Contacto: (+4) 560 05 80 - Email: soporte@softnet.com.co

Lunes, 28 Enero 2019 14:29

Usuario final como principal activo de la empresa

Escrito por 
Valora este artículo
(1 Voto)

 

Usuario Final como principal activo de la empresa

En estos últimos años algunas organizaciones continúan sin tener en cuenta el usuario final como principal activo de su información; hoy en día todavía nos encontramos con algunas áreas de TI enfocadas en plantear esquemas de seguridad, políticas de seguridad e infraestructura de seguridad, descuidando al Usuario final, quien realmente utiliza estas herramientas y maneja información sensible de la empresa. ¿Cómo desde nuestra perspectiva como Ingenieros podemos impactar al usuario final? independiente del tamaño de la organización, el área de TI debe tener unos mínimos requeridos para poder tener un funcionamiento adecuado dentro de la organización.

En el esquema anterior visualizamos dos ejemplos; el primero muestra una empresa pequeña, la cual cuenta con un servidor principal, que digamos alojaría en muchos clientes el tema de almacenamiento, DA servidor fireserver, aplicativo cliente servidor, dispositivo de almacenamiento y unos usuarios que acceden a este sistema.  

En el otro ejemplo, observamos un esquema más robusto donde se empiezan a dividir los servicios de forma más específica o se comienzan a ver un poco más de complementos a nivel de Seguridad. se ha adicionado un firewall perimetral que va de cara hacia internet y de cara hacia la parte interna de la empresa, un servidor de SQL, servidor antivirus, telefonía principal hipervisor donde tendría servicios de administración, temas de almacenamiento y usuarios que acceden a toda esta infraestructura.

Normalmente, las empresas tratan de llegar a un ideal de tener un esquema de seguridad a través de la definición de una política de seguridad, donde se establecen cuáles son los mínimos necesarios para poder llevar a cabo una infraestructura ideal, en muchos casos o en la mayoría, el limitante es el presupuesto, por eso es que se hace un escalamiento del abastecimiento de esta infraestructura.

Este esquema se enfoca para grandes empresas, donde se habla de planes de mejora, desde la gestión de TI se proponen las mejores prácticas o el mejor esquema que se puede adaptar de acuerdo al presupuesto designado. Podemos visualizar un Fortinet como firewall perimetral, observamos una segunda sede (Cali), un departamento gestión TI, swiches que están en alta disponibilidad, fíjese que ya estamos hablando de unos términos adicionales que hace compleja una infraestructura que se pueda presentar dentro de la empresa, como por ejemplo, en la sede remota deberíamos verificar que estamos conectados a través de un canal Site to Site o un MPLS y si tenemos algo de gestión de TI, en las grandes empresas ya se empieza a manejar un departamento completo de tecnología de la información que se encarga de orquestar todos los dispositivos que están dentro de la empresa y poderlos gestionar o hacer una gestión centralizada.

Se habla de temas de alta disponibilidad o tema de replicación de la información como por ejemplo de una NAS o una SAN que podemos realizar una replicación en Nube del backup de la información, manejamos servicios muy parecidos, es decir, es posible que manejemos un SQL a través de una ARP, muy importante tener temas de seguridad de antivirus, plantas telefónicas, servicios como en los otros ejemplos anteriores y por su puesto un plan de mejoramiento.

Para resumir las nuevas estrategias que se dan dentro de las organizaciones van enfocadas a una gestión de Infraestructura centralizada, es decir desde Centro de TI o departamento de informática poder tener información y gestión de todos los dispositivos que se nos conectan a nuestra red, hacia allá es donde uno debería apuntar y es donde se trabaja desde el departamento de tecnología de la información.

Llevar a cabo estos objetivos ameritan una política de seguridad, donde establezcamos procesos y procedimientos, definiendo buenas prácticas y los riesgos que estamos dispuestos a asumir, como les decía el limitante en la mayoría de las empresas es el presupuesto, obligando a trabajar con los recursos que se asignan, es normal comenzar con pocos dispositivos y con el tiempo generar un crecimiento en infraestructura.

Tipos de usuarios: Los podemos categorizar usuarios privilegiados (gerente, directivo), usuarios de carácter intermedio (TI o infraestructura) y usuarios básicos (usuarios finales equipos Endpoint).

Generar conciencia

Todas las empresas están enfocadas en realizar un trabajo de optimización de la plataforma y muchas veces nos olvidamos del activo principal, los USUARIOS, quienes son los que manejan la información que está dentro de la empresa, también son el eslabón más débil en la cadena de seguridad, ya que son al día de hoy el foco de los ataques malintencionados que pretenden o robar información o como esta popularmente el tema del Ransomware, que es simplemente secuestrar la información a través de un cifrado de la misma y cobrarte por el rescate. También son los que tienen poco conocimiento de riesgos informáticos.

Cuando le preguntas a los usuarios ¿qué tanto saben de Seguridad de la Información o Seguridad Informática? Normalmente responden, no yo sé que acá en la empresa hay un Ingeniero de Sistemas o un jefe de TI o un Departamento de TI, quienes son los encargados de manejar ese tema y desconocen que el foco de ataques, son ellos mismos.

Aquí ya estamos hablando de un tema de conciencia, aunque tengamos una infraestructura robusta, las mejores prácticas del mercado a través de políticas de seguridad, gestión de riesgos y demás, simplemente con que un usuario desconozca como le pueden vulnerar a él su seguridad a nivel de Endpoint, directamente a su equipo o por un correo electrónico que es lo más común, todo nuestro esquema de Seguridad se nos vendría abajo, esto es lo que está pasando hoy en día en las empresas.

Cuando realizamos revisiones de esquemas de seguridad, nos encontramos con empresas que cuentan con una gran infraestructura tecnológica, tienen firewall, replicación de backup, copia de seguridad en tiempo real, alta disponibilidad en algunos servicios, pero cuando se llega al tema de los usuario y se pregunta ¿qué se ha hecho para generar conciencia de Seguridad en los usuarios? la mayoría de los responsables de TI nos dicen que lo normal es enseñarles acerca de cómo manejar los correos, otros simplemente dicen, no realmente no hemos realizado un plan de trabajo para concientización de los usuarios por ejemplo a través de charlas de Seguridad o si se ha realizado no podemos medir si realmente los usuarios entendieron lo que se les explico. Ese es otro de los grandes errores que tenemos nosotros los administradores de TI, somo muy técnicos y no sabemos desmenuzar la información en términos básicos a un usuario que desconoce el uso de dichos recursos.

Si le dijéramos a un usuario básico, mire Señor o Señorita, por políticas de seguridad de la empresa nosotros tenemos que obligarlo/a a usted a que cambie las contraseñas de seguridad cada mes, a veces el usuario no lo entiende y dice no pero es que si cada mes la cambio se me olvida, pero lo que no entiende el usuario/a es que detrás de esa política hay un estudio, hay una gestión del riesgo, ¿cómo podemos hacer para que el usuario entienda que hay un riesgo? y que es parte importante dentro de la cadena de Seguridad de la empresa, no solo como un usuario del sistema del software, sino también como un activo.

Cuando generamos un esquema de Seguridad para los usuarios privilegiados, lo hacemos pensando en que son las personas que más debemos proteger o establecer controles, sin embargo son los que más nos desautorizan, por ejemplo si definimos un control para un Gerente de ingreso a páginas maliciosas y redes sociales, las respuestas que se podrían encontrar son “ yo soy el Gerente”, “necesito navegar en redes sociales”, “entrar a todas las paginas sin restricción”, sin analizar que con esa acción él mismo está vulnerando toda la posibilidad de protección que nosotros podemos plantear.

Conciencia ¿Qué tan capacitados pueden estar estos usuarios?  ¿Qué reacción pueden tener frente a una posible infección?

PHISHING

En caso de no tener correo corporativo, es común utilizar un correo personal, manejando allí parte de la información de la empresa; correos como hotmail o gmail son susceptible en mayor grado a posibles ataques.

En el ejemplo anterior podemos observar un correo que le puede llegar a un usuario, este tipo de correos donde el usuario no está preparado para saber cómo actuar por curiosidad y desconocimiento lee y descarga los anexos.

Si un usuario está capacitado para identificar o por lo menos saber mediante tips de seguridad, que si le llega un correo de alguien totalmente desconocido o información que no es relevante para la empresa sabe que la recomendación es eliminar el correo, en este caso este PDF en apariencia podría contener un Ransomware que nos cifre toda la información del equipo y si nuestro equipo dentro de la compañía tiene carpetas compartidas por dar un ejemplo, es posible que puedan ser cifradas, entonces por muy buen esquema de seguridad que tengamos, por mucha protección a nivel de correo un web Gateway o un servicio de nube o mucha protección perimetral, simplemente por este correo podríamos estar hablando de una posible infección a nivel empresarial y por lo tanto se nos está vulnerando todo el esquema de seguridad. Por eso es importante generar conciencia.

           

Otro ejemplo es el siguiente; posiblemente todos tenemos cuenta bancaria, algunos en Bancolombia en este caso recibimos alertas o notificaciones cada vez que realizamos una transacción y de forma adicional dentro del mismo correo se nos dan una serie de recomendaciones de Seguridad que en la mayoría de casos no vemos, porque realmente lo que nos interesa saber es el valor debitado.

Comparando el primer correo con el segundo detectamos que el dominio es el mismo, con la diferencia de unos números que podrían ser otra cuenta de correo; para un usuario que no tiene conciencia del esquema de seguridad el primer correo y el segundo son válidos a diferencia de un usuario que tenga cultura de seguridad quien detectaría las inconsistencias. 

Las personas que generan este tipo de correos maliciosos denominados phishing hacen un correo idéntico, inclusive con las mismas recomendaciones asociando enlaces como el famoso haga clic aquí, que te lleva a una página totalmente diferente al portal de transacciones del banco. Éste por ejemplo nos llevó a valvoline.kz/css/ así nos demuestra que fue un clon que hicieron de la página de Bancolombia para que el usuario pudiera acceder, normalmente solicita número de cédula, preguntas de seguridad, contraseña, usuario, etc…

Desde el área de TI podemos identificar claramente estos phishing, pero el foco son los usuarios básicos; esto forma parte de la conciencia o de la cultura de seguridad de la empresa la cual debe estar enmarcada dentro de las políticas de seguridad, repito es muy válido que tengamos esquemas robustos que nos permitan mitigar estos riesgos, pero realmente lo más importante es el usuario que siempre estará más susceptible al ataque.

Nos llega a la cuenta de Esta dirección de correo electrónico está protegida contra spambots. Necesita activar JavaScript para visualizarla. de la empresa, un correo indicando que nuestro dominio ha sido pirateado y tienen pleno acceso al dispositivo; si dentro de la empresa quien lea este correo no pertenece al área de TI o no conoce de seguridad de la Información, no solo puede preocuparse, ingresar a algún link con información maliciosa, sino escalar el caso a los Directivos, quienes puede empezar a cuestionarse sobre la inversión en infraestructura realizada, solo con el mal manejo de un correo se desbalancearía o desequilibraría todo el concepto de seguridad que podemos tener. Como recomendaciones al ver este tipo de correos se debe eliminar o remitir al área de TI o Seguridad de la empresa, quienes generarían un tiquet y realizarían las validaciones o revisiones del caso.

En términos de seguridad y en términos de políticas de Seguridad de la Información todos los usuarios deben tener un mínimo de estándar en términos de seguridad no importa que sea el Gerente o el Directivo, simplemente a ellos debemos generarles un tema de Cultura de Seguridad y conciencia frente al uso de las herramientas tecnológicas. Una manera de poderles vender esta idea es a través de analogías con servicios que nosotros utilizamos en el diario vivir como por ejemplo redes sociales.

Analogía de Facebook como Empresa

Hoy en día la gran mayoría, si es por no decir todos, tenemos una cuenta en Facebook, Instagram, whatsapp, youtube, etc.. en resumen manejamos redes sociales como parte de nuestro diario vivir y justamente esta es la manera más fácil de poder venderle a alguien la idea de Seguridad.

Lo que vamos a hacer es utilizar a Facebook como si fuese una empresa, planteando un esquema de seguridad con política, dispositivos, controles de una manera didáctica, haciendo una especie de  hacking ético.

En la imagen vemos que Facebook perfectamente puede ser una analogía de nuestra empresa, manejo mis usuarios que son mi grupo de amigos, tengo ciertos alertamientos que podría ser la analogía de los dispositivos que tenemos implementados: mi firewall, mis servicios como el DA, tema de fireserver, antivirus, todo lo puedo orquestar desde las notificaciones, puedo tener servicio de telefonía como en este caso Messenger.

Adicional, podemos generar unas políticas de seguridad o algunos esquemas básicos como procedimientos y procesos que nos puedan ayudar a minimizar los riesgos de seguridad, en este caso, en Facebook hay algo que se llama Seguridad y nos permite generar unos controles, por ejemplo ¿quién puede ver las publicaciones que hagas a partir de ahora?, una serie de ítems que a nivel de seguridad dentro de las empresas vendría siendo el firewall perimetral, el antivirus con su configuración de directivas para proteger los equipos, un tema de red, es decir, puede ser un control de vulnerabilidades para los equipos, un tema de WSUS, un tema de parchado de todos los equipos desde el SO.

Las Auditorías Internas y Externas también son un tema de Seguridad, este caso puede verse a través de un hacking ético, normalmente se realiza en 2 faces, la primera es conocer cómo está la empresa de cara a internet, la segunda cómo está la empresa a nivel interno, para está analogía me dedicó a buscar en internet el nombre de la empresa y que información hay, en el caso de Facebook es como buscar mi perfil, identificando en que redes sociales aparezco.

En Facebook no controlo que hacen mis amigos en términos de publicaciones o etiquetas o referencias de amistades, aunque tengamos un esquema de seguridad bastante alto, si la auditoria externa no me funciona para conocer mi perfil, el siguiente paso es hacer una auditoria interna y a través de herramientas poder identificar ciertas vulnerabilidades que tenga el esquema de seguridad, normalmente son los Usuarios.

Como conclusión es importante compartir a los usuarios tips de seguridad, difundirlos por diferentes medios, capacitarlos y formarlos en una Cultura de Seguridad para que sepan cómo utilizar las herramientas tecnológicas.

Visto 389 veces Modificado por última vez en Lunes, 28 Enero 2019 16:37

Deja un comentario

Asegúrese de introducir toda la información requerida, indicada por un asterisco (*). No se permite código HTML.

Recent Post

Soluciones de almacenamiento
El almacenamiento de datos es el fundamento de todos los…
Domingo, 03 Noviembre 2013 19:00

Software de Backup y recuperacion
El término backup o copia de seguridad en informática hace…
Domingo, 03 Noviembre 2013 19:00

PenTesting y Ethical Hacking
Todos habrán escuchado alguna vez sobre Penetration Testing (Pruebas de…
Domingo, 03 Noviembre 2013 19:00

Soluciones en la nube Saas
En este tipo de computación todo lo que puede ofrecer…
Domingo, 03 Noviembre 2013 19:00

Acerca de

Consultores, diseñadores y gestores de soluciones que apoyan la continuidad del negocio de nuestros clientes, en las áreas de seguridad, disponibilidad y uso de las tecnologías de la información, con el apoyo de aliados estratégicos expertos y de alto reconocimiento en el mercado.

Contáctenos

Queremos ser parte de la solución tecnológica de su empresa, contáctenos.

  Calle 5A # 43B-25 Oficina 610 Edificio Meridian - Poblado
  (+4) 560 05 80
  Esta dirección de correo electrónico está protegida contra spambots. Necesita activar JavaScript para visualizarla.

Newsletter