Estamos viviendo en un mundo interesante y confuso. Un minuto estamos trabajando, comprando, yendo al gimnasio, viviendo la vida cotidiana. Al siguiente minuto estamos luchando por el papel higiénico y el desinfectante de manos. Y los drásticos cambios de comportamiento que vimos de la noche a la mañana vinieron de todas las direcciones, especialmente impactando en nuestra forma de trabajar.
En respuesta a la pandemia, millones de empresas pasaron de las infraestructuras de redes corporativas a entornos de trabajo desde casa (WFH), y a un ritmo increíblemente rápido. Hizo que mi sentido de seguridad se disparara, y por una buena razón. Ya estamos viendo un aumento de los ataques. Una reciente encuesta de Threatpost reveló que el 40% de las empresas han visto un aumento de los ciberataques al permitir el trabajo remoto. Así que, pongámonos nuestros «Sombreros Negros» y exploremos todos los vectores que los profesionales de la seguridad deberían considerar durante este tiempo.
Afluencia de nuevos dispositivos
Miles de nuevos portátiles y dispositivos móviles fueron comprados e introducidos en los entornos corporativos para asegurarse de que todos los empleados tuvieran un camino a WFH. ¿Cuántos de estos dispositivos fueron desplegados sin pasar por las políticas de seguridad de su organización? Y si se encontró en este campo, ¿qué está haciendo al respecto ahora?
Parches y actualizaciones
La historia nos dice que la falta de parches y actualizaciones es el principal vector que los atacantes utilizarán contra ti. Averigua cómo tus equipos de TI pueden asegurarse de que estos nuevos (y existentes) sistemas remotos estén siempre parcheados y actualizados. ¿Cómo se manejarán los parches y las actualizaciones ya que estos dispositivos son ahora remotos? (Esta misma semana, todos nos enteramos de dos vulnerabilidades que afectan a Windows 7-10 Server 2008-2019 que no han sido parcheadas y no lo serán (¡BANDERA ROJA!) hasta el 14 de abril). ¿Han comunicado los equipos de seguridad su proceso a todos los empleados? ¿Les han dado las soluciones para ayudar a proteger sus sistemas de esta vulnerabilidad?
Almacenamiento personal en la nube
No me malinterprete. No tengo nada en contra de soluciones como Dropbox, OneDrive, Google Drive, etc., pero estoy al tanto de varias grandes organizaciones que tienen políticas de seguridad para negar a los empleados el uso de estos tipos de sistemas de almacenamiento en línea. El razonamiento detrás de esta política es que los departamentos de TI no tienen control sobre las contraseñas utilizadas ni sobre la información que se almacena o comparte. ¿Tiene una política en vigor? ¿Es fácil de entender y sus empleados están al tanto de ella? Y, la pregunta clave, ¿está manteniendo su organización segura?
Soluciones de curitas
Muchos equipos de IT y de seguridad fueron sorprendidos por la rapidez de la transición de la FMH. En algunos casos, no tenían la opción de comprar nuevas computadoras portátiles o tabletas para que los empleados se levantaran y trabajaran desde sus casas, ya sea porque los dispositivos se habían agotado o porque era poco realista desde el punto de vista financiero. En estas situaciones, las empresas pueden haber permitido a BYOD sin la evaluación o configuración adecuada. Las organizaciones pueden haber abierto nuevos puertos para instalar nuevos servicios en los dispositivos de red sólo para «hacer que las cosas funcionen». Entiendo por qué, pero alguien necesita retroceder y limpiar cualquier cabo suelto que pueda estar poniendo en riesgo su organización. ¿Tiene un plan sólido y oportuno para eso?
Correos electrónicos de phishing
Ah, la fruta de baja altura que sigue dando. Ya estamos viendo un aumento en los correos electrónicos de phishing que llegan a Internet. Es posible que hayamos entrenado previamente a nuestros empleados en el manejo del phishing cuando se trata de correos electrónicos internos, pero ahora los atacantes podrían aprovecharse de los empleados que pueden estar utilizando los dispositivos de la empresa para uso personal. Imagine que recibe un correo electrónico como este:
Hey Grayson,
El correo electrónico de la compañía no me funciona por el momento, pero tengo una situación apremiante así que estoy usando mi cuenta personal. Bla, bla, bla, envíame dinero.
Bla, bla, bla, echa un vistazo a este documento. (Ver adjunto o haga clic en este enlace.)
Bla, bla, bla, envíame 50 tarjetas de regalo de 100 dólares de Amazon.
Salud,
Wayne
¿Está entrenando a sus empleados en estas nuevas amenazas de phishing y cómo responder a ellas?
Redes domésticas
Los atacantes buscan en las redes de los usuarios domésticos y luego buscan sistemas que puedan utilizar para pivotar y acceder a la infraestructura corporativa. Si esta pandemia continúa, las organizaciones que se toman en serio la seguridad deberían considerar la posibilidad de proporcionar nuevos routers domésticos para los empleados. Estos routers deberían ser actualizados y configurados (¡no hay configuraciones predeterminadas, amigos!) para su despliegue. (Después de todo, ¿sabe cuándo fue la última vez que cada empleado actualizó el firmware de sus routers domésticos?) ¿Cuál es tu plan aquí? ¿Has planteado esta posible vulnerabilidad con tu c-suite? ¿Se ha comprometido la organización a un calendario de «ir/no ir» para los nuevos routers?
Recortes financieros
No hace falta decir que la mayoría de las organizaciones están sufriendo financieramente durante este tiempo. En el pasado, los dos presupuestos que se recortaron primero fueron el de IT y el de capacitación. Escuchen. Este es el momento y la situación en la que estos dos departamentos no deben ser recortados. Causará que baje la guardia y sobrecargue a sus empleados, lo que resultará en consecuencias que podrían ser devastadoras para su organización. Si durante cualquier conversación sobre la tecnología central de la organización escuchas, «no podemos permitirnos el lujo de hacer $0027x$0027», observa esa área muy de cerca. Se convertirá en una debilidad para los atacantes ahora y más tarde si nadie recuerda volver y arreglarlo después. Pero antes de llegar a ese punto, defienda para mantener la tecnología en su lugar. Igual de importante, aboga por el entrenamiento de los empleados. Los empleados deben ser entrenados sobre el nuevo terreno en el que están navegando y exponiéndose. ¿Cómo está defendiendo su presupuesto de tecnología y entrenamiento? ¿Qué planes están poniendo en marcha para mitigar el riesgo asociado al posible recorte de una o ambas partidas?
Profesionales de la informática y la seguridad: Recuerden comprobar doble y triplemente todos sus puntos finales. Créeme, el Coronavirus no es lo único que podría afectar a tu empresa este año. Sólo espera. Dentro de seis meses, leeremos historias sobre empresas que fueron violadas durante el brote de COVID-19 porque no tuvieron en cuenta al menos una de las áreas de seguridad mencionadas.