Actualmente, a las organizaciones les toma 277 días identificar y contener una violación de datos de acuerdo a informe de especialistas. Tan sólo para el cierre del 2023, se estima que las empresas invertirán 219,000 millones de dólares, lo que representa un incremento del 12.1% en comparación con 2022. En México, esta inversión se espera que sea un 14% más respecto al año pasado.

Seguir leyendo…

Los ataques internos a menudo toman a las organizaciones por sorpresa porque son difíciles de detectar.

Apostar por soluciones reactivas como software antivirus o una solución de administración de parchespara evitar tales ataques no es prudente.

Comprender qué contribuye al creciente número de amenazas internas y abordar estos factores es la única forma de proteger su empresa contra tales ataques.

Un ataque interno a menudo se define como un exploit por intrusos maliciosos dentro de una organización.

Este tipo de ataque generalmente se dirige a datos inseguros. Las amenazas internas pueden acechar dentro de cualquier empresa; En algunas industrias, pueden representar más del 70% de los ataques cibernéticos.

La mayoría de las veces, los ataques internos se descuidan. Tal vez por eso han estado en constante aumento.

Una encuesta realizada por CA Technologies en 2018 encontró que alrededor del 90% de las organizaciones se sienten vulnerables a los ataques internos.

Las organizaciones también sienten que los datos más vulnerables a los ataques internos son la información personal confidencial (49%), la propiedad intelectual (32%), los datos de los empleados (31%) y la información de cuentas privilegiadas (52%).

Muchos ataques internos están asociados con privilegios de acceso excesivos. Si bien puede ser desagradable o inconveniente no confiar en los empleados, las organizaciones deben estar atentas.

Clasificación de tres tipos de amenazas internas

1. Usuarios malintencionados: usan intencionalmente su acceso a datos confidenciales para dañar a la empresa.
2. Usuarios descuidados: representan una amenaza no intencional debido a un error humano o violaciones de la política de seguridad.
3. Usuarios comprometidos: Usuarios cuyas cuentas están comprometidas y son utilizadas por ciberdelincuentes.

Esto se puede lograr mediante el monitoreo de posibles fuentes de ataques cibernéticos. Un gran problema es que muchas empresas desconocen cómo identificar y combatir las amenazas internas.

Entonces surgen preguntas: ¿Dónde puede encontrar las mejores herramientas de seguridad de red para obtener más conocimientos sobre la lucha contra los ataques internos? ¿Qué estándares de seguridad debe seguir para mantenerse dentro de los requisitos de cumplimiento de seguridad de su industria y proteger mejor sus activos digitales? ¿Cómo se diferencia entre una información privilegiada maliciosa y una no maliciosa?

Advertencias de amenazas internas que debe tener en cuenta

Aquí hay algunas señales reveladoras que puede monitorear para evitar un ataque interno. Esté atento a cualquier persona que:

• Descarga grandes cantidades de datos en dispositivos portátiles personales o intenta acceder a datos que normalmente no utilizan para su trabajo diario.
• Solicita acceso a la red o a los datos a recursos no necesarios para su trabajo, o busca e intenta acceder a datos confidenciales.
• Envía por correo electrónico información confidencial a una cuenta de correo electrónico personal o a personas ajenas a su organización.
• Accede a la red y a los datos corporativos fuera del horario laboral habitual.
• Exhibe actitudes o comportamientos negativos, por ejemplo, un empleado descontento que abandona la organización.
• Ignora las mejores prácticas de concienciación sobre seguridad, como bloquear pantallas, no usar USB o unidades externas, no compartir contraseñas y cuentas de usuario, o no tomar en serio las amenazas cibernéticas.

Una vez que haya comenzado a monitorear, puede implementar medidas de seguridad para evitar que ocurran ataques. Hemos reunido una breve lista de soluciones para frenar las amenazas internas.

1. Confianza cero

Zero Trust, una nueva palabra de moda en ciberseguridad, es un enfoque holístico para reforzar la seguridad de la red mediante la identificación y concesión de acceso, o “confianza”.

No hay ninguna herramienta o software específico asociado con este enfoque, pero las organizaciones deben seguir ciertos principios para mantenerse seguras.

Más usuarios, aplicaciones y servidores y la adopción de varios dispositivos IoT amplía el perímetro de su red.

¿Cómo ejerces control y reduces tu superficie de ataque general en tales casos?

¿Cómo puede asegurarse de que se concede el acceso correcto a cada usuario?

La seguridad de TI en algunas organizaciones refleja la antigua mentalidad de defensa de castillo y foso de que todo lo que está dentro del perímetro de una organización debe ser confiable, mientras que todo lo que está fuera no debería.

Este concepto se centra demasiado en la confianza y tiende a olvidar que podríamos saber poco sobre las intenciones de aquellos que consideramos “iniciados”.

El remedio es Zero Trust, que revoca los privilegios de acceso excesivos de usuarios y dispositivos sin la autenticación de identidad adecuada.

Al implementar Zero Trust, puede:

• Comprenda las necesidades de acceso de su organización.
• Disminuya el riesgo mediante la supervisión del tráfico de dispositivos y usuarios.
• Reduzca el potencial de una violación.
• Aumente profundamente la agilidad de su negocio.

2. Gestión de acceso privilegiado

La administración de acceso privilegiado (PAM) significa extender los derechos de acceso a personas de confianza dentro de una organización.

Un usuario privilegiado tiene acceso administrativo a sistemas y aplicaciones críticos.

Por ejemplo, si un administrador de TI puede copiar archivos de su PC a una tarjeta de memoria, se dice que tiene el privilegio de acceder a datos confidenciales dentro de su red.

Esto también se aplica al acceso a los datos a través de dispositivos físicos, el inicio de sesión y el uso de diferentes aplicaciones y cuentas asociadas con la organización.

Un usuario privilegiado con intenciones maliciosas podría secuestrar archivos y exigir que su organización pague un rescate.

PAM requiere un poco de esfuerzo, pero puedes comenzar de manera simple. Por ejemplo, puede eliminar el acceso de un empleado a los datos asociados con su rol anterior.

Considere que un empleado pasa de las finanzas a las ventas. En este caso, los derechos de acceso a datos financieros críticos deben ser revocados porque no queremos arriesgar la seguridad financiera de la organización.

Al implementar PAM, puede:

• Haga que tratar con dispositivos y usuarios de terceros sea más seguro y accesible.
• Proteja su contraseña y otras credenciales confidenciales para que no caigan en las manos equivocadas.
• Elimine el exceso de dispositivos y usuarios con acceso a datos confidenciales.
• Administre el acceso de emergencia cuando sea necesario.

3. Capacitación obligatoria en seguridad para empleados existentes y nuevos

No todos los ataques internos son intencionales; Algunos ocurren debido a negligencia o falta de conciencia.

Las organizaciones deben hacer obligatorio que todos sus empleados se sometan regularmente a sesiones básicas de capacitación sobre seguridad y conciencia de privacidad.

Los empleados también pueden ser interrogados sobre estas sesiones para que la capacitación sea más efectiva.

Asegurarse de que los empleados estén familiarizados con las consecuencias de costos que la negligencia puede causar a la organización puede ayudar a prevenir significativamente las amenazas internas no intencionales.

Con tanto que perder, es una maravilla que más empresas no estén tomando medidas para reducir sus posibilidades de sufrir un ataque interno.

Como se mencionó anteriormente, ningún software o herramienta en particular está detrás de los enfoques de seguridad mencionados anteriormente.

Más bien, su organización debe abordar estos aspectos mientras desarrolla una solución de seguridad propia o utiliza un servicio o producto similar de un proveedor.

Al hacerlo, puede proteger a su organización de malos actores dentro o fuera de su organización.

Sin embargo, para abordar específicamente la amenaza planteada por los iniciados que regularmente hacen un mal uso de sus credenciales de acceso o hacen funcionar dispositivos plug-and-play maliciosos, recomendamos buscar otros protocolos de seguridad, como la gestión de identidad y acceso y el análisis del comportamiento del usuario, para evitar contratiempos de seguridad interna.

Fuente de información: gbhackers.com

Descargar archivo en PDF

Imaginemos el radar de un submarino de guerra que patrulla las aguas de su país. Todo está en aparente tranquilidad cuando detecta la presencia de un barco enemigo que podría resultar una amenaza. Una alerta se emite al instante y la tripulación se prepara para iniciar la ofensiva.

Si se lleva este escenario al entorno de negocios donde opera una organización, estaríamos hablando de un equipo completo de expertos en ciberseguridad que están atentos de manera permanente a detectar cualquier posible amenaza y aplicar los protocolos necesarios para responder a ellos, mucho antes de que afecten sus sistemas críticos.

Su misión es aún más contundente cuando el número de amenazas se multiplica, se abren nuevos vectores de ataque y se utilizan innovadoras técnicas y tácticas de ataque. Es por eso por lo que hoy no es suficiente monitorear y alertar sobre lo que sucede en los dispositivos, ni reaccionar a un incidente que ya haya ocurrido. Deben desarrollarse nuevos métodos de detección y respuesta para detener en seco las amenazas y riesgos.

Rumbo a la proactividad

Los servicios de detección y respuesta se están convirtiendo en puntos medulares de las operaciones de los centros de operaciones de ciberseguridad. Entre sus principales componentes figuran tecnologías como Endpoint Detection and Response (EDR) o Extended Detection and Response (XDR), los cuales tienen un rol altamente relevante en la detección de comportamientos anómalos.

Tienen, por tanto, la capacidad de aislar, detectar y bloquear en tiempo real dichos comportamientos en los endpoints y servidores, así como cuando se identifica un vector de ataque en el perímetro a fin de aislar los equipos que puedan ser blancos potenciales.

Los servicios administrados de detección y respuesta están siendo considerados por las empresas como una forma de elevar la proactividad en sus estrategias de protección.

En 2022, el tamaño del mercado global de Extended Detection and Response (XDR) estaba valorado en 754.8 millones de dólares, según datos de Grand Review Research, y se prevé que se expanda a una tasa de crecimiento anual compuesta de 20.7% de 2023 a 2030. 

La fortaleza de la detección y respuesta es integrar técnicas y tácticas de nueva generación que realicen dichas labores de manera automática, utilizando y correlacionando la tecnología de ciberseguridad, y que no solamente se pueda alertar y esperar a que los operadores o administradores de la infraestructura realicen el análisis del comportamiento malicioso detectado.

Tácticas de defensa

La detección y respuesta son el siguiente nivel evolutivo de la seguridad de las organizaciones, que integra tecnología, metodologías, capacidades analíticas, la cacería de amenazas tanto dentro como fuera, así como un profundo conocimiento de las técnicas de ataque más utilizadas. De no tener este panorama, sería muy complicado anticiparse a serias situaciones de riesgo.

Para llevar a cabo las acciones requeridas, los libros de tácticas, o playbooks, son fundamentales para poner aplicar los casos de uso que se requieren para fortalecer el entorno de protección. De hecho, la tecnología seguirá estas tácticas en caso de que se presente algún riesgo para la red.

Por ejemplo, al detectar que un endpoint o un servidor establece comunicación anómala con otro equipo fuera de la organización, los mecanismos automáticos de protección pueden aislar dichos dispositivos y detener la comunicación de inmediato.

De este modo, se elimina toda posibilidad de que se realicen los denominados movimientos laterales que los ciberdelincuentes utilizan una vez que se abren paso por un vector de ataque. En esencia, un movimiento lateral permite saltar de un servidor vulnerable a otro que no lo es para infectarlo y tomar el control mediante relaciones de confianza. De salto en salto, puede llegarse a los activos críticos de la organización.

El componente de respuesta se encarga, por tanto, de detener por completo esos movimientos laterales que potencien el riesgo de un ataque, aislando el equipo, y cortando todo contacto con la red. Es entonces que el equipo responsable realiza un análisis exhaustivo del entorno para garantizar su seguridad.

Un componente esencial

El entorno actual de riesgos y amenazas demanda que las capacidades de detección y respuesta sean parte tácita de los centros de operaciones de ciberseguridad. Deberían ser, por tanto, las capacidades mínimas necesarias que las organizaciones deberían establecer como requisito en el momento de colaborar con un tercero.

Al igual que las labores de inteligencia y de cacería de amenazas, las de detección y respuesta requieren una infraestructura integral y tecnología de punta que puede brindar un proveedor especializado que cuente con el personal capacitado y los procesos certificados que avalen que cuenta con las capacidades requeridas.

Cabe mencionar que los profesionales que deben liderar una iniciativa de esta naturaleza son los responsables de ciberseguridad, quienes trabajan en conjunto con los expertos en TI, y que deberán coordinar los esfuerzos de comunicación con los terceros que hospedan el centro de datos o los servicios de gestión de la infraestructura.

Los especialistas en ciberseguridad deben, asimismo, estar colaborar con el CISO, pues éste será el estratega con gran responsabilidad dentro de la organización, y el vínculo con la alta dirección.

Factores a considerar

Si bien han ido permeando a más organizaciones, las actividades de detección y respuesta deben seguir una planeación bien estructurada, así como los recursos tecnológicos y operativos definidos por todas las partes.

En este sentido, los encargados de la ciberseguridad deben tener tres recomendaciones en mente.

Por un lado, es recomendable focalizar los esfuerzos de protección, detección y respuesta con base en los riesgos propios de su organización. De este modo, se evita incurrir en gastos tecnológicos innecesarios y se ayudará a implementar la protección idónea para los activos de información más críticos.

De igual manera, una vez que se han definido las áreas de riesgo claves, y se han identificado los activos que se protegerán, es posible determinar cómo la implementación tecnológica puede iniciar un ciclo de mejora continua.

Finalmente, las empresas necesitan fortalecer sus capacidades metodológicas de detección y respuesta para aprovechar al máximo la tecnología especializada al nivel de endpoints y servidores. Y, a la vez, llevarlo más allá de un ámbito tecnológico, para convertirlo en una práctica de protección permanente.

Fuente de información: cio.com.mx

Descargar archivo en PDF

A medida que las superficies de ataque continúan expandiéndose y los actores de amenazas realizan ataques cada vez más audaces e impactantes, las pruebas de Red Team preparan a las organizaciones para fortalecer las defensas de seguridad al resaltar el estado de preparación de la seguridad (o la falta de ella) y encontrar un camino a seguir para combatir las amenazas cibernéticas actuales y emergentes mientras se logra una reducción significativa del riesgo.

El Red Teaming emula una serie de adversarios avanzados y ataques del mundo real para poner a prueba defensas contra exploits electrónicos, físicos y sociales. Actuando de la forma más realista posible, los equipos rojos dan los mismos pasos que daría un adversario para lograr su objetivo, que a menudo no identifica todas las vulnerabilidades, sino que se centra en encadenar sólo las necesarias para explotar y alcanzar el objetivo general del ataque.

Las soluciones de seguridad ofensiva tienen muchas formas y tamaños, por lo que es importante que los programas de los equipos rojos se diferencien de otras soluciones de seguridad, sobre todo a la hora de comunicarse con las partes interesadas. En última instancia, esto sustenta la capacidad del equipo rojo para llevar a cabo operaciones con éxito, ya que las expectativas se ponen a la vista desde el principio.

En concreto, separar las pruebas de penetración del Red Teaming es clave para distinguir los programas de emulación de adversarios y el propósito que hay detrás de ellos.

¿Cómo funciona el Red Teaming?

Red Teaming es una operación de emulación de ciberataque en la que se permite al equipo rojo aprovechar una variedad de métodos para capturar un “trofeo”. Este trofeo es identificado previamente por la organización que participa en un ejercicio de Red Teaming, y puede ser cualquier cosa que una organización considere de importancia, como información de identificación personal (PII) de clientes, acceso persistente a la red o credenciales de administrador.

Una vez determinado este trofeo por la organización objetivo, el equipo rojo trabaja desarrolla y lleva a cabo varios métodos de ataque que un adversario seguiría para capturar el trofeo. También es importante señalar que las organizaciones tienen la opción de solicitar el nivel de conocimiento que tiene el equipo rojo en el ejercicio. Puede ser uno de conocimiento cero (caja negra), o los consultores pueden tener cierto nivel de conocimiento preexistente de la arquitectura de redes y sistemas (caja gris).

El Red Teaming es, con mucho, el método más eficaz y holístico de emular cómo un atacante podría poner en peligro una organización, y saca a la luz problemas que de otro modo no habría considerado. 

Al definir los puntos en los que tiene más dificultades, la organización puede mejorar la detección y la respuesta, y disminuir el riesgo de que un atacante encuentre una vulnerabilidad conocida ya explotada en diversos ambientes.

En los últimos 30 años, los equipos rojos han pasado de ser una práctica militar esotérica a un servicio comercial generalizado. Los equipos rojos pueden ofrecer aún más valor a los clientes integrando no sólo los servicios de Red Teaming, sino también el análisis de riesgos y el modelado de amenazas en un programa global. Los tres son complementos naturales, y reunirlos puede ayudar a las organizaciones a comprender y gestionar más claramente sus riesgos de seguridad operativa en toda la superficie de ataque.

