Veritas Online

Extensión del Ejercicio Profesional

Contra los hackers. Cinco medidas que los contadores pueden tomar

Contra los hackers. Cinco medidas que los contadores pueden tomar
marzo 01
07:06 2017

La amenaza de seguridad cibernética es un reto imponente, por pequeña que sea la empresa. La buena noticia es que puede tomar las medidas para fortalecer las protecciones y minimizar los riesgos.

Los contadores pueden jugar un papel esencial para ayudar a las organizaciones a desarrollar e implementar estrategias para proteger las redes informáticas y la información computarizada. En el mundo de hoy el software se formula y libera rápidamente, de manera que el riesgo de los agujeros de seguridad es mayor.

Puede ocurrir que usted no sepa el papel que juega como Contador Público Certificado (CPC) para fortalecer los esfuerzos de seguridad cibernética de su organización. Tanto en la contabilidad pública, como en las empresas y en la industria, los CPC son participantes clave para la seguridad cibernética. Ciertamente, los contadores públicos son responsables de salvaguardar la información f inanciera más delicada de sus clientes. Los contadores administrativos como los Directores de Finanzas (CFO, por sus siglas en inglés), a menudo pasan por alto la gestión del riesgo, bajo la cual cae típicamente la seguridad cibernética. Y en las organizaciones de todo tipo, los CPC juegan roles cruciales al desarrollar presupuestos que ayuden a determinar la manera en que se implementan las medidas de seguridad cibernética.

Mejorar la seguridad cibernética empieza con aceptar que su empresa no es inmune al crimen cibernético y en educarse usted mismo sobre las más grandes amenazas contra sus redes informáticas y su información. Este artículo analiza los cinco riesgos más grandes de seguridad cibernética que enfrentan los CPC y sus organizaciones, y luego ofrece un plan de batalla de cinco pasos para luchar contra los criminales cibernéticos.

LOS CINCO MAYORES RIESGOS

 [1] Ignorancia. Podría pensar que la mayoría de los líderes empresariales conocen muy bien la amenaza que representan los delincuentes cibernéticos. Después de todo, las violaciones de alto perfil contra Sony, Target y un sinnúmero de otras organizaciones han generado una inundación de cobertura de medios y de charlas en redes sociales. A pesar de ello, muchos profesionales empresariales todavía no captan la dimensión y la gravedad de la amenaza. Suelen considerar que la organización no tiene nada que valga la pena robar o que es muy pequeña para ser un objetivo. Error. Todos están en riesgo.

Los hackers en general enfocan como objetivo a cualquiera que tenga una vulnerabilidad en sus sistemas de Tecnologías de la Información (TI). Y cuando eligen un objetivo, los hackers en ocasiones escogen empresas pequeñas para conseguir el acceso a otras organizaciones. En el fondo, usted no sabe lo que no conoce. Si usted no se da cuenta de que está en riesgo, probablemente no tomará medidas para identificar y mitigar el riesgo.

[2] Contraseñas. Las claves de acceso siguen siendo el principal riesgo de seguridad para las organizaciones. El Informe de Investigación de Violaciones de Información 2013 del equipo RISK de Verizon encontró que 76% de las violaciones a las redes corporativas han sido resultado directo de credenciales robadas o perdidas. Las contraseñas débiles que se roban fácilmente también son una preocupación. El informe anual de las Peores Contraseñas de SlashData, que se recopila a partir de millones de contraseñas filtradas, encontró que desde 2011 las contraseñas más usadas son “123456” y “password”. Y no solamente las personas usan contraseñas débiles y simples, sino que también a menudo utilizan una para todo, aumentando el riesgo. Una violación que expone una contraseña en un sitio de redes sociales podría parecer desligada de su empresa, pero ¿qué pasa si la contraseña de un empleado fue expuesta en la violación y su lugar de empleo o su banco ha sido identificado en una página de perfil? La contraseña comprometida podría ser usada para intentar el acceso a otros sistemas.

El impacto de las contraseñas débiles y repetitivas ha aumentado ahora que se están usando tantos sistemas de nube, pues los delincuentes ya no tienen que estar dentro de la red para usar las contraseñas descubiertas. Agregue lo que actualmente los proveedores llaman acceso remoto estándar a los sistemas y el problema crece más. Varias violaciones importantes han involucrado las credenciales afectadas del proveedor.

Por más difícil de creer, Sony tenía una carpeta llamada “password” en sus redes que fueron violadas. Es difícil imaginar cómo pudo suceder esto en una empresa tan grande, pero durante nuestro trabajo de auditoría de seguridad de Tecnologías de la Información revisamos de manera rutinaria no solo las contraseñas que se formulan en todo tipo de sitios, sino también los documentos con contraseñas inseguras que están guardados en las computadoras y en los dispositivos móviles del empleado. No haga esto.

Los hackers enfocan como objetivo a cualquiera que tenga una vulnerabilidad en sus sistemas. Y escogen empresas pequeñas para acceder a otras.”

Si se siente abrumado por el número de contraseñas que requiere y simplemente no puede recordarlas todas, podría considerar el uso de un manejador de contraseñas que las almacena en forma segura para distintos sitios. Con este método, solo necesita recordar la contraseña principal que formulará para tener acceso al manejador de contraseñas. Mediante una búsqueda en línea puede encontrar docenas de administradores de contraseñas. Le recomiendo los administradores con base en dispositivos en lugar de los basados en la nube, siempre y cuando tenga funcionando las protecciones de seguridad de dispositivos. También me inclino por los administradores que tienen un costo, aunque hay varios gratis que han recibido buenos comentarios.

[3] Phishing. El propósito de un correo electrónico de phishing es incitar al lector a dar un clic en un link, o bien en un anexo, abriendo la puerta para que los hackers roben información o infecten los sistemas con un virus. Las violaciones al sistema de Target y de muchas otras empresas empezaron con un correo electrónico de phishing.

Los correos electrónicos de phishing llegan en muchas formas, notificándole sobre la demora de embarque de un paquete, un fraude potencial en su tarjeta de crédito o un premio de lotería, solo por nombrar algunas. Mientras que muchos correos electrónicos de phishing están plagados de palabras mal escritas y errores gramaticales, otros están muy bien escritos y se ven bastante creíbles.

Un correo electrónico de phishing dirigido se conoce como pesca de arpón. Este ocurre cuando el correo no es completamente aleatorio, sino que tiene relevancia para el receptor. Por ejemplo, si recibe un mensaje que parece venir de su banco advirtiéndole de posibles problemas con su cuenta, probablemente estaría dispuesto a prestar atención a la solicitud de dar un clic sobre un vínculo, que si recibiera un mensaje aleatorio supuestamente de un banco en el que usted no tiene cuenta.

Las empresas usan filtros para impedir que muchos correos electrónicos de phishing l leguen a l os empleados, pero algunos se cuelan inadvertidamente hasta en los mejores sistemas. Y es bastante difícil conseguir que los usuarios reflexionen y piensen antes de abrir los correos electrónicos y den un clic sobre vínculos y anexos. En las empresas sin ninguna capacitación, la tasa de clics puede ser alarmante. Y recuerde, solo se requiere un simple clic para infectar potencialmente una red informática completa.

Toda empresa deberá tener una continuidad de negocios adecuada y planes de recuperación de desastre que incluyan los procedimientos específicos de respuesta a incidentes.

[4] Malware. El malware o software maligno se instala sin que el usuario lo sepa, típicamente desde un anexo en un correo electrónico de phishing, o una visita a un sitio de internet infectado. En general, el usuario no tiene idea de que su computadora ha sido infectada y el virus informático puede permanecer inactivo por meses antes de que se utilice para robar información, incluyendo contraseñas, o para apoderarse de los sistemas.

Otro hecho alarmante es que los delincuentes ya no requieren conocimiento técnico experto para escribir un programa maligno. Eso es porque virtualmente cualquier persona puede comprar virus informáticos en línea; todo lo que se necesita es una intención maligna y unos pocos cientos de dólares.

[5] Vulnerabilidades. Misfortune Cookie, Poodle, Shellshock, Heartbleed, Freak, Venom, Logjam. Esto no es la alineación de un grupo musical para un concierto de rock. Estos son los nombres usados para identificar las vulnerabilidades informáticas recientes, a las que millones de usuarios de computadora están expuestos.

Una vulnerabilidad es un defecto o debilidad en un sistema que los hackers pueden explotar. Hoy el software se formula y se libera mucho más rápidamente, de manera que el riesgo de los agujeros de seguridad es naturalmente mayor. El proveedor debe proporcionar una actualización o un parche para cerrar el agujero, y los sistemas deben ser actualizados.

Por muchos años se han encontrado la mayoría de las vulnerabilidades en los sistemas operativos (Windows XP, Windows 7, etc.), aunque las personas se han acostumbrado a instalar los sistemas con actualizaciones periódicas, disminuyendo en algo el número de los sistemas débiles. De este modo los delincuentes adoptaron un nuevo método y comenzaron a buscar las vulnerabilidades en las aplicaciones incluyendo Adobe Flash y Java, un módulo de aplicación común. Muchas personas y organizaciones nunca actualizan estas aplicaciones debido a que no están conscientes del riesgo.

Las vulnerabilidades que se descubren cada día son sorprendentes. Se conocen como vulnerabilidades de día cero porque no hay un remedio disponible en el momento del descubrimiento. Las empresas deben mantener todo, servidores, estaciones de trabajo, laptops, enrutadores, interruptores y hasta los dispositivos móviles actualizados todo el tiempo.

PLAN DE BATALLA

Los riesgos informáticos son tan grandes en estos días que la administración debe involucrarse en asegurar que se pongan en operación las estrategias de mitigación apropiadas. ¿Qué pueden hacer los contadores y otros líderes empresariales? Los siguientes cinco pasos son un buen comienzo.

[1] Acepte que su organización está en riesgo. Los directores generales (CEO, por sus siglas en inglés), CFO, consejos de administración, socios administrativos y otros líderes de la organización necesitan ver la ciberseguridad como el problema enorme que es y dedicar los recursos adecuados para mantener un ambiente seguro. Los ejecutivos no tienen que convertirse en adictos informáticos, pero ciertamente pueden aprender lo básico y saber qué preguntas se deben plantear. El cambio empieza en el nivel más alto. El CEO no deberá estar exento de la regla que indica que las contraseñas deben cambiarse periódicamente. La dirección debe establecer y adoptar una cultura robusta de seguridad.

[2] Edúquese… y a su organización. Todos en toda organización necesitan de una capacitación en seguridad. Esto significa más que solo enviar un correo electrónico indicando a las personas que usen contraseñas seguras y que no sean presa de los correos electrónicos de phishing.

La violación masiva de seguridad de Target comenzó con un empleado de uno de los proveedores de la empresa que dio un c lic en un vínculo de un correo electrónico de phishing. Difunda este mensaje en toda la empresa con una capacitación continua en ciberseguridad que cubra las amenazas nuevas y viejas, que defina los controles de seguridad de la organización, que establezca las expectativas del empleado y que explique las consecuencias de los procedimientos de violación del sistema.

[3] Implemente controles fuertes. Las organizaciones requieren que su departamento de TI (o el de un proveedor externo) implemente y mantenga una lista integral de información y controles de seguridad. Como contador, en general usted no será el responsable de implementarlos en forma directa o de saber exactamente cómo trabajan. Pero es útil entender lo suficiente para al menos hacer las preguntas correctas a los integrantes de TI.

Entre los datos básicos que usted necesita saber se encuentran:

Seguridad del perímetro. Sistemas de firewall y detección de intrusos, además de sistemas de prevención de intrusiones. Estos deberán ser configurados con las restricciones adecuadas para bloquear y filtrar, tanto el tráfico entrante como saliente por internet.

Seguridad en punto final. Requiere que cada dispositivo de cómputo de una red corporativa cumpla con los estándares establecidos antes de que se le otorgue el acceso a la red. Estas medidas protegen los servidores y las estaciones de trabajo e incluyen temas como las limitaciones de acceso administrativo y la protección antivirus.

Supervisión de la red. Parte del ambiente de control deberá incluir un programa de supervisión que sea frecuente y constante.

Controles de autenticación y administración. Todos los controles deberán exigir contraseñas complejas que expiren periódicamente, así como restricciones sobre los intentos de conexión inválidos, como tres intentos y estás fuera. También se requieren controles fuertes sobre la administración de usuarios.

Respuesta de incidentes y continuidad de negocios. Debe incluir procedimientos específicos de respuesta a incidentes para manejar un evento cibernético.

[4] Manténgase al día. La actualización es responsabilidad del departamento de TI y de hecho caen en la categoría anterior de controles de TI, pero constituyen un componente de seguridad tan crítico que justifican un tratamiento aparte.

Las organizaciones deben mantener todos los sistemas actualizados constantemente. Esto suena sencillo hasta que se ve la lista de temas que requieren actualización. Entre los temas están los firewalls, enrutadores, interruptores, servidores, estaciones de trabajo, laptops, tabletas, teléfonos y dispositivos periféricos como impresoras y copiadoras. La administración debe asegurar que el departamento de TI, interno o de un proveedor externo, actualice todos los sistemas operativos (Windows 8, Windows 7, etcétera), y las aplicaciones (Java, Adobe Flash, buscadores de red) con parches suministrados por el proveedor. Además, se requiere la protección de antivirus no solo para las computadoras de escritorio y laptops, sino también para dispositivos móviles, incluyendo los que sean propiedad del empleado y que se conecten a la red informática.

Los líderes de las empresas necesitan ver la ciberseguridad como el problema enorme que es y dedicar los recursos adecuados para mantener un ambiente seguro.”

Asegúrese de que TI establezca una conciliación de inventario, que asegure que todos los sistemas estén protegidos. Aliente al equipo de TI, o de su proveedor externo, a que asignen este rol a alguien, preferiblemente que no sea un “apaga-incendios” de TI, que tenga tiempo para cumplir con estas tareas.

Si subcontrata el apoyo de un proveedor externo para la red informática, asegúrese de que sus contratos establecen y asignan las responsabilidades de autorización de parches y actualizaciones.

[5] Póngalos a prueba. Para determinar el nivel de riesgo de seguridad cibernética, una organización deberá confiar en dos tipos de pruebas periódicas de evaluación-vulnerabilidad y en la prueba de controles de los Sistemas de Información (SI).

La prueba de vulnerabilidad involucra el escaneo automatizado de sistemas para determinar si se encuentran vulnerabilidades conocidas (agujeros de seguridad en el software). Las pruebas deberán evaluar las protecciones contra las amenazas, tanto externas (hackers externos) como internas (de personal o de hackers que logran el acceso interno). El software de escaneo comercializado en la actualidad hace la prueba para más de 50 mil vulnerabilidades.

Las pruebas de controles del SI verifican que los controles antes descritos estén funcionando adecuadamente. Muchas organizaciones llevan a cabo una revisión de controles seleccionados como parte de su auditoría financiera, pero en general esto no considera el entorno completo. La vigilancia de alto nivel deberá asegurar que el área de TI solucione con rapidez cualquier problema que se descubra durante las pruebas.

Las organizaciones también necesitan evaluar con regularidad a los proveedores, tanto a los que alojan su información como a los que tienen acceso a ella a través de los sistemas internos.

El CONOCIMIENTO ES PODER

El alcance de la amenaza de seguridad cibernética puede ser asombroso. En las revisiones de seguridad de tecnología de información para organizaciones, sin importar qué tipo de entidad sean o en qué industria se encuentren, un primer chequeo de sus protecciones de TI revela en general 40 o más agujeros de seguridad deben ser parchados.

La seguridad cibernética es un reto imponente, un reto sin una solución a toda prueba. La buena noticia es que usted puede ayudar a su organización a tomar las medidas para fortalecer sus protecciones. Finalmente, su organización no puede eliminar la amenaza de los ataques cibernéticos, pero una mezcla de educación, controles y pruebas pueden reducir el riesgo de manera significativa.

Redacción Grupo Medios
veritas@colegiocpmexico.org.mx

Facebook Comments

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

A %d blogueros les gusta esto: