-
añadir a favoritos
Cómo reglamentar la protección
martes, 4 de agosto de 2020
Para empezar, vamos a ver una cita de un foro especializado:
Desde hace poco tengo nuevas responsabilidades, proporcionar la seguridad informática.
Y recibí mi primera tarea así:
"proporcionar la seguridad, a saber, la imposibilidad de acceder a la información a los archivos word para los empleados que tienen permisos de administrador en el equipo manteniendo la posibilidad de conexión remota para proporcionar ayuda urgente ".
¿Qué me aconseja?
Y una noticia:
Muchas cuentas de personas más conocidas en Twitter han sido hackeadas ayer (Kim Kardashian, Elon Musk, Jeff Bezos, Bill Gates, Barack Obama, Warren Buffett y otras). En su nombre fue publicado un anuncio sobre la entrega de bitcoins muy generosa.
Hasta ahora, al monedero de los malintencionados fueron enviados 11 bitcoins —un poco más de 100 mil USD.
No es nada interesante: solo la entrega de la criptomoneda. Podrían haber inventado otra cosa que llamara más la atención para tener más éxito.
En general, esta noticia no tuviera mucha importancia, porque el hackeo de las cuentas en redes sociales es una cosa habitual, si no hubiera un detalle:
El dueño de la bolsa Gemini, Cameron Winklevoss, informa que en la cuenta estaba activada la autorización de dos factores y se usaba la contraseña resistente.
Esta vez los delincuentes han accedido a las cuentas no por culpa de una contraseña débil. Al principio se afirmaba que se había producido un hackeo de las cuentas internas del personal de la empresa. Más abajo pueden consultarse un screenshot y un enlace. Lamentamos informar que actualmente ya no están disponibles.
Luego aparecieron versiones sobre chantaje y sobornos. En todo caso, los administradores de la red podían acceder a los datos de los clientes. Y se aprovechaban de esta posibilidad.
El personal del servicio de microblogs Twitter durante varios años hackeaba los perfiles de la gente famosa, abusando de su cargo en la empresa y las herramientas internas, no disponibles para usuarios ordinarios.
«Los hackers» usaban el software corporativo que anteriormente estaba destinado para restablecer contraseñas a perfiles y registrar la violación de las normas de Twitter. Entendieron rápido que el mismo también podía ser usado para supervisar a los dueños de microblogs, y las cuentas de personas famosas llamaron su atención.
Esto les permitió a los “hackers” acceder fácilmente a los datos personales de la gente famosa y hasta supervisar su ubicación, aunque no muy exactamente. La ubicación actual de alguna persona famosa ellos la podían detectar por la dirección IP desde la cual se conectaban a la cuenta.
Con el tiempo, el “juego” inventado por el personal contratado de Twitter, se convirtió en un juego masivo. Empezaron a supervisar no solo a los famosos, sino también a los políticos y a los ex novios.
La causa del hackeo son los administradores de la red que podían acceder a los datos. En caso de las redes sociales y varios foros es lógico que haya este acceso: los mismos deben filtrar las entradas, eliminarlas si las mismas no cumplen con los requisitos:
En general, sería raro que la empresa dueña del servidor no tuviera posibilidad de editar y redactar algo.
Pero en otros casos esto no parece sensato. ¿En Su empresa la información se almacena en la base de datos, y los usuarios solo pueden acceder a algunas entradas? El administrador en cualquier caso tiene acceso a toda la base de datos. ¿Vd. publicó los datos en el centro de datos? Perfecto, ahora también el personal del centro de datos puede acceder a los mismos. No significa que todos los administradores sean malos, pero a veces se intercambian alguna foto divertida. Hubo casos de este tipo.
Pero un administrador no es solo persona, sino también una cuenta con permisos correspondientes. Y es lo que les interesa a los malintencionados. Una contraseña débil, un mensaje con virus abierto en el equipo de trabajo, la ausencia de actualizaciones o un portátil robado donde no se usaba el cifrado, de esto dependen las empresas y su negocio.
Cualquier administrador con acceso privilegiado a los datos del sistema sin intercambio de mensajes (tanto los datos actuales como los datos de la copia de seguridad) puede poner en peligro al sistema. Hay un montón de casos de eliminación de datos involuntaria.
El centro Microsoft Security publicó Diez leyes irrevocables de seguridad.
Ley № 6: El equipo está seguro si el administrador es de confianza.
Ley № 9: El anonimato absoluto es casi imposible, online u offline.
Ley № 10: La tecnología no es una panacea.
¿Cómo se puede proteger los datos corporativos contra la eliminación, el acceso no autorizado y/o cambios?
Si no tomamos en cuento las cosas criminales como keyloggers y otros métodos de acceder a los datos de forma no autorizada, el cifrado, al parecer, puede resolver el problema. El usuario de la información guarda las claves, ninguna persona ajena puede acceder a las mismas.
Para los documentos de oficina hay una herramienta bastante ordinaria - Microsoft Information Rights Management, se soporta a partir de Office 2003, en el nuevo Office 2013 (Office 365) esta funcionalidad se destaca más. Por ejemplo, se puede leer artículos.
Además, en cuanto a la protección de documentos, primero hay que analizar el PC en busca de:
- carpetas compartidas (qué sentido tiene un criptocontenedor si está compartido para toda la red con permisos de acceso completo para todos. Es de risa, pero es un caso real.
- varios “almacenes en la nube”, empezando por Yandex.Disc y drobox, en caso de ser usados por los usuarios, no hay ninguna privacidad.
- las unidades USB. Si los usuarios pueden copiar los documentos, los copiarán.
- transferencia de los documentos por correo, por Internet...
Pero hay que empezar por otra cosa:
- Se requiere un paquete de documentos:
- un reglamento sobre el departamento de seguridad donde se indican las funciones del departamento, incluidas las funciones de seguridad informática.
- la instrucción laboral del experto en SI. Donde se indican claramente sus derechos y responsabilidades (para que en IT nadie pueda decir que no es asunto suyo).
- un reglamento del secreto comercial. Sin el mismo no queda claro qué protegemos y por qué. El reglamento se firma por todos, se crea comisión (posiblemente, con participación de IT) que decide qué exactamente se refiere al SC. Aparece un sello de reservado en los documentos... todo esto permite cifrar, evitar filtraciones y castigar en caso de las mismas
- concepción de proporción de SI, un conjunto de políticas y un reglamento de uso de recursos informáticos. El reglamento se firma por todos los usuarios, pero las políticas es la cosa más interesante. En las mismas se explican los roles, qué deben/pueden/están obligados a hacer los de IT, qué deben/pueden/están obligados a hacer los de SI para asegurar algo, para poder tomar medidas si algo no se cumple.
- en caso de usar un software de supervisión, algunos medios específicos, tales como DLP o la criptografía:
- hay que avisar al usuario que le pueden supervisar y que sus acciones pueden ser protocoladas y luego usadas para llevarlo ante la justicia. Y el usuario debe firmarlo. Además, si el usuario, por ejemplo, trabaja con documentos privados, debe aceptar que se obliga a seguir las reglas establecidas de trabajo con estos documentos, es mejor que lo que se refiere a la SI debe ser una cláusula en el contrato.
- los reglamentos deben decir que se administran los medios de supervisión y protección de SI, y que cualquier intento de impedir el funcionamiento de estos medios por parte del usuario o de IT puede ser castigado. En este caso "“me demandaron la contraseña” sonará ridículo.
- en algunos casos sí se requiere la contraseña, por ejemplo, si algún sistema funciona, y al experto de seguridad que lo administra de repente le pasa algo. La pregunta es ¿qué hacer? Hay solución: las contraseñas están escritas en un papelito, el paleito está en un sobre, el sobre está en la caja fuerte, la caja fuerte está cerrada con llave, los directivos tienen la llave. Como resultado, las contraseñas existen.
- En la práctica, cualquier intento de restricciones, sobre todo, sin documentos que lo reglamentan, puede causar la respuesta negativa de los usuarios, etc.
#hackeo #protección_contra_la_perdida_de_datos #seguridad_corporativa #redes_sociales #daño
El mundo de antivirus recomienda
Empiece por las medidas administrativas. De esta forma, cada uno se enterará de su responsabilidad. Luego, la restricción de los permisos. Vincular los datos al hardware. Cifrado. Hay juchos métodos. Lo más importante es controlarlo todo.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
Lia00
13:28:54 2020-08-05
EvgenyZ
21:50:58 2020-08-04
Шалтай Александр Болтай
21:45:08 2020-08-04
Toma
21:26:22 2020-08-04
Татьяна
17:54:09 2020-08-04
Masha
15:09:16 2020-08-04
Dmur
12:32:32 2020-08-04
Неуёмный Обыватель
12:00:41 2020-08-04
Пaвeл
09:17:20 2020-08-04
GREEN
09:13:27 2020-08-04
Pero es imposible controlar TODO, ¡esto es un mito!
ka_s
07:20:47 2020-08-04