Empresa fuerte con ciberseguridad: noviembre 2022

Ciberhigiene: cuida tu salud digital, cuida tu información

Ciberhigiene es un término acuñado durante los últimos años y se refiere a cuidar la información de la misma forma que lo hacemos con el aseo personal. En este post vamos a ver cinco consejos o recomendaciones para mantener nuestra ciberseguridad al día y proteger nuestra información.

Estos son las cinco principales recomendaciones:

Antivirus: selecciones un antivirus moderno que lo proteja de virus, ransomware, páginas maliciosas entro otras. Si es para el hogar, existen antivirus de pago que tienen una versión gratuita para el hogar, si es para el trabajo, te recomiendo seleccionar un antivirus de pago, estos traen funciones adicionales que te permitirán estar más seguro.
Actualizaciones: Mantener el software actualizado es una recomendación que debes tener en cuenta, ya que muchas de las vulnerabilidades se presentan debido a la falta de actualizaciones. El ransomware hace presa de equipos sin actualizar, tanto en aplicaciones como en sistema operativo, por ello, mantén actualizado el software.
Contraseñas débiles: Las contraseñas deben ser complejas, de más de 14 caracteres, fáciles de recordar, difíciles de adivinar y como la ropa interior, no debe prestarse y debe cambiarse frecuentemente.
Multifactor: La mayoría de proveedores de software ofrecen la opción de activar un segundo factor de autenticación, hacer esto te mantendrá a salvo por si llega a verse comprometida tu contraseña.
Backups: Debes realizar backups regularmente, teniendo en cuenta la recomendacion: 3,2,1,1,0. El dato en tres sitios, dos medios de almacenamiento diferentes, una copia fuera de sitio, una copia offline y cero errores en las copias de los datos.

Sigue estos consejos tanto en el hogar como en la oficina y mantendrás tus datos a salvo de los delincuentes informáticos.

A las aplicaciones o sistemas obsoletos que siguen operando se les conoce como sistemas legacy, estos son sus riesgos

Un sistema legacy es un software, una tecnología o una aplicación obsoletos que todavía están en uso dentro de una organización porque continúan desempeñando la función para la que fueron diseñados. Los sistemas legacy a menudo ya no reciben soporte ni mantenimiento y están limitados en términos de crecimiento. Sin embargo, no se pueden reemplazar fácilmente.

En general, los sistemas legacy son críticos para las operaciones diarias, por lo que su migración o reemplazo debe evaluarse y planificarse cuidadosamente para minimizar los riesgos potenciales.

En la mayoría de los casos, los sistemas legacy no se pueden migrar debido a alguno de los siguientes factores:

Pérdida de código fuente.
Ausencia de especificaciones técnicas.
Ausencia de diagramas de diseño.
Lenguaje de programación obsoleto.
Funciona sobre librerías específicas.
Pérdida de administración del aplicativo.
Bases de datos demasiado grandes para migrarlas.
Solo quien lo diseño es quien lo puede administrar.
Nadie sabe como funciona.
El nuevo desarrollo sería muy costoso.

Existen otros factores los cuales son particulares a cada sistema legacy y a cada organización y se deben analizar en cada caso específico, independiente de esto, la organización se ve expuesta a una serie de riesgos por no poder actualizar o mejor sus sistemas legacy, estos son los más comunes:

Posibilidad de desarrollo de funciones fraudulentas por falta de auditoría de desarrollo.
Posibilidad de existencia de procedimientos no autorizados por falta de auditoría de desarrollo.
Imposibilidad de actualizar infraestructura debido a problemas de disponibilidad del servicio.
Imposibilidad de mejoras en librerías debido a incompatibilidad de software.
Robo de información por brechas de seguridad no atendidas.
Secuestro de información por falta de mantenimiento de software. (Ransomware)
Pérdida de autonomía por falta de acceso al código fuente y a diagramas de diseño.

La actualización de un sistema legacy es un reto mayor, el cual debe ser acometido lo más pronto posible para evitar riesgo de ciberseguridad y dependencia de tecnología obsoleta.

