Sugerencias de seguridad para el equipo donde haces trabajo remoto, y para video-conferencias

A continuación una lista de sugerencias de seguridad para el equipo donde estás haciendo trabajo remoto.

Y otras más para tus video-conferencias que tengas. 

Claro que lo primero es que te enteres de las políticas de seguridad de tu organización sobre estos aspectos y las cumplas. Puede ser que algo de lo que yo diga vaya en contra de alguna política de tu organización.

Estas sugerencias no son exhaustivas, son algunas de mis ideas. Para algo más "formal" deberás buscar en otra parte.


EQUIPO DONDE HACES TRABAJO REMOTO:

- No instales dos antivirus para "mayor protección", puede resultar en problemas de operación.

- Actualiza tu sistema operativo y sus aplicaciones, al menos revisa si hace faltan updates una vez al mes si esto no sucede automáticamente.

- Reduce o elimina el uso de dispositivos USB, propagan malware. O al menos deshabilita la auto-ejecución de estas memorias. No pongas ahí datos sensibles.

- La contraseña robusta de tu red inalámbrica debe ser conocida solo por los integrantes de tu hogar, y entre menos la sepan, mejor.

- Tu equipo debe estar protegido por contraseña para iniciar sesión.

- Habilita navegación privada y navegación segura en tu navegador. Cuidado con el phishing, correos no solicitados y estar ingresando a todo tipo de páginas web. 

- Si vas a almacenar información de la empresa en tu equipo y eso está en línea con la política, es buena idea cifrar el contenido del disco duro. Y en el mismo sentido, si hay un método de respaldo que provea tu empresa, úsalo.

 SUGERENCIAS DE VIDEOCONFERENCIAS:

- Envía el enlace solo a los interesados.

- Los datos de la videoconferencia como liga, hora, contraseña y demás detalles no debe de ser expuesta en redes sociales o foros públicos.

- Ponle contraseña a tu reunión si no viene por default.

- Si la plataforma lo permite, habilita que apruebes el acceso de los participantes previo a su ingreso.

- Comparte tu escritorio hasta verificar que tienes abierto solo lo que piensas exponer y evitar que muestres “otro” tipo de información.

- Ten cuidado al abrir tu micrófono y/o habilitar la cámara para no exponerte a escenas vergonzosas; si sabes que no tendrás ese cuidado entonces compórtate como lo harías en persona. 

 

- Ten en cuenta que la sesión podría estar siendo grabada por un participante o que saquen fotos. Si tú la organizas y la vas a grabar, así dilo al grupo antes de hacerlo.

- Tapa la cámara web cuando no la uses, o al menos fíjate que la luz junto a la cámara esté apagada.

- Es ideal que la plataforma cifre de punto a punto (end to end), de otro modo y dependiendo de tu organización y funciones, piensa la conveniencia de tratar ese tema sensible.

Técnica para redactar correos

Empieza con la conclusión. En una frase o máximo 3 oraciones debes de incluir "toda" la información que necesita el destinatario, sobre todo si es un directivo que recibe decenas de correos por día (¿o cientos?), apreciará saber lo importante de tu correo a las de ya.

También es útil cuando quieres un dato de alguien y así evitar que tenga que leer todo el mensaje para que desentierre lo que le estás solicitando.

Asume que el destinatario no seguirá leyendo tu correo si ya le dijiste lo que necesita saber.

Como es posible que el destinatario solo lea las primeras líneas de tu mensaje, asegúrate de que escribes con claridad; no "cifres" la información de tal manera que sea necesario leer varias veces lo que intentas decir, mira: 

• No debemos incumplir la negativa de la decisión de no seguir con la recomendación...

Lee todo varias veces, evita el error de escribir y mandar. Redacta y regresa a leer lo que estás diciendo; ajusta lo que debas. Elimina palabras o expresiones innecesarias:

• Más sin en cambio.
• Ahora bien.
• De nueva cuenta vuelvo a enfatizar la importancia.
• Actualmente el estado al día de hoy.

Después de esa introducción donde expresaste todo lo que debes de decir, entonces ya puedes hablar de los detalles del correo en caso de que el lector tenga interés/tiempo en seguir adelante con tu mensaje.

A continuación algunos ejemplos de cómo iniciar el correo en el entendido de que después vendrían los detalles:

Ejemplo 1 (te hacen una pregunta).
No, no di el visto bueno. La decisión de no habilitar esa característica en Windows la tomó él, y ni yo ni  mi equipo de trabajo le dimos un visto bueno ni nada que se le parezca.

