Empresa fuerte con ciberseguridad: febrero 2021

Conozca los principales riesgos de una organización en épocas de pandemia.

Hace ya un tiempo le vengo siguiendo los pasos a las publicaciones de la revista Risk in Focus, la cual anualmente revela los riesgos que más le preocupan a los departamentos de auditoría interna de la Unión Europea.

La revista revela los resultados de una encuesta realizada a más de 500 empresas de diversos sectores económicos. Los datos arrojados el último año, revelan que el tema de ciberseguridad sigue siendo el que más le preocupa a la mayoría de las empresas, el cual se ha incrementado aún más con la pandemia. Adicionalmente, se ha incluido un nuevo riesgo dentro de la lista, "Disaster and crisis response", este riesgo no estaba incluido en el estudio realizado para el año 2.020.

Estos son los quince riesgos más representativos en nivel de importancia:

Cybersecurity and data security
Regulatory change and compliance
Digitalisation, new technology and AI
Financial, capital and liquidity risks
Human capital and talent management
Disasters and crisis response NEW for 2021
Macroeconomic and geopolitical uncertainty
Supply chains, outsourcing and ‘nth’ party risk
Corporate governance and reporting
Communications, management and reputation
Corporate culture
Bribery, fraud and other financial crime
Climate change and environmental sustainability
Health and safety
Mergers and acquisitions

La revista le preguntó a un grupo de expertos en ciberseguridad lo siguiente: ¿Cuál cree que será el riesgo al que se enfrentarán las empresas el próximo año?. Los resultados, en orden de importancia, fueron los siguientes:

Phishing
Malware infection
Intrusion into the company’s network
DoS/DDos attacks
Information security breach
Cyberespionage activities/spyware
Software vulnerabilities
Data and information extraction

Los intentos de phishing y las infecciones de malware se consideran las amenazas más probables, lo que indica la importancia del comportamiento, capacitación y conciencia de los empleados.

Puede consultar el artículo completo de la revista en el siguiente link: https://auditoresinternos.es/uploads/media_items/risk-in-focus-2021-full-report.original.pdf

Preguntas claves para priorizar la remediación de vulnerabilidades y no morir en el intento.

En este post aprenderás a realizar las preguntas claves para priorizar el tratamiento de las vulnerabilidades, esto te ayudará a definir el plan de remedición.

No todas las vulnerabilidades tienen el mismo nivel, existen una vulnerabilidades más críticas que otras por lo que su correcta priorización te ayudarán a proteger aquellos activos que son importantes para la organización.

Después de haber realizado el análisis de vulnerabilidades, con los resultados en mano, reúnete con tu equipo y responde a cada una de las siguientes preguntas para aquellas vulnerabilidades críticas y altas:

¿Qué tan valioso es el activo afectado para la organización?

Vamos a suponer que tienes múltiples vulnerabilidades críticas, la forma más fácil de priorizar es empezar por los activos más valiosos para la organización.

¿Qué sucede si la vulnerabilidad es explotada?

Son tres los principales aspectos que debes revisar, confidencialidad, integridad y disponibilidad, cuál de ellos se podría ver afectado y cuál sería su impacto al interior de la organización.

¿Qué tan fácil es de explotar la vulnerabilidad?

Es importante revisar el grado de complejidad debido a que para algunas vulnerabilidades es tan fácil como correr un programa (exploit) y para otras se deben de cumplir algunas variables.

¿Cuáles son los riesgos de remediar esta vulnerabilidad?

En algunas ocasiones te puedes encontrar con el asunto de remediar una vulnerabilidad en un sistema crítico que requiere reinicio del sistema, es un riesgo el que por ejemplo, el sistema no suba una vez se aplique el parche, para ello deberás tener un ambiente de pruebas.

¿Estoy capacitado para remediar la vulnerabilidad?

Debes contar con personal capacitado en la administración y operación de los equipos a atender o subcontrata esta operación con una empresa que te pueda suministrar estos servicios.

¿Hace cuanto tiempo se descubrió y hace cuanto se detectó esta vulnerabilidad?

Entres más vieja sea una vulnerabilidad existe mayor probabilidad de que existan programas (exploits) que la puedan comprometer. Atiende estas vulnerabilidades de forma prioritaria en especial los sistemas operativos y bases de datos sin soporte de fabricante.

Un método efectivo es definir una valor de uno a cinco para cada pregunta, al final sumar los puntajes y priorizar de mayor a menor.

El orden de priorización dependerá de las necesidades de cada organización, estas son preguntas claves para escribir tu plan de remedición, puedes agregar o suprimir las que creas conveniente.

Recuerda realizar periódicamente este ejercicio, ya que su frecuencia determinará tu nivel de exposición.

Cinco datos a tener en cuenta cuando vas a contratar pruebas de seguridad.

En este post aprenderás cinco datos que debes tener en cuenta cuando vas a contratar pruebas de seguridad informática.

Dato #1: ¿Qué hacer?

