¿Sabes cuantos dispositivos inseguros hay en tu organización?

Pareciera una pregunta simple y pudiéramos esperar que el encargado de TI (Tecnología de Información) de tu empresa u organización respondiera simplemente: «si, ninguno». Pero la realidad es otra y te explico por qué.

En TI la ciberseguridad no es fácil de llevar a mano (con un reporte y una lista de equipos en excel), se requieren las herramientas adecuadas para que un equipo de seguridad pueda descubrir, validar y gestionar las vulnerabilidades que aparezcan en los equipos, dispositivos y aplicaciones que están operando en una organización. Y todos los días se descubren nuevas amenazas y tipos de ataques.

Un ejemplo reciente, es una singular vulnerabilidad que ha descubierto un equipo de investigadores donde ciertos monitores pueden ser afectados y controlados por un atacante bajo ciertas condiciones.

Puede parecer algo de ciencia ficción, como algunos supuestos accesos y hazañas cibernéticas sorprendentes que se pueden ver en la serie de TV Mr. Robot, y podríamos decir que nunca esperaríamos que un monitor pudiera representar una amenaza de seguridad. Un monitor en teoría solo debería «mostrar la pantalla» y lo imaginamos como algo cerrado que no procesa información, simplemente recibe una señal y la plasma en el monitor.

La realidad es que al día de hoy, muchos dispositivos comunes tienen «pequeñas computadoras» para funcionar y como es el caso de este singular anuncio, donde el tipo de monitor que los investigadores usan para demostrar el ataque descubierto usa un micro controlador, que no es otra cosa que una pequeña computadora.

Ejemplos como este, muestran lo complejo que es gestionar la seguridad de dispositivos y por qué la seguridad no debe ser tarea de una sola persona. Por desgracia la realidad es que muchos profesionales de TI tienen demasiadas actividades y la «costumbre» en diversas organizaciones en México, es que estos profesionales deben hacerse cargo de «todo», incluida la seguridad cibernética.

Otra realidad es que en muchos casos el equipo TI está conformado por un número muy reducido de profesionales, donde pueden ser solo una o dos personas. Para complicar aún mas las cosas, no cuentan con las herramientas adecuadas y terminan enfocándose en que las cosas funcionen y no en que sean seguras.

This is how hackers can compromise your computer monitor pic.twitter.com/EF5nnzpu2h

— Tech Insider (@techinsider) July 11, 2020

Es por ello que contar con un equipo de personal suficiente, especializado en el área de seguridad, se va haciendo mas necesario conforme la organización va creciendo y van aumentando el número de dispositivos que mantienen la operación de la organización o del negocio. Y no solo nos referimos a servidores, almacenamiento, etc. sino a los equipos cotidianos como laptops, cámaras de video, aplicaciones web (si tu negocio depende del comercio electrónico) y ahora también cosas que no habíamos pensado que tuvieran que considerarse como «los monitores».

Estar al tanto de «todas» las amenazas que se van descubriendo a diario complica aún más el poder responder esa pregunta con la que iniciamos ¿Sabes cuantos dispositivos inseguros hay en tu organización?

Lo más importante, si no puedes responder esta pregunta entonces ¡hay que actuar!

Aquí algunas recomendaciones con las que se puede iniciar:

• Conformar un equipo de seguridad cibernética es importante para poder saber cómo está la seguridad cibernética en tu empresa u organización de manera inicial.
• Seleccionar las herramientas adecuadas que permitirán evaluar, gestionar y mitigar esas amenazas para que puedan apreciar los avances (el cómo «estábamos» y el cómo «se va avanzado» en solucionar/quitar esos riesgos)
• Hacer una cultura de ciberseguridad en tu empresa

Sabemos que estas tres recomendaciones parecen sencillas, pero no son fáciles de poner en práctica, por ello, Trust Dimension ofrece servicios de ciberseguridad que ayudan a la organización a implementar dichas recomendaciones y provee las herramientas más efectivas y eficaces para poder gestionar las vulnerabilidades y el riesgo en tu organización.

Si tu o tu organización requieren asesoría en este o algún otro tema de seguridad informática no dudes en ponerte en contacto con nosotros.

Referencias:

https://github.com/RedBalloonShenanigans/MonitorDarkly

Twitter: https://twitter.com/techinsider/status/1281929402847309826