¿Qué es el Pentesting y por qué necesitas un hacker ético en tu empresa?

El pentesting o pruebas de penetración son ataques planeados y controlados hacia los sistemas de información, portales web y redes empresariales con la intención de encontrar sus debilidades y vulnerabilidades. Estas pruebas comprenden desde el análisis de dispositivos físicos y digitales, servicios lógicos hasta el factor humano utilizando Ingeniería Social. Estas pruebas son diseñadas para clasificar y determinar el alcance y repercusión de dichos fallos de seguridad y como resultado, las empresas pueden obtener una idea bastante clara de los peligros y riesgos a los que se enfrentan.  Los pentesters, como son llamados, utilizan software y métodos manuales para hacer un primer reconocimiento, recolectando información del negocio tal como lo haría algún criminal cibernético.  Después de esto, identifican puntos de entrada vulnerables y finalmente, abren una brecha en el sistema y reporta como lo hicieron.

Algo que debe quedar muy claro es que, durante una prueba de penetración, los sistemas o la información no es afectada, simplemente se intenta ingresa a los sistemas para probar las defensas de la organización. El punto clave es que, si el pentester hackea las defensas actuales o encuentra vulnerabilidades, te da la oportunidad de cerrar el agujero de seguridad o corregir el problema antes de que un ciberdelincuente lo descubra y tome ventaja.

De manera general, las fases al realizar un pentesting son:

  • Fase de definición de alcance:En esta etapa, se define en qué va a consistir esta prueba de penetración, se describen cuales son los servicios críticos de la empresa y qué escenario supondría un mayor riesgo para su operación. Para algunos puede ser más crítico que el sitio web estuviera abajo y para otros que se roben información de sus sistemas.
  • Fase de recolección de información:En esta etapa se utilizan arañas y scanners para obtener toda la información posible de la empresa, de cierta manera se utilizan las mismas herramientas que un ciberdelincuente usaría para obtener información de tus sistemas de información y redes.
  • Fase de modelado de la amenaza:A partir de la información recolectada, se debe pensar como si uno fuera un ciberdelincuente y definir cual sería nuestra estrategia de penetración con base en los puntos débiles identificados en nuestro análisis inicial.
  • Fase de análisis de vulnerabilidades:Con base en el modelado de la amenaza, se identifican proactivamente las vulnerabilidades que pudieran ser más fácil de explotar.   El 90% de los ataques a redes empresariales son muy similares así que se analiza de que forma otros ataques han sido exitosos y de cómo estos escenarios podrían ser utilizados en nuestra contra.
  • Fase de explotación:En esta etapa, se intenta conseguir acceso a los sistemas ejecutando exploits contra las vulnerabilidades identificadas en las etapas anteriores, en este punto en realidad estamos simulando un ataque de un ciber delincuente estableciendo límites para no causar daño alguno a nuestros sistemas o información. 
  • Fase de post-explotación:En esta fase tratamos de conseguir el máximo nivel de privilegios, información de la red y acceso al mayor número posible de sistemas identificando que datos y/o servicios tenemos a nuestro alcance. En todo momento, el atacante tiene claro que no debe realizar daño alguno y que se garantizará la confidencialidad de la información.
  • Fase de informe:Al final de la prueba de penetración, se genera un reporte con todos los hallazgos encontrados, se muestran las vulnerabilidades, se priorizan y se dan recomendaciones de qué acciones tomar. Se debe generar un reporte tanto para la alta dirección de la empresa como uno más técnico para el personal especializado del área de tecnología de información.

En resumen, si quieres conocer que tan efectivos son tus sistemas de seguridad y qué tan preparado estas ante un ataque cibernético, sin lugar a duda debes realizar una prueba de penetración. Si quieres conocer más acerca de las vulnerabilidades y posibles riesgos que actualmente corre tu empresa, contáctanos a través del correo electrónico contacto@tbsek.mxy con gusto podemos ayudarte a realizar un pentesting para tu empresa

Consejos para crear un programa de concientización de seguridad informática para tu empresa

Una de las piezas claves de cualquier estrategia de ciber seguridad empresarial es crear una cultura de seguridad informática dentro de la empresa.   No importa cuanto inviertas en plataformas de seguridad informática, cuantas evaluaciones o pruebas de penetración realices, si tus empleados son los que le darán clic a ese archivo que pueda comprometer toda tu red, de nada sirve todo ese esfuerzo. La cultura de seguridad informática es uno de los mecanismos más importantes para influenciar el comportamiento de los empleados. Desgraciadamente en México y en el resto del mundo tiende a ser un aspecto al cual pocas organizaciones le ponen atención.  El día de hoy te daremos algunos consejos para que puedas implementar un programa de concientización de seguridad informática en tu empresa.

  • Obtén el apoyo de la alta dirección: Sin lugar a duda, el primer paso es obtener el apoyo del presidente o director general de tu empresa.  Todos y cada uno de los empleados de tu organización deben participar en este programa, especialmente los puestos gerenciales o directivos ya que son ellos quienes generalmente manejan la información más sensible de tu organización.   La alta dirección debe estar consciente de las implicaciones para la empresa si esta fuera victima de un ciberataque.
  • Crea contenido acorde a los perfiles:  Aunque la cultura de seguridad informática debe tocar todos los niveles de la organización, cada nivel debe entender el impacto que tiene su rol dentro de la organización.   Se debe crear material o contenido tanto para ejecutivos como personal operativo y sobre todo se debe hacer especial énfasis en aquellos roles que tienen un mayor contacto con el exterior ( por ejemplo atención a cliente o el departamento de compras).
  • Asóciate con departamentos clave: Los programas de concientización más exitosos son aquellos que logran el apoyo de otros departamentos clave dentro de la organización, por ejemplo los departamentos de recursos humanos, el área legal e incluso el área de comunicación y mercadotecnia. Con frecuencia, estos departamentos pueden hacer que los esfuerzos de concientización de seguridad sean obligatorios. Para obtener este apoyo, es posible que tengas que incorporar las necesidades de los departamentos que te están apoyando.
  • Usa los canales adecuados: Dependiendo de la cultura de tu organización, utiliza los canales que puedan tener un mayor impacto para transmitir tu mensaje. Para algunas empresas puede ser el boletín mensual, las reuniones semanales por departamento o cualquier otro medio de comunicación adecuado para la empresa. Usa el canal que mejor impacto tenga dependiendo del nivel organizacional donde te encuentres.  Ubica dentro de tu equipo de trabajo a un vocero que pueda ayudarte con estas tareas.
  • Piensa en un programa a mediano o largo plazo: Cambiar o influir en la cultura organizacional no es una tarea fácil  y difícilmente veremos resultados a corto plazo. No se trata de hacer una única campaña en una semana en particular del año sino más bien debes realizar pequeñas campañas a lo largo de todo el año.  Busca diferentes formas de presentar
  • Incentiva la participación: Crea un programa que incentive la participación de todos los empleados en este programa. Por ejemplo, de algún modo puedes recompensar a las personas por informar posibles incidentes de seguridad, dichos incidentes pueden incluir informar sobre mensajes de phishing o simplemente dar algún reconocimiento a aquella persona que ayude a difundir nuestro mensaje.
  • Mide el impacto de la campaña: Uno de los factores claves dentro del programa es demostrar que estamos influyendo en la cultura organizacional.  Sin establecer una línea base es difícil demostrar que los esfuerzos han tenido éxito. Se puede examinar la cantidad de incidentes relacionados con la seguridad informática reportados en la mesa de ayuda, la cantidad de incidentes relacionados con virus entre muchas otras cosas.

Estas son tan solo algunas ideas para iniciar tu programa de concientización de seguridad informática. Recuerda, no hay tecnologías que compensen una cultura de seguridad deficiente.  Los programas de concientización, cuando se ejecutan adecuadamente, proporcionan grandes beneficios para las empresas

Consejos para hacer una auditoría de seguridad informática en tu empresa

Ninguna empresa está exenta de ser víctima de los ciber-delincuentes, incluso es posible que alguien ya haya robado información de tus sistemas y tú ni si quiera te has dado cuenta.   Los ecosistemas informáticos de las empresas son cada vez más complejos, realizan cada vez más tareas, son usados por cada vez más personas, y, por lo tanto, son cada vez más difíciles de controlar.  Para tratar de minimizar los riesgos informáticos, es necesario que las empresas realicen auditorías de seguridad informática regularmente; las cuales son estudios realizados por profesionales externos a las empresas y tienen la finalidad de descubrir posibles vulnerabilidades en el ecosistema informático, incluyendo: sistemas de información, red de cómputo tanto alámbrica como inalámbrica, enlaces de Internet, servidores y equipo de cómputo de los empleados; dispositivos móviles, hábitos digitales de los usuarios, así como la verificación de cumplimiento de normativas vigentes.

Existe un sinnúmero de auditorías de seguridad informática, pero las más populares en el mundo empresarial son las siguientes: 

  • Auditorias forenses:  Este servicio se contrata tras haber sido víctima de un ciber-criminal y tiene como objetivo identificar y recopilar evidencias para establecer las causas del incidente.  
  • Auditorías web:  Enfocadas en conocer la seguridad de aplicaciones y servicios web, de tal manera que se identifique cualquier tipo de falla en la implementación de las mismas. Esto aplica tanto a sitios web que están publicados en Internet como a aquellos que están disponibles exclusivamente dentro de la Intranet corporativa.  
  • Hacking ético:   Se trata de una prueba de intrusión que intenta utilizar las mismas técnicas y herramientas que usan los ciber-delincuentes para poner a prueba la seguridad informática. No se realiza ningún daño en los sistemas o en la información, pero si se demuestra que nuestro ecosistema digital tiene fallos y vulnerabilidades.  Al mismo tiempo, también se pone a prueba la robustez de las contraseñas.  
  • Auditorías físicas:   En este caso se pone a prueba el entorno físico, incluyendo cámaras de seguridad, controles físicos de entrada, sistemas de incendios, climatización, instalaciones de suministro eléctrico, entre muchas otras cosas. Imagínate, tus cámaras de seguridad podrían estar siendo monitoreadas, incluso por personas ajenas a tu organización.  

Muchas de estas auditorías se basan en estándares como: COBIT (Objetivos de Control de la Tecnológica de la Información),  ISO 17799 (Norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información), Norma ISO 27002 (Código de buenas prácticas), ISACA (Asociación de Auditoría y Control de Sistemas de Información), ITIL (Biblioteca/Guía de Infraestructura de Tecnologías de la Información), estándar mundial de facto en la Gestión de Servicios Informáticos, entre muchas otras más.  

Es muy importante que las auditorías informáticas las realicen personas fuera de tu organización. Por más objetiva que sea, una auditoría interna podría sesgar los resultados del estudio, y el objetivo NO es decir que todo está bien, sino encontrar los puntos débiles de tu ecosistema digital y actuar en consecuencia. Al mismo tiempo, es muy importante que las auditorías se realicen de manera periódica, pues los cambios en tus plataformas y las nuevas vulnerabilidades que aparecen todos los días podrían cambiar los resultados de esta.  

Inteligencia artificial como aliada de la seguridad informática

La seguridad informática está tomando una mayor relevancia entre las empresas y organizaciones de todo el mundo, desgraciadamente, debido a que cada vez más y más empresas están siendo atacadas por ciber-delincuentes, sufriendo daños irreparables. Los ataques son cada vez más frecuentes, más complejos y cambiantes, así que difícilmente los equipos de ciber-seguridad pueden hacer frente a todas estas amenazas sin el apoyo adecuado. En los últimos años, el uso de la inteligencia artificial está tomando cada vez mayor relevancia en la seguridad informática, especialmente porque permite a las empresas comprender las amenazas de una manera más fácil, reduciendo así los tiempos de respuesta de los equipos especialistas en el área.    Algunos de los escenarios de cómo la inteligencia artificial puede ayudar a la seguridad informática son: 

