Mes de la Ciberseguridad

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

Me topé con un artículo del “Mes de la Ciberseguridad” que quise compartir. Como todos sabemos, la seguridad informática es un ámbito relativamente nuevo, y aún a día de hoy, a pesar de todas las noticias relacionadas que aparecen en los medios de comunicación, sigue siendo un campo inexplorado para muchos profesionales, incluso entre los dedicados a la informática.

Es por ello que iniciativas cómo la que les presento hoy son necesarias para acercar y dar a conocer la problemática existente en lo que a seguridad informática se refiere, explicando claramente los problemas más comunes, e incluso dando ejemplos con los que poder aumentar la seguridad informática en nuestro entorno, tanto corporativo como particular.

Esta iniciativa se denomina el mes de la ciberseguridad (Cyber Security Awareness Month) del que este año se celebra su octava edición, y está promovida por el Departamento de Seguridad Nacional de los Estados Unidos de América, en cooperación con la National Cyber Security Alliance (NCSA) y el Multi-State Information Sharing and Analysis Center (MS-ISAC).

Para esta edición, se ha publicado mucho material, como consejos y pósters, entre otros, en la propia web dedicada a este evento. También se muestran recursos proporcionados a la causa por otras empresas, y otras muchas simplemente han decidido unirse haciendo campaña por su parte.

Desde el instituto SANS han querido colaborar con el mes de la ciberseguridad dando un repaso a su lista de 20 controles críticos de seguridad, ofreciendo en sus artículos diarios una visión sencilla y cercana de por que es importante implantar estos controles y cuales son los objetivos que se persiguen con ellos, proporcionando además directrices acerca de su implementación práctica. Además, estos controles han sido actualizados este último año, contemplando una correspondencia entre estos controles y los ofrecidos por el NIST y por el departamento de estado Australiano.

Antes de mostraros los controles, mencionar que el orden en que aparecen no corresponde con el orden de importancia ni con el orden en que deben ser implementados en una organización, ya que muchos de ellos son independientes y pueden ser implantados en paralelo. Además, 15 de ellos son automatizables, lo que facilita conseguir su cumplimiento, aunque sea a un nivel básico.

El listado de controles es el siguiente:

