domingo 05 mayo 2024
Facebook Twitter Youtube Instagram
elespaciodigital
Menú

Ciberseguridad

Gestión de la custodia de claves: desafíos y mejores prácticas.

GENERALES, TECNOLOGÍA /

Las claves adoptan muchas formas, desde un simple nombre de usuario y contraseña, pasando por los documentos privados de nuevos proyectos (secretos industriales) hasta una clave SSH, un token de corta duración o un password de cifrado privado, etc.

Las contraseñas se utilizan en todas partes: empleados, socios, clientes, procesos automatizados (DevOps), proveedores, servidores, servicios locales, aplicaciones, scripts, API, proveedores de nube, servicios SaaS, etc. para obtener acceso privilegiado para realizar una función elevada o protegida.

Si bien existen y continúan surgiendo muchos tipos de accesos, fundamentalmente una clave en las manos equivocadas conduce a una falla de seguridad significativa o una violación. Durante la última década, infracciones públicas han sido noticia por el mal manejo de la custodia de una clave o identidad, como los casos de fuga de información y bases de datos que sufrieron Yahoo!, Marriott, Wawa, etc.

“Los especialistas en seguridad de la información de cada empresa son responsables de derivar y mantener las reglas sobre cómo se otorgan los accesos y claves en toda la empresa”,  afirma Héctor Higuita, director general de eSoft Colombia y quien ha liderado estrategia de ciberseguridad para grandes empresas en la región.

Las soluciones de Gestión de Accesos con Privilegios PAM (Privileged Access Management, por sus siglas en inglés) son las que ayudan a asegurar, controlar y hacer monitoreo de los accesos con privilegios a los activos críticos.

“Esto es relevante, si se tiene en cuenta que una encuesta revela que más del 70% de las amenazas vienen de parte del usuario, ya actúe a propósito o no. La gestión de esas contraseñas y la confianza cero son esenciales para proteger la información y las empresas”, agregó Ricardo Dossantos, gerente de servicios LATAM eSoft Colombia, líder  experto en proyectos de servicios e innovación en ciberseguridad.

Dado el amplio alcance del panorama a cubrir, adoptar un enfoque para controlar el acceso privilegiado y así proteger las funciones más críticas dentro de su negocio, operaciones, tecnología e infraestructura, es un buen comienzo.

Los equipos de seguridad tienen el reto de garantizar una gestión adecuada de la custodia de identidad y claves en toda la organización. Esto incluye:

  • Comprender dónde existen todos los documentos privilegiados: creación de un catálogo centralizado
  • Definición de políticas sobre cómo gestionar la identidad y el acceso: frecuencia de rotación, determinación de la fuerza y acceso de emergencia
  • Entender los conjuntos de herramientas que existen para ayudar a mitigar estos riesgos y automatizar tanto como sea posible
  • Implementar un programa para proteger la identidad y acceso (contraseñas) en toda la organización.
  • Hacer cumplir el control en toda la organización para minimizar el riesgo.
  • Requerir que los gerentes den fe de lo siguiente:
  • Quién tiene el potencial acceso a la información privilegiada
  • Quién y cuándo ha utilizado un acceso y contraseña

“Desafortunadamente, las prácticas comunes y convenientes no suelen considerar la seguridad hasta muy tarde en su ciclo de desarrollo o implementación, dejando a la empresa, el producto y la propiedad intelectual potencialmente vulnerables”, señaló Ricardo Dossantos, gerente de servicios LATAM Grupo eSoft Colombia.

De hecho, según cifras de la Cámara Colombiana de Informática y Telecomunicaciones – CCIT, “Los ciberdelitos presentados durante el 2020 llegaron a más de 45.000 casos, un incremento del 89% frente al año anterior, convirtiéndose en el año de mayor ascenso en cifras e impacto en Colombia. Durante el periodo denominado COVID (marzo – diciembre 2020), se presentó un incremento del 101%, con más de 37.000 reportes, en el número de noticias criminales instauradas ante la Fiscalía General de la Nación”.


Según el informe del Tanque de Análisis y Creatividad de las TIC (TicTac), el delito que mayores denuncias presentó fue la suplantación de sitios web para capturar datos personales con un crecimiento del 303% comparado con el 2019, y el segundo delito con mayor número de denuncias, con 9.487 casos registrados fue la violación de datos personales, y el tercero fue el hurto por medios informáticos con un 37% de crecimiento, registró más de 16.000 casos denunciados. “Pese a tener la mayor frecuencia estadística, la modalidad más común sigue siendo el apoderamiento de credenciales para el acceso a servicios de banca online, con los cuales los cibercriminales, consiguen suplantar al titular del producto bancario y apoderarse del dinero generalmente dispuesto en cuentas bancarias”, reporta CCIT.

Recomendaciones.

eSoft, representante de las soluciones tecnológicas de clase mundial con altos niveles de relacionamiento y Partner Tier 1 y VAD “VALUE ADDED DISTRIBUTOR” de Broadcom, expone las mejores prácticas y capacidades que se deben tener en cuenta al buscar herramientas para  gestionar la custodia de las claves (soluciones de acceso privilegiado – PAM):

  • Realice un inventario de activos en toda su organización
  • Catalogue y almacene de forma segura cada información en una ubicación central encriptada y protegida.
  • Practique una postura de seguridad de “confianza cero” es decir, sin confiar en nada. El acceso a la información debe estar regido por un proceso menos privilegiado, contextualizado por solicitudes y consciente de los riesgos.
  • Cambie o rote las claves de acceso con frecuencia, a pedido o después de cada uso.
  • Proteja el uso a información tanto como sea posible, proporcionando capacidades de inicio de sesión automático; sin embargo, si se proporcionan accesos a los usuarios, asegúrese de que las políticas roten automáticamente inmediatamente después de su uso.
  • Asegure las aplicaciones y configuraciones en todo momento: controle el tiempo de ejecución (solicitado bajo demanda cuando sea necesario) y verique que haya un monitoreo de la infraestructura y active alarmas cuando haya actividad inusual o comportamientos extraños.

Metodologías para la gestión de la custodia de claves.

De acuerdo con Ricardo DosSantos de eSoft, existe una variedad de metodologías sobre cómo diseñar la gestión de identidad y protección de la infraestructura y la información (administrar de identidad y claves):

  1. Gestionar manualmente, pero este método no escala y es propenso a errores humanos; esto debe evitarse.
  2. Aprovechar herramientas específicas de la plataforma como en Kuberentes, proveedores de nube, Docker, proveedores de nicho que realizan una sola función. La administración de múltiples ubicaciones y conjuntos de herramientas puede resultar en una pesada carga operativa para los equipos de seguridad y puede generar inconsistencias en las políticas cuando se trata de las fortalezas y capacidades de cada herramienta.
  3. Usar una fuente única y centralizada en todas las plataformas: Las soluciones de Gestión de Acceso Privilegiado – PAM, proporcionan una fuente única y centralizada para almacenar y proporcionar acceso de confianza cero a los secretos. Se prefiere una solución única para garantizar la coherencia: un control de acceso de un solo punto y una fuente única para auditar quién ha accedido a la información sensible.
  4. Tener acceso operativo a la información privilegiada cuando sea necesario, en tiempo de ejecución, en el lugar y en todo su ciclo. Hay algunos casos de uso en los que esto es seguro, como proporcionar un certificado de CA, porque la clasificación no se cambia con mucha frecuencia y es probable que se use ampliamente en muchos dispositivos. Una forma más segura es proporcionar acceso privilegiado – PAM- en tiempo de ejecución, una forma programática de solicitar el acceso con contraseña directamente desde el código (script, aplicación, servicio, etc.).

Conclusión.

Los equipos de seguridad están autorizados para proporcionar control sobre cómo se utiliza la información, quiénes tienen acceso y las contraseñas, en una organización mientras intentan mantenerse al día con el panorama técnico que cambia rápidamente.

Implementar un enfoque de “confianza cero”, mientras se almacenan secretos en una bóveda reforzada, proporcionar una pista de auditoría completa del uso potencial y real y controlar cuándo se cambian los acceso, claves y perfiles, son algunas de las mejores prácticas que brindan las soluciones PAM maduras.

