PDF de programación - Consejos de ciberseguridad para las empresas de hoy

Consejos de ciberseguridad
para las empresas de hoy

¿Su organización está al día en su estrategia de seguridad? Aquí le ofrecemos
algunos consejos de expertos para asegurar la información empresarial.

LA CIBERSEGURIDAD,
¿LE OCUPA O LE
PREOCUPA?

CONSIDERACIONES PARA
APLICAR LA SEGURIDAD
OFENSIVA

REPORTE DE BRECHAS
Y SEGURIDAD: MEJORES
PRÁCTICAS

CINCO PASOS PARA
ASEGURAR LOS DATOS
EMPRESARIALES

SEGURIDAD DE DATOS
CORPORATIVOS EN
APPS MÓVILES

SEIS CONSEJOS
DE SEGURIDAD PARA
LAS EMPRESAS

CIBER-

SEGURIDAD

INICIO

CIBER-SEGURIDAD

SEGURIDAD OFENSIVA

REPORTES

SEGURIDAD DE DATOS

DATOS DE APPS

CONSEJOS

2

La ciberseguridad, ¿le ocupa o le preocupa?

Seguramente ha visto en internet, en redes
sociales o en las noticias, informes que resumen el
estado actual de la ciberseguridad a nivel mundial.
Sin duda, los informes pueden ser muy valiosos en
cuanto a cifras, casos y datos duros de la cada
vez más compleja escena de ciberataques a nivel
mundial; el problema es que hay tantas versiones,
formatos y cifras incluidas en dichos documen-
tos que, sin la guía adecuada o la interpretación
correcta, la información puede ser sacada del con-
texto real y traducirse en miedo o paranoia.

Cualquiera que sea la motivación que usted

tenga para leer un informe (prevención, morbo,
actualización, et cetera) y por muy valiosa que sea
la información que contenga, le adelanto que de
nada sirven las cifras ni el tiempo invertido en su
lectura si, como profesionales de seguridad, no nos
damos a la tarea de entender dichas amenazas en
el contexto de lo que se conoce como ”riesgo digi-
tal” y su impacto para las organizaciones.

Para bien o para mal la (in)seguridad digital es

una moda que llegó para quedarse y muchos datos
sobre la sofisticación de los ataques cibernéticos
seguirán ganando titulares en la prensa. Si bien es
cierto que el tema es importante y que el malware,
por ejemplo, crece de forma exponencial, más aún
a partir de la dependencia que cualquier organiza-
ción tiene en la tecnología para poder operar en la
actualidad, de nada sirve estresarnos con historias
de terror ocurridas a otras empresas si antes no
entendemos nuestros propios ambientes de ope-
ración y nos ocupamos en controlar las puertas y
ventanas abiertas en el plano digital, identificar los
riesgos y determinar el verdadero impacto que un
incidente podría tener para nosotros.

Por ello, no debemos confundirnos (ni dejar que
nos confundan) y hay que tener claro que cuando
los reportes hablan de amenazas digitales se refie-
ren a esas instancias, ya sean manuales (ataques/
hackeo dirigido) o automatizadas (virus, gusanos,

CONSEJOS DE CIBERSEGURIDAD PARA LAS EMPRESAS DE HOYCIBER-

SEGURIDAD

INICIO

CIBER-SEGURIDAD

SEGURIDAD OFENSIVA

REPORTES

SEGURIDAD DE DATOS

DATOS DE APPS

CONSEJOS

3

algunos ataques de negación de servicio, et cetera)
que tienen como objetivo vulnerar nuestra segu-
ridad y que son desarrolladas por personas o gru-
pos para obtener información, o a final de cuentas
y por encima de todo, un beneficio económico.
Ahora bien, hay que entender que para que las
amenazas se traduzcan en un riesgo real dependen
del éxito que tengan encontrando y aprovechando
las vulnerabilidades o debilidades (como malas
configuraciones, fallas en la protección, falta de
parches o actualizaciones de seguridad, et cetera)
en nuestros activos de TI.

Así que mientras un informe bien puede men-

cionar que las amenazas han crecido, nosotros
debemos preguntarnos cosas como: ¿Cuál es el
riesgo que esto tiene para mi organización? ¿Sabemos
cuáles son nuestros puntos débiles? ¿Qué protección
tenemos?

CÓMO APROVECHAR LA INFORMACIÓN
SIN CAER EN LA PARANOIA
Independientemente de lo que diga un informe,
reporte o whitepaper, es clave que entendamos que
NUNCA controlaremos nosotros la motivación de

los atacantes ni la forma en que tratan de afectar-
nos (amenazas). Tristemente y como en cualquier
sociedad es obvio que los criminales aumentarán
a medida que la sociedad se vuelva más digital,
mientras exista una falta de conciencia de los
usuarios y también la (in)capacidad de las auto-
ridades para perseguir estos delitos así que no
invierta energía ni tiempo en tratar de entender las
motivaciones de los atacantes sino más bien enfó-
quese en aquello que está bajo su control.

Que si las vulnerabilidades crecieron en un
300% o 500% para ciertas plataformas, siste-
mas o redes sociales … el hecho es que el mundo
está lleno de vulnerabilidades y se generan en
proporción del incremento de usuarios, servicios
y tecnología. Ocúpese entonces en entender su
ambiente de operación y poner esas vulnerabili-
dades en contexto de su realidad para tomar las
acciones pertinentes. Habrá algunas que resulten
más importantes que otras para su ambiente.

Muchos informes se enfocan en el crecimiento
de amenazas pero hablan poco del riesgo. En este
sentido, para el lector es clave tener esto presente
y comprender que es imposible reducir el riesgo
al 100%, ya sea por razones operativas, humanas,

CONSEJOS DE CIBERSEGURIDAD PARA LAS EMPRESAS DE HOYCIBER-

SEGURIDAD

INICIO

CIBER-SEGURIDAD

SEGURIDAD OFENSIVA

REPORTES

SEGURIDAD DE DATOS

DATOS DE APPS

CONSEJOS

4

funcionales o tecnológicas así que dependiendo
del grado de exposición y lo crítico de una situa-
ción se deberá asumir una postura ante el riesgo y
determinar si es posible mitigarlo de alguna forma,
evitarlo, transferirlo o aceptarlo. Si bien las cifras
y datos de los reportes ayudan, la decisión debe
basarse en el costo en tiempo o recursos que
implique reducirlo vs. lo que puede costar no hacer
nada. Siempre asegúrese de documentar el impacto
que cualquier decisión tendrá en la rentabilidad y
competitividad de su empresa.

Que si hackearon a Sony, Target, algún auto, et
cetera … Si bien los reportes incluyen ejemplos de
compañías afectadas (y estoy seguro que la suya
no quisiera aparecer en la lista), más que compa-
rarse con otros o sembrar miedo entre los direc-
tivos de su organización, aproveche los informes
para conocer el entorno, explore la tecnología en
el mercado y apóyese en su proveedor de segu-
ridad. Es inaceptable que cualquier profesional o
proveedor de servicios o tecnología de seguridad
se justifique solamente usando a otros, hablando
de amenazas o promoviendo tecnología de moda,
sin antes entender quién es su organización, qué
se debe proteger, y los riesgos que enfrenta lo

que sin duda resultará en un planteamiento más
profesional.

Con esta reflexión no pretendo minimizar la

gran labor que hacen los investigadores para gene-
rar reportes que nos ayuden a entender la proble-

Ocúpese de entender su ambien-
te de operación y poner las
vulnerabili dades descubiertas
en contexto con su realidad para
tomar las acciones pertinentes.

mática de los ciberataques, sino más bien invitar
a los profesionales a usar la información existente
de forma responsable en nuestra labor.

Hace tiempo que soy detractor de las campa-
ñas de terror para generar conciencia en seguri-
dad digital pues habiendo desarrollado funciones
de ingeniería, consultoría, ventas y desarrollo de
negocios en la industria de la seguridad estoy con-
vencido que las historias de terror en los informes
dejaron de ser efectivas sin un contexto adecuado
y sin el análisis de cada caso.

CONSEJOS DE CIBERSEGURIDAD PARA LAS EMPRESAS DE HOYSoy un fiel creyente de que a las personas

se les activa a través de la motivación y no del
estrés pero cuando leo y/o escucho aún a ciertos
colegas en la industria usar datos de informes
fatalistas o historias trágicas para generar ven-
tas sin conocer a la organización en cuestión, lo
respeto pero no lo comparto pues considero que,

como profesionales de TI y responsables de prote-
ger a nuestras organizaciones, debemos exigir más
y mejor información de acuerdo a la naturaleza de
lo que queremos proteger pero, sobre todo, asegu-
rarnos de estar haciendo una correcta inversión de
tiempo para conocer los riesgos que tenemos en
casa y cómo mitigarlo. —Gilberto Vicente

CIBER-

SEGURIDAD

INICIO

CIBER-SEGURIDAD

SEGURIDAD OFENSIVA

REPORTES

SEGURIDAD DE DATOS

DATOS DE APPS

CONSEJOS

5

CONSEJOS DE CIBERSEGURIDAD PARA LAS EMPRESAS DE HOYSEGURIDAD
OFENSIVA

INICIO

CIBER-SEGURIDAD

SEGURIDAD OFENSIVA

REPORTES

SEGURIDAD DE DATOS

DATOS DE APPS

CONSEJOS

6

Consideraciones para aplicar la seguridad ofensiva

La omnipresencia de los ataques cibernéti-
cos hoy en día tiene a más empresas considerando
seriamente una estrategia de seguridad ofensiva.
Pero la definición fluida de ciberdefensa activa, las
cuestiones éticas y jurídicas que la rodean, y una
serie de otras variables tienen a muchos deba-
tiendo sobre si tal respuesta es realmente práctica
y eficaz para impedir a los piratas informáticos.
Además, hay muchos riesgos asociados con tác-
ticas ofensivas como el “hackeo reversivo”, inclu-
yendo posibles contraataques, daños colaterales y
más.

Debido a los costos, las consecuencias y las

incógnitas de la ciberseguridad ofensiva, los parti-
cipantes del chat de gestión de riesgos #GRCChat
de nuestra publicación hermana SearchCompliance
estuvieron de acuerdo en que probablemente no
debería ser considerada como una primera instan-
cia, pero tiene su lugar en las empresas.

Los editores y seguidores de Twitter ofrecieron

ejemplos de métodos eficaces de seguridad ofen-
siva, así como consejos sobre cómo las organiza-
ciones deben evaluar su entorno antes de decidirse
a practicar la ciberdefensa activa.

¿CUÁLES SON ALGUNOS EJEMPLOS
DE CIBERDEFENSA ACTIVA EFICAZ?
Ben Cole, editor de SearchCompliance, señaló algu-
nas formas de defensa activa que permiten una
organización atraer a los atacantes en su red—
con documentos ficticios, por ejemplo—y luego
monitorear su actividad. Cole comentó que las
estrategias de defensa activa incluyen registrar