Los 20 controles críticos de la ciberdefensa

La seguridad de la información está cada día entrando, poco a poco en la pequeña y mediana empresa. Hoy día, todos hemos escuchado hablar, de brechas de información, de hackers, de ataques de denegación de servicio etc.

Hace ya unos años el instituto SANS, en conjunto con numerosas empresas y organizaciones gubernamentales estadounidenses (entre las que se encuentran el CERT de EEUU, la NSA, el Departamento de Defensa, la Fuerza Aérea de EEUU entre otros), desarrolló lo que llamaron los 20 controles críticos para la ciberdefensa. Este es un documento-guía que todo el personal involucrado en la ciberseguridad debería de tener en cuenta a la hora de construir un proyecto de seguridad, y que debería de asentar las bases de la futura seguridad de su organización.

El documento se llama: “The CIS Critical Security Controls for Effective Cyber Defense”, y del 1 al 20 expone los controles críticos, y las medidas aplicables a cada uno de ellos. Si seguimos el documento y hacemos alguna inversión y esfuerzo, nuestra organización ganará mucho en cuanto a seguridad de la información.

También recalcar de que se trata de un documento flexible, tanto o más como es el avance de la informática, algo de debemos de tener muy en cuenta. También hemos de tener en cuenta que estos controles implementados en nuestra organización, no nos protegerán del 100% de los ataques, pero sí serán una piedra en el camino para todos aquellos que busquen atacarnos, romper datos o exfiltrar información de nuestra organización.

Tras mis años de experiencia, en el campo de la seguridad informática, le puedo dar como consejo a los equipos TI, o auditores implicados en implementar estos controles críticos es: pensar como un atacante en cada paso de implementación que demos. Sé que es una tarea ardua, pero es la única que nos dará algo muy importante como es: el punto de vista del atacante. O, mejor dicho, qué visión de nuestra organización tiene el atacante desde su punto de vista.

 

Conseguir implementar todos estos controles, tiene que ir de la mano con la creación e implementación de un SGSI (Sistema de Gestión de Seguridad de la Información) acorde a las necesidades que tengamos.

Los controles están ordenados de mayor a menor riesgo, según los análisis de riesgos realizados por la NSA, siendo en primero el que mayor riesgo e impacto generaría y el último el que menos riesgo e impacto supondría. El estar ordenado de mayor a menor riesgo, no quiere decir que dejemos de lado los últimos controles pues estos pueden suponer un frontal de ataque a nuestra organización.

A la hora de implementar estos controles debemos de centrar nuestros esfuerzos no solo en implementarlos, sino en medirlos e intentar automatizarlos. La automatización de estos controles no solo nos ahorra esfuerzos al departamento TI, sino que nos permite el ahorro de los costes derivados de la automatización.

Este documento pretende ser de pequeña guía de implementación y mantenimiento de los controles pilares de la ciberdefensa.

Hay que decir que estos controles pueden variar en el tiempo, pero las variaciones pueden y son prácticamente escasas, ya que se trata de la aplicación de políticas de seguridad casi universales, y que como he dicho anteriormente constituyen los pilares donde, la política de seguridad de la información de nuestra organización se tiene que apoyar.

20-Critical-Security-Controls

Los veinte controles a tener en cuenta, ordenados de mayor a menor riesgo (según la National Security Agency) son los siguientes:

1: Inventario de dispositivos autorizados y no autorizados
2: Inventario de software autorizado y no autorizado
3: Configuraciones seguras de hardware y software para portátiles, equipos y servidores.
4: Configuraciones seguras para dispositivos de red
5: Defensa perimetral
6: Mantenimiento, monitorización y análisis de registros de auditoría
7: Seguridad en aplicaciones software
8: Uso controlado de privilegios de administración
9: Acceso controlado a recursos basado en su grado de confidencialidad
10: Análisis continuo de vulnerabilidades y sus correspondientes mitigaciones
11: Control y monitorización de cuentas
12: Defensa frente a malware
13: Control y limitación de puertos de red, protocolos y servicios
14: Control de dispositivos wireless
15: Prevención de fugas de información
16: Ingeniería de red segura
17: Test de intrusión y pruebas por parte de equipos Red Team
18: Capacidad de respuesta frente a incidentes
19: Capacidad de recuperación de datos

20: Estudio de técnicas de seguridad y formación necesaria para cubrir huecos

 

Fuente: https://arcosec-canal.blogspot.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *