Últimamente está bastante de moda el concepto de ciber higiene o higiene cibernética, bueno más bien su término en inglés “cyber hygiene”, porque en lo relativo a tecnología, parece que queda más “pro” si está escrito en la lengua de Shakespeare.
Sea como fuere y esté escrito como esté, vamos a hablar de higiene, y vamos a comprobar cómo es el paso inicial para poder continuar con otras cosas.
Por ponerlos en perspectiva, no tiene sentido gastar dinero en un buen perfume, si pensamos usarlo sin haber visitado la ducha durante semanas, del mismo modo que no tiene sentido comprar un buen sistema XDR, un Firewall de última generación, o cualquier otra chuche similar, sí lo más básico está manga por hombro.
Así que empecemos por lo básico…
¿Qué es ciber higiene?
Pues básicamente son medidas de seguridad básicas, que todos debiéramos adoptar en nuestro negocio, independientemente al tamaño de éste, es decir, esta higiene es aplicable a un autónomo, a una empresa de 5 empleados, o a una de 20.000.
Y con medidas básicas, me refiero a algo parecido al chascarrillo de la ducha, es algo que debe ser rutinario y constante, y que conlleva un bien, como puede ser la mejora general de nuestra salud e higiene personal, y entre otras consideraciones adicionales evitar que olamos a choto.
Y en el caso de ciber-higiene pues básicamente lo mismo, se trata de hábitos que deben formar parte de nuestro día a día, y que conseguirán en conjunto mantener nuestra organización segura.
Para tener una definición algo más seria, según la ENISA (Agencia Europea de la Seguridad de Redes e Información), ciber-higiene son rutinas diarias, buenas prácticas y revisiones periódicas que garantizan la salud en línea de la organización.
Y en qué se traduce en la práctica
Pues resumidamente en las medidas que casi con seguridad todos conocemos, que sabemos que hay que seguir, pero que no siempre se aplican rigurosamente.
A ver, aquí hay que decir que no hay una definición exacta o formal de las consideraciones prácticas que obligatoriamente debe llevar una buena higiene cibernética, es decir, no hay una lista oficial de puntos a cumplir, pero probablemente la siguiente es un buen ejemplo y pueda servir de punto de partida:
- Formación: Desde mi punto de vista fundamental, el primer paso. Es necesario formar y concienciar a las personas al comienzo de la actividad, y luego mantenerlo de manera continuada en el tiempo. Por ponerlos en perspectiva, de nada sirve por ejemplo, una buena política de contraseñas, si luego una persona tiene la clave apuntada en post-it, o un buen sistema antispam si termina abriendo un correo marcado como malicioso, o tener un repositorio corporativo de ficheros si el usuario decide por su cuenta y riesgo utilizar otro externo. Hace tiempo ampliamos este tema en: https://ciberseguridadtotal.com/la-formacion-y-concienciacion-como-arma-contra-ciberataques/.
- Contraseñas seguras: Hablamos de mantener una correcta política de contraseñas (complejidad, caducidad…), de aplicar doble factor de autenticación cuando sea posible, de utilizar contraseñas diferentes para cada servicio, o de promocionar gestores de contraseñas tipo keepass. En la siguiente charla de C1b3rwall tocamos en profundidad el tema de contraseña segura: https://ciberseguridadtotal.com/c1b3rwall-2021-el-desafio-de-la-contrasena-segura/.
- Inventario: A poco que sea nuestra escala, será necesario disponer de un sistema de inventario, a través del cuál podamos tener una foto actualizada del conjunto de dispositivos, tanto hardware como software de la empresa. Sin esta información es complicado poder actuar con sentido, obtener informes de estado y entender las relaciones entre todos los elementos que conviven. Hace tiempo hablamos de GLPI: https://ciberseguridadtotal.com/glpi-herramienta-imprescindible-en-todo-entorno-it/, que sigue siendo una herramienta de referencia y es OpenSource. Además a partir de la v10 integra GLPI agent para inventario automático de equipos.
- Antimalware: Hablamos de soluciones de Antivirus, EDR o similar, que de modo obligatorio debiera tener cada equipo de la empresa. Sistemas que debieran estar correctamente configurados, actualizados y con alertas centralizadas.
- Actualizaciones: Es fundamental tener los equipos actualizados, de hecho esto es tan crítico que también dió para otra charla en la pasada C1b3rwall: https://ciberseguridadtotal.com/c1b3rwall-2021-actualizaciones-actualizaciones-y-mas-actualizaciones/
- Configuración de accesos: Es primordial evitar el uso de cuentas con privilegios de administrador, y tener registrados y correctamente configurados los accesos a los distintos recursos IT de la empresa. Es decir, debemos conocer a qué recursos concretos tiene acceso un usuario en un momento dado.
- Dispositivos de almacenamiento USB: Siempre que sea posible, es fundamental evitar el uso de dispositivos de almacenamiento externo USB. Muchas soluciones de seguridad permiten bloquear su uso, o permitir sólo a componentes corporativos añadidos como excepción previamente.
- Configuración de políticas de seguridad: Debemos revisar periódicamente que nuestras reglas de seguridad están correctamente configuradas, hablamos de las políticas configuradas en equipos como cortafuegos, routers, dominio o sistemas antimalware.
- Monitorización: Es fundamental tener monitorizados los activos críticos de la empresa, con objeto no sólo de detectar caídas, sino de prevenir un mal funcionamiento que derive en el tiempo en corte o un problema mayor.
- Auditar cuentas comprometidas: Se trata de aprovechar recursos como “have i been pwned”: https://haveibeenpwned.com/ que puedan alertarnos automáticamente si nuestras credenciales aparecen comprometidas, también es un tema recurrente, y lo tocamos en: https://ciberseguridadtotal.com/millones-de-contrasenas-deambulando-por-la-red/.
- Dispositivos móviles: Hablamos de tablets, smartphones, que muchas veces son olvidados en los planes de seguridad frente al equipo PC corporativo, pero sin embargo son una entrada habitual a internet y suponen un potencial peligro.
- Copias de seguridad: Porque es imprescindible disponer de un plan B en caso de desastre, no sólo por un ciberataque, sino por cualquier otro tipo de imprevisto.
Y podríamos seguir con la lista, que podemos hacer tan larga como queramos. Sobre todo si particularizamos a un caso concreto, por ejemplo, si una empresa dispone de teletrabajo, seguramente tenga que tener como punto indispensable de ciber-higiene la protección de ese acceso, o si se trata de una empresa industrial, añadir todo lo relativo a segmentación de redes, conexión de equipos IoT y acceso al OT.
Pero en todo caso, y a grandes rasgos, una lista como la anterior puede ser un punto de partida, es esa ducha diaria, que luego tiene sentido que proponga el gasto en un caro perfume.
