Skip to main content

Creando tu Programa de Seguridad - Parte 1 de 2

 En la publicación sobre Seguridad Básica te hablé de los controles básicos que debes tener implementados en un proceso de mejora continua antes de empezar a trabajar en un Programa de Seguridad.  Este artículo asumirá que lograste hacer algo y que ahora consideras necesario dar el siguiente paso.  

Antes de preparar tu Programa de Seguridad, definamos ciertas cosas:

1. Programa: conjunto de procesos realizados buscando un objetivo común.

2. Procesos: conjunto de actividades estrechamente relacionadas que tienen en común herramientas, métricas y KPIs.


Te recomiendo que tu Programa de Seguridad tenga los siguientes procesos:

1. Gestión de Vulnerabilidades y Actualizaciones

2. Gestión de Riesgos

3. Gestión de Monitoreo de Seguridad  

4. Gestión de Incidentes de Seguridad

5. Gestión de Auditoría y Cumplimiento

6. Operaciones de Seguridad 

7. Seguridad de Desarrollos

8. Concienciación y Educación en Seguridad

9. Seguridad de  Proveedores o Cadena de Suministros

Ahora para cada proceso te presentaré: objetivos, actividades recurrentes, herramientas, métricas y KPIs.

Gestión de Vulnerabilidades

Objetivo: identificar las vulnerabilidades que tiene tu entorno ya sea por configuración, falta de actualizaciones de seguridad o manera de gestión.  Una vez identificadas las vulnerabilidades deben pasar al proceso de Gestión de Riesgo para la asignación de prioridades.

Actividades recurrentes: escaneos de vulnerabilidades, seguimiento a fuentes de inteligencia de amenazas (cyber threat intelligence)

Herramientas: OpenVAS, Nessus, InsightVM

Métricas y KPIs: Tiempo de identificación de vulnerabilidades, Tiempo de aplicación de parches de seguridad,  porcentaje de equipos conectados a la internet con vulnerabilidades conocidas

Recomendaciones: Empieza realizando escaneos mensuales que son analizados con los responsables.  Asegúrate de atender vulnerabilidades de los activos más importantes de tu entorno como por ejemplo los conectados a internet.  El enfoque debería ser disminuir vulnerabilidades en sistemas conectados a Internet en los primeros 30 días.

Gestión de Riesgos

Objetivo: Administrar los riesgos que podrían evitar que tu empresa logre los objetivos de negocio.  Este proceso toma insumos de todos los demás procesos del Programa de Seguridad para la asignación de prioridades a las actividades a realizar o controles a implementar.  Cabe mencionar que este proceso aunque nace en el equipo de Seguridad es un trabajo en conjunto con la administración de la compañía.

Actividades recurrentes: identificación, actualización y reporte a gerencia de riesgos. Sugiero hacerlo cada tres meses.

Herramientas: Microsoft Excel le sirve a la mayoría

Métricas y KPIs: Riesgos por calificación (alto, medio, bajo) en el tiempo. Riesgos atendidos en periodo de tiempo.

Gestión de Monitoreo de Seguridad

Objetivo: Recabar la información que permita identificar cuándo la compañía está siendo atacada para que pueda reaccionar.  El monitoreo de seguridad termina donde empieza la Gestión de Incidentes de Seguridad.

Actividades recurrentes: almacenamiento de bitácoras, revisión de bitácoras, evaluación de beneficio obtenido por fuente de bitácoras.

Herramientas: SIEM, herramientas individuales de seguridad administradas como parte del proceso de Operaciones de Seguridad. fuentes de inteligencia de amenazas de ciberseguridad.

Métricas y KPI: Porcentaje de fuentes de bitácoras identificadas que enviaron bitácoras en las últimas 24 horas. Tiempo de cobertura de equipo de monitoreo (8x5 o 24x7). Porcentaje de falsos positivos que genera una alerta de una fuente de bitácoras (que tan confiable es una alerta)

Recomendaciones:  Empieza con las bitácoras que sin duda representan un indicativo de un ataque por ejemplo las bitácoras de autenticaciones fallidas. Otro grupo de bitácoras de alta importancia son las que reportan escalación de privilegios como el uso de cuentas privilegiadas. Luego de eso, piensa en las técnicas de Mitre

Gestión de Incidentes de Seguridad

Objetivo: Tomar las alertas generadas por el proceso de monitoreo y evaluarlas lo más rápido posible para saber si estás ante un ataque para luego reaccionar, contener, eliminar y recuperarse.

Actividades recurrentes: creación y actualización de procedimientos para diferentes tipos de incidentes (playbooks).  Ejercicios de pruebas de los playbooks, simulacros de escritorios de ataques (tabletop exercises) 

Herramientas: Software de gestión de incidente de seguridad como The Hive

Métricas y KPI: tiempo promedio para detectar ataque (MTTD), tiempo promedio para recuperarse (MTTR)

Recomendaciones:  Debes tener playbooks para incidentes más comunes como: correo sospechoso, malware identificado por antivirus en equipo y ataque de ransomware.

Gestión de Auditoría y Cumplimiento

Objetivo:  Responder en el tiempo acordado a las consultas de seguridad de entes ajenos a la compañía y coordinar las pruebas de penetración externas.  Entes ajenos pueden ser auditores, clientes y  reguladores locales o internacionales.

Actividades recurrentes: reuniones para coordinar respuestas a auditorías externas. Planificación de pruebas de penetración según políticas de la empresa

Herramientas: Microsoft Office y plantillas ya preparadas con respuestas.

Métricas y KPI: Tiempo de respuesta a auditores externos.

Recomendaciones:  Prepara un listado de todos los entes externos a los cuales tu compañía debe dar respuesta frecuentemente incluyendo en qué momento del año debe hacerse.  Asegúrate que tienes un grupo de plantillas con las respuestas dadas en el pasado con el objetivo que puedas ahorrar tiempo y a la vez estás dando las respuestas correctas.

En el próximo artículo les hablaré de los procesos que me hacen falta.

Como siempre te invito a dejarme tus comentarios aquí on el Twitter

Comments

Popular posts from this blog

Simulacros de escritorio de ataques - tabletop exercises

Se conoce como  Tabletop Exercise  al proceso de convocar a todos los que estarían involucrado en un incidente de seguridad y ante un escenario ficticio preguntarles cómo reaccionarían.  En este artículo lo traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré con eso.   Trataré de darles luces sobre lo que debe incluir un Simulacro de Escritorio de ataques en base a lo que he aprendido al ser facilitador en múltiples simulacros. El objetivo principal de un Simulacro de Escritorio es preparar mejor a la organización que lo realiza para un incidente que afecte la seguridad de su información o sistemas.  Estos simulacros deben ser realizados por lo menos anualmente como parte de los procesos de Gestión de Incidentes y Plan Continuidad de Negocios. Recomiendo realizar simulacros para los principales riesgos que enfrentan sus organizaciones.  Por lo menos para estos incidentes de seguridad deben hacer un simulacro: ...

Creando tu SOC - Monitoreo de Seguridad - Parte 1 de n

El SOC (Security Operations Centers) puede significar cosas diferentes para diferentes organizaciones.  Entre las opciones tenemos: 1. La gente, procesos y tecnología responsables de los procesos de Gestión de Monitoreo de Seguridad y Gestión de Incidentes dentro de un Programa de Seguridad .  2. El grupo responsable de la seguridad física (cámaras de vigilancia, guardias de seguridad, control de acceso físico) 3. El grupo responsable por dar atención inmediata dentro de un centro de operaciones de soporte técnico. Para efectos de este artículo, la definición que usaremos es la primera . En el proceso de monitoreo de seguridad se realizan las siguientes actividades: 1. La identificación y colección de las bitácoras de los eventos dentro de la infraestructura que son de interés para proteger a los sistemas. 2. La creación y gestión de procedimiento de monitoreo de dichos eventos. 3. La entrega de eventos de seguridad comprabados como incidentes al proceso de Gestión de Inciden...