Prevención / Protección

No existe la ciberseguridad infalible. No importa cuántos millones de euros gaste una organización en seguridad en línea, algún hacker, en algún lugar, en algún momento, puede entrar con éxito. Un ejemplo común es JPMorgan Chase, que gastó cerca de $ 100 millones para apuntalar sus sistemas y solo encuentra sus sistemas pirateados y los datos confidenciales en riesgo.

El hecho de que los piratas informáticos tengan la capacidad de superar continuamente los firewalls no significa que las personas y las organizaciones deban simplemente sentarse y esperar lo inevitable. Hay pasos para minimizar el riesgo y, por lo tanto, eludir potencialmente una violación de datos.

A continuación, encontrarás los métodos actuales que utilizan los piratas informáticos, junto con las mejores prácticas de medidas preventivas para proteger tus sistemas de dichos ataques.

La prevención es la mejor defensa en ciberseguridad

Si bien es la solución óptima, prevenir una violación de datos no es ni simple ni fácil (cuando se habilitan suficientes salvaguardas). Al ser una organización proactiva se encuentran enfrentando la difícil situación de tener que estar preparados para algo que aún no ha sucedido; tienen que pronosticar los riesgos futuros de amenazas cibernéticas y de privacidad. Hacerlo a menudo implica analizar detenidamente montañas de datos para encontrar una aguja en el pajar: una pieza de malware o una amenaza que puede comprometer datos críticos.

A veces, como lo demuestran claramente las infracciones recientes que se han hecho públicas, estas amenazas pueden perderse en el ruido. Además, la mayor ventaja de la industria tecnológica es también su talón de Aquiles: sus rápidas actualizaciones. Los ciclos de productos se mueven rápido, pero los pilares tecnológicos, como las actualizaciones de software y los parches, se mueven aún más rápido. Se necesita personal dedicado para que las organizaciones se mantengan al día.

Hoy en día, la seguridad no es solo una puerta cerrada con llave. Las brechas digitales son robos que ocurren a cualquier hora, sin ningún aviso y con poca o ninguna evidencia inmediata, por lo que necesitas un buen sistema de ciberseguridad.

Si falta la configuración de la red y el programa de educación de los empleados, aumenta la exposición a riesgos y responsabilidades graves. Puede resultar en la pérdida potencial de activos digitales valiosos, especialmente información del cliente. Este pensamiento puede asustarte, ¡pero no te desesperes! Estar informado de estos problemas es la mayor defensa que puede tener una organización.

Realizar una evaluación de ciberseguridad

Las etapas de prevención y detección de la seguridad (aquellas antes de que ocurra una infracción) generalmente se informan mediante una evaluación de seguridad digital, que va más allá de simplemente probar la red de una organización en busca de vulnerabilidades. Una evaluación permite obtener una imagen más completa de la postura de seguridad de una organización, centrándose en las políticas, los controles y los procedimientos, así como en la eficacia de su implementación.

La infraestructura tecnológica es a menudo un asunto de «configúrelo y olvídelo». ¿Con qué frecuencia haces clic en «recordarme» al iniciar sesión en un sitio visitado con frecuencia para evitar la molestia del proceso de inicio de sesión la próxima vez? Esencialmente, la infraestructura digital se instala, configura y luego nunca se vuelve a tocar. Para mantener un entorno digital seguro, es imperativo probar, probar y probar un poco más.

Evaluar el elemento humano en la ciberseguridad

Cuando se trata de cuestiones de ciberseguridad de la información, el elemento humano es tan importante como la tecnología en sí. Quizás aún más.

El hardware y el software requieren la participación humana regular para asegurarse de que los dispositivos tengan las últimas actualizaciones, parches de seguridad, etc. Por lo tanto, el elemento humano de la ciberseguridad es el aspecto más importante de la postura de seguridad de una organización. Solo se puede lograr fomentando una cultura de seguridad lograda a través de la educación y la implementación de una política escrita de uso digital.

Considera la psicología de un pirata informático al evaluar el papel de las vulnerabilidades humanas en la determinación de la viabilidad de las prácticas de ciberseguridad de una organización.

El término «hacker» es interesante por su capacidad para evocar una noción vaga, aunque ampliamente aceptada, del ciberdelincuente. La visión es bastante común: un individuo desaliñado con desafíos sociales, encorvado en una silla giratoria, escribiendo rápidamente en un teclado mientras indescifrables corrientes de dígitos corren por la pantalla de la computadora.

En comparación con otros delincuentes, el hacker sigue siendo en gran medida una entidad impersonal desconocida, intrínsecamente vinculada a una era moderna de avances tecnológicos. Sin embargo, lo que a menudo se olvida es que, aunque los piratas informáticos son principalmente reconocidos por sus habilidades para manipular la tecnología, pueden ser igualmente hábiles para manipular a las personas.

Los procedimientos de ciberseguridad dependen en gran medida de la participación y las interacciones humanas. El primer paso de un esquema de piratería, el punto crucial en el que se determina la probabilidad de una violación de datos, puede comenzar a nivel humano. El personal desprevenido puede encontrarse con un pirata informático sin siquiera darse cuenta, dándoles acceso a datos confidenciales simplemente ofreciendo una contraseña de Wi-Fi o credenciales de inicio de sesión.

Por otro lado, los empleados pueden descargar malware sin darse cuenta, como a través de descargas ilegales o torrents de películas y aplicaciones. Estos hábitos de navegación inseguros pueden conducir a una infección de malware, ya menudo lo hacen.

No confíes en una aplicación de escaneo de correo electrónico o una carpeta de correo no deseado para evitar que los mensajes lleguen a la bandeja de entrada. El trabajo de un hacker va más allá de la explotación de vulnerabilidades estrictamente digitales; los exitosos buscan vulnerabilidades humanas.

Cuidado con la agresión del phishing

Para evaluar y reaccionar ante el peligro que representan los seres humanos para la seguridad digital, es importante saber qué están haciendo los «malos». Si bien los piratas informáticos externos tienen un arsenal diverso de técnicas, hay algunas que son más pertinentes considerando que pueden afectar a cualquier empleado dentro de una organización. Los piratas informáticos a menudo se denominan «ingenieros sociales», ya que intentan manipular y engañar a sus objetivos para darles acceso.

Uno de los ejemplos de piratería más destacados es el «phishing». El phishing es el proceso mediante el cual los ladrones cibernéticos pueden atraer a víctimas desprevenidas a un enlace malicioso que luego ejecuta malware. Estos enlaces maliciosos se presentan a un usuario a través de un mensaje de correo electrónico. Esto es cuando un usuario, sin saberlo, inicia el malware accediendo al servidor web malicioso.

Aún más inquietante, aunque similar, es un ataque de «spear-phishing». A diferencia de un ataque de phishing, el spear-phishing es un ataque dirigido. Los ciberdelincuentes recopilan información sobre una víctima, que luego se utiliza para construir un correo electrónico fraudulento destinado a engañar a la víctima. En lugar de ser obviamente nefastos, estos correos electrónicos son muy realistas y se adaptan a la persona a la que los piratas informáticos intentan engañar.

Debido a su naturaleza, los ataques de phishing no son problemáticos a menos que un usuario haga clic físicamente en el enlace al servidor web malicioso. Para evitar esto dentro de una organización, el personal debe estar capacitado para identificar enlaces falsos. Antes de hacer clic en el enlace, «coloca el cursor» sobre él para ver la URL verdadera o, mejor aún, capacita a los empleados para que escriban manualmente la dirección web a la que necesitan acceder en un navegador web.

Proporcionar al departamento de TI herramientas útiles

Si bien un programa de capacitación universal destinado a informar a todos los empleados de su rol en la postura de seguridad es fundamental, también es importante garantizar que el equipo de tecnología de la información (TI) se mantenga al tanto de los avances actuales en seguridad y tenga los recursos para minimizar las vulnerabilidades.

A menudo, el personal de TI está más preocupado por asegurarse de que la tecnología se implemente para la productividad, no necesariamente para la seguridad. Los activos digitales varían para cada organización, lo que dificulta la definición de medidas preventivas específicas. En general, la prevención de ataques y amenazas debe auditarse constantemente para que se pueda crear y ejecutar una política de seguridad de la información específica dentro del contexto específico de una organización.

Como ejemplo general, las aplicaciones de software desactualizadas y sin parches representan un riesgo grave. Los ciberdelincuentes a menudo se dirigen a software obsoleto más antiguo debido a su longevidad. Es decir, cuanto más tiempo esté disponible una pieza de software, más tiempo tendrán los ciberdelincuentes para desarrollar malware basado en un exploit establecido que no será, o aún no ha sido, reparado por el desarrollador.

En muchas industrias, incluida la atención médica, la tecnología heredada se está convirtiendo en un problema grave como vía para el robo de datos. Además, las medidas preventivas pueden resultar caras. Sin embargo, el equipo de TI o el equipo de seguridad de la información de una organización tiene una gran ventaja sobre las amenazas externas: saben dónde están los datos valiosos.

El conocimiento profundo de la infraestructura de una organización es una ventaja considerable contra las amenazas externas. En consecuencia, vale la pena invertir en las personas que más lo conocen. Las vías por las que los datos pueden ser víctimas de un ataque remoto son tan innumerables como los contextos únicos de software y hardware de las empresas de todo el mundo. Mantener un equipo bien equipado es clave para una postura de seguridad sólida.

Limitar el acceso a información crítica

Una pieza del rompecabezas de la seguridad de datos preventiva que a menudo se analiza poco son los controles de acceso a los datos. En pocas palabras, no todos los empleados de una organización deberían tener acceso completo a todos los datos.

Incluso en el caso de TI, muchos recomiendan que los miembros del equipo utilicen credenciales sin privilegios para las actividades diarias. Este es un paso central para minimizar el riesgo, ya que reduce inherentemente la cantidad de puntos de acceso para que los datos salgan de los límites de la red de una organización. Más credenciales privilegiadas significan más credenciales que elevan la amenaza de piratería externa.

En consonancia con esto, también es fundamental tener en cuenta las amenazas internas. Por ejemplo, un empleado descontento obtiene acceso a datos confidenciales, los roba y los publica públicamente en línea.

Limitar el acceso a datos críticos según sea necesario puede, en algunos casos, eliminar este riesgo de forma preventiva. Las personas son el mayor activo de una empresa, pero también el mayor pasivo en lo que respecta a la seguridad de la información. El conocimiento y la implementación de políticas es clave para mantener esa «cultura de seguridad».

Reconocer los riesgos de BYOD

Practicar y aplicar controles de seguridad y acceso a los datos es fundamental tanto dentro como fuera de la oficina. La informática móvil revolucionó todo, desde el mantenimiento de la ciberseguridad hasta políticas razonables. Es cada vez más común que los empleados se lleven a casa datos confidenciales (en memorias USB, computadoras portátiles, teléfonos, correos electrónicos, servicios en la nube, etc.).

Con respecto a la política, muchas organizaciones y sus agentes favorecen los beneficios de costes y la elección del permiso de traer su propio dispositivo (BYOD), que permite a los empleados usar sus dispositivos personales, particularmente dispositivos móviles, para almacenar y acceder a los datos de la empresa.

Desafortunadamente, en la mayoría de los casos, esta política renuncia a alguna estrategia de seguridad universal definida e inherentemente le da a la organización menos control de datos. Las herramientas de administración de dispositivos móviles estándar no se suelen aplicar ni instalar en los dispositivos personales de los empleados.

BYOD también puede invitar a conexiones no autorizadas de una organización a Internet. Muchos teléfonos inteligentes ofrecen conexión compartida de dispositivos, mediante la cual otros dispositivos comparten la conexión de datos móviles del teléfono. Este tipo de actividad de red no forma parte de la red de una organización y, por lo tanto, no se puede monitorear para detectar conexiones sospechosas.

Antes de simplemente aceptar BYOD como un enfoque rentable y deseado, asegúrate de que la organización comprenda las reglas, los riesgos y las recompensas de la nueva política. Si la organización implementa BYOD, hazlo de tal manera que la organización mantenga un mínimo de control.

Además, ten en cuenta las ramificaciones legales y determina si existen preocupaciones regulatorias especiales en una determinada industria que deban integrarse en las políticas de BYOD y de computación móvil. En algunas industrias, como la atención médica, la falta de una política y un control de seguridad de datos centrales abre riesgos de responsabilidad grave.

Mira más allá de tus empleados

El control de datos va más allá de los empleados. Más bien, se extiende para incluir a cualquier entidad que pueda almacenar, acceder o utilizar los datos confidenciales de una empresa, incluidos los proveedores externos.

Desarrolla contratos que protejan a la organización, particularmente aquellos que utilizan proveedores externos. Los proveedores de terceros pueden introducir fallos de seguridad y vulnerabilidades, pero no cumplir con los estándares de riesgo digital adecuados y necesarios. No hacerlo puede resultar en una catástrofe digital.

Esto se evidencia mejor con el ejemplo de la devastadora violación de tarjetas de crédito que Target experimentó a fines de 2013. Target parecía tener los controles adecuados en su lugar con dispositivos de seguridad y TI dedicados. Pensando que todo estaba bien con sus prácticas de seguridad, la gerencia pasó por alto un tema crítico. Target permitió que el proveedor de servicios de calefacción, ventilación y aire acondicionado (HVAC) externo se conectara a la misma red responsable del tráfico de Internet de los dispositivos de punto de venta. Este es un ejemplo de dónde los fallos en la ejecución humana hacen que las buenas medidas técnicas de seguridad sean ineficaces .

Al igual que Target, ha habido otras infracciones en las que las empresas más grandes no auditan a los proveedores externos, como el Boston Medical Center y Goodwill.

A menudo, los proveedores externos más pequeños son una especie de «trampolín» de piratería: comprometen su información para llegar a sus clientes más grandes que tienen datos más valiosos. Esto es especialmente cierto hoy en día, ya que incluso las empresas más pequeñas tienen presencia digital. Una vez más, una empresa puede tener todos los controles adecuados en sus propias oficinas, pero la información confidencial con sus proveedores podría verse comprometida.

No pases por alto la importancia de las copias de seguridad de datos

Además del riesgo de comprometer los datos, la pérdida de datos por completo puede ser aún más devastadora. Si bien la mayoría de las grandes corporaciones pueden permitirse mantener sus datos confidenciales en varias ubicaciones, otras no pueden.

Independientemente del tamaño de una organización, las estaciones de trabajo individuales pueden contener datos importantes del cliente que deben respaldarse periódicamente. No importa cuántas copias de seguridad mantenga una organización, es importante no empantanarse por el volumen total y prepararse para lo peor: un huracán, un tornado o algún otro desastre natural que podría destruir los datos de toda una organización de una sola vez.

El ransomware es un malware que busca explotar a las víctimas encriptando sus archivos. Al hacer clic en un enlace en una ventana emergente, se descarga accidentalmente; o a través de un correo electrónico de «phishing». Una vez ejecutado, el pirata informático notifica al usuario que bloqueó los archivos porque cometió un delito y que debe enviar dinero para la clave de descifrado dentro de un cierto período de tiempo o sus archivos serán inaccesibles para siempre.

Desafortunadamente, pagar el “rescate” no suele desbloquear los archivos, sino que solo sirve para llenar los bolsillos de los extorsionistas. Esta infección de ransomware provoca una reflexión sobre algo que se pasa por alto como un riesgo grave para la actividad comercial diaria: copias de seguridad de datos, fuera del sitio o de otro modo.

Desarrollar una cultura de seguridad

Es importante auditar todos los controles para evitar ataques derivados de amenazas internas y externas. Asegúrate de que estos controles estén en su lugar, sean efectivos e intenten penetrar en la infraestructura digital de tu organización. Debe haber un enfoque en capas para la seguridad de la información.

En otras palabras, las organizaciones no solo deben tener una cerca digital, sino también una puerta de entrada cerrada. Además de tener simplemente «cerraduras» y «vallas», asegúrate de que haya una sesión de información sobre políticas. Esta sesión debe enseñar a las personas de manera efectiva cómo mantener la puerta cerrada y la puerta bloqueada.

La incorporación de estas disposiciones en la política y la ejecución de esa política a través de programas de capacitación de empleados, mueve a las organizaciones a una postura de seguridad más sólida. Crear una atmósfera para una seguridad efectiva es tan importante como las prácticas de seguridad en sí mismas.

El equilibrio clave entre los costes y la preparación es algo a considerar y es mucho más económico que las consecuencias de una infracción. Cuando se trata de seguridad, la prevención es sin duda la primera opción.

¿Qué sucede si una organización toma todas las medidas preventivas, pero aún así pierden datos? La tecnología se actualiza constantemente con nuevas medidas de seguridad, pero los ciberdelincuentes van un paso por delante de las últimas medidas de seguridad preventivas. Una de las principales razones de su persistencia es que los datos de una organización objetivo son sumamente valiosos.

En la historia reciente, las tarjetas de crédito han sido un objetivo obvio por el claro valor monetario que tienen. Estas infracciones han dominado los titulares y son un efecto secundario desafortunado de nuestra mayor dependencia de las comodidades de la tecnología crediticia.

Reconocer el valor de los datos

No muy diferente de las violaciones recientes de tarjetas de crédito, los piratas informáticos se dirigen constantemente a los datos de salud porque los datos de salud son valiosos, ya sea para recopilar información sobre personas específicas o como una herramienta para el robo de identidad. Los nombres de los pacientes, las fechas de nacimiento, la información de facturación y los historiales médicos tienen el potencial de generar complejos esquemas de robo de identidad y fraude médico.

Sin embargo, lo que es más importante, estos datos tienen un mercado en la «Dark Web» fuera de los responsables de robarlos. Debajo de la superficie de Internet se esconde la Dark Web, donde los delincuentes comercializan una variedad de bienes y servicios diferentes, desde pasaportes y drogas hasta servicios de «alquiler de piratas informáticos» con el propósito de arruinar la vida de alguien. Gracias a la Dark Web, los datos de clientes robados de todo tipo tienen un mercado, aumentando así su atractivo.

Incluso si una organización realiza una auditoría de todos los controles y políticas de seguridad, se podría encontrar un nuevo exploit al día siguiente, anulando una factura limpia de seguridad.