Mantener actualizado el sistema de información #CyberSecMonth

Estamos a solo unos días del final del CyberSecMonth 2018. Pero no se preocupe, todavía hay tiempo para aprender y compartir buenas prácticas sobre seguridad digital. De hecho, esa es nuestra ambición con esta nueva infografía sobre la importancia de mantener actualizado el sistema de información. Este CyberConseil nos importa mucho. De hecho, hemos desarrollado una solución que responde perfectamente a los desafíos del mantenimiento de un parque informático. ¡Le contamos más justo debajo!

Mantener Seguro Su Parque Informático Mediante Actualizaciones Regulares

En la era digital actual, la transformación digital sigue creciendo en importancia, ya que los sistemas de información y el software están en constante evolución y se actualizan con frecuencia. Las principales razones de estas actualizaciones incluyen la adición de nuevas funciones o la corrección de errores. Sin embargo, todos estos cambios introducen cierto nivel de «inestabilidad» en el software. Por lo tanto, no sorprende que se descubran vulnerabilidades de seguridad regularmente en estos sistemas.

Para los ciberatacantes, estas brechas de seguridad representan excelentes oportunidades para infiltrarse en el sistema de información. Sus objetivos incluyen acceder a datos sensibles o contaminar la red. Es imposible evitar que el software evolucione; la única opción viable es limitar los riesgos asociados con las frecuentes actualizaciones de las soluciones utilizadas dentro de una organización.

¿Cómo limitar los riesgos de infección del sistema de información?

Actualizar los componentes del sistema de información:

La mejor manera de mitigar este riesgo es estar al tanto de las nuevas vulnerabilidades descubiertas y actuar rápidamente. El CERT-FR es el Centro gubernamental francés de vigilancia, alerta y respuesta ante ataques informáticos, desempeñando el papel de CERT (Equipo de Respuesta ante Emergencias Informáticas) del gobierno. Realiza vigilancia tecnológica y comunica sobre el estado del arte de sistemas y software, manteniéndolo informado sobre las diversas vulnerabilidades de seguridad descubiertas. Posteriormente, es crucial aplicar los parches de seguridad en todos los componentes del sistema de información, idealmente dentro de un máximo de un mes después de la publicación por parte del editor. También se recomienda establecer una política de actualización que especifique:

• Cómo se realiza el inventario de los componentes del sistema de información.
• Fuentes de información sobre la publicación de actualizaciones.
• Herramientas para desplegar los parches en el parque informático.
• La eventual clasificación de los parches y su despliegue gradual en el parque.

Los componentes obsoletos que ya no cuentan con soporte por parte de los fabricantes deben ser aislados del resto del sistema. Esta medida también afecta a la red (filtrando estrictamente los flujos) y a los secretos de autenticación (dedicados a estos sistemas).

Vigilar la obsolescencia del software utilizado:

El uso de software u sistemas obsoletos representa un riesgo adicional de sufrir un ciberataque. Cuando un sistema ya no recibe parches de seguridad, se vuelve vulnerable. Muchas herramientas maliciosas en la web explotan esta falta de actualización de seguridad por parte del editor. Sin embargo, existen precauciones para evitar que los sistemas se vuelvan obsoletos:

• Crear y mantener un inventario de sistemas y aplicaciones del sistema de información.
• Preferir soluciones con soporte garantizado durante el tiempo de uso mínimo.
• Realizar un seguimiento de las actualizaciones y las fechas de finalización del soporte del software.
• Mantener la homogeneidad del parque informático. La acumulación de varias versiones de un software puede causar problemas y complicar el seguimiento del parque.
• Limitar las dependencias de funcionamiento entre software (adherencias de software). La duración del soporte de estas soluciones no es equivalente.
• Incluir cláusulas de seguimiento de parches de seguridad y gestión de obsolescencias en los contratos con proveedores y proveedores de servicios.
• Identificar los plazos y recursos necesarios para la migración de cada software en fase de declive (pruebas de no regresión, procedimientos de respaldo y migración de datos, etc.).

Facilitar la implementación de prácticas para mantener actualizado el sistema de información:

Verificar la conformidad del software:

SUMo (Software Update Monitor) es una herramienta simple pero muy útil que permite detectar automáticamente nuevas versiones de software instaladas en una computadora mediante el análisis del disco duro. Además, el software es gratuito y está disponible en francés. Durante un análisis, si SUMo detecta una nueva versión de un software, la consola mostrará la versión instalada actualmente en la computadora y la nueva versión disponible, así como un enlace para descargarla. También existe una versión de pago que permite descargar actualizaciones directamente desde los sitios de los desarrolladores.

WAPT para una gestión simplificada del parque:

WAPT es nuestra solución de implementación de software de código abierto para Windows. Está diseñado para simplificar la gestión de parques informáticos centralizando las acciones administrativas en una sola consola. Con WAPT, puede crear, probar, instalar, actualizar y desinstalar rápidamente paquetes de software o configuraciones en todo su parque. La información se actualiza directamente en la consola, lo que le permite conocer el progreso de las acciones en tiempo real. Además, puede programar el despliegue remoto de software para no interrumpir a los usuarios. La simplicidad de la herramienta le permite ser más reactivo y corregir rápidamente las vulnerabilidades de seguridad. Mantener actualizado su sistema de información es fácil con solo unos clics.

Para obtener más información sobre el despliegue de paquetes de software, tiene tres opciones disponibles. Primero, puede descargar paquetes seguros desde nuestra tienda (con más de 1000 paquetes disponibles). Alternativamente, puede crear sus propios paquetes a través de la consola de WAPT. Utilizamos Package Wizard y PyScripter para facilitar la creación de paquetes. Si esto parece complejo, también puede solicitarnos que desarrollemos paquetes por usted.

La Agencia Nacional de Seguridad de Sistemas de Información ha reconocido la seguridad y robustez del software. En efecto, ha otorgado a la versión 1.5 de WAPT Enterprise la calificación de la ANSSI. Esta versión ofrece mayor flexibilidad en la gestión de los parques más grandes, gracias a la autenticación mediante AD, la separación de roles de usuario y la gestión simplificada de sitios remotos y diferentes repositorios.

Beneficia de nuestra experiencia

Como creadores de WAPT, estamos en la mejor posición para responder tus preguntas y resolver tus problemas. Hemos establecido tickets de soporte y ofrecemos formaciones certificadas qualiopi sobre nuestro software. Nuestras metodologías de trabajo DevSecOps y nuestros 15 años de experiencia en la seguridad de redes locales nos convierten en socios de confianza para abordar eficazmente cualquier problema en un entorno informático.

Ciberseguridad: Visualizar, Comprender, Decidir

Esta semana, el Cigref, una red de grandes empresas y administraciones públicas francesas centrada en lo digital, ha publicado un informe sobre ciberseguridad. El objetivo de este informe es ayudar a las organizaciones a abordar los desafíos de la ciberseguridad. Para ello, el Cigref ha identificado y estructurado la información estratégica y los indicadores indispensables para proporcionar un tablero de control sobre la ciberseguridad. Este documento incluye varias secciones (sistema de información, vulnerabilidades de la empresa, etc.) y se basa en datos actuales, análisis de riesgos, elementos de costos e indicadores cuantitativos agregados.

Artículos que no debes perderte:

• Seguridad en la nube: ¿Cómo proteger tus datos? – Mismo
• Phishing (suplantación de identidad): ¡Cuidado con los sitios falsos! – Policía Nacional
• Francia obtiene el segundo lugar en el desafío europeo – ANSSI

Encuentra todas nuestras recomendaciones en Twitter y LinkedIn, y sigue los hashtags: #TousSecNum, #CyberSecMonth, #ECSM2018 y #ECSM. También sigue nuestro hashtag #CyberConseil para obtener consejos de Tranquil IT y descubrir las siguientes infografías.