Llegamos a ustedes gracias a:



Reportajes y análisis

10 formas en las que pymes pueden mejorar la seguridad sin gastar dinero

Mejorar seguridad a bajo costo

[25/11/2015] Los eventos y seminarios de Security Serious llevados a cabo a inicios de mes atrajeron la atención sobre las maneras simples en las que, particularmente, los negocios más pequeños pueden mejorar su seguridad sin gastar mucho dinero, o en muchos casos sin gasto alguno. El problema es que muchos de los consejos se mantienen atrapados dentro de los profesionales y compañías de seguridad más experimentados del país, y no son siempre escuchados por las pymes que se beneficiarían de ellos.

Se mantiene la percepción de que para mejorar la seguridad se requiere de un cambio organizacional y mucha inversión, posiblemente más allá de lo que los bolsillos de los negocios más pequeños pueden pagar. Pero como señaló Security Serious, las debilidades más grandes no siempre requieren una inversión alta, siempre y cuando las organizaciones presten atención al conjunto de grandes debilidades que los atacantes buscan explotar. Aquí hemos reunido algunos de los mejores consejos.

Deje de ignorar las amenazas en el correo electrónico

Los correos electrónicos son la puerta de entrada que los atacantes utilizarán primero cuando tengan como objetivo los sistemas de una compañía; numerosos casos de estudio de incidentes de cibercrimen en el mundo real señalan la facilidad con la que funciona esta táctica. Solo hace falta un correo electrónico con una trampa en la forma de un archivo adjunto con malware, posiblemente de un contacto conocido, y el atacante habrá ganado terreno en ese sistema. Desde ahí, ellos pueden mandar correos electrónicos a otros contactos, acceder a partes de la red, y así el alcance del ataque se propaga rápidamente.

Decir a la gente que no abra archivos adjuntos de usuarios desconocidos es, francamente, casi un consejo inútil -si el personal no puede abrir los archivos adjuntos de terceros entonces ¿para qué tener correo? Lo harán inevitablemente.

La primera reforma es observar los sistemas de correo electrónico que se están usando. Los servicios de Exchange y Gmail pueden configurarse para usar listas blancas de los contactos añadidos al libro de direcciones, y también usar su propio filtro para reducir la carga de correos electrónicos sospechosos en primer lugar. Todos los clientes de correo electrónico recientes, incluyendo los servicios de correo web como Gmail, también tratan a los archivos adjuntos de los contactos desconocidos como automáticamente sospechosos, y aplican reglas estrictas similares a los correos electrónicos con enlaces incrustados. Esto es un comienzo.

El problema es que los atacantes usan los ataques de phishing con igual frecuencia en lo que pueden parecer sitios web legítimos, así que la segunda capa de defensa requiere del entrenamiento de los usuarios para identificar las, a veces sutiles, señales de que están en la mira de los atacantes. Suena más fácil de lo que es, pero varias compañías ofrecen entrenamiento antiphishing y sistemas de prueba, que usualmente cuestan dinero. Sin embargo, la consultora de Estados Unidos, KnowBe4 ofrece una prueba online gratuita que vale la pena usar para darse una idea de que tan bien orientado está el personal en cuanto al phishing.

Asuma que los sitios web son vulnerables

Explotar fallas en sitios web de comercio electrónico usando inyección SQL, Cross-Site Scripting y similares, es otra manera absolutamente estándar de atacar a una compañía, inclusive las firmas más grandes aún batallan por contener lo que ahora debería ser un tema bien entendido, como TalkTalk recientemente descubrió. Aún queda por confirmar el papel preciso que tuvieron las fallas web en este ataque, pero la compañía ha sido acusada de ignorar los problemas.

En Qualys, AlienVault y Acunteix se encuentran disponibles varios escáneres de vulnerabilidades de sitios web (la mayoría de ellos ofrecen pruebas gratuitas), y las herramientas de código abierto abundan, aunque éstas requieren más experiencia. Herramientas como Vega, W3af y SQLmap son buenos lugares para comenzar.

Deshabilite el software riesgoso

La mayoría de las PC ejecutan demasiado software, algunos de ellos han sido instalados por los empleados sin que los administrativos sepan. Esto es increíblemente riesgoso, pero afortunadamente es posible remediarlo simplemente retirando el software más comúnmente atacado, conocido por tener un flujo de vulnerabilidades de día cero. Los grandes riesgos son los plug ins de Flash para navegadores, la aplicación de PDF Reader de Adobe y el Java Runtime Environment (JRE, incluyendo las versiones antiguas), y casi cualquier cosa publicada por Apple, ninguna de los cuales es tan esencial como alguna vez lo fueron. Retírelos y quitará una gran parte del riesgo a cambio de muy pocas desventajas. ¿Necesita capacidades PDF? Los más recientes navegadores ofrecen un visor aislado e integrado que no requiere cargar el programa completo o inclusive descargar el archivo. Como mínimo, las interfaces como Flash deberían poderse habilitar a demanda, lo que requiere que el usuario las opere manualmente.

"Si no puede deshabilitar el software, como mínimo tenga cuidado del software que está utilizando en sus ambientes. Monitoree, monitoree y monitoree. Verifique quién está haciendo qué, a qué archivos se está accediendo, quién se está conectando, etcétera. Conozca cómo es su sistema, señala Javvad Malik, defensor de la seguridad de la firma de seguridad AlienVault.

Use sabiamente el cifrado

Ninguna tecnología es tan frecuentemente invocada como la forma más simple para mejorar la seguridad como el cifrado, pero usarla no es una tarea simple.

El primer reto es que el cifrado es frecuentemente costoso, propio de aplicaciones específicas y, por supuesto, las llaves utilizadas tienen que ser almacenadas en algún lugar seguro también.

No obstante, el cifrado aún puede ser útil para los datos almacenados, particularmente los dispositivos móviles con plataformas como iOS y Android que ofrecen cifrado seguro como un estándar en sus versiones recientes. Las laptops de negocios en estos días siempre se ofrecen con la opción de Full Disk Encryption (FDE), algo que las pymes siempre deberían usar. Los USB siempre deberían estar cifrados también.

El cifrado para escritorio a pequeña escala es un poco más complicado, más ahora que el famoso programa de código abierto TrueCrypt ya no es tan digno de confianza. Microsoft ofrece las excelentes versiones Bitlocker en las versiones Pro de Windows, incluyendo Windows 10, que debería ser la base para cualquier desktop que use el sistema operativo que accede a datos importantes. Las herramientas tienden a funcionar de distintas maneras en el cifrado de archivo por archivo en la creación de volúmenes cifrados. Las herramientas basadas en volúmenes y que valen la pena observar incluyen DiskCryptor y FreeOTFE.

Symantec ofrece Drive Encryption, y aunque sea relativamente caro, ofrece algo de administración central.

Sin embargo, como Javvad Malik de AlienVault nos recuerda, antes de cifrar todo: "Otra pregunta que vale la pena hacer es, ¿en verdad necesitamos estos datos?

Asegure las cuentas bancarias online

Uno de los principales objetivos de los atacantes son las máquinas usadas para acceder a cuentas de negocios online y vaciarlas. Este tipo de ataque es ahora una epidemia con miles en pérdidas cada vez que suceden. No existe una defensa fácil contra esto, pero pensando lateralmente, una opción es usar una máquina dedicada que opere una instalación mínima para acceder a estos servicios.

La mayoría de las pymes que tienen este enfoque usan una máquina Linux o una PC simplificada, pero otra opción es usar una Google Chromebook barata. Por tener la capacidad de simplificarse muy fácilmente y lograr una experiencia de navegador Chrome básica, no pueden ser infiltradas por malware ejecutable de la manera en que se puede hacer con otros puntos finales. La única limitación es que algunas no vienen con un puerto Ethernet físico, algo que nosotros recomendaríamos. Nota: las copias de seguridad online siempre deberían usarse con una configuración de autentificación de doble factor completa (es decir, no vía SMS) sin importar el punto final. Note también que las Chromebooks no son invulnerables, simplemente son mucho menos vulnerables cuando se usan de esta forma.

Tómese en serio las contraseñas

Todos sabemos que las contraseñas deberían ser largas y fuertes y renovarse con frecuencia, pero ¿qué significa esto en la práctica? ¿Qué tan seguido es suficiente y qué tan larga y compleja es necesario que sea? La disciplina más importante es simplemente cambiar frecuentemente de contraseñas que den acceso a algún tipo a los administradores. Haciendo esto -y haciéndolas lo suficientemente complejas- minimizarán la oportunidad de ataques que sí logren obtenerlas.