“Las mejores soluciones de PAM van más allá para garantizar que se implementen los controles correctos para el uso de información privilegiada basado en aplicaciones y en humanos. Tener la capacidad de proteger, autorizar y conectarse a la infraestructura son conceptos esenciales para los equipos de seguridad, al mismo tiempo que cubren y transforman DevOps en flujos de trabajo de DevSecOps”, destacó Ricardo Dossantos, gerente de servicios LATAM grupo eSoft.

Una empresa que tenga claridad sobre la importancia de la seguridad de la información, de sus usuarios, con gestión de identidad/accesos, tecnología PAM de Broadcom y servicios de consultoría como los de eSoft, con expertos en ciberseguridad y administración, estará protegida de problemas como fuga de información, suplantación de identidad, robo de datos y otros ciberataques.

Basado en white paper: Secrets Management: Challenges and Best Practices

Joseph Burke, arquitecto jefe, Gestión de acceso privilegiado Link: https://docs.broadcom.com/doc/12398179.

www.broadcom.com y https://esoft.com.co

Gestión de la custodia de claves: desafíos y mejores prácticas. Leer más »

El presupuesto en ciberseguridad aumenta en empresas, pese a los recortes por COVID-19.

GENERALES, TECNOLOGÍA /

Según el nuevo informe de Kaspersky «Ajuste de la inversión: alineando los presupuestos de TI con las prioridades de seguridad«, la ciberseguridad sigue siendo una inversión prioritaria para las empresas. En América Latina, la proporción de la seguridad informática en el presupuesto general de TI creció del 22% en 2019 al 30% en 2020 en las PyMES y del 27% al 34% en las empresas de mayor tamaño. Asimismo, el 59% de las organizaciones espera aumentar en los próximos tres años su presupuesto de ciberseguridad. Todo ello a pesar de que, en términos generales, durante la pandemia del COVID-19, se ha recortado el gasto de TI, y el de ciberseguridad en particular, especialmente entre aquellas PyMES más impactadas económicamente.

Las prioridades de TI de las empresas pueden verse condicionadas por determinados eventos externos. Tal es el caso de la crisis derivada del confinamiento por la COVID-19, que ha llevado a las organizaciones a ajustar sus planes para adaptarse a nuevas necesidades, desde la digitalización urgente a la optimización de costos. Kaspersky ha realizado un estudio, basado en una encuesta a más de 5,000 profesionales de TI y ciberseguridad en 31 países, en el que se analizan las últimas tendencias económicas en seguridad TI y su relación con lo acontecido este año[1].

Según refleja la investigación, la partida del presupuesto de TI dedicada a la seguridad sigue creciendo año tras año en los países de la región: de $114,000 dólares en 2019 a $250,000 dólares en 2020 en el caso de las PyMES latinoamericanas, y de $13 millones de dólares en 2019 a $20 millones de dólares en 2020 en las grandes empresas.

Sin embargo, un pequeño porcentaje de las empresas, el 9% de las PYMES y el 13.5% de las grandes compañías latinoamericanas tienen previsto reducir el gasto en seguridad de TI en los próximos tres años. De estas últimas, el 28% alega que la alta dirección no ve ninguna razón para invertir tanto en seguridad de TI, mientras que otro 28% comentó que pueden tomar esta decisión, debido a que las funciones de Seguridad Informática han sido asumidas por empresas de outsourcing.

En el caso de las PyMES, 34% comentaron que consideran que han asegurado lo suficiente y no hay necesidad de hacer mayores inversiones en Seguridad Informática. La necesidad de recortar los gastos generales de la empresa y optimizar los presupuestos (34%) es otro de los principales motivos. Las pequeñas y medianas empresas han sido las más afectadas por el confinamiento: más de la mitad en todo el mundo ha sufrido un descenso de las ventas o experimentado restricciones en el flujo de caja. Es evidente que han tenido que optimizar sus gastos para sobrevivir. Esto tiene un impacto en la ciberprotección, por lo que es importante que este tipo de compañías encuentren una forma de mantenerse a salvo de los ciberriesgos en un momento tan difícil.

«2021 seguirá forzando a las empresas en la tesitura de concentrar sabiamente todos sus recursos y esfuerzos para mantenerse a flote. Aunque se revisen los presupuestos, eso no significa que la ciberseguridad deba bajar en la lista de prioridades. Recomendamos que aquellas compañías que tengan que dedicar menos recursos a la ciberseguridad en los próximos años, sean inteligentes y utilicen todas las opciones disponibles para reforzar sus sistemas de protección, recurriendo a las soluciones de seguridad gratuitas disponibles en el mercado e introduciendo programas de concienciación sobre seguridad en toda la organización. Estos pequeños pasos pueden marcar la diferencia, especialmente en las PyMES», comentó Alexander Moiseev, Director Global de Negocios en Kaspersky.

Kaspersky sugiere a las pequeñas y medianas empresas que sigan las siguientes recomendaciones para mantener la seguridad, incluso con presupuestos limitados:

  • Mantenga siempre al equipo al tanto de los riesgos de seguridad de TI, como el phishing, las amenazas web, el malware bancario y otros que pueden afectar a los empleados en su rutina de trabajo diaria. Existen cursos de formación que enseñan prácticas de seguridad, como los que proporciona Kaspersky Automated Security Awareness Platform. Utilice formatos que ayuden a los empleados a recordar las normas de ciberseguridad como pósters en el espacio de trabajo.
  • Asegúrese de que todos los sistemas, software y dispositivos estén actualizados. Esto ayudará a evitar infiltraciones de malware en los sistemas corporativos, a través, por ejemplo, de un sistema operativo sin parches de actualización.
  • Establezca la práctica de utilizar contraseñas seguras para acceder a los servicios corporativos. Utilice la autenticación multifactorial para el acceso a servicios remotos.
  • Asegúrese de que todos los dispositivos corporativos estén protegidos con contraseñas fuertes y que se cambien de manera regular.
  • Utilice servicios y plataformas basados en la nube probados cuando transfiera datos empresariales. Asegúrese de que protege todos los archivos compartidos con contraseñas, por ejemplo, en Google Docs, o póngalos a disposición de un círculo limitado dentro de un grupo de trabajo.
  • Utilice una herramienta gratuita de seguridad para endpoint, como Kaspersky Anti-Ransomware Tool for Business, que ofrece protección tanto para PCs como servidores frente a una amplia gama de amenazas, como el ransomware, los criptomineros, el adware, el software pornográfico y los exploits, entre otros.
  • Existen también algunas herramientas útiles que podrían ayudar a cubrir necesidades específicas de ciberseguridad, como la comprobación de archivos, direcciones IP, dominios y URL sospechosos. Esto se puede hacer de forma gratuita en Kaspersky Threat Intelligence Portal.

Para leer el informe completo «Ajuste de la inversión: alineando los presupuestos de TI con las prioridades de seguridad», por favor, visite la página web.

[1]. El estudio Kaspersky Global Corporate IT Security Risks Survey (ITSRS) se basó en una encuesta a a 5.266 personas en 31 países. Realizada por B2B International y comisionada por Kaspersky, el trabajo de campo se llevó a cabo en julio de 2020.

El presupuesto en ciberseguridad aumenta en empresas, pese a los recortes por COVID-19. Leer más »

ETEK anuncia su certificación Certified Ethical Hacker-CEH V11.

GENERALES, TECNOLOGÍA /

La compañía ETEK International anunció hoy la certificación Certified Ethical Hacker – CEH V11, un programa de capacitación diseñado por EC-Council para ayudar a los profesionales de ciberseguridad a perfeccionar aún más sus habilidades de hacking ético y aplicar buenas prácticas para enfrentar los delitos contra la información.

Certified Ethical Hacker es uno de los programas de certificación más respetados a nivel mundial y cuenta con el reconocimiento del Departamento de Defensa, Ejército, Marina, Cuerpo de Marines y Fuerza Aérea de los EE.UU., así como el GCHQ británico, ANSI y otros organismos de importancia internacional.

La certificación proporciona una plataforma confiable para que los participantes demuestren sus habilidades en el dominio del hacking ético. Incluye prácticas y ejercicios del mundo real que han sido diseñados para crear el profesional ideal para el ‘Red Team’.

