27 December, 2011

ESPECIAL: Los 10 consejos de seguridad del 2012 para CISO y empresas

Por

Cuando Sony confirmó que más de 77 millones de datos de sus clientes habían sido comprometidos por un cibercriminales o cuando RSA anunció que el código fuente de su tecnología de Tokens estaba en manos de delincuentes de la red, todas las compañías a nivel global tuvieron un mismo pensamiento: “no quisiera estar en sus zapatos”.

En 2012 los ataques que comprometieron a estas y muchas otras compañías no dejarán de existir. Al contrario, a medida que la tecnología permee más en el quehacer diario de la humanidad, el valor de esos bits y bytes será cada vez mayor.

Si bien no existe una receta única para proteger la información de su negocio, pues “en seguridad lo único seguro es que no hay nada 100% seguro”, hemos reunido diez consejos o recomendaciones de protección de datos para 2012.

Como siempre la siguiente guía no apunta a la promoción o venta de ningún producto en particular, sino que buscan actuar como marco de referencia para conocer y comenzar a analizar vectores de ataque que quizá hemos pasado por alto o aún no estamos contemplando.

Alejandro Loza, Gerente de Ingeniería, Symantec México

1. Sin duda, 2012 será un año importante en materia de seguridad informática, tal como lo ha sido 2011 y las amenazas a la seguridad informática seguirán avanzando y volviéndose más específicas y dirigidas. Por ello, las organizaciones deberán ir más allá y concebir la seguridad en un nivel superior, con un enfoque basado en la información más que en el dispositivo y donde se cuente con una plataforma tecnológica segura y soluciones de protección integrales que abarquen aspectos de un entorno móvil y conectado, sin límite de horario ni fronteras. En 2012 será indispensable el diseño de políticas de seguridad y contar con una solución de prevención de pérdida de datos para ofrecer otra capa de protección y evitar que la información confidencial y de propiedad privada se filtre hacia fuera de la empresa a través del correo electrónico, memorias flash o redes sociales.

2. En el tema de redes sociales, éstas seguirán siendo un blanco atractivo para los cibercriminales. Por ello, al igual que en todas las comunicaciones corporativas, es importante definir cómo utilizar las redes sociales y capacitar a los empleados respecto de los contenidos adecuados para publicar y aquellos que no lo son. También recomendamos que las empresas identifiquen y entiendan los requisitos legales o regulatorios, e implementen políticas para atender las regulaciones que exigen conservar contenido de las redes sociales.

3. Aunque el spam se encuentre en su tasa más baja de los últimos tres años, es importante que se instruya a los empleados sobre qué es el correo basura, mejores prácticas y esto se complemente con una solución que ayude a bloquear el correo no deseado. Los spammers no dejarán de aprovecharse de eventos de interés general, recordemos que el año que entra tendremos la justa global de los Juegos Olímpicos en Londres, las elecciones en México o, la posibilidad de alguna catástrofe natural. Todos estos sin duda serán tomados por para realizar envíos masivos de mail, los cuales en ocasiones pueden contener malware y poner en riesgo a la organización, además de afectar su productividad.

4. No hay que olvidar que no estamos exentos de sufrir los embates provocados por algún fenómeno natural, como las inundaciones que vimos este año en Tabasco o el terremoto en Japón. Como sabemos, y debido al cambio climático, cada vez los desastres naturales tienen más fuerza. Por este motivo, en 2012, la naturaleza seguirá poniendo a prueba la fortaleza tecnológica de las empresas en cuanto a seguridad de la información. El área de TI necesita contar con una estrategia completa y que comprenda situaciones inesperadas las 24 horas, los 365 días del año. En este sentido, las empresas deberán desarrollar un detallado plan de recuperación ante desastres para ser capaces de operar sin contratiempos y de manera automatizada. Es importante que las compañías se tomen el tiempo de investigar el mejor proceso para proteger a su empresa, por ello, la virtualización de siguiente generación es una buena alternativa de implementar un plan de recuperación.

 

Dmitry Bestuzhev, director para América Latina del Equipo Global de Investigación y Análisis de Kaspersky Lab

5. Ataques a las corporaciones, empresas petroleras e instituciones científicas para el robo de la información intelectual, comercial, gubernamental y confidencial. Los ataques dirigidos que hemos visto hasta el momento en su mayoría tienen como vector al correo electrónico: adjuntos con los exploits del día 0 acompañados de la ingeniería social. Lo que veremos en 2012 serán ataques de explotación de las vulnerabilidades a través de la navegación (drive by download) y la ingeniería social. ¿Cómo mitigarlos?

  • Enseñar a todos los empleados a fondo lo que es la ingeniería social
  • Utilizar los navegadores con el soporte de ASLR y los sandbox
  • Utilizar los AV con heurísticas avanzadas, capaces de detectar las amenazas del día 0
  • No divulgar la información sobre el sistema operativo, el cliente de correo, ni los navegadores que se usen en la empresa con nadie
  • Manejar un sistema de control de aplicaciones que permita instalar o ejecutar solamente aquellas aplicaciones que sean permitidas Application control
  • Manejar un sistema de la prevención de fuga de información – DLP

6. Ataques de los hackivistas. Habrá ataques pero serán diversificados, aplicando nuevas técnicas y alcances. ¿Qué hacer?

  • Proteger los servidores Web, teniendo test continuos y permanentes, buscando proactivamente las vulnerabilidades en los motores de los lenguajes de programación
  • Aislar las bases de datos de la producción de los servidores Web públicos
  • Tener una buena seguridad anti-malware del lado del end-point para no ser víctima de robo de los credenciales “por detrás de la infraestructura”.

7. Ataques a las plataformas móviles – especialmente a la plataforma Android. ¿Qué hacer?

  • Todo dispositivo móvil debe contar con la seguridad anti-malware, encriptación y anti-ladrón para poder realizar los rastreos de los dispositivos extraviados
  • Aprender a preseleccionar las aplicaciones que se pueda y se deba instalar desde los mercados móviles, a saber por:
  • El desarrollador de la aplicación y su reputación en el mercado
  • Cantidad de descargas
  • Tiempo que lleva el desarrollador en el mercado.

Javier Liendo, Consultor de Seguridad de Cisco México

8. El uso de firewalls e IPS son más necesarios que antes, pero ni por mucho son suficientes. Este 2012 que viene haz el propósito de proteger ARP (Address Resolution Protocol) y DHCP (Dynamic Host Configuration Protocol). Protege también Spanning-Tree Protocol directamente en el switch. Si estos protocolos no los proteges directamente en los switches de tu infraestructura, no lo puedes proteger de ninguna otra manera. Si hubiera una sola iniciativa de seguridad para el 2012 de la cual pudieras obtener el mayor provecho, sería la protección de protocolos de capa dos en tu infraestructura.

9. Si en este 2012 vas a mover tus servicios a una infraestructura virtualizada, no olvides asegurarla. Ten encuenta que algunos paradigmas tradicionales de seguridad no aplican en el mundo virtualizado. Asegúrate de no perder visibilidad del tráfico intra-máquina virtual. Protege los protocolos de capa dos del switch virtual. Segmenta y filtra el tráfico intra e inter-máquina virtual. Si esto haces durante el 2012 vas a obtener todas las ventajas de la virtualización además que lo harás de manera segura.

10. Predecir el futuro siempre es difícil. De lo que sí podemos estar seguros es que la sofisticación de los ataques este 2012 solamente puede ir en aumento. Este 2012 haz que tu infraestructura sea “La Plataforma de Seguridad”. Haz que tus ruteadores vía netflow te indiquen si tus controladores de dominio se están comunicando con direcciones IPs no administradas por ti o si los equipos de usuarios están en realidad utilizando los servidores de DNS administrados por tu organización. Que este nuevo año sea el año donde incorporas herramientas de análisis de comportamiento para la detección de anormalidades en tu red.