Skip to main content

Seguridad Básica, qué debes tener antes de pensar en un Programa de Seguridad


Cuando converso con organizaciones preocupadas por la seguridad de sus sistemas de información muchas veces sale a relucir la necesidad de tener un Programa de Seguridad. En la mayoría de los casos es necesario. Pero antes de empezar a pensar a métodos avanzados de detección con inteligencia artificial, SIEM (ya hablaré nuevamente de esta tecnología mágica en el futuro) o cualquier otra hierba aromática o tecnología de moda (#blockchain curará el cáncer) es importante tener controles en lo yo llamo seguridad básica:
  1. Inventario de usuarios y sistemas
  2. Seguridad de Credenciales
  3. Sistemas de antivirus actualizados
  4. Instalación de actualizaciones de seguridad (parches)
  5. Seguridad de correo electrónico
  6. Respaldos a sistemas

Antes de ir sobre cada uno de los puntos listados es importante mencionar que la Seguridad Básica no es algo a lo cual se llega.  La Seguridad Básica es una meta que se mueve con el tiempo a medida que se dan los avances tecnológicos. Es algo que aunque básico se rige por los principios de la mejora continua.  Es la decisión de hacer lo máximo posible en base a los recursos limitados.

Inventario de usuarios y sistemas

Dice la teoría que el primer paso para gestionar algo es medirlo.  No puedes medirlo ni protegerlo si no sabes qué, dónde y quién está en tus sistemas de información. Debes poder responder estas preguntas:
  1. ¿Cuáles son mis sistemas de misión crítica?
  2. ¿Quiénes son administradores de dichos sistemas de misión crítica?
  3. ¿Quiénes se conectan a mi red y con cuáles equipos?

Seguridad de Credenciales

Una credencial es la combinación de un identificador (nombre de usuario), una autenticación (contraseña) y autorización (permisos permitidos).
La principal manera de proteger credenciales es una contraseña privada o un segundo factor de autenticación.
Para mi cuando se piensa en seguridad básica de credenciales se debe:
  1. Asegurarse que las contraseñas son solamente utilizadas en conexiones seguras como SSH, HTTPS.
  2.   Las contraseñas deberían ser de por lo menos 15 caracteres para sistemas de misión crítica.
  3. Las credenciales deben ser protegidas por Password Managers como KeePass, LastPass o similares.
  4. Las credenciales no se repiten entre sistemas de la oficina o credenciales personales.


Recomendación #1: busca en Have I Been Pwned si alguna credencial personal ya fue reportada como robada.

Sistemas de antivirus actualizados

Todos los sistemas de misión crítica y equipos de usuario deben tener un antivirus que se actualice diariamente. Esto quizás parezca obvio en 2020 pero sigue siendo importante.  Antes de comprar el mejor ______________ (llene el espacio con el producto de seguridad que quiera) adquiera un sistema antivirus reconocido.  

Administrar su antivirus no debería convertirse en otro problema de gestión, solo trabaje con aquellos que le permiten administración desde la nube y que dicha administración venga con autenticación con un segundo factor.
Una vez su antivirus está activado y reportándose contra la consola en la nube asegúrese que escanea sus equipos frecuentemente (sugiero por lo menos una vez a la semana).
Recomendación #2:  puedes validar que tu antivirus está trabajando por medio de la prueba Eicar.

Instalación de actualizaciones de seguridad (parches)


Instalar actualizaciones de seguridad es algo que los departamentos de tecnología adoramos. No hay nada más divertido que planificar esas ventanas de atención en fines de semanas y noches cuando el resto de la compañía sale a divertirse….

Está bien, lo anterior fue una total mentira. Aun así, un sistema con sus actualizaciones de seguridad al día es tan importante como evitar que tu contraseña del controlador del dominio sea “123456”. 

Asegúrate de:
  1. Saber cuándo se liberan las actualizaciones de los sistemas operativos y aplicaciones que ponen tus sistemas de misión crítica.
  2. Implementas actualizaciones en sistemas de pruebas cuando están disponibles.
  3.  Que por lo menos aplicas las actualizaciones de seguridad durante el tiempo entre el cual se realiza la próxima liberación. Por ejemplo, si tus liberaciones de seguridad son mensuales, aplica las actualizaciones antes de que salgan las nuevas el mes siguiente.
  4. Que tu proceso de instalaciones de actualizaciones o parches incluye el reinicio de los equipos.

Información sobre los parches de Microsoft la puedes encontrar aquí

Seguridad de correo electrónico

Un buen sistema de seguridad de correo electrónico es esencial para proteger tu organización.  Para muchas compañías el 90% del correo que reciben es descartado en el sistema de seguridad de correo ya sea porque es virus, spam o ataques de phishing. 

Los principales sistemas de correo en nube como Office365 y GSuite ya vienen con muy buenos sistemas de seguridad en correos por lo que no hay excusa.   Es común también que la protección de correo incluya sandboxes para la protección contra ataques no previamente identificados.  Un sistema de seguridad de correo bien configurado debe incluir:
  1. Protección contra virus conocidos
  2. Protección de SPF, DKIM y DMARC
  3. Filtros antispam configurables.
  4. Acceso automático e individual a carpeta de spam para la administración de los usuarios.
  5. Capacidad de enviar correos cifrados


Respaldos a sistemas

Este último punto les puede asegurar que no es el menos importante. Todos sus sistemas de misión crítica deben tener respaldos con las siguientes características:
1.     Con procedimiento documentado
2.     Frecuentes, según necesidad de restauración del negocio
3.     Con copias fuera de línea para evitar que sean destruidos por atacantes. Piensa en cintas o mejor aún, respaldos a la nube.
4.     Probados frecuentemente para validar que al momento de necesitarse sean utilizables.



Si te gusta este contenido por favor hazme llegar tus comentarios aquí o en mi cuenta de Twitter

Labels:

Comments

Post a Comment

Popular posts from this blog

Simulacros de escritorio de ataques - tabletop exercises

Se conoce como  Tabletop Exercise  al proceso de convocar a todos los que estarían involucrado en un incidente de seguridad y ante un escenario ficticio preguntarles cómo reaccionarían.  En este artículo lo traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré con eso.   Trataré de darles luces sobre lo que debe incluir un Simulacro de Escritorio de ataques en base a lo que he aprendido al ser facilitador en múltiples simulacros. El objetivo principal de un Simulacro de Escritorio es preparar mejor a la organización que lo realiza para un incidente que afecte la seguridad de su información o sistemas.  Estos simulacros deben ser realizados por lo menos anualmente como parte de los procesos de Gestión de Incidentes y Plan Continuidad de Negocios. Recomiendo realizar simulacros para los principales riesgos que enfrentan sus organizaciones.  Por lo menos para estos incidentes de seguridad deben hacer un simulacro: ...
Post a Comment
Read more

Sobre el ataque de WastedLocker a Garmin

Desde que se hizo público el ataque a Garmin he estado pendiente de cómo reacciona la compañía y la industria de seguridad de la información ante el ataque sufrido por esta compañía que es reconocida por sus aparatos de GPS y relojes para ejercicios. Twitter ha sido mi mayor fuente de información y me he dado cuenta que no soy el único interesado. No me cabe duda de que los ataques de ransomware teledirigidos se han convertido en una gran amenaza para las compañías y los encargados de proteger los sistemas, el equipo azul. Estos incidentes de seguridad los analizo con información pùblica buscando identificar: Controles preventivos que tenía la organización afectada Su estrategia de comunicación durante y posterior al evento El manejo que tuvieron con los atacantes incluyendo compañías consultoras contratadas Estrategia de recuperación ante el ataque, ya sea pagando o recuperándose de respaldos Detalle técnico de los TTPs (tactics, techniques and procedures) utilizados por los atacan...
Post a Comment
Read more

Reactivando el blog

Feliz Carnavales 2020 a mis lectores de Panamá y el resto del mundo. En estos días libres pretendo reactivar este blog. En los últimos años he tratado de compartir mis conocimientos por medio de mis cuentas de Twitter , LinkedIn y mi participación en el Dojo de Seguridad de Panamá Por medio de este blog intentaré aprovechar la mayor cantidad de espacio que ofrece la plataforma para ir a profundidad en los temas que me apasionan. En las próximas publicaciones escribiré sobre: Diseño de Programas de Seguridad Gestión de Monitoreo de Seguridad Gestión de Incidentes Configuraciones Seguras Gestión de Vulnerabilidades Desarrollo Seguro de Aplicaciones Gestión de Auditorías y Cumplimiento Gestión de la Seguridad de la Cadena de Suministro Concientización en Seguridad y Entrenamiento  Plan de Continuidad de Negocios y Recuperación ante Desastres. Seguridad Ofensiva (Red Teaming)
Post a Comment
Read more