Josemi 23 mayo 2023

Compartir:

Una de nuestras recomendaciones de seguridad para clientes es que elaboren una política de seguridad informática para uso interno en su negocio. A continuación facilitamos un ejemplo. Si quiere que le ayudemos a mejorar la seguridad de su negocio, contáctenos. Estamos especializados en digitalizar pequeños negocios.

Nota importante: Cada negocio debe establecer su propia política de seguridad conforme a sus circunstancias, necesidades específicas y cualquier normativa que le sea aplicable. Esto es simplemente un ejemplo y no es reemplazo de una auditoría informática ni constituye asesoramiento legal. No proporcionamos ninguna garantía ni asumimos ninguna responsabilidad al respecto.

Esta política de ejemplo es propiedad intelectual de JD Services y todos sus derechos quedan reservados. Como clarificación, esta política de ejemplo es diferente de la que usamos internamente.

1.    Introducción

Sufrir una brecha informática puede exponernos a responsabilidades legales, económicas y daños que podrían provocar el fin de nuestro negocio. Nuestras negligencias también pueden provocar daños cuantiosos a nuestros clientes. Es de vital importancia tomar las máximas medidas de seguridad posibles en todos los aspectos y es nuestro deber legal y ético seguir estas directrices de manera exhaustiva.

Es conveniente re-leer periódicamente este documento. En caso de cualquier duda sobre como hacer algo de manera segura, preguntar siempre.

La seguridad informática debe ser siempre la máxima prioridad absoluta.

2.    Zero Trust

En todo momento, en lo relativo a seguridad, se debe mantener una mentalidad y operativa de “Zero Trust” (Cero Confianza) a todos los niveles en el día a día, bajo los siguientes principios

• Verificar explícitamente: Siempre autentificar y no asumir nada. Nunca confiar, siempre verificar. Personas internas o externas pueden ser suplantados o sus cuentas utilizadas.
• Usar el menor privilegio: Siempre tener los menores permisos posibles y optar por las opciones más restrictivas posibles. Si ya no se requiere acceso a algo, bloquear el acceso.
• Asumir brecha: Siempre asumir que puede estar comprometida la seguridad de la empresa, el personal, los proveedores y los clientes. No se debe dar por hecho que ningún dispositivo sea seguro.

Debemos recordarnos mutuamente estos principios.

3.    Identidades

3.1.           Contraseñas

• En la medida de lo técnicamente posible, no se debe:
  • reutilizar contraseñas/PIN entre diferentes aplicaciones/servicios/dispositivos
  • utilizar contraseñas fáciles de adivinar
  • escribir contraseñas en papel, post-its, archivos de texto, emails ni mensajes de chat
  • no hacer nunca fotos a una contraseña
  • compartir cuentas entre diferentes personas bajo ningún concepto (incluso siendo de la misma empresa o familiares, o utilizando el mismo equipo compartido)
  • revelar contraseñas, ni siquiera con fines de soporte técnico
• En la medida de lo técnicamente posible, se debe:
  • Utilizar siempre cuentas separadas para cada usuario
  • Utilizar el generador de contraseñas sugeridas incorporado en Edge
  • Utilizar autentificación en 2 pasos para todas las cuentas
  • Utilizar Microsoft Authenticator y no autentificación por SMS o llamada
• No debemos utilizar lineas de teléfono que no estén a nuestro nombre (o de la empresa) para recibir códigos de verificación por SMS o llamada
• Solo está permitido guardar contraseñas en Microsoft Edge
• Siempre que sea posible, se deben evitar las contraseñas/PIN solo numéricos
• Los códigos de respaldo de autentificación en dos pasos nunca deben imprimirse o escribirse, salvo que sea posible almacenarlos en una caja fuerte no accesible por terceros. En su lugar deben almacenarse digitalmente de forma segura.

3.2.           Roles

• Se debe siempre tener y conceder los permisos/privilegios mínimos para lo requerido
• Cuando el acceso a un sistema ya no sea necesario, debe revocarse

3.3.           Spoofing

Debemos siempre tener en cuenta que:

• El identificador de llamadas entrantes (e incluso el nombre del contacto) puede ser suplantado. Recibir una llamada desde un nº no implica que sea quien verdaderamente nos ha llamado. De igual modo con mensajes en buzón de voz.
• El remitente de un SMS (tanto número como nombre) puede ser suplantado. Si se suplanta, el SMS puede incluso aparecer en el mismo hilo de conversación combinado con otros SMS recibidos del remitente.
• El remitente de un correo electrónico (tanto dirección como nombre) puede ser suplantado. Si se suplanta, el mensaje de correo puede aparecer en el mismo hilo de conversación que otros mensajes de correo que tengan incluso el mismo asunto.

4.    Puntos de conexión

4.1.           Todos los dispositivos

• No se deben regalar, prestar (para uso en ubicaciones ajenas) ni entregar para su reparación los dispositivos sin autorización previa o bajo supervisión directa o continuada (incluso aunque se encuentren averiados)
• Si se va a prescindir de un dispositivo que tenga información de la empresa (o cuentas de la empresa configuradas) se debe eliminar todo de manera segura (no simple eliminación) antes de deshacernos de él. Si no es posible por avería, debe conservarse el disco duro o memoria. En caso de estar averiado y no ser extraíble el almacenamiento, debe destruirse de forma segura (incluso antes de llevarlo a un centro de reciclaje).
• No se debe acceder a los recursos de la empresa de ninguna forma desde dispositivos desde equipos público (bibliotecas, cibercafés, etc.).
• Se debe activar cifrado local (Bitlocker, en el caso de Windows)
• Cuando los dispositivos no estén en uso se deben bloquear y no se deben dejar desatendidos sin bloquear, incluso aunque no haya nadie cerca

4.2.           Equipos

• Los equipos de escritorio o portátiles pueden compartirse, pero los otros usuarios mismos deben:
  • Tener su propio perfil separado o utilizar un perfil de invitado
  • Carecer de privilegios de administrador del sistema (salvo para otros miembros de la empresa que los requieran)
• Todos los dispositivos que accedan a recursos de la empresa deben estar inscritos en Intune en todo momento
• Los sistemas operativos, aplicaciones y controladores deben mantenerse actualizados, sin demorar los posibles reinicios necesarios
• Todos los dispositivos deben tener Defender para Empresas configurado (requiere nuestro servicio MSP)
• Todos los dispositivos deben tener bloqueo biométrico o por contraseña/PIN (y no deben compartirse con nadie)
• En equipos con Windows no se debe utilizar antivirus o firewalls diferentes a los de Microsoft
• No se debe utilizar Windows Home (requiere licencias Windows Pro que podemos facilitar)
• No se debe conectar a los dispositivos mediante escritorio remoto o similar, salvo cuando esté expresamente autorizado
• No se debe trabajar desde máquinas virtuales
• El inicio seguro (UEFI) no debe desactivarse
• Se deben mantener activadas todas las funcionalidades del antivirus, y nunca debe desactivarse ni siquiera temporalmente

4.3.           Teléfonos

• Los teléfonos móviles no deben compartirse con otra persona bajo ningún concepto (incluso siendo de la misma empresa o familiares)
• No se debe utilizar teléfonos con jailbreak o rooteados
• Los teléfonos no deben quedar desatendidos estando encendidos, ni siquiera aunque estén bloqueados

5.    Datos

5.1.           Etiquetado de información

Los documentos y correos deben etiquetarse conforme a la directiva de referencia.

5.2.           Copias de información

• No se debe copiar absolutamente ninguna información de la empresa en otros dispositivos (USB, discos externos, discos en red) ni siquiera con fines de copias de seguridad
• No se debe escribir información de la empresa en papel ni en pizarras

5.3.           Email

• Tanto en equipos como teléfonos, solo se debe utilizar Outlook para acceder a la cuenta de correo profesional
• En la medida de lo posible, no debemos publicar nuestras direcciones de email en texto plan en ninguna web. Mejor, por ejemplo, escribir ejemplo [arroba] ejemplo.com en lugar de ejemplo@ejemplo.com o incluir la dirección en una imagen.
• No se debe configurar ninguna regla de reenvío automático de correo fuera de la empresa
• Debemos tener cuidado con el autocompletado de destinatarios, para no cometer errores
• Si se recibe cualquier correo sospechoso no deben abrirse sus enlaces ni adjuntos, ni descargar sus imágenes
• Al responder a un correo, podría sustituirse automáticamente la dirección de respuesta si así lo ha configurado el remitente. Debe prestarse atención a quien se dirige el mensaje.
• Lo primero que se debe hacer al recibir un email es identificar el remitente, especialmente si pide información sensible, aplicar una configuración delicada, pide pulsar en un enlace o tiene un adjunto. Debemos consultar detenidamente del remitente teniendo cuidado que puede ser engañoso. Como ejemplos:
  • support@support.microsoft.com finance@microsoft.com serian direcciones controladas seguramente por Microsoft pero support@support-microsoft.com no lo serían
  • info@google.com sería una dirección controlada seguramente por Google pero info@googIe.com no lo sería (en el segundo caso es una i mayúscula)
  • raquel.265@hotmail.com no es lo mismo que raquel265@hotmail.com ni lo mismo que raquel265@hotmail.es
• Debemos tener en cuenta que solo verificar el remitente no es protección suficiente, puesto que puede haber sido suplantado o el remitente hackeado
• Debemos tener en cuenta que una URL puede estar enlazada a otra URL. Esto podemos detectarlo al pasar el cursor por encima. Esta URL a su vez puede redirigir a otra por lo que debemos comprobar también tras pulsar aun cuando de primeras parezca segura. El dominio real es la parte más a la derecha antes del primer “/”. Como ejemplo: https://google.com (al pulsar no lleva a Google)
• Los archivos pueden no ser lo que parecen. Un virus ejecutable, por ejemplo, podría mostrar el mismo icono que un documento de Word.

5.4.           Llamadas y reuniones

• Siempre se debe utilizar un auricular o teléfono en las llamadas/reuniones, en ningún caso debe reproducirse el sonido por altavoz
• No se deben decir en alto datos personales o información confidencial durante llamadas/reuniones/dictados cuando:
  • otra persona no autorizada pueda estar escuchando (por ejemplo, cafeterías)
  • el sonido entorno pueda estar siendo grabado (sistemas de vigilancia o asistentes de voz)
• En las reuniones de Teams (o chats entre diferentes organizaciones) siempre debemos verificar la dirección de las personas

5.5.           Tarjetas de crédito/débito

• Nunca se debe trasmitir por ningún medio un número de tarjeta ni su código CVV (si está permitido el banco/marca, últimos 4 dígitos y/o fecha de caducidad)
• Nunca debemos tomar nota en ningún medio (ni siquiera temporalmente) del nº de tarjeta de crédito/débito de un cliente. Únicamente se puede introducir por el cliente.

6.    Aplicaciones

6.1.           Actualizaciones

• Las aplicaciones deben mantenerse actualizadas

6.2.           Cadena de suministro

• No se debe usar software, características o servicios no estables (preview, beta, etc) con fines productivos, solo está permitido el uso con fines de testing puntual
• No se deben utilizar para trabajar herramientas no autorizadas
• No se debe hacer uso de herramientas de inteligencia artificial (tales como ChatGPT o Bing AI) con fines de trabajo, salvo herramientas proporcionadas por la empresa
• No se debe utilizar software pirata para trabajar
• No se debe utilizar software obsoleto

6.4.           Navegadores

• Tanto en equipos como teléfonos, solo se debe utilizar Microsoft Edge para trabajar (y no Chrome/Safari/Firefox)
• Se debe utilizar un perfil de Edge vinculado a la cuenta de trabajo, al cual no se debe dar uso personal
• No se debe instalar ninguna extensión de navegador no autorizada (como bloqueadores de anuncios o asistentes de redacción)
• Nunca se debe saltar ninguna advertencia de seguridad omitiéndola, salvo autorización expresa
• El navegador se debe mantener actualizado, reiniciándolo cuando se requiera
• Las descargas del navegador deben configurarse para realizarse por defecto a una carpeta dentro del OneDrive de la empresa, no a la carpeta de descargas local
• No se debe asumir que un sitio web es seguro porque utilice HTTPS
• Debemos siempre revisar la URL de cualquier sitio que visitemos. Podrían emular el aspecto visual de webs legitimas. Como ejemplos:
  • qoogle.com no es lo mismo que google.com
  • https://google.ads.com no es un subdominio de google.com
  • https://google.com/?efuibpewfp398y9hfef&q=search si es de Google
  • https://messenger.facebook.com.key.com no es un subdominio de Facebook
  • https://www.microsoft.support.com no es un subdominio de Microsoft
  • https://microsoft.com@support.com no es un subdominio de Microsoft
  • https://google.com.file4345.zip no es un subdominio de Google

6.5.           Buscadores

• Solo se deben utilizar Bing o Google
• No se deben realizar búsquedas que incluyan datos personales (excepto en la pestaña de “Trabajo” en Bing)

6.6.           Ofimática

• Solo se debe utilizar Microsoft Office
• Se deben utilizar las aplicaciones de Office siempre con la sesión iniciada en la cuenta de trabajo
• No se deben ejecutar documentos con macros

6.7.           Aplicaciones móviles

• En teléfonos, salvo Microsoft Authenticator (que siempre deben estar en el perfil personal) solo debe accederse a recursos de la empresa desde el perfil de trabajo
• Opcionalmente (aunque no es recomendable), las aplicaciones de Microsoft que soportan modo dual personal-trabajo con un switcher específico si pueden opcionalmente utilizarse en el perfil personal si se desea (Outlook, To-Do, Edge, Launcher, etc.)

7.    Redes

• Mientras estén abiertos recursos o aplicaciones de empresa no se debe:
  • Conectar a VPN (si se desea usar para uso personal, al activarlo deben cerrarse todos los recursos y aplicaciones de empresa)
  • Conectar a redes públicas (ni siquiera aunque tengan contraseña) ni de vecinos ni por Wi-Fi ni por cable
  • Conectar a Tor
• Todo router o switch utilizado debe mantener su firmware actualizado
• En caso de conexiones por Wi-Fi:
  • Su encriptación debe ser WPA2 o WPA3
  • Su contraseña no debe ser compartida con invitados que no residan o trabajen en el lugar (se puede tener una red separada de router para invitados)
• No se deben configurar servidores DNS diferentes de los proporcionados por el operador, salvo autorización expresa

8.    Infraestructura

8.1.           Ubicación

• No se debe trabajar desde:
  • lugares en los cuales otra persona pueda ver la pantalla de los dispositivo
  • lugares en los que cualquier dispositivo de videovigilancia pueda capturar la pantalla de los dispositivos o el teclado

9.    Ingeniería social

Se trata del mayor riesgo hoy en día. El 93% de las brechas de seguridad utilizan algún tipo de ingeniería social. Debemos actuar como un “firewall humano”.

Las mentes pueden ser hackeadas usando nuestras debilidades y explotar nuestra vulnerabilidad. Los humanos son el eslabón más débil.

9.1.           Ciclo habitual de los ataques de ingeniería social

Los ataques de ingeniería social pueden tomar formas infinitas. Típicamente siguen el siguiente ciclo:

1. Recopilación de información: Como paso primario se recopila de manera analítica información de todo tipo sobre la víctima o víctimas.
2. Interacción inicial con la víctima: Tras recopilar la información requerida, el ataque inicia una conversación con una víctima o un tercero de manera fluida y sin levantar sospecha
3. Ataque: El ataque puede no ejecutarse inmediatamente, sino llevarse a cabo con paciencia en largos periodos de tiempo (y en múltiples interacciones) para reducir sospechas
4. Cierre de interacción: Se finalizan las interacciones del atacante lentamente sin levantar sospecha. En la mayoría de ocasiones nunca nadie se percata de lo sucedido

9.2.           Técnicas de ingeniería social

Algunos ejemplos de las múltiples técnicas de ingeniería social que podrían ser utilizadas por los ingenieros sociales, de las que debemos ser conscientes para poder detectarlas:

• podrían indicar haber perdido un dispositivo
• podrían indicar estar actuando en nombre de otras personas
• podrían ofrecer algo a cambio al tiempo que hackean (por ejemplo, suplantar a un agente de soporte y realmente solucionar una incidencia, pero simultáneamente robar información o instalar malware)
• podrían solicitar datos sensibles o realizar acciones inseguras a fin de participar en un sorteo o un regalo
• podrían facilitar dispositivos como regalo que tengan malware incorporado o lo propaguen al conectarse a otro dispositivo
• podrían hackear a nuestros proveedores o a las herramientas que utilizamos
• podrían personalizar comunicaciones con datos nuestros o de nuestros clientes o proveedores que consigan, para hacerlas creíbles
• podrían suplantar las voces o aspecto de personas mediante habilidad o inteligencia artificial
• podrían suplantar un requerimiento legal o una queja de un cliente
• podrían facilitarnos números de teléfono falsos a los que llamar (o podemos encontrarlos en Internet buscando números)
• podrían facilitarnos nuevos datos de contacto de un cliente simulando que sus formas de contacto han cambiado
• podrían utilizar pretextos (escenarios inventados, mentiras elaboradas) para aumentar la probabilidad de que se divulgue información o acciones que serían improbables en circunstancias ordinarias
• podrían haber realizado investigación previa o preparativos para establecer legitimidad en la mente del objetivo
• podrían tratar de simular tener autoridad
• podrían tratar de congeniar con nosotros, y tratar de hacernos pensar que son de confianza, o aparentar credibilidad para reducir nuestra percepción de amenaza
• podrían utilizar nuestras emociones contra nosotros
• puede realizarse a la inversa, provocando situaciones en las que seamos nosotros los que iniciemos contacto con el atacante
• podrían apoyarse en otra persona que no sea malintencionada
• podrían haber husmeado en nuestra basura para obtener datos nuestros
• podrían vigilar nuestras pantallas, especialmente de nuestro teléfono cuando estamos en movimiento
• podrían hacerse pasar por personas o empresas de confianza
• podrían chantajearnos
• podrían enviarnos facturas falsas para intentar que las paguemos
• podrían dejar “abandonados” discos duros externos o memorias USB esperando que las encontremos y conectemos por curiosidad
• podrían contactarnos proactivamente ofreciéndonos algo de valor (por ejemplo, contactar para ayudar con algo requerido)
• podrían estar coordinados con otras personas y no actuar en solitario
• podrían utilizar validación social referenciando que ya hablaron con X o que ya X hizo algo
• podrían hacernos pensar que hay un tiempo limitado para actuar, buscando que rebajemos nuestros estándares de seguridad por la urgencia
• podrían tratar de que les facilitemos datos con fines de verificación
• podrían perfilar los ataques en base a nuestra personalidad
• podrían apelar a sentimientos o culturas de grupos
• podrían tratar de construir rapport (por ejemplo, señalando intereses en común, otras personas conocidas o relaciones familiares o de amistad)
• podrían establecer límites artificiales (“¿tiene un momento?”, “tengo poco tiempo”)
• podrían mostrar simpatía y buena disposición
• podrían hacerse pasar por gente que “no entiende” o “sin habilidades”
• podrían aparentar darnos la razón o validar nuestra postura para luego utilizar nuestras palabras contra nosotros
• podrían mostrar actitudes altruistas
• podrían tratar de inducirnos sentimientos de “estar en deuda” o hacernos sentir obligados a hacer una concesión
• podrían hacernos cumplidos o imitarnos
• podrían tratar de justificarse en base a otras personas o alega que su petición es para otra persona
• podrían tratar de hacernos sentir agradecidos por algo antes de hacer una petición
• podrían tratar de acordar un intercambio recíproco “si hago X, entonces haces Y”
• podrían intentar manipularnos de múltiples formas, incluyendo hacernos sentir castigados, intimidados, faltos de poder, forzarnos a reevaluar decisiones, controlar el entorno o nuestra susceptibilidad
• podrían tratar de cambiar nuestra perspectiva
• podrían tratar de hacernos proporcionar información adicional en base a una información limitada que ya saben
• podrían tratar de obtener cierta información sin solicitarla directamente
• podrían tratar de apelar a nuestro ego
• podrían hacernos parecer mentirosos y alegar que cosas que decimos son falsas
• podrían actuar enfadados, asustados o desinteresados para influenciar nuestro comportamiento
• podrían abusar de nuestra buena fe
• podrían mostrar sentirse ofendidos por tener que realizar comprobaciones de seguridad
• podrían tratar de influenciarnos con acciones presentes para ser caer en trampas futuras
• podrían tratar de explotar nuestra consistencia, por ejemplo pidiendo concesiones mayores en base a una concesión inicial
• podrían simular estar llevando a cabo encuestas
• podrían hacerse pasar por candidatos a trabajos

9.3.           Prevención de ingeniería social

Debemos ser conscientes de que hay gente sin escrúpulos que utilizará el engaño para manipularnos psicológicamente, a fin de poder detectar ataques de ingeniería social, por ello:

• Debemos siempre considerar que las identidades de otros pueden haber sido suplantadas
• No debemos nunca ceder a revelar datos sensibles o a ejecutar acciones por presión social o por trucos
• No debemos eludir realizar verificaciones y autorizaciones incluso aunque resulte incómodo o cree fricción
• No debemos creer historias sospechosas
• No debemos rebajar los estándares de seguridad por motivos de urgencia o de empatía
• Nunca jamás debemos facilitar a ninguna persona (incluyendo compañeros y familiares) en ningún contexto información que hayamos usado en preguntas de seguridad (nombre de la primera mascota, nombre del profesor preferido, etc)
• No debemos creer lo que nos dicen de otra persona sin verificar (por ejemplo, que alguien diga que un jefe autorizó algo, o que su manager dijo X, o que su esposa dijo X)
• No debemos asumir que una persona está autorizada para hacer algo sin verificarlo
• No debemos dar por hecho que una persona tiene acceso completo a un recurso por el hecho de que nos mencione algún dato del mismo
• No debemos dar por hecho que una persona es quien dice ser sin verificar nada
• No debemos revelar información sin justificación
• No permitir que clientes/proveedores nos faciliten nuevos métodos de contacto sin verificar su identidad
• No permitir sin verificar que nos contacten clientes desde direcciones de correo que no conociésemos
• No debemos dejar de desafiar a cualquier persona que haga una petición sospechosa, independientemente de su autoridad
• No debemos dar a nadie el “beneficio de la duda” respecto a que sean quien dicen ser al hacer peticiones de alto riesgo
• No debemos desvelar ninguna información sensible que no sea estrictamente necesario

¿Quiere contratar nuestros servicios? Solicitar información