1. Cambiar anualmente las claves SSH
La estadística más sorprendente de la encuesta es la que arroja que 82% de las áreas IT empresariales no cambia las claves SSH cada 12 meses. Como el promedio de rotación del personal es de unos dos años, si no se alteran las claves SSH al menos una vez al año se deja infraestructura crítica de redes abierta a acceso malicioso de parte de ex empleados.
2. Entrenar a usuarios en las mejores prácticas
El elemento más vulnerable en cualquier red es casi siempre el humanware. Se pueden parchar los servidores y reforzar el firewall hasta el final de los tiempos, pero de poco servirá si los usuarios dan clic a cualquier mensaje de phishing que aparezca en el e-mail. Pese a esto, de acuerdo con el estudio de Echelon One, 77% de las organizaciones no ofrece entrenamiento regular a sus usuarios finales. Venafi recomienda que los departamentos IT organicen cursos de entrenamiento trimestrales para todos los usuarios, enseñándoles a evitar las amenazas comunes a la seguridad mediante las mejores prácticas ya establecidas.“La investigación sobre seguridad de Venafi/Echelon One corrobora todo lo que hemos visto y contra lo que hemos prevenido –dice Stu Sjouwerman, CEO de la firma de entrenamiento en seguridad, KnowBe4, que ha llevado a cabo una investigación similar sobre la vulnerabilidad de los empleados ante los ataques de phishing–. Las compañías no invierten en entrenamiento de seguridad por internet y, a resultas de ello, exponen sus redes a potenciales cíberataques.”
3. Encriptar los datos de la Nube
Suena a una recomendación obvia, pero 64% de los encuestados no encripta todos los datos que se envían a la Nube, ni las transacciones que se realizan en ésta. La razón, de acuerdo con el estudio, es que muchas aplicaciones de Cloud Computing no encriptan por default. Sin lugar a dudas, los profesionales IT deben esmerarse en checar y manejar las opciones generales de los servicios de Nube pública a los que se envían los datos.
4. Emplear claves de encripción con la fuerza apropiada
Si bien el estudio de Echelon One encontró que la mayoría de los negocios imponen con bastante éxito políticas de encripción, también mostró que la mayoría no usan claves de encripción de fuerza apropiada. De acuerdo con un informe de febrero de 2011 del Natitonal Institute of Standards and Technology, las claves de encripción de 1024 bits han reducido su efectividad, y las de 2048 bits deberían usarse para todas las claves simétricas. Solo 44% de los departamentos IT usa claves con la fuerza recomendada, de acuerdo con el estudio de Echelon One y Venafi.5. Tener un plan para sustituir los certificados irrumpidos
Casi todos los negocios usan certificados digitales para autenticar un enjambre de servicios de redes, muchos de los cuales son críticos para el flujo de ingresos. Los certificados digitales son vulnerables al fraude y deben ser sustituidos cuando han sido penetrados.
Sorprendentemente, Echelon One ha dicho que la mayoría de los departamentos IT (55%) no tienen procesos administrativos para garantizar la continuidad del negocio sustituyendo con rapidez un certificado comprometido y sus acompañantes claves de encripción.
informationweek
