Cómo prepararse para su próxima violación de seguridad

La mayoría de los profesionales de TI, incluso con su mayor grado de experiencia técnica, realmente no creen que sus entornos de TI sufrirán una brecha. Piensan que los piratas informáticos nunca los encontrarán, que el malware que sus usuarios rechazan en sitios web incompletos no pasará por alto su protección de punto final, y que también están a salvo del ransomware. Después de todo, es un juego de números, y todos saben que probablemente patinarán.

Bueno, todos están equivocados. Según una encuesta realizada por 451 Research a principios de 2018, el 71 por ciento de sus 1, 200 encuestados de seguridad empresarial informaron algún tipo de violación en su historia reciente. Eso es siete de cada 10, y esos son solo los números de personas que realmente se dieron cuenta de que habían sido violados. Esto significa que es casi seguro que en cualquier red grande, al menos un dispositivo aloja malware, latente o en vivo, de algún tipo. Podría ser cualquier cosa, desde un pequeño fragmento malvado que permanezca inactivo hasta que escuche de su servidor de comando y control, o podría ser una pieza de ransomware que simplemente está esperando hasta que haya sido respaldado suficientes veces para que su proceso de recuperación se vuelva inútil. O peor, podría ser un empleado descontento que finalmente sea despedido y decida descifrar su sistema por última vez para que pueda enviar la mayoría de sus datos más valiosos a la web oscura. Las posibilidades son infinitas y, por lo tanto, efectivamente inevitables.

No ignores, en lugar de eso prepárate

Si cree que eso está mal, considere la instalación de imágenes satelitales del Centro de Observación y Ciencia de los Recursos Terrestres (EROS) del Servicio Geológico de los Estados Unidos (USGS) en Sioux Falls, Dakota del Sur. Los sistemas de la instalación se bloquearon y, durante la recuperación, descubrieron más de 9, 000 páginas de pornografía junto con algunos programas maliciosos, todos cargados en sus servidores locales debido a las acciones de uno de sus empleados. Nunca supieron que estaba allí hasta que la recuperación se hizo necesaria. A veces parece que una de las suposiciones de los investigadores de seguridad de alto nivel es realmente cierta: los chicos malos ya están realmente en su red, solo esperando su momento.

Entonces, en lugar de fingir que nunca te sucederá, simplemente sé realista. Suponga que sucederá una violación e ir desde allí. Por un lado, asegúrese de que pase lo que pase, impactará lo menos posible a sus usuarios y a la organización en general. Como consideración inicial, esto significa proteger sus datos de tal manera que no se vean automáticamente comprometidos solo porque su red sí lo está.

Hay varios otros pasos que puede tomar para protegerse contra tal violación. Estos pasos incluyen hacer que sus datos sean inaccesibles, hacer que sus datos sean inutilizables incluso si los malos los encuentran, y hacer que su red sea recuperable para que pueda reiniciar las operaciones una vez que haya pasado la violación. Mientras hace esto, también debe prepararse de antemano para todos los demás requisitos que acompañan a una violación de datos.

7 consejos para la preparación del pirateo

Para ayudarlo a prepararse, he compilado siete consejos de mi larga historia de lidiar con violaciones inminentes de TI y otros desastres. Aquí están los pasos a continuación:

1. Cifrar todos los datos. Incluso si no está legalmente obligado a usar el cifrado, hágalo de todos modos. Porque dar este paso adicional significa que tendrá mucho menos dolor cuando ocurra una violación, ya que aún puede cumplir con los requisitos de protección de datos. Y puede hacerlo porque no tendrá que preocuparse por la responsabilidad por la pérdida de datos. Además, dependiendo de su segmento de mercado, también puede evitar multas masivas o incluso tiempo en prisión, siempre una política sólida.

2. Distribuya sus datos. No poner todos sus huevos en la canasta proverbial única también se aplica a la seguridad de los datos. Dependiendo del tipo de datos que esté protegiendo, esto puede significar operar un entorno de nube híbrida, emplear almacenamiento en niveles mediante el uso de un servicio de almacenamiento en la nube de nivel empresarial o mantener los datos en diferentes servidores accesibles desde un entorno virtualizado. Recuerde que las máquinas virtuales (VM) también pueden ser vulnerables a los ataques si el atacante es razonablemente sofisticado. Las máquinas virtuales no solo pueden ser vulnerables, sino que pueden serlo de manera tal que la infraestructura física no lo es, y viceversa. Lo que no desea hacer es asignar letras de unidad a sus servidores de almacenamiento de datos desde su servidor principal. Esta no es solo una mala práctica, sino también una invitación abierta para que incluso los hackers malos obtengan tus cosas.

3. Tenga cuidado con la gestión del acceso. Ya has escuchado esto antes, pero no ha cambiado: toda tu red no puede estar abierta para todos y tus datos no pueden estar disponibles para todos. Ya sea simplemente empleando contraseñas de usuario o (mucho mejor) usando una plataforma de administración de identidad viable, debe limitar el acceso a cualquier recurso de red dado solo a aquellas personas cuya función laboral requiere dicho acceso. Esto incluye a todos, desde el CEO hasta el departamento de TI. Y si TI necesita acceso a un área protegida, entonces el acceso debe otorgarse según sea necesario (preferiblemente uno basado en el rol del trabajo). El acceso también debe registrarse: quién y cuándo es la cantidad mínima de datos que desea recopilar aquí.

4. Segmente su red. Esto está relacionado con el último punto porque usar las herramientas de administración de red para cerrar los firewalls o enrutadores internos significa que se pueden programar para permitir que solo ciertos usuarios autorizados pasen el tráfico; todos los demás quedan bloqueados. Además de controlar el acceso de usuarios autorizados, esto también limita cualquier acceso no autorizado a solo una parte de la red y, junto con eso, solo una parte de la cartera general de datos de su organización. Y si ha seguido el primer paso, incluso si los malos acceden a sus datos, se cifrarán. Si omitió el paso uno y dejó sus bits sin cifrar, o de alguna manera obtuvieron la clave de cifrado, entonces al menos con la segmentación no tienen todo, solo una pieza.

5. No use la misma clave de cifrado para todo. Esto suena obvio, pero una larga experiencia me dice que muchos profesionales de TI todavía caen en esta trampa. No desea que una clave robada o descifrada proporcione acceso a todos sus datos. Esto es muy parecido a no usar la misma contraseña, excepto que es para acceder a sus sistemas porque también deberán autenticarse.

• El mejor software de eliminación y protección de malware para 2019 El mejor software de eliminación y protección de malware para 2019
• Incumplimientos de datos comprometidos 4.5 mil millones de registros en la primera mitad de 2018 Incumplimientos de datos comprometidos 4.5 mil millones de registros en la primera mitad de 2018
• Under Attack: cómo la piratería electoral amenaza a los intermedios Under Attack: cómo la piratería electoral amenaza a los intermedios

6. Sí, el viejo castaño: respaldar todo. Los servicios de respaldo en la nube empresarial lo han hecho más fácil que nunca en la historia de TI, así que aproveche y enloquezca. Realice una copia de seguridad de todo, preferiblemente en más de una ubicación o incluso utilizando más de un servicio de copia de seguridad. Una de las ubicaciones debe estar en la nube y en los servidores, tan lejos de su ubicación principal como sea posible. Esto es para que los datos puedan estar disponibles para un escenario de recuperación ante desastres (DR) además de las situaciones típicas de respaldo. Pero incluso si el malware está en su sistema, su servicio de respaldo debería poder encontrarlo y eliminarlo. Con eso en mente, es importante que solo haga una copia de seguridad de lo que realmente importa, que son sus datos. No haga una copia de seguridad del contenido de los discos duros en las máquinas cliente porque probablemente es donde está el malware. En cambio, solo restaure esas máquinas a partir de imágenes estándar mantenidas por el departamento de TI.

7. Finalmente, haga una lista de tareas pendientes. Esto solo significa asegurarse de que se haya ocupado de las tareas administrativas que generalmente conllevan una infracción. Tenga una lista de teléfonos que no esté almacenada en un sistema en algún lugar que detalle a quién deberá notificarse en caso de incumplimiento, preferiblemente en el orden en que deben llamarse. También debe agregar lo que necesita decirles durante esa llamada y cuál es la fecha límite para notificarles. Tenga allí también la información de contacto para su servicio de DR. Siéntese con su equipo legal y sus gerentes superiores y revise esta lista para asegurarse de que no se haya pasado nada por alto. Y una vez que haya decidido que todo está allí, confirme esto practicando realmente su respuesta de incumplimiento.

Después de haber hecho todo esto, no solo descansará más fácilmente, sino que también puede tomar el crédito por tener una buena respuesta de incumplimiento y por ser uno de los pocos afortunados que nunca experimenta un incumplimiento.