Análisis de los resultados de la encuesta Threat Assessment de Novell
Se ha publicado la última encuesta a
empresas sobre Threat Assessment de Novell. La verdad es que los
resultados pueden ser peores,... pero poco más.
Fundamentalmente, los mayores riesgos se han identificado en el sector de la protección de la información en dispositivos fijos y móviles (siendo estos los que mayor exposición tienen).
Fuente: Security by Default
Fundamentalmente, los mayores riesgos se han identificado en el sector de la protección de la información en dispositivos fijos y móviles (siendo estos los que mayor exposición tienen).
- El 71% de las empresas no cifra los datos en los portátiles. En SbD hemos hablado largo y tendido de lo importante que es tener este tipo de medidas con los dispositivos móviles.
- El 73% no cifra unidades extraibles: discos USB y pendrives. Siempre me ha impresionado cuando he estado en algún cliente que he necesitado un pendrive para transferir en mano algún fichero. Aunque no quieras mirar lo que hay dentro, al insertarlo en un PC con windows, la configuración por defecto es que se muestre el contenido del "directorio raíz". Una persona no honrada, podría copiarse montones de ficheros (posiblemente con alto porcentaje de documentos clasificados como confidenciales). Con lo sencillo que es llevar un contenedor cifrado y Truecrypt por ejemplo en el mismo dispositivo (sin cifrar) para poderlo montar en cualquier ordenador mediante acceso con contraseña.
- Un 72% no controlan las copias de datos a dispositivos extraibles y un 78% no hacen accounting de qué se copia a los pendrives. ¿Problemas de DLP?
-
El 90 % de las empresas encuestadas reconocen que sus empleados acceden
a redes wireless inseguras, de forma consciente, cuando están en
hoteles, aeropuertos, bares o donde encuentran una red wireless. Aquí
podemos ver dos problemas bastante importantes: Por un lado, el exponer
de forma directa un PC a una red no conocida, no siempre correctamente
bastionados, no siempre correctamente protegidos por cortafuegos de
host, etc... (un 76% de la empresas no pueden asegurar la salud de los
dispositivos móviles fuera de la empresa). El otro problema es el
protocolo utilizado para intercambiar tráfico sensible a través de un
canal inseguro. Por ejemplo, servidores de correo configurados para
permitir recoger el correo por POP3 y envío por SMTP (sin VPNs como
medida de protección). Sé positivamente de gente que provee hotspots
para que la gente acceda de forma gratuita, pero tiene herramientas de
sniffing para recoger contraseñas varias y sobre todo trastear con lo
que la gente hace a través de su red sin cifrar. A día de hoy, con la
competencia que hay entre operadores, el disponer de un dispositivo USB
3G (o a través de un enlace con el teléfono móvil) es una propuesta muy
barata que proporciona un nivel de seguridad mayor que usar de forma
gratuita la inocente red de un vecino....
- Entre un 65% y un 73% de las compañías no disponen de tecnologías NAC que puedan permitir detectar y/o prevenir el acceso a la red de dispositivos que no cumplan con una política de protección del puesto del usuario definidas por la organización: Antivirus, niveles de parches, IDS/IPS de host, etc,....
Fuente: Security by Default
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!