La certificación Certified Ehitcal Hacking – CEH V11 dictada por ETEK enseña a los estudiantes cómo identificar y explotar vulnerabilidades, al tiempo que la Práctica CEH es una prueba de aplicación de los conceptos aprendidos. Aquellos candidatos que hayan obtenido la credencial CEH y puedan demostrar su dominio a través del examen práctico CEH obtienen la designación especial de CEH Master.

Últimas herramientas y tecnologías.

El programa Certified Ethical Hacker – CEH V11 incorpora una biblioteca con las últimas herramientas de ciberseguridad, incluyendo tecnologías de contenedores (Docker, Kubernetes), así como amenazas de la nube y herramientas de piratería para Internet de las Cosas (IoT) como Shikra, Bus Pirate, Facedancer21 y otras.

El programa incluye nuevos sistemas operativos como Windows Server 2019, Windows Server 2016 y Windows 10 configurados con controlador de dominio, firewalls y aplicaciones web vulnerables que sirven para hacer prácticas y  mejorar las habilidades de hacking.

INSCRIPCIONES.

Las jornadas de capacitación online en Certified Ethical Hacker – CEH V11 de ETEK se realizarán a partir de marzo de 2021 con flexibilidad de horarios entre las 17:30 y 21:30 horas.

Las inscripciones están abiertas en los teléfonos +5712571520 extensiones 4701 y 4708, a los móviles +5730433901810 y +573178933479 o a los email: [email protected] y [email protected]

www.etek.com

ETEK anuncia su certificación Certified Ethical Hacker-CEH V11. Leer más »

Kaspersky: Resoluciones que debes adoptar para proteger tu vida digital.

DESTACADOS, GENERALES, TECNOLOGÍA /

Para muchos, el nuevo año ofrece un comienzo fresco. La oportunidad para mejorar en aspectos que teníamos un poco abandonados o para trazarnos metas que queremos alcanzar durante el año. El comienzo del 2021 no es ninguna excepción. Sin embargo, con la gran dependencia al Internet que hemos adoptado durante los últimos nueve meses, provocada por la crisis sanitaria, es importante incluir nuestra ciberseguridad entre esas metas.

“El año pasado aceleró la migración, tanto de empresas e instituciones como de usuarios finales al mundo digital, muchos de los cuales no contaban con las herramientas ni el conocimiento básico para hacerlo de forma segura.  Esta tendencia, junto con la poca cultura que existe en la región sobre ciberseguridad, es una combinación volátil que puede poner nuestra vida digital y, por ende, nuestra privacidad en riesgo.  Aunque las empresas deben emplear protocolos para proteger nuestra información, también es la responsabilidad de cada usuario tomar las medidas necesarias para proteger su información y resguardar sus dispositivos contra robo, hackeos o perdida”, señaló Roberto Martínez, analista sénior de seguridad en Kaspersky.

Aprovechando la temporada en que varios de nosotros nos estamos proyectando nuevas metas, los expertos de Kaspersky han enumerado las siguientes resoluciones para proteger nuestra vida digital:

Cifra tus datos.

Mantén tu navegador seguro. Para proteger tus transacciones en línea, utiliza software de cifrado que encripta la información que envías por Internet. Un icono de «candado» en la barra de tu navegador significa que tu información estará cifrada entre tu navegador y el sitio Web que estás contactando. Busca el candado antes de enviar información personal o financiera en línea. Además, es recomendable utilizar redes privadas virtuales, también conocidas como VPNs, para todas sus comunicaciones en todo momento. La regla básica es: si tienes un equipo y lo conectas al Internet, habilita tu VPN antes de realizar cualquier búsqueda o transacción.

Mantén tus contraseñas privadas.

Utiliza contraseñas seguras en tu computadora portátil como en tus cuentas de tarjetas de crédito y banca en línea. Se creativo: piensa en una frase especial y utiliza la primera letra de cada palabra como contraseña. Sustituye palabras o letras con algunos números o caracteres. Por ejemplo, «No quiero ir a dormir» podría convertirse Nqi@2. La longitud mínima de esas contraseñas debe ser de por lo menos 16 caracteres, preferiblemente de 24. Es mejor si esas contraseñas no comienzan con dígitos. También, es recomendable utilizar un gestor de contraseñas para generar una contraseña única para cada sitio. Además, no tendrás que memorizar todas las contraseñas ya que el programa lo hará por ti.

Usa autenticación de doble factor (2AF).

Actualmente, muchas aplicaciones y servicios permiten la configuración de este mecanismo de autenticación adicional. El doble factor de autenticación, o verificación de dos pasos, permite proteger los accesos a tus cuentas de redes sociales, correo electrónico o aplicaciones financieras mediante la configuración de una aplicación, el uso de algún elemento biométrico o de un dispositivo físico para utilizarse además del usuario y la contraseña. Si fuera el caso de que tus credenciales fueran comprometidas, el doble factor puede reducir el riesgo de que alguien pueda utilizarlas para realizar alguna actividad no autorizada o fraudulenta.

No compartas información personal en redes sociales.

Si publicas demasiada información personal, personas malintencionadas pueden encontrar información acerca de tu vida y utilizarla para responder preguntas de «desafío» en tus cuentas, y obtener acceso a tu dinero e información personal. Considera la posibilidad de limitar el acceso a tu perfil solo a un pequeño grupo de personas. Nunca publiques tu nombre completo, número de identidad, dirección, número de teléfono o números de cuentas en sitios de acceso público.

Utiliza software de seguridad.

Instala un software anti-malware robusto en todos tus dispositivos. Establece tus preferencias para actualizar estas protecciones en tiempo real. Protégete contra intrusiones e infecciones que pueden comprometer los archivos de tu computadora, o contraseñas en tu teléfono o tableta mediante la instalación de parches de seguridad para tu sistema operativo y otros programas de software.

No te dejes engañar por phishing.

No hagas clic en los enlaces de correos que a simple vista parecen haber sido enviados por alguien de confianza si esos incluyen mensajes sensacionalistas o incitan a realizar alguna acción en particular. Los delincuentes usan la ingeniería social y nos «seducen» para que hagamos algo que nos parezca atractivo. Al abrir un enlace malicioso podrías exponer el sistema a un virus informático o a un software espía que captura las contraseñas u otra información que ingreses. Recuerda que siempre puedes llamar a la persona o a la institución financiera que te envió el correo para comprobar la autenticidad del mensaje.

Se prudente con el Wi-Fi.

Antes de enviar información personal desde tu computadora portátil o teléfono inteligente en una red inalámbrica pública, asegúrate que tu información sea protegida. Si utilizas una página web cifrada, esta sólo protege la información que envías desde y hacia ese sitio. Mejor aún, si utilizas una red privada virtual (VPN), como Kaspersky VPN Secure Connection, toda la información que envíes en esa red estará protegida.

Realiza respaldo de tus datos.

Existe malware de la familia ransomware que maneja protocolos de cifrado tan fuertes que hoy no hay una forma de romper dichos algoritmos. Cuando un programa ransomware infecta la computadora de la víctima, cifra todos los archivos y luego exige el pago de un rescate para descifrarlos. Si la víctima tiene su información respaldada, el ransomware no tendría tantas consecuencias e, incluso, se podría reinstalar el sistema operativo subiendo el último respaldo.

Lee los privilegios de acceso para apps con cuidado y toma buenas decisiones.

En el mundo digital, si un servicio es gratuito entonces tu eres el producto. Muchos servicios gratuitos y aplicaciones recopilan información personal detallada acerca de ti que les permite vender publicidad altamente enfocada. La próxima vez que descargues una aplicación “gratis” revisa los permisos y la información que te pide acceder, y decide si esta aplicación realmente merece esos privilegios.

“Ya que las autoridades sanitarias anticipan que el confinamiento continuará hasta por lo menos el segundo trimestre de este año, nuestra dependencia al Internet seguirá y aumentará, por lo que es importante que los usuarios adopten buenas prácticas de seguridad digital para reguardar su información desde ya”, recalcó Martínez.

Kaspersky: Resoluciones que debes adoptar para proteger tu vida digital. Leer más »

Scroll al inicio