Estamos llegando a final de año, el Black Friday ha pasado y se ha ido y las tiendas están llenas de ofertas navideñas. Y los estafadores, por supuesto, están teniendo un día de campo enviando correos electrónicos que ofrecen ofertas atractivas, a menudo con imágenes de los artículos en oferta y enlaces a tiendas en línea.
Muchos de esos correos electrónicos tendrán contenido malicioso o los enlaces se conectarán a sitios web que entregan una carga maliciosa. Por supuesto, no estamos hablando solo del hogar aquí, sino también de las oficinas de su empresa. ¿Cuántos de sus empleados navegan tranquilamente por Internet o consultan su correo electrónico privado? Al hacerlo, exponen potencialmente la red de la empresa a software malicioso.
“Ajá”, dices, “pero nuestra empresa tiene una red Wi-Fi específicamente para uso privado y de visitantes”. Entonces, ¿cómo sabes que no hay un uso privado de la red corporativa o que el Wi-Fi se ha configurado de forma segura? Si hubo un dispositivo comprometido en ese Wi-Fi, ¿qué tan buenas son sus defensas?
Es probable que el Wi-Fi en cuestión se conecte a través del cortafuegos de su empresa para acceder a Internet e incluso puede transferirse a través de una VLAN dentro de la red de la empresa al cortafuegos. Entonces, ¿todos los dispositivos que admiten VLAN están actualizados con el software y los parches de seguridad más recientes, se han verificado sus configuraciones y son aptos para su propósito? El cortafuegos en sí mismo no es un dispositivo de “colocar y olvidar”; también necesita un mantenimiento regular.
¿Nosotros, la industria de la seguridad, o usted, el profesional de la seguridad, hemos aprendido alguna lección este año? ¿Se aprendieron y corrigieron las lecciones del año pasado, o simplemente se dejaron de lado porque eran demasiado difíciles o demasiado caras de implementar? ¿O tal vez incluso fueron descartados sin hacer una evaluación de riesgos exhaustiva o ninguna evaluación de riesgos en absoluto? ¿El grupo responsable de mantener la seguridad de TI está debidamente capacitado y financiado?
Los incidentes de seguridad, las violaciones de datos y similares continuaron a buen ritmo durante el año y ha habido algunas violaciones de datos bastante espectaculares. Todo esto pone de relieve el hecho de que las defensas de seguridad dentro de las infraestructuras de muchas empresas no están realmente a la altura, aunque se acepta ampliamente que nunca se puede crear algo que sea total y absolutamente seguro, pero sí se puede hacer mucho. para evitar que se exploten las vulnerabilidades.
Incluso si cree que todos los dispositivos están actualizados y configurados de manera correcta y adecuada, aún debe tener en cuenta el elemento humano: el interno. Piense en el empleado descontento, la “planta”, el contratista, el visitante y la persona de mantenimiento visitante, el limpiador y simplemente un simple error humano.
Si me permite subirme a mi tribuna por un momento, necesita entender bien los conceptos básicos, y no hacerlo bien es una de las lecciones principales que debe aprenderse. Una organización no puede hacer esto bien a menos que el equipo de TI y los responsables de la seguridad de TI tengan las habilidades y los recursos adecuados.
Los conceptos básicos cubren una serie de áreas, que incluyen, pero no exclusivamente, software (versiones compatibles y parcheadas), dispositivo de infraestructura y configuración de aplicaciones (firmware actualizado y adecuado para el propósito), procedimientos (actualizados, fáciles de encontrar). y seguido). Verificación del estado de la infraestructura (pruebas de vulnerabilidad internas y externas, auditoría de configuración, auditoría operativa) y esfuerzos generales de concientización sobre la seguridad del personal.
Uno de los conceptos básicos clave, y una lección que a menudo no se comprende por completo, es el uso del sistema de autenticación y autorización de acceso (AAA) y sus controles disponibles. Pregunta: ¿Se utiliza su sistema AAA para garantizar que todos los accesos de los usuarios se basen en un conjunto de principios de necesidad de saber, privilegios mínimos y hora del día? La mayoría del personal no necesita acceder a los sistemas de TI de la empresa fuera del horario laboral normal, no necesita acceder a todos los archivos de la empresa y, ciertamente, no necesita acceso de escritura a todos los archivos que necesita usar.
En resumen, aunque algunas empresas han aprendido algunas lecciones a lo largo del año, estoy seguro de que no todas las empresas han aprendido todas las lecciones. En mi humilde opinión, una de las lecciones más importantes (y no es tecnológica) es el continuo fracaso de la gente de TI y seguridad de TI para articular de una manera comprensible para el negocio a quienes manejan los hilos del dinero, la necesidad de una financiación adecuada. y recursos Hoy más que nunca, una falla en el sistema de TI de una empresa puede ser fatal para el futuro de la empresa.