CambioDigital-OL

0

En tiempos difíciles: Aumente la seguridad sin gastar dinero

security2Para las pequeñas empresas, la seguridad es una cuestión importante. El problema es que muchos de los consejos quedan atrapados dentro de algunos de los profesionales y compañías de seguridad con más experiencia del país, y las PYMEs no siempre los escuchan.

Persiste la percepción de que para mejorar la seguridad se requiere un gran cambio organizacional y una gran inversión, posiblemente más de lo que las pequeñas empresas tienen.

Pero las PYMES no tienen que invertir mucho dinero -siempre y cuando las organizaciones presten atención al puñado de grandes debilidades que los atacantes siempre buscan explotar.

Aquí recogemos algunos de los mejores consejos.

1. Deje de ignorar las amenazas de correo electrónico
El correo electrónico es la puerta de entrada que los atacantes siempre intentarán primero. ¿Por qué? Porque es un punto de acceso fácil y puede ser una herramienta efectiva para los hackers.

Solo se necesita un correo electrónico con malware adjunto para que un atacante obtenga sus contactos y acceda a partes de la red. Los hackers también pueden enviarle un correo electrónico utilizando el nombre de contactos conocidos, lo que permite que el ataque se propague rápidamente.

Podría sentirse tentado de decirle a todos los empleados que no abran archivos adjuntos de contactos desconocidos, pero, francamente, ese es un consejo inútil.

En cambio, primero debe observar los sistemas de correo electrónico que se utilizan, ya sea Hosted Exchange o Gmail, los cuales pueden ser configurados usando las herramientas de la lista blanca de los contactos agregados a la libreta de direcciones. Estos también usan su propio filtro para reducir la carga de correos electrónicos sospechosos.

Todos los clientes de correo electrónico recientes, incluidos los servicios de correo web como Gmail, también tratarán los archivos adjuntos de contactos desconocidos como sospechosos automáticamente, aplicando reglas igualmente difíciles a los correos electrónicos con enlaces incrustados. Este es un comienzo.

Para ayudar a combatir los ataques de phishing por correo electrónico, debe usar el software de prueba antiphishing. La mayoría de estos costarán dinero, pero hay algunos buenos que no.

Nos gusta la consultora estadounidense KnowBe4, ya que ofrece una prueba en línea gratuita que vale la pena probar, para tener una idea de qué tan bien orientada está la fuerza laboral en lo que a phishing respecta.

2. Suponer que los sitios web son vulnerables
Explotar fallas en los sitios web de comercio electrónico mediante la inyección SQL, scripts entre sitios y similares, es otra forma absolutamente estándar para atacar a una empresa.

Si está preocupado, debe usar un escáner de vulnerabilidades para verificar si el sitio web que está utilizando es legítimo y seguro.

Numerosos escáneres de vulnerabilidad de sitios web se encuentran disponibles en QualysAlienVaultAcunteix(la mayoría de los cuales ofrecen rutas gratuitas); mientras que las herramientas gratuitas de código abierto abundan, pero requieren una mayor experiencia. VegaW3af y SQLmap son herramientas como para comenzar.

3. Deshabilitar el software arriesgado
La mayoría de las PCs de trabajo ejecutan demasiado software, algunos de ellos instalados por empleados sin que los administradores sepan nada al respecto.

Esto es increíblemente arriesgado; pero afortunadamente remediarlo es posible simplemente eliminando el software de destino común que se sabe que tiene un flujo de vulnerabilidades de día cero.

La mayoría de los ataques maliciosos provienen de los plug-ins de video Flash para navegadores, de la aplicación Adobe Reader de PDF y de Java Runtime Environment (JRE, incluidas las versiones antiguas).

Si los quita y los desinstala, elimina una gran parte del riesgo. Sin embargo, probablemente no quiera eliminar los complementos que aún usa, por lo que si, por ejemplo, necesita capacidad de PDF, los últimos navegadores han incorporado un visor de espacio aislado sin necesidad de cargar el programa completo o incluso descargar el archivo.

Por lo tanto, como mínimo, las interfaces como Flash deben habilitarse bajo demanda, lo que requiere que el usuario las ejecute manualmente.

4. Use bien el encriptado
Ninguna tecnología se invoca más que el cifrado como una forma sencilla de mejorar la seguridad, pero usarlo no es una simple panacea.

El primer desafío es que el cifrado suele ser costoso, patentado por aplicaciones específicas y, por supuesto, las claves utilizadas también deben almacenarse en un lugar seguro.

Sin embargo, el cifrado aún puede ser útil para los datos almacenados, esto es particularmente cierto en los dispositivos móviles con plataformas, como iOS y Android, que ofrecen cifrado seguro como estándar en las versiones recientes. Las laptops de negocios, actualmente, siempre se ofrecen con Full Disk Encryption (FDE) como una opción, una que las PYMEs siempre deberían tomar. Los dispositivos USB también deben estar siempre encriptados.

El cifrado de escritorio a pequeña escala es un poco más complicado, más ahora que el famoso programa de código abierto TrueCrypt ya no se considera confiable. Microsoft ofrece Windows Defender en su versión de Windows 10 del sistema operativo, pero existen otras herramientas que funcionan de diferentes maneras, desde el cifrado de archivo por archivo hasta la creación de volúmenes cifrados.

Symantec ofrece productos de cifrado y, aunque son relativamente caros, ofrece una administración central.

5. Asegure las cuentas bancarias en línea
Uno de los principales objetivos para los atacantes son las máquinas utilizadas para acceder a la cuenta comercial en línea, por lo que lo mejor es vaciarlas. Este tipo de ataque ahora es epidémico y con miles de dólares perdidos por vez. No hay una defensa fácil contra esto, pero pensando lateralmente, una opción es usar una máquina dedicada que ejecute una instalación mínima para acceder a estos servicios.

La mayoría de las PYMES que utilizan este enfoque utilizan una máquina Linux o una PC simplificada, pero otra opción es utilizar una Google Chromebook barata.

Con la capacidad de ser devueltas a una experiencia básica del navegador Chrome con bastante facilidad, no pueden ser infiltradas por malware ejecutable de la misma manera que otros puntos finales.

La única limitación es que algunas no vienen con un puerto Ethernet físico, algo que recomendaríamos. Nota: El respaldo en línea siempre se debe usar con una configuración completa del sistema de autenticación de dos factores (es decir, no autenticado mediante un SMS) independientemente del punto final. Tenga en cuenta también que las Chromebook no son invulnerables, sino que simplemente son mucho menos vulnerables cuando se usan de esta manera.

6. Tome en serio las contraseñas
Parece una cosa simple, pero una contraseña segura es una disciplina extremadamente importante que todos los negocios y empleados deben dominar.

Todo el mundo sabe que las contraseñas deben ser largas, fuertes y cambiadas a menudo, pero ¿qué significa esto en la práctica? ¿Con qué frecuencia es suficiente cambiarla y, qué tan larga y compleja tiene que ser?

Lo más importante es simplemente cambiar las contraseñas que otorgan algún tipo de acceso de administrador a menudo. Hacer esto -y volverlos lo suficientemente complejas- minimizará la oportunidad de ataques que logran hacerse con ellas.

La única manera de hacerlo de manera confiable es automatizar el proceso utilizando un administrador de contraseñas como LastPass EnterpriseCentrify o Dashlane, aunque esto también impone la seguridad 2FA como una capa adicional.

Para obtener nuestra lista completa de los mejores administradores de contraseñas, consulte aquí.

7. Racionalizar parches
El parcheo del software de punto final es una función agobiante para la mayoría de las empresas; sin embargo, es un mal necesario.

Mientras que las empresas compran sistemas complejos para administrar el parcheo a las políticas y los horarios definidos, las pequeñas empresas aún pueden probar herramientas gratuitas de análisis de vulnerabilidades y parches, tales como RetinaPatch Manager o Baseline Security Analyzer (MBSA) de Microsoft, este último solo para Windows.

8. Deshabilite los derechos de administrador
Los derechos de administrador representan un riesgo importante para las PYMEs. Esto se debe a que permite al usuario y al software hacer cosas que podrían poner a las máquinas en peligro, como la configuración de seguridad excesiva o la instalación de software no aprobado.

Las versiones de Windows anteriores a Windows Vista, otorgaban derechos de administrador a los usuarios de forma predeterminada, lo que permitía a los programadores de malware solicitar los privilegios elevados que necesitaban sin muchas barreras.

En Vista, Windows Server 2008 y Windows 7 esto se reforzó utilizando algo llamado Control de Cuentas de Usuario (UAC), un sistema muy criticado que lanzó solicitudes de elevación al usuario.

Muchos simplemente hicieron clic en sí y por una buena razón -las aplicaciones heredadas fueron diseñadas para tener derechos de administrador para llevar a cabo ciertas acciones, por lo que los usuarios necesitaban esta capa de control de vez en cuando para evitar que las aplicaciones fallaran.

En una reforma muy necesaria, Windows 8 y 10 eliminaron los derechos de administrador y los usuarios que requieren elevación iniciando sesión con una cuenta creada para tal fin -no cuenta, no elevación. En las máquinas independientes, esta cuenta debe estar habilitada, a pesar de que las máquinas de negocios no deben ser configuradas para ofrecer este control.

9. Controle el almacenamiento en la nube
No todo el mundo ve la sombra de TI y la nube como un riesgo absoluto, pero las posibilidades de que surjan problemas es obvia.

En general, los servicios en la nube son una gran ayuda para las PYMES, pero las organizaciones pequeñas deben tener cuidado de usarlos ingenuamente. Cuando se trata de almacenar los archivos de una organización en la nube, estos, en la mayoría de los casos, serán cifrados por el proveedor – Dropbox, por ejemplo -a un alto nivel.

Sin embargo, el proveedor retiene la clave y, en determinadas circunstancias, puede acceder a los archivos. Por esta razón, han surgido sistemas de cifrado de terceros, tales como Boxcryptor (que funciona con Google Drive, Dropbox, OneDrive y SugarSync), para permitir a los usuarios retener el control sobre sus propias claves.

Lo más importante de todo es que el almacenamiento en la nube no es lo mismo que la copia de seguridad y, por ejemplo, no debe verse como una forma de derrotar los ataques de ransomware que bloquean los datos de la víctima.

Si el ransomware cifra los datos y su unidad de almacenamiento conectada en una PC local, estos archivos se copiarán en ese estado en su servicio de la nube. El almacenamiento en la nube ofrecerá una cantidad determinada de días de versiones de archivos, pero restablecerlos puede llevar mucho tiempo y provocar problemas para compartir.

10. Deseche el hardware viejo de forma segura
El almacenamiento antiguo y los smartphones se deben ejecutar a través de un proceso de limpieza confiable antes de ser vendidos de segunda mano o desechado.

Debería mirar el software de borrado de disco. Nos gusta DBAN, que es gratuito, de código abierto y eficaz para eliminar datos de un disco duro.

Otras herramientas sólidas incluyen Disk Wipe y Blancco.

Computerworlduk.com

 

Ordenado por: De interés y curiosidades, Seguridad Tags: 

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 1955 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB