lunes, 3 de agosto de 2009

Veinte Controles Críticos

De nueva cuenta el SANS publica información que jala mi atención. Esta vez han listado los 20 controles críticos que pueden llevar a una “seguridad efectiva”. Podemos quitar y/o incluir controles en esta lista, pero bien vale la pena darle un vistazo ya que a mi parecer suenan razonables. A continuación dicha lista y algunos comentarios de mi propia cosecha.

 

1.- Inventario de dispositivos autorizados y no autorizados: si no tenemos una lista de nuestras pertenencias, cómo sabremos entonces protegerlas adecuadamente? Y si sabemos lo que tenemos, también podemos hacer una lista de lo que no deseamos tener en nuestro entorno (ejemplos: iPhone –robo de datos-, USB –malwre-, etc.).

2.- Inventario de software autorizado y no autorizado: básicamente lo que se haría con un firewall personal (corporativo).

3.- Configuraciones seguras para el hardware y software de laptops, máquinas de escritorio y servidores: más sencillo de decir que hacer, pero una configuración segura es una buena medida preventiva.

4.- Configuraciones seguras de dispositivos de red (ruteadores, firewalls): un poco repetitivo del punto anterior, pero bueno, la idea es la misma.

5.- Defensa perimetral: los dos puntos anteriores se enfocan en la prevención y en el interior del huevo; aquí hay que encargarse del cascarón.

6.- Mantenimiento y análisis de los logs de auditoría de seguridad: de qué sirve que se estén llenando las bitácoras de los diferentes dispositivos si nadie los revisa y atiende?

7.- Seguridad en aplicaciones: otro control preventivo; se trata de escribir código tomando en cuenta la seguridad y no sólo la funcionalidad de las aplicaciones.

8.- Uso controlado de los privilegios de administrador: si cualquier “hijo de vecino” es administrador, estaremos bajo su control. Las TI son una dictadura, y no todo mundo debe de ser rey de su (o sus) equipos/servidores.

9.- Acceso controlado basado en quien realmente lo requiere para su trabajo (need to know): si no tengo por qué entrar a un servidor o no tengo que saber los pormenores de esa base datos, por qué se me deberían de otorgar esos permisos?

10.- Análisis y remediación continuo de vulnerabilidades: pues creo que está demasiado claro; sin comentarios.

11.- Monitoreo y control de cuentas: seguramente el SANS se refiere a tener un control de la cuentas de los usuarios, sobre todo para los que se cambian de adscripción o que se van de la empresa, resulta importante modificar o eliminar permisos ante el movimiento de los recursos humanos.

12.-Defensas contra el código malicioso: antivirus local (y perimetral) y en servidores; control de acceso a páginas web; ambos pueden ser controles (entre muchos) eficientes.

13.- Limitación y control de puertos de red, protocolos y servicios: ¿Realmente es necesario permitir comunicación en todos esos puertos? ¿Se siguen permitiendo protocolos inseguros como telnet? ¿Resulta imprescindible que se tengan habilitados todos esos servicios o se pueden apagar varios sin dañar la operación?

14.- Control de dispositivos inalámbricos: el dolor de cabeza de muchas empresas podría ser el riesgo que representan las redes inalámbricas que carecen del cobijo físico de las alámbricas.

15.- Prevención de pérdida de datos: ¿y si el día de mañana se le ocurre a un usuario publicar o enviar datos confidenciales? ¿Y si un intruso entra al edificio y saca documentación sin autorización?

16.- Ingeniería de seguridad para redes: seguramente a lo que se refiere el SANS es a diseñar las redes con seguridad en mente y mantener una arquitectura no sólo operacional sino segura. Meterle materia gris al asunto, pues.

17.- Pruebas de penetración: nada como probar la llanta sobre el asfalto para ver si estamos tan bien protegidos como pensamos.

18.- Capacidad de respuesta a incidentes: si ya pasó lo peor, podemos responder rápida y eficientemente para mitigar los efectos adversos de una situación?

19.- Capacidad de recuperación de datos: ligado al punto anterior, si ya pasó algo malo, es posible recuperar los datos perdidos o afectados?

20.- Capacitación en seguridad: ¿los encargados de seguridad se mantienen al día? ¿Reciben capacitación adecuada y mantienen sus habilidades técnicas? ¿Y el resto de la organización tiene las reglas básicas para mantener un entorno seguro?

En fin, basta que le den un vistazo a la página del SANS para completar la información o por si mi traducción les pareció, ejem, defectuosa. Lo importante es que cada uno viera esta lista y se preguntara qué tantos de estos controles se aplican en la realidad en la empresa (no es una auditoría, podemos decir la verdad!). Si no aplicamos algunos, hay alguna justificación? En fin, ahora que es época de vacaciones se pueden llevar la lista para meditarlo en la playa.