10 posibles puntos de entrada de un ciberataque

Según los estudios actuales, los ciberataques provocan daños cada vez mayores, ahora también en el ámbito de las pequeñas y medianas empresas (PYME). Por ello, el tema de la ciberseguridad, como contrapartida lógica de los ciberataques, está adquiriendo cada vez más atención. La siguiente es una introducción breve pero comprensible y comprensible al tema de la seguridad cibernética. Sobre todo, se muestra qué puntos las empresas deberían abordar primero y por qué.

La ciberseguridad es la contraparte de los ciberataques, contra los que a uno le gustaría protegerse. Los ciberataques se llevan a cabo desde el ciberespacio. ¿Pero para qué sirve todo este desorden cibernético? En el centro de todo esto está el ciberespacio. El ciberespacio se considera generalmente como una conexión entre diferentes sistemas de TI o como una infraestructura de comunicación global (en resumen: Internet). Cualquiera que quiera ocuparse de la ciberseguridad y, por tanto, de la protección contra los ciberataques, debe proteger sus redes y a sí mismo contra las amenazas y los atacantes de Internet.

Posibles puntos de entrada a la ciberseguridad

Para facilitar el inicio de esta protección necesaria y, por tanto, del tema de la ciberseguridad, a continuación se abordan medidas de seguridad comunes, necesarias y relevantes para la práctica. Las medidas se basan, por un lado, en el catálogo de requisitos del procedimiento de prueba del control de seguridad cibernética y, por otro lado, en las indicaciones de los expertos de IDC en seguridad, software y antivirus.

1. Obtén una visión general del panorama del sistema

Para poder encontrar y aplicar medidas adecuadas, suficientes pero al mismo tiempo eficientes, primero es necesario conocer el panorama sistémico existente. Aunque este requisito pueda parecer relativamente banal, muchas empresas tienen el problema de no saber qué sistemas y aplicaciones operan y utilizan realmente. Por supuesto, los sistemas y aplicaciones no se pueden proteger sin este conocimiento.

En primer lugar, una empresa debería tener una visión general de su propio panorama sistémico. En el mejor de los casos, se crea un tipo de gestión de activos que documenta el panorama del sistema de forma comprensible. Un análisis de este tipo no tiene por qué basarse necesariamente en herramientas, pero en determinadas circunstancias esto puede reducir el esfuerzo, por ejemplo en la documentación del software actualmente utilizado, incluidos los números de versión. Sin embargo, también hay que tener en cuenta que la introducción de una herramienta siempre supone un cierto esfuerzo al principio. La eficiencia y eficacia acompañan la operación en curso.

2. Áreas de red separadas

Una vez creada la descripción general, sigue el primer paso de la seguridad real: la gestión de la red. En principio, debería implementarse una separación de redes. Los sistemas a los que se puede acceder externamente, como servidores web, servidores de correo electrónico o similares, deben integrarse en una zona desmilitarizada (DMZ) si es posible. Una DMZ es una sección de la red restringida por firewalls y sus regulaciones y desde la cual no es posible el acceso directo a otros sistemas internos.

Además de delimitar los sistemas accesibles desde el exterior, lo que, dependiendo de la implementación, ya puede reducir significativamente el riesgo de ataques exitosos, también deberían dividirse los sistemas internos. Por ejemplo, siempre se puede implementar una separación entre clientes, servidores, dispositivos multifunción y sistemas VoIP. Para que exista una demarcación eficaz, no se debe utilizar una separación de red puramente técnica con subredes o VLAN entre las que se utilice un enrutamiento completo. Para que se considere una separación fáctica, se deben establecer cortafuegos con conjuntos de reglas adecuados entre los segmentos de la red.

3. Utiliza canales de comunicación seguros

Una vez que se haya implementado una separación de la red, se puede abordar la cuestión de los canales de comunicación seguros. Si se utilizan canales inseguros o no cifrados, un atacante podría leer datos y obtener información. Sin embargo, esto requiere algunos requisitos previos, como el llamado escenario de intermediario, pero no es imposible en la práctica.

Para contrarrestar este riesgo residual, los datos sólo deberían enviarse a través de canales cifrados con cifrado TLS. Además, las autenticaciones solo deben cifrarse y protegerse, especialmente en lo que respecta a la transmisión de datos del usuario. Si es posible realizar conexiones externas desde la oficina central, esto sólo debería permitirse a través de un acceso VPN definido y adecuadamente seguro. En general, en el caso del acceso externo, un segundo factor aumenta significativamente la seguridad.

4. Implementar una gestión de parches ordenada y confiable

La visión general de los sistemas y aplicaciones utilizados no sólo da como resultado opciones para proteger las redes. Por supuesto, también deben protegerse los propios sistemas y aplicaciones. Esto suele empezar con el problema más fundamental: la falta de gestión de parches.

Todos los componentes, ya sean hardware o software, deben mantenerse actualizados, al menos en términos de seguridad. Si se utilizan componentes con vulnerabilidades conocidas, podrían servir como una posible puerta de entrada para un atacante. Para evitarlo, es necesario adquirir distintas fuentes de suministro para los avisos de seguridad y actualizar los componentes, especialmente en el caso de los avisos de seguridad. Los ciclos de parches de más de un mes no deberían ser aceptables en términos de corrección de vulnerabilidades. El período suele ser mucho más corto. Dado que las vulnerabilidades críticas se descubren una y otra vez, es obligatorio un proceso para parches fuera de los ciclos regulares.

5. Endurecer los sistemas

Además de mantener actualizado el hardware y el software, también se deben implementar medidas básicas para reforzar el sistema. Por lo tanto, en todos los sistemas sólo debería estar disponible el software realmente necesario. Las aplicaciones y funcionalidades del sistema que no se utilicen deben desactivarse y, si es posible, desinstalarse. Asimismo, las posibles cuentas estándar siempre deberían modificarse o incluso desactivarse.

