13.4: Tomar medidas

Última actualización
Guardar como PDF

Page ID: 60928

Anonymous
LibreTexts

\( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \) \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)\(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\) \(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\)\(\newcommand{\AA}{\unicode[.8,0]{x212B}}\)

Objetivos de aprendizaje

Después de estudiar esta sección deberías poder hacer lo siguiente:

Identifique los pasos críticos para mejorar la seguridad de su información individual y organizacional.
Sea un defensor de consejos, trucos y técnicas, ayudando a que sus amigos, familiares, colegas y organización sean más seguros.
Reconocer los principales problemas de seguridad de la información que enfrentan las organizaciones, así como los recursos, métodos y enfoques que pueden ayudar a que las empresas sean más seguras.

Actuar como usuario

El eslabón más débil en seguridad suele ser un usuario descuidado, así que no te hagas una marca fácil. Una vez que tienes una idea de las amenazas, entiendes los tipos de precauciones que debes tomar. Entonces, las consideraciones de seguridad se vuelven más sentido común que la alta tecnología. Aquí hay una breve lista de temas importantes a considerar:

Surf inteligente. Piense antes de hacer clic: cuestione los enlaces, los recintos, la solicitud de descarga y la integridad de los sitios web que visita. Evite archivos adjuntos de correo electrónico sospechosos y descargas de Internet. Esté en guardia por el phishing y otros intentos de engañarlo para que deje entrar malware. Verifica cualquier cosa que parezca sospechosa antes de actuar. Evite usar máquinas públicas (bibliotecas, cafeterías) al acceder a sitios que contengan sus datos financieros u otra información confidencial.
Mantente vigilante. Los estafadores de ingeniería social y los conocedores deshonestos están ahí fuera. Un nivel adecuado de cuestionamiento se aplica no sólo al uso de la computadora, sino también a las interacciones personales, ya sea en persona, por teléfono o electrónicamente.
Mantente actualizado. Active las funciones de actualización de software para su sistema operativo y cualquier aplicación que utilice (navegadores, aplicaciones, complementos y applets) y verifique manualmente si hay actualizaciones cuando sea necesario. Los kits de herramientas de malware buscan específicamente sistemas más antiguos y vulnerables, por lo que trabajar con programas actualizados que aborden preocupaciones anteriores reduce su superficie de ataque vulnerable.
Mantente armado. Instale un conjunto completo de software de seguridad. Muchos proveedores ofrecen una combinación de productos que proporcionan software antivirus que bloquea infecciones, firewalls personales que repelen intrusiones no deseadas, escáneres de malware que buscan código erróneo que ya podría estar anidando en tu PC, software antiphishing que identifica si estás visitando sitios web cuestionables, y más. Estas herramientas se están incorporando cada vez más en los sistemas operativos, navegadores y se implementan a nivel de ISP o proveedor de servicios (firma de correo electrónico, red social). Pero todo consumidor debe hacer prioritario comprender el estado del arte para la protección personal. En la forma en que regularmente equilibra su cartera de inversiones para dar cuenta de los cambios económicos, o lleva su automóvil a un cambio de aceite para mantenerlo en las mejores condiciones de funcionamiento, haga que sea una prioridad escanear periódicamente la prensa comercial principal o los sitios de computación del usuario final para obtener reseñas y comentarios sobre las últimas herramientas y técnicas para protegerse a sí mismo (y a su firma).
Sé inteligente en los ajustes. No encienda configuraciones riesgosas como el uso compartido de carpetas sin restricciones, que puede actuar como una invitación para que los piratas informáticos dejen las cargas útiles de malware. Proteja las redes domésticas con protección por contraseña y un firewall. Cifrar discos duros, especialmente en computadoras portátiles u otros dispositivos que puedan perderse o ser robados. Registrar dispositivos móviles para identificación de ubicación o limpieza remota. No haga clic en la configuración “Recordarme” o “Guardar contraseña” en las máquinas públicas, o en cualquier dispositivo al que otros puedan compartir o acceder. Del mismo modo, si su máquina podría ser utilizada por otros, desactive la configuración del navegador que rellena automáticamente los campos con entradas anteriores; de lo contrario, facilita que alguien use esa máquina para rastrear sus entradas y hacerse pasar por usted. Y al usar puntos de acceso públicos, asegúrese de activar su software VPN para cifrar la transmisión y esconderse de los espías de la red.
Sea conocedor de las contraseñas. Cambia la contraseña predeterminada en cualquier producto nuevo que instales. Actualiza tus contraseñas regularmente. Usando las pautas descritas anteriormente, elija contraseñas que sean difíciles de adivinar, pero fáciles de recordar para usted (y solo para usted). Federar sus contraseñas para que no esté utilizando los mismos códigos de acceso para sus sitios más seguros. Nunca guarde las contraseñas en archivos no seguros, correo electrónico o anotadas en ubicaciones de fácil acceso.
Sea inteligente en la eliminación. Triture documentos personales. Limpie los discos duros con una herramienta de software de fuerza industrial antes de reciclar, donar o tirar; recuerde que en muchos casos los archivos “eliminados” aún se pueden recuperar. Destruye medios como CDs y DVDs que puedan contener información confidencial. Borre las unidades USB cuando ya no sean necesarias.
Retroceda. La amenaza más probable para tus datos no proviene de los hackers; viene de fallas de hardware (Taylor, 2009). Sin embargo, la mayoría de los usuarios todavía no respaldan regularmente sus sistemas. Esta es otra prioridad de “hágalo ahora”. Los discos duros enchufables baratos funcionan con la mayoría de los sistemas operativos modernos para proporcionar copias de seguridad continuas, lo que permite una rápida reversión a versiones anteriores si accidentalmente ha arruinado algún trabajo vital. Y servicios como Mozy de EMC brindan backup mensual e ilimitado a través de Internet por menos de lo que probablemente gastó en su último almuerzo (un incendio, robo o evento similar también podría resultar en la pérdida de cualquier backup almacenado en el sitio, pero los servicios de backup de Internet pueden proporcionar almacenamiento y acceso fuera del sitio en caso de desastre huelgas).
Consulta con tu administrador. Todas las organizaciones que te ayudan a conectarte a Internet, tu ISP, empresa o escuela, deben tener páginas de seguridad. Muchos ofrecen herramientas de software de seguridad gratuitas. Úselos como recursos. Recuerden, ¡también es de su interés mantenerlos a salvo!

Actuar como organización

Marcos, Estándares y Cumplimiento

Desarrollar la seguridad organizacional es una tarea desalentadora. Estás en una carrera armamentista con adversarios tenaces y constantemente en busca de nuevas hazañas. Afortunadamente, ninguna empresa está empezando de cero; otras han ido antes que tú y muchas han trabajado juntas para crear las mejores prácticas publicadas.

Existen varios marcos, pero quizás el más conocido de estos esfuerzos proviene de la Organización Internacional de Estándares (ISO), y es ampliamente conocido como ISO27k o la serie ISO 27000. Según ISO.org, este conjunto de estándares en evolución proporciona “un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información”.

Las empresas también pueden enfrentar requisitos de cumplimiento, medidas legales o profesionalmente vinculantes que deben tomarse. De no hacerlo, podría resultar en multa, sanción y otras medidas punitivas. A nivel federal, los ejemplos incluyen la HIPAA (Ley de Portabilidad y Rendición de Cuentas del Seguro de Salud), que regula los datos de salud; la Ley Graham-Leach-Bliley, que regula los datos financieros; y la Ley de Protección de la Privacidad Infantil en Línea, que regula la recolección de datos sobre menores. Las agencias gubernamentales de Estados Unidos también deben cumplir con la FISMA (la Ley Federal de Gestión de Seguridad de la Información), y hay varias iniciativas en los otros niveles gubernamentales. Para 2009, más de treinta estados habían aprobado cierto nivel de leyes estatales de violación de datos, mientras que las multinacionales enfrentan un número creciente de estatuas en todo el mundo. Su equipo legal y asociaciones comerciales pueden ayudarle a comprender sus obligaciones nacionales e internacionales. Afortunadamente, a menudo hay marcos y pautas para ayudar en el cumplimiento. Por ejemplo, los estándares ISO incluyen subconjuntos dirigidos a las industrias de telecomunicaciones y atención médica, y las principales firmas de tarjetas de crédito han creado los estándares PCI (industria de tarjetas de pago). Y hay profesionales calificados de consultoría que pueden ayudar a poner a las empresas al día en estas áreas, y ayudar a expandir su radar organizacional a medida que se desarrollan nuevos problemas.

Aquí hay una palabra de advertencia sobre marcos y estándares: el cumplimiento no equivale a la seguridad. La externalización de porciones de los esfuerzos de seguridad sin un compromiso completo y organizacional de estar seguro también puede ser peligroso. Algunas organizaciones simplemente abordan el cumplimiento como un mal necesario: una especie de lista de verificación que puede reducir la probabilidad de una demanda u otra medida punitiva (Davis, 2009). Si bien quieres asegurarte de que estás haciendo todo lo que está a tu alcance para no ser demandado, este no es el objetivo. El objetivo es tomar todas las medidas adecuadas para garantizar que su firma esté segura para sus clientes, empleados, accionistas y otros. Los marcos ayudan a dar forma a su pensamiento y exponer las cosas que debe hacer, pero la seguridad no se detiene ahí; este es un proceso constante y en evolución que necesita permear a la organización desde la suite y la junta directiva del CEO, hasta los trabajadores de primera línea y potencialmente a los clientes y socios. Y estar al tanto de los problemas de seguridad asociados a cualquier fusión y adquisición. Traer nuevas firmas, empleados, tecnologías y procedimientos significa reevaluar el entorno de seguridad para todos los actores involucrados.

La brecha de Heartland

El día de inauguración de 2009, el procesador de tarjetas de crédito Heartland anunció que había experimentado lo que era una de las mayores brechas de seguridad de la historia. La firma con sede en Princeton, Nueva Jersey, era, en ese momento, el quinto procesador de pagos más grande del país. Su negocio se encargó de manejar la transferencia de fondos e información entre los minoristas y las instituciones financieras de los titulares de tarjetas. Eso significa que infiltrarse en Heartland fue como irrumpir en Fort Knox.

Se estima que hasta 100 millones de tarjetas emitidas por más de 650 empresas de servicios financieros pueden haber sido comprometidas durante la brecha de Heartland. Dijo el director general de la firma, esto fue “lo peor que le puede pasar a una empresa de pagos y nos pasó a nosotros” (King, 2009). Wall Street se dio cuenta. Las acciones de la firma se hundieron —en un mes, su capitalización bursátil se había desplomado más del 75 por ciento, cayendo más de 500 millones de dólares en valor (Claburn, 2009).

El caso Heartland proporciona una advertencia de advertencia contra pensar que la seguridad termina con el cumplimiento. De hecho, Heartland había pasado múltiples auditorías, incluida una realizada el mes anterior a que comenzara la infiltración. Aún así, al menos trece piezas de malware fueron descubiertas en los servidores de la firma. El cumplimiento no equivale a la seguridad. Heartland era queja, pero una firma puede cumplir y no ser segura. El cumplimiento no es el objetivo, la seguridad lo es.

Desde la brecha, los ejecutivos de la firma han defendido los esfuerzos de la industria para expandir las prácticas de seguridad, incluido el cifrado de la información de la tarjeta en el momento en que se desliza y mantenerla segura a través de la liquidación. Dicho cifrado de “cuna-a-tumba” puede ayudar a crear un entorno en el que incluso los equipos de red comprometidos o los sistemas de retransmisión de interceptación no podrían obtener códigos (Claburn, 2009; King, 2009). Reconocer que la seguridad es un proceso continuo, nunca se hace, y las empresas necesitan perseguir la seguridad con tenacidad y compromiso.

Educación, Auditoría y Cumplimiento

La seguridad se refiere tanto a las personas, a los procesos y a las políticas, como a la tecnología.

Desde la perspectiva de las personas, la función de seguridad requiere múltiples niveles de experiencia. Los empleados de operaciones están involucrados en el monitoreo diario de los sistemas existentes. La función de I+D de un grupo consiste en comprender las amenazas emergentes y revisar, seleccionar e implementar técnicas de seguridad actualizadas. Un equipo también debe trabajar en temas de gobernanza más amplios. Estos esfuerzos deben incluir representantes de la seguridad especializada y funciones más amplias de tecnología e infraestructura. También deberá incluir representantes de consejeros generales, auditores, relaciones públicas y recursos humanos. Lo que esto significa es que incluso si eres un miembro del personal no técnico, es posible que te traigan para ayudar a una empresa a lidiar con los problemas de seguridad.

Los procesos y políticas incluirán la educación y la concientización, esto también es asunto de todos. Como dice el vicepresidente de desarrollo de productos de la firma de seguridad Symantec, “Hacemos los productos muy bien, pero el siguiente paso es la educación. No podemos mantener la seguridad de Internet solo con el software antivirus” (Goldman, 2009). Las empresas deben abordar la seguridad de la información como parte de su “responsabilidad corporativa colectiva... independientemente de que la regulación les exija hacerlo ¹.”

Para una lección de lo importante que es la educación, no busques más allá del jefe de la CIA. El ex director de Inteligencia de Estados Unidos, John Deutch, se involucró en un comportamiento sorprendentemente flojo con secretos digitales, incluido llevar un diario de información clasificada, unas mil páginas, en las tarjetas de memoria que transportaría en el bolsillo de su camisa. También descargó y almacenó información del Pentágono, incluyendo detalles de operaciones encubiertas, en casa en computadoras que su familia usaba para el acceso rutinario a Internet (Lewis, 2000).

Los empleados necesitan conocer las políticas de una empresa, estar capacitados regularmente y comprender que enfrentarán sanciones estrictas si no cumplen con sus obligaciones. Las políticas sin ojos (auditoría) y dientes (aplicación) no se tomarán en serio. Las auditorías incluyen monitoreo en tiempo real del uso (por ejemplo, quién accede a qué, desde dónde, cómo y por qué; hacer sonar la alarma si se detecta una anomalía), auditorías anunciadas y verificaciones sorpresa. Esta función también podría organizar ataques de demostración de sombrero blanco, intentos de buscar y exponer debilidades, ojalá antes de que los piratas informáticos las encuentren. Los marcos ofrecen pautas sobre auditoría, pero una encuesta reciente encontró que la mayoría de las organizaciones no documentan los procedimientos de aplicación en sus políticas de seguridad de la información, que más de un tercio no auditan ni monitorean el cumplimiento de las políticas de seguridad por parte de los usuarios, y que solo el 48 por ciento mide y revisa efectividad de las políticas de seguridad (Matwyshyn, 2009).

Los procesos de desarrollo e implementación de tecnología de una empresa también deben integrarse con el equipo de seguridad para garantizar que desde el principio, las aplicaciones, bases de datos y otros sistemas se implementen pensando en la seguridad. El equipo tendrá habilidades especializadas y monitoreará las últimas amenazas y podrá asesorar sobre las precauciones necesarias para asegurarse de que los sistemas no se vean comprometidos durante la instalación, el desarrollo, las pruebas y la implementación.

¿Qué hay que proteger y cuánto es suficiente?

Un estudio mundial realizado por PricewaterhouseCoopers y la revista Chief Security Officer reveló que la mayoría de las firmas ni siquiera saben lo que necesitan proteger. Solo el 33 por ciento de los ejecutivos respondieron que sus organizaciones mantenían un inventario preciso de las ubicaciones y jurisdicciones donde se almacenaban los datos, y solo el 24 por ciento mantenía el inventario de todos los terceros que usaban los datos de sus clientes (Matwyshyn, 2009). Lo que esto significa es que la mayoría de las firmas ni siquiera tienen una lectura precisa sobre dónde se guardan sus objetos de valor, y mucho menos cómo protegerlos.

Por lo que la seguridad de la información debe comenzar con una auditoría estilo inventario y una evaluación de riesgos. Las tecnologías se remontan a riesgos específicos del negocio. ¿Qué necesitamos proteger? ¿Qué tememos que pueda pasar? ¿Y cómo lo protegemos? La seguridad es un problema económico, que implica probabilidad de ataque, costos y beneficios de prevención. Estas son compensaciones complejas que deben considerar pérdidas por robo o recursos, daños en los sistemas, pérdida de datos, divulgación de información propietaria, recuperación, tiempo de inactividad, caídas del precio de las acciones, honorarios legales, sanciones gubernamentales y de cumplimiento, e intangibles como reputación de empresa dañada, pérdida de clientes y socios la confianza, el daño a la industria, la promoción del adversario y el estímulo de futuros ataques.

Si bien muchas empresas escatiman en seguridad, las empresas tampoco quieren gastar mal, apuntando a hazañas que no son probables, mientras que subinvierten en métodos fácilmente prevenidos para frustrar las técnicas comunes de infiltración. Convenciones de hackers como DefCon pueden mostrar algunas hazañas realmente salvajes. Pero le toca a la firma evaluar qué tan vulnerable es ante estos diversos riesgos. La tienda de donas local tiene necesidades muy diferentes a las de una instalación militar, una agencia de aplicación de la ley, una institución financiera o una empresa que alberga otros activos electrónicos de alto valor. Un equipo calificado de evaluación de riesgos considerará estas vulnerabilidades y qué tipo de inversiones de contramedidas deben tener lugar.

Las decisiones económicas también suelen impulsar el comportamiento de los hackers. Si bien en algunos casos los ataques se basan en vendetta o razones personales, en la mayoría de los casos explotar la economía se reduce en gran medida a

ROI adversario = Valor del activo a adversario — Costo del adversario.

Los costos de un adversario incluyen no solo los recursos, el conocimiento y la tecnología necesarios para el exploit, sino también el riesgo de ser atrapado. Hacer que las cosas sean difíciles de alcanzar, y cabildear por una legislación que imponga sanciones severas a los delincuentes puede ayudar a aumentar los costos de los adversarios y disminuir su probabilidad de convertirse en víctima.

El papel de la tecnología

Las soluciones técnicas a menudo involucran variantes de fuerza industrial de los temas previamente discutidos que los individuos pueden emplear, por lo que su conciencia ya es alta. Además, el enfoque de una organización a menudo aprovechará múltiples capas de protección e incorporará una amplia variedad de medidas de protección.

Parche. Las empresas deben estar especialmente atentas para prestar atención a los boletines de seguridad e instalar actualizaciones de software que tapen los agujeros existentes, (a menudo denominados parches). Las firmas que no tapan problemas conocidos serán vulnerables a ataques triviales y automatizados. Desafortunadamente, muchas firmas no están actualizando todos los componentes de sus sistemas con atención constante. Con los sistemas operativos automatizando las instalaciones de actualización de seguridad, los hackers han pasado a los objetivos de las aplicaciones. Pero un estudio importante recientemente encontró que las organizaciones tardaron al menos el doble de tiempo en parchear las vulnerabilidades de las aplicaciones que tardan en parchear los agujeros del sistema operativo (Wildstrom, 2009). Y recuerde, el software no se limita a PCs y servidores convencionales. Los sistemas integrados abundan y los dispositivos conectados, sin embargo, los dispositivos sin parches son vulnerables. El malware ha infectado todo, desde cajeros automáticos desprotegidos (Lilly, 2009) hasta sistemas de punto de venta de restaurantes (McMillan, 2009) y sistemas de navegación de aviones de combate (Matyszczyk, 2009).

Como ejemplo de vulnerabilidades sin parches, considere el exploit de envenenamiento de caché DNS descrito anteriormente en este capítulo. El descubrimiento de esta debilidad fue una de las mayores historias de seguridad el año en que se descubrió, y los expertos en seguridad vieron esto como una amenaza importante. Equipos de programadores de todo el mundo corrieron para proporcionar correcciones para las versiones más utilizadas del software DNS. Sin embargo, varios meses después de que los parches estuvieran disponibles, aproximadamente una cuarta parte de todos los servidores DNS aún estaban sin parchear y expuestos ².

Para ser justos, no todas las firmas retrasan parches por negligencia. Algunas organizaciones tienen preocupaciones legítimas sobre probar si el parche romperá su sistema o si la nueva tecnología contiene un cambio que causará problemas en el futuro ³. Y ha habido casos en los que los propios parches han causado problemas. Por último, muchas actualizaciones de software requieren que los sistemas sean retirados. Las empresas pueden tener requisitos de tiempo de actividad que dificultan la aplicación inmediata de parches. Pero en última instancia, los sistemas sin parchear son una puerta abierta para la infiltración.

Bloquee el hardware. Las empresas varían ampliamente en los regímenes de seguridad utilizados para regir la compra mediante el uso del sistema de eliminación. Mientras que algunas grandes empresas como Kraft están permitiendo a los empleados seleccionar su propio hardware (Mac o PC, computadora de escritorio o computadora portátil, iPhone o BlackBerry) (Wingfield, 2009), otras emiten sistemas estándar que impiden toda la instalación de software no aprobada y obligan a guardar archivos para endurecer, respaldar, escanear y monitorear servidores. Las empresas en industrias especialmente sensibles, como los servicios financieros, pueden reimaginar regularmente el disco duro de las PC de los usuarios finales, reemplazando por completo todos los bits del disco duro de un usuario con una versión actual prístina, borrando efectivamente el malware que podría haberse colado previamente en la PC de un usuario. Otros métodos de bloqueo podrían deshabilitar la capacidad de arranque de los medios extraíbles (un método común para propagar virus a través de discos insertados o USB), evitar el uso de Wi-Fi o requerir cifrado VPN antes de permitir cualquier transmisión de red, y más. La nube ayuda aquí, también. (Ver Capítulo 10 “Software en Flujo: Parcialmente Nublado y A veces Libre”.) Los empleadores también pueden exigir a los trabajadores que ejecuten todas sus aplicaciones corporativas dentro de un escritorio remoto donde el hardware y el software de ejecución reales están en otro lugar (probablemente alojados como una sesión de máquina virtual en los servidores de la organización), y al usuario simplemente se le sirve una imagen de lo que se está ejecutando de forma remota. Esto sella la PC virtual de una manera que la firma puede monitorear, actualizar, respaldar y bloquear a fondo.

En el caso de Kraft, a los ejecutivos les preocupaba que las políticas tecnológicas previamente restrictivas de la firma impidieran a los empleados mantenerse al día con las tendencias. Los empleados que opten por el sistema deben firmar un acuerdo prometiendo que seguirán los procedimientos de seguridad obligatorios. Aún así, las firmas de servicios financieros, las oficinas legales, los proveedores de atención médica y otros pueden necesitar mantener un control más estricto, por razones legales y de cumplimiento de la industria.

Bloquee la red. El monitoreo de la red es una parte crítica de la seguridad, y una gran cantidad de herramientas técnicas pueden ayudar.

Las empresas emplean cortafuegos para examinar el tráfico a medida que entra y sale de la red, bloqueando potencialmente ciertos tipos de acceso, al tiempo que permiten la comunicación aprobada. Los sistemas de detección de intrusiones buscan específicamente comportamientos no autorizados, haciendo sonar la alarma y potencialmente tomando medidas si algo parece estar mal. Algunas empresas despliegan honeypots, ofertas falsas destinadas a distraer a los atacantes. Si los atacantes hacen cebo honeypot, las empresas pueden tener la oportunidad de reconocer las hazañas del hacker, identificar la dirección IP de la intrusión y tomar medidas para bloquear nuevos ataques y alertar a las autoridades.

Muchas empresas también implementan listas negras, lo que niega la entrada o salida de direcciones IP específicas, productos, dominios de Internet y otras restricciones de comunicación. Mientras que las listas negras bloquean a los malos conocidos, las listas blancas son aún más restrictivas, permitiendo la comunicación solo con entidades aprobadas o de manera aprobada.

Estas tecnologías se pueden aplicar a la tecnología de red, aplicaciones específicas, detección de ciertos tipos de aplicaciones, firmas de malware y búsqueda de patrones anómalos. Esto último es importante, ya que el malware reciente se ha vuelto polimórfico, lo que significa que se crean y se despliegan diferentes versiones de tal manera que su firma, una especie de huella digital electrónica utilizada a menudo para reconocer código malicioso, se ve ligeramente alterada. Esto también ayuda con las hazañas de día cero y en situaciones en las que los sitios Web incluidos en la lista blanca se ven comprometidos.

Muchas soluciones técnicas, que van desde el monitoreo de la red y la respuesta hasta la detección de correo electrónico, están migrando a “la nube”. Esto puede ser algo bueno: si el software de monitoreo de red inmediatamente comparte noticias de cierto tipo de ataque, las defensas podrían ser expulsadas a todos los clientes de una empresa (cuantos más usuarios, cuanto más “inteligente” pueda llegar a ser el sistema potencialmente, nuevamente vemos el poder de los efectos de red en acción).

Bloquear a los socios. Insistir en que las firmas asociadas cumplan con las normas y auditarlos para asegurar que este sea el caso. Esto incluye proveedores de tecnología y firmas contratadas, así como participantes de la cadena de valor como proveedores y distribuidores. Cualquiera que toque tu red es un punto potencial de debilidad. Muchas firmas construirán expectativas y compromisos de seguridad en garantías de desempeño conocidas como acuerdos de nivel de servicio (SLA).

Sistemas de bloqueo. Auditoría para inyección SQL y otros exploits de aplicaciones. El equipo de seguridad debe escanear constantemente exploits y luego sondear sus sistemas para ver si es susceptible, asesorando y haciendo cumplir acciones si se descubren problemas. Este tipo de auditoría debe ocurrir con todos los socios de una firma.

Los controles de acceso también pueden compartimentalizar el acceso a los datos sobre la base de la necesidad de conocer. Dichas herramientas no solo pueden hacer cumplir los privilegios de acceso, sino que pueden ayudar a crear y monitorear pistas de auditoría para ayudar a verificar que los sistemas no están siendo accedidos por personas no autorizadas, o de formas sospechosas.

Las pistas de auditoría se utilizan para disuadir, identificar e investigar estos casos. El acceso de grabación, monitoreo y auditoría permite a las empresas buscar patrones de abuso. Los registros pueden detallar quién, cuándo y desde dónde se accede a los activos. Los sorteos de actividad nefasta pueden incluir el acceso desde direcciones IP desconocidas, desde tiempos no estándar, accesos que ocurren a volúmenes más altos de lo habitual, y así sucesivamente. Las alertas automatizadas pueden poner una cuenta en espera o llamar a un equipo de respuesta para una mayor observación de la anomalía.

Las herramientas de inicio de sesión único pueden ayudar a las empresas a ofrecer a los empleados una contraseña muy segura que funciona en todas las aplicaciones, se cambia con frecuencia (o se administra mediante tarjetas de hardware o inicio de sesión de teléfonos móviles) y el personal de administración de contraseñas puede alterar.

Múltiples administradores deben controlar conjuntamente los sistemas clave. Los cambios importantes de configuración pueden requerir la aprobación de múltiples empleados, así como la notificación automática del personal afectado. Y las empresas deben emplear un mecanismo de recuperación para recuperar el control en caso de que los administradores clave estén incapacitados o no cooperen. Esto equilibra las necesidades de seguridad con la capacidad de responder en caso de crisis. Dicho sistema no estaba vigente en el caso antes descrito del pícaro personal de TI que mantuvo como rehenes a las redes de la ciudad de San Francisco al negarse a renunciar a contraseñas vitales.

Tener planes de fracaso y recuperación. Si bien las firmas trabajan para evitar los intentos de infiltración, también deben contar con disposiciones que planean para lo peor. Si se ha producido un compromiso, ¿qué hay que hacer? ¿Es necesario devaluar los activos robados (por ejemplo, cuentas terminadas, nuevas cuentas emitidas)? ¿Qué se debe hacer para notificar a los clientes y socios, educarlos y asesorarlos a través de las respuestas necesarias? ¿Quién debería trabajar con las fuerzas del orden y con los medios de comunicación? ¿Es necesario activar los backups externos o los sistemas redundantes? ¿Se pueden restaurar los sistemas de manera confiable sin correr el riesgo de daños adicionales?

Las mejores prácticas están empezando a surgir. Si bien el triaje posterior al evento está más allá del alcance de nuestra introducción, la buena noticia es que las empresas ahora están compartiendo datos sobre violaciones. Dadas las posibles consecuencias negativas de una violación, las organizaciones una vez rara vez admitieron que habían sido comprometidas. Pero ahora muchos están obligados a hacerlo. Y la amplia conciencia de la infiltración reduce el estigma organizacional al presentarse, y permite a las empresas y proveedores de tecnología compartir conocimientos sobre las técnicas utilizadas por los ciberdelincuentes.

La seguridad de la información es un dominio complejo, en constante cambio y de vital importancia. Las hazañas cubiertas en este capítulo parecen desalentadoras, y constantemente surgen nuevas hazañas. Pero su pensamiento sobre temas clave ahora debería ser más amplio. Esperemos que ahora haya incorporado el pensamiento de seguridad en su ADN gerencial, y esté mejor preparado para ser un usuario inteligente del sistema y un participante proactivo que trabaje por la seguridad de su empresa. ¡Mantente a salvo!

Claves para llevar

Los usuarios finales pueden participar en varios pasos para mejorar la seguridad de la información de sí mismos y de sus organizaciones. Estos incluyen navegar de manera inteligente, mantenerse alerta, actualizar software y productos, usar una suite de seguridad integral, administrar configuraciones y contraseñas de manera responsable, hacer copias de seguridad, deshacerse adecuadamente de activos sensibles y buscar educación.
Marcos como ISO27k pueden proporcionar una hoja de ruta para ayudar a las organizaciones a planificar e implementar un régimen de seguridad efectivo.
Muchas organizaciones están obligadas por compromisos de cumplimiento de seguridad y enfrentarán multas y retribuciones si no cumplen con estos compromisos.
El uso de marcos y ser conformes no es igual a la seguridad. La seguridad es un proceso continuo que debe ser atendido constantemente y profundamente arraigado en la cultura de una organización.
La seguridad se trata de compensaciones, económicas e intangibles. Las empresas necesitan comprender sus activos y riesgos para asignar mejor los recursos y atender sus necesidades.
La seguridad de la información no es simplemente una solución técnica. La educación, la auditoría y la aplicación con respecto a las políticas de la firma son fundamentales El equipo de seguridad es ampliamente capacitado y trabaja constantemente para identificar e incorporar nuevas tecnologías y métodos en sus organizaciones. La participación y el compromiso son esenciales desde la sala de juntas hasta los trabajadores de primera línea, y hacia los clientes y socios.

Preguntas y ejercicios

Visita la página de seguridad de tu ISP, escuela o empleador. ¿Qué técnicas abogan por las que hemos discutido aquí? ¿Hay alguna técnica adicional mencionada y discutida? ¿Qué provisiones adicionales ofrecen (herramientas, servicios) para ayudarte a mantenerte informado y seguro?
¿Qué tipo de regímenes de seguridad están en uso en tu universidad, y en las empresas en las que has trabajado o internado? Si no tienes experiencia con esto, pídele a un amigo o familiar sus experiencias profesionales. ¿Considera que estas medidas son demasiado restrictivas, demasiado laxas o casi correctas?
Si bien hemos discutido los riesgos de tener una seguridad demasiado laxa, ¿qué riesgo corre una empresa si sus mecanismos de seguridad son especialmente estrictos? ¿Qué podría renunciar una firma? ¿Cuáles son las consecuencias de las estrictas disposiciones de seguridad del usuario final?
¿Qué riesgos enfrenta una empresa al dejar el software sin parchear? ¿Qué riesgos enfrenta si despliega parches tan pronto como emergen? ¿Cómo debe una empresa conciliar estos riesgos?
¿Qué métodos utilizan las empresas para garantizar la integridad de su software, su hardware, sus redes y sus socios?
El sistema de gestión de contraseñas de una organización representa “las claves de la ciudad”. Describir los problemas de personal que una empresa debe preocuparse con respecto a la administración de contraseñas. ¿Cómo podría abordar estas preocupaciones?