Esta es la continuación al artículo donde ya vimos cinco procesos de un Programa de Seguridad de la Información. Si no lo has visto, lo puedes ver aquí. Continuemos con los últimos.
Operaciones de Seguridad
Objetivo: gestión y mantenimiento de los controles implementados en la compañía. Las Operaciones de Seguridad son en algunas empresas llevadas en equipos diferentes al que lleva el proceso de Gestión de Auditoría de Cumplimiento para así evitar conflictos de interés. Independientemente de la forma seleccionada por tu empresa, es importante la comunicación entre ambos equipos. Ejemplo de controles de seguridad gestionados en este proceso: seguridad perimetral (firewalls, IDS, IPS), seguridad de correos electrónicos, sistemas de seguridad en equipos de usuarios (antivirus, EDR), etc.
Actividades recurrentes: Participar en el proceso de Gestión de Vulnerabilidades como responsables de la actualización o aplicación de parches. Realizar evaluaciones semestrales o anuales de la efectividad de las herramientas buscando mejora continua.
Herramientas: servidor de bitácoras, next-generation firewalls, EDR, antispam, antivirus. IDS, IPS, software de integridad de archivos y sistemas. Opciones de código abierto o gratis: Wazuh, SecurityOnion, pfSense.
Métricas y KPIs: cantidad de alertas generadas por cada herramienta de seguridad y su porcentaje de falso positivo para saber cuáles son las herramientas que estás aprovechando realmente.
Recomendaciones: Asegúrate que tienes los controles básicos definidos en este artículo. Evalúa anualmente la cobertura de tus controles con DeTTECT
Seguridad de Desarrollos
Objetivo: Apoyar a la compañía a seleccionar software seguro cuando es adquirido y a desarrollar aplicaciones seguras cuando son desarrolladas internamente.
Actividades recurrentes: sesiones trimestrales de actualización a desarrolladores; pruebas de penetración anuales a software; ejecucicón de escaneadores de seguridad para cada cambio que sufre una aplicación.
Herramientas: escaneadores de tipo estático (SAST) y dinámico (DAST).
Métricas y KPIs: tiempo para corregir vulnerabilidades encontradas; número de vulnerabilidades conocidas en sistemas en producción.
Recomendaciones: Implementar las escaneos de vulnerabilidades lo más pronto posible así evitando tener que realizar correcciones sobre código ya en producción.
Concienciación y Educación en Seguridad
Objetivo: Entrenar al personal de la empresa en la importancia de la seguridad de la información para la empresa. Se busca evitar que sean víctimas de ingeniería social, que conozcan y cumplan las políticas de seguridad de la empresa y que se conviertan en vigilantes de la seguridad de la información que manejan para realizar sus trabajos.
Actividades recurrentes: Simulaciones de ataques de phishing trimestrales; entrenamientos semestrales en temas de seguridad de la información y las políticas internas; correos electrónicos mensuales con recomendaciones.
Herramientas: Software de simulación de ataques de phishing como Gophish; portales con videos y pruebas que validen conocimiento del tema ofrecido.
Métricas y KPIs: Porcentaje de personal entrenado por periodo establecido; porcentaje de personas que son víctimas de simulaciones de ataques; porcentaje de las víctimas que son reentrenadas luego de ser víctimas de ataques simulados o reales.
Recomendaciones: Es importante invertir en entrenar tanto a los colaboradores fuera de TI como los que están dentro de IT. No olvide en enviar a entrenamientos de seguridad a las personas responsables del Programa de Seguridad. En el mundo pos-COVID hay muchas conferencias de seguridad a bajo costo como DojoConf y BSides.
Seguridad de Proveedores o Cadena de Suministros
Objetivo: Evaluar el nivel de seguridad de los proveedores en los cuales descansa la empresa para evitar que por medio de un proveedor sea víctima de un ataque de seguridad
Actividades recurrentes: evaluaciones anuales de los proveedores.
Herramientas: cuestionarios de autoevaluaciones a proveedores; pruebas de penetración anuales a proveedores con acceso a la red interna o con quienes se tiene una alta dependencia.
Métricas y KPIs: Calificación de riesgo por proveedor
Recomendaciones: Se debe crear una relación de confianza con los proveedores de los cuales depende tu empresa de manera que puedan tener una sincera conversación sobre los riesgos que afectan al proveedor y por consiguiente al cliente. Preste especial atención a los proveedores que tienen acceso a su red interna o los que gestionan sistemas en los cuales la empresa depende.
Como siempre te invito a dejarme tus comentarios aquí on el Twitter
Saludos,
Sebastián
Comments