Las copias de seguridad fuera de línea son costosas, pero valen su peso en oro para los datos críticos de la empresa.

Puede encontrar ayuda sobre qué medidas aún se pueden tomar durante el endurecimiento del sistema, por ejemplo, en los respectivos módulos de protección básica (por ejemplo, el servidor SYS.1.3 en Linux y Unix, o en los puntos CIS).

6. Realizar copias de seguridad de datos

Si un atacante logra acceder a los sistemas de la empresa, los datos deberían considerarse comprometidos y, por tanto, inútiles. Esto significa que se pueden utilizar del mismo modo que los datos cifrados mediante ransomware, por ejemplo. En ambos casos es importante poder restaurar los datos desde una copia de seguridad. Incluso si los archivos se han modificado o eliminado accidentalmente, la posibilidad de recuperación es esencial.

Para ello se deben realizar copias de seguridad de datos adecuadas. Las tecnologías y procesos que se utilizan para ello dependen de cada empresa y de sus circunstancias. En principio, sin embargo, las copias de seguridad deberían cambiarse a un sistema adicional para que no se vea afectado en caso de una recuperación necesaria. Aunque las copias de seguridad fuera de línea son complejas desde el punto de vista organizacional, valen su peso en oro para los datos críticos de la empresa.

7. Definir una gestión de derechos comprensible

Por ejemplo, una vez que un atacante ha obtenido acceso al cliente de un usuario, puede realizar acciones en nombre del usuario. Sus derechos de usuario y, por tanto, su contexto de derechos influyen en el margen de maniobra que se le permite al atacante. Por tanto, los derechos de los usuarios (y también de los administradores) deben limitarse al máximo. Las palabras clave aquí son los principios de necesidad de saber y de privilegios mínimos.

El principio de necesidad de saber describe que todos deberían tener acceso sólo a los datos necesarios. Una contabilidad no necesariamente tiene acceso a los datos del proyecto o del cliente. El principio de privilegio mínimo describe que si se permite el acceso, sólo se debe permitir en un grado mínimo. Por ejemplo, no todos los compañeros siempre necesitan acceso de escritura, sólo acceso de lectura.

Una protección sencilla pero eficaz contra un gran número de amenazas que se inician en el contexto del usuario es la prohibición técnicamente implementada de software no autorizado. En un entorno de Directorio Activo, esto se puede implementar con poco esfuerzo.

Además de restringir derechos, también se debe tener cuidado de garantizar que las cuentas que ya no sean necesarias también se desactiven. En principio, para los administradores también debería implementarse una separación entre cuentas de usuario y de administrador, para que no siempre trabajen con derechos de administrador. De lo contrario, un posible atacante también tendría los derechos correspondientes.

8. Utiliza protección contra malware

Una de las formas más comunes en las que los atacantes atacan a las empresas es mediante software malicioso (o malware). Se utilizan varios tipos y, a veces, se combinan para lograr un objetivo determinado. Es importante que una empresa pueda protegerse de tantos tipos como sea posible. Para ello se suele utilizar la protección contra malware (o protección antivirus o protección contra malware). La regla básica aquí es que, no importa lo que prometa el fabricante, nunca se puede garantizar una protección del 100%. Dado que los sistemas normalmente sólo comprueban firmas o patrones de comportamiento conocidos, es posible que al principio el malware desconocido pase desapercibido. El software de protección contra malware está profundamente integrado en el sistema operativo del cliente o servidor y tiene los derechos correspondientes. Dado que estas soluciones de software suelen tener vulnerabilidades, es importante comprobar que estén actualizadas y que se sepa que tienen vulnerabilidades.

9. Requerir una elección segura de contraseñas

Las contraseñas inseguras son una puerta de entrada frecuente y, lamentablemente, a menudo muy sencilla para los atacantes, un peligro que puede evitarse en gran medida mediante especificaciones adecuadas para las contraseñas seguras. Se deben definir especificaciones organizativas para el diseño seguro de contraseñas, que en el mejor de los casos también se pueden implementar técnicamente de forma restrictiva en los sistemas.

Siempre se debe tener en cuenta el principio de que la longitud supera a la complejidad. Las contraseñas más complejas son difíciles de recordar y, por lo tanto, a menudo se almacenan en texto sin formato para referencia futura. Por otro lado, las contraseñas más largas se pueden crear fácilmente mediante la formación aleatoria de palabras y oraciones y, por lo tanto, son más fáciles de recordar. También se deben evitar ciclos de cambio regulares demasiado cortos, ya que a menudo sólo se realiza un cambio mínimo en lugar de una nueva contraseña. Los estudios demuestran que la calidad de la contraseña se deteriora cuando la cambias con frecuencia.

10. Uso seguro de aplicaciones en la nube

Para muchas empresas, especialmente en tiempos de digitalización, el entorno de la nube se considera una panacea para una amplia variedad de problemas en las operaciones de TI. Se pueden subcontratar aplicaciones individuales, sistemas completos o incluso el centro de datos completo a uno o más proveedores de servicios en la nube. Las ventajas en este caso son principalmente la mayor disponibilidad, gastos operativos no abonables y una administración sencilla. A menudo se ignoran las desventajas, como las dependencias, una amenaza fundamental a la confidencialidad, la falta de influencia directa o la dependencia del acceso general a Internet.

Si, independientemente de las ventajas y desventajas, se utiliza una estrategia en la nube, aunque sólo sea para aplicaciones individuales, ésta debe diseñarse de forma segura. Debes ser consciente de los riesgos y tomar las contramedidas adecuadas. También se debe considerar la posible falta de disponibilidad o accesibilidad y determinar cómo abordarla.