Aprenda la jerga utilizada por los administradores de sistemas y viaje de forma segura a través de la era digital
Latinoamérica
30 de Julio/2019 - No pasa una semana sin noticias de una brecha de
datos importante: 60 millones de usuarios de USPS; 40 millones de
tarjetas de crédito utilizadas en las tiendas Target; 500 millones de
usuarios de Marriott. Gigabytes sobre gigabytes de datos descargados en
Internet para que todos los vean. Y estos son solo los que escuchas.
La
escala es bastante asombrosa. Un estudio realizado por el Centro de
Recursos de Robo de Identidad y Cyberscout publicó un informe en el que
el número de violaciones de datos solo en los Estados Unidos alcanzó 791
en la primera mitad de este año. Eso es más de 4 por día. Extrapolar
eso al mundo más amplio y, bueno, entiendes la idea.
El uso de palabras de moda en tecnología es el signo revelador de cualquier administrador de TI.
Pero
la seguridad digital ya no es solo para profesionales, y tener un
departamento de TI dedicado es un lujo que muchas empresas pequeñas no
pueden permitirse. Se espera que los proveedores de software sean
responsables de sus propios estándares de seguridad, pero ¿cómo saber si
están haciendo un buen trabajo? Aquí hay 4 cosas que debe buscar en un
software seguro y 1 consejo de seguridad útil.
Cifrado (preferiblemente de extremo a extremo)El
aumento de los estándares de seguridad ha hecho que el cifrado -también
conocido como encriptado - sea un lugar común entre los proveedores de
software. Esto significa que sus datos se codifican durante el tránsito y
luego se descodifican cuando llegan al servidor. Con el cifrado de
extremo a extremo, solo el remitente y el destinatario pueden
desbloquear y leer la información. Los mensajes se pasan a través de un
servidor, pero no puede leer los mensajes.Los principales navegadores
web requieren el uso de https, o certificados TLS / SSL, para evitar
advertencias de "No seguro" en su sitio web. Los sitios web de alta
seguridad que proporcionan verificación de identidad al usuario final
son una buena práctica.
TIP: Pregúntele a su proveedor de software sobre su estrategia de cifrado.La
tecnología de cifrado es lo que evita el fraude de información. Es un
proceso que cifra el mensaje de acuerdo con un protocolo acordado por el
remitente y el destinatario antes de que comience el proceso y
transforma la información en un mensaje ilegible si alguien intenta
interceptarlo. Con respecto a los certificados digitales, esta
codificación criptográfica es generada por un software específico, que
imputa una clave secreta en cada mensaje. "Por lo tanto, es necesario
establecer y mantener conexiones seguras entre los sistemas de TI y los
dispositivos externos para proteger la información confidencial mientras
viajan dentro y fuera de su red. Nuestro mundo depende de la
encriptación digital segura", explica Dean Coclin de DigiCert, la
empresa líder mundial Proveedor de soluciones TLS / SSL, IoT y PKI.
SSL vs. TLSHablando
de encriptación, SSL (o Secure Socket Layer) garantiza una conexión
encriptada entre un navegador y un servidor. Fue desarrollado por
primera vez por Netscape en 1995 y es el precursor de TLS, que significa
Transport Layer Security y se introdujo por primera vez en 1999 (con la
versión 1.3 actualmente en desarrollo). SSL 2.0 y 3.0 fueron
desaprobados por el IETF en 2011 y 2015, respectivamente, y TLS se ha
convertido en el protocolo de seguridad más utilizado en Internet para
banca en línea y sitios de compras. En general, la presencia de "https:
//" en lugar de "http: //" en la barra de direcciones del navegador
indica que la conexión entre su computadora y el sitio web está
encriptada TLS.
“Esto protege mejor a los usuarios de la web, quienes
pueden verificar que el certificado haya sido emitido a la compañía
correcta. De esta manera la conexión de este tipo de certificados
protege los datos confidenciales, como la información de las tarjetas de
crédito, intercambiados durante cada visita -llamada más comúnmente
sesión- de ser interceptados por terceros no autorizados”, agrega Dean
Coclin..
TIP: Verifique la URL de los sitios que visita, especialmente aquellos en los que envía información personal.Agregar AutenticaciónSaber
con quién se está conectando en línea es tan importante como los datos
que envía cuando se encripta. TLS / SSL de alta seguridad y otros
certificados digitales le brindan la certeza de que el operador del
sitio web que está visitando fue examinado de acuerdo con los requisitos
globales de las autoridades de certificación. De esta manera, tiene una
mejor forma de saber que el sitio web que desea visitar es legítimo.
Los propietarios de sitios web también pueden estar mejor protegidos
contra los impostores al exigir en el registro de la CAA que se les
expidan certificados OV o EV solo en sus propiedades web..
TIP: pregunte a sus sitios web favoritos si usan certificados OV o EV, o busque la barra de direcciones verde.Tema clave PKILos
certificados PKI y Digital no solo se utilizan para proteger las
comunicaciones del sitio web, sino también para la autenticación y el
cifrado dentro de la empresa: DigiCert proporciona una plataforma PKI
empresarial líder que ayuda a las empresas a proteger el correo
electrónico, autenticar dispositivos WiFi, acceso remoto seguro con VPN,
administrar dispositivos móviles, proporcionar firma de documentos,
admite autenticación web sólida, proporciona inicio de sesión con
tarjeta inteligente, etc. Las operaciones de gestión de certificados
dentro de la plataforma PKI son automatizadas e integradas con Microsoft
Active Directory. Las empresas líderes, como IBM, se han dado cuenta
del valor de una plataforma PKI escalable para la autenticación y el
cifrado dentro de sus redes.
TIP: Pregúntele a su empleador
cómo usan los certificados digitales para autenticar conexiones y
dispositivos y encriptar datos dentro de las aplicaciones empresariales.Los
estándares de seguridad evolucionan y cambian constantemente, y puede
ser difícil mantenerse al día con la jerga. Sin embargo, hacer su
investigación dará sus frutos a largo plazo y ofrecerá protección contra
ataques dañinos.
¿Qué pueden hacer las compañías?Los
buenos hábitos de ciberseguridad de las empresas comienzan con la
educación. Los empleados necesitan conocer conceptos como spearfishing y
el clickjacking. Deben aprender a detectar enlaces maliciosos,
reconocer los sitios de phishing y la importancia de las actualizaciones
de software y la autenticación de múltiples factores. Los
administradores de contraseñas deben ser obligatorios para evitar su
reutilización y aumentar la entropía, pero eso también debe combinarse
con enseñar cómo usarlos correctamente.