Seis evaluaciones de Seguridad IT que nunca has tenido (pero deberías)

By 27 octubre, 2011 mayo 5th, 2017 Seguridad informática, Sistemas, TresW

Probablemente esté familiarizado con las evaluaciones de seguridad clásicas: las pruebas de penetración interna y externa, las evaluaciones de riesgos, y las evaluaciones PCI.

Puede que no esté familiarizado con, o incluso al tanto de otras evaluaciones que pueden ser tan valiosas para el fortalecimiento de su protocolo de seguridad.

Algunas de estas evaluaciones menos familiares son nuevas que son el resultado de las nuevas tecnologías y los  reglamentos; pero otros han estado alrededor durante varios años y simplemente no han recibido la atención que se merecen.

Considere la posibilidad de realizar estas seis evaluaciones al menos una vez en su empresa para combatir la amenaza de hackers.
1. Evaluación de los Medios Sociales

El uso de sitios de medios sociales es enorme. ¿Quieres saber lo que se dice en ellos sobre su organización? La evaluación de sus bases de datos y las redes sociales (Facebook, Twitter, LinkedIn, blogs, etc.) detecta lo que está difundido en Internet sobre tu empresa – incluyendo toda la información que sus empleados, ex empleados y el público están colocando por ahí.

2. Interrogación de Host

Pregunte a su profesional de seguridad IT qué es una interrogación de Host, y lo más probable es que su respuesta no sea más que su mirada anonadada. La intención de una interrogación de host es de identificar errores de configuración o potenciales fallos de seguridad en los servidores en una DMZ. Proporciona una visión detallada de los servidores de la misma manera que lo hace una revisión de conjunto de reglas de Firewalls.

3. Evaluación de Ingeniería Social

Los hackers aprovechan de la naturaleza de confianza inherente de los seres humanos, creando de la “red humana” una vía fácil para acceder a información sensible o comprometer una organización. Un atacante trabaja para obtener un nivel de confort o crear una relación de confianza, por ejemplo con la persona al el teléfono, y aprovecha esa confianza para iniciar un ataque.

Hay varios componentes de las evaluaciones de ingeniería social, para hacer frente a diferentes formas de preguntar a una persona y que este, involuntariamente, divulga información. Las más típicas son las llamadas telefónicas a individuos dentro de una empresa con el objetivo de convencer al usuario para que revele información sensible. Para ello usan números de teléfonos “falsos” que aparentan estar dentro de su empresa o departamento, para persuadir a la persona para descargar aplicaciones de backdoors para revelar información sensible como nombres de usuario, contraseñas, información de tarjetas de crédito, información de salarios, o otros secretos comerciales.

Otros, como los ataques client-side, utilizan el método de ataque principal de la comunidad de hackers: un atacante obtiene acceso completo a la red de una organización y a los sistemas simplemente consiguiendo que un empleado navegue por un sitio web.

Dado que muchas organizaciones expuestas a Internet están en una zona de alta seguridad con al menos una capa de protección, los hackers han cambiado sus métodos y re-enfocado su atención a los empleados de las organizaciones aprovechando la naturaleza humana y la falta de concienciación en seguridad.

4. Evaluación del trabajo en casa

Aunque el teletrabajo, o el trabajo desde casa, ha sido ofrecida por las organizaciones durante años, a menudo el ambiente desde donde se trabaja nunca se comprueba. Lo que un empleado hace en su ordenador en casa puede generar una serie de cuestiones que su organización no tendría que enfrentar si el empleado estuviera en la oficina todos los días. Es importante comprobar los controles técnicos y de procedimiento para garantizar una protección  adecuada para los usuarios remotos, sea por VPN, SSL, o otros sistemas.

5. Plan de Respuesta a Incidentes

Cuando ocurre un evento que afecta negativamente a la seguridad de sus sistemas y a la del personal de su organización, un Plan de Respuesta a Incidentes o PRI desarrollado concienzudamente es imprescindible para tomar decisiones instantáneas para garantizar la protección de datos en momentos caoticos.

La mayoría de las empresas no tienen un PRI definido; la LOPD hace referencia a esto y es extremadamente importante elaborar un plan.

6. Evaluación de privacidad

Aunque técnicamente no es una evaluación de la seguridad, la Evaluación de privacidad es un componente crítico de la comprensión de los riesgos de una organización en lo relativo a la protección de información personal identificable.

Toda empresa u organización debe contar con un programa de privacidad de funcionamiento.

Una evaluación de protección de datos se compone de un análisis de riesgo para la privacidad, la identificación de los flujos de datos, la evaluación de la información personal identificable y el desarrollo de un plan de actuación en caso de desastre. Stephen Marchewitz es consultor de privacidad.

Copyright 2017, TresW