Fran ūüźĚ Brizzolis

hace 2 a√Īos ¬∑ 10 min. de lectura ¬∑ visibility ~10 ¬∑

chat Contactar con el autor

thumb_up Relevante message Comentar

Ciberseguridad en PYMES: Administrando sistemas de forma segura (buenas pr√°cticas)

Ciberseguridad en PYMES:  Administrando sistemas de forma segura (buenas pr√°cticas)robcacoran
- 64

Drspostvo Local
(Fiaxco 0 Virtual)

I

“rarateren.

cra Segra

  

1 ube )

Venficacon Via
Screenshot

DED


2896353c.png


Hola abejas, estos días me costaba bastante encontrar un tema sobre el que escribir, y que no me hiciera parecer aburrido ante vosotros, ya que "estos asuntos" sobre los que escribo, no son precisamente amenos la mayoría de las veces, y además, supongo que tampoco son fáciles de entender mínimamente para la gran mayoría de vosotros (ojalá que sí), y por lo tanto, suelen NO resultar interesantes a la gran mayoría de los lectores, pero desde luego yo pongo mi mejor intención y mi "saber hacer" para que de alguna forma podáis entenderlos, en cualquier caso ya sabéis dónde estoy por si necesitáis resolver alguna duda al respecto.


Así que me he vuelto a "inspirar" en los hechos cotidianos que me van ocurriendo en mi día a día, y que a veces pueden llegar a ser incluso muy buenos. En el caso de que al final sea así, podéis estar tod@s absolutamente seguros de que os lo comunicaré por aquí rapidamente, y estaré ante todo, muy contento de poder compartir con vosotr@s algo bueno. Ya se verá qué va ocurriendo al final.


Sin nada m√°s por el momento, ¬°comencemos!



                                                                                          *          *          *          *



Seg√ļn los resultados de algunas encuestas p√ļblicas realizadas sobre delitos y delincuencia, las violaciones de ciberseguridad son consideradas¬† por la mayor√≠a de los encuestados, como los delitos m√°s comunes en los pa√≠ses m√°s avanzados de nuestro entorno.


Indudablemente, es algo evidente que las amenazas de ciberseguridad est√°n en r√°pido crecimiento, tanto para el propietario de una peque√Īa empresa, como para las grandes corporaciones, y tambi√©n incluso para los peque√Īos usuarios individuales y/o "dom√©sticos", nadie ni nada se libra de convertirse en objetivo en un determinado momento.


En estos días, la ciberseguridad requiere cada vez una mayor preparación para enfrentar posibles amenazas. Todos, desde la Comisión Europea, hasta los grandes grupos financieros y de seguros, han estado intensificando sus esfuerzos para aumentar, tanto los estándares generales de capacitación laboral en materia de ciberseguridad, como la colaboración proactiva y generalizada para planificar las medidas necesarias y adecuadas, y de esta forma, poder "estar preparados" de alguna forma, para los futuros ataques que pudiéramos sufrir en el futuro.


Por ejemplo, Microsoft est√° entre estas compa√Ī√≠as, y ha incrementado su personal de seguridad inform√°tica en un 300%, recurriendo adem√°s, a capacitarlos (obligatoriamente) a todos ellos adecuadamente y de forma suficiente, mediante cursos intensivos de formaci√≥n, realizados internamente en la propia sede de la empresa.


Pero claro, no todos somos una gran corporaci√≥n como Microsoft, en Espa√Īa la gran mayor√≠a del tejido empresarial son PYMES y aut√≥nomos. A mi juicio, el gran problema reside en las ‚ÄúPYMES grandes‚ÄĚ, es que manteniendo una estructura de PYME (muchas de ellas de √≠ndole familiar) sin embargo, en algunas cosas ya actuan como una empresa de mayor tama√Īo, dado que est√°n en esa fase de transici√≥n de "tama√Īo de empresa", por decirlo de alguna forma.


76fb3779.png


Sin embargo, estas "PYMES grandes" que tambi√©n empiezan a tener un funcionamiento gran empresa, se encuentran en ‚Äútierra de nadie‚ÄĚ, ya que son lo bastante grandes para empezar funcionar con una gran compa√Ī√≠a, y sin embargo no tienen ni la experiencia, ni la estructura, ni los medios, en la mayor√≠a de los casos, para funcionar de forma adecuada como tal, por lo que mantienen su antigua ‚Äúestructura familiar‚ÄĚ.


Es precisamente en este duro cambio de ‚Äúempresa peque√Īa o familiar‚ÄĚ al estatus inmediatamente superior, que yo no sabr√≠a definir adecuadamente, donde muchas compa√Ī√≠as acaban fracasando, ya que normalmente lo que sirve en un mundo, puede no servir o ser adecuado en el otro, adem√°s de que las exigencias y algunas normativas, tambi√©n pueden cambiar de un estatus a otro.


6bfa70db.png



S√≠... ¬ŅPero c√≥mo?


Como ya he dicho, muchas empresas de alto perfil est√°n aumentando su investigaci√≥n, y compa√Ī√≠as como Microsoft y otras muchas, tienen sin duda el presupuesto m√°s que suficiente para invertir miles de d√≥lares en la contrataci√≥n de personal especializado y altamente cualificado, y tambi√©n est√°n actualizando todos sus sistemas de manera cont√≠nua, e invirtiendo en nuevas empresas.


Sin embargo, "normalmente" una peque√Īa empresa descuidar√° su ciberseguridad debido a que no sabr√° decidir adecuadamente, si las inversiones en materia de ciberseguridad valen la pena o no, ya que (la gran mayor√≠a) no considerar√°n que realmente sean o vayan a ser en un futuro, un verdadero objetivo para los ciberdelicuentes, hasta que ya sea demasiado tarde.


Recordad que una PYME, normalmente es mucho más probable que NO sobreviva a un ciberataque, dado que sus medios y medidas de contingencia de que suelen disponer son mínimos o insuficientes, y desgraciadamente, a veces son también inexistentes.


A medida que los ataques son cada vez más sofisticados y específicos, mantener la información privada intacta, y mucho más, protegerla preventivamente (RGPD), puede ser una tarea tediosa y desalentadora, por lo que las PYMES tienen serios problemas para destinar una cantidad de inversión y gasto adecuada a sus circunstancias particulares en sus presupuestos anuales.


Un error com√ļn que muchas personas tienen, especialmente en el mundo de las PYMES, es pensar que la seguridad inform√°tica no importa, o no importa lo suficiente, y que siempre hay otras cosas m√°s urgentes a las prestar atenci√≥n.


La cruda realidad es, que una amenaza de ciberseguridad puede cerrar para siempre una empresa en 24 horas (o poco más), y de forma totalmente sorpresiva, porque no es algo que se vea venir, y éste es el gran problema, que NO hay percepción del peligro real, mientras que lo que si se precibe es el esfuerzo económico y de tiempo y personal, que hay que destinar casi de forma continuada para estar mínimamente "protegidos" ante una eventual incidencia de seguridad informática.


Como ya he dicho, muchos propietarios de peque√Īas empresas asumen que son demasiado peque√Īos para ser un objetivo. Seg√ļn una encuesta realizada en EE.UU. por la National Cyber ‚Äč‚ÄčSecurity Alliance, el 60% de las PYMES seguramente se ver√°n obligadas a cerrar en los 6 meses posteriores a un ataque cibern√©tico.


Hay muchas formas efectivas de fortalecer nuestro sistema y reducir la posibilidad de ser un objetivo. Por ejemplo, instalar software antivirus, actualizar regularmente el software y las aplicaciones e implementar la capacitación de los empleados, desarrollando en colaboración con ellos un protocolo específico de actuación en estos casos, para que todos los lo sigan de manera estricta.



8bf38f03.png


Adem√°s, deberemos actualizar este protocolo a menudo para ir adapt√°ndolo progresivamente a las nuevas necesidades y circunstancias que se vayan dando. Debemos responsabilizarnos de estar preparados y entrenados para esta contigencia, que desde luego esperemos que no llegue a producirse, pero recordemos que "siempre pasa algo".


No tiene por que ser un gran ciberataque como los que podamos ver en la TV o en el cine, hay muchos incidentes de ciberseguridad m√°s cotidianos que pueden causarnos problemas, como un fallo el√©ctrico y la ca√≠da total del sistema, que luego no se inicia correctamente, y presenta fallos de funcionamiento, ¬Ņqui√©n no ha o√≠do hablar alguna vez de un caso as√≠?


Por todo esto, se recomienda realizar simulacros de forma regular y también sorpresiva de violaciones e incidentes de seguridad si queremos sobrevivir en un mundo cada vez más complejo digitalmente.


Actualmente nos encontramos en una situación en la que, de manera universal, cada modelo de negocio se basa en la conectividad. De hecho, estar al borde de la innovación es conectarse con todo, antes de que nadie más se conecte. Con cada nuevo desarrollo, la seguridad sufre inmediatamente. La incredulidad, que siempre se encuentra con una nueva brecha de datos en redes sociales como Facebook, se multiplicará por diez cuando el Internet de las Cosas inevitablemente tenga su primera brecha desastrosa. Después de todo, los CEOs y los CISOs están en una posición muy frustrante, ya que deben conectar todo con todo, y también se les supone que tienen el control total sobre los resultados de todo aquello que hacen.





Por supuesto que eso simplemente no es posible, los CEOs o los CISOs no son dioses, aunque a veces, algunos puedan parecérnoslo. Sin embargo, hay algo que sí es posible hacer, y puede ser de gran ayuda: la micro-segmentación.


La micro-segmentaci√≥n agrupa diferentes partes operativas de una red en sus elementos m√°s b√°sicos, aislando los problemas en cargas de trabajo f√°cilmente manejables. La micro-segmentaci√≥n no es un concepto nuevo. Muchas compa√Ī√≠as han implementado pr√°cticas b√°sicas como firewalls y redes de √°rea local virtuales (VLAN).


En el dise√Īo de micro-segmentaci√≥n, deber√≠amos adoptar medidas y perfiles de seguridad cercanos a los puntos finales (end points), consiguiendo as√≠ sustituir y securizar un per√≠metro m√°s grande, por otros mucho m√°s peque√Īos.


Tiene sentido que en un mundo cada vez m√°s compartido, la seguridad se convierta en una responsabilidad compartida.


Ahora bien, la micro-segmentaci√≥n no es realmente un modelo, a pesar del mito generalizado de que s√≠ lo es. La micro-segmentaci√≥n es m√°s bien un dise√Īo que sirve de modelo. En el caso de la seguridad, un modelo de "conf√≠anza cero" ser√≠a un "compa√Īero adecuado".





‚ÄúZero-Trust‚ÄĚ es el concepto de que cada persona y acci√≥n debe estar autenticada y autorizada. En otras palabras, "nunca confiar, siempre verificar". De hecho, esta combinaci√≥n de modelo y dise√Īo est√° creciendo a medida que las empresas aprenden la importancia de tener un modelo que al menos pueda ayudar a mitigar muchos ataques cibern√©ticos. Zero-Trust y la micro-segmentaci√≥n ayudan a entender la profundidad del alcance de la red, al tiempo que reducen la "superficie de exposici√≥n" ante un posible ataque.


Para ser claros, no hay una forma garantizada para que una empresa evite que ocurra una violaci√≥n de seguridad. A medida que nuestros enemigos se vuelven cada vez m√°s "profesionales", los ataques tambi√©n se vuelven m√°s sofisticados. Debemos, por tanto, operar bajo el supuesto de que, en alg√ļn momento, seremos el blanco de un ataque. La responsabilidad entonces, est√° en nosotros mismos para prepararnos para dicho ataque.


3f7c5426.png


En cuanto a la combinaci√≥n de confianza cero y micro-segmentaci√≥n, y la consiguiente reducci√≥n del √°rea de exposici√≥n a un ataque, nos proporcionar√°n un nivel de control suficiente, que ahora (nosotros los CEO/CISO) S√ć tendr√≠amos (aplicando √©stas medidas). Adem√°s con este modelo, aumentaremos el riesgo para el atacante, por lo que nuestra red ser√° una estructura, que desde luego, ahora S√ć tendr√° medidas (activas y pasivas) de defensa.


No obstante, nada de todo lo anterior sería efectivo, si no empezáramos por la base, aplicando estrictas políticas de seguridad, como son las siguientes, y de las que ya os he hablado en otras ocasiones, así que aquí os la recuerdo nuevamente:


El privilegio mínimo


Para hacer bien su trabajo, los seres humanos necesitan estar formados y entrenados, pero no necesitamos acceder a toda la informaci√≥n de la empresa. Son muchas las compa√Ī√≠as que dan acceso a sus empleados a mucha m√°s informaci√≥n de la que van a utilizar en su d√≠a a d√≠a. Esta pr√°ctica pone en peligro la informaci√≥n de la empresa de forma directa ya que, a mayor n√ļmero de personas con acceso a los activos, mayor superficie de ataque (m√°s empleados pueden hacer clic en un mail infectado o acceder a una web indeseada y dar involuntariamente acceso a los cibercriminales a la informaci√≥n de la compa√Ī√≠a).


Este principio consiste en dar solo la informaci√≥n relevante y √ļtil para que un usuario¬†haga su trabajo. O lo que es lo mismo, evitar dar acceso a cualquier informaci√≥n in√ļtil que pueda abrumar al usuario y causar un problema en la seguridad de los datos de la empresa.


"Cerrado por defecto"


Esta norma está estrechamente ligada a la anterior. Consiste en cerrar todos los accesos por defecto y abrirlos (para un usuario) solo cuando sea necesario. De manera que será el día a día de la empresa quien determine si hay que abrir una determinada puerta a X empleado o grupo de empleados.


Segregación de deberes y obligaciones


La √©tica y deontolog√≠a debe ser clara en la seguridad de las empresas. Si se implementa correctamente, ayuda a reducir los conflictos de intereses. De hecho, es el pilar de la seguridad de una compa√Ī√≠a: todo el mundo debe saber qu√© hacer en caso de verse atacados y a qui√©n se ha de acudir, o qui√©n ha de tomar las decisiones en ese supuesto.


Defensa en profundidad


Llevamos a√Īos diciendo que la superficie de ataque ha aumentado debido a la proliferaci√≥n de objetos conectados y las nuevas formas de trabajo. Por ello, este principio hace hincapi√© en la necesidad de¬†colocar varias capas o niveles de seguridad de acuerdo con los riesgos asociados con los activos de la compa√Ī√≠a.


De esta manera el acceso a los bienes m√°s sensibles requiere cruzar varios filtros de seguridad, mientras que los bienes ‚Äúp√ļblicos‚ÄĚ pueden ser gratuitos y, por tanto, el acceso a los datos clave de la compa√Ī√≠a es m√°s dif√≠cil, ya que requiere superar otras capas de seguridad sin ser visto.


La diversificación es lo más coherente


La dependencia de una empresa de otras es una p√©rdida de poder. De hecho, es muy peligroso depender de un solo cliente o proveedor para asegurar su supervivencia, ya que el descontento de este √ļltimo puede causar mucho da√Īo. Del mismo modo, uno no debe atar su defensa completa a un solo producto. No s√≥lo ser√° m√°s costoso para nosotros, sino que adem√°s, facilitar√° el trabajo a un atacante interesado en tomar el control de la empresa.


Este principio va estrechamente ligado al anterior, cuantas más capas y más diversa sea la forma de secularizar los sistemas, más difícil será acceder a los activos de la empresa. Por lo tanto, es necesario diversificar las defensas de manera coherente.


Seguridad con sistemas simples y unitarios


Todo lo que es complejo est√° perjudicando al negocio y por lo tanto a la seguridad de la empresa. De hecho, un mecanismo simple es, sencillo y posiblemente, m√°s f√°cil de proteger. Sin embargo, el negocio de hoy es cada vez m√°s complejo, al igual que los servicios p√ļblicos.


Es necesario evitar la complejidad de los sistemas lo m√°ximo posible para poder asegurar cada servicio correctamente.


Transparencia con un sistema abierto


La experiencia nos dice que la ciberseguridad es a menudo muy compleja y a veces caótica. Cuando nos basamos en normas y estándares conocidos como ISO 2700x, OWASP, SOX, RGPD, y tenemos unos límites bien establecidos para cada rango o estamento en la empresa, la seguridad es más sencilla, mientras que el acceso de un cibercriminal a nuestros sistemas es mucho más complejo.


¬ŅEl eslab√≥n m√°s d√©bil?


Si de algo se hablamos en ciberseguridad es de c√≥mo proteger los activos de una empresa de su eslab√≥n m√°s d√©bil: el factor humano. Pero, ¬Ņson los empleados realmente el eslab√≥n m√°s d√©bil? Seguramente es as√≠, y hay multitud de ejemplos en el pasado. Los mayores errores que se comenten en ciberseguridad se basan en el desconocimiento o la falta de atenci√≥n.


Pero si se forma¬† y capacita adecuadamente a los empleados sobre qu√© hacer o qu√© no hacer en una determinada situaci√≥n, no ser√°n el eslab√≥n m√°s d√©bil sino, quiz√°s, puedan ser el m√°s fuerte, ya que podr√°n dar la alarma r√°pidamente, en caso de ver alg√ļn comportamiento an√≥malo en sus dispositivos.


Auditorías de seguridad de forma regular


¬ŅC√≥mo asegurar que las medidas de defensa sean efectivas y eficientes?¬†Encontrando los fallos (y corrigi√©ndolos) antes de que los malos los conozcan y los aprovechen. ¬ŅC√≥mo podemos hacer esto? Sencillo: realizando auditorias peri√≥dicas (pentesting) con las que podamos ser conscientes de los posibles peligros a los que se enfrentan los activos de nuestra compa√Ī√≠a y c√≥mo debemos protegerlos.


Las auditorías deben ser hechas siempre por peritos suficientemente cualificados, y que debieran disponer de la consiguiente Certificación Oficial  CISA .


Deb√©is tener en cuenta que van a tener acceso a los entresijos de vuestra empresa, y van a poder acceder de forma TEMPORAL Y EXCLUSIVAMENTE, como conscuencia de la propia auditor√≠a, a vuestra informaci√≥n sensible, y es por esto, por lo que se "exige" (no s√© si es una exigencia, o una recomendaci√≥n en Espa√Īa) que sean auditores certificados, y la citada auditor√≠a sea hecha tambi√©n bajo un "Contrato de Confindencialidad".


Estrategia clara


Los ciberataques y las brechas de seguridad se han convertido ya en la principal (o una de las principales) amenaza para la supervivencia de las empresas, y es por eso que, para evitar entrar a formar parte de la lista de empresas que han cesado su actividad a causa de un ciberataque, es imprescindible contar con una estrategia clara a llevar a cabo ante un ataque de este tipo, a esta estrategia se la conoce normalmente como: PLAN DE (ciber) SEGURIDAD.



Bueno abajas, eso es todo por hoy...


Deseo que os haya resultado interesante, y os pueda servir de ayuda alguna vez. Siempre es un placer poder escribir sobre estas "cosas raras" que por que no decirlo, cada vez son más comunes, y lo serán todavía mucho más en un futuro mucho más próximo de lo que pueda parecer.


Gracias a tod@s por vuestro interés, y por dedicar parte de vuestro tiempo a leerme.


¬°Nadie tiene unos seguidores mejores!... O eso creo yo.








Referencias:


https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad

https://www.incibe.es/protege-tu-empresa/blog/mide-seguridad-informacion

https://www.incibe.es/protege-tu-empresa/blog/has-revisado-tu-nivel-seguridad-utiliza-las-auditorias-sistemas

https://www.incibe.es/protege-tu-empresa/blog/ingredientes-acuerdo-confidencialidad

https://www.incibe.es/extfrontinteco/img/File/empresas/dosieres/contratacion_servicios/contratacion_sevicios_acuerdo_de_confidencialidad.pdf

https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/auditoria-sistemas.pdf

https://www.universidadviu.es/crear-plan-seguridad-informatica-facilmente/

https://www.universidadviu.com/que-es-la-certificacion-cisa/

https://es.wikipedia.org/wiki/ISACA

https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

http://www.gadae.com/blog/seguridad-informatica-en-las-pymes/

https://uss.com.ar/corporativo/plan-de-seguridad-informatica-para-una-empresa/


 









thumb_up Relevante message Comentar
Comentarios

Fran ūüźĚ Brizzolis

hace 2 a√Īos #4

#7
Muchas gracias   Francisco Rub√©n Campo G√≥mez Intento siempre hacerlo lo mejor posible y de una forma que sea comprensible para la mayor√≠a.

Fran ūüźĚ Brizzolis

hace 2 a√Īos #3

#5
Gracias juan carlos sanchez monedero. La ciberseguridad puede ser muy compleja en muchos casos, pero con unas buenas prácticas, y unas medidas no muy costosas, te aseguro que nos evitamos muchisimos problemas... Y a partir de ahí, poco a poco se puede ir progresando.

Fran ūüźĚ Brizzolis

hace 2 a√Īos #2

#3
Muchas gracias Mar√≠a Carmen... Lo hago como mejor creo para que os sea f√°cil de entender... Tened paciencia! 

Fran ūüźĚ Brizzolis

hace 2 a√Īos #1

Gracias Julio... El tema es muy extenso y se puede complicar todo lo que quieras, ya que tambi√©n hay "pol√≠ticas de grupo" y permisos de usuario y de archivo, y todo lo que te puedas imaginar... Un abrazo.   

M√°s art√≠culos de Fran ūüźĚ Brizzolis

Ver blog
hace 3 a√Īos ¬∑ 1 min. de lectura

Por difícil que parezca: ¡Feliz Navidad para todos!

¬°Hola abejas!... ¬∑ ¬ŅNo pensar√≠ais que os ibais a ...

hace 3 a√Īos ¬∑ 3 min. de lectura

Clonando tarjetas bancarias, algo que mueve muchísimo dinero

Los mecanismos conocidos como "skimmers de tarjeta ...

hace 3 a√Īos ¬∑ 2 min. de lectura

Tecnología Blockchain - Simplificando las cosas en 3 sencillos conceptos.

¬°Hpla abejas! ¬∑ En los √ļltimos tiempos hemos asist ...