Skip to main content

Creando tu Programa de Seguridad - Parte 2 de 2

Esta es la continuación al artículo donde ya vimos cinco procesos de un Programa de Seguridad de la Información.  Si no lo has visto, lo puedes ver aquí. Continuemos con los últimos.

Operaciones de Seguridad 

Objetivo: gestión y mantenimiento de los controles implementados en la compañía. Las Operaciones de Seguridad son en algunas empresas llevadas en equipos diferentes al que lleva el proceso de Gestión de Auditoría de Cumplimiento para así evitar conflictos de interés. Independientemente de la forma seleccionada por tu empresa, es importante la comunicación entre ambos equipos.  Ejemplo de controles de seguridad gestionados en este proceso: seguridad perimetral (firewalls, IDS, IPS), seguridad de correos electrónicos, sistemas de seguridad en equipos de usuarios (antivirus, EDR), etc.

Actividades recurrentes: Participar en el proceso de Gestión de Vulnerabilidades como responsables de la actualización o aplicación de parches.  Realizar evaluaciones semestrales o anuales de la efectividad de las herramientas buscando mejora continua. 

Herramientas:  servidor de bitácoras, next-generation firewalls, EDR, antispam, antivirus. IDS, IPS, software de integridad de archivos y sistemas.  Opciones de  código abierto o gratis: Wazuh, SecurityOnion, pfSense.

Métricas y KPIs: cantidad de alertas generadas por cada herramienta de seguridad y su porcentaje de falso positivo para saber cuáles son las herramientas que estás aprovechando realmente.

Recomendaciones:  Asegúrate que tienes los controles básicos definidos en este artículo.  Evalúa anualmente la cobertura de tus controles con DeTTECT

Seguridad de Desarrollos

Objetivo: Apoyar a la compañía a seleccionar software seguro cuando es adquirido y a desarrollar aplicaciones seguras cuando son desarrolladas internamente.  

Actividades recurrentes: sesiones trimestrales de actualización a desarrolladores; pruebas de penetración anuales a software; ejecucicón de escaneadores de seguridad para cada cambio que sufre una aplicación.

Herramientas:  escaneadores de tipo estático (SAST) y dinámico (DAST). 

Métricas y KPIs: tiempo para corregir vulnerabilidades encontradas; número de vulnerabilidades conocidas en sistemas en producción.

Recomendaciones: Implementar las escaneos de vulnerabilidades lo más pronto posible así evitando tener que realizar correcciones sobre código ya en producción.

Concienciación y Educación en Seguridad

Objetivo: Entrenar al personal de la empresa en la importancia de la seguridad de la información para la empresa. Se busca evitar que sean víctimas de ingeniería social, que conozcan y cumplan las políticas de seguridad de la empresa y que se conviertan en vigilantes de la seguridad de la información que manejan para realizar sus trabajos.

Actividades recurrentes: Simulaciones de ataques de phishing trimestrales; entrenamientos semestrales en temas de seguridad de la información y las políticas internas; correos electrónicos mensuales con recomendaciones.

Herramientas:  Software de simulación de ataques de phishing como Gophish; portales con videos y pruebas que validen conocimiento del tema ofrecido.

Métricas y KPIs: Porcentaje de personal entrenado por periodo establecido; porcentaje de personas que son víctimas de simulaciones de ataques; porcentaje de las víctimas que son reentrenadas luego de ser víctimas de ataques simulados o reales.

Recomendaciones: Es importante invertir en entrenar tanto a los colaboradores fuera de TI como los que están dentro de IT.  No olvide en enviar a entrenamientos de seguridad a las personas responsables del Programa de Seguridad.  En el mundo pos-COVID hay muchas conferencias de seguridad a bajo costo como DojoConf  y BSides.

Seguridad de  Proveedores o Cadena de Suministros

Objetivo: Evaluar el nivel de seguridad de los proveedores en los cuales descansa la empresa para evitar que por medio de un proveedor sea víctima de un ataque de seguridad

Actividades recurrentes: evaluaciones  anuales de los proveedores.

