Las pymes, que no pueden invertir tantos recursos en seguridad como las grandes empresas, están más expuestas a ataques informáticos (ya sea internos o externos) y son más vulnerables ante un malware que muta con gran velocidad, adaptándose rápidamente a los antivirus más comerciales.
En este sentido, la compañía de seguridad Watchguard acaba de publicar un informe en el que se detallan cuáles son las diez principales amenazas que comprometen la seguridad de nuestra empresa y cómo darles una respuesta adecuada.
1. Ataques desde dentro de la propia organización
El equipo de Respuesta ante Intrusiones de Verizon ha investigado durante los últimos 4 años, más de 500 intrusiones ilegítimas en los sistemas de seguridad de las empresas atribuyendo el 18% de estos ataques a personal de las empresas que habían sido atacadas. De ese 18%, cerca de la mitad provenía del personal mismo del departamento informático o personal de TI.
Solución
Integrar el principio de control dual que significa que para recurso clave existe un plan alternativo. Por ejemplo, podemos tener un técnico como responsable principal de configurar su Web y sus servidores SMTP. Pero, por lo menos, las credenciales de login de dichos servidores deben ser conocidas o estar disponibles para otra persona.
2. Falta de contigencia
Las empresas que se jactan de ser “ágiles” y “receptivas”, a menudo alcanzan esa velocidad mediante el abandono de la estandarización, los procesos maduros y el planeamiento de contingencias.
En este sentido, muchas pymes han descubierto que un simple fallo o compromiso de los datos se convierte en un desastre cuando no hay Plan de Continuidad de Negocios, Plan de Recuperación ante Desastres, Política de Respuesta ante Intrusiones, sistema de respaldo actualizado desde el cual realmente se pueda hacer una recuperación o almacenamiento en otra ubicación.
3. Una mala configuración que compromete la seguridad
Las pymes inexpertas o con poco presupuesto a menudo instalan routers, switches y otros equipos de networking sin involucrar a nadie que entienda las ramificaciones de seguridad de cada dispositivo.
En este escenario, un técnico de sistemas amateur puede conformarse al comprobar que el tráfico de datos va exitosamente de un lado a otro. No se le ocurre que debería cambiar las credenciales de usuario y la contraseña por defecto puestas por el fabricante en cada equipo.
Solución
Si no podemos permitirnos contratar consultores, probablemente sí podamos realizar hacer un chequeo automático en nuestra red. Hay muchos productos de “administración de vulnerabilidades” en el mercado, en todos los rangos de precios. Usarlos regularmente debería formar parte de la rutina de mantenimiento de nuestra red.
4. Uso temerario de redes de hoteles y quioscos
Las redes de los hoteles están en muchas ocasiones infectadas con virus, gusanos, spyware y malware y, a menudo, funcionan con malas prácticas globales de seguridad. Por otro lado los quioscos públicos, cibercafés, etc. son un lugar conveniente para que un atacante deje un keylogger, sólo para ver qué cae en su red. Los ordenadores portátiles que no tengan software de firewall personal, antivirus y antispyware pueden verse comprometidos cuando se está de viaje.
Solución
Nuestra política en este terreno debe ser que los trabajadores nunca desactiven las defensas instaladas en los portátiles de empresa, a menos reciban una autorización expresa. Muchas soluciones antivirus populares pueden configurarse de modo que no puedan ser desactivadas, aún si el usuario tiene privilegios locales de administrador.
5. Uso imprudente de los hotspots inalámbricos
Los hotspots inalámbricos públicos conllevan los mismos riesgos que las redes de los hoteles, e incluso más. Los atacantes comúnmente ponen un acceso inalámbrico no seguro que se anuncia como “Wi-Fi público gratis”.
Con un rastreador de paquetes conectado, el atacante puede ver todo lo que el empleado escriba, incluso logins. Este ataque es particularmente nefasto, porque el atacante manda los datos al aire, sin dejar absolutamente ningún rastro de compromiso en el ordenador de la víctima.
Solución
Enseñar a nuestros empleados a elegir siempre conexiones encriptadas. Procurar que se conecten a través de una red privada virtual (VPN). Esto encripta el flujo de datos, de modo que aunque haya fisgones espiando en forma inalámbrica, lo que recibirán será incomprensible.
6. Datos perdidos en un dispositivo portátil
Gran parte de los datos sensibles se ve comprometida cada año cuando los trabajadores accidentalmente dejan sus smartphones olvidados en un taxi, sus memorias USB en un cuarto de hotel o su ordenador portátil en un tren. Cuando los datos son almacenados en dispositivos pequeños, conviene que los administradores dejen de pensar acerca de lo que harán “si tal aparato se pierde” y, en cambio, pensar “cuando este aparato se pierda… “.
Solución
Administrar centralizadamente los dispositivos móviles. Podríamos considerar invertir en servidores y en software que administren en forma centralizada los dispositivos móviles. Blackberry Enterprise Server, de RIM, puede ayudarlnos a garantizar que nuestras transmisiones viajen encriptadas y, si un empleado notifica la pérdida de un teléfono, podemos eliminar en forma remota los datos del Blackberry extraviado.
7. Servidores Web comprometidos
El ataque de botnets más común hoy se produce contra sitios web y el flanco más débil en muchos de ellos es un código de aplicación mal escrito. Los atacantes comprometen cientos de servidores con ataques automáticos de inyección SQL. Los sitios legítimos luego producen la difusión del malware y, sin darse cuenta, esparcen el malware en una amplia red.
Solución
Auditar el código de nuestra aplicación web. Si (por ejemplo) un formulario Web tiene un campo para que el visitante provea su número telefónico, la aplicación web debería descartar los caracteres en exceso.
Si la aplicación web no sabe qué hacer con unos datos o un comando, debería rechazarlos, no procesarlos. Hay que buscar la mejor solución que podamos permitirnos para auditar el código (ya sea un equipo de expertos o una herramienta automática), con énfasis en averiguar si su código hace una adecuada validación de las entradas.
8. Navegación imprudente por parte de los empleados
Los sitios de redes sociales como MySpace y Facebook se están convirtiendo progresivamente en un almacen de spam, troyanos y spyware. Además, en muchas ocasiones, los empleados que navegan por sitios no relacionados con nuestro negocio terminan invitando a entrar a la red corporativa a clientes de bots, troyanos, spyware, keyloggers, spambots, etc.
Solución
Implementar un filtro de contenidos web. Las soluciones de filtrado web mantienen bases de datos (diariamente actualizadas) de URLs bloqueados según categorías. Más categorías significa más matices. Estas herramientas nos ayudarán a hacer cumplir su Política de Uso Aceptable con tecnología.
9. Correo electrónico HTML malicioso
El ataque más común por correo electrónico ahora viene como un mensaje en HTML que contiene un enlace hacia un sitio malicioso. Un clic equivocado puede desencadenar una descarga peligrosa. Los riesgos son los mismos que en la Amenaza # 8, «Navegación web imprudente”, pero en este caso es el atacante quien utiliza el correo electrónico para llevar a la víctima hacia su web.
Solución
Implementar un web proxy saliente. Podemos configurar nuestra LAN para que todos los pedidos de HTTP y las respuestas sean redirigidas hacia un servidor web proxy, lo que provee un punto de choque único donde todo el tráfico web pueda ser monitoreado para ver si es apropiado.
El web proxy no interceptará un correo electrónico malicioso entrante pero, si un usuario de nuestra red hace clic en un enlace contenido en ese mensaje en HTML, eso generará un pedido HTTP que el web proxy puede interceptar.
10. Explotación automática de una vulnerabilidad conocida
Las pymes negligentes se convertirán en víctimas si no instalan los parches de Windows en el mismo mes en que se publiquen. Pero nuestra red contiene mucho más que productos de Microsoft. Así que nuestra rutina de parcheado necesita extenderse sistemáticamente a todas las aplicaciones y componentes de sistema operativo que tengamos instalado.
