Alto hackers, no pueden atacarnos... estamos certificados ISO 27001

Hola, en este post vamos a tratar el tema de la certificación ISO 27001 versus la vida real. 

Tener una certificación ISO 27001 es una garantía de que la organización está haciendo las cosas bien para proteger la información del proceso o servicio que está certificado. La información es el activo más importante, por ello, esta certificación se centra en establecer políticas orientadas a protegerla.

Hay una parte en donde este asunto se divide en dos caminos, la organización que busca desesperadamente estar certificada para tener un status o para atraer nuevos negocios, también está la organización que realmente se preocupa por la protección de la información independientemente de la certificación. 

Entre las organizaciones que solo quieren la certificación, están las que solo desean cumplir con lo estrictamente necesario, buscando las zonas grises en la norma para medio cumplirla, porque es lo que la norma pide para certificarse, sin tener en cuenta lo que realmente pide la norma para proteger la información.

Nada más peligroso para la organización, el tener una falsa sensación de seguridad, pensando que por estar certificada en la norma se va a estar libres de riesgos, es como construir un castillo sobre cimientos de arena. 

La ISO 27001 es una norma de aplicación de requisitos que contienen las mejores prácticas de seguridad de la información y el establecimiento de políticas y controles para el mejoramiento de su protección, es por decirlo de otra forma, lo mínimo que se debe cumplir para proteger la información. Puede irse un poco más allá, estableciendo políticas y controles adicionales que no estén contemplados dentro de la norma y que ayuden a proteger la información.

La seguridad debe ser un culto, un modo de vida, una inmersión dentro de la organización a todo nivel. Todos los empleados y contratistas debe respirar "seguridad de la información", deben vivirla dentro y fuera de la empresa.  

Internet es un terreno hostil, la vida diaria también los es, día a día, hackers maliciosos buscan como hacerse con la información de la empresa, tanto a través de las redes, como mediante técnicas de ingeniera social. 

Por ello, se hace necesario la capacitación constante del personal técnico para que este al día en las últimas contramedidas a los ataques de los ciberdelincuentes. De igual forma se hace necesaria la concientización a nuestros empleados y contratistas para que sepan detectar ataques de ingeniería social y sepan como tratarlos.

Mi invitación, es a tener en cuenta estos tres consejos para entrelazar las certificaciones, la organización y la vida real:

• Vivir la seguridad de la información dentro y fuera de las organizaciones.
• Propender porque las certificaciones que se logren sean solo el reflejo del desarrollo de las mejores políticas y controles implementados para la protección de la información.
• Concientizar y capacitar continuamente a empleados y contratistas. 

Les deseo unas ciberseguras y  felices fiestas.

Conoce los cinco factores en los que la mayoría de las empresas fallan cuando se les hace una auditoría informática

 En este post vamos a revisar los cinco factores más comunes en los que fallan la mayoría de las empresas cuando se les realiza una auditoría, ya sea de cumplimiento o de seguimiento. 

A continuación los enumeramos sin ningún orden en particular:

Capacitación

Los tomadores de decisiones deben entender que no capacitar a sus empleados y terceros, no significa ahorro de recursos, esto significa exponer a la organización a situaciones que se podrían haber evitado si los empleados hubiesen estado capacitados.  

Mantenimiento de software

Ejecutar tareas de mantenimiento de software le garantiza el cierre de brechas de seguridad antes de que puedan ser aprovechadas por algún perpetrador. Instale actualizaciones frecuentemente, remueva software no necesario o desactualizado, asigne solo los permisos necesarios para su operación. Recuerde que debe tener un plan de mantenimiento de software y deberá actualizarlo frecuentemente. 

Plan de continuidad

La organización deberá contar con un plan de continuidad y este deberá ser probado y actualizado por lo menos dos veces al año para evaluar su efectividad. Estas evaluaciones deberán estar documentadas. En la mayoría de los casos existe en plan de continuidad, pero se falla en ponerlo en operación para evaluarlo.

Gestión de riesgos de terceros

Gestionar los riegos propios es una tarea que toda organización hace para identificar sus puntos débiles. Gestionar los riesgos de terceros es una tarea que la mayoría ignora, como por ejemplo, dar únicamente los accesos necesarios al servicio de soporte técnico que se ha contratado en outsourcing, dar acceso físico solo a determinado personal de limpieza a las oficinas del personal VIP. 

Documentación

La documentación es uno de los principales pilares de toda organización, garantiza la continuidad del negocio, la no dependencia de personal, la estandarización de los procesos, la mejora de procedimientos, rápida capacitación de empleados entre otras cosas. Este es un punto flaco en la mayoría de organizaciones. Ver Conoce la importancia de documentar las actividades de la organización y porque es recomendable hacerlo.

Ponle atención a estos cinco aspectos para evitar fallar los proceso de auditoría. 

Conoce que es un CSIRT y que servicios tiene para manejar incidentes de seguridad informática

A diario nos enfrentamos en las organizaciones con la materialización de incidentes de seguridad, para manejarlos existen varias formas, las cuales van desde el manejo del caso por parte del personal de TI hasta la creación de un equipo de respuesta a incidentes de seguridad. 

Aquí es donde entra en escena el término CSIRT, Computer Security Incident Response Team, lo que en español significa Equipo de Respuesta a Incidentes de Seguridad informática.

Por definición, un CSIRT es un equipo de expertos en ciberseguridad cuya principal labor es dar respuesta de forma organizada a los incidentes de seguridad informática. 

En Colombia existen varios equipos CSIRT dentro de los cuales, dos de los más destacados son CSIRT Gobierno liderado por MinTIC y el CSIRT del sector financiero liderado por Asobancaria.

Cada organización, dependiendo de su tamaño, puede llegar a establecer su propio CSIRT interno el cual puede estar orientado a reaccionar a los incidentes propios y a los incidentes de sus entidades adscritas o empresas dependientes.  

Dentro de los servicios que puede llegar a ofrecer un CSIRT están los siguientes (se resaltan los servicios básicos que debe ofrecer un CSIRT): 

Servicios reactivos 

• Alertas y advertencias (básico)
• Gestión de incidentes (básico)
• Análisis de incidentes (básico)
• Apoyo a la respuesta a incidentes (básico)
• Coordinación de la respuesta a incidentes
• Respuesta a incidentes en sitio
• Análisis de vulnerabilidades
• Tratamiento de vulnerabilidades

Servicios proactivos 

• Comunicados
• Observatorio de tecnología
• Evaluaciones o auditorías de la seguridad
• Configuración y mantenimiento de la seguridad
• Desarrollo de herramientas de seguridad
• Servicios de detección de intrusos
• Difusión de información relacionada con la seguridad

Gestión de la calidad de la seguridad

• Análisis de riesgos
• Continuidad del negocio y recuperación tras un desastre
• Consultoría de seguridad
• Sensibilización
• Educación / Formación
• Evaluación o certificación de productos

Si desea tener mayor información acerca de como crear un CSIRT, por favor consulte el siguiente link.

Cinco cosas que debes tener en cuenta cuando se habla de seguridad en aplicaciones WEB

 En este post vamos a revisar cinco aspectos que debes tener en cuenta cuando se habla de ciberseguridad en aplicaciones web, teniendo en cuenta el modelo base: aplicación, servidor web y base de datos. 

Estos son los dos tipos de pruebas más comunes que se utilizan para evaluar tanto la seguridad como la calidad del software desarrollado: 

Análisis de código dinámico: se le conoce como seguridad DAST (Dynamic Application Security Testing) y es el tipo de pruebas más común que existe. Consiste en buscar vulnerabilides en el funcionamiento del aplicativo.  Estas pruebas pueden llegar a incluir en componente de pentesting.

Análisis de código estático: más conocido como SAST (Static Application Security Testing), y se encarga de buscar asuntos relacionados con la calidad y seguridad en el código desarrollado.

A continuación vamos a ver tres tipos de pruebas adicionales que también se deben de tener en cuenta cuando de seguridad se está hablando:

Diseño del aplicativo: Aquí si tiene en cuenta aspectos como: ciclo de vida del aplicativo, segregación de ambientes (mínimo: desarrollo, pruebas y producción), cifrado de datos en operación, cifrado de información en bases de datos, seguridad en usuarios/sesiones/tokens/cookies/db, seguridad en datos para ambiente de pruebas y backup.

Operación: Desempeño del aplicativo y de su plataforma mediante pruebas de carga, las cuales están diseñadas para medir el comportamiento con una carga específica. Las pruebas de estrés buscan encontrar el punto de ruptura del aplicativo, es decir, cuál es la carga máxima que puede llegar a soportar. 

Plataforma TI: Finalmente, está la seguridad de la plataforma en donde se encuentra alojado el aplicativo, una vulnerabilidad en el sistema operativo, el servidor web o la base de datos, puede llegar a poner en riesgo la seguridad del aplicativo de forma indirecta. 

Debes tener en cuenta que las vulnerabilidades en la plataforma de TI afectan al aplicativo y son difíciles de detectar desde la capa del aplicativo, por lo tanto, lo primero que se recomienda es asegurar esta capa y asignar los permisos adecuados a las personas que los requieran. 

Estos son los cinco aspectos que debes tener en cuenta cuando se está hablando de ciberseguridad en aplicaciones web. Un consejo adicional: almacena en otro dispositivo, la trazabilidad de: la aplicación, el servidor web, la base de datos y el sistema operativo, estos datos son importantes para forense, verificaciones de errores, desempeño entro otros.  

Como alinearte a la protección avanzada de servidores con las doce principales recomendaciones de ciberseguridad para hardening

Una de las principales preocupaciones de los administradores de servidores es mantener los equipos de manera segura y lejos de las manos inquietas de los delincuentes informáticos, pensando en ello, en este post te voy a presentar doce recomendaciones que te van a permitir asegurar los equipos:

1. Mantén los sistemas operativos actualizados con las versiones más recientes y sólidas. 
2. Instala los últimos Service Packs del sistema operativo.
3. Asegúrate de aplicar constantemente los parches de seguridad y los hotfixes.
4. Elimina los controladores/drivers innecesarios.
5. Desinstala software innecesario.
6. No crees más de dos cuentas en el grupo de administradores.
7. Desactiva o elimina las cuentas innecesarias trimestralmente.
8. Elimina los servicios no esenciales.
9. Desactiva cualquier servicio de archivos compartidos que no sea necesario.
10. Elimina los privilegios administrativos donde no sean necesarios.
11. Los servicios deben ejecutarse en cuentas con el nivel de privilegio más bajo posible.
12. Implanta una sólida práctica de gestión de contraseñas.

Adicionalmente, estas cuatro recomendaciones adicionales te pueden ayudar en la gestión de los incidentes de ciberseguridad, ya que guardan la trazabilidad de los registros de los equipos:

1. Habilite los registros de auditoría para registrar los intentos de inicio de sesión exitosos y fallidos, el uso de privilegios elevados y cualquier tipo de actividad no autorizada.
2. Implementar la protección de archivos y directorios mediante listas de control de acceso y permisos de archivos.
3. Todas las particiones del disco deben formatearse con un tipo de sistema de archivos que ofrezca funciones de cifrado (por ejemplo, NTFS en el caso de Windows).
4. Configure el sistema operativo para que registre cada actividad, error y advertencia.

