En nuestro anterior post sobre el grado de preparación de las organizaciones antes las nuevas ciberamenazas, vimos cómo el modo tradicional de abordar la seguridad de la información por parte de las organizaciones (en gran medida basada en un modelo de cumplimiento) no era suficiente para afrontar los escenarios de ataque actuales, los cuales están diseñados para sortear los controles de seguridad, organizativos y técnicos, requeridos habitualmente por los estándares. Hicimos también un repaso de las causas más frecuentes de fracaso de los programas de seguridad de la información, encontrándose éstas en gran medida en el plano cultural, organizativo y de gobierno de las empresas.
Hoy vamos a enumerar brevemente algunos de los elementos que son más importantes para un programa de seguridad avanzado, en aquellas organizaciones con exposición alta a ataques dirigidos sofisticados:
Crear una organización para la gestión del riesgo tecnológico
Se trata de crear las estructuras organizativas necesarias y de definir y dotar los roles y responsabilidades para una gestión adecuada. Los elementos principales serán:
• Incluir la gestión del riesgo tecnológico en el contexto de la gestión del resto de riesgos de la organización y alinearlo con los objetivos de la misma y el apetito de riesgo establecido por el consejo de administración.
• Nombrar un responsable de la gestión con capacidad ejecutiva suficiente e independencia funcional.
• Incluir la gestión del riesgo tecnológico en la agenda regular del consejo de administración y comité de dirección.
• Dotar de los recursos humanos y técnicos necesarios para la implantación efectiva de los programas de seguridad aprobados.
• Impulsar, con la ayuda del consejo de administración y los cuadros directivos, una cultura organizativa sensible a los riesgos tecnológicos y fomentar la formación de todo el personal en las políticas y procedimientos de seguridad
• Incluir el cumplimiento y el compromiso con las políticas y procedimientos de seguridad como parte de los objetivos de los cuadros directivos de la organización.
• Establecer y comunicar para cada puesto de la organización su rol y responsabilidades en la gestión del riesgo tecnológico.
Establecimiento de un proceso sistemático de análisis de escenarios de ataque (Risk Driven approach)
Se trata establecer un proceso recurrente que permita entender cuáles son los escenarios de riesgo más probables en función de la actividad de la organización y hacerse una idea de la tipología de los potenciales adversarios (internos o externos), sus motivaciones y los métodos de ataque a emplear. El objetivo último es identificar vulnerabilidades, elaborar un plan correctivo asociado y adecuar el resto de elementos de control para dar cuenta de estos escenarios. La efectividad del proceso requiere de la participación de un equipo interdisciplinar de personas que involucre tanto a expertos del negocio como a expertos en tecnología y seguridad de la información, siendo valorable el poder contar con expertos externos.
Entre las fuentes de “inspiración” para este tipo de ejercicios se puede contar con información relativa a incidentes propios o ajenos, informes de empresas de seguridad, el conocimiento de expertos técnicos y de negocio de la organización y el resultado de pruebas de hacking ético y demás verificaciones de seguridad (ver más abajo)… La adopción de estas técnicas de análisis permite dar un enfoque orientado desde los riesgos reales (risk driven) que contrastará y complementará al resto de componentes del programa. Este enfoque adquiere especial relevancia cuando es adoptado como parte del proceso de definición y diseño de productos y servicios, dado que permite que la seguridad de los mismos esté contemplada como características de diseño y no como un añadido al producto o servicio una vez finalizado.
Establecimiento de una línea base de medidas técnicas (Config / Hygiene)
Este programa de actividades lo conforman las medidas “higiénicas” básicas a ser aplicadas en la infraestructura técnica. El objetivo es hacer resistente a la organización frente a los ataques conocidos más frecuentes, aunque se tiene que ser consciente de que su eficacia es relativa cuando se trata de ataques dirigidos muy sofisticados. Se trata de establecer una serie de procesos aplicados sistemáticamente en toda la plataforma técnica de la organización, entre los que se encuentran:
• Gestión de Inventario detallado de todos los dispositivos (hardware y software) autorizados en la organización, así como de las bases de datos críticas (activos).
• Programa de aplicación y mantenimiento sistemático de configuración segura de software y hardware (hardening) de todos los activos de la organización (ej: cambio de contraseñas por defecto, desactivación de servicios no necesarios, , no uso de protocolos inseguros, cifrado de datos críticos, etc…).
