Empresa fuerte con ciberseguridad: diciembre 2020

Cinco cosas que debes hacer para exorcizar a los hackers

Antes de que leas el último artículo de este año, quiero darte las gracias por leer este blog, te deseo felices fiestas y una cibersegura vida en el 2021, que tus pensamientos seguros te proteja de todo hacker malintencionado que se quiera hacer con tus datos.

En este artículo te voy a enseñar cinco cosas que debes tener en cuenta para exorcizar los hackers malintencionados y mantenerlos a raya.

Realiza un programa de análisis de riesgos de TI, es vital saber cuáles son los puntos débiles de tu organización y donde se debe mejorar.
Realiza frecuentemente copias de respaldo de toda la información crítica, la frecuencia dependerá de que tan actualizada necesitas la información.
Ten a la mano un plan de recuperación de desastres, es decir, que hacer en caso de una catástrofe en TI, como por ejemplo, se fue el fluido eléctrico, no hay acceso al centro de datos o estamos en pandemia.
Evalúa periódicamente la controles actuales, es bueno saber si los controles que tienes están haciendo su trabajo o si por el contrario en algún momento se desactivaron y siguen sin operar.
Desarrolla un plan de respuesta a incidentes de ciberseguridad, es importante saber que hacer o como actual en caso de que se materialice un incidente grave e la organización.

Adicional a todo esto, debes contar con personal especializado en ciberseguridad, los de TI son de TI, los de ciberseguridad son de ciberseguridad, no es sano que un cargo sea juez y parte en la misma causa. Si no puedes costear personal de ciberseguridad entonces te recomiendo que contrates una firma externa.

Felices fiestas, 2020.

Para que sirve un análisis de riesgos en tecnología.

Si realmente quiere abordar adecuadamente el tema de ciberseguridad en su organización entonces debe empezar por este aspecto: el análisis de riesgos, ya que esto le permitirá definir proyectos e iniciativas que le ayudaran a atacar la ciberseguridad de forma organizada.

El análisis de riesgos consiste en evaluar el riesgo al que está expuesta la organización y en concreto, los activos. Aquí la palabra activo se refiere a equipos, personas o lugares (entre otros) que contenga información y tenga valor para la organización, por lo tanto se debe proteger.

A continuación veremos un conjunto de fases que son comunes a las metodologías de análisis de riegos:

Fase 1: Determine el alcance que va a tener el análisis de riesgos. En la mayoría de los casos cuando se está empezando con riesgos, el alcance es el área o departamento de Tecnología Informática.

Fase 2: Identifique claramente los activos que van a ser evaluados, recuerde que acá, un activo es algo que tiene o procesa información y que adicionalmente tiene valor para la organización.

Fase 3: Identifique las amenazas a las que están expuestos los activos. Por ejemplo: Internet, incendios, inundaciones, virus etc.

Fase 4: Aquí es donde ingresa el análisis de vulnerabilidades técnicas el cual evalúa la existencia de vulnerabilidades en el hardware o software de la organización, adicionalmente también se debe tener en cuenta la evaluación de vulnerabilidades no técnicas como por ejemplo personal no capacitado.

Fase 5: Un control es algo que se tiene para evitar que se materialice un riesgo, por ejemplo un antivirus, eso es un control que se tiene para evitar los virus, ya teniendo esto claro, en esta fase se analizan los controles existentes como por ejemplo el firewall, antivirus, copias de respaldo entre otros.

Fase 6: En esta fase se puede calcular en riesgo con base en la información recolectada de activos, amenazas, vulnerabilidades y controles.

Fase 7: Una vez evaluados los riesgos y habiendo definido el nivel de riesgo aceptable, se procede a tratar los riesgos que superen el nivel definido para lo cual existen cuatro estrategias:

Transferir el riesgo: la compra de un seguro es un ejemplo de la transferencia de un riesgo.
Eliminar el riesgo: eliminar el servicio de Internet gratuito para visitantes.
Asumir el riesgo: cuando se tienen aplicaciones implantadas en sistemas obsoletos, la organización decide asumir el riesgo porque no tiene como solucionarlo.
Mitigar el riesgo: esta es la estrategia más común y consiste en aplicar controles para reducir el nivel de riesgo, un ejemplo es la adquisición de nueva tecnología como firewalls modernos.

Ya que el volumen de información que se maneja en un ejercicio de análisis de riesgos es bastante alto, lo recomendado es que apoye de una solución de software, esto le ahorrará, tiempo y esfuerzo.

Los resultados del análisis de riesgos le permitirá proponer proyectos e iniciativas orientados a proteger la información de su organización.

En resumen, el análisis de riesgos sirve para identificar los activos críticos para la organización, al igual que el riesgo al cual están expuestos.

Si desea mayor información o quiere contratar servicios, por favor use este formulario: https://www.activosti.com/contact.html

Ciberseguridad, revisión mínima al recibir un cargo responsable de TI.

