En este artículo está orientado a empresa de tamaño pequeña a mediana con experiencia limitada en Tecnologías de la Información (TI ) y ciberseguridad para dedicarse a proteger los activos y personal de TI.
La principal preocupación de estas empresas es mantener el negocio operativo, ya que tienen una tolerancia limitada de inactividad. La sensibilidad de la información que ellas tratan de proteger es baja y principalmente incluye información sobre datos personales de clientes y trabajadores e información de tipo fiscal y financiera
Las Salvaguardas o Controles seleccionados deberían ser implementables con limitada experiencia en ciberseguridad y estar dirigidas a frustrar ataques generales y no dirigidos. Estas Salvaguardas normalmente se diseñan para trabajar en conjunto con software y hardware que ya existe y se encuentra disponible de fuentes comerciales.
1.Inventario y Control de Activos Empresariales
Gestione activamente (inventario, seguimiento y corrección) todos los activos de la empresa (dispositivos de usuarios finales, incluidos equipos portátiles y teléfonos móviles; dispositivos de red; Dispositivos no informáticos/Internet de las Cosas (IoT); y servidores) conectados a la infraestructura física, virtualmente, remotamente, y aquellos del ambiente de la nube, para conocer con precisión la totalidad de los activos que necesitan ser monitoreados y protegidos dentro de la empresa.
Esto también apoyará la identificación de activos no autorizados y no administrados para eliminar o remediar.
Las empresas no pueden defender aquello que no saben que tienen. El control administrado de todos los activos de la empresa también desempeña un papel crítico en el monitoreo de la seguridad, respuesta a incidentes, el respaldo de sus sistemas y recuperación.
Las empresas deben saber que datos son críticos para sí mismas, la administración adecuada ayudará a identificar aquellos activos empresariales que contienen o administran estos activos críticos, de modo que se puedan aplicar los controles de seguridad adecuados.
- Inventario y Control de Activos de Software
Un inventario de software completo es una base fundamental para prevenir ataques. Los atacantes escanean continuamente las empresas en busca de versiones vulnerables de software que puedan explotarse de forma remota.
Por ejemplo, si un usuario abre un sitio malicioso o un adjunto a través de un navegador vulnerable, un atacante podría instalar un programa de puerta trasera. Sin embargo, sin un inventario completo de activos de software, una empresa podría determinar si posee algún software vulnerable o si existen posibles infracciones de licencias.
Elabore y mantenga un inventario detallado de todas las licencias de software instalados en los activos de la empresa. El inventario de software debe documentar el título, el fabricante, la fecha de instalación inicial y el propósito para cada activo, cuando corresponda, incluya la dirección URL, las tiendas de aplicaciones, versiones, mecanismo de implementación y fecha de retirada.
- Protección de Datos
Los datos ya no se encuentran únicamente dentro de las empresas, están en la nube, en dispositivos portátiles de usuarios finales donde los usuarios trabajan desde casa, y frecuentemente se comparte con socios o servicios en línea que pueden tenerlo en cualquier parte del mundo.
Además de los datos sensibles que una empresa posee que se encuentran relacionados con las finanzas, la propiedad intelectual y los datos de los clientes, también puede haber numerosas normativas nacionales e internacionales para la protección de datos personales, como la LOPDGDD 03/2018 española y el RGPD 679/2016 europeo.
La privacidad de los datos se ha vuelto cada vez más importante y las empresas están aprendiendo que la privacidad se trata del uso y la gestión adecuada de los datos, no solo del cifrado. Los datos deben ser manipulados adecuadamente durante todo su ciclo de vida.
Una vez que los atacantes han penetrado en la infraestructura de una empresa, una de las primeras tareas es encontrar y exfiltrar datos. Es posible que las empresas no se den cuenta de que los datos confidenciales abandonan su entorno porque no están supervisando las salidas de datos.
Una buena medida básica poder la encriptación de datos en los dispositivos de los usuarios que contienen datos sensibles.
Un ejemplo de implementación puede incluir: Windows BitLocker® o Apple FileVault®.
- Configuración de Seguridad de y Software de la empresa
Tal como se entregan desde fabricantes y revendedores, las configuraciones predeterminadas para los activos y el software de la empresa normalmente están orientadas hacia la facilidad de implementación y la facilidad de uso en lugar de la seguridad.
Los controles Básicos, servicios, puertos abiertos, las cuentas o contraseñas predeterminadas, configuración del sistema de nombre de dominio (DNS) preconfigurada, los protocolos antiguos (vulnerables) y la preinstalación de software innecesario pueden ser aprovechadas si se dejan en su estado predeterminado.
Además, estas actualizaciones de configuración de seguridad deben administrarse y mantenerse durante el ciclo de vida de los activos y el software de la empresa.
- Administración de cuentas
Utilice procesos y herramientas para asignar y administrar la autorización de las credenciales de las cuentas de usuario, incluidas las cuentas de administrador, así como las cuentas de servicio, para los activos y el software empresarial.
Es más fácil para un hacker obtener acceso no autorizado a los activos o datos de la empresa mediante el uso de credenciales de usuario válidas que mediante el “hackeo” del entorno.
Hay muchas formas de obtener acceso de forma encubierta a las cuentas de usuario, que incluyen: contraseñas débiles, cuentas que siguen siendo válidas después de que un usuario abandona la empresa, cuentas de prueba inactivas o persistentes, cuentas compartidas que no se han cambiado en meses o años, etc.
Las cuentas administrativas o con muchos privilegios son un objetivo particular, porque permiten a los atacantes agregar otras cuentas o realizar cambios en los activos que podrían hacerlos más vulnerables a otros ataques.
Las credenciales son activos que se deben inventariar y rastrear, cómo los activos y el software de la empresa, ya que son el punto de entrada principal a la empresa. Se deben desarrollar políticas de contraseñas adecuadas y directrices para no reutilizar contraseñas. Para obtener guía sobre la creación y el uso de contraseñas.
- Gestión de Control de Activos
Usar procesos y herramientas para crear, asignar, administrar y revocar credenciales y privilegios de acceso para cuentas de usuario, administrador y servicio para activos empresariales y software.
Este control se enfoca en administrar el acceso que tienen las cuentas, asegurando que los usuarios solo tengan acceso a los datos o activos empresariales apropiados para su función, y asegurarse que exista una autenticación sólida para los datos o funciones empresariales críticas o sensibles. Las cuentas solo deben tener la autorización mínima necesaria para el rol.
Algunos usuarios tienen acceso a activos o datos empresariales que no necesitan para su función; esto puede deberse a un proceso inmaduro que otorga a todos los usuarios acceso total, o un acceso prolongado a medida que los usuarios cambian de roles dentro de la empresa a lo largo del tiempo.
Los privilegios de administrador local para las ordenadores portátiles de los usuarios también son un problema, ya que cualquier código malicioso instalado o descargado por el usuario puede tener un mayor impacto en el activo empresarial que se ejecuta como administrador.
Debe haber un proceso en el que se concedan y revoquen privilegios para las cuentas de usuario. El acceso basado en roles es una técnica para definir y administrar los requisitos de acceso para cada cuenta en función de: necesidad de saber, privilegio mínimo, requisitos de privacidad y / o separación de funciones.
Exija que todas las cuentas tengan (MFA) Múltiple factor de Autenticación.
Si eres autónomo con un pequeño sistema o una pyme mediana sin personal informático, exigid a vuestros servicios externo de mantenimiento informático que os aplique configuraciones de seguridad basadas en estos 6 controles básicos