  • Detección automática:  El aprendizaje automático y la inteligencia artificial ayudan a reconocer patrones en los datos para permitir a las plataformas de seguridad informática que aprendan de la experiencia y enfrentar así, a los problemas con una mayor rapidez y confianza. La seguridad informática puede ayudar a las empresas a identificar amenazas y encontrar rápidamente los vínculos con los riesgos potenciales. Esta forma de detección reduce los errores humanos dentro del proceso. Hoy en día, las redes corporativas y ecosistemas digitales son tan complejos, que difícilmente podemos tener ojos en todos lados.  De manera general, las plataformas de inteligencia artificial y aprendizaje automático generan patrones del comportamiento de tu ecosistema digital y notifican a los equipos de seguridad informática si encuentran un funcionamiento extraño o vinculado a algún riesgo de seguridad informática. Lo mejor de todo, es que las plataformas de seguridad informática, basadas en inteligencia artificial, son capaces de generar patrones de comportamiento en lugar de esperar a que los humanos lo desarrollen, algo prácticamente imposible debido al gran volumen de datos que hoy en día se mueven a través de la red corporativa. La inteligencia artificial en ciberseguridad aprovecha el razonamiento para determinar varios riesgos, por ejemplo, direcciones sospechosas, archivos extraños o comportamiento de tráfico inusuales.  
  • Identificación temprana de errores:  Gracias a la inteligencia artificial, las empresas de seguridad informática están analizando constantemente miles y miles de sitios web que pueden ser considerados como sospechosos, ya sea por tener malware o por contener estafas de phishing. Los humanos pueden analizar y detectar si un sitio es sospechoso o no, pero no pueden analizar mil sitios en un solo día.  A través de estos procesos, se generan automáticamente “listas negras” que son compartidas con organizaciones de todo el mundo y que pueden ayudar a identificar amenazas si los usuarios de la organización intentan ingresar a ese sitio, o si se genera tráfico desde sus servidores. 
  • Tiempos de respuesta más rápidos: La inteligencia artificial puede procesar cantidades masivas de información no estructurada y proporcionar información relevante para la toma de decisiones, tanto para los propios sistemas como para los responsables de la seguridad informática. Además, a través del aprendizaje de máquina y la inteligencia artificial, se pueden identificar y aprender patrones mucho más fácil y rápido. Bajo este concepto, las respuestas de una plataforma de seguridad informática, basada en inteligencia artificial, mejorarán de la mano en que aprenda nuevas situaciones y analice de una mejor manera el ambiente donde se desempeña. Gracias a esto, las empresas están identificando amenazas con mayor rapidez y respondiendo en consecuencia.  
  • Reducir el número de errores:  Puedes contar con un excelente equipo de seguridad informática, pero esto tiene una debilidad: se trata de humanos. La inteligencia artificial no se cansa, no depende de su estado de ánimo y no se aburre de realizar tareas repetitivas, o analizar constantemente miles y miles de datos. Gracias a la inteligencia artificial se pueden reducir los errores de manera significativa, pero no te preocupes, no se trata de despedir a tu equipo de seguridad informática y tener solo una plataforma de inteligencia artificial. Los humanos ofrecen el sentido común del que carecen los equipos de cómputo y son mejores tomadores de decisiones en situaciones no estándar.  

Cada vez más, la inteligencia artificial formará parte de las plataformas de seguridad informática de las empresas y, sobre todo, permitirán potencializar a tu equipo de trabajo. 

Resumen de noticias al 8 de noviembre

Como cada semana, te traemos el resumen de noticias con lo más destacado de la seguridad informática.

  1. Sistema informático de Pemex, todavía vulnerable pese a hackeo de 2019: ASF: La petrolera fue víctima de un incidente de seguridad informática el pasado 10 de noviembre de 2019.
  2. Falta de profesionales en ciberseguridad: una brecha que crece: En el marco de la celebración del Antimalware Day, repasamos algunos datos sobre la escasez de profesionales en el campo de la ciberseguridad frente una demanda que no para de crecer.
  3. Los cinco ataques de malware más comunes de 2020: El malware ha seguido siendo un quebradero de cabeza para empresas, ciudadanos y administraciones públicas de todo el mundo durante 2020. Y, la pandemia de coronavirus no ha hecho sino repuntar el número de amenazas.
  4. Argentina, Brasil y México: los países más afectados por Emotet en Latinoamérica: Luego de un período de poca actividad, el troyano Emotet registró un importante crecimiento a partir de la segunda mitad de 2020 distribuyendo otros códigos maliciosos como TrickBot o Qbot.
  5. Se descubre la versión para Linux del ransomware RansomEXX: Esta es la primera vez que esta variedad de ransomware para Windows está presente en Linux.
  6. Compañía de videojuegos Capcom impactada por un ciberataque :El desarrollador de franquicias de videojuegos populares tomó medidas rápidas para evitar que el ataque se extendiera a través de sus sistemas.
  7. Cómo proteger tu cuenta Blattle.net de los cibercriminales y estafadores: Una guía completa para configurar la seguridad y privacidad de tu cuenta en Battle.net.
  8. Pymes, en mayor riesgo de sufrir un ciberataque: ¿Cómo defenderse?:El tema de la ciberseguridad se puede convertir en una catástrofe a nivel organizacional y personal para las pymes y sus colaboradores si no toman las medidas necesarias.