Herramientas:  cuestionarios de autoevaluaciones a proveedores; pruebas de penetración anuales a proveedores con acceso a la red interna o con quienes se tiene una alta dependencia.

Métricas y KPIs: Calificación de riesgo por proveedor

Recomendaciones: Se debe crear una relación de confianza con los proveedores de los cuales depende tu empresa de manera que puedan tener una sincera conversación sobre los riesgos que afectan al proveedor y por consiguiente al cliente.  Preste especial atención a los proveedores que tienen acceso a su red interna o los que gestionan sistemas en los cuales la empresa depende.

Como siempre te invito a dejarme tus comentarios aquí on el Twitter

Saludos,

Sebastián 


Labels:

Comments

Post a Comment

Popular posts from this blog

Simulacros de escritorio de ataques - tabletop exercises

Se conoce como  Tabletop Exercise  al proceso de convocar a todos los que estarían involucrado en un incidente de seguridad y ante un escenario ficticio preguntarles cómo reaccionarían.  En este artículo lo traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré con eso.   Trataré de darles luces sobre lo que debe incluir un Simulacro de Escritorio de ataques en base a lo que he aprendido al ser facilitador en múltiples simulacros. El objetivo principal de un Simulacro de Escritorio es preparar mejor a la organización que lo realiza para un incidente que afecte la seguridad de su información o sistemas.  Estos simulacros deben ser realizados por lo menos anualmente como parte de los procesos de Gestión de Incidentes y Plan Continuidad de Negocios. Recomiendo realizar simulacros para los principales riesgos que enfrentan sus organizaciones.  Por lo menos para estos incidentes de seguridad deben hacer un simulacro: 1.     Ataque de  ransomware 2.
Post a Comment
Read more

Deuda técnica (technical debt) en el SOC

Ayer conversaba con mi equipo sobre el nuevo proyecto X.  El nuevo proyecto X era la implementación de una innovadora herramienta de detección de intrusos que además permitía automatizar el proceso de respuesta ante ataques a un costo inferior a las alternativas. Creo que con esa descripción mis colegas defensores o del equipo azul (#BlueTeam) ya saben que esto había que hacerlo ya . Mientras veíamos las implicaciones de esta interesante herramienta  nos dimos cuenta que teníamos que definir cuáles serían los equipos involucrados en este proyecto.  Entonces le pido a mi equipo que saquemos el inventario de equipos involucrados de nuestra CMDB .  Después de todo, recientemente hicimos un gran esfuerzo por registrar todos nuestros activos en la CMDB con el propósito de ser utilizada en situaciones como esta. Con mucha sorpresa me entero que mi equipo ha regresado a mantener la mayoría del inventario en una hoja de Excel  y que la famosa CMDB no está siendo actualizada automáticamente ni
Post a Comment
Read more

Creando tu Programa de Seguridad - Parte 1 de 2

 En la publicación sobre Seguridad Básica  te hablé de los controles básicos que debes tener implementados en un proceso de mejora continua antes de empezar a trabajar en un Programa de Seguridad.  Este artículo asumirá que lograste hacer algo y que ahora consideras necesario dar el siguiente paso.   Antes de preparar tu Programa de Seguridad, definamos ciertas cosas: 1. Programa: conjunto de procesos realizados buscando un objetivo común. 2. Procesos: conjunto de actividades estrechamente relacionadas que tienen en común herramientas, métricas y KPIs. Te recomiendo que tu Programa de Seguridad tenga los siguientes procesos: 1. Gestión de Vulnerabilidades y Actualizaciones 2. Gestión de Riesgos 3. Gestión de Monitoreo de Seguridad   4. Gestión de Incidentes de Seguridad 5. Gestión de Auditoría y Cumplimiento 6. Operaciones de Seguridad  7. Seguridad de Desarrollos 8. Concienciación y Educación en Seguridad 9. Seguridad de  Proveedores o Cadena de Suministros Ahora para cada proceso te
Post a Comment
Read more