En la publicación sobre Seguridad Básica te hablé de los controles básicos que debes tener implementados en un proceso de mejora continua antes de empezar a trabajar en un Programa de Seguridad. Este artículo asumirá que lograste hacer algo y que ahora consideras necesario dar el siguiente paso.
Antes de preparar tu Programa de Seguridad, definamos ciertas cosas:
1. Programa: conjunto de procesos realizados buscando un objetivo común.
2. Procesos: conjunto de actividades estrechamente relacionadas que tienen en común herramientas, métricas y KPIs.
Te recomiendo que tu Programa de Seguridad tenga los siguientes procesos:
1. Gestión de Vulnerabilidades y Actualizaciones
2. Gestión de Riesgos
3. Gestión de Monitoreo de Seguridad
4. Gestión de Incidentes de Seguridad
5. Gestión de Auditoría y Cumplimiento
6. Operaciones de Seguridad
7. Seguridad de Desarrollos
8. Concienciación y Educación en Seguridad
9. Seguridad de Proveedores o Cadena de Suministros
Ahora para cada proceso te presentaré: objetivos, actividades recurrentes, herramientas, métricas y KPIs.
Gestión de Vulnerabilidades
Objetivo: identificar las vulnerabilidades que tiene tu entorno ya sea por configuración, falta de actualizaciones de seguridad o manera de gestión. Una vez identificadas las vulnerabilidades deben pasar al proceso de Gestión de Riesgo para la asignación de prioridades.
Actividades recurrentes: escaneos de vulnerabilidades, seguimiento a fuentes de inteligencia de amenazas (cyber threat intelligence)
Herramientas: OpenVAS, Nessus, InsightVM
Métricas y KPIs: Tiempo de identificación de vulnerabilidades, Tiempo de aplicación de parches de seguridad, porcentaje de equipos conectados a la internet con vulnerabilidades conocidas
Recomendaciones: Empieza realizando escaneos mensuales que son analizados con los responsables. Asegúrate de atender vulnerabilidades de los activos más importantes de tu entorno como por ejemplo los conectados a internet. El enfoque debería ser disminuir vulnerabilidades en sistemas conectados a Internet en los primeros 30 días.
Gestión de Riesgos
Objetivo: Administrar los riesgos que podrían evitar que tu empresa logre los objetivos de negocio. Este proceso toma insumos de todos los demás procesos del Programa de Seguridad para la asignación de prioridades a las actividades a realizar o controles a implementar. Cabe mencionar que este proceso aunque nace en el equipo de Seguridad es un trabajo en conjunto con la administración de la compañía.
Actividades recurrentes: identificación, actualización y reporte a gerencia de riesgos. Sugiero hacerlo cada tres meses.
Herramientas: Microsoft Excel le sirve a la mayoría
Métricas y KPIs: Riesgos por calificación (alto, medio, bajo) en el tiempo. Riesgos atendidos en periodo de tiempo.
Gestión de Monitoreo de Seguridad
Objetivo: Recabar la información que permita identificar cuándo la compañía está siendo atacada para que pueda reaccionar. El monitoreo de seguridad termina donde empieza la Gestión de Incidentes de Seguridad.
Actividades recurrentes: almacenamiento de bitácoras, revisión de bitácoras, evaluación de beneficio obtenido por fuente de bitácoras.
Herramientas: SIEM, herramientas individuales de seguridad administradas como parte del proceso de Operaciones de Seguridad. fuentes de inteligencia de amenazas de ciberseguridad.
Métricas y KPI: Porcentaje de fuentes de bitácoras identificadas que enviaron bitácoras en las últimas 24 horas. Tiempo de cobertura de equipo de monitoreo (8x5 o 24x7). Porcentaje de falsos positivos que genera una alerta de una fuente de bitácoras (que tan confiable es una alerta)
Recomendaciones: Empieza con las bitácoras que sin duda representan un indicativo de un ataque por ejemplo las bitácoras de autenticaciones fallidas. Otro grupo de bitácoras de alta importancia son las que reportan escalación de privilegios como el uso de cuentas privilegiadas. Luego de eso, piensa en las técnicas de Mitre
Gestión de Incidentes de Seguridad
Objetivo: Tomar las alertas generadas por el proceso de monitoreo y evaluarlas lo más rápido posible para saber si estás ante un ataque para luego reaccionar, contener, eliminar y recuperarse.
Actividades recurrentes: creación y actualización de procedimientos para diferentes tipos de incidentes (playbooks). Ejercicios de pruebas de los playbooks, simulacros de escritorios de ataques (tabletop exercises)
Herramientas: Software de gestión de incidente de seguridad como The Hive
Métricas y KPI: tiempo promedio para detectar ataque (MTTD), tiempo promedio para recuperarse (MTTR)
Recomendaciones: Debes tener playbooks para incidentes más comunes como: correo sospechoso, malware identificado por antivirus en equipo y ataque de ransomware.
Gestión de Auditoría y Cumplimiento
Objetivo: Responder en el tiempo acordado a las consultas de seguridad de entes ajenos a la compañía y coordinar las pruebas de penetración externas. Entes ajenos pueden ser auditores, clientes y reguladores locales o internacionales.
Actividades recurrentes: reuniones para coordinar respuestas a auditorías externas. Planificación de pruebas de penetración según políticas de la empresa
Herramientas: Microsoft Office y plantillas ya preparadas con respuestas.
Métricas y KPI: Tiempo de respuesta a auditores externos.
Recomendaciones: Prepara un listado de todos los entes externos a los cuales tu compañía debe dar respuesta frecuentemente incluyendo en qué momento del año debe hacerse. Asegúrate que tienes un grupo de plantillas con las respuestas dadas en el pasado con el objetivo que puedas ahorrar tiempo y a la vez estás dando las respuestas correctas.
En el próximo artículo les hablaré de los procesos que me hacen falta.
Como siempre te invito a dejarme tus comentarios aquí on el Twitter
Comments