Estos no son los archivos de datos que está buscando
Publicado: 2017-12-15Los rebeldes piratearon la Estrella de la Muerte: ¿su organización es la siguiente?
Hace mucho tiempo, en una galaxia muy, muy lejana, el Imperio cometió un error crítico y fatal que conduciría a su eventual caída. Nunca creyeron que los rebeldes podrían romper sus defensas en Scarif y robar los planos de su arma más preciada: la Estrella de la Muerte.
Los planos se colocaron en una bóveda, en una torre alta, rodeados por miles de tropas fuertemente armadas y caminantes imperiales, en un planeta completamente rodeado por un campo de fuerza impenetrable, defendido por cientos de naves espaciales.
Sin embargo, solo se necesitó un grupo de individuos altamente motivados y decididos para atravesar sus defensas, y las consecuencias fueron nefastas.
¿Dónde estaba el plan de incidentes del Imperio? ¿Por qué los planos de la Estrella de la Muerte no estaban encriptados? ¿Por qué no utilizaron la autenticación de dos factores?
Cada día trae noticias de otra violación de datos. Algunas son grandes violaciones de datos como eBay, Equifax o Yahoo, mientras que otras son mucho más pequeñas. Sin embargo, todos tienen una cosa en común: una vez dentro, los piratas informáticos pudieron obtener una gran cantidad de datos.
A menudo, los ataques se limitan a los datos personales de los usuarios, pero a veces también se roban los datos de las tarjetas de crédito de los clientes. Muchas empresas que sufren una brecha ya cuentan con medidas de seguridad: parchean servidores, firewalls, WAF e IDS. Muchos tienen una política de seguridad de la información y realizan pruebas de penetración, pero los piratas informáticos logran pasar de todos modos.
Plan para la brecha
No importa qué tan alto construya sus muros, alguien con suficiente habilidad, determinación y recursos puede ingresar. Los estados nacionales ahora están involucrados en el espionaje corporativo, y si Corea del Norte realmente quiere sus archivos de datos, le resultará muy difícil hacerlo. mantenerlos fuera
Los humanos son a menudo el vector de ataque más grande en cualquier sistema, y los sistemas de seguridad altamente sofisticados pueden violarse mediante una ingeniería social inteligente. En un esfuerzo por mantener sus datos seguros, las organizaciones gastan cada vez más para construir muros más altos con tecnología cada vez más sofisticada, pero, una y otra vez, estos se violan y los datos quedan expuestos, a veces a través de ataques muy sofisticados y a veces a través de errores humanos.
Si bien es extremadamente importante centrarse en una sólida seguridad de la información, lo que el Imperio se olvidó de estudiar fue cómo mitigar el daño cuando los rebeldes lograran violar su seguridad. No planearon una brecha porque nunca pensaron que sucedería. Este es el mismo error que muchas organizaciones en este planeta también están cometiendo.
Crear un plan de incidentes
Cada organización debe tener un plan de incidentes de violación de datos. Cuando el artículo proverbial golpea el ventilador, lo último que se necesita son empleados corriendo como pollos sin cabeza, tratando desesperadamente de manejar la situación e inventando cosas sobre la marcha.
Los momentos posteriores al descubrimiento de una infracción son extremadamente estresantes para todos los involucrados, pero también son los más cruciales. Sin un plan, las cosas pueden empeorar mucho, mucho.
La evidencia forense se puede destruir, se pueden exponer más datos y se puede difundir información errónea. Durante este tiempo, todos deben saber qué deben hacer para poder manejar la crisis.
Audita tus datos
Una de las grandes características de las próximas regulaciones GDPR es que las organizaciones europeas se ven obligadas a auditar sus datos. Muchas organizaciones no saben qué datos tienen, cuántos tienen y dónde se encuentran.
Es probable que las organizaciones que han crecido orgánicamente con el tiempo tengan muchos sistemas heredados con diferentes datos que residen en cada uno. Las empresas deben considerar qué datos personales necesitan realmente y asegurarse de que el resto se elimine, o al menos se cifre por completo. ¿Es realmente necesario conservar los datos personales de alguien que te compró hace cinco años?
Separación de sistemas para evitar la contaminación cruzada
Una cadena es tan fuerte como su eslabón más débil. Muchos sistemas seguros han sido vulnerados debido a un punto de entrada débil. Es importante asegurarse de que los sistemas estén separados. De esa manera, si se infringe uno, la infracción se contiene en ese sistema en lugar de en todos los sistemas, lo que limita su exposición.
Si se implementa correctamente, un sitio de comercio electrónico creado en una plataforma altamente segura será muy difícil de vulnerar. También puede tener un blog de WordPress en el mismo entorno. WordPress es, con mucho, la plataforma web más pirateada del mundo. Los datos publicados por Securi mostraron que el 74% de una muestra de sitios web pirateados en 2016 ejecutaba WordPress.
Si bien parte de esa culpa es de los usuarios de WordPress que no mantienen su software actualizado, este número debería preocuparle si ejecuta un sitio de WordPress. Su preocupación debe aumentar si ejecuta un sitio de WordPress alojado en el mismo entorno que su tienda de comercio electrónico.
Si se viola su plataforma de WordPress, podría usarse como un punto de entrada a su sitio web de comercio electrónico, donde residen los datos más valiosos. El sitio de WordPress debe estar alojado en un entorno de alojamiento completamente diferente y separado de su plataforma de comercio electrónico para garantizar que no haya contaminación cruzada.
Cifrado de datos
El cifrado de datos es más complejo de lo que puede parecer inmediatamente. En teoría, tiene mucho sentido cifrar todos los datos personales contenidos en la base de datos de su plataforma de comercio electrónico. Si los datos se violan sin la clave, no tienen sentido.
El mayor problema es que su aplicación generalmente necesita poder descifrar datos sobre la marcha, lo que significa que en algún lugar dentro de su código está la clave. Por lo tanto, si alguien obtiene su aplicación y los datos, es posible que pueda descifrar los datos usando esa clave.
Otro desafío del cifrado es el rendimiento. Si su aplicación necesita descifrar datos en tiempo real, esto puede aumentar significativamente los gastos generales de rendimiento y, a menudo, simplemente no es práctico. El cifrado es una excelente manera de proteger sus datos, pero conlleva su propio conjunto de desafíos.
Seguridad basada en el engaño
La seguridad basada en el engaño presenta a los piratas informáticos vulnerabilidades falsas, o incluso datos falsos que pueden oscurecer la realidad.
Los hackers generalmente buscan las vulnerabilidades más básicas, como exploits conocidos, antes de implementar técnicas más avanzadas. Una vez que encuentran una vulnerabilidad, es probable que se concentren en eso. Si luego se les da acceso a datos que parecen confidenciales y reales pero que, de hecho, son falsos, tiene la posibilidad de despistarlos.
También puede monitorear más fácilmente esa actividad, lo que aumenta sus probabilidades de identificar y luego bloquear al atacante. Al implementar sistemas y datos de señuelo, puede darle al atacante la ilusión de violar con éxito su red.
Mejores prácticas de ciberseguridad para el futuro
Las organizaciones no deben centrarse únicamente en mantener alejados a los piratas informáticos, ya que esto, por sí solo, no protegerá sus datos de todos. Un equipo decidido, experimentado y con buenos recursos probablemente podría piratear casi cualquier plataforma de comercio electrónico si se esforzara lo suficiente.
Construir un muro más grande solo los disuadirá por un tiempo. Se necesita un mayor enfoque en mitigar las infracciones en lugar de simplemente tratar de prevenirlas para garantizar que todos sus datos estén tan protegidos como sea posible.
Si el Imperio le hubiera encargado a alguien que auditara sus datos y creara un plan de incidentes sólido y probado, las cosas podrían haber resultado muy diferentes.
Hacer o no hacer. ¡Aquí no hay intentos!