Buenas prácticas para aumentar la resistencia de las pymes ante posibles ataques
- Seguridad
Ante el continuo aumento del nivel de amenazas, es preciso comprobar que los accesos remotos a los servicios corporativos utilizan autenticación multifactorial y que todo el software esté actualizado, además de monitorizar las redes y sistemas para evitar accesos de terceros, entre otras medidas.
La transformación digital de las pymes, tan necesaria para competir en los mercados digitales, está en marcha. Los intercambios comerciales digitales precisan de seguridad para ser confiables. Por ello, para sobrevivir en estos mercados hay que estar preparados para superar los posibles ciberincidentes.
Por una parte, se deben tomar las precauciones necesarias para mantener la disponibilidad de los sistemas que soportan la actividad y, por otra, las necesarias para ofrecer las suficientes garantías de integridad y confidencialidad a compradores y proveedores. Pero esto no es suficiente, no solo hay que hacer todo lo necesario para prevenir incidentes y saber reaccionar ante ellos, sino para resistirlos y reponerse lo más rápido posible, aprender de los errores y seguir ofreciendo al mercado los productos o servicios. Para ello, ENISA, la Agencia de la Unión Europea para la ciberseguridad y el equipo de respuesta a emergencias informáticas para las instituciones europeas, CERT-EU, han publicado un listado de buenas prácticas que ayudarán a mejorar sustancialmente el nivel de ciberseguridad y aumentarán la resistencia ante los posibles ataques:
--Comprobar que los accesos remotos a los servicios corporativos utilizan autenticación multifactorial (MFA). Esto incluye las VPN, las extranets o portales corporativos externos o el acceso al correo electrónico vía web. Pero ojo, recomiendan evitar, en la medida de lo posible, como segundo factor los SMS y llamadas de voz para entregar códigos de un solo uso, pues es posible suplantarlos. En su lugar, animan a utilizar siempre que sea posible tokens resistentes a la suplantación de identidad, como tarjetas inteligentes y claves de seguridad FIDO2.
--Verificar que los empleados no reutilizan las contraseñas y animarles a utilizar autenticación multifactorial (MFA). Es frecuente que los ciberdelincuentes entren en nuestros sistemas realizando ataques con credenciales robadas, es decir, usuario y contraseña, obtenidas de filtraciones o fugas de datos. Este tipo de ataque es posible porque algunos usuarios utilizan las mismas credenciales para distintos servicios. Como medida preventiva, podemos verificar si nuestras contraseñas están en alguna brecha de datos conocida y si es así cambiarlas inmediatamente en todos los sitios en los que se hayan utilizado. Siempre que sea posible, se recomienda usar un gestor de contraseñas.
--Comprobar que todo el software esté actualizado. Hay que dar prioridad a las actualizaciones que aborden las vulnerabilidades conocidas, pues es posible que ya estén siendo explotadas. Recomiendan que esto forme parte de una política de gestión de vulnerabilidades que incluya la obligación de instalar los parches de gravedad alta y crítica lo antes posible. Y no olvidarnos de verificar que ha finalizado completamente su aplicación, por ejemplo, si se debe reiniciar el sistema tras la instalación de los mismos.
--Monitorizar las redes y sistemas para evitar accesos de terceros. Al controlar el acceso mejoramos nuestra capacidad de prevenir y detectar posibles ataques, como los fraudes BEC (Business email Compromise) en los que si el correo de alguno de nuestros contactos ha sido hackeado o ha sido víctima de robo de credenciales por phishing, puede ser utilizado como vía de entrada para vulnerar de nuestros sistemas.
--Prestar especial atención a la seguridad de la nube antes de subir servicios críticos a la misma. Debemos utilizar controles muy estrictos de seguridad en las plataformas en la nube y tener separada su gestión de la de los sistemas en local para garantizar que los ciberdelincuentes no puedan saltar de un entorno a otro, por faltar estos controles de seguridad.
--Revisar la política de copias de seguridad y utilizar la regla 3-2-1. Esta regla consiste en mantener tres copias completas, dos de ellas almacenadas localmente, pero en diferentes medios, y al menos una copia almacenada fuera de las instalaciones y desconectada. Insisten en que debemos asegurarnos que el acceso a las copias de seguridad está controlado, limitado y registrado. Además, nos recomiendan confirmar que los procedimientos de restauración están bien documentados y se prueban regularmente.
--La política de copias de seguridad debe estar alineada con un Plan de Contingencia y Continuidad. Nos animan a informar y formar a los usuarios para que guarden los datos sólo en los dispositivos de almacenamiento permitidos por la política de ciberseguridad o, en su caso, en el almacenamiento corporativo en la nube y no en su puesto de trabajo.
--Cambiar todas las credenciales por defecto y débiles. Las credenciales por defecto pueden ser conocidas por los ciberdelincuentes, por ello nos animan a cambiarlas nada más iniciar el producto o servicio tras adquirirlo. También insisten en que debemos desactivar o cambiar por otros más actuales los protocolos o servicios que no admitan la autenticación multifactor o que utilicen una autenticación débil.
--Emplear la segmentación y las restricciones de red adecuadas. Configurando nuestros sistemas separando entornos mediante cortafuegos y reglas de acceso tratamos de evitar intrusiones. Para ello, a la hora de tomar decisiones para permitir o denegar el acceso a los mismos, nos recomiendan utilizar no solo credenciales, sino también filtrar en base a información específica del dispositivo o del entorno, el origen geográfico del usuario o las horas de uso habituales.
--Formar a los profesionales TI cada cierto tiempo. Nos instan a llevar a cabo una formación periódica para verificar que los administradores de sistemas y de TI conocen y aplican las políticas de seguridad de la organización y los procedimientos asociados. Vigilar el uso que se hace de las herramientas de administración puede ayudar a evitar que los ciberdelincuentes entren en nuestra red y se desplacen lateralmente, es decir, que puedan adquirir privilegios de administrador y extender los ataques a otros sistemas.
--Crear un entorno resistente de correo electrónico. Es importante activar el filtrado antispam, monitorizar el servidor de correo electrónico para vigilar de forma automática el seguimiento de las políticas y configurar los protocolos para evitar que los correos electrónicos maliciosos lleguen a los buzones.
--Organizar periódicamente charlas de concienciación. El objetivo es formar a los usuarios en las técnicas de phishing más comunes, por ejemplo, la identificación de mensajes falsos/sospechosos y los efectos de los ataques de phishing.
--Proteger las páginas web ante ataques de denegación de servicio. Para ello, dependerá si el servidor está en nuestras instalaciones en cuyo caso tendremos que ubicarlo en una zona desmilitarizada, instalar IPS/IDS o UTM. Si se utiliza para el alojamiento web plataformas en la nube podremos aprovechar sus funciones nativas de alta disponibilidad e instalar cortafuegos especializados WAF. También se recomienda automatizar en las políticas de recuperación, ante de desastres, el movimiento de cargas de trabajo en local al sitio de recuperación de desastres con un solo clic.
--Bloquear o limitar el acceso a Internet de los servidores u otros dispositivos que rara vez se reinician. Estos dispositivos son codiciados por los ciberdelincuentes para establecer puertas traseras y hacer que nuestras redes y equipos pertenezcan a sus ejércitos de botnets controlados por sus centros de Comando y Control (C&C) para lanzar todo tipo de campañas de malware, phishing y ataques de denegación de servicio.
--Revisar los contactos de emergencia. Comprobar que en los procedimientos se incluye la información de contacto para poder comunicarse rápidamente con nuestro CSIRT, en el caso de ciudadanos, empresas, operadores esenciales e infraestructuras críticas, proveedores de servicios digitales e instituciones afiliadas a RedIRIS: INCIBE-CERT. Si eres una pyme, tienes más información en la sección reporta tu incidente.