Desafíos clave para la seguridad informática

Poco a poco, empresas, instituciones y organizaciones de todo el mundo, están tomando una mayor conciencia de la importancia que tiene la seguridad informática para la continuidad de su negocio; sin embargo, todavía existe mucho por hacer en términos de la visión que se debe tener sobre el tema. Muchas empresas siguen viendo la seguridad informática como algo adicional o separado al proceso principal, y buscan que la seguridad informática se habilite como una capa adicional, o piensan que debe ser responsabilidad exclusiva del área de tecnologías de la información. Este enfoque erróneo podría traer grandes problemas, ya que más bien, la seguridad informática debe integrarse a cada producto, sistema, servicio, proyecto o proceso desde el momento en que se concibe. Como muchas áreas, la seguridad informática se encuentra en constante cambio, y hoy hablaremos de 3 desafíos clave que las organizaciones deben afrontar para continuar su lucha con la seguridad informática.  

  • Información en tiempo real:  La velocidad de la dinámica del mundo digital simplemente sigue aumentando exponencialmente. Para que los profesionales de la seguridad informática puedan responder adecuadamente ante las amenazas de los ataques de los ciber delincuentes, se debe contar con plataformas que monitoreen en tiempo real la información generada por sistemas, y plataformas que se encuentren en las diversas capas de la infraestructura.  Aunque es prácticamente imposible hablar de sistemas que no pueden ser vulnerados, sí podemos habilitar mecanismos que nos den visibilidad en tiempo real de lo que está pasando, y actuar en consecuencia.   
  •  Colaborar en la lucha contra la ciber delincuencia: Ninguna organización pública o privada, puede tener visibilidad completa de todo el panorama cibernético, así que también es muy importante compartir e intercambiar información con instituciones de nuestra misma industria, de otras industrias, o con organismos gubernamentales, tanto nacionales como internacionales. De no ser así, estamos en una lucha a ciegas contra la delincuencia. Una amplia colaboración significa también una mayor conversación sobre el tema de seguridad informática. La colaboración entre instituciones permite que se pueda luchar de una manera más efectiva contra el ciber crimen y esto también implica crear repositorios de conocimientos, compartir experiencias, mejores prácticas y recursos. En muchos casos, las organizaciones no se enfrentan únicamente a individuos que trabajan solos, sino a organizaciones internacionales de ciberdelincuencia. Cuanto más hablemos sobre la importancia de la ciberseguridad y su papel fundamental, y cuanto más se comparta la educación, más informaremos y nutriremos a las futuras generaciones de profesionales de la ciberseguridad, que tanto necesitamos. Del mismo modo, esta conversación y colaboración debe realizarse dentro de tu organización, pues como lo hemos dicho en diversas ocasiones, la seguridad informática no es solo responsabilidad del área de tecnologías de la información.  
  • Promover plataformas tecnológicas necesarias para la seguridad informática:  Desgraciadamente, la mayor parte de infraestructura instalada en el mundo no fue diseñada tomando en cuenta la seguridad informática, y esto debe cambiar.  Hacer que la seguridad informática funcione, también requiere poder de cómputo adicional, de tal manera que los nuevos productos, dispositivos, infraestructura y soluciones tecnológicas de todo el mundo, deben contar este poder de cómputo adicional.  Muchas empresas todavía tienen una plataforma de seguridad informática que concentra todo su poder de cómputo en ciertos “appliances”, pero esto debe cambiar. Poco a poco se están diseñando soluciones que integren la seguridad informática en cada uno de sus puntos. La capacidad de ofrecer una seguridad sólida en toda la red, con baja latencia y alto rendimiento, es una funcionalidad crítica que buscan las organizaciones, especialmente con el despliegue de redes 5G. Un enfoque centralizado ya no es sostenible. 