El mundo de la ciberseguridad cambia constantemente, cada semana se reportan más de cien nuevas vulnerabilidades, los riesgos empresariales cambian constantemente y saber en que estado se encuentra el riesgo digital es responsabilidad de director de tecnología, gerente, coordinador o el cargo responsable de TI.

A menudo se reciben cargos directivos en esta área, los cuales involucran la responsabilidad de la ciberseguridad por lo que se carga con el cuidado de los datos digitales de la organización.

Estos son algunos de los posibles asuntos que deberá atender cuando se recibe un cargo de estos:

Documentación actualizada de infraestructura y red interna.
Existencia y estado del plan de tratamiento de riesgos.
Existencia y estado del plan de continuidad del negocio.
Existencia y estado del plan de recuperación de desastres.
Existencia y estado del plan de gestión de vulnerabilidades de TI.
Análisis de brecha para determinar el estado de la ciberseguridad contra el marco de ciberseguridad del NIST, ISO 27001, COBIT, entre otras.
Revisión de los resultados del ultimo análisis de riesgos de TI.

Adicionalmente, y dependiendo del cargo, propender por la revisión técnica de lo siguiente:

Estado de las copias de respaldo de la información crítica.
Verificación y cambio de las claves de acceso.
Análisis de vulnerabilidades en toda la superficie de ataque.
Verificación de la correcta operación de la seguridad perimetral. Detección y contención.
Análisis y revisión de controles internos.

Estos son solo algunos de los asuntos que se deberán atender, como siempre, esto depende de cada organización y del nivel de evolución tecnología que se tenga. Se podría incluir asuntos como revisión del licenciamiento y otras cosas, pero aquí nos centramos en lo mínimo que debería tener ciberseguridad.

Atender estos asuntos le garantizan como mínimo el 80% de la revisión de la ciberseguridad, si no los tiene, se deberá propender por la implementación lo antes posible.

Ingeniería social: el arte de "hackear" el sistema operativo humano.

Los delincuentes informáticos siempre buscan formas para acceder a la información de forma no autorizada y obtener beneficios económicos. Muchas de las técnicas que utilizan están relacionadas con el acceso a los sistemas informáticos mediante la explotación de alguna vulnerabilidad no atendida, no obstante, en ocasiones los sistemas están bien asegurados y sin embargo el delincuente logra ingresar en el sistema mediante el uso de credenciales válidas obtenidas de manera fraudulenta de un usuario autorizado, a esto se le conoce como ingeniería social.

La ingeniería social es una técnica utilizada desde hace mucho tiempo para "hackear el sistema operativo humano" es decir hacer que las personas realicen acciones no deseadas que puedan llegar a poner en riesgo la información personal o de la organización.

Los objetivos que persigue la ingeniería social son los mismos que tiene el "hacking": ganar acceso no autorizado a sistemas informáticos, redes, datos digitales o información y esta dirigida generalmente a organizaciones que pueda llegar a tener información de interés para el atacante.

Existen un gran numero de situaciones en las cuales se puede poner en riesgo información confidencial, estas son solo algunas de ellas:

Almuerzo de trabajo en sitios públicos: es impresionante la cantidad de información que se puede reunir en un restaurante, muchos de los empleados hablas acerca de nuevos proyectos, futuros negocios, nuevas contrataciones o despidos. Evite hablar de asuntos confidenciales en sitios públicos incluido el transporte público.

Reutilización de papel impreso: preste atención cuando se reimprime en papel utilizado para ahorrar dinero y ser ecológico, en algunas ocasiones la información que esta en el otro lado de la página puede ser importante, por ello, las destructoras de papel son de gran ayuda y los residuos se pueden reciclar.

Información confidencial en la basura: mucha de la información confidencial de la organización es impresa, y esta se desecha al tacho de la basura directamente, nuevamente se recomienda una destructora de papel.

Puestos de trabajo con información confidencial expuesta: anteriormente se requería que el atacante robara documentos físicos para extraer información, hoy en día basta con un dispositivo móvil para tomar fotografías de la información confidencial y nadie sospechará del robo. Mantenga una política de escritorios limpios, bloquee la pantalla de su ordenador cada vez que se ausente de su puesto y manténgase alerta de personas desconocidas cerca de las oficinas.

Existen un gran número de situaciones adicionales donde un delincuente puede llegar a intentar obtener datos, estas son algunas de ellas: phishing, tailgating, shulder surfing, dumpster diving entre otros.

El perpetrador experto en estas técnicas también puede llegar a tener dotes de carisma, persuasión y manipulación para intentar obtener información de empleados y contratistas.

La mejor manera de proteger a la organización contra los ataques de ingeniería social es mantener el personal capacitado y concientizado, por ello, incluir charlas regulares y campañas recurrentes acerca de este tema, mantendrá a su personal alerta para detectar esta clase de amenazas.

Recuerde que el empleado es el eslabón más débil de la cadena de seguridad, capacitarlo, aumentará la seguridad de su organización.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario