Saltar al contenido

¿Qué tan segura debe ser mi firma?

Las estrategias de seguridad tienen que ver más con la creación de una cultura que con la implementación de un producto. Ciertamente hay amenazas, como describiré en este artículo, pero también hay riesgos legales y costos duros para las empresas, incluyendo el riesgo de fracaso empresarial.

Aquí hay algunos puntos que cubriré en este artículo – y en mayor detalle en mi sesión en la conferencia de este año de Accountex 2016:

¿Qué tan segura debe ser mi firma?
¿Qué tan segura debe ser mi firma?
  • Descripción de los temas
  • Riesgos legales y de cumplimiento
  • Respuesta a incidentes
  • Políticas
  • Consideraciones informáticas
  • Herramientas y técnicas
  • Plan de cinco pasos para la seguridad
  • Evitar el robo de identidad

Riesgos para la seguridad cibernética de las pequeñas empresas

La ciberseguridad sigue acaparando los titulares por las infracciones sensacionales y a gran escala, pero unas pocas cifras ayudan a que las pequeñas empresas se den cuenta de la necesidad.Dell SonicWALL ha identificado actualmente no menos de 1.700 variantes del malware CryptoLocker solamente.

Las últimas variantes incluyen la capacidad de:

1. Empezar una infección después de las horas de trabajo.

2. Comienza la encriptación sin comunicación con un servidor de claves.

3. Infectar cualquier perfil de acceso remoto utilizado por los Servicios de Datos Remotos (antes Servicios de Terminal) o Citrix.

Otra iniciativa de seguridad común es el cumplimiento de la PCI para cualquiera que acepte tarjetas de crédito. La PCI tiene cuatro niveles de cumplimiento con 12 requisitos, según el Consejo de Normas de Seguridad de la PCI (PCI SSC), basados en las transacciones procesadas por año:

  • Nivel 1 – Más de 6 millones de transacciones de tarjetas de crédito
  • Nivel 2 – 1 millón a 6 millones de transacciones
  • Nivel 3 – 20.000 a 1 millón de transacciones
  • Nivel 4 – Menos de 20.000 transacciones procesadas

El incumplimiento del Nivel 4 obliga a una compañía a cumplir con los requisitos mucho más restrictivos del Nivel 1. En efecto, esto puede hacer que las pequeñas empresas no puedan aceptar tarjetas de crédito, lo que para muchas empresas sería una sentencia de muerte.

El cumplimiento de la ICP es simplemente uno de los riesgos legales y de cumplimiento desde la perspectiva de la seguridad cibernética. El cumplimiento de la PCI es ayudado en gran medida por la implementación y el mantenimiento adecuado del cortafuegos.

En 2003-04, la mayoría de los ciberataques fueron maliciosos. En 2005, el motivo de lucro había llegado y el crimen organizado entró en la escena del malware con las primeras versiones de los rescates. Avanzamos rápidamente hasta 2012, y las amenazas comenzaron a ser persistentes y complejas.

Hoy en día, los eslabones más débiles siguen siendo el usuario y los dispositivos que utilizan, en particular en lo que respecta a los nombres de usuario y las contraseñas. Una solución en esta área es la autenticación multifactorial, algo que tienes y algo que conoces. Las soluciones de producto aquí incluyen Duo, AuthAnvil, Google Authenticator, y la autenticación multifactorial para los usuarios de Microsoft Office 365.

¿Cuáles son algunos de los otros riesgos? Una lista parcial incluye: programas de rescate, otros virus y programas malignos, la "Internet de las cosas," ciberespionaje, robo/crimen cibernético, contraseñas inseguras, BYOD, acceso no autorizado a datos, datos almacenados indebidamente sin controles, privacidad y reglamentación, y participación del personal.

Los riesgos por tipo de dispositivo incluyen:

  • Servidores corporativos, que son objetivos frecuentes.
  • Escritorios inseguros, que pueden ser un conducto hacia los servidores corporativos.
  • Los dispositivos portátiles perdidos y robados, que plantean dos riesgos adicionales: la seguridad de los datos del dispositivo y la capacidad del dispositivo para acceder a los servidores.

Por último, el acceso público a la nube es una verdadera oportunidad para los hackers. En los días de los gángsteres de los años 30, cuando el reportero Mitch Ohnstad le preguntó a Willie Sutton por qué robaba bancos, Sutton respondió, "Porque ahí es donde está el dinero."La cita evolucionó a la ley de Sutton.

Los hackers de hoy en día van a por los proveedores de la nube a diario debido a la enorme oportunidad de obtener beneficios económicos. Actualmente, pasan 234 días, en promedio, antes de que se descubra una brecha después de la intrusión inicial.

Cuando se considera la violación del Dropbox que provocó 68 millones de cambios de contraseña o la violación de SWIFT que resultó en transferencias multimillonarias, el riesgo y las violaciones están en todas partes y es difícil para una pequeña empresa elegir y permitirse los recursos adecuados. SWIFT se utiliza para transmitir confirmaciones de cambio de divisas, confirmaciones de ingreso de débito y crédito, estados de cuenta, cobros y créditos documentarios. Estas infracciones hacen que algunas tramas cinematográficas descabelladas parezcan factibles.

Componentes de un ciberataque

¿Cuáles son los elementos de un ciberataque? Estos componentes existen en casi todos los estilos de ataque:

  • Punto final : El objetivo del ataque (PCs individuales, servidores o redes). El propósito del ataque es controlar, corromper o desactivar el endpoint.
  • Vulnerabilidad: La debilidad que permite penetrar el punto final. Las vulnerabilidades incluyen fallas de software, debilidades de diseño del sistema, configuraciones inseguras y errores humanos.
  • Malware: Software malicioso. Existen muchos tipos diferentes de malware, y los ataques a menudo implican más de uno.
  • Vehículo de reparto: El malware se entrega a las máquinas de las víctimas a través de diversas técnicas, desde la ingeniería social (phishing) hasta las memorias USB.
  • Método de ejecución (MoE): Los medios a través de los cuales los atacantes obtienen los recursos necesarios (acceso, tiempo de procesamiento, datos, etc.) para ejecutar un ataque.

Discutiremos en detalle los distintos tipos de malware y rescates durante mi sesión de Accountex 2016. Aquí sólo señalaré que las pequeñas empresas deberían tener un plan de respuesta a incidentes de ataques de malware, al igual que deberían tener un plan de continuidad de negocio/recuperación de desastres. En la sesión discutiremos cómo crear el plan, los contactos adecuados con las autoridades legales y las acciones apropiadas a tomar.

Creación de una estrategia de seguridad cibernética apropiada

Se necesitan políticas, normas y directrices para crear una estrategia de seguridad cibernética adecuada. ¿En qué consisten estos tres componentes?

Una política suele ser un documento que describe los requisitos o normas específicas que deben cumplirse. Una política de uso aceptable cubriría las reglas para el uso apropiado de las computadoras, la red, el correo electrónico, Internet, etc.

Una norma suele ser un conjunto de requisitos específicos de un sistema o procedimiento que deben cumplir todos. Puede desarrollarse un estándar que describa cómo endurecer una estación de trabajo de Windows 10 para su colocación en una red externa.

Una directriz suele ser una colección de sugerencias específicas de sistemas o procedimientos para las mejores prácticas. Las directrices no son requisitos, pero se recomiendan encarecidamente.

¿Cuáles son algunos ejemplos de las políticas que debería incluir?

  • Política de uso aceptable
  • Política de contraseñas
  • Política de BYOD
  • Plan y política de seguridad informática
  • Política de retención de registros
  • Política de sensibilidad
  • Política de redes sociales
  • Política de uso del sitio web y del portal
  • Política de escritorio limpio
  • Política de eliminación de equipo técnico
  • Política de correo electrónico
  • Política de cifrado de dispositivos móviles
  • Política de medios removibles
  • Política de recuperación de desastres

Hay ejemplos de políticas disponibles en SANS.org, uno de nuestros lugares favoritos para recomendar en materia de seguridad.

Hay cuestiones técnicas que querrá tratar con su equipo también. Los cortafuegos, la configuración de la infraestructura, las responsabilidades de TI en curso y las protecciones de los usuarios son las categorías generales, con una serie de cuestiones específicas para revisar en cada caso. Cisco, Microsoft y SANS.org tienen todos directrices en estas áreas.

Como mínimo, deberías tener protección antivirus y encriptación además de un fuerte cortafuegos. También deberías considerar la Gestión de Identidad y Acceso (IAM) y la Gestión de Información y Eventos de Seguridad (SIEM).

Pensamientos finales

Los profesionales de la informática y la seguridad pueden hacer fácilmente de la ciberseguridad el centro de sus carreras. Si bien este artículo ofrece una orientación de alto nivel, hay muchos detalles que deben añadirse y comprenderse para que usted logre una protección razonable para su empresa y la de sus clientes. Espero verlos en mi sesión previa a la conferencia sobre Ciberseguridad: Análisis de Amenazas para discutir más detalles.

Nota: Las violaciones de seguridad acaparan muchos titulares. ¿Cuánto es sensacionalismo, y cuánto implica un riesgo real para su negocio y la seguridad de sus clientes? ¡Mucho más de lo que piensas!

Deberías considerar cómo y qué necesitas para estar «suficientemente seguro». Entonces, ¿qué has hecho últimamente?

Randy Johnston es un conocido experto en tecnología, consultor, entrenador y orador. Él hablará en el próximo evento de Accountex USA 2016, del 15 al 18 de noviembre en Las Vegas durante las sesiones mencionadas.La entrada original apareció en el blog del Sleeter Group. AccountingWEB y Accountex se han asociado para ofrecerles este contenido ya que compartimos la creencia en el fomento de la profesión a través de una mayor comprensión.