CIS Controls V8: 18 controles de seguridad necesarios

0
211
Custom Text

El Center for Internet Security ha actualizado su conjunto de medidas de seguridad para protegerse de los cinco tipos más comunes de ataques a los que se enfrentan las redes empresariales: hacking de aplicaciones web, uso indebido de privilegios e información confidencial, malware, ransomware e intrusiones dirigidas.

En mayo, con la publicación de su informe CIS Controls V8, la organización ha buscado presentar acciones prácticas y específicas que las empresas pueden realizar para proteger sus redes y datos. Estas van desde la realización de un inventario de los activos de la empresa, hasta la gestión de las cuentas y la auditoría de los registros.

En parte, la nueva versión era necesaria para abordar los cambios en el funcionamiento de las empresas desde que se publicó V7 hace tres años. «El traslado hacia la computación basada en la nube, la virtualización, movilidad, outsourcing, el trabajo desde casa y el cambio de tácticas de los atacantes han sido temas fundamentales en todos los debates”, señala el nuevo documento de controles.

CIS ha cambiado un poco el formato de los controles, pues ahora describe las acciones que se deberían tomar para abordar las amenazas y debilidades sin decir quién debería realizar esas tareas. De este modo, se pone toda la atención a las tareas sin vincularlas a equipos específicos dentro de la empresa.

Cada uno de los controles viene con procedimientos detallados para implementarlos junto con enlaces a recursos relacionados. A continuación, se presenta una breve descripción de los 18 controles.

Control 1: Inventario y control de los activos empresariales
Esto requiere gestionar activamente los inventarios, el seguimiento y la corrección de todos los dispositivos de los usuarios finales: portátiles y móviles, dispositivos de red, dispositivos no informáticos/Internet de las cosas (IoT) y los servidores que se conectan a la infraestructura de forma física, virtual, remota y dentro de entornos de nube. El inventario ayudará a identificar los dispositivos que se deben eliminar o remediar.

Control 2: Inventario y control de activos de software
Las empresas deben inventariar, rastrear y corregir activamente todos los sistemas operativos y aplicaciones en la red para detectar y bloquear el software no autorizado y no gestionado, de modo que solo se instale y se pueda ejecutar el software autorizado.

Control 3: Protección de datos
Deben implementarse procesos de datos y controles técnicos para identificar, clasificar, manejar, retener y eliminar los datos de forma segura.

Lo ideal para esto es poner en una sola red todos los datos que tengan el mismo nivel de sensibilidad y aislados de los datos con otros niveles de sensibilidad. Los firewalls controlarían el acceso a cada segmento, y el acceso se otorgaría solo a los usuarios que tengan una necesidad empresarial de acceder a ellos.

Control 4: Configuración segura de activos y software
Debe establecerse, almacenarse y mantenerse una configuración segura de los dispositivos de los usuarios finales, incluyendo los portátiles y móviles, dispositivos de red, dispositivos no informáticos/IoT, servidores, sistemas operativos y aplicaciones. Se recomienda instalar VPNs delante de los servidores y utilizar servidores DNS controlados por la empresa.

Control 5: Gestión de cuentas
Se recomienda utilizar procesos y herramientas para gestionar la autorización de los activos y el software de la empresa. Esto incluye las cuentas de administrador y de servicio. Una recomendación es que se restrinjan los privilegios de administrador a las cuentas de administrador dedicadas, y se le otorguen esos privilegios solo a quienes realmente administran los activos de la red. Estos administradores también deben tener cuentas separadas para acceder al correo electrónico, la navegación web y las aplicaciones de productividad.

Control 6: Gestión del control de acceso
Las empresas deben utilizar procesos y herramientas para crear, asignar, gestionar y revocar las credenciales de acceso y los privilegios de las cuentas de usuario, administrador y servicio para el software y los activos empresariales. El acceso basado en roles debe ser asignado a cada cuenta en función de la necesidad de saber, el privilegio mínimo, los requisitos de privacidad y la separación de funciones.

Control 7: Gestión continua de vulnerabilidades
Las vulnerabilidades dentro de la infraestructura empresarial deben ser continuamente evaluadas y monitoreadas para que puedan ser remediadas de una manera adecuada que minimice la ventana de oportunidad que tienen los atacantes para explotarlas. Se deben utilizar fuentes públicas y privadas de información sobre nuevas amenazas y vulnerabilidades para ayudar en este proceso.

Control 8: Gestión de registros de auditoría
Los registros de auditoría deben ser recopilados, revisados y conservados para documentar los eventos y ayudar a detectar, comprender y recuperarse de los ataques. Los registros pueden mostrar cuándo y cómo se producen los ataques, a qué información se accedió y si se filtraron los datos. La conservación de los registros es fundamental para las investigaciones de seguimiento, o para entender los ataques que permanecen sin ser detectados durante un largo período de tiempo.

Control 9: Protecciones de correo electrónico y navegador web
Este control insta a mejorar las protecciones y detecciones de las amenazas por correo electrónico y por la web que pueden manipular el comportamiento humano a través de la participación directa; estos son los objetivos principales tanto para el código malicioso como para la ingeniería social. Las medidas preventivas incluyen el uso de servicios de filtrado de DNS para reducir la exposición y la implementación de filtros de URL basados en la red.

Control 10: Defensas contra el malware
Las empresas deben prevenir o controlar la instalación, propagación y ejecución de software en los activos de la empresa, utilizando métodos que incluyan software antimalware, escaneando en busca de malware en medios extraíbles como memorias USB y habilitando funciones contra la explotación «tales como Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG), o Apple System Integrity Protection (SIP) and Gatekeeper”.

Control 11: Recuperación de datos
Se deben implementar las prácticas de recuperación de datos necesarias para restaurar los activos de la empresa dentro del alcance a un estado previo al incidente y de confianza. Debido a que los cambios de configuración pueden crear vulnerabilidades que luego son aprovechadas por atacantes, es importante tener copias de seguridad recientes para recuperar los activos y datos de la empresa a un estado de confianza conocido.

Control 12: Gestión de la infraestructura de red
Las empresas deben rastrear, informar y corregir los dispositivos de red para evitar que los atacantes exploten los puntos de acceso y servicios de red. La infraestructura incluye puertas de enlace físicas y virtuales, firewalls, puntos de acceso inalámbricos, enrutadores y conmutadores. Estas medidas deben abordar aquellas vulnerabilidades que pueden ser introducidas mediante el uso de la configuración predeterminada, el seguimiento de los cambios y la reevaluación de las configuraciones actuales. Un ejemplo es ejecutar la última versión estable de software o utilizar las ofertas de red como servicio (NaaS) actualmente soportadas.

Además, las empresas deben mantener los diagramas de red y otra documentación del sistema,revisarlos y actualizarlos anualmente. Los recursos informáticos utilizados para tareas administrativas deben estar separados física o lógicamente de la red empresarial principal y aislados del acceso a Internet.

Control 13: Supervisión y defensa de la red
Debe establecerse una supervisión y defensa exhaustiva de la red contra las amenazas, incluyendo la detección de intrusiones, el filtrado de tráfico entre los segmentos de la red y la implementación de controles a nivel de puerto, como los soportados por la autenticación 802.1x.

Control 14: Concientización y capacitación en materia de seguridad
Debe crearse un programa para crear conciencia sobre la seguridad entre los trabajadores y proporcionarles las habilidades necesarias para reducir los riesgos de ciberseguridad.

Control 15: Gestión de proveedores de servicios
Debe establecerse un proceso para evaluar a los proveedores de servicios que cuentan con datos confidenciales o que son responsables de plataformas o procesos de TI críticos de la empresa, para garantizar que brinden la protección adecuada. Las empresas deben establecer requisitos para los proveedores de servicios, que pueden incluir programas mínimos de seguridad, notificación y respuesta a incidentes de seguridad y violación de datos, requisitos de cifrado de datos y compromisos de eliminación de datos. Las empresas deberían revisar los contratos de los proveedores de servicios anualmente para asegurarse de que incluyan los requisitos.

Control 16: Seguridad del software de aplicación
Las empresas deben gestionar el ciclo de vida de seguridad del software desarrollado, alojado o adquirido internamente para prevenir, detectar y remediar las debilidades de seguridad antes de que afecten a la empresa. Además, las organizaciones deberían usar plantillas de configuración estándar recomendadas por la industria para reforzar los servidores subyacentes, las bases de datos y los servidores web. Esto también se aplica a los contenedores en la nube, los componentes de plataforma como servicio (PaaS) y los componentes de SaaS.

Control 17: Gestión de respuesta a incidentes
Se deben asignar roles y responsabilidades clave para la respuesta a incidentes, incluyendo al personal legal, de TI, de seguridad de la información, de instalaciones, de relaciones públicas, de recursos humanos, personal de respuesta a incidentes y analistas, según corresponda. El plan debe revisarse anualmente o cuando se produzcan cambios significativos en la empresa que puedan afectar la respuesta a incidentes.

Control 18: Pruebas de penetración
Un programa de pruebas de penetración debe simular las acciones de un atacante para identificar y explotar las debilidades entre las personas, los procesos y la tecnología. El programa debe ser apropiado para el tamaño, la complejidad y la madurez de la empresa. Las vulnerabilidades deben remediarse según la política de la empresa para el alcance y la priorización de la remediación.

Tim Greene NetworkWorld.com

Artículo anterior8 complementos de Outlook para mejorar la colaboración
Artículo siguienteAnálisis en tiempo real: 7 consejos para el éxito