Si eres un CTO interesado en proteger aplicaciones, o simplemente alguien responsable con la seguridad de la información, estás en el lugar indicado.
Te presentamos una guía para mantener la seguridad de tu negocio. Aquí encontrarás un recurso útil y fácil de entender, para que la implementación no se sienta como una tarea agotadora.
1.- Restringir los servicios internos por direcciones IP
Proteger tu red y los servicios internos es una de las estrategias de seguridad en la web más importantes para el éxito de tu empresa.
Es importante que mantengas las conexiones a infraestructuras y activos digitales privados restringidos para salvaguardar la integridad de tu negocio. No querrás que cualquiera obtenga acceso a ellas, ¿o sí?
Para lograrlo, implementa hosts de rebote como VPCs o VPNs. De esta manera, el acceso a tus interfaces de administración, bases de datos o incluso CI alojados están seguros.
Si quieres aprender un poco más sobre VPCs y VPNs échale un ojo a nuestro artículo Desarrollo Seguro: Cómo proteger tus entornos de desarrollo y staging en 3 sencillos pasos
2.- Segmentación de la red / Segmentar la red
El siguiente paso consiste en hacer que la estructura de tu red sea invisible. Ya sabes proteger el acceso a tus plataformas. Sin embargo, hay acciones que se deben tomar como prevención en caso de un ataque. El siguiente paso consiste en hacer que la estructura de tu red sea invisible.
Para reducir el riesgo de ser hackeado, limita la visibilidad de tu red. Divídela en subredes para crear diferentes segmentos. Al administrar la red en segmentos, tendrás mejor control de lo que sucede en todos y cada uno de ellos.
Así en caso de ser víctima de un ataque, el segmento con el problema podrá ponerse en cuarentena para evitar que se dañe toda la red.
Recuerda, el objetivo es hacerle la vida imposible a todos esos hackers y niños rusos que quieren divertirse con tus sistemas. Para ponérselos aún más difícil te sugerimos implementar VLANs, para que la estructura de tu red sea visible solo localmente.
Los atacantes tendrán que descifrar una infraestructura de red no visible; lo que significa mucho más trabajo para ellos y un poco más de tranquilidad para ti.
3.- Node Hardening o Endurecimiento de nodos
Evita pivotear para brindar seguridad adicional a los segmentos de tu red.
Es probable que estés diciendo “¡Por supuesto! pero ¿qué diablos es pivotear?”
Es la técnica de saltar de un segmento de red a otro para obtener un rango de ataque más amplio. Entonces, ¿cómo puedo estar a salvo de esto? La respuesta es sencilla, hay que aplicar una estrategia de hardening.
Hardening es una técnica de red común en la que prestamos especial atención a las configuraciones de los dispositivos.
Esto significa actualizar las credenciales predeterminadas y eliminar software, inicios de sesión y servicios innecesarios. No te preocupes, muchas de las acciones que puedes tomar son bastante sencillas. Aquí tienes una lista de algunas tareas básicas de hardening:
- Utiliza contraseñas seguras
- Cierra los puertos clave que no uses (p. Ej., Ssh)
- Actualiza tus parches de seguridad
- Cifra, pero no intentes reinventar la rueda
- Implementa máquinas virtuales o tecnologías de contenedores
Sí te interesa adentrarte un poco más en el tema te recomendamos darle un vistazo a estas guías:
Guía para el refuerzo de Linux
Guía para el endurecimiento de Windows
4.- Implementar un firewall
Es momento de hablar sobre firewalls. De seguro no es la primera vez que escuchas este término, pero ¿qué es exactamente un firewall?
Bueno, pues son los bellos programas que marcan la diferencia entre un servidor que funciona correctamente y uno inactivo. El trabajo del firewall es proteger las redes internas del acceso externo no autorizado y los intentos de ataque.
Los firewall son muy útiles pero, si no se toma el tiempo para personalizarlos pueden convertirse en una pérdida de recursos. Por eso es muy importante que te tomes el tiempo de configurarlos cuidadosamente.
5.- Ejecuta tus aplicaciones sin privilegios
Si estás leyendo esto, es porque que claramente la seguridad de tus aplicaciones es importante para ti. Tal vez pienses que contar con un sólo usuario que tenga acceso y control total es lo mejor. Después de todo, si sólo tú tienes acceso estás más seguro, ¿no?
Si es así cómo has llevado tu ejecución, tenemos que decirte que cambies un poco tu estrategia. Primero que nada, evita utilizar usuarios privilegiados.
Estos usuarios tienen control total del sistema, por lo que es realmente importante dejarlos en paz y usarlos solo en aquellos casos en los que sean específica e inevitablemente necesarios. Los puedes identificar como “Root” en los sistemas Unix y “Administrador” o “Sistema” en los sistemas Windows.
Si un atacante obtiene acceso a una de las bases de datos, automáticamente tendrá acceso a todas las demás. Por lo tanto, crear un usuario y contraseña para cada base de datos y servicio que tengas aumenta la seguridad de tu información.
Un escenario común es encontrar las bases de datos ejecutándose como root / sistema, o bajo un usuario único para más de una base de datos, lo que implica otra debilidad.
En estos casos hay que evitar que el hacker se haga cargo del host y/o rebote a otros servicios. Al tener múltiples usuarios y correr tus aplicaciones como “usuario restringido”, es más difícil para el atacante tomar control.
6.- Asegúrate de que todos tus servicios críticos están protegidos
Como empresa de seguro trabajas con aplicaciones de terceros como Google Apps, Slack, WordPress, etc. Aunque estas plataformas tienen sus propios filtros de seguridad es importante no confiar al 100% en ellos.
Estas aplicaciones suelen ser un blanco un poco más fácil para los atacantes y de las primeras cosas que suelen intentar.
Existen diferentes herramientas para generar y guardar credenciales como KeePass o LastPass, utilizan una clave maestra para acceder a la información, o en sus versiones móviles, te permiten usar Touch ID.
Además, asegúrate de actualizar todo con regularidad. Las actualizaciones no son solo para tener una interfaz más agradable. En la mayoría de los casos, también se publican correcciones de vulnerabilidades y agregan nuevas funciones que podrían incluir medidas de seguridad actualizadas.
Si tienes contraseñas y accesos predeterminados, actualizalos. Y, si tienes algún software, servicio o plataforma con una actualización pendiente, ¡también!
Lee mas:
Cómo fortalecer tus aplicaciones de Google
7.- Copias, copias y más copias de seguridad
Realiza una copia de seguridad de todos tus activos críticos. Asegúrate de intentar restaurar copias de seguridad con frecuencia para poder garantizar que funcionan según lo previsto.
No lo hagas solo cuando te acuerdes de hacerlo, ni con un año entre cada copia. Se regular y hazlo en períodos de tiempo razonables. Evita correr riesgos innecesarios.
S3 es una forma muy económica y eficaz de realizar copias de seguridad de tus activos:
Guía para realizar copias de seguridad de archivos en Amazon S3
Guía para realizar copias de seguridad en Digital Ocean
Guía para realizar copias de seguridad en Azure a través de Resource Manager
8.- Haz cumplir una política de contraseñas
“Admin1234”
Por favor, no te sorprendas si acabo de adivinar al menos una de tus contraseñas.
Los piratas informáticos suelen realizar ataques de fuerza bruta a contraseñas, una técnica que normalmente utilizan para obtener contraseñas predeterminadas o inseguras, como “Admin1234”.
Adquiere el hábito de generar contraseñas seguras y tomar nota de ellas, no es necesario que las recuerdes. Los datos de tus clientes, personales y empresariales serán mucho más difíciles de robar si utilizas contraseñas complejas.
Para crear una contraseña de alta dificultad te recomendamos incluir: mayúsculas y minúsculas, caracteres especiales, longitud mínima, etc. Si alguna vez te has topado con alguna plataforma con miles de requerimientos para poder crear una contraseña, está es la razón.
Los gestores de contraseña son una gran herramienta. Nosotros te recomendamos KeePass y LastPass, así no tendrás que preocuparte por recordar todas y las tendrás almacenadas en un lugar seguro.
Lee más:
Guía de autenticación para la era moderna
9.- Registra accesos y preocúpate de retirarlos cuando alguien se va
Es muy común que un empleado deje una empresa mientras que sus credenciales aún se pueden usar para acceder a los servidores o plataformas con las que había estado trabajando antes.
En nuestra experiencia, hemos visto que esto sucede con usuarios hasta tres años después de que el empleado se haya ido ?
Por lo general, se debe a que nadie realiza un seguimiento del tipo de acceso que se les da a los trabajadores. Por lo que cuando uno de ellos pasa a un trabajo diferente, no hay una guía para ver a qué tenía autorización de acceder y buscar cada uno de esos acceso.
El conjunto de credenciales puede ser una tarea abrumadora. Para solucionar esto, Échale un ojo a la creación de una matriz de control de accesos.
10.- No hagas clic en todo
El phishing puede estar en cualquier rincón de la web. Esto incluye la bandeja de entrada de tu correo electrónico, incluso tu computadora o teléfono celular. Según Intel, el 97% de las personas en el mundo no tienen la capacidad de reconocer un correo electrónico de phishing complejo.
Es importante comprender que a veces un simple clic no es tan simple como pensamos. En cualquier momento podemos hacer clic en la página equivocada y simplemente regalar nuestra información personal, y probablemente de la tarjeta de crédito, a la persona equivocada. Incluso puedes terminar descargando algún tipo de malware que podría infectar no sólo tu computadora sino también toda la red.
Capacita a todos y cada uno de tus empleados para identificar este tipo de ataques. Siempre verifica el enlace, el remitente y la extensión del archivo antes de hacer clic.
Si tú o alguien de tu equipo tiene alguna duda sobre el contenido de un correo electrónico, intenta ponerte en contacto con la persona de la que proviene el correo a través de otro canal. Llámale o envíale un SMS, sólo tomará unos minutos de tu tiempo. Siempre es mejor prevenir que lamentar.
Conclusión
En resúmen, no olvides crear contraseñas seguras y generar una política para que tus colaboradores las sigan. Utilizar VPNs, VPCs y dividir tu red en segmentos son estrategias muy útiles para mantener alejados a todos esos piratas informáticos que no tienen nada mejor que hacer. Genera copias de seguridad para toda tu información y por favor evita hacer click en correos de phishing.
Sí, eres un objetivo aunque no lo creas. La gente tiene la costumbre de decir “¡No, eso nunca me sucederá a mí!”, y el destino tiende a mostrarles lo contrario.
Debes comprender que eres un objetivo, especialmente si estás seguro de que no lo eres. Se proactivo, toma las precauciones necesarias y más.
Recuerda: la seguridad no debe parecer una tarea pesada.
