Mostrando entradas con la etiqueta tratamiento. Mostrar todas las entradas
Mostrando entradas con la etiqueta tratamiento. Mostrar todas las entradas

Conoce los diez términos más utilizados de riesgos en seguridad de la información explicados de forma fácil de digerir.

En este post vamos a ver la principal terminología que se utiliza cuando se habla de riesgos de seguridad de la información. Ilustraremos estos términos con un ejemplo. 

Empecemos por la siguiente definición y vamos a revisar cada una de las palabras resaltadas para definir los primeros cinco términos:

El riesgo es la probabilidad de que una amenaza se aproveche de una vulnerabilidad en un activo para causar un impacto los objetivos del negocio. 

  • Riesgo: Efecto de la incertidumbre sobre los objetivos. 
  • Probabilidad: Posibilidad de que algo suceda.
  • Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema u organización.
  • Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas.
  • Impacto: consecuencia de la materialización de una amenaza.

Un ejemplo que involucre estas definiciones puede ser este:

La organización no cuenta con protección de aplicaciones web, por lo tanto, la probabilidad de que un delincuente informático pueda dejar sin servicio el portal transaccional de la organización es alta y su impacto será catastrófico. 

Existe un gran número de metodologías para hacer gestión de riesgos, sin embargo, la mayoría de ellas concuerdan con las siguientes definiciones:

  • Criterios de riesgos: Términos de referencia contra los cuales se evalúa la importancia del riesgo.
  • Identificación de riesgos: Proceso de búsqueda, reconocimiento y descripción de riesgos.
  • Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y para determinar el nivel de riesgo.
  • Evaluación de riesgos: Proceso de comparar los resultados del análisis de riesgo con los criterios de riesgo para determinar si el riesgo y / o su magnitud es aceptable o tolerable.
  • Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
El propósito de la gestión de riesgos es identificar anticipadamente los riesgos para tratarlos antes de que estos se materialicen y puedan impactar los objetivos del negocio.

Si desea conocer más términos relacionados con seguridad de la información, puede consultar el siguiente link https://normaiso27001.es/referencias-normativas-iso-27000/



By - No hay comentarios:
Labels: , , , , , , , , ,

Quiere mayor seguridad en sus activos digitales: hardening

En el mundo de la ciberseguridad, realizar análisis de vulnerabilidades es una práctica común para saber qué control aplicar en aras  de reducir  el riesgo, pero existen vulnerabilidades que no se pueden descubrir mediante un análisis de vulnerabilidades estándar, aquí en donde entra al juego el hardening.

Hardening: Conjunto de actividades que son llevadas a cabo para “reforzar” al máximo posible la seguridad de un equipo.

Estas son algunas de las tareas que se realizan en un proceso de hardening:

  • Suprimir servicios innecesarios.
  • Desactivar o eliminar usuarios no necesarios.
  • Desinstalar software no requerido.
  • Desactivar funciones no necesarias.
  • Cerrar accesos no utilizados.
  • Asignar contraseñas fuertes.
  • Endurecer las configuraciones.  

Para la ejecución de estas tareas existen en el mercado plantillas prediseñadas que los técnicos pueden ajustar de acuerdo a las necesidades o a los requerimientos que en temas de regulación tenga la organización. Las más utilizadas son CIS, DISA y NSA. Tenable tiene el software necesario para verificar la correcta implementación de las plantillas y para saber cuándo uno de los controles puesto ha sido alterado.  

Para la realización de estas labores se requiere de personal altamente calificado, ya que es una labor que requiere alto conocimiento técnico acerca del tema, por lo que se recomienda capacitar al personal en estas labores o contratar los servicios con una empresa especializada.

Si desea ir un paso más allá en temas de protección de información digital, el hardening le podrá ayudar en reducir la superficie de exposición de sus activos digitales.

By - No hay comentarios:
Labels: , , , , , , ,
Location: Bogotá, Colombia

Hechizando palabras para volverlas contraseñas seguras.

Para los administradores, siempre será un dolor de cabeza mantener un solo método de autenticación para sus usuarios: las contraseñas, y más aún cuando los usuarios optan por poner contraseñas que les sea fáciles de recordar y por ende fácil de que un perpetrador  las adivine. Vamos a ver un método para elegir una contraseña fácil de memorizar y difícil de adivinar. 

Pasemos primero por la definición de lo que es autenticación: 

“La autenticación es el acto o proceso de confirmar que algo (o alguien) es quien dice ser.”

Son cuatro los factores que un humano  puede utilizar para autenticarse:

  1. Algo que el usuario sabe (ejemplo: una contraseña,  una clave, un PIN de 4 dígitos)
  2. Algo que el usuario es (ejemplo, la huella digital, el patrón de la voz)
  3. Algo que el usuario tiene (ejemplo, tarjeta de la identificación, token físico, teléfono celular)
  4. Algo que el usuario hace (ejemplo, reconocimiento de voz, firma).

La combinación de dos o más factores se le conoce como múltiple factor de autenticación, y es este, uno de los controles más recomendados para ser implementados dentro de la organización, ya que si un perpetrador logra hacerse con la contraseña de un usuario, también va a necesitar el segundo factor de autenticación para tener acceso a la información.

Por el momento nos centraremos en la elección de contraseñas seguras, dejando el tema de múltiples factores de autenticación para otro capítulo.

Una contraseña segura deberá tener una combinación de las siguientes características:

  • Tener más de 15 caracteres.
  • Combinación de mayúsculas y minúsculas.
  • Mínimo un número.
  • Mínimo un carácter especial.

El primer paso es la elección de una frase molde que nos sea familiar, ya sea el nombre de una serie de televisión, una película, la frase de una canción o la frase de una poesía. Para este ejemplo voy a elegir el nombre de una serie de televisión: 

la ley de los audaces

A partir de esta frase molde vamos a transformarla para usarla con contraseña segura, para este ejemplo vamos a trabajar:

Suprima los espacios, solo con este movimiento ya tenemos una contraseña de 17 y otra de 22 caracteres:

laleydelosaudaces  (ya tienes 17 caracteres)

Paso 1. Cambie primera letra “e” por el numero 3

Lal3ydelosaudaces

Paso 2. Cambie las tres últimas letras a mayúsculas:

Lal3ydelosaudaCES

Paso 3. Cambie la palabra “los” por tres signos $$$

Lal3yde$$$audaCES

Solo tres pasos le ayudaran a tener una contraseña segura, estos son algunos ejemplos adicionales para que adivine que tres pasos se usaron para hechizar una contraseña segura:

formal

hechizado

ciberseguridad en proceso

ziverseguridad$2020$PROCESO

juego de tronos

jUego$de$Tr0n0z

hasta la vista baby

HASTA0la1vista3BABY…

Huston tenemos un problema

Tenemos#20UN20#Problema

El dinero nunca duerme

DINer0.NUNc4.DUErm3.

Adicionalmente, recuerde que las contraseñas son como la ropa interior: No puedes dejar que nadie la vea, debes cambiarla regularmente y no compartirla con extraños.Puede utilizar el número de pasos que crea conveniente pero la utilización de muchos pasos al inicio hace difícil el implementar la metodología, se sugiere empezar con solo tres pequeños pasos no complejos y a medida que vaya progresando, ir aumentando su complejidad. 


By - No hay comentarios:
Labels: , , , ,

Transformación digital... y su contraparte: el riesgo digital.

La transformación digital es un tema que toda empresa debe abordar más temprano que tarde si desea ser competitiva en el actual mundo empresarial. Los cambios son buenos, y más aún si se realizan de manera organizada ejecutando un apropiado tratamiento de esa nueva variable que va de la mano de las nuevas tecnologías: el riesgo digital.

Lamentablemente, para un gran número de empresas, esta nueva variable no es importante hasta que se ven enfrentadas a su  materialización. Cuando esto ocurre, ya es tarde, el camino a seguir es el tratamiento reactivo del riesgo digital lo cual implica la inversión de grandes cantidades de dinero en su tratamiento para intentar regresar a un estado normal de operación.

Un ejemplo acerca de esto, es la empresa que se niega a invertir dinero en un antivirus avanzado porque es muy costoso, adicionalmente el que tiene siempre ha funcionado y nunca ha pasado nada. Para este ejemplo vamos a hablar de la ocurrencia de un ataque de afectación de información:

Cuando se materializa el riesgo en la empresa, el delincuente puede encriptar o cifrar la información, es decir, ingresa a los equipos y pone una contraseña de acceso a los archivos, contraseña que solo el delincuente conoce, posterior a esto, pide un rescate, es decir, exige dinero a cambio de entregar la contraseña de acceso a la información de la empresa. El delincuente no se puede rastrear, las autoridades no pueden localizarlo, las recomendaciones es que no paguen el rescate porque lo más posible es que se pierda el dinero y la información, por último, se recomienda que reconfigure sus equipos, “compre un antivirus avanzado” y regrese a su copia de respaldo más reciente, si la tiene.

La empresa  hubiese ahorrado recursos importantes si se hubiera tratado el riesgo de forma adecuada en el momento oportuno. El costo del tratamiento reactivo de un riesgo es demasiado elevado en comparación con el tratamiento preventivo.  Al final, siempre va a tener que implementar el control preventivo y adicionar los costos de recuperación del incidente.

Como conclusión, realizar un tratamiento de riesgos digitales es una buena práctica en aras de prevenir que incidentes de seguridad digital puedan poner en riesgo la estabilidad de la empresa. Identificar las vulnerabilidades y tratarlas de forma preventiva es más económico que hacerlo reactivamente.



By - No hay comentarios:
Labels: , , , , , ,
Suscribirse a: Entradas (Atom)