Controles imprescindibles para una buena ciberseguridad

La seguridad de la información está cada día entrando, poco a poco en la pequeña y mediana empresa. Hoy día, todos hemos escuchado hablar, de brechas de información, de hackers, de ataques de denegación de servicio, etc.

Hace ya unos años el instituto SANS, en conjunto con numerosas empresas y organizaciones gubernamentales estadounidenses (entre las que se encuentran el CERT de EEUU, la NSA, el Departamento de Defensa, la Fuerza Aérea de EEUU entre otros), desarrolló lo que llamaron los 20 controles críticos para la ciberdefensa. Este es un documento-guía que todo el personal involucrado en la ciberseguridad debería de tener en cuenta a la hora de construir un proyecto de seguridad, y que debería de asentar las bases de la futura seguridad de su organización.

El documento se llama: “The CIS Critical Security Controls for Effective Cyber Defense”, y donde exponen del 1 al 20, los diferentes controles críticos, y las medidas aplicables a cada uno de ellos. Si seguimos el documento y hacemos alguna inversión y esfuerzo, nuestra empresa ganará mucho en cuanto a seguridad de la información.

Podéis descargar los documentos completos en PDF a través de los enlaces oficiales en las referencias de este artículo.

Hemos de tener en cuenta que estos controles implementados en nuestra organización, no nos protegerán del 100% de los ataques, pero sí serán una piedra en el camino para todos aquellos que busquen atacarnos, romper datos o exfiltrar información de nuestra organización.

Mi humilde sugerencia (y seguramente la de muchos expertos) a los equipos TI, o auditores implicados en implementar estos controles críticos es: pensar siempre como un atacante.

Sin duda alguna, es una tarea ardua, pero es la única forma en la que conseguiremos algo muy importante: acercarnos mucho al punto de vista que el atacante tiene de nuestro sistema, y la visión que tiene de nuestra organización como objetivo a atacar.

Conseguir implementar todos estos controles, debería (sí o sí) ir de la mano con la creación e implementación de un SGSI (Sistema de Gestión de Seguridad de la Información) acorde a las necesidades que tengamos.

Los controles están ordenados de mayor a menor riesgo, según los análisis de riesgos realizados por la NSA, siendo el primero el que mayor riesgo e impacto generaría, y el último el que menos riesgo e impacto supondría. El estar ordenado de mayor a menor riesgo, no quiere decir que dejemos de lado los últimos controles pues estos pueden suponer un frontal de ataque a nuestra organización.

A la hora de implementar estos controles debemos de centrar nuestros esfuerzos no solo en implementarlos, sino en medirlos e intentar automatizarlos. La automatización de estos controles no sólo ahorra esfuerzos al departamento TI, sino que también nos permite el ahorro de los costes derivados de la automatización.

Hay que decir que estos controles pueden variar en el tiempo, pero las variaciones pueden y son prácticamente escasas, ya que se trata de la aplicación de políticas de seguridad casi universales, y que como he dicho anteriormente constituyen los pilares donde, la política de seguridad de la información de nuestra organización se tiene que apoyar.

Los veinte controles a tener en cuenta, ordenados de mayor a menor riesgo (según la National Security Agency) son los siguientes:

1. Inventario de dispositivos autorizados y no autorizados.

2. Inventario de software autorizado y no autorizado.

3. Configuraciones seguras de hardware y software para portátiles, equipos y servidores.

4. Configuraciones seguras para dispositivos de red.

5. Defensa perimetral.

6. Mantenimiento, monitorización y análisis de registros de auditoría.

7. Seguridad en aplicaciones software.

8. Uso controlado de privilegios de administración.

9. Acceso controlado a recursos basado en su grado de confidencialidad.

10. Análisis continuo de vulnerabilidades y sus correspondientes mitigaciones.

11. Control y monitorización de cuentas y sus permisos.

12. Defensa frente a malware.

13. Control y limitación de puertos de red, protocolos y servicios.

14. Control de dispositivos inalámbricos.

15. Prevención de fugas de información.

16. Ingeniería de red segura.

17. Test de intrusión y pruebas por parte de equipos Red Team

18. Capacidad de respuesta frente a incidentes.

19. Capacidad de recuperación de datos.

20. Estudio de técnicas de seguridad y formación necesaria para cubrir huecos.

Espero y deseo que os haya gustado, y por supuesto gracias infinitas o tod@s por leerme y por vuestro seguimiento y apoyo contínuo, es un verdadero lujo que no todo el mundo tiene.

Referencias:

https://www.cisecurity.org/controls/

https://www.sans.org/critical-security-controls

https://www.tml.org/p/TheCISCriticalSecurityControlsEffectiveCyberDefense.pdf

https://www.sans.org/media/critical-security-controls/critical-controls-poster-2016.pdf

https://resources.trendmicro.com/rs/945-CXD-062/images/sans_top20_csc_trendmicro2016.pdf

https://www.tripwire.com/state-of-security/security-data-protection/introducing-version-6-of-the-center-for-internet-security-critical-security-controls-for-effective-cyber-defense/

https://www.auditscripts.com/free-resources/critical-security-controls/

https://ciberseguridad.blog/controles-seguridad-informacion/

https://ciberseguridad.blog/guia-practica-para-implementar-los-controles-criticos-de-seguridad/