Conoce 10 preguntas que te ayudarán a revisar la postura de ciberseguridad de tu organización

En esta entrada te proporcionaré 10 preguntas que te van a ayudar a revisar la postura de ciberseguridad de tu organización. Las respuestas a estas preguntas te permitirán comprobar que tan madura está la postura de ciberseguridad y en que punto debes mejorarla.

Estas preguntas solo es una evaluación superficial, si deseas verificar la postura de ciberseguridad de tu organización, te recomiendo un GAP analysis usando un marco de ciberseguridad como por ejemplo, el marco de ciberseguridad de NIST.

Por ahora, estas son las 10 preguntas, cuyas respuestas te darán una visión acerca de la postura de ciberseguridad de tu organización:

¿Qué tan segura es nuestra organización?
¿Nuestra organización tiene la estrategia de ciberseguridad adecuada para defenderse de ciberataques?
¿Tengo identificados los activos críticos y los principales riesgos a los cuales están expuestos?
¿Qué tan buenos son los controles de seguridad que tenemos?
¿Qué tan efectivo es nuestro plan de respuesta a incidentes?
¿Qué tan efectivo es nuestro plan de recuperación de desastres?
¿Estamos en una posición en la que podemos medir nuestra resiliencia de ciberseguridad?
¿Que tan vulnerables somos a posibles ataques y posibles violaciones de datos?
¿Tenemos un programa de gestión de vulnerabilidad y qué tan efectivo es el programa?
¿Tengo un presupuesto adecuado asignado a ciberseguridad para proteger a la organización y que esta continúe generando ingresos?

Recuerda realizar un analysis GAP para revisar la postura completa de ciberseguriad y poder diseñar un plan para mejorar su madurez.

Conoce como aplicar el marco de ciberseguridad del NIST adaptado para pequeños negocios

El marco de ciberseguridad del NIST ofrece una guía metodológica acerca de como abordar el tema de ciberseguridad para proteger los datos y la infraestructura de las organizaciones.

1. Identificar

Desarrollar una comprensión organizativa para gestionar el riesgo de ciberseguridad para los sistemas, las personas, los activos, los datos y las capacidades.

Identificar y controlar quién tiene acceso a la información empresarial.
Realizar comprobaciones de antecedentes a los empleados.
Exigir cuentas de usuario individuales para cada empleado.
Crear políticas y procedimientos de ciberseguridad.

2. Proteger

Desarrollar y aplicar las salvaguardias adecuadas para garantizar la prestación de servicios críticos.

Formar a los empleados y limitar su acceso a los datos.
Instalar protectores de sobretensión y sistemas de alimentación ininterrumpida.
Parchear los sistemas operativos y las aplicaciones de forma rutinaria.
Instalar y activar cortafuegos en todas las redes empresariales.
Puntos de acceso y redes inalámbricas seguras.
Configurar los filtros de la web y del correo electrónico.
Utilizar la encriptación para la información sensible.
Deshágase de los ordenadores y soportes antiguos de forma segura.

3. Detectar

Desarrollar y poner en práctica las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad.

Instalar y actualizar programas antivirus, antiespías y otros programas antimalware.
Mantener y controlar los registros.
Observe la actividad inusual de las contraseñas.

4. Responder

Desarrollar y poner en marcha las actividades adecuadas para tomar medidas en relación con un incidente de ciberseguridad detectado.

Desarrollar y mantener un plan para desastres e incidentes cibernéticos.
Notifique a sus clientes y a las autoridades.

5. Recuperar

Desarrollar y poner en marcha las actividades adecuadas para mantener los planes de resiliencia y restablecer cualquier capacidad o servicio que se haya visto perjudicado debido a un incidente de ciberseguridad.

Realice copias de seguridad completas de los datos e información importantes de la empresa.
Programar copias de seguridad incrementales.
Mejorar los procesos, procedimientos y tecnologías.

Esta es la adaptación de marco de ciberseguridad del NIST para pequeñas organizaciones, siga las recomendaciones para asegurar los datos y la infraestructura de su organización.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario