Getty Images/iStockphoto

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Un enfoque triple para la seguridad de las aplicaciones

¿Qué deberían hacer las organizaciones para abordar los ataques de la capa de aplicación y reducir la probabilidad de una brecha a través de este tipo de ataque?

El Reglamento general de protección de datos (GDPR) entró en vigor en mayo de 2018. Los requisitos clave para cumplir con GDPR y la nueva Ley de protección de datos alineada con GDPR del Reino Unido incluyen un estado de TI sólido bien diseñado, mantenido y operado, y procesos y procedimientos de seguridad de datos que cubran no solo TI, sino también archivos de papel, video, escritorio y otros medios que no sean de TI para almacenar y procesar datos.

En octubre de 2018, un artículo en Computer Weekly señaló que "la mayoría de las organizaciones (67%) creen que los hackers aún pueden penetrar en su red y el 89% dice que ha tenido un ataque de capa de aplicación en el último año". ¿Qué puede hacer una organización para mejorar la seguridad de su estado de TI? Sugiero un enfoque de tres puntas:

  • Primero, asegúrese de que el estado de TI esté diseñado y mantenido de acuerdo con las buenas prácticas de seguridad.
  • En segundo lugar, instale mecanismos de detección probados y viables de eventos de seguridad notables.
  • Tercero, implemente un programa de educación continuo.

Tomando el primer punto, todo el software (sistema operativo, aplicaciones, bibliotecas, etc.) debe ser una versión actual compatible y mantenerse al nivel de parche más reciente.

En caso de que el software esté a 12 meses o menos de salir del soporte del proveedor, se debe implementar un proyecto para actualizar, reemplazar o garantizar el soporte continuo.

El hardware también debe ser de mantenimiento estándar y no debe olvidar que el software y los productos antivirus y antimalware, incluyendo el correo electrónico, la web y las aplicaciones de escaneo de transferencia de archivos, también deben implementarse dentro del estado de TI o tomarse como un servicio de un tercero externo.

No olvide que un buen régimen de respaldo que se prueba regularmente para determinar su efectividad también es un ingrediente necesario de un estado de TI bien diseñado. Ser capaz de recuperarse de la pérdida de datos debido a una infección por ransomware no recuperable se puede considerar una parte del cumplimiento de GDPR, al igual que tener un procedimiento formal de "informe y manejo de incidencias".

Chequeo de salud de seguridad

Se debe realizar un chequeo completo del estado de la seguridad de TI (ITSHC) del departamento de TI al menos una vez al año, y debe explorar completamente las TI, tanto interna como externamente, para detectar vulnerabilidades, corregir los conjuntos de reglas de firewall y las configuraciones del conmutador ethernet, y los niveles de parches y liberación de software.

Para las organizaciones que requieren de forma dinámica cambios regulares en su estado de TI, se debe considerar emprender dicho ITSHC cada seis meses, o un ITSHC parcial después de un cambio importante.

Todas las organizaciones deben realizar pruebas basadas en internet cada tres meses, teniendo en cuenta las pruebas mensuales o semanales basadas en el perfil de riesgo de la organización. Asociado con un ITSHC completo debe haber una Evaluación de impacto de la privacidad (PIA) y una Evaluación de impacto de la protección de datos (DPIA). Consulte el sitio web de la OIC para obtener más información.

Para confirmar a los clientes, clientes, organizaciones asociadas y compañías de seguros cibernéticos (y el ICO, si las cosas salen mal) que el estado de TI está diseñado y mantenido a los niveles actuales de buenas prácticas, se recomienda que una organización busque la certificación ISO 27001. Las organizaciones más pequeñas podrían tomar la ruta Cyber ​​Essentials (CE) o Cyber ​​Essentials Plus (CE +).

El segundo punto cubre el análisis de seguridad y los informes de alertas asociados con la revisión de archivos de registro generados por servidores, aplicaciones, firewalls y productos de monitoreo de seguridad. Hay una gama de analizadores de registro comerciales y gratuitos, que incluyen la versión gratuita de Splunk y el Microsoft Log Parser 2.2 gratuito.

A medida que los archivos de registro se vuelven muy grandes, es esencial ejecutar estas herramientas durante unos meses para identificar el tráfico legítimo y, de este modo, "sintonizarlo" con el estado de TI, y también establecer los niveles de alerta apropiados (por ejemplo, alertas inmediatas de SMS/buscapersonas para alertas urgentes, correo electrónico para alertas secundarias e informes diarios y semanales por correo electrónico para obtener un resumen de las alertas, además de una pantalla mural de alertas en tiempo real).

Educación, el tercer punto no debe ser ignorado. El personal puede ser el bastión final para detener un ataque de phishing que logró atravesar todas las defensas. La educación no es un evento único; tiene que ser un proceso continuo. El sitio web "Get Safe Online" es un recurso excelente y hay varias empresas especializadas en capacitación en seguridad de la información.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close