Skip to main content

Seguridad Básica, qué debes tener antes de pensar en un Programa de Seguridad


Cuando converso con organizaciones preocupadas por la seguridad de sus sistemas de información muchas veces sale a relucir la necesidad de tener un Programa de Seguridad. En la mayoría de los casos es necesario. Pero antes de empezar a pensar a métodos avanzados de detección con inteligencia artificial, SIEM (ya hablaré nuevamente de esta tecnología mágica en el futuro) o cualquier otra hierba aromática o tecnología de moda (#blockchain curará el cáncer) es importante tener controles en lo yo llamo seguridad básica:
  1. Inventario de usuarios y sistemas
  2. Seguridad de Credenciales
  3. Sistemas de antivirus actualizados
  4. Instalación de actualizaciones de seguridad (parches)
  5. Seguridad de correo electrónico
  6. Respaldos a sistemas

Antes de ir sobre cada uno de los puntos listados es importante mencionar que la Seguridad Básica no es algo a lo cual se llega.  La Seguridad Básica es una meta que se mueve con el tiempo a medida que se dan los avances tecnológicos. Es algo que aunque básico se rige por los principios de la mejora continua.  Es la decisión de hacer lo máximo posible en base a los recursos limitados.

Inventario de usuarios y sistemas

Dice la teoría que el primer paso para gestionar algo es medirlo.  No puedes medirlo ni protegerlo si no sabes qué, dónde y quién está en tus sistemas de información. Debes poder responder estas preguntas:
  1. ¿Cuáles son mis sistemas de misión crítica?
  2. ¿Quiénes son administradores de dichos sistemas de misión crítica?
  3. ¿Quiénes se conectan a mi red y con cuáles equipos?

Seguridad de Credenciales

Una credencial es la combinación de un identificador (nombre de usuario), una autenticación (contraseña) y autorización (permisos permitidos).
La principal manera de proteger credenciales es una contraseña privada o un segundo factor de autenticación.
Para mi cuando se piensa en seguridad básica de credenciales se debe:
  1. Asegurarse que las contraseñas son solamente utilizadas en conexiones seguras como SSH, HTTPS.
  2.   Las contraseñas deberían ser de por lo menos 15 caracteres para sistemas de misión crítica.
  3. Las credenciales deben ser protegidas por Password Managers como KeePass, LastPass o similares.
  4. Las credenciales no se repiten entre sistemas de la oficina o credenciales personales.


Recomendación #1: busca en Have I Been Pwned si alguna credencial personal ya fue reportada como robada.

Sistemas de antivirus actualizados

Todos los sistemas de misión crítica y equipos de usuario deben tener un antivirus que se actualice diariamente. Esto quizás parezca obvio en 2020 pero sigue siendo importante.  Antes de comprar el mejor ______________ (llene el espacio con el producto de seguridad que quiera) adquiera un sistema antivirus reconocido.  

Administrar su antivirus no debería convertirse en otro problema de gestión, solo trabaje con aquellos que le permiten administración desde la nube y que dicha administración venga con autenticación con un segundo factor.
Una vez su antivirus está activado y reportándose contra la consola en la nube asegúrese que escanea sus equipos frecuentemente (sugiero por lo menos una vez a la semana).
Recomendación #2:  puedes validar que tu antivirus está trabajando por medio de la prueba Eicar.

Instalación de actualizaciones de seguridad (parches)


Instalar actualizaciones de seguridad es algo que los departamentos de tecnología adoramos. No hay nada más divertido que planificar esas ventanas de atención en fines de semanas y noches cuando el resto de la compañía sale a divertirse….

Está bien, lo anterior fue una total mentira. Aun así, un sistema con sus actualizaciones de seguridad al día es tan importante como evitar que tu contraseña del controlador del dominio sea “123456”. 

Asegúrate de:
  1. Saber cuándo se liberan las actualizaciones de los sistemas operativos y aplicaciones que ponen tus sistemas de misión crítica.
  2. Implementas actualizaciones en sistemas de pruebas cuando están disponibles.
  3.  Que por lo menos aplicas las actualizaciones de seguridad durante el tiempo entre el cual se realiza la próxima liberación. Por ejemplo, si tus liberaciones de seguridad son mensuales, aplica las actualizaciones antes de que salgan las nuevas el mes siguiente.
  4. Que tu proceso de instalaciones de actualizaciones o parches incluye el reinicio de los equipos.

Información sobre los parches de Microsoft la puedes encontrar aquí

Seguridad de correo electrónico

Un buen sistema de seguridad de correo electrónico es esencial para proteger tu organización.  Para muchas compañías el 90% del correo que reciben es descartado en el sistema de seguridad de correo ya sea porque es virus, spam o ataques de phishing. 

Los principales sistemas de correo en nube como Office365 y GSuite ya vienen con muy buenos sistemas de seguridad en correos por lo que no hay excusa.   Es común también que la protección de correo incluya sandboxes para la protección contra ataques no previamente identificados.  Un sistema de seguridad de correo bien configurado debe incluir:
  1. Protección contra virus conocidos
  2. Protección de SPF, DKIM y DMARC
  3. Filtros antispam configurables.
  4. Acceso automático e individual a carpeta de spam para la administración de los usuarios.
  5. Capacidad de enviar correos cifrados


Respaldos a sistemas

Este último punto les puede asegurar que no es el menos importante. Todos sus sistemas de misión crítica deben tener respaldos con las siguientes características:
1.     Con procedimiento documentado
2.     Frecuentes, según necesidad de restauración del negocio
3.     Con copias fuera de línea para evitar que sean destruidos por atacantes. Piensa en cintas o mejor aún, respaldos a la nube.
4.     Probados frecuentemente para validar que al momento de necesitarse sean utilizables.



Si te gusta este contenido por favor hazme llegar tus comentarios aquí o en mi cuenta de Twitter

Labels:

Comments

Post a Comment

Popular posts from this blog

Simulacros de escritorio de ataques - tabletop exercises

Se conoce como  Tabletop Exercise  al proceso de convocar a todos los que estarían involucrado en un incidente de seguridad y ante un escenario ficticio preguntarles cómo reaccionarían.  En este artículo lo traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré con eso.   Trataré de darles luces sobre lo que debe incluir un Simulacro de Escritorio de ataques en base a lo que he aprendido al ser facilitador en múltiples simulacros. El objetivo principal de un Simulacro de Escritorio es preparar mejor a la organización que lo realiza para un incidente que afecte la seguridad de su información o sistemas.  Estos simulacros deben ser realizados por lo menos anualmente como parte de los procesos de Gestión de Incidentes y Plan Continuidad de Negocios. Recomiendo realizar simulacros para los principales riesgos que enfrentan sus organizaciones.  Por lo menos para estos incidentes de seguridad deben hacer un simulacro: 1.     Ataque de  ransomware 2.
Post a Comment
Read more

Deuda técnica (technical debt) en el SOC

Ayer conversaba con mi equipo sobre el nuevo proyecto X.  El nuevo proyecto X era la implementación de una innovadora herramienta de detección de intrusos que además permitía automatizar el proceso de respuesta ante ataques a un costo inferior a las alternativas. Creo que con esa descripción mis colegas defensores o del equipo azul (#BlueTeam) ya saben que esto había que hacerlo ya . Mientras veíamos las implicaciones de esta interesante herramienta  nos dimos cuenta que teníamos que definir cuáles serían los equipos involucrados en este proyecto.  Entonces le pido a mi equipo que saquemos el inventario de equipos involucrados de nuestra CMDB .  Después de todo, recientemente hicimos un gran esfuerzo por registrar todos nuestros activos en la CMDB con el propósito de ser utilizada en situaciones como esta. Con mucha sorpresa me entero que mi equipo ha regresado a mantener la mayoría del inventario en una hoja de Excel  y que la famosa CMDB no está siendo actualizada automáticamente ni
Post a Comment
Read more

Creando tu Programa de Seguridad - Parte 1 de 2

 En la publicación sobre Seguridad Básica  te hablé de los controles básicos que debes tener implementados en un proceso de mejora continua antes de empezar a trabajar en un Programa de Seguridad.  Este artículo asumirá que lograste hacer algo y que ahora consideras necesario dar el siguiente paso.   Antes de preparar tu Programa de Seguridad, definamos ciertas cosas: 1. Programa: conjunto de procesos realizados buscando un objetivo común. 2. Procesos: conjunto de actividades estrechamente relacionadas que tienen en común herramientas, métricas y KPIs. Te recomiendo que tu Programa de Seguridad tenga los siguientes procesos: 1. Gestión de Vulnerabilidades y Actualizaciones 2. Gestión de Riesgos 3. Gestión de Monitoreo de Seguridad   4. Gestión de Incidentes de Seguridad 5. Gestión de Auditoría y Cumplimiento 6. Operaciones de Seguridad  7. Seguridad de Desarrollos 8. Concienciación y Educación en Seguridad 9. Seguridad de  Proveedores o Cadena de Suministros Ahora para cada proceso te
Post a Comment
Read more