Por qué la administración de contraseñas es crítica para mitigar las violaciones de datos


El Centro de recursos de robo de identidad advierte que las empresas de todos los tamaños deben estar atentas a la seguridad de los datos. El director de operaciones ofrece consejos sobre contraseñas, seguridad en la nube y administración de parches.

Las infracciones de datos aumentaron un 17% en 2019 respecto al año anterior
El Centro de recursos de robo de identidad advierte que las empresas de todos los tamaños deben estar atentas a la seguridad de los datos.

Karen Roby de TechRepublic habló con James E. Lee, COO de la Centro de recursos de robo de identidad, sobre el último informe de la organización, Informe de incumplimiento de datos de fin de año 2019, junto con las formas en que las personas y las empresas pueden evitar que sus datos sean pirateados y sus identidades robadas. La siguiente es una transcripción editada de su conversación.

James E. Lee: Lanzamos nuestro décimo quinto informe, y lo hemos estado haciendo desde 2005. Particularmente para las empresas, este es un informe muy importante. Un par de cosas para señalar. Una es que, a fines de 2018, vimos una reducción en el número de violaciones de datos, por lo que todos estaban esperando para ver qué pasaría en 2019. ¿Seguirían bajando? ¿Se quedarían planos o volverían a subir como lo habían estado haciendo durante varios años?

VER: Te han violado: ocho pasos a seguir en las próximas 48 horas (TechRepublic)

Ahora, sabemos la respuesta: las violaciones de datos aumentaron un 17% en 2019, y todavía estamos teniendo algunos rezagados, ahora se informa que ocurrió en diciembre de 2019. Y para las empresas hay algunas tendencias muy importantes dentro de esos números. Una es una gran categoría nueva que vimos que surgió en 2019 no era una verdadera violación de datos per se, sino lo que llamamos exposición de datos, o también puede haber escuchado el término lago de datos, y ahí es donde algunas empresas simplemente olvidaron poner una contraseña en sus entornos de nube.

VER: Las 5 mejores alternativas de contraseña (PDF gratis) (TechRepublic)

Hubo una serie de compañías muy grandes con grandes cantidades de datos expuestos a Internet si alguien supiera dónde buscar. Esa es una tendencia muy preocupante porque no es tan difícil poner una contraseña en su nube. Esperamos que eso mejore este año, pero sigue siendo una tendencia importante a tener en cuenta.

Otra cosa para las empresas es que muchas organizaciones simplemente piensan que son demasiado pequeñas: que "los malos no van a perseguirme porque soy una pequeña empresa". Incluso puedo ser un "solopreneur". No importa. Todos los datos son valiosos hoy, y los malos tratarán de obtenerlos y obtener todo lo que puedan.

Una de las cosas que hacen es que intentarán robar inicios de sesión y contraseñas, y lo obtendrán de donde puedan. Luego cargarán eso en sus sistemas automatizados y simplemente comenzarán a hacer ping a las cuentas en cualquier lugar donde puedan encontrarlas en Internet, para ver si esas credenciales les permitirán ingresar y acceder a las cuentas para poder robar aún más información.

VER: Kit de contratación: arquitecto de seguridad (TechRepublic Premium)

No importa el tamaño de su negocio, usted es un objetivo y necesita tener una seguridad cibernética sólida y prácticas de higiene de datos sólidas para protegerse. Más del 60% de las pequeñas empresas dicen que fueron atacadas en 2018 y 2019, por lo que es importante que las empresas presten atención sin importar su tamaño.

Lo tercero que vimos que realmente impactó a las empresas en 2019 es lo que llamamos ataques a la cadena de suministro. Ahí es donde, mi seguridad cibernética podría ser buena, mis datos podrían estar seguros, pero tengo un proveedor o alguien en mi cadena de suministro que es un eslabón débil en esa cadena de seguridad. Alguien que está en mi comunidad de proveedores puede ser atacado, y debido a que tienen acceso a mi sistema a través de los suyos, esa puede ser la forma en que los malos ingresan a mi sistema y comienzan a robar los datos de mis clientes o cualquier actividad que intenten hacer. Podrían usar ransomware y tratar de robar datos sobre individuos.

Esos son los hallazgos clave del informe de este año que muestra, nuevamente, el número de violaciones de datos se respalda por primera vez en un par de años, y ahora esperaremos y veremos si esa tendencia continúa.

VER: Administradores de contraseñas: cómo y por qué usarlos (PDF gratuito) (TechRepublic)

Karen Roby: Sé que ustedes hablan mucho sobre higiene, buenas prácticas, por lo que pensarían que las personas sabrían que debemos tener contraseñas bloqueadas y cosas así, pero vale la pena repetirlo. Solo danos un par de puntos rápidos aquí sobre lo que las empresas deben hacer para mantenerse a salvo.

James E. Lee: Particularmente cuando hablamos de compañías, todo comienza y termina, al final del día, con las personas. Porque al igual que cuando hay una violación de datos, cada uno de esos números representa a un cliente o alguien. Hay un ser humano detrás de esos números. Es lo mismo cuando hay una violación de datos. Hay una compañía donde sucedió eso, y esa compañía también es una víctima, y ​​hay cosas que los empleados de la compañía, los miembros del equipo de la compañía y la compañía misma deben hacer.

Comencemos con esas contraseñas nuevamente. No use su contraseña personal en el trabajo. No use la misma contraseña más de una vez, y eso es cierto tanto en un entorno empresarial como en su vida personal. Es una práctica de seguridad muy débil, y es por eso que los malos están tratando de robar inicios de sesión y contraseñas hoy porque saben que más del 80% de todas las personas usan la misma contraseña más de una vez. Si pueden obtener esa contraseña y ese inicio de sesión, se dan cuenta de que pueden tener las llaves del reino.

VER: Cómo prevenir las 11 principales amenazas en la computación en la nube (PDF gratuito) (TechRepublic)

Use una contraseña única cada vez en una cuenta comercial y en su vida personal. Si no puede mantenerse al día con todas esas contraseñas, use un administrador de contraseñas. Y en realidad está bien hoy escribir esas contraseñas. No lo haga en una nota adhesiva y colóquelo en su monitor, sino anótelo y colóquelo en un lugar seguro en algún lugar alejado de su computadora. Está bien hacerlo si no desea utilizar un administrador de contraseñas. Las contraseñas en sí mismas no tienen que ser complejas, pero asegúrese de que sean largas.

Entonces, esta idea de mayúscula, minúscula, número, símbolo, eso no es realmente necesario. La última reflexión acerca de las contraseñas es que se trata más bien, "¿Puedes recordar la contraseña y es larga?"

La diferencia entre romper una contraseña que tiene seis caracteres, que toma alrededor de nueve segundos, en comparación con si tiene una contraseña de 10 caracteres, que puede tomar 9,000 días para romper esa contraseña. Así que más tiempo es mejor y asegúrate de que sea algo que puedas recordar: una cita de una película, una cita de un libro, algunas que digan que tus hijos te pasaron o que escuchaste de tus padres. Elija algo que pueda recordar que sea largo y utilícelo como contraseña. No tiene que restablecerlo cada 30 días porque eso lo obliga a tener esos malos hábitos, de "Solo voy a usar la contraseña 1234." No queremos que hagas eso. Comienza tanto en casa como en el trabajo con buena seguridad de contraseña, buena higiene de contraseña.

Para las empresas, hay muchas otras cosas que deben hacer. Uno, si tiene un entorno en la nube, asegúrese de tener una contraseña en el entorno en la nube. Para empezar, no es nada más complejo que eso.

VER: Guía de profesionales de TI para la gestión eficaz de parches (PDF gratuito) (TechRepublic)

Pero hay más que debes hacer. Si ha movido sus datos a la nube o está en el proceso de mover datos a la nube, aún es responsable de la seguridad, no de su proveedor de la nube, lo es. Y hay mucha confusión en torno a eso, que las compañías piensan, bueno, cuando muevo mis datos a la nube, eso es responsabilidad de otra persona, no, no lo es … sigue siendo tuyo. También es su responsabilidad asegurarse de que su software que ha puesto en la nube esté parcheado y actualizado. Ese sería otro paso que las empresas deben tomar. Asegure su entorno de nube, número uno.

Número dos, asegúrese de que su software esté completamente parcheado y actualizado. Eso es difícil: no estoy discutiendo eso en absoluto, pero es muy necesario. Porque si observa la causa raíz de los ataques, las violaciones de datos que vimos en 2019, la fuente más grande de una violación de datos fue un ataque cibernético. ¿Cuál es la mayor causa de un ciberataque? Falla al parchear una falla de software conocida. Es muy importante que las empresas apliquen parches rápidamente y mantengan ese software actualizado.

Karen Roby: Me gusta esa idea, solo algo simple como expandir esa contraseña con solo un par de caracteres más, parece que realmente podría hacer una gran diferencia.

James E. Lee: Lo hace, y nos ha llevado mucho tiempo llegar a este punto para darnos cuenta de que algunos de los consejos que le dimos a la gente en la comunidad de seguridad y en el mundo de la tecnología, les estábamos dando malos consejos a las personas porque les decíamos Tengo que cambiarlo todo el tiempo. Tiene que ser esta serie muy compleja de números, guiones, símbolos, lo que sea. Y los últimos consejos de NIST e incluso de los principales fabricantes de software, todos dicen: "Sabes qué, teniendo en cuenta la naturaleza humana, es mejor tener un poco más de tiempo (contraseña) y algo que puedas recordar". Y eso en realidad será más seguro de lo que le hemos estado diciendo a la gente durante los últimos años.

Ver también

20200129-identitytheft-karen.jpg



Enlace a la noticia original