Los 20 controles de seguridad críticos

La prevención es lo ideal pero la detección es una necesidad

Para protegerse contra los ataques, las organizaciones deben:

• Defender sus redes y sistemas de una variedad de amenazas internas y externas
• Estar preparados para detectar e impedir daños en el interior de su organización una vez ésta se ha visto comprometida

Principios fundamentales de un sistema de defensa

• El ataque informa a la defensa. Usar el conocimiento de los ataques reales que han comprometido sistemas para construir defensas prácticas y eficaces. Utilizar los controles que detengan los ataques conocidos del mundo real.
• Priorización. Invertir primero en aquellos controles que supongan la mayor reducción de riesgo y protección contra las amenazas más peligrosas y que se puedan implementar de forma factible en el entorno de TI actual.
• Métricas. Implementar sistemas de medición comunes y acordados que permitan identificar e implementar rápidamente los ajustes necesarios.
• Monitorización. Llevar a cabo un seguimiento continuo que permita probar y validar la eficacia de los controles de seguridad implementados.
• Automatización. Automatizar, en la medida de lo posible, las defensas de manera que las organizaciones puedan obtener mediciones continuas, fiables y escalables del comportamiento de los controles y las métricas relacionadas

Los 20 controles críticos

Los 20 controles críticos de seguridad son un conjunto recomendado de acciones para la ciberseguridad que proporcionan formas concretas y viables de frustrar los ataques más generalizados http://www.cpni.gov.uk/advice/cyber/Critical-controls/

1. Inventario de dispositivos autorizados y no autorizados
2. Inventario de software autorizado y no autorizado
3. Configuraciones seguras del hardware y software en dispositivos móviles, PCs, servidores.
4. Análisis continuo y eliminación de vulnerabilidades
5. Protección anti-malware
6. Seguridad del software de aplicación
7. Control de dispositivos wireless
8. Capacidades de recuperación de datos
9. Análisis de habilidades de seguridad y programas de formación adecuados
10. Configuraciones seguras para dispositivos de red como firewalls, routers y switches
11. Limitación y control de los puertos de red, protocolos y servicios
12. Uso controlado de los privilegios administrativos
13. Defensa del perímetro
14. Mantenimiento, monitorización y análisis de los logs de auditoría
15. Control de acceso basado en la necesidad de conocimiento
16. Control y monitorización de las cuentas
17. Prevención de pérdida de datos
18. Gestión y respuesta a incidencias
19. Ingeniería de red segura
20. Realización de tests de penetración

El objetivo de los controles críticos

El objetivo de los controles críticos es:

• Proteger los activos críticos, la infraestructura y la organización mediante una protección continua y automatizada.
• Reducir los niveles de compromiso, minimizar la necesidad de esfuerzos de recuperación y reducir los costes asociados mediante la monitorización de la infraestructura de tecnología de la información.

Estructura de los controles críticos

Cada control crítico incluye:

• Una explicación de cómo los atacantes explotan activamente la ausencia de este control.
• Un listado de las acciones específicas que las organizaciones están realizando para implementar, automatizar y medir la efectividad de este control:
• Quick wins que proporcionen una sólida reducción del riesgo sin realizar grandes cambios técnicos, en la arquitectura o a nivel de procedimientos y que proporcionen una reducción sustancial y rápida del riesgo en base a los ataques más comunes que sufren la mayoría de las organizaciones.
• Medidas de visibilidad y atribución que mejoren los procesos, la arquitectura y las capacidades técnicas de la organización para monitorizar las redes y sistemas, detectar intentos de ataques, localizar puntos de entrada, identificar máquinas ya comprometidas, interrumpir las actividades de los atacantes infiltrados y conseguir información sobre las fuentes de los ataques.
• Configuración de la seguridad de la información mejorada para reducir el número o magnitud de las vulnerabilidades de seguridad y mejorar las operaciones de los sistemas informáticos con un enfoque en la protección contra prácticas de seguridad pobres por parte de los administradores de los sistemas y de los usuarios
• Sub controles avanzados que utilizan las nuevas tecnologías para proporcionar una máxima seguridad pero que son difíciles de implementar o son más caros que soluciones de seguridad más estándar.

¿Cómo aplicar los controles?

1. Realizar una evaluación inicial que analice lo ya implementado en la organización y detecte áreas de mejora o carencias respecto a los controles.
2. Desarrollar un plan de trabajo donde se establezcan diferentes fases de implementación, los controles específicos que se aplicaran en cada fase y la programación de las mismas en función de consideraciones de riesgo empresarial.
3. Implementar la primera fase. Identificar las herramientas existentes que puedan ser reutilizadas o utilizadas mejor, nuevas herramientas a adquirir, procesos a mejorar y habilidades a desarrollar mediante formación.
4. Integrar los controles en las operaciones. Focalizarse en el seguimiento continuo, mitigación e integración de nuevos procesos en los sistemas de adquisición y gestión de operaciones.
5. Revisar el plan de trabajo definido en el paso 2 y actualizar, repetir las fases 3. 4 y 5.