• Proceso continuo de identificación de vulnerabilidades en los activos y aplicación de medidas correctoras (parcheado recurrente para eliminar vulnerabilidades de seguridad conocidas…)
• Gestión controlada del uso de las cuentas de usuario, especialmente de las de administradores de sistemas, y monitorización de las actividades en los sistemas con estas cuentas
• Uso de mecanismos de autenticación avanzados (doble factor de autenticación, repositorios seguros de claves, gestión de identidades…)
• Implantación de una metodología de desarrollo de Software que incorpore prácticas de programación segura (para prevenir vulnerabilidades típicas como inyecciones SQL, buffer overflows…).
• Desarrollo y promoción de una política y arquitectura de red basada en la creación de diferentes compartimentos o zonas de seguridad que permitan aislar los activos críticos.
• Limitación de derechos y privilegios de acceso a los sistemas y la información, de acuerdo a las necesidades operativas y de acuerdo al principio de mínimo privilegio y necesidad de saber.
• Uso de escritorios virtualizados para acceder a los datos / sistemas críticos.
• Sistemas de prevención de código malicioso (malware y antivirus).
• Filtrado de contenidos basados en el uso listas negras de sitios a los que impedir la navegación y limitación de las acciones de los usuarios, como por ejemplo descarga de contenidos vía web o el correo electrónico..
• Programa de Prevención de fugas de información (ej: limitaciones en el acceso a puertos USB, unidades de CD/DVD, cifrado de discos duros de portátiles, smartphones…)
• Control de los accesos remotos a los sistemas y de las conexiones de la red de la organización con otras redes externas (VPN, autenticación fuerte, monitorización de los accesos, cifrado,…)
• Implantación de mecanismos avanzados de seguridad de red (soluciones tipo NAC)
• Certificación y acreditación de los cambios en los sistemas y aplicaciones.
• Gestión de claves de cifrado
• Política de uso de técnicas criptográficas para proteger los sistemas e información críticas
• Implantación de procesos de copias de respaldo y de recuperación de datos.
Integración y coordinación de la seguridad física
Alinear los mecanismos de seguridad física con las necesidades derivadas del análisis de los escenarios de riesgo tecnológico relevantes para la organización. Fomentar la coordinación y/o integración de las funciones de gestión de seguridad física y lógica.
Evaluación sistemática y periódica de la seguridad y realización de acciones correctoras
Este componente engloba en sentido amplio todas las actividades periódicas orientadas a verificar que los controles de seguridad definidos han sido implementados correctamente, siguen estando operativos y son efectivos. Conviene huir aquí del enfoque tradicional de listas de verificación de cumplimiento, y adoptar un enfoque de tests que pongan a prueba de la manera más real posible la eficacia de las medidas de seguridad. Otro factor esencial es la capacidad de traducir los resultados de estas evaluaciones en acciones de corrección concretas, de modo que las vulnerabilidades se gestionen en el menor tiempo posible. En este componente podríamos englobar:
• Implantar una capacidad efectiva de monitorización de eventos de seguridad: Este componente del modelo implica la implantación de un sistema de monitorización (SIEM) capaz de recopilar en tiempo real los eventos de seguridad de los distintos sistemas de la organización (incluyendo la actividad de red, en los servidores y máquinas de la plataforma, así como la información de los sistemas de seguridad física) y realizar análisis automáticos de esta información para poder identificar potenciales patrones de ataque y disparar alarmas ante su aparición. El éxito de la estrategia no dependerá solo de la capacidad de recopilar y procesar automáticamente los datos, sino de organizar un grupo de analistas capaces de trabajar con estas alertas y gestionarlas adecuadamente. El objetivo final es ser capaz de escalar estas alertas al equipo de respuesta de incidentes con la mayor celeridad posible. El diseño de un sistema de monitorización como el descrito se beneficiará en gran medida del proceso de análisis de escenario de ataque que hemos mencionado anteriormente, ya que permitirá definir de antemano cuál es la información relevante mínima que se necesita incorporar en el proceso de monitorización.
• Implantación de capacidades de respuesta ante incidentes y de análisis forense: Se trata de dotar de la estructura organizativa y de los recursos humanos y técnicos necesarios (internos o subcontratados a empresas terceras especializadas) para que la organización pueda gestionar efectivamente incidentes de seguridad y sea capaz de contener y erradicar la amenaza, haciendo que se pueda continuar con las actividades incluso cuando se haya producido de hecho un incidente.
Con este sucinto resumen ponemos fin aquí a este post, esperando que sirva para centrar el tema y como inspiración a todos aquellos interesados en la materia o encargados de la gestión de riesgos. En futuros artículos iremos profundizando en los distintos elementos aquí resumidos. Un fuerte abrazo y gracias por la atención prestada…
Negocios bajo control 