Los riesgos cibernéticos se pueden gestionar

La Ciberseguridad en el puesto de trabajo es fundamental. Los Ciberdelincuentes tienen como objetivo de ataque, los elementos “clave” de la empresa:

Los empleados son los activos más valiosos de una empresa, ya que hacen aumentar los ingresos, establecen relaciones con los clientes y, evidentemente, ejecutan un papel determinante en el perímetro de seguridad de una compañía.

Sin embargo, los ciberdelincuentes consideren a los empleados como una vía menos resistente para acceder a la organización, lo saben y lo utilizan por eso los empleados son elementos “clave” en la empresa.

Con un programa de educación en seguridad, la empresa puede proteger su información más sensible, asegurándose de que los ciberdelincuentes no puedan atravesar el cortafuegos de “los empleados”.

Las empresas suelen ignorar tres áreas cuando piensan en ciberseguridad por eso es importante hacer un análisis de riesgos a fondo, teniendo en cuenta estos tres puntos, Protección y seguridad física, Conocimiento y exposición de la situación de activos y datos, y concienciación y formación en Ciberseguridad a los empleados. No obstante la seguridad 100% no existe y debemos transferir el riesgo adecuadamente a un contrato de seguro de Ciber-riesgos que garantice la continuidad de la empresa y proteja adecuadamente los activos. De igual manera si se ven expuestos datos de terceros, hemos de asumir unas responsabilidades importantes y de grandes cuantías económicas que desestabilizaran completamente a la empresa pasando a tener un futuro incierto, por lo que lo correcto y lo acertado es transferir el riesgo.

Protección y seguridad física. Los empleados deberían liderar la estrategia de ciberseguridad de todas las empresas. Pero la creciente prevalencia de los dispositivos del Internet de las Cosas ha difuminado la línea entre la seguridad física y la ciberseguridad. ¿Cuándo dejan las cosas de ser físicas y pasan a ser cibernéticas?

Muchas empresas cuentan con controles de seguridad físicos tradicionales capaces de resolver problemas reales. En la era del Internet de las cosas, los equipos informáticos y la ciberseguridad son los responsables de las medidas de seguridad en el trabajo, estos sistemas suelen compartir la misma red de recursos. Conectar dispositivos de los empleados a la red principal es arriesgado porque proporciona un punto de entrada para que posibles atacantes accedan a los recursos de la red corporativa. Los sistemas vulnerables también pueden utilizarse para acceder a sistemas de control industrial con el riesgo que esto significa.

Conocimiento y exposición de la situación de los activos y datos. Todas las empresas deben conocer los activos (incluidos los datos propios y de terceros) que tiene una organización: los sistemas críticos y aplicaciones que procesan los datos, quién tiene acceso y dónde se encuentra, cual es el entorno donde trabaja con esos activos, ante un fallo de seguridad como se debe actuar. Un análisis de los riesgos de ciberseguridad basado en activos conocidos permitirá determinar de la forma más rigurosa, las posibles amenazas. De esta forma, la organización puede anticiparse en proteger los aspectos más importantes de sus recursos.

Concienciación y formación en ciberseguridad La concienciación va más allá de la detección y catalogación de activos. Debería consistir en una formación continua a los empleados sobre las políticas, las amenazas actuales y cómo enfrentarse a estas amenazas. Debería prestarse especial atención a la ingeniería social, que sigue siendo el vector de ataque más común y exitoso. Las organizaciones no deberían ofrecer formaciones genéricas, sino que deberían orientarlas según el puesto de trabajo.

La formación en ciberseguridad debería de ser una práctica común en las organizaciones. Los empleados suelen considerarse como el “vínculo más débil”, son el vector de ataque más común en una organización. ¿Qué deberíamos hacer? Desarrollar un programa de formación efectivo, tiene que haber una concienciación importante sobre lo que hay detrás de la responsabilidad de cada uno de los empleados y la magnitud y alcance que tendría un fallo por parte del empleado.

“Un buen análisis del riesgo es aquel que sirve para mostrar los puntos fuertes y débiles de la compañía y que acciones se deben realizar”

Glosario de términos

Mediante este “Glosario de términos” se pretende dar a conocer abreviaturas y definiciones que tienen que ver con la ciberseguridad, el internet de las cosas y en general con el lenguaje coloquial de internet.

Agente de amenazas. Individuo, o grupo, organización o Gobierno que realiza o tiene el propósito de realizar actividades perjudiciales (También llamado Atacante)

Air Gap. En español, brecha de aire. El aislamiento o separación física de un sistema de otros sistemas o redes.

Amenaza interna. Persona o grupo de personas dentro de una empresa que suponen un riesgo potencial, al poder infringir las políticas de seguridad, ya sea intencionadamente o de manera negligente

Amenaza persistente avanzada. También conocida por las siglas APT (Advanced persistent threat), es un tipo de ataque selectivo llevado a cabo de manera concienzuda por un agente, con tiempo y recursos suficientes para planificar una infiltración en una red. El principal objetivo suele ser obtener información de carácter patrimonial o societario, o información financiera. Las APT son persistentes porque los atacantes pueden quedarse en la red durante tiempo y suelen eludir los controles periódicos de seguridad. A través de internet, utilizando sistemas criptográficos que usaban dos claves para cifrar los datos.

Antimalware / Antivirus. Software que se usa para escanear e identificar programas que pueden ser o son maliciosos.

APT. Amenaza Persistente Avanzada

Asesor de seguridad cualificado. QSA (qualified security assessor) Persona cualificada y homologada para inspeccionar negocios que tengan relación con el cumplimiento de la normativa PCI-DSS

Ataque de denegación de servicio distribuido. DoS en inglés distributed denial of service attack. Ataque que sobrecarga un ordenador, una red, o páginas web con múltiples peticiones y/o instrucciones simultaneas de manera que se colapsa e impide a los usuarios acceder correctamente. Se suele utilizar una botnet para llevar a cabo este tipo de ataques.

Ataque de fuerza bruta. Un ataque en el que los crackers utilizan software para probar un gran número de combinaciones de contraseñas posibles y obtener acceso sin autorización a un sistema o archivo.

Autenticación. El proceso de verificar la identidad del usuario que pretende acceder a una red, un programa, un ordenador, un sistema, o un archivo y le atribuye privilegios determinados o acciones restringidas según perfil asignado, una vez autenticado el usuario.

AV. Antimalware / antivirus

Backdoor (troyano). Programa de software malicioso que permite a alguien controlar el ordenador y el sistema de un usuario sin su permiso.

Blacklist. Lista negra.

Bot. Zombie.

Botnet. Colección de ordenadores o dispositivos conectados a internet que han sido infectados por programas nocivos y son controlados a distancia por un cracker o atacante. Esta información se manda a un servidor de mando y control.

Bug. Un defecto o falta, imperfección o error inesperado y relativamente pequeño en un sistema. Un código de software o un terminal.

Certificado SSL. En ingles secure sockets layer. Un antiguo protocolo (actualmente reemplazado por TLS) por el que se enviaba información privada a través de internet utilizando sistemas criptográficos que usaban dos claves para cifrar los datos.

Cifrado. También se le llama encriptación. Es el procedimiento por el cual se usa una clave secreta para convertir información legible, en un formato ilegible para cualquiera que no disponga de la clave que desencripta la información.

Comité de normas de seguridad de la industria de tarjetas de pago. Sus siglas en ingles son PCI-SSC. Es el organismo responsable de desarrollar y promover las herramientas relevantes necesarias para cumplir el estándar creado y exigido por PCI-SSC (Paymend Control Industry Standart Security Control) creado y fundado por las cinco compañías de tarjetas de pago más importantes (Visa, Mastercard, American Express, JCB and Diners) y cuenta con el apoyo de un “consejo asesor” conformado por representantes de sus principales socios (minoristas, procesadores de pago, bancos, etc.).

Control de acceso. El proceso de conceder o denegar acceso a solicitudes específicas, o intento de obtener acceso para utilizar información, recursos o servicios de procesamiento de datos o información, así como entrar en las instalaciones físicas de la compañía.

Control de acceso a la red. Sus siglas en ingles NAC (Network Access control) Es un método que aumenta la seguridad de la empresa mediante la restricción del acceso a la red solo a aquellos terminales que acatan una política de seguridad definida.

Cookie. Archivos ubicados en su ordenador que permiten recordar datos de páginas web visitadas

Cryptojacking. El uso no autorizado por parte de un atacante, de los sistemas de ordenador de un usuario para minar criptomonedas.

Cuestionario de autoevaluación. Los pequeños comercios utilizan los SAQ (self-assessment forms) para verificar que cumplen la normativa PCI-DSS.

Cyber Essentials. Un plan de certificación de seguridad cibernética desarrollado por el Gobierno británico, que sirve como una excelente base de referencia para el sector. El nivel básico requiere completar un cuestionario de autoevaluación, que será posteriormente revisado por un organismo certificador externo. El plan Cyber Essentials Plus incluye una garantía adicional, un organismo certificador externo realiza pruebas de los sistemas de control de seguridad.

DDoS. Véase “Ataque de denegación de servicio distribuido”.

Días Cero. Se trata de una vulnerabilidad. Un bug de software, desconocido para los desarrolladores de la empresa, que los atacantes han detectado y pueden aprovechar para comprometer ordenadores, programas, información o una red.

DLP. Véase “prevención de pérdida de datos”.

DNS, domain name system. En español, sistema de nombres de dominio. Listín telefónico de Internet. Permite a los ordenadores traducir nombres de paginas web, como hiscox.es, a direcciones IP para que se pueden comunicar entre ellos. Véase también, “secuestro de DNS”.

Drive-by download. La infección de un ordenador con malware cuando un usuario visita una página web maliciosa, sin que el usuario sea consciente de la descarga realizada.

Ejercicio red team. Un ejercicio, en un entorno en el que se reflejan las condiciones del mundo real, en el que un adversario (equipo rojo o red team), simula atacar o aprovechar las vulnerabilidades de la red de una empresa. El fin de esta práctica es conocer las propias debilidades para mejorarlas.

Encriptación. Véase “cifrado”.

Endpoint. Un dispositivo de hardware con conexión a Internet. El término se puede aplicar a ordenadores de sobremesa, portátiles, smartphones, tabletas, cliente liviano, impresoras, etc.

Exploit. Un ataque que se aprovecha de una vulnerabilidad (normalmente en el código de software) para acceder o infectar a un ordenador.

Firewall. Una barrera entre redes o parte de una red que bloquea el tráfico malicioso o impide los intentos de ataque. El firewall inspecciona todo el tráfico, tanto entrante como saliente, para comprobar que se cumplen ciertos criterios. Si se cumplen, se permite el tráfico, si no, el firewall lo bloquea.

Gestión de eventos a información de seguridad. Conocido como SIEM, se trata de una herramienta que ofrece visibilidad de la seguridad cibernética de una empresa mediante la agregación de alertas y registros de actividad generados por varias fuentes y recursos de seguridad (IPD, IDS, AV, etc.).

Gusano. Véase “worm”.

Hacktivismo. Se utiliza para describir aquellos ataques motivados por fines políticos, éticos o sociales.

Hashing. Un proceso que utiliza un algoritmo de cifrado irreversible para convertir una entrada de datos en un código alfanumérico aleatorio. Se suele usar para proteger las contraseñas en el caso de que un adversario malicioso obtenga acceso a l base de datos donde están guardadas. A menudo se ve este término acompañado de “salting” (véase más abajo).

IDS. Véase “sistema de detección de intrusiones”.

Informe sobre el cumplimiento. Más conocido como RoC, report, on compliance. Un WSA emite un RoC cuando al inspeccionar los sistemas informáticos de los comercios, estos cumplen la normativa PCI-DSS.

Ingeniería social. Métodos que los atacantes usan para engañar a las víctimas y conseguir que hagan algo. A menudo incluye phishing, así como llamadas de teléfono, cuentas falsas de LinkedIn, etc. Normalmente, estas acciones abren una página web maliciosa o ejecutan un archivo adjunto no deseado.

Inyección SQL. SQL es un lenguaje de programación que le dice a una base de datos qué tiene que hacer. Un ataque de inyección SQL ocurre cuando se manipula ese lenguaje para alterar el funcionamiento normal de la base de datos y se le pide que realice una tarea diferente de lo que se pretendía.

IPS. Véase “sistema de prevención de intrusiones”.

IRP. Véase “plan de respuesta a incidentes”.

ISO 27001. Una norma internacional que describe las mejores prácticas respecto a la gestión de la seguridad de la información de una empresa.

Keylogger. Un tipo de malware que puede grabar en secreto las pulsaciones que efectúa un usuario en el teclado y mandarlas a terceros sin autorización.

Lista blanca. En inglés, whitelist. Lista de entidades, direcciones de IP, aplicaciones, etc., que se consideran de confianza y a las que se les conceden accesos o privilegios.

Lista negra. En inglés, blacklist. Lista de entidades, direcciones de IP, etc., que son bloqueadas o a las que se les deniegan accesos o privilegios.

Malware. Término genérico para software malicioso. El malware incluye virus, gusanos, troyanos y spyware. Los términos malware y virus se suelen utilizar indistintamente.

Marco de referencia de ciberseguridad NIST. Un conjunto de normas, buenas prácticas y recomendaciones para mejorar la seguridad cibernética. No está restringido a una sola industria, zona geográfica o norma y se centra en los resultados, más que en las aportaciones.

NAC. Véase “control de acceso a la red”.

NIST. Instituto Nacional de Normas y Tecnología. Véase “marco de referencia de ciberseguridad NIST”.

Normas de seguridad de datos de la industria de tarjetas de pago. PCI-DSS son sus siglas en inglés. Una normativa sobre seguridad de la información creada por el comité PCI-SSC (véase…) que rige el modo en el que las empresas que aceptan pagos con tarjetas de crédito o débito deben manejar y proteger esa información. Hay cuatro niveles de gestión, dependiendo del volumen de transacciones que maneja una compañía, empezando por el nivel cuatro hasta llegar al nivel uno. Son las compañías de tarjetas de pago las que establecen a nivel individual los límites exactos de estos niveles.

Parches. Extensiones de software y/o firmware que corrigen bugs y vulnerabilidades de seguridad.

PCI-DSS. Véanse “normas de seguridad de datos de la industria de tarjetas de pago”.

PCI-SSC. Véanse “comité de normas de seguridad de la industria de tarjetas de pago”.

Phishing. Práctica fraudulenta en la que mandan correos electrónicos, que fingen provenir de fuentes de confianza, con el objetivo de manipular a los usuarios de intentar que lleven a cabo acciones particulares como recelar información, transferir fondos o abrir enlaces o archivos adjuntos.

Phreaking. Utilizar un ordenador u otro dispositivo para engañar a un sistema de telefonía. Se emplea a menudo para hacer llamadas de teléfono gratis o cargar llamadas a una cuenta diferente.

Plan de respuesta a incidentes. Conocido también por sus siglas en inglés IRP (incident response plan). Un conjunto de procedimientos predeterminados y documentados para detectar y responder a un ataque cibernético.

Prevención de pérdidas de datos. También conocida por sus siglas en inglés, DLP (data los prevention), se trata de un conjunto de procedimientos y herramientas de software que impide que los datos confidenciales puedan salir de una red.

Protocolo de escritorio remoto. El RDP o remote desktop protocol es una metodología que permite a los usuarios conectarse a distancia a sistemas informáticos a través de internet.

Protocolo SFTP. Las siglas hacen referencia secure file transfer protocol. Metodología utilizada para enviar archivos a través de Internet en un formato cifrado.

Pruebas de penetración. Proceso por el cual los peritos buscan las vulnerabilidades de una empresa e intentan sortear las medidas de seguridad de una red o un sistema de información.

QSA. Véase “asesor de seguridad cualificado”.

Ransomware. Un programa de software malicioso que cifra o bloquea el acceso a la información o los sistemas. Los usuarios afectados solo pueden acceder a la clave de descifrado si pagan una tarifa al atacante.

RDP. Véase “protocolo de escritorio remoto”.

Red privada virtual.  Una VPN (en inglés, virtual private network) es un método de conectar ordenadores remotos a una red central, lo que permite a los usuarios comunicarse o acceder a los servidores de la organización de manera segura a través de Internet.

Redundancia. Sistemas, subsistemas, activos (assets) o procesos adicionales o alternativo que mantienen un grado de funcionamiento general en caso de pérdida o fallo (failure) de otro sistema, subsistema, activo o proceso.

Resiliencia. La capacidad de una red de:

  • Garantizar un funcionamiento continuo (por ejemplo, ofrecer mucha resistencia a las perturbaciones y ser capaz de funcionar a menor escala si se han sufrido daños).
  • Recuperarse con eficacia si se produce una avería.
  • Hacer frente a solicitudes rápidas o impredecibles, como ataques DDoS.

RoC. Véase “informa sobre el cumplimiento”.

Rootkit. Unidad de software que oculta los programas o procesos que se están ejecutando en un ordenador.

Salting. La incorporación de una cadena de caracteres aleatorios y únicos a una contraseña antes de que se lleve a cabo el hashing. De esta manera, es más difícil descifrar la contraseña.

SAQ. Véase “cuestionario de autoevaluación”.

Secuestro de DNS. Un ataque que cambia los ajustes de un ordenador para ignorar el DNS o para utilizar un servidor de DNS controlado por atacantes maliciosos. Estos adversarios pueden redireccionar la comunicación del usuario hacia páginas web fraudulentas.

Seguridad de la capa de transporte. Conocida como TLS, transport layer secutity. Al igual que su predecesor SSL, en un protocolo por el que se envía información privada a través de Internet usando sistemas criptográficos que utilizan dos claves para cifrar los datos. Muchos navegadores de Internet indican que la conexión está protegida por TLS mostrando el icono de un candado o un certificado de seguridad cerca de la barra del navegador, donde se encuentra la URL de una página web. Todavía se le sigue llamando SSL.

Servidor de mando y control. Un ordenador que manda instrucciones a miembros de una botnet.

SFTP. Véase “protocolo SFTP”.

SIEM. Véase “gestión de eventos e información de seguridad”.

Sistema de detección de intrusiones. Más conocido como IDS, intrusion detection system. Un terminal o programa de software que controla una red o varios sistemas en busca de actividades maliciosas o infracciones de normas. Identifica y señala cualquier actividad sospechosa o inusual.

Sistema de prevención de intrusiones. También conocido como IPS o intrusion prevention system. Una versión proactiva de un IDS que puede bloquear automáticamente cualquier comportamiento sospechoso.

Spear phishing. Un ataque de phishing dirigido a un individuo en concreto.

Spoofing. Un ataque de ingeniería social o phishing por el cual se suplanta la identidad del remitente de un correo electrónico.

Spyware. Software que permite a los anunciantes o los atacantes conseguir información confidencial sin el permiso del usuario.

SSL. Véase “certificado SSL”.

Superficie de ataque. Todos los activos de una organización expuestos a Internet. Esto incluye hardware y software. A mayor número de activos, mayor número de vulnerabilidades potenciales y por lo tanto, mayor “oferta” para aquellos adversarios que quieran atacar a una organización.

TLS. Véase “seguridad de la capa de transporte”.

Troyano. Programa malicioso que tiene la apariencia de un programa legítimo e inocente pero que en realidad lleva a cabo funciones perjudiciales de forma oculta.

Vector de amenaza. Método que un agente de amenaza utiliza para conseguir acceso a una red.

Virus. Programa malicioso que se puede extender a otros archivos.

VPN. Véase “red privada virtual”.

Vulnerabilidades. Bugs en el software que los adversarios aprovechan para afectar negativamente a los ordenadores.

Whitelist. Véase “lista blanca”.

Worm. Es español gusano. Tipo de malware que puede replicarse y propagarse solo, sin la intención de personas o sistemas. Se podría decir que es malware en modo automático.

Zombie. También conocido como bot. Un ordenador infectado, controlado a distancia por un atacante. Forma parte de una botnet.