Fuente de información: cio.com.mx

Descargar archivo en PDF

Hay un gran riesgo que una sola persona o un proveedor sea el responsable de todas las actividades de TI dentro de la organización. ¿Qué puede salir mal?

 Un dueño de una PYME me buscó hace algunos meses porque su proveedor de la página de internet, desde donde realizaba ventas de sus productos, había decidido subir los precios de sus servicios. Al comparar con otros proveedores el dueño decidió cambiar a la persona que le llevaba de forma externa la administración de toda esa infraestructura tecnológica. Para responsable de esta PYME era simple, la persona le administraba el correo electrónico y el portal desde donde realizaba ventas y ahora necesitaba cambiarlo. Lo que no sabía es que quien tenía registrado el dominio de internet desde donde operaba, estaba registrado al nombre de este proveedor. El proveedor secuestró el dominio porque la empresa no había aceptado su cambio de costos; la PYME ahora tenía que iniciar un proceso que tomaría mucho tiempo para poder recuperarlo pero que también existía la posibilidad de que no lo recuperara.

Esto es más común de lo que parece. En muchos de los casos, por desconocimiento, se toman decisiones que pueden afectar la operación de la organización. Tan simple como que el dominio de internet no esté en manos de alguien dentro de la organización.

Cada vez escucho más frecuentemente: “Ya no confío en quien lleva mi área de TI.” Y de ahí vienen miles de comentarios que van desde “creo que está leyendo mis correos”, “creo que está robándome dinero por medio de los proveedores”, “está coludido con los proveedores”, “tiene más poder que yo en la organización” o hasta “en cualquier momento me podría afectar a mí y a mi familia con lo que tiene información de mi”.En muchas PYMES, se espera que la misma persona sea responsable de la gestión de datos, redes y comunicaciones, infraestructura, desarrollo de software, cumplimiento y ciberseguridad. Estamos hablando que no haya una estructura formal y delegada.

Y la verdad, lo entiendo: Las PYMES no pueden tener un ejército de personas dentro del área de TI para poder atender todos los requerimientos que tiene la empresa, pero esto también genera una serie de riesgos que pocas veces los directores o dueños de las PYMES consideran.

Los más adelantados, piden a su responsable de TI que sea el punto de contacto o administrador de varios proveedores para poder cubrir todas las necesidades antes mencionadas. Lo cual también genera algunos riesgos: que la persona se ponga de acuerdo con el proveedor para afectar económicamente a la organización.

Esto no solo pasa en las PYMES, puede afectar a cualquier organización no importando el tamaño, pero todas tienen algo en común: dejaron que esta persona, responsable de TI, se convirtiera en amo y dios de las redes. Incluso, en algunos casos, le delegaron la responsabilidad de configurar cualquier dispositivo tecnológico que se instaló en casa por qué: “yo no le sé a la tecnología”.

Que un proveedor tenga registrado el dominio o que un administrador tenga acceso a todo y pueda usarlo en su beneficio ¿Es un ciberataque? No, le dimos las llaves de todas las puertas a una misma persona, pero nunca lo supervisamos.

Cuando se ha perdido esa confianza o cuando es evidente que se tiene que separar esa persona de la organización, es cuando nos damos cuenta de lo que hemos creado, porque no es tan fácil como citarlo para que deje la organización. Esta persona es la única que sabe cómo opera tecnológicamente la empresa y podría desaparecerla en cuestión de segundos.

“¿Qué puedo hacer?” me decía intranquilo un dueño de una empresa, mientras le explicaba las opciones que tenía y que no podría de la noche a la mañana separar a esta persona. Finalmente, hablamos de la posibilidad de hacer un “Take Over de TI” donde no podríamos separarlo inmediatamente, sino cuando lográramos entender cómo opera la organización para posteriormente pedirle los accesos a todos los sistemas, proveedores, aplicaciones y otros recursos de tecnología para asegurar la continuidad de la operación.

También está la preocupación de que posterior a su salida, pudiera conectarse remotamente para causar algún daño: borrar información o hacer que algún sistema fallara. Situación que está considerada para que, a su salida, se hagan cambios importantes en la estructura de la red y de los sistemas. En pocas palabras: pensar lo peor para tratar de evitarlo. Se está atendiendo como un incidente y un manejo de crisis, ya está sucediendo.

Pero todo esto se puede evitar. No es un problema técnico, es un problema estratégico que debe ser considerado por los tomadores de decisiones de la organización.

Si a la alta administración, dueños, socios, inversionistas y director general les interesa proteger su reputación y operación, deben considerar estos escenarios de riesgo que en muchos de los casos la ciberseguridad lo considera. El problema radica en que muchas de las organizaciones comienzan a hablar de ciberseguridad hasta después de que sufren un incidente como los mencionados anteriormente o algunos otros que vienen del exterior.

Ciberseguridad no necesariamente es implementar un sistema costoso, sino un procedimiento simple, así como las reglas del juego: definir claramente roles y responsabilidades, implementar controles de acceso para evitar que una sola persona tenga acceso a todo y establecer procedimientos de auditoría (interno o externo).

Obviamente hay más, pero para empezar y para el tamaño de una PYME es un gran comienzo. No es mi intensión que voltee a ver a su responsable de TI como el malo de la película, ya que quizá no lo sea, pero piense en el riesgo de dejar de operar porque el o la responsable de TI no está disponible cuando lo requiera.

Autor: Andrés Velázquez

Fuente de información: forbes.com.mx

Descargar archivo en PDF

El teletrabajo es una alternativa cada vez más utilizada por todo tipo de empresas. Sus beneficios son amplios, desde aprovechar el talento remoto hasta facilitar la conciliación familiar, pasando por mejoras para los trabajadores en movilidad o para los que ofrecen soporte en el cliente. Pero implementar esta modalidad puede entrañar riesgos para la privacidad y seguridad de la empresa si no se aplican una serie de políticas y recomendaciones.

Por ello, y para mantener la seguridad de tu organización en unos niveles adecuados, debes tener en cuenta las siguientes consideraciones si deseas implementar el teletrabajo en tu empresa.

Definir la política de teletrabajo

Cuando la empresa permite a los empleados teletrabajar, es recomendable elaborar una política para tal fin, con el objetivo de especificar los aspectos técnicos y organizativos que definen el teletrabajo en la empresa. Es una buena práctica establecer de forma clara los usos permitidos de los servicios empresariales, y las características y configuraciones de las tecnologías que se han de utilizar para el acceso remoto, como: tipo de dispositivo, redes permitidas, franjas horarias, wifi doméstica, etc. Si estos requisitos no están descritos en la política de teletrabajo, la empresa puede llegar a sufrir un incidente de seguridad, comprometiendo la privacidad de la información y de los clientes.

Las siguientes políticas de seguridad serán de ayuda a la hora de elaborar las normas y directrices que debe seguir la empresa y sus empleados a la hora de teletrabajar.

Objetivos de seguridad

Independientemente de si el trabajo se realiza en la sede de la empresa o en la modalidad de teletrabajo, el principal objetivo será proteger la seguridad de la información. Para ello se deben asegurar las cinco dimensiones sobre la que se sustenta la ciberseguridad:

• Disponibilidad: asegurar el acceso a los recursos cuando sea necesario.
• Autenticidad: garantizar que la información está libre de modificaciones no autorizadas.
• Integridad: es la propiedad de la información por la que se garantiza que los datos son legítimos, es decir, no han sido modificados o alterados sin permiso.
• Confidencialidad: se garantiza que la información únicamente es accesible por personal autorizado.
• Trazabilidad: permite llevar un registro de la actividad llevada a cabo sobre un determinado activo.

Amenazas

Habilitar el teletrabajo en la empresa abre la puerta a nuevas amenazas que pueden afectar a la seguridad y privacidad de la información, tanto de los dispositivos cliente como de los servidores, las principales que deben tenerse en cuenta son:

• Ausencia de controles de seguridad física: cuando se teletrabaja, los dispositivos pueden quedar expuestos a personas que no deben tener acceso a los mismos, como por ejemplo en hoteles, salas de espera o incluso en casa. Es importante aplicar las medidas de seguridad necesarias para evitar accesos no autorizados a estos dispositivos y a la información que gestionan, como habilitar una clave de desbloqueo o el cifrado de la información almacenada en el dispositivo.
• Errores de configuración: el software que permite el teletrabajo, tanto en dispositivos cliente como servidores, debe estar configurado siguiendo unos requisitos de seguridad. Por ello es recomendable que lo realice personal especializado.
• Redes inseguras: cuando se teletrabaja, es habitual utilizar redes consideradas inseguras ya que no están bajo el control de la empresa. Para evitar accesos no autorizados a la información en tránsito es recomendable utilizar soluciones VPN, las cuales protegen toda la información en tránsito incluso en redes inseguras como redes wifi públicas.
• Dispositivos inseguros: el uso de dispositivos inseguros, bien sean propiedad de la empresa o del empleado en BYOD, pueden suponer un riesgo. Las principales amenazas a tener en cuenta son la infección por malware y el software desactualizado, por ello hay que contar con antivirus en todos los dispositivos y todo el software actualizado a la última versión disponible.
• Accesos no autorizados: permitir el acceso a sistemas corporativos a través de Internet siempre entraña riesgos, y el teletrabajo no es una excepción. Desde empleados sin autorización a ciberdelincuentes, todos ellos pueden intentar acceder de forma fraudulenta a la información corporativa. Para evitarlo se deben habilitar mecanismos de autenticación robustos y, siempre que sea posible, habilitar un doble factor de autenticación.
• Falta de formación: la falta de formación o conocimiento de las políticas de seguridad de la empresa por parte de los empleados pueden poner en riesgo la seguridad de la información.
• Software desactualizado o fuentes no confiables. No mantener actualizado el software tanto de los dispositivos cliente, como de los servidores que corporativos, incluidos los que permiten llevar a cabo el teletrabajo, puede suponer un riesgo para la seguridad de la empresa. De igual forma, instalar software no autorizado o procedente de fuentes no legítimas puede suponer el origen de un incidente de seguridad.
• Robo, pérdida o destrucción del dispositivo. Los dispositivos que permiten el teletrabajo, sobre todo aquellos utilizados por trabajadores con movilidad, se caracterizan por ser portátiles y de tamaño y peso contenidos. Estas características los hacen susceptibles a pérdidas y robos, lo que puede suponer un riesgo para la información gestionada si esta no está protegida adecuadamente.
• Aplicaciones colaborativas. Las aplicaciones colaborativas, además de permitir interactuar con otros empleados de la empresa o colaboradores, pueden suponer un riesgo si no están configuradas adecuadamente ya que pueden abrir la puerta a los ciberdelincuentes.
• Almacenamiento cloud. Utilizar servicios de almacenamiento en la nube que no han sido aprobados en la política de la empresa, o utilizarlos sin seguir unas medidas de privacidad mínimas pueden poner en riesgo la información que se almacena.

Métodos de acceso remoto

Para permitir el acceso remoto de los empleados a los recursos corporativos, existen varias opciones, siendo las más utilizadas el uso de VPN o redes privadas virtuales en combinación con otros sistemas, como VDI «virtual desktop infrastructure», acceso a través de escritorio remoto, portales de aplicaciones y acceso directo a aplicaciones.

Seleccionar la opción más adecuada para la empresa es crucial, considerándose las implicaciones de seguridad de cada método y si cumple con los requisitos de seguridad necesarios para llevar a cabo las tareas corporativas que van a realizarse en remoto.

Protegiendo el servidor y los dispositivos cliente

Tanto los servidores que permiten el acceso remoto a los recursos empresariales, como los dispositivos utilizados por los empleados, deben contar con ciertos requisitos de seguridad que eviten accesos no autorizados a la información corporativa.

La propia formación de los empleados, aplicar una política de actualización de software o configurar adecuadamente la red doméstica son algunas de las consideraciones a tener en cuenta y que permitirán teletrabajar bajo los mismos requisitos de seguridad que si se estuviera haciendo desde la sede empresarial.

Fuente de información: www.incibe.es

Descargar archivo en PDF

Dos de cada cinco líderes de pymes mexicanas no pudo confirmar si los ex empleados tienen acceso o no a los activos digitales.

Cuando un empleado se va, una de las preocupaciones de algunas empresas es que pueda atentar contra la ciberseguridad y robar información o causar un conflicto, especialmente si no salieron en buenos términos. Este temor se intensifica en las pequeñas y medianas empresas (pymes), pues al menos un 40% teme que un ex empleado acceda a los archivos corporativos.

De acuerdo con un estudio sobre el comportamiento de las pymes durante tiempos de crisis, muchos directivos de empresas no tienen la certeza de que el acceso a la información es imposible para los colaboradores que se van. Dos de cada cinco no pudo confirmar si se tiene acceso o no a los activos digitales.

“En México, 29% de las pymes considera los recortes de empleo como una posible medida para reducir costos en caso de crisis, pero es la reducción de personal considerado un factor de riesgo para la seguridad de la información”, indica el informe.

Entre las principales preocupaciones en torno al tema, destaca que se haga un mal uso de los datos en los nuevos trabajos de las personas con 67%, o utilizar las bases de datos corporativas como listas de clientes que permitan generar oportunidades de negocios a nivel personal con 56%.

El acceso no autorizado de terceros puede convertirse en un gran problema para cualquier empresa, ya que afecta a su competitividad cuando los datos corporativos se comparten con un competidor, se venden o se eliminan.

Crece conciencia de ciberseguridad

 Ante la búsqueda de combatir la crisis económica relacionada con los problemas del entrono, las empresas están tomando medidas para seguir recortando gastos y garantizar su supervivencia.

El principal es menor inversión en publicidad y promoción (36%), seguido de reducir gastos en vehículos tanto en compra como en renta (34%), y reducir la fuerza laboral y congelar contrataciones con (31%). La buena noticia es que la ciberseguridad no se está sacrificando tanto, solo en un 13% de los casos porque ya se tiene conciencia de todos los impacto que se pueden tener.

¿Qué hacer?

Al abordar los retos más grandes para mantener una resiliencia cibernética, el problema más grande que han vivido las pymes es la infiltración de datos con 41%, así como comprender los nuevos riesgos (donde se involucran ex empleados) con 34% y problemas operativos por fallas en el área de TI, con 34 por ciento.

Pablo Basso, Gerente de Tecnología e Innovación en Ecomsur, líder en soluciones de Fullcommerce en Latinoamérica, explica que hay muchas malas prácticas que buscan el acceso y robo de información, por lo que las áreas de seguridad de las empresas deben prepararse mejor.

Datos de la encuesta de PwC, Digital Trust Insights 2022, revelan que 63% de los líderes de negocios preveía, en este año, un aumento en el número de ciberataques a sus servicios de nube y robo de datos que podrían afectar sus estrategias de marketing y ventas. Muchos sí ocurrieron.

Ante esto, ¿cómo pueden las pymes protegerse?

• Mantener el control del número de colaboradores que accedan a los datos de la organización
• Crear una política de acceso a los activos, donde se incluyan correos, carpetas compartidas y documentos en línea
• Hacer copias de seguridad periódicas de los datos esenciales
• Fomentar la cultura de cambio frecuente de contraseñas en los empleados
• Educar sobre el tema de ciberseguridad
• Acercarse con especialistas para intensificar la protección
• Buscar seguros contra ciberataques que cubran pérdidas causadas por hackeos o ransomware
• Implementar un modelo de cero confianza donde siempre se verifique al usuario y dispositivo que trata de acceder a los datos, estableciendo seguridad por capas
• Estar siempre prevenido ante posibles casos

Fuente de información: eleconomista.com.mx

Descargar archivo en PDF

Si tuviéramos que elegir el factor más importante para explicar qué hace que la entrega de la capacidad y el tiempo de actividad del centro de datos sea exitosa, elegiríamos: el mantenimiento continuo y estratégico. Las instalaciones del centro de datos deben operar dentro de un conjunto muy estricto de parámetros – las 24 horas del día, los 7 días de la semana. El enfoque de un operador para el mantenimiento estratégico es realmente la clave para garantizar la más alta calidad y la entrega continua para los clientes.

El mantenimiento abarca una interacción compleja entre las personas, el proceso y el equipo; solo uno de los cuales es fácil de cuantificar: el equipo. Por lo general, la lista de los equipos de un centro de datos se publica en el sitio web o en una hoja de datos, ya que son fáciles de ilustrar. Sin embargo, la importancia táctica de esta información puede malinterpretarse fácilmente sin una comprensión sólida de cómo la interacción entre el equipo, las personas responsables de ejecutarlo y mantenerlo, y los procesos que siguen, conduce al verdadero éxito de las operaciones del centro de datos.

A medida que considera si depositar su confianza e infraestructura empresarial crítica en una instalación de colocación, el tema del mantenimiento es crucial, pero difícil de evaluar. Con un poco de orientación para ayudar a su evaluación, la ganancia en la comprensión de las prácticas operativas valdrá la pena varias veces a lo largo de la vida útil de sus operaciones.

Por supuesto, los sistemas de operaciones del edificio y el equipo importan. No importa cuán buenos sean los sistemas industriales modernos, y son muy buenos en estos días, las instalaciones como los centros de datos tienen un conjunto estricto de parámetros operativos que deben lograr, y de ninguna manera operan ellos mismos.

Las personas, los procesos y los equipos son interdependientes

Hay un sistema complejo de dependencias superpuestas que están involucradas en la operación de un centro de datos eficiente y efectivo. Las personas necesitan capacitación para seguir el proceso y administrar equipos y sistemas. El proceso debe estar alineado para ejecutar equipos y sistemas sin problemas y ser respetado por personas completamente capacitadas. Los equipos y sistemas deben ser administrados por trabajadores bien informados que sigan el proceso correcto. Esta interdependencia es crucial para los centros de datos de alto rendimiento.

Las personas necesitan procesos alineados y experiencia en equipos para ser efectivas

Comprender el enfoque de un operador de centro de datos para obtener lo mejor de su gente es la verdadera clave para tener una idea de todo lo demás que sucede dentro del centro de datos. Los empleados comprometidos y motivados, con responsabilidades definidas, marcan una diferencia tangible al ofrecer mejores resultados que se pueden medir en la resiliencia y el rendimiento del sitio en sí.

Querrá evaluar la profundidad de la estrategia de mantenimiento del operador y su enfoque correspondiente a los programas de capacitación. Los operadores de centros de datos no solo necesitan fomentar y cuidar el bienestar de los empleados; también deben asegurarse de que el personal esté al día con los últimos enfoques y las mejores prácticas para el mantenimiento en su sitio. Pregunte: ¿qué aspectos del mantenimiento gestionan internamente frente a la subcontratación?

Para nosotros, es muy importante que nuestros ingenieros y equipos de trabajo estén preparados sobre cómo realizar sus propias actividades de mantenimiento, con esto, están más comprometidos e involucrados en la entrega de un resultado de alta calidad. Los empleados de los centros de datos interactúan en primera fila con los sistemas de las instalaciones y, por lo tanto, son quienes tienen la capacidad de identificar, anticipar e intervenir cuando surgen síntomas. Nuestros proveedores realizan tareas de mantenimiento complejas y críticas, pero trabajan en consulta con nuestro personal interno. Esto conduce a una mayor comprensión de la instalación, al tiempo que desarrolla el conocimiento y la experiencia de los sistemas.

Los procesos se adaptan a los equipos, entregados por personas calificadas

Determinar la efectividad y el cumplimiento del proceso es el aspecto más difícil de evaluar del mantenimiento.

Al igual que con su automóvil, hay un programa de mantenimiento prescrito para el equipo del centro de datos. Como consumidores, tendemos a confiar en el consejo de un fabricante (cambie su aceite cada determinados kilómetros) y subcontratar el mantenimiento a un mecánico. Pero para las empresas que operan flotas de vehículos, los planes y horarios de mantenimiento son una parte crítica y administrada activamente de operaciones complejas. Es igual con los centros de datos.

Adoptar un enfoque riguroso para hacer cumplir las políticas y procedimientos es una tarea obligada para cualquier operador de centro de datos. Pero igual de crítica es la práctica de revisar y mejorar regularmente los procesos a medida que cambian los sistemas, las herramientas, la tecnología y las necesidades comerciales.

Pregunte si hay un proceso de revisión regular para garantizar que los nuevos requisitos, las presiones comerciales y los factores de las personas se alineen continuamente. Esto demuestra una mayor inversión por parte de la empresa, haciendo que su gente sea parte de la solución y no solo seguidores del proceso. Adoptar este enfoque brinda a los técnicos la oportunidad de influir en las mejoras del proceso, al tiempo que mantiene el requisito de adherirse al proceso.

La eficiencia de los equipos depende de personas calificadas y procesos alineados

Hay componentes y equipos básicos que componen un centro de datos: todo el mundo tiene UPS, enfriadores, etc. y en algún nivel los componentes son todos muy similares. Tener múltiples copias, o el “mejor” equipo de marca no es suficiente para garantizar la resiliencia. La experiencia interna es fundamental para comprender cómo el proceso de mantenimiento, la programación y el equipo interactúan con el conjunto completo de sistemas dentro de la instalación. Si está tratando de comprender si la instalación es buena o mala en el mantenimiento, evalúe si los operadores están considerando las necesidades de la instalación en su conjunto y si tienen un programa de mantenimiento ajustado que está optimizado y programado en consecuencia.

Ciberseguridad más allá del tráfico de red

A pesar de que la mayoría de los operadores de colocación no interactúan con el tráfico de red del cliente, la ciberseguridad sigue siendo una consideración crítica para cada función en el centro de datos.

Un sistema robusto de gestión de edificios (BMS) es crucial para un entorno de alto rendimiento. Es importante tener un sistema que esté diseñado para integrarse con una variedad de sistemas de control industrial y diseñado para altas tasas de transferencia de datos. Estos sistemas de “fuerza industrial” permiten la redundancia donde tiene sentido, pero tienen la mayor flexibilidad para optimizar el rendimiento del centro de datos. Pero estos sistemas no están completamente aislados del resto del mundo y se debe tener cuidado para garantizar que se sigan los protocolos de seguridad adecuados.

Los sistemas de prueba agregan valor al mantenimiento

Un banco de carga o sistema de prueba se utiliza para simular una carga eléctrica / térmica. No todas las instalaciones tienen o necesitan una; pero donde están presentes, podrían ser el héroe anónimo de una instalación. Los bancos de carga permiten realizar pruebas en vivo independientes y a gran escala de los sistemas de construcción; de lo contrario, el mantenimiento y las pruebas deben realizarse a través de otros medios.

Otra ventaja es que un banco de carga permite realizar pruebas de equipos sin utilizar la carga del cliente como banco de pruebas. Esto significa que puede realizar pruebas con más frecuencia en más sistemas y reducir el período de riesgo. Además, el banco de carga se puede utilizar para validar el funcionamiento de los equipos que acaban de pasar por mantenimiento o reparaciones antes de volver a ponerlos en la rotación de servicio del entorno de producción.

Evaluación de las fortalezas específicas de los operadores de centros de datos

No existe sólo una forma de lograr un alto rendimiento en un centro de datos; esto está abierto a cómo cada empresa cumple con su éxito. Si se han decidido por un diseño que se compara o no favorablemente en el papel, debe haber una razón detrás de ello. Comprender el razonamiento y cómo el diseño pretende satisfacer las necesidades de mantenimiento de las diferentes topologías, en última instancia, lo llevará a importantes decisiones de diseño y administración de implementación que afectarán su tiempo de actividad. Estos factores son complicados, y todo debe funcionar a la perfección.

Fuente de información: cio.com.mx

Descargar archivo en PDF

El 2021 ha sido otro año marcado por cambios continuos que empujaron a las empresas a adoptar nuevas estrategias para fortalecer la resiliencia. Del mismo modo, los ciberdelincuentes continuaron refinando sus métodos para trabajar de manera más inteligente y moverse más rápido para escalar los ataques, extenderse más profundamente en las cadenas de suministro y causar un mayor daño.

Especialistas han observado los primeros signos de la evolución de los atacantes. Cada uno tiene el potencial de alterar significativamente el panorama de la ciberseguridad en los próximos 12 meses. Aquí, las innovaciones más relevantes:

Empresas criminales clandestinas

DevOps –una combinación de los términos development (desarrollo) y operations (operaciones), cuya práctica automatiza y optimiza los procesos con tecnología– está cambiando la forma en que se hacen los negocios, y las empresas criminales no son la excepción.

Al igual que los proveedores de software legítimos, los atacantes están utilizando pipelines de CI / CD, infraestructura en la nube y otras tecnologías digitales para desarrollar y vender malware como servicio (MaaS), impulsada por la creciente demanda clandestina de herramientas populares como el malware de

robo de credenciales, que se puede configurar para recopilar contraseñas de los usuarios y saquear la información privilegiada de las víctimas.

Dicho malware no solo es poderoso, sino que también es fácil de usar desde el primer momento, empoderando a los ciberdelincuentes.

Los grupos de atacantes aprovechan el interés para monetizar estos servicios y hacer crecer sus operaciones. A medida que estos grupos criminales comienzan a aparecer cada vez más como negocios reales, también se abrirán a nuevos riesgos.

Al igual que cualquier otra empresa, se enfrentarán a nuevos desafíos de seguridad en la gestión de aplicaciones SaaS multi-tenant, asegurando el acceso remoto a sistemas, datos confidenciales y más. Por lo tanto, las empresas estarán obligadas a aumentar sus propias protecciones de seguridad para contrarrestar el peligro de los ciberdelincuentes.

Los ciberdelincuentes automatizarán los ataques a la cadena de suministro

La economía digital se ejecuta en software de código abierto (OSS): es flexible, escalable y aprovecha el poder colectivo de la comunidad para generar innovaciones. Pero innumerables bibliotecas OSS abiertas y gratuitas también significan una superficie de ataque dramáticamente expandida y una forma para que los actores de amenazas automaticen sus esfuerzos, eludan la detección y hagan más daño.

La violación de Codecov de abril de 2021 nos dio una idea de cómo un ajuste sutil en una línea de código puede convertir una biblioteca completamente benigna en una maliciosa, poniendo en riesgo a cualquier organización que la use. Utilizando este método de infiltración altamente evasivo, los atacantes pueden apuntar y robar credenciales para llegar a miles de organizaciones a través de una cadena de suministro al unísono.

En los próximos 12 meses, los atacantes continuarán buscando nuevas formas de comprometer las bibliotecas de código abierto. Hemos visto a atacantes implementar ataques tipo typosquatting mediante la creación de paquetes de código que incluyen cambios sutiles en los nombres de los paquetes (es decir, atlas-client vs. atlas-client). Estas eran en realidad versiones troyanizadas de los paquetes originales, que implementan o descargan una funcionalidad de puerta trasera o de robo de credenciales.

En otro caso, un paquete NPM fue troyano para ejecutar scripts de criptominería y malware de robo de credenciales después de que los accesos de un desarrollador se vieron comprometidos.

Las organizaciones deben permanecer vigilantes, ya que estos ataques sutiles rara vez enviarán señales, lo que los hace extremadamente difíciles de detectar, especialmente porque las bibliotecas se implementan como parte de las operaciones diarias legítimas y, en muchos casos, pueden parecer benignas, ya que el código malicioso se descarga como una dependencia.

Además, dado que estos ataques automatizados son fáciles y rápidos de ejecutar con una firma muy limitada, se volverán aún más frecuentes, repentinos y dañinos.

Nuevos puntos ayudarán a ciberdelincuentes a esconderse a plena vista

Como si no fuera suficientemente complicado, la seguridad será más desafiante gracias a los nuevos escondites introducidos por la nube, la virtualización y las tecnologías de contenedores.

Por ejemplo, a medida que la micro virtualización se vuelve cada vez más popular, los actores de amenazas pueden aislar el malware en estos sistemas virtuales mientras lo mantienen oculto de los controles de seguridad basados en host.

Si bien estas nuevas técnicas de ataque no se han visto mucho en la realidad aún, al menos no todavía, se han observado actores de amenazas financieramente motivados y criminales que prueban sistemas que aseguran los procesos de credenciales y autenticación, mientras buscan nuevas formas de comprometer las máquinas de punto final.

Fuente de información: www.forbes.com.mx

Descargar archivo en PDF