Ejemplo 2 (necesitas algo). 
Buen día, necesito de favor conocer la cantidad de nuevos empleados que tendrá tu área el siguiente año para yo poder presupuestarles licencias de antivirus. De no recibir respuesta para el 20 de abril, asumiré que no tendrás nuevos empleados y por lo tanto no requieres más licencias. 

Ejemplo 3.
El reporte del escaneo adjunto lista 7 debiliades críticas que debes de solucionar aplicando parches en máximo 3 días hábiles.

Ejemplo 4 (mandaron correo a varios destinatarios y de ti solamente piden un punto e informas a tu superior).
Me piden el VoBo para que un servidor tenga acceso a internet, revisé la solicitud y estoy de acuerdo; si tú también entonces así responderé. La petición de acceso es puntual a ciertos sitios y cumple con el resto de lo que dicta la política de seguridad.

Balance de seguridad y requerimientos de negocio

Si no tienes claridad en qué requiere el negocio para operar, está difícil que definas la seguridad requerida porque no sabes exactamente lo que hay que proteger. Hasta aquí es algo obvio.

También necesitas saber qué va a pasar "arriba de los fierros", para entender al negocio y no solo estar protegiendo bits y bytes sin saber qué está pasando "arriba". De otra forma puedes proteger de más o al contrario: de menos.

Así pues, el primer paso es que se tenga una definición de lo que un área de negocio necesita para que una TI le funcione, y ya luego el área de seguridad puede evaluar ese requerimiento y definir los controles de seguridad para proteger esa nueva infraestructura tomando en cuenta diversos factores como riesgo, políticas internas y cumplimiento de un tercero, controles existentes, etc.

Al final hay que tener un balance entre el requerimiento de negocio y la seguridad definida, y ante un choque entre ambos mundos, tener identificado a alguien o un área que asuma el riesgo por tener algo que le funcione al negocio con baja seguridad, o un esquema que no cumple al 100 con los requerimientos del negocio pero con una seguridad adecuada.

Plan de Formación de Personal de Seguridad Informática

Como cualquier otra área corporativa, la de seguridad informática no es ajena a contar con una estrategia de crecimiento y capacitación para el personal que la integra. Hasta aquí suena “obvio” que debe de contar con dicha estrategia, el problema es por dónde empezar.

Lo primero es desarrollar algún tipo de lista de requerimientos técnicos y no técnicos que debe de ir acumulando el personal a lo largo de su carrera de seguridad informática. También la estrategia debe de ser lo suficientemente flexible para poder ubicar a un nuevo empleado que acaba de salir de la carrera universitaria, a uno que tiene una Maestría o a otro que ya tiene años de experiencia en el ramo y sus posibles combinaciones. 

Claro está, no puedes "tratar" igual a todas las personas que ingresan y debemos acomodarla en la ubicación correcta en el “plan de formación” que le permita seguir superándose profesionalmente. Hay que evitar que se aburra yendo por ejemplo a un curso “porque ya se sabe el tema”; no le conviene ni a la persona ni a la empresa.

El plan de formación debe de partir de un tronco común, donde la idea es que todos los integrantes tengan bases sólidas primero, para luego poder ir aspirando a alcanzar diferentes “ramas” de especialización dependiendo de sus intereses y de los del área (por ejemplo, los próximos proyectos en los que estará envuelto en el corto-mediano plazo).

Algunos ejemplos de requisitos en un tronco común pueden ser: un diplomado, una certificación como la reconocida CISSP (Certified Information Systems Security Professional), algunos cursos básicos del instituto SANS o la certificación de hackeo ético CEH (Certified Ethical Hacker). No pretendo hacer un listado exhaustivo de lo que debe de contener el tronco común, sino dar algunos ejemplos para dar la idea de lo que tengo en mente.

Una vez armado el tronco común, vamos a las “ramas” de especialización. Las ramas especializadas deben estar orientadas a ser retadoras y que guarde relación con las labores del empleado en el área.

Por ejemplo, una persona que haya cumplido con el tronco común (o que no lo requiera por su perfil avanzado al ingresar al área) y que el interés es que conozca de desarrollo seguro, tendrá que transitar por la rama especializada de desarrollo seguro que debe marcar los cursos y certificaciones a buscar. 

De igual manera esta rama si bien será especializada, iniciará con cursos “básicos” de la rama, en este caso de desarrollo seguro, y posteriormente irá cumpliendo con capacitación de programación segura cada vez más avanzada.

Ahora, no todo en seguridad informática debe forzosamente ser técnico. También el plan de formación debería de considerar tener cursos no técnicos, como por ejemplo de habilidades gerenciales o equivalentes. Si bien es muy útil un recurso con capacidades técnicas fuertes, nos hará pasar malos momentos si no sabe exponer un tema a la alta gerencia, o a los altos jefes de otras áreas no técnicas que no dominan ni la TI y menos la seguridad informática. 

Este otro tipo de cursos también están orientados a preparar a la gente para cumplir con puestos superiores en la jerarquía donde deberán también conocer temas por ejemplo presupuestales, de redacción (¡que tanta falta hace!) y exposición de temas de manera ejecutiva y una adecuada articulación de ideas, junto con la administración de personal a su cargo, entre otros.

El cumplimiento de estos requerimientos del plan de formación en materia de cursos y certificaciones podría volverse inclusive un tema tan relevante como para tomarlo en cuenta para ascensos o bonos.

¿Existe una posición abierta de nivel gerencial? Tomemos en cuenta también los cursos y certificaciones obtenidas tanto de la parte técnica como la gerencial, la cantidad que haya logrado acumular por año, la suma de certificaciones no obtenidas y demás datos para incluirlo como una parte importante del proceso de elección.

¿Existe la posibilidad de un bono? No solo observemos el desempeño mostrado, sino cursos y certificaciones exitosamente logradas en el periodo para incorporarlo como un paso del proceso de selección de asignación del premio.

En conclusión, un plan de formación tiene varias ventajas. Una es que los integrantes tengan claro “el camino” a seguir en su vida profesional y que no estén cada año pensando qué cursos tomar y que al final los seleccionen porque “se escuchan interesantes”. Otra es que el plan orienta a que la gente se capacite en lo que es de interés del área y evitar que el responsable de la gestión de antimalware vaya a cursos de administración de la seguridad tipo 27001. 

Lo anterior beneficia a la corporación para tener gente especializada en sus labores del día a día. Y seguir el plan de formación dará motivación a la gente a seguirlo porque sabe que sus logros serán tomados en cuenta para bonos, ascensos, etc. dentro de la empresa. 

Sin mencionar que los alentará a seguir en el corporativo porque saben que su profesionalización continuará y también de qué forma lo hará. Recordemos que no solo los aumentos salariales motivan a la gente, sino entre otras cuestiones, la capacitación que reciban porque esa es suya y se la llevarán por los años que les resta de vida profesional en la organización donde vayan a estar laborando.

Sistemas sin Conexión a Internet

¿Es momento de desconectar a sistemas de internet y aislarlos? La mayoría de los ataques actuales que vienen desde “afuera” están basados en el hecho de que computadoras cliente tienen acceso a internet. Y son estas mismas computadoras cliente que a su vez interactúan con servidores críticos. La fórmula del ataque es simple entonces: comprometer esa computadora cliente desde internet y explotar alguna debilidad del servidor crítico para extraerle su información valiosa.

La anterior descripción de ataque puede ser ejemplificada con un “phishing”, donde atacan a una computadora cliente y de ahí “saltan” al sistema de interés. Ahora bien, qué pasaría si esa computadora cliente no tuviera acceso a internet? Sin correo y sin navegación seguro le complicamos la vida al atacante que tendrá que trabajar más para lograr su objetivo.

Cada vez veo más entendimiento en la comunidad de que los servidores críticos deben estar con conexiones puntuales hacia sitios de internet o de plano no tener esa conexión hacia “afuera”. Un servidor debe “nacer” por default sin salida a internet y el acceso puntual es otorgado bajo demanda. Pero todavía no veo una tendencia a también hacerlo con las computadoras personales de operadores que acceden a esos servidores críticos.

Si bien muchas empresas protegen a sus servidores críticos, no lo hacen así con las computadoras cliente de operadores que interactúan con esos servidores. Luego entonces el atacante no puede comprometer directamente a ese servidor y lo que hace es atacar a la computadora cliente que sí tiene los permisos para acceder a ese servidor crítico. Es un ataque indirecto y puede ejecutarse por medio del ya famoso phishing. ¿Cómo funciona? Es aquel donde un delincuente envía un correo con una liga que dirige a un sitio malicioso que a su vez descarga un virus a la computadora del usuario.

Así es que por más que protejamos al servidor crítico, la computadora personal que accede a él permanece con una seguridad promedio, en el mejor de los casos. Desde esa máquina, el operador no solo accede al servidor crítico, también lee su correo electrónico, navega en internet, mete USB. Es una máquina para el trabajo diario y también sirve para administrar o interactuar con servicios críticos. Y ahí está la debilidad aprovechada por los ciber-atacantes.

¿Qué podemos hacer? Primero, revisar que esos servidores críticos estén debidamente protegidos, como con listas blancas, con hardening, antivirus, aislados de internet (o con accesos puntuales a ciertos URL). Y que solo puedan ser contactados por una lista definida de computadoras internas de operadores y administradores.

En segundo lugar, y es la idea central de este artículo, debemos voltearnos a revisar las computadoras personales de operadores o administradores que acceden a ese servidor crítico. Y aquí viene la bomba. Deben de tener una computadora para operar/administrar (sin acceso a internet) y otra diferente para trabajar en el día a día, obvio con acceso a internet. Es decir, una para operar pero sin acceso a internet, otra para las actividades mundanas cotidianas. ¿Cómo resolverlo?

Lo óptimo es tener dos computadoras físicas: una para entrar a servidores críticos y otra “normal” para el día a día. En este momento pensarán en cuánto dinero les costará tener una implementación de este tipo y yo les contestaré cuánto creen que puedan perder por un ciber-ataque. Tener dos computadoras separadas dificultará enormemente el trabajo del atacante, tal vez hasta tal punto que desistirá e irá a otra empresa que no tenga esta arquitectura segura. ¿Por qué? Porque por un lado el servidor crítico estará bien protegido, y cuando comprometa la computadora “normal” del operador/administrador, verá que no tiene acceso a ese servidor crítico. El atacante entenderá que tiene el control de una computadora “normal”… sin privilegios a la zona segura corporativa.

Un nivel mayor de seguridad (¿o paranoia?) es si el servidor crítico y esa computadora para operar/administrar inclusive están aislados de la red corporativa. Así el hacker tampoco podrá penetrar a esa zona segura que ahora forman los servidores críticos y computadoras cliente para operar. Pero me estoy desviando del tema, regresemos.

Tener dos sistemas para una misma persona es difícil, sobre todo desde el punto de vista económico. Y también representa retos técnicos que deben ser superados. Por ejemplo:

• ¿Qué pasa si la operación del día a día requiere acceso a internet por alguna razón?
• ¿Qué pasa si la computadora para operar necesita intercambiar datos con la computadora “normal” del día a día?
• ¿Cabe otra computadora en el lugar del operador?
• ¿Hay contactos eléctricos disponibles?

Me llama la atención la segunda pregunta. Porque es una mala idea es permitir intercambiar datos vía USB entre la máquina de la zona segura y la de operación normal. Ese intercambio de datos puede ser aprovechado por maleantes como lo confirma este artículo (http://bit.ly/2sv4tjN) que sugiere la existencia de software malicioso que “salta” entre una zona segura y una “normal”. En todo caso, si existe el intercambio de datos vía USB, tendríamos que prohibir la ejecución de programas desde esos USB. Pero insisto, aún con esta restricción, es riesgoso estar usando los USB entre ambos tipos de computadora.

En conclusión, es mala idea tener una PC para entrar a redes sociales y para entrar a administrar un servidor crítico. Es un mal plan tener una misma PC para recibir correo y desde ahí hacerle clic a decenas de sitios para luego interactuar con el servidor de nómina y realizar órdenes de pago. Hay un hueco cuando una misma computadora sirve para asuntos sensibles y para aquellas actividades típicas que debe hacer un empleado. Piénsenlo, hagan cuentas y decidan.

Secuestro de Archivos

Secuestrar a alguien o a algo que es valioso para uno, es un crimen lucrativo para los delincuentes ya que se aprovechan del cariño o la necesidad de tener algo. En esta ocasión nos vamos a concentrar en el problema digital que significa el hecho de no tener a la mano nuestros archivos porque fueron secuestrados.

¿Qué significa que secuestren nuestros archivos? Pues bien, empecemos por el principio. Existe una técnica bien conocida en el área de seguridad informática que le llaman “cifrar”. Es un mecanismo para proteger la confidencialidad de la información para que solo quienes tengan la llave puedan acceder a ella. Es como tener en un baúl nuestros bienes más preciados y tener una o más llaves para que solo uno o un grupo de personas puedan abrirlo y tener acceso a esos bienes. Este concepto lo tenemos desde hace ya tiempo en los ambientes digitales y que ha servido y sigue siendo de utilidad todos los días para las personas que usamos dispositivos digitales y redes de comunicación.

Ahora bien, esta técnica para cifrar archivos está orientada a “los buenos” que tratan de proteger la información de las personas y evitar que sus datos sean vistos por entidades ajenas. Pero al igual que un arma que puede ser bien usada por un policía para fines benéficos o por un criminal para asaltar, la técnica del cifrado de archivos también puede tener otro lado de la moneda cuando cibercriminales la usan para delinquir.

Los delincuentes cifran la información de usuarios pero ellos se quedan con la llave. Y piden rescate para liberarla con el fin de “abrir” el baúl donde está la información. Si no hay pago, no hay llave. Y de hecho, al estar tratando con delincuentes, no hay garantía de que aun habiendo pago, sí vayan a dar la llave; estamos en la incertidumbre.

Los delincuentes apuestan a que los usuarios tendrán tantos deseos de recuperar sus datos que acabarán pagando.  También apuestan a que el usuario no tendrá bien protegido su equipo o no tendrá respaldos de su información. Porque al secuestrar archivos de trabajo, fotos, tesis, reportes, información contable, planos de edificios, etc., saben que causan un daño. 

Y que el usuario no desea trabajar horas y horas para volver a producir los documentos secuestrados. O quieren tener acceso a su información de años a atrás que les sirve como referencia, por ejemplo. O tan simple como que hay datos como las fotos familiares que son irremplazables y no hay copia (respaldo). U otros datos corporativos que simplemente son también irremplazables porque son auditables o los necesitamos por ley o para trabajar con ellos y son imprescindibles.

Ahí es donde entran los delincuentes: apuestan a que más de uno querrá pagar el rescate. Ahora solo necesitan secuestrar la mayor cantidad de computadoras posible para maximizar sus ganancias: aunque solo un porcentaje bajo esté dispuesto a pagar ya ganaron si la cantidad de sistemas se cuenta en miles o millones.

Los delincuentes crean entonces un código malicioso que le llamaremos “ransomware” que es un término proveniente del inglés. Este código malicioso infectará computadoras y como dijimos, entre más, mejor; y está especializado en secuestrar archivos. 

Así es que todo se vale para infectar: enviar correos con adjuntos maliciosos, pedir a los usuarios que entren a sitios malignos o mejor aún: infectar computadoras sin que el usuario siquiera deba de llevar a cabo una acción.

Hace no poco tiempo todos nos enteramos por las noticias de un código malicioso llamado “WannaCry”. En varios medios noticiosos aparecieron notas describiendo que los usuarios reportaban una pantalla roja que decía que sus archivos habían sido secuestrados y pedía dinero en 3 días o duplicaría la cantidad de rescate. 

Se trata precisamente de un “ransomware”. Y por cierto y como ya dijimos, este código malicioso tenía todos los elementos más nefastos: secuestra los archivos más preciados, los delincuentes conservan la llave, infecta una gran cantidad de equipos en poco tiempo y sin participación del usuario; por eso sus efectos negativos alrededor del mundo. 

Este “ransomware” WannaCry aprovecha una vulnerabilidad informática de sistemas operativos de Windows, para la cual de hecho ya había una solución que había sido publicada por Microsoft antes de la aparición de WannaCry. 

Sin embargo muchas empresas y usuarios en casa no la tenían instalada, ya sea porque lo dejaron para “después” o porque no reciben parches de seguridad de manera automática o porque tienen un Windows pirata, entre otras razones.

El secuestro de archivos es en más de una ocasión posible gracias a las malas prácticas de usuarios o áreas de tecnología en empresas. Por ejemplo en este caso en particular de WannaCry la acción preventiva era “sencilla”: instalar el parche de seguridad de Microsoft para Windows y de esta manera el “ransomware” perdía su poder y capacidad de infectar…era todo lo que había que hacer. 

Así es que aprendamos la lección y no dejemos para mañana el parche o el respaldo que podamos aplicar hoy.