sábado, 24 de junio de 2017

¿Cómo realizar teletrabajo sin poner en riesgo la información corporativa?

ESET comparte 7 puntos a tener en cuenta para implementar el trabajo remoto seguro y evitar ataques, pérdida o fuga de información en las empresas. La modalidad de trabajar de forma remota ganó muchos adeptos ya que los colaboradores se sienten más cómodos, evitan viajar en horas pico y administran mejor su tiempo, mientras que los empleadores reducen costos de infraestructura.
Como en cualquier otra actividad que involucre equipos conectados a Internet, hay ciertas medidas a tener en cuenta para garantizar la seguridad. Todo lo relacionado con los equipos de trabajo, la responsabilidad y los costos debe estar definido claramente antes de implementar un formato de teletrabajo.
Por ejemplo, si se usan dispositivos personales o la compañía los proporciona, o si hay un soporte técnico adecuado para resolver problemas de acceso y seguridad, así como definir quiénes pueden acceder a qué información.
“Implementar nuevas tecnologías en una organización es importante para adaptarse a los tiempos que corren. Aprovechar al máximo sus beneficios implica contemplar algunas medidas de seguridad que garanticen su correcto funcionamiento.
En el caso del trabajo remoto es importante entender que así estén por fuera de la oficina, el dispositivo desde el cual se trabaja es una puerta a toda la organización, por lo que deben garantizar un uso adecuado.” mencionó, Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica.
A continuación ESET Latinoamérica comparte los siete pilares para un trabajo remoto seguro:
1. Gestión de roles
La información solo debe ser accesible para los perfiles de usuario que realmente necesitan visualizarla y modificarla. Para el resto, debería estar restringida. A tal fin, se deben establecer las responsabilidades de acuerdo a los objetivos planteados. Aspectos como el control de las tecnologías, la realización de copias de seguridad (backup) o los procesos de recuperación son algunas de las tareas que deben tener un ejecutor y momento definido.
2. Control de dispositivos
Teniendo en cuenta la amplia variedad de dispositivos en el mercado, es importante restringir el acceso solamente a aquellos en los cuales se aplican las herramientas de seguridad adecuadas.
Por ejemplo, no es lo mismo que un empleado acceda desde su computadora personal con un sistema operativo actualizado y con una solución de seguridad instalada, a que lo haga desde una tablet desactualizada, sin protección y que también utiliza su hijo para jugar y descargar aplicaciones.
3. Protección contra códigos maliciosos
Para garantizar que los datos no sean afectados por códigos maliciosos, todos los dispositivos deben contar con soluciones de seguridad que detecten proactivamente este tipo de amenazas. Si el dispositivo desde el cual accede no es propiedad de la empresa y, además, no se utilizan entornos virtualizados, los riesgos de sufrir una infección son más altos. Además, es necesario que todas las aplicaciones estén actualizadas, para evitar la explotación de vulnerabilidades que pueda dar lugar a brechas de seguridad.
4. Monitoreo del tráfico de red
Dado que hay dispositivos que están ingresando a la red por fuera del perímetro físico de la oficina, es necesario hacer un seguimiento de qué tipo de tráfico generan. Por ejemplo, a dónde tratan de acceder, si hay intentos recurrentes y fallidos de ingreso a servidores o si generan algún tipo de tráfico inapropiado, como la descarga de archivos desconocidos.
5. Conexiones seguras
Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet, de manera que el acceso remoto a los recursos corporativos sea seguro. Para teletrabajo, la implementación de conexiones VPN basadas en el cliente es lo más conveniente, ya que permiten tener conectado un usuario a una red remota, a través de una aplicación que se encarga de entablar la comunicación y levantar la VPN.
Para acceder a la conexión segura, el usuario debe ejecutar la aplicación y autenticarse con un nombre de usuario y contraseña, e incluso agregar un segundo factor de autenticación. De esta manera se crea el canal cifrado entre el equipo y la red remota, para un intercambio seguro de datos.
6. Redacción de una política de seguridad
Determinar las obligaciones y responsabilidades de los usuarios respecto al uso de las tecnologías que tienen a su disposición. Definir el tipo de acciones que se pueden hacer y quién está habilitado a ejecutarlas. No es lo mismo tratar de modificar una base de datos por fuera de empresa, que hacer consultas e informes. Cada política es propia de la realidad de la organización y del alcance establecido para los empleados que hacen parte del teletrabajo.
7. Concientización de los empleados
La educación debe ser un pilar importante para que todos los usuarios sean conscientes de los riesgos a los cuales pueden verse expuestos y cuáles son los cuidados que deben tener al ingresar dispositivos ajenos a la compañía.

