Llegamos a ustedes gracias a:



Reportajes y análisis

Logre serenidad en la seguridad

10 cambios que puede hacer con relativo poco trabajo

[24/01/2015] No tiene que mirar dentro de una bola de cristal para encontrar la paz mental cuando se trata de la seguridad. CSO Magazine le presenta 10 cambios que requieren de relativo poco trabajo para lograr mejoras significativas en la seguridad empresarial.

1. Ayude a los que toman las decisiones de alto nivel a entender las cosas

"Ayude a sus ejecutivos de alto nivel a estar verdaderamente conscientes de la naturaleza de la situación de la seguridad, y a tomar seriamente sus responsabilidades como administradores del riesgo, sostiene Fred B. Cohen, científico estadounidense de computación, más conocido como el inventor de las técnicas de defensa contra virus de computadora.

Para hacer esto, use un comité asesor externo compuesto por personas que saben de seguridad, y sepan cómo hablar con los ejecutivos. Para ayudar a los líderes a escuchar y entender a los comités asesores, envíelos a un entrenamiento ejecutivo de seguridad fuera de las instalaciones o contrate una evaluación inicial de seguridad de su organización para que puedan ver su posición y trabajen para superar la brechade comunicación.  

2. No recolecte información cuando es más dañina que beneficiosa

"Sé que es conveniente guardar la información de las tarjetas de crédito y volver a utilizarla la próxima vez. Pero esta forma de trabajar también es la razón por la que algunas grandes tiendas tuvieron que pagar un alto precio por perder esta información, y la razón por la que las personas tuvieron que cambiar sus tarjetas de crédito, sostiene Cohen.

Lo mismo aplica para cualquier información personal identificable (PII, por sus siglas en inglés) como las direcciones de correo electrónico. "Compré algo online de una tienda grande porque no lo tenían en la tienda física. Tuve que proporcionar una dirección de correo electrónico. Acaban de obtener millones y millones de éstas de forma fraudulenta y siguen recolectando más, indica Cohen. Cuando el daño pesa más que el beneficio, simplemente no lo haga.

3. Revise los inputs

Revise los inputs en sus programas y bases de datos en el lugar donde, de hecho, los use, no en el navegador, y la mayor parte de las cosas malas que podrían ocurrir no ocurrirán, indica Cohen. "Todas las grandes estafas en bases de datos que usan inyecciones SQL y otras invasiones de input ocurren porque usted no revisa los inputs, afirma Cohen.

Revise el tamaño, la sintaxis y el contexto de los datos/caracteres del input que la gente generalmente pone en un campo de input. "Si están introduciendo un numero de seguridad social, será mejor que sea en un formato de número de seguridad social. Y sin importar que revisión haya hecho en el navegador, necesita revisarlo en el lugar al que llega, no en el lugar desde donde alguien lo envió, sostiene Cohen. Haga la revisión cuando llegue de una fuente no confiable -como un navegador- a la tecnología que lo interpreta y lo usa. "Es trivial tener que hacerlo y trivial tener que revisar que alguien lo haya hecho, afirma el ejecutivo.

4. Contrate, asegure, pruebe

Ya sea que se requiera que un proveedor de software revise los inputs de los programas que ha comprado, o que el proveedor proporcione el producto o servicio tal y como fue pactado; si es algo que debe tener, especialmente por seguridad, póngalo en un contrato vinculante.

Tenga un seguro de responsabilidad en caso que el proveedor no lo haga. Solicite que el proveedor tenga seguro para el caso en que no haga lo que dijo que haría. Asegúrese que haya estipulaciones en el contrato en donde el proveedor deba probar que hicieron lo que dijeron que iban a hacer.

"En el caso de los inputs de software, hay un testeo llamado fuzzing que es muy económico, indica Cohen. Use un laboratorio de prueba independiente para la prueba. Pida que el laboratorio certifique la prueba. Asegúrese de que la compañía de testeo tenga seguro.

5. Hacer la arquitectura de la seguridad es más económico que diseñarla, implementarla o escribir su código

Muchas empresas tienen redes planas. "Tienen firewalls y dentro del firewall tienen un poco de cómputo y eso es todo, afirma Cohen; "es un caparazón duro con un centro suave.

Los hackers usan el phishing y otros ataques para pasar el firewall y llegar al interior del centro suave.

"Si hace la arquitectura de su red, dividiéndola en zonas y microzonas, podrá diferenciar la forma en que protege los servidores de la forma en que protege las estaciones de trabajo, señala Cohen. Así podrá tener una red que funcione apropiadamente a pesar de que algunas partes de ella estén fallando debido a ataques. Entonces un ataque exitoso solo será parcialmente exitoso.

6 Defiéndase usando el engaño

"Las tecnologías de engaño cambian la balanza entre el atacante y el defensor, de tal forma que sea fácil para el defensor y difícil para el atacante, indica Cohen; "engañar es relativamente fácil.

Los hackers buscan las vulnerabilidades en su espacio de protocolo, espacio de dirección y en los servicios. Usando el engaño, podría tener algo que parecería un servidor web para los hackers en un lugar en donde en realidad no tiene un servidor web funcionando en una dirección IP.

Los hackers atacan este anzuelo y tratan de ingresar. Después de unas 50 veces que el mismo usuario intenta hacer lo mismo, el dispositivo de red que está en su mira va a asegurarse que ese usuario reciba un engaño todo el tiempo a partir de ese momento. Hay otros tipos de engaño.

7. No use una seguridad que ponga a los usuarios en su contra

Se trata de las carga de trabajo en el usuario, a veces llamadas cargas de seguridad. La seguridad sigue incrementando los requerimientos que los usuarios tienen que cumplir al interactuar con ella. El usuario tiene que tomar decisiones cada vez más complicadas. "La carga de seguridad causa que los usuarios tomen malas decisiones, detalla Cohen.

Las ventanas emergentes (pop ups) son buenos ejemplos. "Dicen, 'usted está haciendo algo que podría ser peligroso, ¿quiere continuar?' El usuario no sabe qué decisión es la más segura. Sabe que si elige "no, no podrá continuar y no podrá realizar su trabajo. La seguridad que pone este tipo de decisiones en manos del usuario hace más daño que bien.

8. Ofrezca una guía sencilla de selección de contraseñas

Use una guía de contraseña sencilla para ayudar a los usuarios a crear contraseñas fuertes, pero aun así fáciles de recordar. La guía podría sugerir que los usuarios comiencen con el título de una película favorita, libro o ítem de cualquier categoría popular y añadir caracteres para formar una nueva contraseña. "De esa manera puede ser fácil recordar qué caracteres están en mayúsculas y dónde deben ir los signos de puntuación, como la contraseña Ghost^Busters!2?, señala John Zurawski, vicepresidente de Authentify.

9. Solicite contraseñas más largas y fuertes

Con la nueva facilidad de crear contraseñas fáciles de recordar, los usuarios deberían ser menos aversivos al uso de contraseñas más largas y fuertes. A continuación el motivo por el que las contraseñas largas y complicadas ayudan de forma natural.

Los hackers no atacan contraseñas manualmente, adivinando combinaciones de caracteres sino que usan software de ataques de fuerza bruta para descifrar la contraseña. "Una contraseña de 16 caracteres alfa con mayúsculas y minúsculas, números y símbolos podría soportar 10 o 12 días de ataque de fuerza bruta concentrado, posiblemente más, indica Zurawski. Eso podrá ser lo suficientemente prolongado.

"Generalmente, cuando los hackers roban archivos de contraseñas se conforman con descifrar un 60% a 90% de contraseñas en múltiples pasadas a través del archivo antes de vender los resultados y seguir. Si su contraseña se encuentra entre el 10 o 20% que son de las más intensas en cuanto a recursos para que un hacker la descifre, la probabilidad de que se mantenga a salvo es alta, manifiesta Zurawski. Para extender la longitud de las contraseñas basta un simple cambio en la política.

10. Emplee cifrado completo del disco en las laptops de la compañía

Un disco duro de laptop completamente cifrado, que requiere de una contraseña de usuario para el arranque, ayuda a proteger a la empresa del robo de datos y del uso indebido de éstos cuando la laptop se pierde o es robada. "Puedes lograr este despliegue en meses, finaliza Zurawski.