Llegamos a ustedes gracias a:



Reportajes y análisis

6 riesgos de seguridad y cómo defenderse

Riesgo seguridad

[04/05/2015] Las brechas de seguridad nuevamente hicieron noticia en el 2014. Sin embargo, a pesar de años de historias sobre fallas de seguridad y de denegación de servicio (DDoS), y advertencias repetidas de los profesionales de seguridad acerca de que las empresas (y las personas) necesitan hacer un mejor trabajo en la protección de los datos sensibles, muchas empresas todavía no están preparadas o protegidas adecuadamente ante una variedad de amenazas a la seguridad.

De hecho, según un reciente reporte de riesgo elaborado por Trustwave, que encuestó a 476 profesionales de TI sobre las debilidades de seguridad, la mayoría de las empresas no tenía un sistema de control y seguimiento de los datos sensibles, o lo tenía implementado a medias.

Entonces, ¿qué pueden hacer las empresas para protegerse mejor a sí mismas y a los datos sensibles de sus clientes ante las amenazas de seguridad? CIO.com consultó con decenas de expertos en seguridad y TI para averiguarlo. Los siguientes son las seis fuentes más probables, o causas, de las violaciones de seguridad y lo que las empresas pueden, y deben, hacer para protegerse contra ellas.

Riesgo No. 1: Los empleados descontentos

"Los ataques internos son una de las mayores amenazas que enfrentan sus datos y sistemas", afirma Cortney Thompson, director de tecnología de Green House Data. "Los empleados deshonestos, en particular los miembros del equipo de TI con el conocimiento y el acceso a las redes, centros de datos y las cuentas de administrador, pueden causar graves daños", añade. De hecho, "hubieron rumores sobre que el hackeo a Sony no se hizo desde Corea del Norte, sino que en realidad fue algo hecho desde dentro.

Solución: "El primer paso para mitigar el riesgo de explotación con cuenta privilegiada es identificar todas éstas cuentas y credenciales con privilegios y cancelar inmediatamente aquellas que ya no están en uso o están conectadas con empleados que ya no están en la empresa", añade Adam Bosnian, vicepresidente ejecutivo de CyberArk.

"A continuación, debe monitorear, controlar y gestionar estrechamente las credenciales privilegiadas para prevenir su explotación. Por último, las empresas deben implementar protocolos y la infraestructura necesaria para realizar un seguimiento y registrar la actividad de las cuentas con privilegios, y crear alertas para permitir una respuesta rápida ante las actividades maliciosas y mitigar el daño potencial al principio del ciclo de ataque".

Riesgo No. 2: Los empleados negligentes e ignorantes

"Un trabajador descuidado que olvida su iPhone desbloqueado en un taxi es tan peligroso como un usuario descontento que maliciosamente filtra información a un competidor", anota Ray Potter, CEO de SafeLOGIC. Del mismo modo, los empleados que no están entrenados en las mejores prácticas de seguridad y tienen contraseñas débiles, visitan sitios web no autorizados y/o hacen clic en enlaces o archivos de correos electrónicos sospechosos, representan una enorme amenaza para la seguridad de los sistemas y los datos de sus empleadores.

Solución: "Capacitar a los empleados en las mejores prácticas de seguridad cibernética y ofrecer soporte continuo", señala Bill Carey, vicepresidente de Marketing de RoboForm. "Algunos empleados pueden no saber cómo protegerse en línea, lo cual puede poner sus datos de negocio en riesgo", explica. Por lo que es esencial "realizar sesiones de formación para ayudar a que los empleados aprendan cómo administrar las contraseñas y evitar la piratería a través de actividades delictivas como el phishing y estafas keylogger. Luego proporcionar apoyo continuo para asegurarse que los empleados tengan los recursos que necesitan".

Además, "hacen que los empleados utilicen contraseñas seguras en todos los dispositivos", añade. "Las contraseñas son la primera línea de defensa, así que asegúrese de que los empleados utilizan contraseñas con letras mayúsculas y minúsculas, números y símbolos", explica Carey.

"También es importante utilizar una contraseña diferente para cada sitio registrado y cambiarla cada 30 a 60 días", continúa. "Un sistema de gestión de contraseñas puede ayudar mediante la automatización de este proceso y eliminar la necesidad de que el personal tenga que recordar varias contraseñas".

El cifrado también es esencial.

"Mientras haya implementado cifrado validado, como parte de su estrategia de seguridad, hay esperanza", indica Potter. "Incluso si el empleado no ha tomado precauciones personales para bloquear su teléfono, su departamento de TI puede ejecutar un barrido selectivo al revocar las claves de descifrado utilizadas específicamente para los datos de la empresa".

Para estar extra seguro, "implemente la autenticación de múltiples factores tales como One Time Password (OTP), RFID, tarjetas inteligentes, lector de huellas digitales o el escaneo de retina, con el fin de que se asegure que los usuarios son de hecho quienes usted cree que son", agrega Rod Simmons, gerente de producto en BeyondTrust. "Esto ayuda a mitigar el riesgo de un incumplimiento debido a una contraseña comprometida".

Riesgo No. 3: Dispositivos móviles (BYOD)

"El robo de datos se encuentra en alta vulnerabilidad cuando los empleados utilizan dispositivos móviles (en particular el suyo propio) para compartir datos, información de acceso de la empresa, o son negligentes a la hora de cambiar las contraseñas móviles", explica Jason Cook, responsable tecnológico y vicepresidente de seguridad en BT Americas. "Según un estudio de BT, las brechas de seguridad móviles han afectado a más de dos tercios (68%) de las organizaciones mundiales en los últimos 12 meses".

De hecho, "a medida que más empresas adoptan BYOD, se enfrentan al riesgo de tener esos dispositivos en la red corporativa (detrás del firewall, incluso a través de la VPN) en el caso de que una aplicación instale malware u otro software troyano que puede acceder a la conexión de red del dispositivo", señala Ari Weil, vicepresidente de marketing de producto, Yottaa.

Solución: Asegúrese de tener una política BYOD cuidadosamente detallada. "Con una política BYOD en su lugar, los empleados están mejor educados en las expectativas sobre los dispositivos, y las empresas pueden monitorear mejor el correo electrónico y los documentos que están siendo descargados a la compañía o a los dispositivos propiedad de los empleados", anota Piero DePaoli, director senior de marketing en Symantec. "Una supervisión efectiva le proporcionará a las empresas visibilidad sobre su riesgo de pérdida de datos móviles, y les permitirá localizar rápidamente los riesgos si los dispositivos móviles se pierden o son robados".

Del mismo modo, las empresas deben "implementar soluciones de seguridad móvil que protegen tanto los datos corporativos y el acceso a los sistemas corporativos, a la vez que respeta la privacidad del usuario mediante la contenerización", aconseja a Nicko van Someren, director de tecnología, de Good Technology. "Al separar de forma segura las aplicaciones empresariales y los datos empresariales en los dispositivos de los usuarios, la contenerización asegura que los contenidos profesionales, credenciales y configuraciones permanezcan cifradas y bajo el control de TI, con la adición de una fuerte capa de defensa sobre los puntos de entrada que antes eran vulnerables".

También puede "mitigar el riesgo BYOD con una nube híbrida", añade Matthew Dornquast, CEO y cofundador de Code42. "A medida que las aplicaciones de consumo y los dispositivos no autorizados continúan arrastrándose al lugar de trabajo, debe mirar a las nubes privadas para mitigar posibles riesgos provocados por esta tendencia de trabajo", señala el ejecutivo. "Ambas opciones ofrecen generalmente la capacidad y la elasticidad de la nube pública para gestionar gran cantidad de dispositivos y datos, pero con mayor seguridad y privacidad -tales como la capacidad de mantener las claves de cifrado en el lugar, sin importar dónde se almacenan los datos- para la gestión de aplicaciones y dispositivos en toda la empresa".

Riesgo No. 4: Aplicaciones en la nube

Solución: "La mejor defensa (contra una amenaza basada en la nube) es la defensa a nivel de datos mediante el cifrado fuerte, como AES de 256 bits, reconocido por los expertos como el estándar de oro del cifrado y retener las claves exclusivamente para impedir que cualquier tercero acceda a los datos, incluso si reside en una nube pública", anota Pravin Kothari, fundador y CEO de CipherCloud. "Como indican muchos de los incumplimientos del 2014, no hay suficientes empresas que estén utilizando encriptación de datos a nivel de la nube para proteger la información sensible".

Riesgo No. 5: Dispositivos sin parches o que no se pueden parchar

"Estos son los dispositivos de red, como routers, servidores e impresoras que emplean software o firmware para su funcionamiento, sin embargo, aunque un parche para una vulnerabilidad en ellos aún no se haya creado o enviado, o su hardware no fue diseñado para actualizarse tras el descubrimiento de vulnerabilidades", señala Shlomi Boutnaru, cofundador y CTO de CyActive. "Esto deja a un dispositivo explotable en su red, a la espera para que los atacantes la utilicen para obtener acceso a sus datos.

Una de los principales candidatos al incumplimiento: Windows Server 2003 que próximamente se quedará sin soporte.

"El 14 de julio del 2015, Microsoft dejará de ofrecer soporte para Windows Server 2003 -lo que significa que las organizaciones ya no recibirán parches o actualizaciones de seguridad para este software", señala Laura Iwan, vicepresidente senior de programas del Centro para la Seguridad de Internet.

Con más de 10 millones de servidores físicos de Windows 2003 todavía en uso, y millones más en uso virtual, de acuerdo con Forrester, "espere que estos servidores obsoletos se conviertan en un blanco perfecto para cualquier persona interesada en penetrar las redes donde residen estos servidores vulnerables", indica la ejecutiva.

Solución: Instituir un programa de gestión de parches para garantizar que los dispositivos, y el software, se mantienen actualizados en todo momento.

"El primer paso es implementar la tecnología de gestión de vulnerabilidades para buscar en la red y ver qué está actualizado y qué no", señala Greg Kushto, director de la Práctica de Seguridad en Force 3. "La verdadera clave, sin embargo, es tener una política establecida donde todo el mundo está de acuerdo en que si una determinada pieza del equipo no está actualizada o parchada dentro de una cierta cantidad de tiempo, se pone fuera de línea".

Para evitar posibles problemas con Windows Server 2003", identifique todas las instancias de Windows Server 2003; haga un inventario de todo el software y las funciones de cada servidor; priorice cada sistema con base al riesgo y la criticidad; y trace una estrategia de migración y luego ejecútela," afirma Iwan. Y si usted no puede ejecutar todos los pasos, contrate a alguien para que lo asista.

Riesgo No. 6: Los proveedores de servicios de terceros

"A medida que la tecnología se vuelve más compleja y especializada, las empresas están confiando más en los subcontratistas y proveedores para apoyar y mantener los sistemas", señala Matt Dircks, CEO de Bomgar. "Por ejemplo, las franquicias de restaurantes suelen externalizar el mantenimiento y la gestión de sus sistemas de puntos de venta (POS) a un proveedor de servicios de terceros".

Sin embargo, "estos terceros suelen utilizar herramientas de acceso remoto para conectarse a la red de la empresa, pero no siempre siguen las mejores prácticas de seguridad", anota. "Por ejemplo, utilizarán la misma contraseña por defecto para conectarse remotamente a todos sus clientes. Si un hacker adivina esa contraseña, inmediatamente tienen un pie en todas las redes de dichos clientes".

De hecho, "muchas de las violaciones de alto perfil y extremadamente costosas del año pasado (Home Depot, Target, etc.) se debieron a las credenciales robadas del contratista", afirma Matt Zanderigo, gerente de marketing de producto para ObserveIT. "De acuerdo con algunos informes recientes, la mayoría de las violaciones de datos -76%- se atribuyen a la explotación de los canales de acceso remotos de los proveedores", añade. "Incluso los contratistas, sin intención maliciosa, potencialmente podrían dañar sus sistemas o dejarlo expuesto a una violación".

"Esta amenaza se multiplica de manera exponencial debido a la falta de investigación de antecedentes antes de permitir que terceros accedan a su red", añade Adam Roth, especialista en ciberseguridad de Dynamic Solutions International. "Una potencial violación de datos normalmente no ataca directamente el servidor más valioso, sino que va escalando de a pocos, pasando de una computadora de bajo nivel que es menos segura, y luego pasa a otros dispositivos y gana privilegios", explica.

"Las empresas hacen un buen trabajo asegurando que los servidores críticos eviten el malware de Internet", continúa. "Pero la mayoría de las empresas son bastante malas en el mantenimiento de estos sistemas segmentados de otros sistemas que son mucho más fáciles de poner en peligro".

Solución: "Las empresas tienen que validar que cualquier tercero sigue las mejores prácticas de seguridad de acceso remoto, como la autenticación de múltiples factores, que requiere credenciales únicas para cada usuario, la configuración de permisos de menor privilegio y la captura de una pista de auditoría completa de toda la actividad de acceso remoto", señala Dircks.

En particular, "desactive las cuentas de terceros en cuanto dejen de ser necesarias; supervise los intentos de conexión fallidos; y tenga una bandera roja que le alerta de un ataque de inmediato", añade Roth.

Orientación general sobre el tratamiento de infracciones

"La mayoría de las organizaciones se dan cuenta ahora de que la infracción no es una cuestión de si pasará, sino de cuándo sucederá", señala Rob Sadowski, director de Soluciones Tecnológicas para RSA. Con el fin de minimizar el impacto de una violación de la seguridad y las fugas, realice una evaluación de riesgos para identificar dónde residen sus datos valiosos y qué controles o procedimientos se han establecido para protegerlos.

Entonces, "elabore un plan integral de respuesta a incidentes (y recuperación de desastres/continuidad del negocio), determine quiénes participarán, de TI, del área legal, de relaciones públicas, y de la dirección ejecutiva, y pruébelo."

Jennifer Lonoff Schiff, CIO (EE.UU.)