Lo primero que debes definir es que clase de pruebas deseas contratar, para ello debes tener claro, para qué sirve cada una de ellas. Empecemos por la más básica:

Pruebas de análisis de vulnerabilidades: consiste en verificar si existen vulnerabilidades conocidas en los equipos que se van a realizar las pruebas. Son automatizadas y se requiere de un software comercial como Nessus Professional para realizar el trabajo. Costo bajo.
Hacking o pentest: Pruebas manuales realizadas por un consultor especializado en la plataforma que se va a probar. Debes verificar la experiencia de los consultores debido a que de ello depende la calidad de las pruebas. Costo alto.

Con esto, lo recomendado es que realices pruebas de vulnerabilidades a todos los equipos y pruebas de hacking o pentest a los equipos críticos.

Dato #2: ¿A qué se le debe hacer?

Una vez definida que clase de pruebas quieres realizar debes definir a que le quieres hacer pruebas, debes tener contemplado: servidores, estaciones de trabajo, equipos de red, aplicaciones, bases de datos y servicios en la nube.

Debes tener presente que un atacante podrá atacar a cualquier equipo conectado a la red y una vez comprometido este equipo desde allí podrá lanzar ataques a equipos internos con mayor facilidad.

Dato #3: ¿Desde dónde?

Ten en cuenta que más del 50% de los ataques son internos, por lo que debes verificar la seguridad tanto en equipos expuestos hacia Internet como a equipos que ofrezcan servicios internos, adicionalmente, si tienes servicios en la nube, también deberás verificar la seguridad, ya que estos servicios se comportan como un centro de datos alterno.

Dato #4: ¿Cómo?

Existen dos tipos de análisis de vulnerabilidades, el primero de ellos es "pruebas con credenciales", te dice que vulnerabilidades tienes y como debes solucionarlas, el segundo es "pruebas sin credenciales" te da el punto de vista de las vulnerabilidades que puede ver un atacante que aún no las ha obtenido. Te recomiendo realizar siempre análisis de vulnerabilidades con credenciales, esto te permitirá saber realmente el estado en que te encuentras.

Dato #5: ¿Cuándo?

Esto corresponde a la frecuencia de las pruebas, te recomiendo en este caso el realizar análisis de vulnerabilidades de forma frecuente, mínimo una vez al mes y pruebas de hacking o pentest tres veces al año, obviamente si tienes una plataforma crítica, las pruebas se deberán hacer con más frecuencia.

Datos adicionales:

Solicita la hoja de vida de los consultores y verifica sus antecedentes.
Define claramente el no permitir escanear/atacar equipos fuera de alcance.
Tanto la empresa contratada como los consultores asignados, deberán contar con experiencia certificada, hardware y software licenciados.
Incluye dentro de los entregables informes ejecutivo, informe técnico, plan de remediación y los reportes del software utilizado.

Los lineamientos contenidos en este post son en general lo que debes tener en cuanta para contratar las pruebas de seguridad informática, ten en cuenta que debes hacer los ajustes necesarios de acuerdo con el sector de tu organización.

El siguiente paso es que definas un "plan de pruebas de seguridad" donde realices este trabajo de forma periódica de tal forma que puedas llevar un histórico del comportamiento de la ciberseguridad en tu organización.

Ponte en contacto conmigo si deseas mayor información acerca de este tema.

Conozca los tres documentos que debes tener para contratar pruebas de seguridad informática.

En este post te voy a hablar acerca de los documentos que debes contemplar cuando contratas pruebas de seguridad informática, adicionalmente, te voy a recomendar lo mínimo que debe contener cada uno de ellos para proteger la información digital de tu organización.

Contrato: este documento contiene el alcance, tiempo y costo del proyecto, debe contener, adicional a los datos marco de un contrato, temas como: quien cubrirá los costos adicionales que se generen como lo son tiquetes, viáticos, hoteles, servicios informáticos, servicios de terceros, servicios en la nube, hardware, software, licencias y equipos electrónicos. Adicionalmente, temas acerca de demandas por uso de software pirata, pago de empleados y acceso no autorizado a redes de terceros. Estos temas varían de acuerdo con cada proyecto y puede llegar a contemplar asuntos particulares de un sector, como por ejemplo pruebas PCI.
Acuerdo de confidencialidad: Este documento es sumamente importante, ya que protege a la organización acerca del uso de la información confidencial a la que pueda llegar a tener acceso la empresa contratada. Debe tener asuntos contemplados como responsabilidad en el caso de que se revele información confidencial ante terceros o se haga uso de la misma para obtener algún beneficio.
Autorización de trabajo: en este documento se debe dejar consignado a quien se va a autorizar para realizar las pruebas, desde donde se va a conectar y por cuanto tiempo estará vigente la autorización. De igual forma, se debe dejar consignado que está y que no está permitido hacer durante el periodo de tiempo que dure las pruebas, por ejemplo, si está autorizado el realizar pruebas de negación de servicio o acceder a sistemas fuera del alcance del proyecto, entre otros.

Este es el contenido mínimo recomendado que debe contener cada uno de los tres documentos para proteger la información digital de tu organización, puede adicionar o modificar tantos temas como los creas conveniente. El acuerdo de confidencialidad y la autorización de trabajo pueden estar contenidos dentro del contrato del proyecto.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario