No pasa una semana sin noticias de una brecha de datos importante: 60 millones de usuarios de USPS; 40 millones de tarjetas de crédito utilizadas en las tiendas Target; 500 millones de usuarios de Marriott. Gigabytes sobre gigabytes de datos descargados en Internet para que todos los vean. Y estos son solo los que escuchas.
La escala es bastante asombrosa. Un estudio realizado por el Centro de Recursos de Robo de Identidad y Cyberscout publicó un informe en el que el número de violaciones de datos solo en los Estados Unidos alcanzó 791 en la primera mitad de este año. Eso es más de 4 por día. Extrapolar eso al mundo más amplio y, bueno, entiendes la idea.
El uso de palabras de moda en tecnología es el signo revelador de cualquier administrador de TI. Pero la seguridad digital ya no es solo para profesionales, y tener un departamento de TI dedicado es un lujo que muchas empresas pequeñas no pueden permitirse. Se espera que los proveedores de software sean responsables de sus propios estándares de seguridad, pero ¿cómo saber si están haciendo un buen trabajo? Aquí hay 4 cosas que debe buscar en un software seguro y 1 consejo de seguridad útil.
Cifrado (preferiblemente de extremo a extremo)
El aumento de los estándares de seguridad ha hecho que el cifrado -también conocido como encriptado – sea un lugar común entre los proveedores de software. Esto significa que sus datos se codifican durante el tránsito y luego se descodifican cuando llegan al servidor. Con el cifrado de extremo a extremo, solo el remitente y el destinatario pueden desbloquear y leer la información. Los mensajes se pasan a través de un servidor, pero no puede leer los mensajes.Los principales navegadores web requieren el uso de https, o certificados TLS / SSL, para evitar advertencias de «No seguro» en su sitio web. Los sitios web de alta seguridad que proporcionan verificación de identidad al usuario final son una buena práctica.
TIP: Pregúntele a su proveedor de software sobre su estrategia de cifrado.
La tecnología de cifrado es lo que evita el fraude de información. Es un proceso que cifra el mensaje de acuerdo con un protocolo acordado por el remitente y el destinatario antes de que comience el proceso y transforma la información en un mensaje ilegible si alguien intenta interceptarlo. Con respecto a los certificados digitales, esta codificación criptográfica es generada por un software específico, que imputa una clave secreta en cada mensaje. «Por lo tanto, es necesario establecer y mantener conexiones seguras entre los sistemas de TI y los dispositivos externos para proteger la información confidencial mientras viajan dentro y fuera de su red. Nuestro mundo depende de la encriptación digital segura», explica Dean Coclin de DigiCert, la empresa líder mundial Proveedor de soluciones TLS / SSL, IoT y PKI.
SSL vs. TLS
Hablando de encriptación, SSL (o Secure Socket Layer) garantiza una conexión encriptada entre un navegador y un servidor. Fue desarrollado por primera vez por Netscape en 1995 y es el precursor de TLS, que significa Transport Layer Security y se introdujo por primera vez en 1999 (con la versión 1.3 actualmente en desarrollo). SSL 2.0 y 3.0 fueron desaprobados por el IETF en 2011 y 2015, respectivamente, y TLS se ha convertido en el protocolo de seguridad más utilizado en Internet para banca en línea y sitios de compras. En general, la presencia de «https: //» en lugar de «http: //» en la barra de direcciones del navegador indica que la conexión entre su computadora y el sitio web está encriptada TLS.
“Esto protege mejor a los usuarios de la web, quienes pueden verificar que el certificado haya sido emitido a la compañía correcta. De esta manera la conexión de este tipo de certificados protege los datos confidenciales, como la información de las tarjetas de crédito, intercambiados durante cada visita -llamada más comúnmente sesión- de ser interceptados por terceros no autorizados”, agrega Dean Coclin..
TIP: Verifique la URL de los sitios que visita, especialmente aquellos en los que envía información personal.
Agregar Autenticación
Saber con quién se está conectando en línea es tan importante como los datos que envía cuando se encripta. TLS / SSL de alta seguridad y otros certificados digitales le brindan la certeza de que el operador del sitio web que está visitando fue examinado de acuerdo con los requisitos globales de las autoridades de certificación. De esta manera, tiene una mejor forma de saber que el sitio web que desea visitar es legítimo. Los propietarios de sitios web también pueden estar mejor protegidos contra los impostores al exigir en el registro de la CAA que se les expidan certificados OV o EV solo en sus propiedades web..
TIP: pregunte a sus sitios web favoritos si usan certificados OV o EV, o busque la barra de direcciones verde.
Tema clave PKI
Los certificados PKI y Digital no solo se utilizan para proteger las comunicaciones del sitio web, sino también para la autenticación y el cifrado dentro de la empresa: DigiCert proporciona una plataforma PKI empresarial líder que ayuda a las empresas a proteger el correo electrónico, autenticar dispositivos WiFi, acceso remoto seguro con VPN, administrar dispositivos móviles, proporcionar firma de documentos, admite autenticación web sólida, proporciona inicio de sesión con tarjeta inteligente, etc. Las operaciones de gestión de certificados dentro de la plataforma PKI son automatizadas e integradas con Microsoft Active Directory. Las empresas líderes, como IBM, se han dado cuenta del valor de una plataforma PKI escalable para la autenticación y el cifrado dentro de sus redes.
TIP: Pregúntele a su empleador cómo usan los certificados digitales para autenticar conexiones y dispositivos y encriptar datos dentro de las aplicaciones empresariales.
Los estándares de seguridad evolucionan y cambian constantemente, y puede ser difícil mantenerse al día con la jerga. Sin embargo, hacer su investigación dará sus frutos a largo plazo y ofrecerá protección contra ataques dañinos.
¿Qué pueden hacer las compañías?
Los buenos hábitos de ciberseguridad de las empresas comienzan con la educación. Los empleados necesitan conocer conceptos como spearfishing y el clickjacking. Deben aprender a detectar enlaces maliciosos, reconocer los sitios de phishing y la importancia de las actualizaciones de software y la autenticación de múltiples factores. Los administradores de contraseñas deben ser obligatorios para evitar su reutilización y aumentar la entropía, pero eso también debe combinarse con enseñar cómo usarlos correctamente.