Con las empresas organizándose para proteger sus infraestructuras frente a los ataques, muchas de ellas siguen cayendo víctimas de errores básicos. Pero a veces esos errores no son visibles tan fácilmente. Si queremos mantener nuestra empresa lo más segura posible, debemos intentar evitar estos cinco errores comunes de ciberseguridad
Error nº 1: ¿Quién controla a los administradores?
Es posible que nuestra empresa disponga de muchas cuentas de administrador, lo que otorga a ciertos empleados con un control sin restricciones sobre hardware y servicios vitales. Y eso es un peligro.
Es bastante razonable que en nuestra empresa se disponga de muchas cuentas de administrador, lo que da a algunos empleados un control sin restricciones sobre hardware y servicios que podemos considerar vitales. Y eso es un peligro real.
Las cuentas de administrador son una parte muy vulnerable de nuestras organizaciones. Los administradores disponen de privilegios completos y, a menudo, cuentan también con las claves de acceso a entornos virtuales y a la nube. Eso quiere decir que, si un pirata informático consigue hacerse con una cuenta de administrador, puede llegar a acabar con toda una empresa. Y, sorprendentemente, los ataques dirigidos contra los administradores suelen normalmente pasarse por alto.
Las empresas necesitan revisar el número de cuentas de administrador existentes y asegurarse de que solo se conceden las auténticamente necesarias. También es posible agregar una capa de seguridad granular para que cada cuenta de administrador tenga acceso únicamente a los recursos que realmente necesitan para hacer su trabajo.
Las empresas pueden considerar también la idea de implantar una segunda aprobación para algunas tareas, como eliminar las máquinas virtuales o contenedores. De esa manera, si los piratas informáticos llegan a obtener el acceso a una cuenta de administrador, el daño quedará limitado al ser necesario que otros administradores tengan que autorizar las acciones de alto riesgo.
Miguel Ángel Martos, Country General Manager, España y Portugal, Symantec Corp.
Error nº 2: Renunciar a un marco integral de gestión de riesgos
Las empresas suelen diseñar y crear un conjunto de sistemas y procedimientos de seguridad, pero no tienen en cuenta cómo las ciberamenazas afectan a toda la organización. La ciberseguridad es vista como un problema puramente técnico, que requiere atención solo del departamento TI en lugar de toda la organización. ¿El resultado? Las empresas son menos seguras porque no todos los grupos e individuos pueden ser conscientes de todas las amenazas y estar en guardia contra ellas.
Un marco integral de gestión de riesgos debe describir claramente cómo los riesgos de seguridad se traducen en riesgos empresariales y cómo estos pueden afectar a la empresa. Los riesgos son algos ya que las organizaciones pueden arriesgar enormes sumas en costes de reputación y la pérdida de confianza de sus clientes. De esa manera, toda la compañía, desde el consejo de administración hacia abajo, estará al tanto de los riesgos y será más probable que los evite.
Error nº 3: No parchear
Probablemente estaremos cansado de oírlo, pero no podemos por ello dejarlo a un lado. Debemos asegurarnos de mantener los sistemas parcheados y actualizados. Estamos hablando de la importancia que tiene la parte rutinaria de la seguridad preventiva de una empresa. Sin embargo, muchas organizaciones aún se olvidan de asumirlo como práctica estándar. Hay innumerables ejemplos de vulnerabilidades no parcheadas que llevan al éxito a numerosos ciberataques, con daños que, literalmente, suman cientos de millones de euros.
Los criminales saben perfectamente cuáles son todas las vulnerabilidades, es una información pública. Las vulnerabilidades están disponibles para que todos las puedan ver y usar en Internet. Debemos estar atentos para mantener los sistemas actualizados.
Error nº 4: Ignorar la seguridad de los dispositivos IoT
Es bastante normal que las empresas olviden que sus dispositivos IoT, como sensores y cámaras de vigilancia, son un objetivo muy tentador para los criminales y fácilmente explotables. Las empresas deben tratarlos con el mismo tipo de rigor que se aplica a los servidores y otros sistemas relaciones con las TI. Esto quiere decir que no solo hay que protegerlos detrás de elementos como los firewalls, sino también parchearlos y cambiar sus contraseñas de fábrica.
Incluso esto podría no ser suficiente. Los fabricantes de IoT son conocidos por haber ignorado tradicionalmente la seguridad, y algunos dispositivos son intrínsecamente inseguros, pueden tener contraseñas predeterminadas que no se pueden cambiar o los dispositivos no se pueden actualizar automáticamente. Las empresas deben revisar todos los dispositivos de IoT que poseen y si no se pueden mantener seguros, quizás lo mejor que podríamos hacer es tirar el dispositivo y reemplazarlo por uno actual. Las empresas deben asegurar de que cualquier nuevo dispositivo de IoT que adquieran pueda protegerse adecuadamente.
Error nº 5: Ser cicateros con la formación
La mejor protección frente a hackers y las brechas de seguridad es una fuerza laboral concienciada en los peligros que amenazan a la empresa. Pero si bien los empleados deben ser la primera línea de defensa en las organizaciones, la mayoría de las compañías no se han esforzado en poner en marcha una sólida cultura de ciberseguridad. En un estudio realizado por ISACA (Information Systems Audit and Control Association) en 2018, el 95% de los profesionales de la seguridad encuestados reconocían que existía una importante brecha entre la cultura de seguridad que las empresas tienen y la que las empresa quieren tener.
La mejor manera de inculcar una cultura de concienciación sobre la ciberseguridad es a través de la formación. Y la formación no significa seminarios de una sola vez a los que los empleados asisten a regañadientes y de los que enseguida se olvidan. El trabajo ha de ser activo y continuado.
La formación antiphishing es algo particularmente importante para las empresas. Es uno de sus puntos más débiles y dónde más brechas se producen. Para que una formación tenga éxito es especialmente importante enviar correos electrónicos de phishing no dañinos, luego medir cómo responden los empleados y cuántos muerden el anzuelo, y seguir con el trabajo hasta que todos respondan adecuadamente.
Fuente: Interempresas