El 68% de las brechas de seguridad en las organizaciones toma meses o más en ser descubierto. Muchas veces hay fugas de información y las empresas tardan en darse cuenta de que están siendo atacadas.
La cadena Marriott es un ejemplo de ello. Desde el 2014 fue atacada pero no fue sino hasta el 2018 que se enteró de que 500 millones de cuentas de sus huéspedes fueron comprometidas, hubo robo de datos, entre ellos información de tarjetas de crédito. A pesar de que los códigos estaban encriptados, la empresa desconoce si se perdieron los códigos de desencriptación de esos datos.
Wilson Calderón, consultor técnico de ManageEngine, explicó en el Tech Day Honduras cómo evitar que las organizaciones se vean afectadas por estas anomalías
“Lo primero es realizar un seguimiento de lo que no ocurre normalmente en su red. La gran parte de nuestros empleados trabajan en un horario laboral establecido, pero ¿por qué hay muchos intentos de descarga de información a una hora no permitida? Para evitar esto, es mejor estar atento a todos los movimientos”, comentó Calderón.
Se debe cumplir ciertos estándares que muestran cómo tratar la información, tener un registro adecuado, recopilar los registros de forma centralizada, revisar logs, conservar los registros y supervisar la seguridad, son otras de las formas de evitar estas anomalías.
General Data Protection Regulation (GDPR) es un estándar definido por la Unión Europea que decide cómo se debe acceder a la información personal. Todos estos estándares no solo dan la garantía de asegurar la información, sino que incrementa la competitividad en el mercado.
Recomendaciones
Calderón compartió las siguiente recomendaciones fundamentales para los negocios:
Detectar eventos como la instalación de servicios, instalación o desinstalación de software, tener informes que detallen todo lo que sucede con el sistema. Definir accesos y modificaciones en carpetas críticas, confidenciales o del sistema operativo.
Contar con el tráfico del firewall que no solo incorpore un analizador y logs sino que pueda sincronizar con el SEM. Toda esa información funcionará para correlacionar y ayudará a detectar ciertos eventos.
“La idea de la administración de eventos no es prevenir, es minimizar el impacto de nuevos ataques y al mismo tiempo imponer especial cuidado a los eventos de seguridad importantes a los cuáles se les debe poner atención dentro de su red”, explicó Calderón.
Monitoreo detallado del Web Server y seguimiento de ataques conocidos como SQL injection y XSS .
Por último, acciones de los administradores, se debe saber todo lo que se refiera a los administradores, desde donde acceden hasta cómo manejaron un dominio específico.
Todo esto se concentra en un nuevo concepto Análisis del comportamiento de los usuarios y las entidades (UEBA) formado por tres pilares: Casos de uso, analítica y datos.
Kommentarer