • Desactivar funciones no necesarias.
  • Cerrar accesos no utilizados.
  • Asignar contraseñas fuertes.
  • Endurecer las configuraciones.  

Para la ejecución de estas tareas existen en el mercado plantillas prediseñadas que los técnicos pueden ajustar de acuerdo a las necesidades o a los requerimientos que en temas de regulación tenga la organización. Las más utilizadas son CIS, DISA y NSA. Tenable tiene el software necesario para verificar la correcta implementación de las plantillas y para saber cuándo uno de los controles puesto ha sido alterado.  

Para la realización de estas labores se requiere de personal altamente calificado, ya que es una labor que requiere alto conocimiento técnico acerca del tema, por lo que se recomienda capacitar al personal en estas labores o contratar los servicios con una empresa especializada.

Si desea ir un paso más allá en temas de protección de información digital, el hardening le podrá ayudar en reducir la superficie de exposición de sus activos digitales.