Como todos sabemos, la seguridad informática es un ámbito relativamente nuevo,y aún a día de hoy,a pesar de todas las noticias relacionadas que aparecen en los medios de comunicación, sigue siendo un campo inexplorado para muchos profesionales, incluso entre los dedicados a la informática.
Es por ello que iniciativas cómo la que os presento hoy son necesarias para acercar y dar a conocer la problemática existente en lo que a seguridad informática se refiere, explicando claramente los problemas más comunes, e incluso dando ejemplos con los que poder aumentar la seguridad informática en nuestro entorno, tanto corporativo como particular.
Esta iniciativa se denomina el mes de la ciberseguridad (Cyber Security Awareness Month) del que este año se celebra su octava edición, y está promovida por el Departamento de Seguridad Nacional de los Estados Unidos de América, en cooperación con la National Cyber Security Alliance (NCSA) y el Multi-State Information Sharing and Analysis Center (MS-ISAC).
Para esta edición, se ha publicado mucho material, como consejos y pósters, entre otros, en la propia web dedicada a este evento. También se muestran recursos proporcionados a la causa por otras empresas, y otras muchas simplemente han decidido unirse haciendo campaña por su parte.
Desde el instituto SANS han querido colaborar con el mes de la ciberseguridad dando un repaso a su lista de 20 controles críticos de seguridad, ofreciendo en sus artículos diarios una visión sencilla y cercana de por que es importante implantar estos controles y cuales son los objetivos que se persiguen con ellos, proporcionando además directrices acerca de su implementación práctica. Además, estos controles han sido actualizados este último año, contemplando una correspondencia entre estos controles y los ofrecidos por el NIST y por el departamento de estado Australiano.
Antes de mostraros los controles, mencionar que el orden en que aparecen no corresponde con el orden de importancia ni con el orden en que deben ser implementados en una organización, ya que muchos de ellos son independientes y pueden ser implantados en paralelo. Además, 15 de ellos son automatizables, lo que facilita conseguir su cumplimiento, aunque sea a un nivel básico.
El listado de controles es el siguiente:
1.- [SANS] Inventario de Dispositivos (Autorizados o No)
2.- [SANS] Inventario de Software (Autorizado o No)
3.- [SANS] Configuración segura del software en equipos y servidores
4.- [SANS] Configuración segura de dispositivos de red
5.- [SANS] Defensa perimetral
6.- [SANS] Mantenimiento, monitorización y análisis de logs de Seguridad
7.- [SANS] Seguridad en aplicaciones software
8.- [SANS] Uso controlado de privilegios administrativos
9.- [SANS] Acceso controlado, basado en la necesidad de conocer (Need to know)
10.- [SANS] Comprobación continua de las vulnerabilidades y su mitigación
11.- [SANS] Monitorización y control de cuentas
12.- [SANS] Defensa contra el malware
13.- [SANS] Limitación y control de uso de puertos de red, protocolos y servicios
14.- [SANS] Control de dispositivos inalámbricos
15.- [SANS] Prevención contra la pérdida de datos
16.- [SANS] Diseño de redes seguro
17.- [SANS] Test de penetración y ejercicios de tipo “Red Team”
18.- [SANS] Capacidad de respuesta ante incidentes
19.- [SANS] Capacidad de recuperación de datos
20.- [SANS] Revisión de las habilidades en seguridad y formación adecuada para cubrir carencias
En primera instancia, uno puede pensar que llevar todo esto a cabo en una empresa debe ser una tarea titánica y con un coste elevadísimo, tanto en mano de obra como en tiempo, pero, como ya hemos comentado, con un poco de ingenio y utilizando herramientas y aplicaciones gratuitas o libres, el coste puede reducirse significativamente. Como muestra este ejemplo (en inglés) de una implementación de estos controles en una empresa con presupuesto reducido.
Bajo mi punto de vista, creo que un buen enfoque puede ser comenzar por conocer los elementos que conforman nuestra red y las aplicaciones que se utilizan (controles 1 y 2), luego controlar las cuentas de usuarios y su uso, para saber quién y como accede a los recursos existentes (controles 11, 8 y 9), y más adelante plantear la configuración segura de todos los activos de la red (controles 3 y 4) y el control del perímetro de nuestra red, así como los servicios que ofrecemos al exterior (controles 5 y 13). ¿Qué os parece este enfoque? Si no os parece adecuado, ¿cómo lo modificaríais?
Para finalizar me gustaría destacar la necesidad de este tipo de programas, que nos ayudan a dar difusión a los problemas de seguridad informática y nos aportan soluciones para mejorar nuestra navegación, cada vez más ubícua, en los entornos informáticos.
Según lo que planteas al final del artículo, antes de pasar a los controles 3 y 4 primero yo incluiría el diseño seguro de la red (control 16). A esto le añadiría otros controles de mucha importancia que me parece que se te escaparon, como son el control de dispositivos inalámbricos (14) que son cada vez más usados y el 15 y el 19 para evitar pérdida de datos (la base de cualquier organismo)y en caso de pérdida un plan de recuperación de datos (backups). Y por último pero no menos importante aplicaría un control fuerte contra el malware (12) con esto estaría cubriendo posibles pérdidas de datos, fuga de información, servicios y/o puertos abiertos por algún troyano, etc.
PD: Me tome la libertad de re-publicar tu artículo en mi Website con algunos cambios.
Saludos
Muchas gracias por republicar el artículo. Me alegro que te parezca interesante. La tarea del control y gestión de la seguridad de nuestro entorno digital es una cosa que afecta a todos, y cualquier forma de hacerla llegar al máximo de personas es de agradecer.
Sobre el orden de aplicación de los controles que indicas, es igualmente válido, todo depende del caso en concreto en el que te encuentres. Para ejemplificar el artículo, me centré en una empresa que no ejerce ningún control de seguridad, y que tampoco tiene mucho presupuesto para gastar en la securización de su red.
Por eso indiqué primero los controles que a mi juicio son más básicos para tener una idea principal del estado de la empresa, y a partir de ahí empezar a construir un entorno seguro poco a poco. Es por ello que primero elegí los controles más sencillos y automatizables (los 15 primeros) y dejé para más adelante los controles que comentas, que son más costosos.
Lo bueno que tiene esto es que tu aproximación al problema es igual de válida que la mía, ya que el orden de aplicación de los controles no importa. Lo que en verdad importa es que todos los controles acaben aplicandose correctamente.
Muchas gracias por tu contribución,
Saludos.