Netdata Cybersecurity Blog

4 Errores que debes evitar en tu estrategia de Ciberseguridad

Mario Montoya
30 septiembre, 2021
0 comentarios
Conoce cuáles son algunos de los errores más comunes que las organizaciones suelen pasar por alto en su estrategia de ciberseguridad.

 

La exposición a las amenazas es permanente. Ninguna empresa o institución está a salvo de un ataque. Las tácticas evolucionan, se adaptan; y otras nuevas son puestas en escena para intentar aprovechar las oportunidades producto de nuevas tecnologías incorporadas a los procesos de negocio.

 

<<Ciberseguridad: en qué consiste y aspectos que deben seguir las empresas>>

 

Te compartimos un resumen correspondiente a algunos errores citados por diversos estudios, como prácticas que deberías evitar en beneficio de la estrategia de ciberseguridad de tu compañía.

 

1. Asumir que tu organización no es un objetivo para los atacantes

Toda empresa, grande o pequeña, y en cualquier mercado vertical, es un potencial objetivo para los atacantes.

 

La motivación para los ciberdelincuentes, abarca un amplio espectro: desde atacantes que están practicando afinar sus “habilidades”; el renombre asociado con la eficaz intrusión en instituciones del gobierno y por supuesto las actividades con objetivos de lucro. Esta variedad de incentivos, propicia que ningún tipo de empresa o institución esté libre de amenaza.

 

Los incidentes que generalmente son cubiertos con mayor amplitud en las noticias, corresponden al robo de datos personales que incluyen números de tarjetas de crédito y otros datos clasificados como personal identifiable information (PII). Como consecuencia, algunas empresas pueden concluir que ellas no están en el radar de los atacantes, debido a que no manejan esta clase de datos. La realidad ha demostrado que los atacantes desempeñan sus actividades en todos los sectores de la economía, buscando comprometer los activos de información, con el objetivo de apoderarse de los datos.

 

Gary McKinnon, un hacker escocés, burló las protecciones de red de la NASA entre los años 2001 y 2002, buscando evidencias de programas relacionados con vehículos extraterrestres. La intrusión le valió a McKinnon una solicitud de extradición de los Estados Unidos al gobierno Británico; la sentencia al hacker incluiría hasta 70 años de prisión y USD 2 millones de multa. Este caso nos recuerda la variedad de motivaciones que pueden entrar en juego en cuanto a la selección del objetivo por parte del atacante.

 

Toda organización maneja datos valiosos, los cuales, si llegan a ser comprometidos, pueden afectar las relaciones con los clientes, y la imagen de la empresa ante su entorno. Se debe entonces reconocer esta posibilidad, y trabajar para prevenir el acceso de los atacantes a los activos de información de la organización.

 

Las consecuencias pueden ser especialmente dañinas si los activos de información son afectados, de manera que los procesos de negocio quedan indisponibles más allá del recovery point objective (RPO) y del recovery time objective (RTO) definidos en los planes de continuidad del negocio y/o en los planes de recuperación de desastres. Los pagos de la nómina, la logística de despacho en los almacenes, y la disponibilidad de la página web de la empresa, son algunos ejemplos de procesos de negocio que pueden verse afectados, como consecuencia de un ataque exitoso.

 

Asignarle al riesgo de intrusión en la red empresarial la relevancia que exige la realidad. Un programa de seguridad, adaptado a las dimensiones y el nicho de tu negocio, debe contar con el apoyo de la alta dirección de la organización, procesos, procedimientos e instructivos documentados, así como las herramientas y el entrenamiento y concientización que contribuyan a mejorar la capacidad de respuesta ante potenciales ataques.

 

2. Deficiente Gestión de Accesos Privilegiados

Diversas razones explican por qué algunas empresas terminan asignando privilegios de administrador de redes a usuarios que no lo requieren para cumplir sus funciones. Las mencionadas razones pueden incluir, desde una concepción equivocada de la “confianza” en los colaboradores, hasta procesos y procedimientos inexistentes o no tomados en cuenta.

 

La desatención al factor humano como potencial disparador de incidentes de ciberseguridad puede representar un riesgo elevado para el negocio.

Se recomienda contar con una práctica documentada, actualizada y socializada, para la adecuada gestión de accesos a la red, para colaboradores, estudiantes en práctica, proveedores y cualquier otro tercero para cuyo caso hay una justificación de negocio para garantizar el acceso a los recursos de la red.

 

El incidente que expuso datos personales de aproximadamente 5.2 millones de clientes de Marriot International en Enero de 2020, como consecuencia del uso no autorizado de credenciales de acceso a la red, probablemente pudo haber sido evitado combinando el refrescamiento de las políticas y responsabilidades relacionadas con la custodia de las credenciales de acceso, así como con campañas de concientización relativas a buenas prácticas de uso de dichas credenciales.



3. Considerar que la ciberseguridad es un tema solo de IT

La ciberseguridad debe involucrar a todas las áreas de la organización; no es responsabilidad exclusiva del departamento de TI. El nivel directivo debe exigir el compromiso y respaldo hacia el tratamiento de la ciberseguridad a través de toda la empresa.

 

Por supuesto el personal de TI lleva a cabo la implementación de las herramientas basadas en tecnología, para proteger los activos de información. Los mencionados despliegues de herramientas y sistemas de defensa, deben ser complementados con el compromiso de los colaboradores a todo nivel en la empresa, para contribuir a mantener la infraestructura de red, los datos e información a salvo de ataques.

 

De manera similar se debe exigir a terceros (consultores, proveedores, etc.) a quienes se garantiza acceso a los recursos de red necesarios para el desempeño de sus funciones su compromiso para el cumplimiento de las políticas de seguridad de la empresa.

Entre las acciones recomendadas para mantener la atención de todos los colaboradores hacia la ciberseguridad están:

  • Definir, implementar y mantener actualizado un framework de gestión de riesgos, que cubra lo relacionado con la ciberseguridad.

  • Realizar campañas de concientización recurrentes, recordando la importancia de mantenerse alerta ante las tácticas utilizadas por los atacantes para intentar vulnerar las defensas de la red.

  • Documentar y publicar políticas y normas de uso del correo electrónico. El phishing continúa siendo responsable de un alto número de incidentes de ciberseguridad, tomando desprevenidos a algunos usuarios, aun cuando esta herramienta es ampliamente conocida, y las consecuencias de ataques exitosos ocupan titulares con cierta frecuencia.

4. Débil manejo de Contraseñas

Durante décadas, son numerosas las anécdotas compartidas en relación con el deficiente manejo de contraseñas, tanto en el plano personal, como en el laboral. Muchos de nosotros hemos conocido de primera mano, casos de contraseñas escritas en un sticker guardado debajo del teclado del computador; o contraseñas “ensambladas” con una sencillez asombrosa (123456; o, qwerty, ¿te recuerdan algo?).

 

En el Data Breach Investigations Report 2021 de Verizon, se indica que las credenciales son el principal medio utilizado por los atacantes para acceder ilegalmente a las redes de las organizaciones. Las contraseñas, especialmente aquellas con altos privilegios de acceso a las redes y sistemas de las empresas, son un objetivo preciado por los hackers, debido a que ésta le permitiría el acceso a una cantidad considerable de datos confidenciales, a partir de una sola fuente.

 

Compartir temporalmente una contraseña con un colega de trabajo puede ser una muestra de confianza, pero este sencillo acto pone en riesgo la confidencialidad de dicha contraseña. No se debe malinterpretar el mensaje: no se trata de desconfiar de nuestros colegas en la empresa; el objetivo debe ser asegurar que la contraseña no sea conocida por personas que la puedan utilizar con fines ilegales.

 

Una investigación de PreciseSecurity reveló que en 2019, el phishing fue responsable de más del 67% de las infecciones de ransomware a nivel global. Un 36% de usuarios de Servicios de Protección de Email, reportaron ataques de ransomware ocasionados por falta de entrenamiento en ciberseguridad. El uso de contraseñas débiles fue la tercera causa, responsable de infecciones de ransomware durante el mencionado año a nivel global.

 

Recomendaciones para gestionar mejor las contraseñas 

  • Exigir el uso de contraseñas complejas que incorporen caracteres especiales y números.
  • Habilitar doble factor de autenticación (2-Factor Authentication - 2FA) que puede ser combinado con contraseñas complejas, para robustecer la protección de acceso a la red.
  • Uso de aplicaciones en el smartphone o en el computador, que pueden guardar (e inclusive regenerar) las contraseñas, evitando que estas sean escritas en un post-it, o en el block de notas.
  • No utilizar la misma contraseña en diferentes cuentas y aplicaciones. De esta manera, si una contraseña es comprometida el actor malicioso tendrá acceso a un solo sistema o aplicación.

En suma, los líderes del negocio, deben velar por mantener un programa de seguridad de la información ágil y eficiente, que integre a las personas, las tecnologías y los procesos, con el objetivo de salvaguardar la integridad, la disponibilidad y la confidencialidad de los activos de información.

 

La adopción de un framework correctamente adaptado al objetivo del negocio y su oportuno mantenimiento reducirán la posibilidad de que las amenazas, siempre al acecho, comprometan los recursos de red.

 

Mario Montoya