En los siguientes años, veremos mayores amenazas de seguridad informática, pero también podemos tener un futuro donde las organizaciones de todo el mundo estén preparadas para enfrentar estos retos. 

Las principales habilidades que requieres para ser un CISO

La seguridad informática ha tomado gran relevancia especialmente en grandes corporaciones y empresas alrededor de todo el mundo y poco a poco su importancia se está extendiendo en el segmento de las pequeñas y medianas empresas.  Dentro de este mundo con cada vez más riesgos cibernéticos, una de las figuras que cada vez más está tomando relevancia en el mundo empresarial es el Oficial de seguridad de la información o Chief information security officer. La seguridad informática ha dejado de ser un tema de tecnología para ser considerado ahora un tema de continuidad de negocio.  El puesto del CISO también se ha transformado y ha pasado de ser un puesto dentro de la estructura del área de tecnología a incluso ocupar un asiento en la mesa directiva de las empresas.  Bajo esta perspectiva, las habilidades requeridas han dejado de ser exclusivamente técnicas y aquellos CISOs que deseen desempeñar un buen trabajo, deben fortalecer diversas habilidades para hacer frente a los nuevos retos.   Hoy en día, los CISOs deben concentrarse en desarrollar las siguientes habilidades:

  • Habilidades de gestión de crisis: Por mejor que el CISO en conjunto con su equipo realicen bien su trabajo, siempre se enfrentarán a situaciones de crisis, de una u otra manera, estas situaciones son inevitables.  En el caso de un ataque cibernético, la organización tendrá que solventar una crisis y el CISO tendrá que hablar con la alta dirección, analizar el impacto que tuvo para el negocio el ataque, resolver o mitigar los daños causados, hablar con las áreas afectadas e incluso hablar con las áreas legales y de comunicación de la empresa.  Aunque es cierto que las organizaciones deben tener un protocolo para cuando ocurre un ataque cibernético, no se evitará que algunos integrantes de la organización entren en pánico. Un CISO debe ser capaz de realizar su trabajo incluso bajo condiciones de crisis y tener un balance adecuado entre habilidades técnicas y habilidades blandas o soft skills.
  • Habilidades de comunicación y presentación:  El ocupar un asiento en la mesa directiva de una empresa, implica interactuar con otros puestos de alto nivel de la empresa, incluyendo el CEO.   El gran reto es interactuar con un grupo de ejecutivos de alto nivel en un lenguaje común para ambos.  Muchos CISOs han fracasado por el simple hecho de no lograr comunicarse en términos de negocio y utilizar un lenguaje que solo el área de tecnología entiende.  Uno de los desafíos más grandes que tiene un CISO es hacer entender a la alta dirección que la seguridad informática no es un tema de tecnología sino un tema de continuidad de negocio.   Si intentas hablar con el CFO sobre un incremento en el presupuesto para seguridad informática utilizando argumentos técnicos, déjame decirte que estas perdido. Los CISOs deben tener habilidades de comunicación con la capacidad de adaptar la información y crear argumentos sólidos dependiendo de la audiencia.
  • Visión de negocios: Aunque a los CISOs les apasionen los temas técnicos, deben entender que su principal rol dentro de la organización es asegurara la continuidad de negocio y, sobre todo, ver la seguridad informática como algo que debe estar presente desde el diseño de cada una de las soluciones, procesos e iniciativas que involucren el uso de plataformas digitales.  Incluso, existen muchos CISOs   exitosos y que quizás no tienen las mejores credenciales técnicas, pero entienden perfectamente el rol actual de la seguridad informática en cada uno de los procesos de negocio de la empresa.
  •  Capacidad analítica y de resolución de problemas: Un CISO en conjunto con su equipo de trabajo, se desempeñan en un ambiente muy cambiante, en el cual se enfrentarán a nuevos retos y problemas.   El CISO debe tener una capacidad analítica que le permita resolver cada uno de los problemas a los cuales se enfrentan y en muchos casos, encontrar soluciones contra reloj.  Como lo mencionamos previamente el CISO debe asegurarse que la seguridad informática sea parte de diversos proyectos de la organización desde su diseño, y debe encontrar un balance entre seguridad informática y agilidad de negocio. Debido a esto, no puede ser el director de la oficina del NO sino más bien, encontrar soluciones a los retos planteados.

Los CISOs tomarán cada vez más relevancia en las organizaciones, si eres parte del mundo de la seguridad informática, y te gustaría llegar a ser un CISO, debes fortaleces todas estas habilidades

Errores comunes de seguridad en la nube que ponen en riesgo sus datos

Así es, la nube ofrece muchas ventajas para empresas de todos los tamaños, pero si y solo si, se evitan errores a la hora de configurarlos, supervisarlos y asignar permisos de acceso.  Los proveedores de servicios en la nube no tienen el 100% de la responsabilidad de tus servicios y datos, así que tú debes tomar las precauciones necesarias para evitar el robo o acceso no autorizado a tu plataforma. En el podcast del día de hoy, te hablaré de algunos de los errores más comunes al respecto:  

  • Falta de protección de aplicaciones:  Los firewalls de red no son suficientes cuando se trata de monitorear y proteger las aplicaciones web que tienes en la nube.  Los ataques a este tipo de aplicaciones se han duplicado en lo que va del año y debemos asegurarnos de ofrecer protección a nivel aplicación. Los sitios basados en WordPress son particularmente vulnerables, y hoy en día, cerca de un millón de sitios están en riesgo.  
  • No entender adecuadamente el uso de permisos:  No todas las acciones y procesos deben ejecutarse con permisos de administrador, sin embargo, esta es una práctica común. Si bien no es un problema exclusivo de la nube, las máquinas virtuales y contenedores pueden ser utilizados por usuarios con demasiados privilegios y si alguna de estas cuentas resulta comprometida, podría ser peligroso para tu plataforma. Asigna a los usuarios cuentas exclusivamente con los permisos que necesitan y evita usar los mismos usuarios o contraseñas para todos los servicios.  
  • Dejar puertos abiertos que no son necesarios:  En ocasiones, los servicios en la nube vienen con configuraciones por default, dejando varios de los puertos expuestos; en otros casos, durante el proceso de configuración y despliegue de los servicios abrimos varios puertos para facilitar la instalación y configuración.  El gran error es dejar abiertos aquellos puertos que no son necesarios para la operación del servicio y esto puede causar serios problemas, por ser entradas no monitoreadas. Ten mucho cuidado con este tema.  
  • No monitorear los accesos remotos:  La mayoría de los servidores en la nube tienen una variedad de formas para conectarse de forma remota, como RDP, SSH y consolas web. Todo puede verse comprometido con las credenciales correctas, contraseñas deficientes o puertos desprotegidos. Limita el acceso a través de usos de VPNs o áreas específicas, porque en realidad no requieres que tu servidor tenga acceso remoto desde China, ¿o sí? 
  • No monitorear los logs: ¿Cuándo fue la última vez que revistaste los logs de tus servidores o aplicaciones? Si no lo recuerdas, estás en problemas. Revisarlos únicamente cuando tienes problemas es una muy mala práctica, debes contar con procesos que monitoreen constantemente lo que pasa en tu red o en tus aplicaciones.  Al mismo tiempo, debes asegurarte de que lo que estás registrando tenga sentido y una utilidad verdadera. Piensa especialmente qué información requieres para realizar un diagnóstico adecuado de tu plataforma.  
  • No aplicar parches a los servidores: El hecho de que tengas servidores basados en la nube no significa que automáticamente aplicarán parches o se actualizarán a las últimas versiones (aunque algunos proveedores de servicios administrados y de alojamiento en la nube, ofrecen este servicio). Un gran número de empresas han tenido problemas en su infraestructura de servicios en la nube por contar con servidores no actualizados. Tus servidores en la nube deben ser tratados de la misma manera que los que tienes en tu centro de datos, en términos de actualizaciones.  
  • No administrar adecuadamente tus claves: ¿Dónde almacenas tus claves de cifrado, contraseñas de administrador y claves API? Si tu respuesta es en un archivo de texto local en tu computadora, o peor aún, en un post-it, estás en serios problemas.  Debes proteger mejor estos datos y compartirlos con el menor número de personas y desarrolladores posibles. 

Estos son solo algunos ejemplos de errores comunes que pueden poner en graves problemas a tu infraestructura en la nube. Si algunos de estos casos se te hicieron familiares, es el momento de poner manos a la obra.  

El rol de la seguridad informática en la transformación digital

En los últimos años, hemos visto una transformación digital acelerada de miles de empresas.  El uso de servicios en la nube para soportar procesos de negocio es una práctica que se está volviendo cada vez más común en el mundo empresarial, especialmente por la promesa de que, a través de su uso, se puede acelerar la creación de nuevos servicios digitales. Al mismo tiempo, las empresas están acelerando la adopción de iniciativas como Agile y DevOp. Aunque todo este proceso resulta ser muy positivo, en la mayoría de los casos se está dejando a un lado la seguridad informática, y un gran número de empresas ya están sufriendo fallas importantes en su servicio debido a la incapacidad de los equipos de tecnología para administrar el riesgo digital. 

Del otro lado de la moneda, el 80% de los CEOs de las empresas más importantes del mundo, consideran que los ataques cibernéticos son una de las prioridades en la gestión de riesgos de sus organizaciones. Aunque cada vez existe una mayor conciencia del tema, todavía es muy difícil que los temas de seguridad se consideren en las primeras etapas del desarrollo de los proyectos. De manera general, se están construyendo soluciones digitales y posteriormente, se busca cómo mejorar la seguridad. Esta visión puede resultar muy cara para las empresas, ya que, en muchos casos, solo se están parchando las soluciones digitales.  Las inversiones en proyectos de transformación digital simplemente no tienen sentido si no pueden proteger a la empresa, a los clientes y demás activos importantes para las organizaciones.  Esto contrasta de manera importante con la agenda de los CIOs de las grandes empresas, ya que hoy en día, las inversiones en seguridad informática ya son la segunda prioridad de inversión, tan solo detrás de los servicios en la nube.  Es cierto, el mundo de hoy exige a las empresas cuna mayor agilidad de cambio y adaptación del mercado, pero todo lo que se podría ganar podría perderse si, desde el inicio, no se considera la ciberseguridad en el desarrollo de las soluciones digitales. 

Debemos estar cada vez más preparados para los riesgos adicionales que trae consigo la transformación digital. Las empresas dependen en mayor medida de las plataformas digitales para operar sus procesos de negocio y por supuesto que esto ha traído grandes beneficios, pero al mismo tiempo, también ha hecho que la continuidad de negocio dependa en gran medida de no ser víctimas de algún ataque cibernético que ponga en riesgo el negocio entero. Las empresas que han sido víctimas de grandes ataques informáticos han tenido serios problemas al recuperarse y no solo por los procesos internos, sino más bien por la percepción de sus clientes y de la opinión pública.  

Además de que las mesas directivas de todas las empresas deben tener en mente la seguridad informática cuando se hable de transformación digital, los equipos de ciber-seguridad también deben transformarse. El gran reto es cómo agregar seguridad a la velocidad necesaria de la transformación digital y garantizar estar presente en todas las etapas del desarrollo. Los equipos de seguridad informática también tienen que entender de una mejor manera, los procesos de negocio de la empresa, y replantear su rol dentro de la organización. Los equipos de seguridad están aprendiendo a que no pueden ser la “Oficina del No” todo el tiempo, sino que deben ser ágiles, flexibles y ser vistos como un facilitador, en lugar de un bloqueador.  Del mismo modo, los CISOs también deben evolucionar y asumir el papel de asesor interno y colaborador con los departamentos que están implementando procesos y proyectos de transformación digital o implantación de nuevas tecnologías y herramientas digitales.  

Las empresas deben enfocarse en cómo hacer las cosas lo más rápido posible, pero de manera segura.