Skip to main Content
Artículo

9 puntos débiles de la seguridad como administradores

Global Knowledge
  • Fecha: 29 March, 2021

Las organizaciones dependen de los administradores para hacer muchas cosas. Si eres administrador y estás leyendo esto, ya lo sabrás. Para ayudar a las organizaciones a reducir sus vulnerabilidades de seguridad y reducir las posibilidades de error humano, aquí hay 9 puntos débiles de la seguridad a nivel administrador que debemos tener en cuenta, seamos administradores o no.

No usar dos cuentas

Una cuenta de un administrador es un objetivo preciado en los ciberataques. Si dicha cuenta se ve comprometida, un intruso puede usarla para promover sus explotaciones fácilmente. Para minimizar la exposición de éstas al abuso, debe tener dos cuentas de usuario diferentes: una de administrador poderoso o cuenta raíz y la otra una cuenta de usuario estándar limitada regular.

La mayoría de las actividades diarias de un administrador son rutinarias, como manejar el correo electrónico, navegar por la web, leer documentación, comunicarse a través del chat, etc. Por lo tanto, realizar estas actividades con una cuenta de administrador poderosa es un riesgo sin beneficio.

Ejecución de scripts sin realizar una revisión de código

Todos somos humanos y, por lo tanto, buscamos una menor complejidad e inconveniencia. Con este fin, a menudo se intenta automatizar tantas tareas como sea posible. Esto permite tanto la ejecución consistente de labores como minimizar la participación humana. Sin embargo, dichos scripts de automatización deben escribirse internamente o someterse a una revisión exhaustiva del código estático y dinámico antes de su uso.

Reutilización de contraseñas

Ya no hay excusa para reutilizar contraseñas. Este ha sido un lema de seguridad estándar durante al menos tres décadas. Cada vez que necesite crear una nueva cuenta para su propio uso, debe utilizar una contraseña única. Nunca, bajo ninguna circunstancia, debe reutilizar alguna. Si necesita más razones, busque sus direcciones de correo electrónico en haveibeenpwned.com y spycloud.com, luego busque usando la misma dirección de correo electrónico en checkusernames.com y knowem.com.

Limpieza después de resolver problemas

Tratar los problemas es una tarea fundamental del administrador. Sin embargo, es posible que no siempre conozca la solución que resolverá el problema. Por lo tanto, puede haber muchas etapas de prueba y error para encontrar los medios y métodos que funcionen. Cambiar la configuración, instalar nuevas unidades y cambiar el software son tareas potenciales para solucionar estos problema. Sin embargo, si estas acciones no se limpian, eliminan o revierten después de encontrar una solución viable, estos cambios pueden generar problemas más complejos en el futuro.

Quedarse atrás en las actualizaciones de software

¿Cuántas veces ha leído sobre el riesgo en el que se ha puesto una organización  porque se retrasaron meses en la instalación de actualizaciones y parches? No sea esa empresa. Mantenga el sistema probando, aprobando e instalando actualizaciones. Siempre que sea posible, haz que se instalen actualizaciones críticas en una semana y actualizaciones importantes en un mes.

No llevar un inventario completo de todos los dispositivos de punto final

El perímetro de una red moderna ya no está tan claramente definido hoy como hace unas décadas. Hemos evolucionado nuestros dispositivos de usuario final o puntos finales de estaciones de trabajo, portátiles, teléfonos móviles y tablets, equipos controlados por voz, IoT, aplicaciones y la nube. ¿Ha intentado siquiera hacer un inventario de todos los dispositivos terminales que pueden conectarse a su LAN interna y ver datos o realizar cambios? Si no es así, ¿cómo puede estar seguro de haber implementado los mecanismos de seguridad necesarios para proteger el medio ambiente?

Pensar que no es necesario evaluar la seguridad en la nube

La nube se utiliza como solución para casi todos los problemas de TI corporativos. ¿Necesitas más capacidad? Ve a la nube. ¿Quiere un mayor rendimiento? Ponlo en la nube. ¿Necesitas más recursos? Usa la nube. ¿Quiere una adopción más rápida de nuevas tecnologías? Aprovecha la nube.

Sin embargo, la nube es solo un uso de servicios informáticos remotos.

Aún necesita realizar una administración de seguridad completa y consistente sin importar quién sea el proveedor de ésta. Debe considerar si usar la nube es la decisión de seguridad correcta, si un proveedor / servidor específico puede satisfacer sus necesidades de seguridad, y cómo probar y verificar con el tiempo que la seguridad proporcionada a través de ella es suficiente y mejora según sea necesario.

No tener un back up en papel, por lo que pueda pasar

Todas estas nuevas medidas de seguridad cada vez son mejores, más fáciles y más rentables. Para ello hay que crear documentación. Aunque no le guste la tarea de crear documentación, lo más probable es que se haya beneficiado de ella en algún momento de su carrera. Ya sea que haya consultado una hoja de especificaciones técnicas, haya leído un manual de usuario, haya revisado un archivo de registro o haya revisado las notas de un operador.

Suponiendo que siempre estará presente y disponible

Los administradores son personas. Se enferman, se van de vacaciones, se jubilan, incluso los despiden. Por lo tanto, como administrador, debe ser más consciente de sí mismo y darse cuenta de que no puede operar como la piedra angular de una organización si desea que esa organización sea estable y viable a largo plazo. Debe centrarse en la coherencia, la automatización y la documentación. Las funciones básicas de la organización deben seguir funcionando, incluso si está fuera de la oficina durante días o semanas. Si lo reemplazan o alguien lo reemplaza mientras está ausente temporalmente, las tareas de administración deben estar bien documentadas y ser claramente accesibles para la siguiente persona que necesite realizar las tareas y deberes de un administrador. Debe evitar guardar secretos que no sean su propia contraseña. No debe tener listas de tareas pendientes solo en sus cabezas.

Cómo puede prepararse para todo lo que acabamos de ver:

Temas relacionados:

Artículos relacionados
17 Jan 2020 Artículo

CISSP es una certificación que se paga mejor año tras año. Descubre por qué esta credencial (ISC) 2 sigue siendo tan relevante y valiosa para los prof...Leer más

27 Mar 2023 Artículo

Donde el Azure Administrator es visto como una araña en la telaraña de los servicios en la nube de Microsoft, el Azure Architect desempeña el papel de...Leer más

16 Mar 2020 Artículo

Global Knowledge te ofrece una forma de formación flexible: nuestro formato Virtual Classroom Live. Te contamos por qué deberías considerar la formac...Leer más