Chicos, cuyo segundo nombre es riesgo y peligro, esta publicación es para ustedes.
En 2019, se realizó una encuesta a 1,200 propietarios de pequeñas empresas en los Estados Unidos. Encontró que el porcentaje de pequeñas empresas que informan sobre ciberataques se ha triplicado desde 2015, y casi el 80% de los encuestados dicen que "les resulta difícil mantenerse al día con el ciberespacio en constante cambio". Así, el 12% de las pequeñas empresas, más del 20% de las medianas empresas y casi el 33% de las grandes empresas están sujetas a ciberataques. En el contexto del crecimiento constante de la tendencia de los ciberataques, estos son números muy peligrosos y algo deprimentes. Deprimente, en primer lugar, porque estos ataques a menudo no son el resultado de acciones deliberadas de los grupos de hackers más poderosos, sino el resultado natural del descuido general, la administración tacaña, la codicia de los empleados y la mezquindad de los competidores. Y lo más interesante es que esta situación es aplicable a casi todas las regiones del mundo. Estas palabras se ven confirmadas por otro dato del estudio:uno de cada cuatro encuestados no creía que su empresa fuera a ser sometida a un ciberataque. Y es cierto: ¿por qué una empresa pequeña o incluso mediana necesitaría piratas informáticos internacionales y quién pensaría en introducir malware en la infraestructura de TI de una empresa de este tipo?
El quid de la cuestión es que las amenazas cibernéticas modernas no solo están vivas por piratas informáticos, virus, gusanos y otro malware. Como mínimo, existen ransomware e ingeniería social, contra los cuales es difícil proteger a una empresa cuando todas las entidades virtuales y los componentes humanos están estrechamente conectados. Los atacantes (y en ocasiones los competidores con su ayuda) construyen complejos esquemas de interacción con los empleados de la empresa y logran así una transferencia casi voluntaria de toda la información necesaria.
Entonces, ¿qué podría amenazar la ciberseguridad en 2021?
No tomarse la ciberseguridad en serio
Puede invertir mucho dinero en el sistema de seguridad de la información y no obtener ningún efecto. Hay dos culpables de este problema: la gestión de la empresa y los procesos comerciales. A menudo sucede que los gerentes invierten en el sistema de seguridad de la información y esperan resultados: escándalos, intrigas, investigaciones, revelaciones. Creen que a fin de mes se les traerán los jefes de los piratas informáticos, se traerán los ciberdelincuentes más viciosos y se proporcionarán informes de ataques. A menudo les resulta extremadamente difícil explicar que si no pasa nada, significa que el sistema está funcionando a la perfección y no en vano se come el recurso de inversión: protege de forma fiable a la empresa y no deja que los intrusos vayan más allá de la información. circuito de seguridad.
En cuanto a los procesos de negocio, aquí el problema clave de las empresas radica en el campo de la fragmentación de departamentos y otras divisiones de la empresa. Es decir, el servicio de seguridad o administrador del sistema hace todo lo posible para proteger la empresa, y los empleados de otros departamentos escriben contraseñas en pegatinas, ingresan sistemas de trabajo con Wi-Fi en un café favorito o aleatorio, tienen una contraseña para un CRM de oficina, acceden a el sistema de conocimiento corporativo, correo de trabajo, correo personal, página de VKontakte e Instagram. Es decir, el trabajo de un departamento puede irse por el desagüe debido al descuido de los empleados individuales y al factor humano.
En general, la idea de crear un servicio de seguridad es cada vez más criticada, especialmente en el campo de las TI. De hecho, los empleados a cargo de la seguridad en una empresa deben asegurarse de que se sigan las reglas y regulaciones de seguridad básicas en todos los departamentos dentro de cada proceso comercial. Este enfoque integral ayudará a minimizar las vulnerabilidades.
Ciberseguridad reactiva, no proactiva
Si un empleado a cargo de la seguridad de la empresa es capaz de repeler un ataque, evitar el robo de datos y el fraude por parte de los empleados, este es un verdadero Superman. Pero no genial. Bien hecho está aquel (o aquellos) empleado que sea capaz de garantizar la seguridad de tal forma que los ataques y las fugas de datos sean simplemente imposibles o se detengan en los accesos a los sistemas de información de las empresas.
Prevenir y prevenir es mucho más fácil y económico que reparar. Vale la pena recordar que las brechas de seguridad son los riesgos económicos, legales y de reputación más costosos dentro de cualquier negocio. Por tanto, todo debe ser seguro, como ocurre con la salud humana: la prevención decide y gana.
Contraseñas, contraseñas, contraseñas ...
Es muy divertido, pero las contraseñas siguen causando muchos problemas a las empresas, simplemente porque una persona con una base de datos comprometida ya es un kulkhacker en sus manos. Es fácil pasar por alto las contraseñas: conjuntos estándar de las 10 principales contraseñas descifradas, valores adivinados (cumpleaños, nombres, etc.), contraseñas de redes sociales en sistemas corporativos, contraseñas generales para toda la empresa, contraseñas de administrador para todos los usuarios. Y, por supuesto, todo esto se almacena exactamente en tres lugares: en pegatinas en el monitor, en cuadernos sobre la mesa y, especialmente de forma segura, en una hoja de papel volcada debajo del teclado. Por supuesto, los trabajadores de oficina tienen una forma súper segura de almacenar contraseñas: están en un archivo txt separado en el escritorio de la computadora. Bueno, sobre esoactualizar regularmente las contraseñas y el habla está fuera de discusión: aquí el cerebro de un contador o vendedor puede desbordarse y emitir un desbordamiento de pila completo
El problema de la contraseña está lejos de ser descabellado: este es el agujero de seguridad más accesible que pueden explotar no solo los atacantes, sino también, por ejemplo, los ex empleados o empleados que están listos para dejar la empresa junto con datos comercialmente sensibles.
Tal vez funcione solo, nadie ha penetrado
El problema de la inmensa mayoría de las empresas de cualquier tamaño es la falta de pruebas de seguridad, y no está disponible tanto de los servicios internos como de los empleados y de los agentes externos (probadores de penetración profesionales). Esto está plagado del hecho de que las herramientas de seguridad costosas (y cualquier otra) pueden funcionar de manera incorrecta y / o defectuosa, y algunas partes de la infraestructura resultan ser vulnerables. Y si para una empresa pequeña esto puede terminar con una simple fuga de datos (base de clientes, indicadores operativos o base de empleados), entonces, para una gran empresa o planta, es probable que la falta de una auditoría de seguridad adecuada se convierta en una catástrofe (y no el hecho de que no es un país ni siquiera una escala planetaria) ...
Los probadores de penetración profesionales buscan vulnerabilidades no protegidas en el circuito de seguridad de su empresa, realizan ataques deliberados y controlados, prueban el phishing, trabajan con inyección SQL en todos los recursos web y rompen legalmente la infraestructura de una manera que podría romperse ilegalmente. Los auditores de seguridad externos no solo son profesionales, sino también personas con una nueva perspectiva de su negocio: a veces ven problemas obvios que se encuentran en la superficie, pero que pasan desapercibidos debido al hecho de que los empleados están acostumbrados a ellos. Además, a veces sucede que la empresa habitualmente pasa por alto un agujero de seguridad con algún tipo de ronda de trabajo temporal, que se creó hace un par de días hace cinco administradores, pero todavía está viva. Y, por supuesto, también es importante que los probadores de penetración externos sean completamente imparciales: no tienen a nadie a quien cubrir en su empresa.Y esto minimiza en gran medida el factor humano: lamentablemente, los problemas de seguridad más graves pueden provenir de los empleados.
Amenaza interna: un extraño entre amigos
La amenaza interna es una de las más difíciles de detectar y de prevenir. Puede provenir de empleados, funcionarios y socios de la empresa asociados con la empresa. Además, pueden ser ex empleados, auditores, abogados, clientes y otras personas que alguna vez hayan tenido acceso a información comercial confidencial. Al mismo tiempo, los empleados internos proporcionan la mayoría de las filtraciones: los agentes externos son mucho más sensibles a los acuerdos firmados con los NDA y valoran la reputación de sus organizaciones. Lo peor es que estas amenazas no se pueden detectar ni prevenir con métodos convencionales.
Los métodos de Insider también son bastante sofisticados: desde la filtración y copia estándar hasta la entrada en grupos de partes interesadas y bombas lógicas (cuando los ex empleados dejan varias ... um ... "sorpresas" de software en la infraestructura de TI y los almacenes de datos de las empresas). Además, el objetivo puede ser el lucro o la venganza banal. Además, a veces un empleado ni siquiera sabe que está participando en un esquema de información privilegiada.
Es difícil decir cómo tratar con los de adentro. Aquí todas las medidas son buenas: desde los "topos" en las divisiones hasta el control total de los empleados sospechosos. El problema es que a menudo el empleado más tranquilo y ordenado se convierte en la principal amenaza. Y esto da miedo, porque en la búsqueda de una perra (oh, este juego de palabras) puedes hacer pedazos a toda la empresa. Esté atento y cuidadoso, analice los canales internos y actúe sobre ellos de manera específica.
Sistemas corporativos y software empresarial inseguros
Lamentablemente, incluso los programas corporativos más costosos pueden verse comprometidos y no garantizan una seguridad completa, además, son solo los pequeños desarrolladores de software quienes administran la seguridad de sus programas de manera efectiva debido al hecho de que tienen un desarrollo "denso", un equipo más pequeño y dedican mucho tiempo a refactorizar y diseñar sistemas y algoritmos (pero esto no es exacto, más precisamente, no para todos). Los problemas pueden estar asociados tanto con la arquitectura de los programas, como con el proveedor de nube-socio del proveedor, e incluso con el factor humano, cuando los empleados de la empresa desarrolladora son el factor de riesgo.
Por lo tanto, no debe confiar ciegamente en su proveedor de software, protegerse haciendo preguntas y tomando medidas: preste atención a la reputación de los desarrolladores, descubra todo sobre las medidas de seguridad y las formas de proteger los datos, descubra la frecuencia de las copias de seguridad, la posibilidad de distribuir los derechos de acceso. Le recomendamos que no utilice el proveedor en la nube del proveedor (nadie sabe qué guardó allí y cómo almacena los datos), elija su proveedor de VPS (por ejemplo, en RUVDS prestamos la máxima atención a la seguridad y estamos listos para ayudar a colocar su software en nuestras instalaciones) y publicar el software que tiene o en general en sus servidores (caro, pero con un buen administrador de sistemas lo más seguro posible).
Además, busque parches, actualizaciones de software menores y mayores. Si un desarrollador de software los lanza, asegúrese de implementarlos para asegurarse de que el software esté actualizado y sea seguro.
Por cierto, sobre los proveedores de la nube y el alojamiento. No almacene datos en una bolsa detrás de un cobertizo: tenga cuidado al elegir un proveedor de servicios en la nube, aclare en qué jurisdicción se almacenan sus datos. Siempre consulte con un proveedor de nube potencial donde alojan sus datos. Los buenos proveedores de alojamiento deberían ofrecer alojamiento en diferentes jurisdicciones y deberían poder informarle sobre las leyes de cada jurisdicción para que pueda elegir dónde almacenar sus datos de forma informada y motivada. Esto es especialmente importante para Rusia; si no sabe por qué, consulte la Ley Federal No. 152-FZ.
Uno para todos
A partir de 2021, la gama de herramientas de seguridad de la información es tan grande que casi todas las amenazas (incluida la fuerza mayor debido a un incendio en el centro de datos) se pueden prevenir. Aquí hay solo una pequeña lista disponible para cualquier empresa: firewall, antivirus y antispam, VPN, sistemas de monitoreo e ITSM, sistemas para monitorear la actividad digital de los empleados (por supuesto, hay maldad), funciones para distribuir derechos de acceso dentro del software empresarial, herramientas de seguridad para sistemas operativos, etc. ... Su uso complejo puede proteger de manera confiable a una empresa de la mayoría de los tipos de ataques. Pero las empresas a menudo prefieren un solo método por razones de economía, descuido y la frase "y así será".
El enfoque de la seguridad debe ser extremadamente multidimensional e incluir tanto herramientas de software como capacitación de los empleados, monitorear el cumplimiento de los empleados con los requisitos de seguridad e incluso capacitación sobre seguridad de la información en la empresa.
El costo de un error es la vida de la empresa.
No es necesario ser el mejor pirata informático del mundo para atacar a las pequeñas y medianas empresas, solo debe provocar los errores de los empleados o aprovechar los ya cometidos. Los correos electrónicos de phishing, la ingeniería social, el soborno y el fraude de los empleados son el conjunto de herramientas más simple y eficaz que lo ayudan a acercarse a los datos corporativos y a usarlos. Desafortunadamente, estas situaciones se repiten en las empresas de vez en cuando, y los escenarios de ataque cambian constantemente, aunque sea ligeramente.
Solo hay una salida: capacitar a los empleados y, literalmente, enviar correos con cada nuevo método de ataque. Pero no hay garantía de que mañana no haya un método fundamentalmente nuevo sobre el que no tendrá tiempo de advertir a sus colegas. Por ejemplo, hubo un caso en el que la policía de Minnesota decidió comprar software de una empresa con ventas internacionales: solicitaron 120 licencias, enviaron una carta de garantía de que pagarían las claves recibidas en un mes. Todo fue lo más serio y formal posible. Se entregaron las llaves, nadie pagó por ellas. Sí, esto es solo una pérdida de ingresos para la empresa: piensas, una llave virtual. Pero, por desgracia, nadie puede imaginarse cómo se utilizarán o revenderán. Hasta que se enteraron, mientras revisaban, mientras lo bloqueaban, era posible causar muchos problemas; fue una suerte que lo más probable fuera que fueran unos estúpidos hooligans.
Gestión de seguridad para tick
La empresa puede tener las herramientas de seguridad más caras y los guardias de seguridad más avanzados con un salario elevado, y luego, por la mañana, en Habré, escribirán una publicación sobre cómo se pirateó su sistema. Y la razón de esto es una maraña de codicia y falta de atención. Pero esto es la mitad del problema: tuvimos una pelea, contactamos al autor, le agradecimos (¿no?) Y cerramos la vulnerabilidad. Pero si nadie escribe a Habr, pero aprovechará la vulnerabilidad todos los días y utilizará los datos de su empresa en su beneficio, esto es un verdadero desastre.
Por lo tanto, es necesario cambiar la actitud de los empleados hacia la seguridad: deben saber que la seguridad en la empresa se monitorea, se hace cumplir y cada uno de ellos es responsable de los componentes de seguridad de la información en su lugar. Al mismo tiempo, no es suficiente firmar acuerdos adicionales y objetivos de voz; es importante incluir controles de seguridad en todos los procesos y sistemas comerciales para que los empleados puedan ver que el problema no es nominal. Por cierto, recompensar a los empleados por el cumplimiento de las reglas de seguridad de la información es una buena motivación: puede implementar esto en el formato de gamificación, sistemas de KPI, regulaciones, etc. Más importante aún, los empleados deben ver la profunda y sincera preocupación de la gerencia por la seguridad corporativa.
A veces, las amenazas a la seguridad surgen de la nada. La vieja sabiduría de TI dice: "Estás tan seguro como tu eslabón más débil". ¿Sabe exactamente dónde está este enlace en su empresa? Por ejemplo, el autor de este artículo trabajaba para una empresa regional y estaba sentado en una estación de autobuses de la ciudad, esperando un autobús. Un hombre estaba sentado a su lado, quien en el teléfono contó en voz alta e indignado el plan de retroceder y trabajar con un proveedor de productos bastante exclusivos. Casualmente, el autor era un empleado de la competencia. Es difícil imaginar una fuga de información más épica. Nadie usó la información, pero ya era una cuestión de principios. Entonces, un hueco en la seguridad puede ser creado por locutores, amantes de las selfies frente a un monitor de trabajo o dentro de la infraestructura (cuando se trata de producción),capturas de pantalla aleatorias con la dirección y el puerto del panel de administración en la barra de direcciones y otros accidentes como computadoras portátiles y teléfonos perdidos, papeles abandonados, memorias USB olvidadas, etc.
Por lo tanto, observe la higiene de la seguridad de la información y enséñele a sus colegas y empleados. Y sí, haga copias de seguridad no solo el 31 de marzo.
¡Haz jodidas copias de seguridad!
