CIBERSEGURIDAD 60 3. Implantar WAF (Web Applicatión Firewall) como medida pre- ventiva para sitios Web. 4. Implantar protección antivirus actualizada en todas las redes y sistemas finales (servidores, portátiles, equipos de computación de sobremesa, tablets, smartphones, disposi- tivos IoT, etc.) que soporte escaneo tanto automático como manual de modo que los usuarios puedan analizar los ficheros adjuntos sospechosos antes de abrirlos. Implantar un centro de análisis de unidades USB para explorar y sólo permitir la introducción de dichas unidades en el resto de dispositivos de un ecosistema IT-OT sólo si han sido escaneadas previamente y el resultado ha sido sin malware. 5. Implantar capacidades SIEM-SOC para detectar ataques a tiempo y poder actuar debidamente. 6. Implantar herramientas de auditoría software automatizadas y herramientas de gestión de vulnerabilidades y superficies de ataques para identificar y actuar frente a ellas. El soft- ware utilizado para implementar un ICS (Industrial Control System) puede ser vulnerable a buffer-overflows y/o a ciber- ataques DoS. 7. Implantar el cifrado y/o la esteganografía y ejecutar canales subliminares para transportar, almacenar y ejecutar toda la información sensible (contra posibles ataques a través de sniffers, spyware) y no almacenar información sensible donde pueda ser accedida públicamente. Gestionar centrali- zadamente las claves criptográficas. Firmar digitalmente y/o aplicar funciones hash/MAC a ficheros y datos para saber si han sido o no modificados. 8. Utilizar autenticación multi-factor (al menos de dos factores y si puede ser mutua mejor e incluso sin revelar la contraseña vía tecnología ZK) especialmente para autenticar cuentas con privilegios; emplear biometría multimodal (pero incluso puede ser ciber-atacada). Eliminar cuentas huérfanas; utilizar contraseñas de diez o más caracteres alfanuméricos (núme- ros, letras y caracteres especiales), en el caso de contraseñas más cortas utilizar un mecanismo de limitación del número de reintentos (por ejemplo, tres intentos en el caso de un PIN de cuatro caracteres numéricos de un móvil). 9. No permitir la reutilización de combinaciones nombre de usua- rio y contraseña idénticas para múltiples sistemas. No utilizar en más de un sitio (Web, BD, etc.) la misma contraseña. Que las contraseñas no se encuentren en el diccionario ni se puedan inferir de búsquedas en Redes Sociales. No comparta ni revele su contraseña. 10. Realizar copias de seguridad (o backup) con frecuencia y guar- darlas en servidores dedicados lejanos que estén aislados de los segmentos de red utilizados para las operaciones del día a día; periódicamente comprobar que se pueden recuperar dichas copias. Se puede utilizar tecnología key-escrow o fragmentación Shamir para guardar la información a proteger distribuida. 11. Minimizar los privilegios de los usuarios y servicios tanto como sea posible. 12. Utilizar teclados virtuales para protegerse de posibles ataques basados en keyloggers hardware o software. Implantar tecno- logía Tempest basada en cajas de Faraday para evitar posibles fugas de datos basadas en emanaciones electromagnéticas. 13. Aplicar una política de contraseñas con longitud estricta y necesidades de complejidad (números, letras y caracteres especiales). 14. Exigir cambio de contraseña cada un número determinado de días. 15. Reemplazar todas las contraseñas por defecto por unas más robustas, de mayor entropía, que sean únicas. 16. Regularmente realizar test de penetración-intrusión (Pen-tests) para identificar nuevas superficies de ataque y vectores para ciber-atacar a la infraestructura interna y poder evaluar la efec- tividad de las medidas existentes. 17. Filtrar el tráfico para minimizar el número de interfaces de servi- cios de red accesibles a los atacantes externos. 18. Seguir la pista del número de peticiones entrantes por segundo, configurar servidores y dispositivos de red para resistir los ciber- ataques típicos como inundación SYN-TCP o UDP y sobrecargar bases de datos y saturar redes. 19. Monitorizar el perímetro de red para todos los nuevos recursos inseguros. 20. Mantener todo el software actualizado y no retardar gestio- nando adecuadamente la instalación de parches. 21. Regularmente auditar la seguridad de aplicaciones Web inclu- yendo análisis de código fuente para identificar y eliminar vulnerabilidades que pongan los sistemas y clientes de aplicación en riesgo de ataque; realizar auditorías estáticas y dinámicas. 22. Educar, formar y verificar a los empleados en relación a sus capacidades-habilidades y concienciación real frente a la ciberseguridad y sus vulnerabilidades frente a los ataques por ingeniería social. 23. Mejorar objetivamente la formación, concienciación y los controles de protección en ciberseguridad entre clientes, pro- veedores, socios corporativos, etc. 24. Informar de los eventos relacionados con la ciberseguridad y privacidad, como lo exige, por ejemplo, el GDPR. 25. Implantar y explicar protocolos sobre lo que los clientes debe- rían hacer si sospechan de fraude. 26. Aplicar protocolos de actuación en relación a que los clientes no introduzcan credenciales en sitios Web sospechosos y no dar dicha información de credenciales por correo electró- nico, mensajería instantánea o teléfono. 27. Regularmente formar a los clientes sobre la forma de estar protegido online de la mayor parte de ciber-ataques comu- nes; cerrar la sesión antes de ausentarse de su puesto de