Estas recomendaciones son la base para ingresar en el mundo del hardening de servidores, ya que contienen las prácticas de ciberseguridad más utilizadas para proteger la información contenida en los equipos. 

Siguiendo estas prácticas vas a poder estar un escalón arriba en la escalera de ciberseguridad. 

Conoce las principales ventajas de la certificación ISO 27001 y el porqué es recomendada

Las certificaciones ISO son documentos que acreditan que una organización cumple con una normativa ISO, esto demuestra que se ha implementado de manera adecuada los estándares requeridos por una certificación. Este es un factor diferenciador entre tu organización y su competencia. 

Para el caso de la certificación ISO 27001, alcanzar esta certificación demuestra que la organización se preocupa por la protección de la información tanto propia como de terceros. 

En palabras cortas, la norma ISO 27001 se basa en los sistemas de gestión de seguridad de la información. Determina que la compañía cumple con la norma en todo lo relacionado con la gestión de la seguridad de la información.

A continuación se enumeran algunas de las ventajas de alinearse con la norma ISO 27001:

• Es una norma reconocida internacionalmente para la gestión de la seguridad de la información.
• Muestra el compromiso de la organización con la mejora continua de la seguridad de la información.
• Muestra el compromiso de preservar la seguridad de la información, tanto la propia como la de terceros, proveedores, socios comerciales y partes interesadas.
• Ofrece una ventaja competitiva al demostrar una adecuada gestión de riesgos.
• Puede facilitar los negocios o colaboraciones con organizaciones muy reguladas. 
• Reduce la probabilidad de que se produzcan violaciones de datos propios o de terceros.
• Puede atraer a candidatos y socios comerciales de mayor calidad.

Esta certificación es sinónimo de seguridad en la protección de datos, esto atrae nuevos clientes y socios comerciales. También le permitirá estar un escalón arriba de su competencia, o simplemente le permitirá destacarse en su sector.  

Cinco consejos para evitar ciberataques en tu organización

En este post veremos cinco consejos que te ayudarán a protegerte contra ciberataques, están orientados hacia la organización, sin embargo, son fácilmente adaptables para uso personal.

1. Utiliza un antivirus de última generación, conocidos como endpoint protection, el cual te da protección de virus, navegación controlada, manejo de medios (USB, discos extraíbles) y protección anti-ransomware.
2. Mantén actualizado el software, principalmente: sistemas operativos, navegadores, visores PDF, JAVA, software ofimático y cualquier otro software que requiera actualizaciones.
3. Usa contraseñas robustas, en la medida de las posibilidades, usa múltiple factor de autenticación.
4. Mantén un plan de concientización en temas de ciberseguridad para tus empleados, esto les enseñará, entre otras cosas, a protegerse de ataque de phishing y usar contraseñas seguras.
5. Mantén un plan de backup operativo, recuerda 3-2-1-1. Mínimo 3 copias en 2 sitios diferentes, 1 fuera de la oficina y 1 fuera de línea. Verifica por lo menos dos veces al año, que las copias estén operativas.

Estos cinco consejos te mantendrán a salvo de los principales tipos de ataques que pueda llegar a sufrir tu organización. Recuerda que diariamente las PyMES son atacadas para comprometer sus datos o dejarlas fuera de operación, estos consejos pueden prevenir que esto pueda pasar.

Conoce la importancia de documentar las actividades de la organización y porque es recomendable hacerlo

En este post verás las diez principales razones por las cuales se recomienda documentar los procesos de la organización y la importancia de hacerlo para mejorar el desempeño organizacional: 

1. Los procedimientos son ejecutados de la misma forma de acuerdo a la documentación existente. 
2. En ausencia del empleado encargado de una actividad, esta labor podrá ser desarrollada por otro empleado siguiendo la documentación. 
3. Al estar documentados los procedimientos y tareas, el conocimiento es de la organización evitando tener dependencia de los empleados.
4. La documentación deberá estar desarrollada y mantenida actualizada por los empleados que ejecutan las actividades, el ejercicio de realizar la actividad de acuerdo a la documentación garantizará una buena transferencia de conocimiento.
5. El nuevo personal contratado se incorporará más rápido a su puesto de trabajo debido a que podrá ejecutar tareas de acuerdo con la documentación existente.  
6. La documentación deberá ser desarrollada y actualizada por el personal con mayor experiencia en el proceso a documentar, incluya en la documentación las lecciones aprendidas a través del tiempo. 
7. Use indicadores de gestión para medir del desempeño de sus empleados al desarrollar las actividades documentadas, esto le permitirá hacer mejoras en cada proceso y evaluar el desempeño de sus empleados. 
8. Toda labor dentro de la organización deberá ser documentada, esto le permite llevar un control y seguimiento en caso de cambio de personal asignado.
9. Si desea optar por alguna certificación ISO, lo más probable es que te exijan tener los proceso documentados, esto adicional es una muy buena práctica empresarial.
10. Siempre vas a poder repetir los procedimientos de la mejor manera y podrás mejorarlos constantemente por medio de lecciones aprendidas, nuevas técnicas, nuevas tecnologías, nuevas metodologías o mejores formas de hacer la misma cosa. 

Este es el decálogo de las razones por las cuales te recomiendo documentar y actualizar permanentemente la documentación de los procesos.

Conozca la actualización más reciente del TOP 10 OWASP para desarrollo seguro de aplicaciones web

El Open Web Application Security Project® (OWASP) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. Dentro de su inventario posee un gran número de aplicaciones orientadas a aumentar la seguridad en el desarrollo, uso y mantenimiento de las aplicaciones.

Uno de los proyectos más emblemáticos es el TOP 10 OWASP, el cual enlista los diez riesgos más críticos para las aplicaciones y servicios web, llamativamente esta semana actualizó su listado, quedando en su versión 2021 con los siguientes riesgos:

• A01: 2021 Inadecuado control de acceso (anteriormente A05 OWASP Top 10 2017)
• A02: 2021 Fallos criptográficos (anteriormente A03 OWASP Top 10 2017)
• A03: 2021 Inyección (anteriormente A01 OWASP Top 10 2017)
• A04: 2021 Diseño inseguro (NUEVO)
• A05: 2021 Configuración incorrecta de seguridad (anteriormente A06 OWASP Top 10 2017)
• A06: 2021 Componentes vulnerables y obsoletos
• A07: 2021 Fallos de identificación y autenticación (anteriormente A02 OWASP Top 10 2017)
• A08: 2021 Fallos de integridad de datos y software (NUEVO)
• A09: 2021 Fallos de seguimiento y registro de seguridad (anteriormente A10 OWASP Top 10 2017)
• A10: 2021 Falsificación de solicitudes del lado del servidor (NUEVO)

En el siguiente gráfico puedes ver la evolución de los riesgos desde la versión anterior 2017 hasta la versión actual, la 2021:

Un ítem bastante interesante a tener en cuenta, es la inclusión del riesgo 4, el cual tiene que ver con el diseño inseguro y el apartado 8, fallos de integridad de datos y software, la inclusión de estos dos elementos se alinean con el tema del ciclo de vida del desarrollo de software seguro.

Si desea tener más datos al respecto, por favor visite el sitio web www.owasp.org. 

Conoce las cinco clases de controles usadas para tratar los riesgos y mantener segura tu organización

En post anteriores revisamos lo que es un riesgo (Efecto de la incertidumbre sobre los objetivos), en este post vamos a ver cinco clases de controles que se utilizan para tratar los riesgos. Empecemos por definir lo que es un control:

Control: Medida por la que se modifica el riesgo.

Los controles incluyen procesos, políticas, dispositivos, prácticas, entre otras acciones que modifican el riesgo. Otros términos utilizados para referirse a control son: salvaguarda o contramedida.

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha materializado, pero que se corrige. Ejemplo: implementación de un sistema de prevención de intrusos IPS.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige. Ejemplo: implementación de un sistema de detección de intrusos IDS.

Control de acceso: Significa garantizar que el acceso a los activos esté autorizado y restringido según los requisitos comerciales y de seguridad. Ejemplo: implementación de un firewall.

Control disuasorio: Control que reduce la posibilidad de materialización de una amenaza. Ejemplo: carteles acerca de que el cliente está siendo monitoreado por cámara para que desista de su intención. 

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Ejemplo: Implementación de un plan de recuperación de desastres DRP.

Estas son las cinco clases de controles usadas para tratar los riesgos junto con un ejemplo de cada una de ellas. Úsalas para tratar los riesgos en tu organización. 

Conoce que es un vector de ataque, cuales son los más comunes y para que sirven

En este post vamos a revisar que es un vector de ataque y conoceremos algunos de ellos.

En ciberseguridad, un vector de ataque es un método para conseguir un acceso no autorizado a un objetivo para lanzar un ciberataque.

Los vectores de ataque permiten a los ciberdelincuentes aprovechar las vulnerabilidades de un sistema para acceder a datos sensibles, información personal identificable y otra información valiosa accesible tras una violación de datos.

Los vectores de ataque más comunes son: 

• Phishing
• Malware
• Software sin parches
• Ransomware
• Credenciales débiles
• Software desactualizado
• Debilidad en el cifrado o encriptación
• Debilidad en la configuración del sistema

La mayoría de los ataques que se realizan son con fines lucrativos, sin embargo, algunos de ellos son realizados para revelar información confidencial, dejar sin servicio alguna red o simplemente por el placer de afectar un objetivo.

Conoce los diez términos más utilizados de riesgos en seguridad de la información explicados de forma fácil de digerir.

En este post vamos a ver la principal terminología que se utiliza cuando se habla de riesgos de seguridad de la información. Ilustraremos estos términos con un ejemplo. 

Empecemos por la siguiente definición y vamos a revisar cada una de las palabras resaltadas para definir los primeros cinco términos:

El riesgo es la probabilidad de que una amenaza se aproveche de una vulnerabilidad en un activo para causar un impacto los objetivos del negocio. 

• Riesgo: Efecto de la incertidumbre sobre los objetivos. 
• Probabilidad: Posibilidad de que algo suceda.
• Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema u organización.
• Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas.
• Impacto: consecuencia de la materialización de una amenaza.

Un ejemplo que involucre estas definiciones puede ser este:

La organización no cuenta con protección de aplicaciones web, por lo tanto, la probabilidad de que un delincuente informático pueda dejar sin servicio el portal transaccional de la organización es alta y su impacto será catastrófico. 

Existe un gran número de metodologías para hacer gestión de riesgos, sin embargo, la mayoría de ellas concuerdan con las siguientes definiciones:

• Criterios de riesgos: Términos de referencia contra los cuales se evalúa la importancia del riesgo.
• Identificación de riesgos: Proceso de búsqueda, reconocimiento y descripción de riesgos.
• Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y para determinar el nivel de riesgo.
• Evaluación de riesgos: Proceso de comparar los resultados del análisis de riesgo con los criterios de riesgo para determinar si el riesgo y / o su magnitud es aceptable o tolerable.
• Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

El propósito de la gestión de riesgos es identificar anticipadamente los riesgos para tratarlos antes de que estos se materialicen y puedan impactar los objetivos del negocio.

Si desea conocer más términos relacionados con seguridad de la información, puede consultar el siguiente link https://normaiso27001.es/referencias-normativas-iso-27000/

Aprende con ejemplos que es la Tríada CID (Confidencialidad, Integridad y Disponibilidad)

En este post vamos a repasar que es confidencialidad, integridad y disponibilidad, con ejemplos para una mejor comprensión. 

Confidencialidad: Es la propiedad que determina que la información sólo esté disponible y sea revelada a las partes autorizadas. 

Integridad: Propiedad de salvaguardar la exactitud y estado completo de la información. Sin un dato es alterado sin autorización entonces pierde su integridad.

Disponibilidad: Esta propiedad garantiza que la información sea accesible y utilizable por las partes cuando éstas así lo requieran.

Un ejemplo para las tres propiedades puede ser la cuenta de ahorros, la información del saldo es información confidencial, el PIN de consulta de la tarjeta débito es información confidencial.

Que pasaría si su saldo se ve alterado sin causa alguna, esto es pérdida de integridad. Si los datos del propietario de la cuenta son modificados sin autorización, esto también es perdida de integridad.

Ahora, si el banco esta cerrado o si el cajero electrónico esta fuera de servicio y no consigues consultar el saldo, esto es perdida de disponibilidad, ya que no puedes consultar tus datos. 

Estas son las tres principales propiedades de la información, espero que los ejemplos te hayan ayudado a interiorizarlas.

Conoce 10 estadísticas de ciberseguridad para que te mantengas informado y puedas tomar decisiones acertadas

En este post te voy a mostrar las 10 estadísticas de ciberseguridad que más afectan a las organizaciones, conocerlas te va a permitir tomar las acciones necesarias para orientar tu plan de ciberseguridad. 

1. Más del 80% de los eventos de ciberseguridad involucran ataques de phishing.
2. 2020 vio la primera muerte conocida por un ciberataque relacionado con ransomware.
3. En 2020, en promedio, se necesitaron 207 días para identificar las brechas de seguridad informática.
4. Marriott admite que una violación de seguridad en 2020 expuso los datos de al menos 5.2 millones de huéspedes.
5. Después de ser notificado de una violación de datos, el 64% de los estadounidenses no sabe los próximos pasos a seguir.
6. Hay 2,244 ciberataques por día y 164 ciberdelitos denunciados todos los días.
7. Casi la mitad de todos los ciberataques se dirigen a pequeñas empresas.
8. Una de las firmas de seguridad más grandes del mundo admite que fue víctima de un hackeo sofisticado en 2020.
9. El 43% de las pequeñas y medianas empresas (PYMES) aún no han adoptado planes de mitigación y evaluación de la ciberseguridad.
10. El 20% de las pequeñas empresas permiten el trabajo remoto sin tener un plan de ciberseguridad.

En este link podrás encontrar la explicación de cada estadística y podrás hallar otro gran número de ellas. Espero que estos números te ayuden a tomar las acciones necesarias para mejorar tu ciberseguridad.

 

Conoce las diez palabras más utilizadas en ciberseguridad y su significado

En este post encontrarás las diez palabras más utilizadas dentro del mundo de la ciberseguridad, al final del post hallarás referencias a otros sitios donde podrás encontrar más términos e información. 

Sin más preámbulo, estas son las diez palabras más utilizadas: 

Activo: Recurso de valor tangible o intangible que debería ser protegido, lo que comprende personas, información, infraestructura, finanzas y reputación.

Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.

Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.

Ciberseguridad: Preservación de la confidencialidad, la integridad y la disponibilidad de la información y/o de los sistemas de información a través del medio cibernético.

Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la misma afectada de manera significativa.

Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.

Impacto: El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc-.

Incidente: Evento inesperado o no deseado que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

Integridad: Propiedad de la información relativa a su exactitud y completitud.

Probabilidad: Posibilidad de que ocurra algo.

Riesgo: Probabilidad de que una vulnerabilidad sea explotada por una amenaza y esto impacte al negocio. 

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.

En este link podrás hallar más términos: https://mintic.gov.co/portal/inicio/Glosario/

Conoce el contenido de los seis pasos de la gestión de vulnerabilidades para mejorar tu ciberseguridad

En este post conocerás los seis pasos recomendados para diseñar un plan de gestión de vulnerabilidades efectivo que te permita proteger los activos de la organización.

Empecemos la siguiente definición:

Vulnerabilidad: Debilidad en el software o en el hardware que le permite a un atacante comprometer la confidencialidad, integridad o disponibilidad del sistema o de la información que procesa.

Ahora, con esta definición en mente debemos diseñar un plan que me permita identificar y tratar estas vulnerabilidades. El plan que diseñemos deberá contar con los siguientes seis pasos:

1. Identificación de activos y priorización: debes identificar y priorizar los activos que van a ser objetivo de análisis.
2. Tipos de pruebas, escenarios, métricas: aquí defines el tipo de pruebas, los escenarios desde donde serán ejecutadas y que métricas deberán ser medidas.
3. Análisis de vulnerabilidades: Aquí debes ejecutar el análisis de vulnerabilidades planeado en el paso anterior.
4. Priorización, diseño plan de remediación: Es momento de analizar los datos recolectados y diseñar un plan de remediación de acuerdo a los recursos con los que cuentes.
5. Ejecución del plan de remediación: En este paso se remedian las vulnerabilidades de acuerdo al plan trazado en el paso anterior. En algunas ocasiones se debe verificar que la implementación de la solución haya sido efectiva.
6. Medir para mejorar el proceso: Una vez finalizado el plan de remediación se debe de medir la efectividad, para ellos se deben tener en cuanta los indicadores definidos en el paso dos.  

Estos son los seis pasos recomendados para ser incluidos en el diseño del plan de gestión de vulnerabilidades, tenlos en cuenta para avanzar de forma rápida y fácil en la protección de los datos de tu organización. 

¿No quieres ser hackeado? Evita estas tres prácticas que ponen en riesgo tu ciberseguridad

 Siempre queremos mantenernos seguros y mantenernos alejados de los atacantes, en este post veremos tres de las prácticas que más ponen en riesgo tu ciberseguridad y recomendaciones de como evitarlas.

1. Uso de software desactualizado: mantén tu estación de trabajo y los servidores con los últimos parches de seguridad, no uses sistemas operativos obsoletos y no uses software pirata.
2. Uso de credenciales por defecto: Asigna contraseñas complejas de más de catorce caracteres, combinación de números, letras y símbolos, no uses la misma contraseña para varias cuentas y cámbialas con frecuencia. 
3. Usar un solo factor de autenticación: si administras plataforma crítica debes implementar el doble factor de autenticación, si tus credenciales son comprometidas, el atacante requerirá de otro factor para ser autenticado.

Sigue estos consejos y estarás un escalón más arriba en la escalera de la ciberseguridad.

Brincando por los cinco pasos para la gestión de vulnerabilidades informáticas para mejorar la ciberseguridad

En este post veremos los pasos sugeridos que debes llevar a cabo para la ejecución de un plan de gestión de vulnerabilidades en la organización. 

Empecemos por la siguiente definición: La gestión de vulnerabilidades es un proceso cíclico que busca debilidades en el software o en el hardware. Estas vulnerabilidades pueden llegar a comprometer la seguridad de la información. 

Para realizar esta tarea de forma organizada, tenemos cinco pasos los cuales vamos a describir a continuación:

• Identificar: Aquí definimos el alcance del plan, los equipos que vamos a evaluar, recuerda que actualmente todo dispositivo conectado a la red es un posible riesgo de seguridad por lo que se deben evaluar todos los equipos conectados a la red. 
• Evaluar: Para la gestión de vulnerabilidades se deben evaluar los equipos con credenciales administrativas, estos te permite ver el total de las vulnerabilidades a las cuales están expuestos tus equipos. 
• Analizar: No todas las vulnerabilidades críticas son "críticas", aquí debes evaluar y priorizar que es lo que debes atender primero, es decir, debes desarrollar un plan de remediación donde priorices el cierre de vulnerabilidades en los activos más críticos.
• Remediar: Desarrolla el plan de remediación diseñado en el paso anterior, recuerda que para algunos equipos críticos debes llevar un plan de control de cambios donde esté incluido un rollback en caso de que no funcione la remediación.
• Medir: indicadores como, tiempo de detección, tiempo de remediación o ventana de exposición, te pueden ayudar a ver el mejoramiento del plan de gestión de vulnerabilidades. Compara vulnerabilidades nuevas, persistentes y mitigadas en cada ciclo para ver la evolución de la mitigación de las vulnerabilidades.

Adicionalmente, ten en cuenta estos tips cuando desarrolles tu plan:

• Incluye los equipos de red, estos también tienen vulnerabilidades.
• Incluye los equipos de VoIP, nada más crítico que se intercepte una llamada.
• Periódicamente significa periódicamente, te recomiendo realizar una evaluación por lo menos una vez al mes.
• Utiliza software de pago, el desarrollo de software para detección de vulnerabilidades va más rápido que en el software libre.
• Si no tienes el software o el personal adecuado, contrata el servicio he inclúyelo dentro del plan.

Estos son los cinco pasos básicos que debe contemplar un plan de gestión de vulnerabilidades, puedes adicionar los que consideres pertinentes de acuerdo a las necesidades de tu organización.

Conoce como un ramsonware puede ingresar a tu organización y no es magia

En este post vamos a ver cuáles son los puntos claves por donde un ataque de ransomware puede ingresar en tu organización y como prevenir su ingreso.

Empecemos por acordar que el ransomware es un secuestro de datos que busca un pago en moneda digital a cambio de la restitución de los datos, ahora, vamos a ver cuáles son los principales puntos claves por donde puede ingresar un ataque de estos a nuestra organización y como podemos prevenirlo.

• Phishing: es una de las prácticas más comunes y consiste en engañar al usuario haciéndose pasar por alguien de confianza para que este entregue información confidencial de forma voluntaria, la cual puede ser utilizada para lanzar un ataque de phishing. Usa campañas de concientización en temas de ciberseguridad para sus usuarios.
• Password guessing: Adivinar contraseñas, en algunas ocasiones nos encontramos con contraseñas demasiado fáciles de adivinar, como el nombre de la empresa más el año, no es que los atacantes sean buenos, solo que se la ponemos fácil. Nuevamente, estas contraseñas pueden ser usadas para ataque de phishing. Usa campañas de selección de contraseñas seguras.  
• Exploit vulnerability: Explotación de vulnerabilidades, El no tener los equipos parchados facilita un ataque de ransomware debido a que existen vulnerabilidades que permiten comprometer la seguridad del equipo afectado y a través de este atacar toda la red interna. Mantén un programa de gestión de vulnerabilidades de forma periódica para mitigar esta amenaza.  

Estas son tres de las formas más comunes que usa un ataque de ransomware para intentar atacar los datos de tu organización, usa las recomendaciones para reducir el nivel de exposición y proteger tus datos.

 

Su majestad la VPN: Conectate de forma segura para proteger tus datos.

