Malas prácticas de ciberseguridad

Quizá se piense que no es relevante, pero en realidad es alarmante el impacto que están teniendo los ciberataques exitosos como consecuencia de malas prácticas por parte de las entidades atacadas, y la cantidad de estos. En los últimos meses, hemos visto ejemplo tras ejemplo de ataques cibernéticos con altísima visibilidad y enormes consecuencias, por la importancia de la víctima o su rol en el contexto económico, industrial o social. 

Al analizar cómo se llevó a cabo el ataque y por qué tuvo éxito, en el fondo, lo que se termina encontrando son malas prácticas.

Por este motivo, la CISA (Cybersecurity & Infrastructure Security Agency, del gobierno de los EEUU) ha decidido desarrollar un catálogo de malas prácticas que se consideran excepcionalmente riesgosas; si bien el mismo está originalmente orientado a las organizaciones que conforman la infraestructura crítica de aquel país, son altamente relevantes para cualquier organización pública o privada que funcione en cualquier lugar y contexto.

Por el momento, este catálogo recoge las siguientes 3 malas prácticas, las cuales son particularmente riesgosas en casos de sistemas accesibles desde Internet:

  • Uso de sistemas sin soporte, más allá de la fecha de fin de vida establecida por los fabricantes
  • Uso de contraseñas conocidas, fijas y por defecto
  • Uso de un único factor de autenticación para accesos administrativos y remotos en general

Esta es una lista dinámica que se puede encontrar en https://www.cisa.gov/BadPractices; la misma irá creciendo con el paso de los días (por lo que invitamos a consultarla con frecuencia), dado que las prácticas consideradas no son las únicas cosas que se pueden estar haciendo mal, pero quizá sí sean de las más relevantes, por su potencial impacto y por ser de las malas prácticas más difundidas.

Si reconocemos alguna de estas prácticas como propias, estamos siendo negligentes ante la seguridad de la información que manejamos y de la que en general, dependen las organizaciones para las que trabajamos. El seguir cualquiera de ellas, no hace más que elevar nuestro grado de exposición, por hacerle la tarea más fácil a cualquiera que busque acceder a nuestras infraestructuras.

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

   

Miembro de