El 70% de las organizaciones están siendo ciberatacadas

“No soy catastrofista”. Así comenzaba el encuentro de hoy Ricardo Ricardo Maté Salgado, Country Manager en Iberia de Sophos. El profesional ha querido recalcar que, aunque el entorno está cambiando, la situación es lo bastante sensible como para meter más miedo. Es un hecho que antes el malware era más tradicional, más sencillo; en cambio ahora los virus son creados específicamente para ciertas empresas por lo que se complica la manera de detenerlos. Aun así, Maté asegura que España está siendo afectada pero que no somos el país que peor lo está viviendo.
Según el directivo, el 70% de las organizaciones están siendo atacadas. “Las empresas más susceptibles de ataque son las pymes porque es más fácil sacarles el dinero ya que no disponen de sistemas tan avanzados”, afirma el manager. “La mayoría de las pequeñas y medianas compañías piensan que a ellos no les van a atacar, creen que con un antivirus lo podrán evitar”. Además, según Sophos, los exploits están causando un 90% de las brechas de seguridadEn 2016 ha habido 7.000 exploits en aplicaciones y este año en abril ya había 3.500.
Respecto al incidente de WannyCry, Maté ha recordado –entre otras cosas- que fueron empresas de más de 150 países las que se vieron afectadas por este ransomware –en concreto 198.000 usuariosy que en España 239 direcciones IP fueron comprometidas según el CNN-CERT. De hecho, desde 2008 no había pasado un ataque de este calibre (Conficker). “No se debe pagar los rescates porque no hay que dar dinero a los ciberdelincuentes”, apoya Maté. “Para los que pertenecemos al mundo de la seguridad, esto ha sido un toque de atención”.
Tras el cierre de su año fiscal en marzo, se ha podido saber que Sophos ha hecho una facturación de 632,1 millones de dólares, lo que significa un crecimiento de casi el 20% y con un cash flow de 133,4 millones de dólares. En concreto, en España han experimentado un crecimiento de casi un 40% en lo que llevamos de año. “Vemos claramente que en Iberia podemos crecer mucho”, añade el experto. “Nuestra misión es ser la mejor compañía del mundo ofreciendo la más completa seguridad TIC a empresas y partners”.
Según el experto, el 57% de los datos salen de las empresas por infección de malware, el 22,9% por equivocación, el 9,5% por dejar sin protección física los dispositivos móviles, y el 7.8% por pérdida física. “El cifrado de la información es la manera más segura para evitar el robo de la información”, cuenta Maté. “El dinero de las multas es lo que va a hacer que los CEO de las empresas se preocupen por la GDPR”.
Sophos es una empresa dedicada a proporcionar las herramientas y servicios necesarios para cuidar la seguridad de las empresas, no se dirige al mercado doméstico. Con 3.000 empleados y más de 2.500 clientes, la compañía ha comprado cinco empresas en los últimos dos años. Con una de ellas, Invincea, ha podido incluir el machine learning en su servicio “Intercept X”, el cual está destinado a cubrir la pos infección del malware. Asimismo añadió que los clientes que tenían Intercept X no se vieron afectados con Wannacry.

La nueva dimensión de los ataques de Ransomware

El ransomware no triunfa más que cualquier otro tipo de malware, pero se nota más, dicen responsable de seguridad de Symantec, Aiuken Solutions y Mediaset.
WannaCry ha sido la última amenaza por ransonmware que ha afectado a cientos de miles de víctimas en más de 150 países en todo el mundo. Hasta la fecha se han descubierto más de 386 muestras de este ransomware y ante esta nueva amenaza global hemos querido evaluar si el ransomware triunfa más que otro tipo de malware.
Para ello, Rosalía Arroyo, redactora jefe de ChannelBiz se ha reunido con grandes especialistas del mercado de la seguridad: Miguel Ángel Martos, responsable de Symantec en España; Juan Miguel Velasco, partner director de Aiuken Solutions; Ramón Ortiz, responsable de Seguridad de Mediaset España; y Alberto Cita, sales engineering manager Iberia de Symantec.
“El ransomware no triunfa más que cualquier otro tipo de malware”, ha sido la gran afirmación de los expertos sobre la mesa. El ransomware triunfa igual pero se nota más, ya que tiene un impacto que resulta evidente para el usuario, la petición de un rescate económico, mientras que la mayor parte del malware que existe se esfuerza en ser lo menos identificable posible, en pasar inadvertido porque su propósito consiste o en robar información o en sabotear y esto requiere tiempo: hay que escalar privilegios, localizar la información que resulta relevante y después actuar sobre ella abriendo puertas traseras, etc. “Para conseguir ese tiempo, el malware necesita ser tan discreto como sea posible y esto hace que resulte mucho más difícil de detectarlo que el ransomware, que se basa en la extorsión”, ha explicado Alberto Cita, de Symantec.
Todos los años Verizon publica el Data Breach Investigation Report y lo que es constante en este informe es que el tiempo medio de las empresas para detectar una brecha de seguridad va desde 6 meses a 2 años y no ha mejorado nada en la última década.
Por otro lado, parece que, de momento, los fabricantes de antivirus no van a ser capaces de parar el ransomware porque la táctica de pinchar en links de emails inhibe ciertos mecanismos de antivirus. Se necesita mucha concienciación y formación por parte de los usuarios frente al clic en enlaces y las descargas de PDFs y ejecutables.
“WannaCry ha sido una nueva prueba de infección en la que se ha transformado el ransomware en una especie de gusano poliformo que se ha ido extendiendo por todas partes en el sistema. Mientras, el ransomware habitual es una construcción muy dirigida de los piratas informáticos que estudian a la empresa víctima, compran los dominios, cuidan la estética, etc.”, ha aclarado Juan Miguel Velasco, partner director de Aiuken Solutions.
Con esto, Alberto Cita ha hecho hincapié en lo sofisticado que puede llegar a ser un ransomware, “por eso es imprescindible que las compañías adopten unas medidas básicas de precaución, detección y respuesta. El hecho de que los usuarios estén bien formados en materia de riesgos de seguridad ayuda, pero no es suficiente y cada día lo va a ser menos”.
Asimismo, Ramón Ortiz, responsable de Seguridad de Mediaset España, ha recalcado que “el usuario es el eslabón débil de todo esto, pero en las compañías resulta muy difícil implementar ciertas medidas de seguridad versus la comodidad de los usuarios y hay ventanas abiertas en Internet por todas partes que la concienciación al usuario, por sí sola, no va a poder solventar”.

La potencia de las herramientas en conflicto con las políticas

“La flexibilización asociada a las herramientas de seguridad es un punto crítico porque si siguen existiendo herramientas potentes a las que se exige poner huecos para su uso generalizado, no saldremos de un escenario permanente de amenazas. La conciencia del usuario, que nos enseñen qué se puede hacer y qué no; qué se puede pasar por Internet y qué no, es fundamental. El problema es que la estrategia de TI tiene que estar en línea con lo que necesita el negocio y, si por mí fuera, volveríamos al mainframe y el proxy”, ha puesto de manifiesto Velasco.
Por su parte, Miguel Ángel Martos, responsable de Symantec en España, ha enfatizado en que una de las pocas cosas positivas que tienen este tipo de amenazas globales, como la desencadenada por WannaCry, es que hay una percepción del riesgo que hace que la gente piense en la seguridad.
cof“Desde este punto de vista, compañías como la nuestra siempre hemos intentado situar la seguridad a otro nivel, posicionarla como un facilitador del negocio y transparente para el usuario. Para mí, el modelo ideal sería que la seguridad fuera algo con lo que poder decirle al usuario: ‘no solo no hagas esto, sino que lo vas a poder hacer en la medida en que tengas las medidas de seguridad y ya me encargaré yo’. De esta manera, el debate cambiaría totalmente, pasando de la concienciación sobre la seguridad al concepto de cuánto valen tus datos, tu información, es decir, todo lo que se pierde cuando se es víctima de una amenaza”, ha declarado el directivo.
En el 80% de los casos la potencia que brinda la informática e Internet en los puestos de trabajo es demasiado. Hoy en día ya hay muchos puestos en los que se utilizan tabletas, iPads para desarrollar las labores del día a día aunque como contrapunto la administración de estos dispositivos no es sencilla. “El coste de los VDI versus la administración que conllevan no resulta rentable”, ha aclarado Ramón Ortiz.

Las campañas siguen siendo rentables

Continúa habiendo campañas de ransomware porque siguen siendo rentables económicamente para quienes lo difunden.
A pesar de todas las pesquisas que se han barajado sobre el motivo para la difusión de WannaCry, desde el estudio que se ha realizado en Symantec se ha concluido que la motivación principal fue la económica.
“Inicialmente el código de este ransomware tenía un error en el algoritmo programado para que saltara el número de una cuenta de bitcoin que tenían que utilizar los usuarios. Aunque los atacantes querían que cada PC infectado tuviera un número de cuenta de bitcoin independiente para que pudieran controlar quién había pagado y así mandar la clave de descifrado, lo hicieron mal y el algoritmo solo daba tres opciones de cuentas. 13 horas después los delincuentes parchearon y corrigieron ese algoritmo para que cada PC generase una cuenta de bitcoin independiente. Lo que se sabe que han ingresado es porque se están monitorizando esos tres números de cuenta y ahí han ingresado 90.000 dólares, pero todo lo demás no se sabe”, ha aclarado Alberto Cita.
La hipótesis final de Symantec es que este ransomware se propagaba directamente, sin ningún vector adicional. WannaCry tiene dos componentes: un gusano, que utiliza la vulnerabilidad EternalBlue de Microsoft SMB versión 1, que una vez que encuentra un sistema vulnerable utiliza una ejecución remota de código para ejecutar a nivel de kernel el Double Pulsar, que es una puerta trasera y que a través de esta puerta el gusano que infectaba subía directamente el código de secuestro, el ransomware tal y cual, y además intentaba propagarse adicionalmente en otros sistemas, tanto en la red local como por Internet.
cof
cof
Otro de los problemas que afecta a la expansión del malware y sus consecuencias es la existencia de sistemas de control de computadoras electroanalógicas corriendo en sistemas operativos con más de 20 años de antigüedad. “Es una situación muy grave porque los fabricantes de seguridad no pueden interactuar, se les obliga al punto al que algunos han llegado a tener versiones de backup con un CD-ROM que funcione en un Windows XP y cuando desarrollan software de protección avanzado para sistemas legacy resulta que no les dejan instalarlo porque el fabricante no tiene la garantía de que ese software, con ese nuevo software instalado, vaya a funcionar. Es decir, son sistemas que no se pueden parchear, no se puede poner un sistema de seguridad y no se pueden actualizar”, ha especificado Juan Miguel Velasco.

 Replantearse la estrategia de seguridad completa

El hecho de que los sistemas críticos estén muy desasistidos se ha evidenciado con que los hospitales en Reino Unido se paralizaran a raíz de la infección por WannaCry.
“Esta ha sido una oportunidad para que muchas empresas se replanteen su estrategia de seguridad completa y hay tres cosas que pueden hacer: una buena política en cuanto al uso, actuaciones y demás (que sí que se está trabajando en la mayoría de los casos); una política preventiva dirigida a proteger los principales vectores de entrada; y una política de última defensa que es el endpoint. A raíz de WannaCry estamos viendo que las empresas están dirigiendo de nuevo el foco en el endpoint, pero no es lo único y esta ha situación ha sido idónea para que las empresas se replanteen su estrategia de seguridad completa y que los CIOs reclamen más recursos”, ha defendido Miguel Ángel Martos.
Las empresas deben tener un buen protocolo de seguridad y de comunicación de los  incidentes y con el nuevo reglamento europeo de protección de datos (GDPR) esto va estar más regulado. “Además, la colaboración en la comunicación debe trabajarse más en el mundo latino y habría que hacer un postmortem para definir entre todos los agentes de la industria las mejores prácticas”, ha defendido Velasco.
Como conclusión, “la seguridad debe formar parte integral de la política de continuidad de negocio y sigue estando al margen”, he expuesto Alberto Cita, de Symantec.