  1. Inventario de Dispositivos (Autorizados o No)
    • ¿Cuántos servidores hay en la DMZ?
    • ¿Cuántos servidores hay en total?
    • ¿Cuántas Workstations hay conectadas a la red?
    • ¿Cuántas impresoras hay?
    • ¿Cuántos Switches, Routers, Firewalls, Access Point?
  2. Inventario de Software (Autorizado o No)
    • Por diversas razones, como puede ser el servicio de Helpdesk (soporte técnico) se debe conocer el software que está instalado en los equipos, incluyendo la versión de cada uno de ellos.
  3. Configuración segura del software en equipos y servidores
    • Este punto, junto con los 2 anteriores buscan tener un mejor control de la red. El 1 y el 2 identifican el Hardware y el Software, con el 3 buscamos configurar de manera segura ese Hardware/Software
  4. Configuración segura de dispositivos de red
    • Podemos decir que los Switches, Routers y Firewalls “tocan” todo en una red, por esa razón debemos poner énfasis en asegurar estos dispositivos como parte vital de nuestra infraestructura.
  5. Defensa perimetral
    • Las redes internas de nuestra organización se expanden a través de VPNs, dispositivos móviles, organizaciones asociadas, etc. Por lo tanto la defensa perimetral es un punto importante a tener cuenta. Hoy en día vemos más segmentación en las redes, y lo que se busca es mantener un mayor control del tráfico que fluye entre esas redes. Una vez que entendamos como fluye la información y como accede a ésta los usuarios, comenzaremos a aplicar controles como Firewalls, Routers con ACLs, IPS, Tráfico Web, Tráfico de Emails, Accesos remotos, etc.
  6. Mantenimiento, monitorización y análisis de logs de Seguridad
    • La prevención es ideal, pero la detección es una necesidad” Los registros de seguridad (logs) nos permitirán saber cuando ocurren problemas en los sistemas, es una de las mejores formas de detectar incongruencias o fallos en las redes informáticas.
  7. Aplicación de Software de Seguridad
    • Las organizaciones deberían verificar que las consideraciones de seguridad se tienen en cuenta a lo largo de los requisitos, diseño, implementación, pruebas y otras fases del ciclo de vida de desarrollo de todas las aplicaciones.
  8. Uso controlado de privilegios administrativos
    • Es una necesidad la de poner controles más estrictos sobre el uso de los privilegios de administrador,  esto significa que el acceso de administrador (root) debe ser estrictamente controlado y monitoreado por su uso y abuso.
  9. Acceso controlado, basado en la necesidad de conocer (Need to know)
    • El principio de privilegios mínimos es fundamental para la seguridad de la información, está muy relacionado con la idea de “la necesidad de conocer“. Este término se suele utilizar más en el gobierno y los contextos militares, pero es muy válido en las redes comerciales también. Si no necesitas conocer cierta información, no deberás tener acceso a ella.
  10. Comprobación continua de las vulnerabilidades y su mitigación
    • Este es un importante mecanismo para detectar posibles vulnerabilidades y evitar así que nos tomen por sorpresa
  11. Monitorización y control de cuentas
  12. Defensa contra el malware
  13. Limitación y control de uso de puertos de red, protocolos y servicios
    • El descubrimiento de puertos abiertos y servicios corriendo en un sistema de cómputo son invitaciones directas para las amenazas informáticas; mientras menos “mostremos” más resguardados estaremos.
  14. Control de dispositivos inalámbricos
    • El uso de dispositivos inalámbricos sin seguridad o con contraseñas débiles sigue siendo parte de las estadísticas diarias. Estos dispositivos deben estar protegidos tanto físicamente como con algoritmos de cifrado fuerte.
  15. Prevención contra la pérdida de datos
  16. Diseño seguro de redes
  17. Test de penetración y ejercicios de tipo “Red Team
  18. Capacidad de respuesta ante incidentes
  19. Capacidad de recuperación de datos
  20. Revisión de las habilidades en seguridad y formación adecuada para cubrir carencias

En primera instancia, uno puede pensar que llevar todo esto a cabo en una empresa debe ser una tarea titánica y con un coste elevadísimo, tanto en mano de obra como en tiempo, pero, como ya hemos comentado, con un poco de ingenio y utilizando herramientas y aplicaciones gratuitas o libres, el coste puede reducirse significativamente. Como muestra este ejemplo (en inglés) de una implementación de estos controles en una empresa con presupuesto reducido.

Un buen enfoque puede ser comenzar por:

  • Conocer los elementos que conforman nuestra red y las aplicaciones que se utilizan (controles 1 y 2)
  • Luego controlar las cuentas de usuarios y su uso, para saber quién y como accede a los recursos existentes (controles 8, 9 y 11)
  • Comenzaría por realizar el diseño más óptimo y “seguro” para la red (control 16)
  • Aplicaría controles para los dispositivos inalámbricos y su correcto uso (control 14)
  • Más adelante plantear la configuración segura de todos los activos de la red (controles 3 y 4) y el control del perímetro de nuestra red, así como los servicios que ofrecemos al exterior (controles 5 y 13).
  • Aplicaría el control 12 para evitar en lo posible problemas de Malware, como pérdida de datos o fuga de información. (una de las principales amenazas de cualquier red informática)
  • Finalmente implementaría una política rigurosa de Backups para evitar la pérdida de datos y en caso de que esta pérdida se diera, tener un plan de recuperación de datos. (controles 15 y 19)
Fuente original | Cambios realizados por Expresión Binaria
Califica esta entrada

Etiquetas: , , ,


Deja un comentario

Cuanto es 20 + 8 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos