Los 7 pecados capitales de la seguridad

9 de julio de 2021 por
Viridiana Soto Vega
 

Desde los comienzos de Singular Beacon, tener una fuerte seguridad a la par que unas soluciones digitales rápidas y potentes ha sido nuestra prioridad. 

Sin embargo, con la experiencia que hemos ido adquiriendo estos años nos hemos dado cuenta de que la seguridad de un sistema no reside en su componente más fuerte, si no en el más débil

En nuestro caso hemos podido ver de primera mano como el interés por esta materia es sobrevisto por los usuarios constantemente. Sin entender los riesgos y las consecuencias de fallos en la seguridad de sus sistemas y de sus bases de datos. 

Según un estudio de IBM el 95% de las incidencias en ciberseguridad se deben a errores humanos

Por ello, os traemos los 7 errores más comunes que van a ayudaros a limitar el factor de error humano de forma drástica. 

  1. No proteger los accesos correctamente. 
  • Contraseñas no seguras 
  • No encriptar los discos duros de los equipos 
  • No contar con medidas de seguridad fisicas 
  • No proteger nuestros equipos in-itinere 
  • Conectarnos a redes no seguras 
  • Firewalls, VPNs y otras medidas de protección 

Confiar en fuentes no seguras.

  • Abrir ficheros no seguros enviados por email y otros medios 
  • Conectarse a URLs no seguras e ingresar datos

No segmentar la información a la que tienen acceso los empleados en función de su necesidad. 

No auditar los accesos y los sistemas de forma periódica. 

  • Contraseñas de personal que ya no trabaja 
  • PenTesting Periódico

No actualizar los sistemas/software de seguridad.

No formar a los empleados. 

No conocer los riesgos de la información.

 

1. No proteger los accesos correctamente

Proteger correctamente los accesos es algo vital, tener un candado complejo y robusto de nada sirve si la llave capaz de abrirlo está a la mano del ladrón. 

Contraseñas no seguras 

Una de las claves más relevantes reside en emplear contraseñas no seguras. 

Desde Singular Beacon recomendamos contratar un servicio de gestión de contraseñas. De esta forma únicamente debemos recordar una contraseña. Esta debe contener 12 caracteres y una combinación de letras, números y símbolos. 

De esta forma con un gestor de contraseña podemos definir para todos nuestros accesos contraseñas aleatorias generadas automáticamente con alguna herramienta. Podrían ser de hasta 20 caracteres, distintas entre ellas mismas y no tendríamos la necesidad de recordarlas ya que para eso existe el gestor de contraseñas. 

No encriptar los discos duros de los equipos 

Podemos considerarlo como el proceso por el cual la información legible se transforma, mediante un algoritmo, en ilegible y se necesita de una “llave” especial para decodificarla. Este mecanismo nos permite aislar nuestra información de extraños y minimizar las consecuencias indeseadas que ellos pueden generar. 

No proteger nuestros equipos in-itinere 

Aunque pueda ser sobrevisto con facilidad, el hurto físico de dispositivos es más frecuente de lo que pensamos, con dispositivos cada vez más ligeros, portátiles y con un mercado negro con una demanda extraordinaria, debemos cuidar este aspecto. 

Vigilar nuestros dispositivos en zonas públicas es crucial, al igual que cuidar de la seguridad física de nuestras instalaciones. Tener el disco encriptado puede sernos de gran utilidad, ya que en caso de robar el disco duro acceder a la información se complica enormemente. 

Conectarnos a redes no seguras 

En muchas ocasiones la estructura de redes que encontramos de nuestros clientes no es la indicada. Hay que tener en cuenta que las distintas redes que tengamos en nuestra empresa no deben tener la capacidad de comunicarse entre sí, deben estar aisladas. 

Además, es importante revisar las redes externas a las que nos conectamos ya que una red con una seguridad que no iguale los requisitos mínimos según los estándares actuales puede facilitar que con un simple ordenador se pueda monitorear nuestra actividad, suplantar las credenciales del servidor y acceder a los datos de nuestro ordenador. 

Firewalls. VPNs y otras medidas de protección. 

Un firewall es un dispositivo de seguridad de la red que monitoriza el tráfico entrante y saliente y decide si debe permitir o bloquear un tráfico específico en función de un conjunto de restricciones de seguridad ya definidas. 

Los firewalls han sido la primera línea de defensa en seguridad de la red durante más de 25 años. Establecen una barrera entre las redes internas seguras, controladas y fiables y las redes externas poco fiables como Internet. 

Una VPN (sigla en inglés para red privada virtual) es una tecnología que utiliza Internet para conectarse a una ubicación específica y de esta manera poder acceder a ciertos servicios. Esta conexión a la red puede ocurrir de varias maneras, pero generalmente utiliza el cifrado como mecanismo para proteger la comunicación entre el usuario y el servidor. 

2. Confiar en fuentes no seguras 

o Lo primero que debemos hacer es verificar la fuente desde la que recibimos la información que vamos a abrir, compartir, descargar,…

En este punto vamos a analizar técnicas comunes de ciberataques que utilizan páginas enmascaradas, contenido malicioso y demás.

Abrir ficheros no seguros enviados por email y otras fuentes 

El phishing es una de las técnicas más comunes de robo de contraseñas desde los últimos años. Confiar en la buena voluntad de los usuarios suele ser la forma más efectiva de robar accesos a las contraseñas. 

El phishing es una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial. 

Un ataque de phishing tiene tres componentes: 

  • El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono. 
  • El atacante se hace pasar por una persona u organización de confianza. 
  • El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito. 

En el caso de que debamos por fuera descargar un archivo o programa y no conozcamos su fuente o su naturaleza, es recomendable hacerlo en una máquina virtual. 

Conectarse a URLs no seguras e ingresar datos 

Al igual que el punto anterior, conocer la dirección a la que vamos a acceder es de vital importancia. Los posibles avisos que pueda dar su navegador sobre una página nunca deben ser ignorados sin conocimiento. 

  • Comprueba el certificado SSL en el candado que encontrarás al principio de la URL.
  • Comprueba si es un anuncio: busca los resultados pagados del motor de búsqueda; los anuncios que aparecen en la parte superior de las páginas de resultados. 
  • Lee la página de inicio: tómate dos minutos para revisar la página web. No caigas en los trucos de los formularios de solicitud antes de leer el texto completo. A veces, incluso avisan de que el sitio no es el oficial. 
  • Comprueba la dirección web: que una web acabe en .org no garantiza que sea oficial. Por ejemplo, en el caso de Reino Unido debería ser gov.uk en lugar de org.uk. 
  • https vs http: aunque no siempre es una garantía, puedes comprobar el "http" que aparece al principio de la dirección del sitio web. Si estás introduciendo información personal, "https" sirve como forma de encriptación para proteger tus datos personales, a diferencia de "http".

 3. No auditar los roles en la empresa 

Para facilitar el control de riesgo dentro de una empresa es fundamental restringir el acceso a ciertas informaciones según el rol de cada uno dentro de la empresa. 

La información a la que pueda acceder cada miembro debería ser únicamente aquella que sea imprescindible para el desempeño de su función. 

4. No auditar los accesos y los sistemas de forma periódica

Hacer un mantenimiento de accesos que tengamos, de las claves, es también un aspecto importante. Puede resultar tedioso, pero es un pilar clave. Debemos revisar los accesos de los empleados a los datos, como acceden y cada cuánto se cambian las contraseñas. 

Además, debemos revisar la fortaleza que tienen estas contraseñas. 

Contraseñas de ex empleado 

La marcha de un miembro del equipo puede ser algo triste después de años trabajando juntos, con la confianza que estos años traen. Sin embargo, debemos ser estrictos en cuanto al procedimiento a la hora de que un empleado deje de formar parte de nuestra empresa. 

Sus cuentas y sus contraseñas deben o bien ser dadas de baja o bien cambiadas. Esto no solo ayudará a prevenir una brecha de información perniciosa, sino además en caso de que su ordenador o sus contraseñas puedan ser comprometidas, seguiremos expuestos a estos peligros. 

Pentesting periódico

¿Cuántas veces han tratado de verificar la seguridad de sus accesos? 

Si la respuesta es nunca, estará incluido en la mayoría de los miembros que conforman el tejido empresarial en España, auditar y tratar de explotar los accesos a nuestras redes es una pieza clave. 

Si no contamos con la experiencia suficiente para realizar este tipo de pruebas podemos contratar a un experto externo que evalúe la seguridad de nuestros sistemas. 

5. No actualizar los sistemas/software de seguridad 

Las actualizaciones de software a menudo se ven como tediosas, engorrosas y pesadas. Sin embargo, estas, suelen traer mejoras en la materia de seguridad, a medida que la empresa que provee estas actualizaciones detecta fallos de acceso nuevos. Por ello es fundamental tener el software actualizado a la última versión estable. 

Los mismo pasa con la obsolescencia de ciertos dispositivos físicos, podemos encontrar fallos de diseño que han ido mejorando a lo largo del tiempo que permitían vulnerabilidades importantes que se han ido subsanando en versiones siguientes. 

Es vital tratar de actualizar tanto el hardware como el software, no solo para aumentar la protección de nuestra información, pero para poder experimentar las mejoras de rendimiento que a menudo proveen dichas actualizaciones. 

6. No formar a los empleados 

De nada sirve ser consciente de los riesgos y conocer cuáles son, si únicamente una parte muy pequeña de la empresa conoce estos riesgos. 

Formar, no solo es bueno para la empresa, si no para los empleados. A menudo se considera como un valor extra que la empresa nos provee. 

7. No conocer los riesgos de la información que manejamos 

La seguridad en rede no es efectiva al 100%. Aunque podemos limitar enormemente los riesgos, en temas de seguridad informática nunca podemos tener la garantía de que nuestro sistema es impenetrable. 

Es fundamental desde un punto de visto estratégico el redactar los procedimientos adecuados en caso de que dicha información sea filtrada. 

Para ello debemos responder a varias preguntas. 

  • ¿Qué información ha sido expuesta? 
  • ¿Qué valor y naturaleza tiene esta información? 
  • ¿Conocemos el alcance de las repercusiones que tiene dicho filtrado? 
  • ¿Qué plan de notificación a los usuarios de acuerdo con las políticas legales tenemos? 
  • ¿Cómo podemos evitar que esto vaya a volver a ocurrir?
Viridiana Soto Vega 9 de julio de 2021
Compartir
Archivar