En este post vamos a ver las ventajas de conectarte a tu empresa por medio de una conexión privada más conocidas con VPN.

Iniciemos por decir que una VPN es una conexión privada entre dos puntos, llámese punto a una red o una estación de trabajo. Cuando decimos que la conexión es privada es porque los datos viajan a través de un canal cifrado, protegido para que los delincuentes no tengan acceso a la información. 

En esta ocasión, vamos a ver las ventajas de conectarnos como empleados a la red interna de la organización, haciéndolo de forma privada a través de una VPN. 

• Los datos viajan cifrados entre el portátil o estación de trabajo y la red interna de la organización.
• Puedes acceder a los recursos internos de la red interna como si estuvieras dentro de la empresa.
• Si la configuración lo permite, la navegación de tu portátil puede salir a través del canal de la empresa.
• No necesitas exponer puertos o servicios directamente en Internet, pues los usuarios a conectarse vía VPN podrán acceder a los servicios como si estuvieran conectados a la red interna. 
• Existen artefactos preconfigurados que facilitan la conexión de usuarios con pocos conocimientos en tecnología.

Evita conectarte a tu empresa de forma directa a servicios como escritorios remotos o bases de datos, estos son los servicios más atacados por los delincuentes, el acceso a estos servicios siempre se debe hacer por medio de una conexión VPN. 

Recomendación final: usa siempre una conexión VPN para acceder a los recursos de la organización, solo deben estar expuestos en Internet los servicios que sean para acceso al público.

Descubre las cinco maneras mas frecuentes con las que puede ser atacada tu organización

Estas son las cinco maneras mas comunes utilizadas por los perpetradores para atacar tu empresa:

Phishing: Últimamente este ha sido la forma preferida por los delincuentes informáticos para atacar las organizaciones. Puede llegar desde un simple robo de información hasta el secuestro de los datos mediante técnicas de ransomware. Capacite a sus usuarios con campañas antiphishing.

Contraseñas débiles: Muchas veces noes que el perpetrador sea bueno sino que utilizamos contraseña demasiado débiles, las prestamos, compartimos o simplemente olvidamos deshabilitar usuarios que han salido de la organización.  Capacite a sus usuarios en uso de contraseñas seguras.

Software obsoleto: Nada mas peligroso que el software obsoleto el cual por no tener mantenimiento posiblemente tenga brechas de seguridad, ejemplo de ello son los sistemas operativos como Windows XP o Windows 7 los cuales ya no tienen mantenimiento por parte del fabricante. Reemplace el software obsoleto.

Software desactualizado: la diferencia del software obsoleto con el desactualizado es que este ultimo si tiene mantenimiento por parte el fabricante y debes propender por la aplicación de las actualizaciones para corregir asunto de seguridad. Genere un plan de mantenimiento de parches de fabricante.

Personal no capacitado: Tener personal a cargo de la administración de TI sin las habilidades necesarias para el cargo  es un riesgo bastante alto ya que pueden poner el peligro los datos de la organización por desconocimiento del tema. Capacite a su personal de acuerdo al rol desempeñado.

El gran peligro de la transmutación de servidores y como afecta la seguridad de la organización

En este post nos vamos a salir un poco de nuestra zona y vamos a ver un tema bastante importe del área técnica que puede llegar a impactar los procesos de la organización.

El movimiento de servidores entre las diferentes funciones que realizan dentro de la red es una práctica común debido a que se ahorra tiempo de instalación, configuración y puesta a punto, sin embargo, esto pueda acarrear asunto de seguridad que pueden poner en riesgo los datos. 

Cuando mueves un servidor de una función a otra debes tener en cuenta que mueves todo lo que hacia el servidor, por ejemplo, permisos, librerías, archivos, scripts entre otras cosas, por lo que se heredan tanto las fortalezas como las amenazas de los servidores, en un caso critico, si el servidor estaba comprometido, al moverlo en su nueva función también estará comprometido.

Recomendación: Siempre implemente un servidor desde cero, instale sistema operativo, aplique parches de seguridad, implemente la línea base, instale solo las librerías necesarias, realice las configuraciones requeridas y por último, mantenga actualizada la documentación de este proceso. 

Conoce las cinco formas más comunes de ataques a la información de tu organización y como prevenirlas

Proteger la información de las organizaciones es una tarea de nunca acabar, diariamente aparecen nuevas formas en las que los atacantes quieren hacerse con los datos de tu organización para usarla con fines fraudulentos. En este post conocerás las cinco formas más comunes que utilizan los delincuentes para acechar tus datos.

Data leaks: algunas veces no es que los atacantes sean buenos, solo que descuidamos la información. Revisa periódicamente: permisos asignados, configuraciones de servicios y de seguridad. 

Phishing: Los usuarios finales están en constante ataque por lo que mantenerlos capacitados evitará que caigan en esta clase de ataques que por lo general son vía correo electrónico. 

Pérdida, robo, préstamo y craqueo de contraseñas. La gestión adecuada de contraseñas deberá ser una de las políticas de seguridad que más deben tener presentes todos los usuarios de la organización. Préstamo de contraseñas y contraseñas débiles son las acciones más comunes.

Ransomware: El secuestro de datos y cifrado no autorizado de información es una de las prácticas que más genero ingresos a los atacantes en el año 2020 y lo que lleva del presente. Mantenga los equipos actualizados, el antivirus con protección anti ransomware, control sobre la navegación y una copia de respaldo fuera de línea. 

Vulnerabilidades: Revise periódicamente la presencia de vulnerabilidades en todos los equipos de la organización para tomar las acciones de tratamiento lo más rápido posible. Recomendado: semanal, mínimo: mensual, periodo más largos pondrán en mayor riesgo los datos de la organización, evalué que tan importantes son.

Estas son las cinco formas de ataques más comunes para la mayoría de organizaciones, existen otras formas que dependen del sector de tu organización o de la clase de atacantes. Sigue las recomendaciones y mantente informado.

Desde donde, como y cada cuanto hacer un análisis de vulnerabilidades

En este post veremos las recomendaciones básicas acerca de la ejecución de pruebas de análisis de vulnerabilidades, desde donde ejecutarlas, como hacerlo y su periodicidad. 

El ejercicio de un análisis de vulnerabilidades puede llegar a ser una tarea fácil si tienes el escenario claro y los objetivos definidos. 

Esta tarea no es tan sencilla como poner una dirección IP en un escáner y dar clic en escanear. Para hacer un análisis de vulnerabilidades consistente, debes aplicar conceptos como, desde donde ejecutar las pruebas, como debes ejecutarlas y cada cuanto debes hacerlo.  

Veamos el primer concepto: desde donde. Debes tener en cuenta que lo más recomendado es que el escáner este dentro de la misma VLAN donde están los equipos objetivos. Si realizas el escaneo desde una VLAN diferente hacia donde se encuentran los equipos objetivos, entonces deberás abrir todos los puertos para la dirección IP del escáner (¿Qué crees que va a decir el ingeniero de seguridad?). 

Segundo concepto: cómo. Si es un escaneo de seguridad para cierre de vulnerabilidades, lo más recomendado es que realices un ejercicio con credenciales, es decir, con usuario y contraseña de administración, esto permitirá verifica la aplicación de parches, la presencia de software obsoleto o con vulnerabilidades dentro de los equipos objetivos.

Tercer concepto: cada cuanto. Lo recomendado es ejecutar el análisis de vulnerabilidades tan frecuentemente como sea posible y mínimo una vez al mes. 

Hace 18 días fue descubierta una vulnerabilidad crítica en el sistema operativo Microsoft Windows que compromete la integridad, disponibilidad y confidencialidad, no requiere privilegios y es fácil de explotar. ¿En cuántos equipos de tu organización esta presente esta vulnerabilidad? ¿Ya tienes un plan de mitigación?

Estos son los tres conceptos básicos para un análisis de vulnerabilidades consistente, la combinación de ellos te permitirá ver cosas como, el punto de vista de un atacante desde la VLAN de usuarios hacia la VLAN de servidores, asuntos con la configuración del firewall, entre otras cosas. 

Como siempre, la aplicación de estos conceptos dependerá de cada organización, sus objetivos de negocio y la normatividad que deba cumplir, por lo demás, el seguir estas recomendaciones te mantendrá un paso adelante en ciberseguridad.

Vulnerabilidad crítica vigente analizada con la lupa de tres KPIs

El primero de julio de 2021 fue revelada por accidente una vulnerabilidad en el sistema operativo Windows de Microsoft. 

La publicación de esta vulnerabilidad sin haber sido desarrollado un parche por parte de Microsoft, ha causado que muchos sistemas operativos estén en riesgo crítico, ya que esta vulnerabilidad le permite a un atacante tomar control de los equipos afectados. 

Microsoft está trabajando fuertemente en el desarrollo del parche que corrija la vulnerabilidad, por el momento, lo recomendado es que donde sea posible, se deshabilite el servicio de impresión que viene activado por defecto. 

Esta es una de las razones por las que se recomienda realizar un análisis de vulnerabilidades por semana para verificar la presencia de esta clase de riesgos. Entre más tiempo tardes en realizar esta tarea, mayor va a ser el riesgo al cual va a estar expuesta tu organización. 

Vamos a analizar esta vulnerabilidad desde la lupa de tres (3) indicadores de ciberseguridad.

La vulnerabilidad fue descubierta en julio 1 de 2021, el tiempo que demores en detectar esta vulnerabilidad en la organización se le conoce como TTD (Time to Detect), tiempo en detectar, este indicador está dado en días, a mayor número de días, mayor es el riesgo.

Ahora, el segundo indicador es TTR (Time to Resolv), tiempo en resolver, el cual corresponde al tiempo que te tomará cerrar la vulnerabilidad. Al igual que la variable anterior, a mayor número de días, mayor es el riesgo.

Finalmente tenemos el indicador WTE (Window to Expose), ventana de exposición, el cual corresponde a la suma de los dos indicadores anteriores y da como resultado el tiempo total en el que la organización estuvo expuesta a la vulnerabilidad.

Pongámosle números a los indicadores, digamos que aún no has realizado un análisis de vulnerabilidades en todos los equipos Windows de la organización y que lo tienes planeado para el próximo martes 13 de julio de 2021. El indicador TTD será de 13 días.

Se hallaron 250 equipos con la vulnerabilidad reportada, hablas con tu equipo de trabajo y ellos te dan un tiempo estimado de cierre de15 días. El indicador TTR será 15 días.

Ahora, la ventana de exposición será: TTD + TTR. 13 + 15 = 28 días.

28 días fue el tiempo al cual van a estar expuestos 250 equipos de tu organización a una vulnerabilidad crítica que permite tener el control completo de la información contenida en ellos.

Te recomiendo mantener estos indicadores lo más pequeño que sea posible para evitar situaciones de riesgo. Ten presente que estas recomendaciones siempre dependerán del apetito de riesgo de cada organización y de lo valiosa que consideren su información. 

Conoce la importancia de tener un equipo de ciberseguridad con dos ejemplos recién salidos del horno

En este post revisaremos cuan importante es contar con un equipo de ciberseguridad viéndolo desde la perspectiva de dos ejemplos que han ocurrido recientemente. 

Para nadie es un secreto que Internet es un ambiente hostil desde donde constantemente se reciben ataques peligros que pueden llegar a ponerte en riesgo a ti y a tu organización, ni que hablar del número de ataques que vienen desde dentro de la propia organización. Estos ataques ponen en riesgo la información digital de tu organización la cual es vital para su operación.

Esta semana han ocurrido dos sucesos importantes de ciberseguridad, primero, una organización fue atacada ferozmente a tal punto que sus servicios se vieron altamente afectados, ya que tanto sus bases de datos como sus copias de respaldo fueron borradas completamente.

Desconozco si al día de hoy se han podido recuperar, pero es el momento para que te tomes un tiempo y te preguntes, ¿Qué pasaría si todas las bases de datos de mi organización fuesen borradas y no se pudieran recuperar? Esto es un evento que toda organización quiere evitar y por ello toma controles preventivos para evitar que se materialice. 

El segundo evento es la revelación por accidente de una vulnerabilidad que se creía parchada por el fabricante, pero que no era así. Tu equipo de ciberseguridad ya debió de haberte informado acerca de este asunto y ya debe estar tomando las acciones necesarias para mitigar el impacto. Una vulnerabilidad de este calibre deber ser tratada lo antes posible.

Para estos dos casos, es sumamente importante que cuentes con un equipo de seguridad capacitado que te pueda asesorar adecuadamente para evitar que cosas como estos dos ejemplos se puedan materializar al interior de tu organización.

Tienes cuatro opciones, contratar el personal adecuando para estas funciones, contratar una empresa de consultoría que se encargue de estos menesteres, formar empleados o esperar a que suceda un evento para reaccionar. 

No importa la decisión que tomes o hayas tomado, lo importante es que cuentes con un personal idóneo y capaz que te ayude a tomar las mejores decisiones en aras de cuidar la información digital de tu organización. 

Conoce los riesgos de la seguridad reactiva vs la seguridad preventiva para la toma de decisiones

En este post veremos que es seguridad preventiva y seguridad reactiva, un breve ejemplo de cada una de ellas y cuál de las dos deberías tener como mejor opción. Los resultados los puedes extrapolar a cualquier área estratégica de la organización.

La seguridad preventiva está orientada a prevenir la materialización de riesgos dentro de la organización. Es un proceso cíclico de búsqueda de amenazas, identificación de vulnerabilidades, análisis de riesgos y adopción de medidas preventivas.

La seguridad reactiva consiste en esperar a que algo suceda para tomar acciones orientadas a recuperar la operación, en la mayoría de los casos, estas acciones suelen ser mucho más costosas que la seguridad preventiva y pueden no tener resultados satisfactorios.

Un ejemplo clásico es la infección de malware que implica el secuestro de información, el cual exige un rescate económico oneroso a cambio de la devolución de los datos. 

Con la seguridad preventiva existe una alta probabilidad de que esto no hubiese pasado, se hubiesen identificado las amenazas (malware), identificado las vulnerabilidades (parches de Windows, email, otros), revisado el impacto en el negocio (secuestro de información) y tomado las acciones necesarias para evitar este riesgo (antivirus de última generación, email Gateway, otros), todo esto implica un mayor trabajo, sin embargo, se obtienen mayores beneficios.  

Con la seguridad reactiva, solo se espera a que algo suceda. Una vez los equipos están infectados con malware y la información secuestrada, se procede a intentar remediar la situación. 

Primero, es muy posible que el malware no tenga posibilidad de ser erradicado. Segundo, es muy probable que la información se pierda. Tercero el precio de pagar el rescate es costoso, al día de hoy, aproximadamente $5.000 dólares americanos por equipo, si los pagas, no es garantía que la información sea regresada. Como no quieres que vuelva a suceder, vas a tomar las acciones preventivas que pudiste haber tomado antes de que ocurriera el evento. 

Como puedes observar, la seguridad preventiva implica más trabajo y tiene un costo cíclico, sin embargo, este costo es mucho menor al costo de un incidente de seguridad manejado con seguridad reactiva. Al final del ejercicio, terminarás poniendo los mismos controles de la seguridad preventiva para evitar volver a ser atacado. 

Asesórate de un especialista en ciberseguridad para determinar las amenazas, vulnerabilidades y riegos que pueden afectar la información de tu organización. Revisa cuál sería el costo para tu organización, si se materializa uno de los riesgos identificados. Trabaja de la mano con tu equipo para determinar los planes para manejar los riesgos a los cuales estás expuesto.  

Una vez hecho esto podrás determinar que es más económico, seguridad preventiva o seguridad reactiva. 

Como dice el viejo refrán: “Es mejor prevenir que lamentar.” 

Conoce el 3, 2, 1 de las copias de respaldo o backups

En este post vas a conocer las mejores prácticas que se están usando para salvaguardar las copias de respaldo de los datos de la organización.

Para un mejor entendimiento, vamos a poner de ejemplo la información almacenada en un archivo Excel, sin embargo, debes tener en cuenta que estas prácticas son aplicables a toda información almacenada digitalmente, llámense archivos, directorios, base de datos o cualquier otra clase de información digital.

Estas son las tres recomendaciones para tener una copia de respaldo limpia, segura y disponible:

El dato debe estar en TRES sitios diferentes: es decir, el dato esta, una vez en el archivo original y deben existir mínimo dos copias de este archivo.  

El dato debe estar almacenado en DOS medios diferentes: aquí me refiero a que las copias del archivo original no deben estar dentro del mismo medio donde reside el archivo original, por ejemplo, dentro del mismo disco duro, USB, SAN, NAS, nube, o cualquier otro medio de almacenamiento. Debes usar mínimo dos medios de almacenamiento diferentes. 

UNA copia de los datos debe estar fuera de las instalaciones: es una costumbre común el mantener las copias de respaldo dentro de las instalaciones de la organización, las buenas prácticas recomiendan el mantener una copia de respaldo fuera de la organización, esto con el fin de mantener disponibles las copias de respaldo ante posibles desastres como: corto circuito, inundaciones, robos entre otros. La nube es una buena opción.

Adicional a estas tres recomendaciones, debes tener en cuenta que las actuales versiones de ramsonware ataca tanto al dato como al backup que se encuentre en línea, por lo que un consejo adicional es mantener una de las copias fuera de línea. 

Recuerda hacer ejercicios de restauración de las copias de respaldo o backups de forma periódica para verificar que todo esté en orden. 

Con estas recomendaciones podrás mantener tus datos seguros, disponibles y confiables.

Más allá de la ciberseguridad: empleando, manteniendo, transfiriendo y terminando puestos de trabajo.

Este blog está dedicado a temas de ciberseguridad, sin embargo, muchas veces pasamos de largo el tema de contratación, el cual influye de manera directa en la seguridad de los datos que son controlados por las personas que se contratan. En este post vamos a ver los asuntos que debes tener en cuenta cuando se contrata, transfiere o termina un contrato laboral desde el punto de vista de seguridad. 

En la parte de contratación, debes tener en cuenta que se debe verificar la información contenida en la hoja de vida, al igual que el resultado del estudio de seguridad que se debe hacer sobre el postulante al cargo, posterior a estas tareas iniciales, debes tener estos cuatro documentos:

• Contrato de trabajo
• Reglamento interno de la empresa
• Responsabilidad en el uso de recursos informáticos 
• Acuerdo de confidencialidad

Los dos primeros documentos son básicos para cualquier tipo de contratación, el tercero, corresponde a la definición de responsabilidad sobre el uso de los recursos informáticos, que está y que no está permitido hacer dentro de la organización con los recursos informáticos que le han sido asignados al empleado o los recursos informáticos que el empleado traiga para usarlos dentro de la compañía.  

El último de estos documentos corresponde al la protección de la información sensible a la que pueda llegar a tener acceso el empleado, en este documento deberá estar contenidas las acciones que puede hacer y las acciones que no puede hacer con la información de la empresa o de terceros, al igual que las responsabilidades o consecuencias que pueda llegar a tener por su uso no adecuado.

Es común que la organización no tenga un procedimiento adecuado para la transferencia entre diferentes cargos, como por ejemplo el cambio de un área a otra área, con solo esto, los permisos y las responsabilidades cambian, por lo que te recomiendo tener un procedimiento adecuando para estas situaciones. 

Finalmente, debes tener un procedimiento para cuando una persona sea sesada de su cargo, debes involucrar a todas las áreas relacionadas como por ejemplo, Recursos Humanos, Seguridad y Salud en el Trabajo, Jurídica, Informática entre otras, esto dependerá de cada organización. 

Si quieres mayor información, puede apoyarte del marco de seguridad de la información ISO 27001 en su dominio A7 que trata de Seguridad en los Recursos Humanos, estos son los objetivos y controles propuestos: 

• 7. Seguridad relacionada con los recursos humanos
• 7.1 Antes de la contratación
• 7.1.1 Investigación de antecedentes
• 7.1.2 Términos y condiciones de contratación
• 7.2 Durante la contratación
• 7.2.1 Responsabilidades de gestión
• 7.2.2 Concienciación, educación y capacitación en SI
• 7.2.3 Proceso disciplinario
• 7.3 Terminación o cambio de puesto de trabajo
• 7.3.1 Terminación o cambio de responsabilidades de empleo

Como siempre, recuerda que estas recomendaciones son de carácter general, puedes tomarlas como línea guía y agregar o suprimir controles de acuerdo a las características de tu organización. 

Me han encriptado los datos y me piden rescate: has sido víctima de ransomware, conoce que hacer y como evitarlo.

El ransomware se ha convertido en la forma preferida de los delincuentes para conseguir dinero fácil, en este post te voy a enseñar lo que debes tener en cuenta para prevenir ser víctima de estos estafadores. 

Un ransomware o «secuestro de datos» en español, es una técnica de ataque dañina que encripta (cifra) los archivos de un computador pidiendo un rescate en moneda digital (bitcoin) a cambio de liberar los archivos secuestrados.

La principal fuente de propagación es a través del correo electrónico, mediante los archivos adjuntos infectados o un link a un sitio infectado previamente. Una vez el ransomware se encuentra dentro del computador, este procederá a cifrar la información contenida dentro del equipo y buscará propagarse a otros equipos que estén dentro de la red. 

Personalmente esto es lo que debes hacer para evitar car en este tipo de ataques:

• No abras correos electrónicos de personas que no conozcas. 
• No abras los archivos adjuntos de personas desconocidas.
• Realiza backup en un medio externo como una memoria USB, un disco duro portátil o la nube.
• Cuando termines el backup debes desconectar el medio, ya que el ransomware actual es capaz de cifrar el backup.
• Utiliza un software antivirus robusto que tenga protección avanzada, los antivirus gratuitos no son la mejor opción.

Ahora, como empresa puedes hacer lo siguiente:

• Capacita mínimo dos veces al año a tus usuarios finales en temas de prevención de ransomware.
• Realiza pruebas de ingeniería social por un tercero para medir el nivel de aprendizaje de tus usuarios.
• Incluye dentro de tu infraestructura el servicio de Email Secure Gateway, el cual es un servicio que detiene el acceso de hackers, spam, virus o ransomware a tus servidores de correo o buzones de usuario final.
• La mayoría de los antivirus actuales tienen un módulo de antiransoware, propenda porque este siempre activo.

Consejo: algunas veces los archivos adjuntos vienen encriptados (cifrados) para prevenir que el servicio automatizado de antiransonware los detecte, he incluyen la clave para desencriptarlos dentro del mensaje de correo, "Por favor, no haga esto, posiblemente puede llegar a ser víctima de ransomware". Consúltelo con su servicio de soporte.  

Si llegaste a ser víctima de esta clase de ataques, lo recomendado es que no pagues rescate, hacer esto no te garantiza la recuperación de los datos. 

Para manejar la situación, empieza por revisar si ya existe una solución al tipo de ransomware que te atacó, esto lo puedes hacer en el siguiente sitio web: https://www.nomoreransom.org. 

Segundo, recupera tu información de la última copia de respaldo, este es el motivo por el cual siempre se recomienda el mantener un backup actualizado. 

Este es el kit básico para prevenir los ataques por ransomware, asesórate de un especialista para ver que más puede hacerse de acuerdo con la arquitectura de tu empresa. 

Evitando dolores de cabeza al incluir el análisis de vulnerabilidades dentro del checklist de alistamiento o recepción de equipos

Te voy a mostrar el porqué es importante que tengas en cuenta el análisis de vulnerabilidades cuando recibes equipos de terceros para incluir en tu red o cuando pasas equipos a producción, llámense estaciones de trabajo, equipos de networking o servidores. 

Uno de los aspectos comunes, es recibir equipos de terceros y ponerlos directamente en producción sin realizar el respectivo análisis de vulnerabilidades, esto se da cuando tenemos contratados servicios de outsourcing con equipos incluidos o cuando contratamos servicios sin importar la infraestructura que ponga el tercero. 

En algunos casos se puede presentar que los equipos puestos no tengan la seguridad mínima, siendo equipos obsoletos, o con falta de mantenimiento, por ello, cuando reciba equipos, debes exigir que se encuentren actualizados y que se les haya realizado las pruebas de seguridad para verificar la ausencia de vulnerabilidades. 

"Si contratas servicios de terceros, incluye siempre dentro de los contratos que la entrega de software, desarrollos, equipos e infraestructura se encuentren libres de vulnerabilidades, ten en cuenta que esto también aplica para el arrendamiento de equipos."

Todo equipo que se conecta a la red de la organización, está propenso a tener vulnerabilidades, por ello, el incluir el análisis de vulnerabilidades dentro del checklist de alistamiento o paso a producción, puede ahorrarte dolores de cabeza innecesarios, veamos algunos escenarios de riesgo: 

• Portátil asignado a personal VIP el cual viaja constantemente y suele conectarse a distintas redes, puede estar en riesgo si no tiene el equipo actualizado y el software de protección adecuado.
• Asignación de estaciones de trabajo a usuario final sin aplicación de parches, ejemplo: wanna cry, (si, aún al día de hoy esto pasa)
• Puesta en producción de equipos con sistema operativa obsoleto, ejemplo: Windows 2008 Server, Windows 2012 server, windows 7, contienen vulnerabilidades que ya no parcha el fabricante. 
• Equipos de infraestructura como switches obsoletos, firewalls, UTM, access point, estos equipos también tiene vulnerabilidades y son lo que menos se chequean.

Recuerda que todo análisis de vulnerabilidades debe realizarse con credenciales administrativas incluyendo los análisis que se les hacen a los equipos de networking. 

En próximos artículos hablaremos acerca de la aplicación de plantillas de seguridad, por el momento,  incluye esto dentro del checklist y tu seguridad mejorará notablemente. 

Ahora son 18 los controles de ciberseguridad del CIS en su versión 8

Este mes fue liberada la versión 8 de los controles de ciberseguridad sugeridos por CIS (Center for Internet Security), los cuales en su versión anterior 7.1 eran 20 controles, ahora son solo 18 controles. 

El texto del documento es un paso de un proceso para diseñar, implementar, medir, informar y gestionar la seguridad de la empresa y se adapta completamente a cualquier marco que esté usando la organización. 

Cada uno de los controles conserva la siguiente estructura:

• Resumen. Una breve descripción de la intención del Control y su utilidad como acción defensiva
• ¿Por qué es crítico este Control? Una descripción de la importancia de este control para bloquear, mitigar o identificar ataques, y una explicación de cómo los atacantes explotan activamente la ausencia de este control
• Procedimientos y herramientas. Una descripción más técnica de los procesos y tecnologías que permiten la implementación y automatización de este Control
• Descripciones de salvaguarda. Un cuadro con las acciones específicas que las empresas deben realizar para aplicar el Control

En esta nueva versión, los controles se apoyan en tres grupos llamados IG1, IG2 e IG3 y cada uno contiene al anterior, es decir, IG1 está contenido dentro de IG2 y todos están contenidos en IG3. El primero de ellos corresponde al los controles básicos que deberán tener las empresas en lo que se refiere a ciber higiene. 

Adicionalmente, cada control tiene un número de salvaguardas las cuales estarán dentro de cada uno de los grupos de IG1, IG2 o IG3 y su aplicación dependerá del grado de adopción de la ciberseguridad dentro de la organización. 

Aquí está un ejemplo de las salvaguardas del control número 1:

Este documento está recién salido del horno y aún no se encuentra traducido a otros idiomas por lo que su consulta deberá hacerse en su idioma original, ingles. 

En mi concepto es un documento muy bien elaborado, fácil de entender y aplicar, adicionalmente, apoya los marcos de seguridad implementados sin entrar en controversia. 

Puedes consultar los documentos completos en el siguiente link: 

https://www.cisecurity.org/controls/v8/

Tres aspectos que debes cuidar cuando desarrollo de software debes abordar.

Aparte del diseño, código, lenguaje de programación, modelo de desarrollo, ciclo de vida y otros menesteres, estas son las tres cosas que debes tener en cuenta cuando desarrollas software y debes tener en cuenta la parte de seguridad. 

Al día de hoy, se hace completamente necesario que desarrolles software de forma segura y que entregues el aplicativo libre de vulnerabilidades, para esto debes tener en cuenta estos aspectos antes de entregar el producto final:

Análisis de vulnerabilidades en código fuente

Este es una de las cosas que debes tener en cuenta casi que desde el inicio del proyecto, los desarrolladores deben tener acceso a este servicio para ir probando su código a medida que avanzan en el desarrollo. Al finalizar la entrega del producto, deberás estregar el resultado final del análisis del código fuente para garantizar la seguridad del aplicativo.

Pruebas de carga y estrés 

Saber cuál es el punto de quiebre del aplicativo es sumamente importante, ya que con ello podrás tomar las acciones necesarias para evitar una no disponibilidad del servicio. Con las tecnologías actuales, el aprovisionamiento de nuevos nodos al vuelo es muy fácil de implementar para evitar del deterioro en la prestación de un servicio.

Pruebas de pentest

Debes evaluar el aplicativo en búsqueda de vulnerabilidades en el aplicativo en operación, algunas de ellas solo son posibles evaluarlas cuando el software es desplegado. 

Ten en cuenta que acá nos referimos solamente a lo que le concierne al aplicativo web, pero, es igualmente importante que evalúes la plataforma sobre la cual está alojada el servicio, ya que puedes tener un excelente aplicativo con todos los aspectos bien cuidados, montado sobre una plataforma descuidada lo cual dará como resultado un escenario catastrófico.

Existen muchos servicios adicionales que puedes tener en cuenta para proteger tu aplicativo, los cuales varían de acuerdo a tus necesidades y presupuesto, algunos de ellos son balanceadores de carga, dockers, WAF, honey pots, identificadores de tráfico válido, protectores de ataques DDOS entre otros. 

Si eres desarrollador, te recomiendo entregar el producto final con el resultado de las tres pruebas que te recomendé, esto será un plus para tu cliente y te diferenciara de tu competencia, y si eres el cliente, deberás incluir dentro de tus contratos el que se te entreguen los resultados de estas pruebas cuando recibas el aplicativo. Si no conoces del tema, te recomiendo una auditoría por un tercero.

Incluye siempre el componente de seguridad en todo desarrollo, con esto, estarás un poco más seguro. 

 

Conoce que es el múltiple factor de autenticación y porqué es importante para proteger tus datos.

En este post veremos lo que es la autenticación y los diferentes métodos que existen para autenticar una persona los cuales al combinar por lo menos dos de ellos nos dará lo que se conoce como múltiple factor de autenticación.

De todas las definiciones halladas en una búsqueda en Internet, me quedo con la siguiente: 

Autenticación: es el acto o proceso de confirmar que algo (o alguien) es quien dice ser.

Diariamente usamos la autenticación para tener acceso a los diferentes recursos que usamos, desde nuestro móvil, el acceso a un cajero electrónico mediante una tarjeta y un PIN, hasta el acceso a nuestro buzón de correo electrónico.  

Actualmente existen cuatro métodos para autenticar a una persona:

• Algo que sé: generalmente se refiere a las contraseñas de acceso a un sistema.
• Algo que tengo: un token (como los que entregan las entidades financieras), un móvil para recibir un mensaje de texto o un móvil con una aplicación que genera un código de autenticación.  
• Algo que soy: un dispositivo biométrico, reconocimiento facial, lectores de huella, iris, palma de la mano, entro otros. 
• Algo que hago: algo que digo, como camino, un gesto, una seña, como firmo (firma digital).

La combinación de por lo menos dos métodos se le conoce como múltiple factor de autenticación y está en el diario vivir, como en el ejemplo del cajero, utilización algo que tenemos y algo que sabemos. 

En la mayoría de las organizaciones solo utilizan un método de autenticación, algo que sabemos, la combinación de usuario y contraseña, por ello es fácil para un perpetrador intentar adivinar nuestras credenciales de acceso.

Para proteger tus datos, te recomiendo agregar un segundo factor de autenticación, la mayoría de los proveedores como Microsoft o Google los ofrecen sin costo adicional. A nivel empresarial, están a la mano opciones como Cisco DUO, OneLogin o LastPass entre otras.

El múltiple factor de autenticación pone mayor seguridad a tus datos, a los perpetradores les será más difícil acceder a ellos. 

Los diez mandamientos para gestionar cuentas de usuarios en las organizaciones

En este post te mostraré las diez principales recomendaciones que debes tener en cuenta para administrar las cuentas de los usuarios teniendo en cuenta la ciberseguridad. 

1. Cada usuario deberá tener su propia cuenta. Esto te permitirá supervisar las actividades de cada cuenta. El uso de la cuenta de administrador por varias personas, dificulta la trazabilidad de la cuenta y la responsabilidad por el uso de la misma. 
2. Deshabilitar las cuentas por defecto como “Administrador”, “Administrator”, “admin”, “root”. Estas son las cuentas más atacadas por los delincuentes, te recomiendo habilitar cuentas con los mismos privilegios y suspender el uso de estas cuentas. 
3. Monitorear los controles de acceso y el comportamiento de los usuarios con permisos administrativos. Es una buena práctica el mantener monitoreados los usuarios que tienen privilegios elevados en búsqueda de posible fallas de seguridad.
4. Utilizar contraseñas robustas y complejas (más de 14 caracteres alfanuméricos y símbolos). El que las contraseñas sean de más de catorce (14) caracteres se debe a un proceso de cifrado que sirve para evadir técnicas de hackeo, simplemente, la contraseña debe ser larga para mayor seguridad.
5. Configurar la vida máxima y expiración de las contraseñas (al menos cada 2 meses). Por seguridad, toda contraseña debe ser cambiada por lo menos cada dos meses, al comienzo esta labor es tediosa, pero con el tiempo se hace rutinaria y fácil de ejecutar. 
6. Bloquear las cuentas de los usuarios luego de cierta cantidad de inicios de sesión fallidos (Ejemplo: cinco intentos). Esto protege las cuentas de los usuarios de un ataque de diccionario o fuerza bruta, es decir, que alguien trate de adivinar la contraseña. 
7. Agregar métodos de autenticación adicionales (MFA) siempre que sea posible. Una contraseña más un token son una muy buena opción para autenticar cuentas de usuarios. Siempre que pueda y si la tecnología lo permite, use múltiple factor de autenticación. 
8. Almacenar las contraseñas de forma segura mediante gestores de contraseñas. La memoria puede fallar, sobre todo cuando se manejan múltiples cuentas y las contraseñas deben ser complejas, para esto, ayúdate de software que permita gestionar contraseñas de forma fácil y segura. 
9. No reutilizar las mismas contraseñas para varios servicios. El que te lleguen a comprometer una contraseña solo afectará al servicio con el cual está conectada, cámbiale al menos un carácter a la contraseña para que se le dificulte al delincuente el ingresar a los demás servicios.  
10. Asigna el menor privilegio posible.  Si el usuario no requiere privilegios administrativos pues no debes darlos, y si no requiere acceso a todo el contenido de un file server pues no lo des. Los accesos siempre deberán ser autorizados y monitoreados.  

Bonus: Dependiendo de tu organización, puedes agregar más recomendaciones como por ejemplo:

• Bloquear usuarios después de 7 días de inactividad.
• Revisar periódicamente las cuentas administrativas.
• Todo acceso concedido fuera de lo normal deberá tener una fecha de caducidad.
• Toda cuenta de usuario regular deberá tener una fecha de expiración.

Si sigues estas recomendaciones vas a tener mayor seguridad en cuanto al control de las cuentas de los usuarios se refiere. Como siempre, depende de ti el ajustar las recomendaciones a las necesidades de tu organización. 

Conoce como hacer un análisis de vulnerabilidades efectivo y no morir en el intento

Siempre que explico el tema del análisis de vulnerabilidades lo comparo con una casa que acabas de comprar y para asegurarla físicamente le pides a un especialista en seguridad física que vaya y la revise para ver que posibles problemas de seguridad pueda tener. 

Si no le prestas tus llaves, es especialista va y revisa lo que pueda ver desde la parte externa de tu casa, como está la puesta principal, las cerraduras, las ventanas, revisará si tienes rejas o si es posible romper una ventana para ingresar. A esto le llamo análisis de vulnerabilidades sin credenciales, sirve para ver el punto de vista de un atacante externo.

Ahora si le das las llaves de la casa al especialista para que ingrese y revise toda la casa, podrás detectar problemas externos e internos como fuga de gas, llaves goteando, pisos en mal estados, puertas del jardín interno en mal estado entre otras cosas. A esto le llamo análisis de vulnerabilidades con credenciales, como puedes ver, son mucho más completas que las anteriores.

Si las pruebas de seguridad son realizadas por personal interno, mantén auditoría del uso que se les da a estas las credenciales, ya que deberán tener los máximos privilegios posibles. Evita usar credenciales administrativas de TI para pruebas de seguridad, usa un usuario diferente que puedas identificar fácilmente en un análisis forense. 

Ahora, si las pruebas son contratadas, solo autoriza el acceso a los equipos que se les va a hacer pruebas de seguridad y cámbialas de inmediato cuando finalicen las pruebas. Recuerda tener firmado un acuerdo de confidencialidad que protejan los intereses de tu organización. 

Como siempre, realiza análisis de vulnerabilidades lo más frecuente posible, (recomendado mensual).

Algunas empresas prefieren no hacer análisis de vulnerabilidades de forma frecuente o a todos los equipos porque les van a aparecer muchas vulnerabilidades críticas o altas, la pregunta es: ¿Qué prefieres, saber cuáles son tus vulnerabilidades y poderla remediar lo más pronto posible o no saber los problemas que tienes y por donde te pueden atacar?

Recuerda realizar análisis de vulnerabilidades de forma frecuente, con credenciales y al mayor número de equipos conectados a tu red incluyendo la nube.

Conoce los tres niveles de gestión de vulnerabilidades para detectar brechas de seguridad

Estos son los tres niveles en los que se puede clasificar la gestión de vulnerabilidades de tu organización, explicados de manera fácil de entender. Recuerda que la gestión de vulnerabilidades es una tarea que debes realizar de forma periódica para revisar las debilidades o posibles brechas que puedan utilizar un atacante para hacerse con tu información. 

Nivel básico

Si estás empezando con esto de la ciberseguridad y andas corto de presupuesto, lo recomendado es que empieces con pruebas de análisis de vulnerabilidades "con credenciales", con ello descubres las debilidades en los sistemas operativos y equipos de red de la organización. Se le realiza a todos los equipos conectados a la red y te recomiendo hacer mínimo una vez al mes.  

Nivel intermedio

Incluye lo básico y adicionas pruebas de hacking ético, estas pruebas te sugiero que las ejecutes desde la red interna y desde Internet. Las pruebas internas te da una aproximación de lo que puede lograr un atacante interno, por ejemplo, un empleado deshonesto o un topo (topo: delincuente que se hace pasar por empleado para atacar tu red desde el interior). Las pruebas desde Internet te permiten ver el nivel de exposición de tus activos en una red hostil como Internet.

Nivel avanzado

En este nivel la ciberseguridad es un asunto primario para la organización, incluye los dos niveles anteriores y dependiendo de los objetivos trazados puede incluir un grupo de pruebas entre la cuales pueden estar: análisis de vulnerabilidades en código desarrollado, (código estático), análisis de vulnerabilidades en tráfico de red, búsqueda de vulnerabilidades en registros de sistemas (SIEM), pruebas de estrés a aplicaciones, auditoría de cumplimiento (verificación de lo existente contra un deber ser), equipos de ataque y defensa (red team/blue team), adhesión a un marco o norma como CSF, ISO 27001, ISO27032, COBIT entre otros).

Para la gestión de vulnerabilidades debes contar con el software y el personal capacitado para el desarrollo de esta labor, como siempre, te recomiendo el software de la marca Tenable y ya lo sabes, puedes contar con la empresa ActivosTI, quienes tienen personal certificado y experimentado para esta tarea.

El ABC de las pruebas de análisis de vulnerabilidades explicado de manera fácil y rápida

En este post definiremos el término "análisis de vulnerabilidades", veremos datos históricos y revisaremos el porqué es importante esta práctica al interior de tu organización.  

Podemos describir el análisis de vulnerabilidades como la búsqueda de vulnerabilidades conocidas en el software y hardware de la organización. 

Para buscar vulnerabilidades se utiliza software especializado comúnmente conocido como escáner de vulnerabilidades, para estos, una base de información es el programa CVE, el cual es la base de datos mayormente aceptada en cuanto a vulnerabilidades identificadas, definidas y catalogadas se refiere (lo puedes consultar en https://cve.mitre.org). En esta base de datos se almacena el histórico de todas las vulnerabilidades conocidas y reportadas, año tras año. 

Revisando este programa y sus recientes resultados, en el 2.020 se descubrieron un total de 10.203 vulnerabilidades de las cuales el 57% de estas, tienen severidad crítica o alta. El 70% de las vulnerabilidades se pueden explotar por medio de la red de datos. Con estos datos podemos determinar que el año pasado, semanalmente en promedio se descubrieron cerca de 112 vulnerabilidades críticas o altas. 

Ten en cuenta que una vulnerabilidad puede afectar la confidencialidad, integridad o disponibilidad de la información de la organización lo cual es algo extremadamente crítico, ya que tu información puede ser expuesta, robada o modificada sin consentimiento. 

Debido al número semanal de vulnerabilidades críticas y altas reportadas y a la criticidad de la información de tu organización es que se debe realizar pruebas de análisis de vulnerabilidades al interior de tu organización tan frecuentemente como sea posible. 

Te recomiendo análisis semanales, si los recursos son escasos, puedes realizarlos cada mes, si decides tomar más tiempo entre un análisis y otro, ten en cuenta que se incrementará el tiempo de incertidumbre y exposición al riesgo por ceguera, es decir por no saber a qué se está expuesto.  

Te recomiendo tenable.io, software para gestión de vulnerabilidades el cual te permite verificar vulnerabilidades en todo equipo conectado a la red interna, la nube y equipos en teletrabajo. Tenable.io opera desde la nube, si prefieres tener todo en sitio te puedes apoyar de tenable.sc. 

Recuerda que ActivosTI puede ofrecerte el software que se ajuste a tus necesidades o si lo prefieres puedes contratar directamente el servicio. Puedes contactarlos vía WhatsApp business.

Conoce el porqué es importante el análisis de vulnerabilidades en tu organización.

En este post vas a ver el porqué debes realizar análisis de vulnerabilidades en tu organización y los motivos por los cuales debes propender para que se haga de forma periódica (mensual).

La mayoría de las organizaciones a las que no les interesa la ciberseguridad, esgrimen algunas de las siguientes frases para intentar demostrar que la ciberseguridad no es necesaria:

• Nunca nos han jaqueado.
• Los sistemas siempre funcionan adecuadamente.
• No hemos tenido problemas de seguridad informática.
• Parchamos periódicamente.
• Tenemos un firewall y un antivirus.
• No tenemos presupuesto.

El asunto con esto de lo digital es que existen dos grupos de delincuentes, los primeros quieren que te des cuenta de que has sido atacado, por ello te secuestran información, te bloquean los servicios y te piden dinero a cambio. Son difíciles de localizar, generalmente la seguridad aquí es de forma reactiva, solo cuando se evidencia un ataque es que se toman las medidas de control las cuales suelen ser mucho más costosas que las preventivas:

El segundo grupo, en mi concepto los más peligrosos, son los que no quieren que te des cuenta de que te han jaqueado. Pueden ingresar en tus sistemas, copiar tu información fuera de la organización, obtener claves de acceso privilegiado y mantener equipos comprometidos o secuestrados (entre otras cosas). Si no tienes los recursos adecuados, es difícil que logres detectar un tipo de ataque de esta magnitud.  

Todo comienza con la seguridad preventiva, por ello siempre es recomendado un análisis de vulnerabilidades de forma periódica, para detectar aquellas vulnerabilidades que pueden llegar a poner en riesgo los datos de tu organización. 

Si nunca ha hecho un análisis de vulnerabilidades podemos tener con certeza uno de estos tres escenarios:

• Te jaquearon y no te diste cuenta.
• Estás jaqueado y no lo sabes.
• Te van a jaquear y no te vas a dar cuenta. 

Puedes comprar el software y capacitar a tu personal para que lo gestione, para esta tarea existe una gran variedad de software entre lo cuales se destacan: Tenable, fabricante de Nessus professional, Rapid7, Qualys, openvas, entro otros. Mi recomendado por calidad, facilidad de uso, experiencia y facilidad de despliegue es Tenable.

También puedes contratar el análisis de vulnerabilidades como servicio, ActivosTI tiene planes interesantes que te ayudaran a mantener las vulnerabilidades controladas a un bajo costo. Puedes contactarlos vía WhatsApp business.

Tres indicadores de ciberseguridad que debes conocer y aplicar en tu organización.

En este post vamos a trabajar tres indicadores de ciberseguridad y ver como puede llegar a afectar los activos de tu infraestructura tecnológica.

El primer indicador es MTTD y está relacionado con el tiempo que te demoras en detectar una vulnerabilidad en la infraestructura de tu organización y me refiero a todos los equipos conectados a la red interna, la nube, sedes remotas, datacenter alterno y los equipos en teletrabajo (puede haber otros sitios dependiendo de la arquitectura de red de la organización). 

Entre más rápido detectes una vulnerabilidad, más rápido puedes trabajar en un plan de remediación. Este indicador deberá ser lo más corto posible, puedes comenzar con un análisis de vulnerabilidades cada treinta días y a medida que vayas madurando el proceso deberás llegar a siete días o menos.  

El segundo indicador es MTTR y corresponde al tiempo que vas a demorar en remediar la vulnerabilidad. Aquí tenemos que hacer una bifurcación entre los equipos críticos como servidores y equipos de red, y los no tan críticos como lo son las estaciones de trabajo. 

Para los equipos no críticos es más fácil la remediación porque en la mayoría de los casos no requieren de laboratorios de pruebas para verificación de no afectación del servicio. Este tiempo puede iniciar en quince días y madurar el proceso para que tome máximo siete días. Para el caso de los equipos críticos, el tiempo recomendado es de tres semanas, dependiendo de la criticidad de la infraestructura. Debes tratar de reducir este tiempo lo máximo posible en aras de proteger la información. 

El tercer indicador es AWOE, corresponde al tiempo transcurrido desde que una vulnerabilidad se hace pública y el tiempo del cierre de la vulnerabilidad, en términos prácticos, es la suma de los dos indicadores anteriores. Para equipos no críticos deberá estar al rededor del los quince días y para equipos críticos al rededor de los treinta días. 

La base de estos indicadores es la frecuencia del análisis de vulnerabilidades y el rápido tratamiento de los resultados hallados. Recomendado, un análisis mensual y madurar el proceso hasta llegar a un análisis cada siete días o menos, como siempre depende de la criticidad de la información. 

Recuerda que no todas las organizaciones son iguales por lo que lo sugerido, está basado en las recomendaciones de expertos y se deben de ajustar a los requerimientos de cada una, teniendo en cuenta que entre más altos sean estos indicadores, mayor va a ser la exposición al riesgo.  

“Lo que no se mide no se puede mejorar”. William Thomson Kelvin

Cinco herramientas para concientizar a tus empleados en ciberseguridad y no morir en el intento.

 En este post te voy a mostrar cinco herramientas que te van a ayudar en la capacitación de tus usuarios. 

Muchas veces hemos escuchado "El eslabón más débil de la cadena de ciberseguridad es el usuario final" y en verdad si tienen mucho de razón, por ello, el mercado está ofreciendo una serie de herramientas que están orientadas a capacitar al usuario final para solucionar el rollo del eslabón más débil de la cadena. 

A continuación te voy a enumerar cinco herramientas entre las cuales la primera y la última son mis favoritas, la primera debido a que esta hecha por gente de habla hispana y tiene varias características que sobresalen sobre las demás. La última, pertenece al mundo opensource por el cual tengo especial afecto, no es fácil de configurar, pero viene bien si no tienes mucho presupuesto. 

Aquí la descripción y el sitio web de cada una de ella por si quieres mayor información:

Smartfense: Es la plataforma de capacitación y concienciación en Seguridad de la Información que genera hábitos seguros en los usuarios finales. 

Sophos: Sophos Phish Threat es una plataforma avanzada de pruebas y entrenamiento de seguridad diseñada para reducir el riesgo de la mayor superficie de ataque de TI: el usuario final.

Proofpoint: Convierta a sus usuarios en una última línea de defensa sólida frente a los ciberataques actuales, con nuestra formación para concienciar en materia de seguridad basada en investigaciones.

Knowbe4: KnowBe4 es la plataforma de phishing simulada y capacitación en concienciación sobre seguridad más grande del mundo que le ayuda a manejar el problema actual de la ingeniería social.

Gophish: es un framework Open Source, el cual ayuda de una forma sencilla el envío de correos de forma automatizada y con un dashboard que te muestra de forma detallada el proceso de phishing.

Existe otros fabricantes como cibsafe, mimecast, infosec, elevate security y más los cuales tienen soluciones similares, te recomiendo que revises y escojas la que más se ajuste a las necesidades de tu negocio. 

Ponte en contacto si quieres tener alguna de estas soluciones como servicio en tu empresa. 

Esta es la forma adecuada para conectar con la red interna de la empresa.

En este post hablaremos acerca de la forma como te debes conectar a los servicios internos de la empresa y como hacerlo de forma segura. 

El teletrabajo nos ha traído grandes desafíos, entre ellos el dar acceso a los servicios de la red interna de forma segura, cosas como la publicación de servicios críticos sobre la Internet sin tomar las medidas de seguridad adecuadas pueden llegar a poner en riesgo la seguridad de la información digital. 

Se presenta a menudo que administradores novatos en su afán por proveer soluciones rápidas optan por publicar sobre la Internet servicios críticos como escritorios remotos, VNC, bases de datos y backups, poniendo en riesgo a la empresa. 

El acceso a los recursos internos de la organización se debe hacer por medio de canales seguros como el servicio de conexión VPN que viene con la mayoría de los firewalls o UTMs de pago. 

Una VPN es una conexión segura habilitada para conectarse a la red interna de la empresa y tener acceso a los servicios como si estuviéramos dentro de la empresa.

Entre las ventajas que tienes cuando haces uso de estas soluciones, están:

• Conexión de forma segura a la red interna. 
• Acceso controlado de usuarios a recursos internos.
• Evitar la exposición de servicios no necesarios sobre Internet.
• Posibilidad de habilitar horarios de trabajo para teletrabajadores.

Recuerda esto: "Solo expones en Internet los servicios que van en la Internet."

Ten en cuenta que Internet es una red hostil, todo servicio que se publica es atacado constantemente en búsqueda de información, o simplemente para tomar control del equipo y utilizarlo para atacar otros sitios, por esto, debes tener especial cuidado acerca de los servicios públicas y de hacerlo de forma segura.

Si requieres mayor información a cerca de como conectar los servicios de tu red interna con personal en teletrabajo, por favor ponte en contacto. 

Conozca 6 de los 20 controles que te ayudarán a mejorar tu ciberseguridad.

En este post conocerás seis controles críticos propuestos por el CIS para mejorar la ciberseguridad de tu organización. 

Los Controles Críticos de Ciberseguridad son un conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por las organizaciones para mejorar su nivel de ciberseguridad.

En total son 20 controles divididos en tres secciones, la primera de ella se llama “basic” y corresponde a los controles mínimos o básicos que deben tener toda organización para garantizar una respuesta básica ante un incidente. 

La segunda sección es “fundational” y corresponden a diez controles, su implementación ayudara a contrarrestar amenazas más específicas. 

La sección “organizational” la cual corresponde a cuatro controles orientados a mejora en los procesos. 

A continuación se enumeran los seis primeros controles junto con su descripción: 

Control 1: Inventario y control de activos de hardware.

Supervise y gestione  activamente y gestione todos los dispositivos de hardware conectados a su red. Mantenga un inventario actualizado de todos sus activos tecnológicos y disponga de un sistema de autenticación para garantizar que los dispositivos no autorizados no tengan accesControl 2: Inventario y control de activos de software.

Disponga de un sistema de inventario de software para supervisar y gestionar activamente todo el software que se esté ejecutando en su red. Utilice la lista blanca de aplicaciones para garantizar que solo se instale y ejecute software autorizado y que se bloquee el software no autorizado.

Control 3: Gestión continua de vulnerabilidades.

Analice continuamente sus activos para identificar posibles vulnerabilidades y remediarlas antes de que se conviertan en un problema. Fortalezca la seguridad de su red garantizando que el software y los sistemas operativos utilizados en su organización ejecuten las actualizaciones de seguridad más recientes.

Control 4: Uso controlado de los privilegios administrativos.

Monitoree los controles de acceso y el comportamiento de los usuarios de las cuentas privilegiadas para evitar el acceso no autorizado a los sistemas críticos. Garantice que sólo las personas autorizadas tengan privilegios elevados para evitar el uso indebido de los privilegios administrativos.

Control 5: Configuración segura para el hardware y el software de los dispositivos móviles, laptops, estaciones de trabajo y servidores.

Establezca y mantenga configuraciones de seguridad basadas en los estándares de configuración aprobados por la organización. Defina un riguroso sistema de gestión de configuraciones que monitoree y alerte sobre las configuraciones erróneas e implemente un proceso de control de cambios para impedir que los atacantes se aprovechen de los servicios y configuraciones vulnerables.

Control 6: Mantenimiento, monitoreo, y análisis de logs de auditoría.

Recopile, gestione y analice los logs de auditoría de los eventos para detectar anomalías. Mantenga registros de log para comprender los detalles de los ataques a fin de responder a los incidentes de seguridad de manera eficaz.

Este es el listado completo: 

Controles Básicos: 

Control 1: Inventario de Dispositivos autorizados y no autorizados. 

Control 2: Inventario de Software autorizados y no autorizados. 

Control 3: Gestión continua de vulnerabilidades. 

Control 4: Uso controlado de privilegios administrativos. 

Control 5: Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores. 

Control 6: Mantenimiento, monitoreo y análisis de logs de auditoría. 

Controles Fundacionales: 

Control 7: Protección de correo electrónico y navegador web 

Control 8: Defensa contra malware 

Control 9: Limitación y control de puertos de red, protocolos y servicios 

Control 10: Capacidad de recuperación de datos 

Control 11: Configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores 

Control 12: Defensa de borde 

Control 13: Protección de datos 

Control 14: Control de acceso basado en la necesidad de conocer 

Control 15: Control de acceso inalámbrico 

Control 16: Monitoreo y control de cuentas 

Controles Organizacionales: 

Control 17: Implementar un programa de concienciación y capacitación en seguridad 

Control 18: Seguridad del software de aplicación 

Control 19: Respuesta y gestión de incidentes 

Control 20: Pruebas de penetración y ejercicios de red team

Puedes hallar mayor información en el siguiente link

https://www.cisecurity.org/white-papers/cis-controls-v-7-1-implementation-groups/

Si deseas asesoría, no dudes en ponerte en contacto. exposición.