La única forma de hacer esto de manera confiable es automatizar el proceso usando un administrador de contraseñas como LastPass Enterprise, Centrify o Dashlane, aunque esto también impone seguridad 2FA como una capa adicional. En particular, estos cambios automatizados y regulares de contraseñas cambian a un requerimiento estándar de complejidad. Sin embargo, la seguridad subyacente de estos productos tiene sus complicaciones, y una -LastPass- sufrió un ciberataque recientemente. La compañía fue comprada por LogMeIn el mes pasado.

Racionalice el parchado

El parchado de software de punto final es una tarea importante para la mayoría de los negocios, a la cual no ayuda la falta de un administrador centralizado de parches en Windows. Windows 10 también ha hecho grandes cambios al régimen de parchados; algunos han batallado por entender estos cambios.

Mientras que las empresas compran sistemas complejos para administrar el parchado con horarios y políticas definidas, los negocios pequeños aún pueden probar herramientas gratuitas para el escaneado del parchado y las vulnerabilidades como Retina (por hasta 256 IPs) o Microsoft Baseline Security Analyzer (MBSA), esta última es solo para Windows.

Desactive los derechos de administración

El derecho de administración representa un gran riesgo porque permite que el usuario y el software hagan cosas que podrían poner en peligro a las máquinas, como los ajustes principales de seguridad o la instalación de software no aprobado.

Las versiones de Windows, anteriores a Windows Vista, otorgaban a los usuarios derechos de administración por defecto, lo cual permitía a los creadores de malware solicitar los privilegios elevados que necesitaban sin muchas barreras. En Vista, Windows Server 2008 y Windows 7 esto se ajustó usando algo llamado User Acount Control (UAC), un sistema muy criticado que lanzó solicitudes de elevación para el usuario. Muchos simplemente hicieron clic en "si y por buenas razones -las aplicaciones legacy fueron diseñadas para tener derechos de administrador para llevar a cabo ciertas acciones, así que los usuarios necesitaron esta capa de control de vez en cuando para evitar que las aplicaciones no funcionaran bien.

En una reforma bastante necesaria, Windows 8 y 10 removieron estos derechos de administración, y los usuarios que requerían elevación lo lograban al conectarse con una cuenta creada para ese propósito -no hay cuenta, no hay elevación. En las máquinas individuales esta cuenta debe ser habilitada, aunque las máquinas de negocios no deberían ser configuradas para ofrecer este control.

Monitoree el almacenamiento de nube

No todos ven a la shadow IT y a la nube como un riesgo no mitigado, pero la probabilidad de enfrentar problemas es obvia. Generalmente, los servicios de nube son una gran bendición para las pymes, pero las organizaciones deberían tener cuidado de usarlos ingenuamente. Cuando se trata de almacenar los archivos de la organización en la nube, éstos van a ser cifrados normalmente por el proveedor, por ejemplo, Dropbox, con un estándar alto. Sin embargo, el proveedor se apodera de la llave y puede, en ciertas circunstancias, acceder a ellos, por lo que los sistemas de codificación para terceros como Boxcryptor (que funciona con Google Drive, Dropbox, OneDrive y SugarSync) ha surgido para permitir que los usuarios retengan el control de sus llaves.

Lo más importante es que el almacenamiento de nube no es lo mismo que las copias de seguridad y no debería, por ejemplo, ser visto como una manera de derrotar los ataques de ransomware que bloquean los datos de la víctima a cambio de dinero. Si el ransomware cifra los datos en una PC local y su disco de almacenamiento adjunto, estos archivos también van a ser copiados en ese estado en el servicio de nube. El almacenamiento en nube ofrece 30 días de las versiones de esos archivos, pero reinstaurarlos puede consumir una increíble cantidad de tiempo y causará problemas para compartirlos.

Deshágase del hardware viejo de manera segura

El almacenamiento y los teléfonos inteligentes viejos deberían ser sujetos a un proceso de limpieza después de ser vendidos de segunda mano o descartados. Techworld publicó una guía más detallada sobre cómo hacerlo en octubre, pero lo importante es no confiar en los métodos fáciles.

John E. Dunn, Computerworld Reino Unido