[28/01/2022] La implementación de controles de seguridad se ha utilizado durante mucho tiempo para mitigar el riesgo; sin embargo, no todos los controles de seguridad son iguales. Han surgido varias fuentes para ayudar a priorizar los más críticos. Fácilmente, los más notables son los 18 controles críticos de seguridad de CIS, que anteriormente era el SANS Top 20. Aun así, las organizaciones operan de manera realista con tiempo, atención y recursos limitados. Por esa razón, aquí se presentan los siete Controles Críticos de CIS que deberían ser implementados primero.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Controles 1 y 2 de CIS: Inventario y control de activos empresariales y de software
Sí, hicimos un poco de trampa al fusionar dos controles, pero están estrechamente relacionados y son muy relevantes. El Control 1 es Inventario y control de activos empresariales y el Control 2 es Inventario y control de activos de software. Aunque a primera vista estos dos parecen los más sencillos, el inventario de activos ha estado entre los controles críticos más importantes durante años debido al hecho de que no siempre es fácil, pero sí es absolutamente fundamental.
Hoy en día, las organizaciones tienen innumerables activos con conectividad a recursos y datos empresariales, y esto solo está aumentando con el impulso de IoT, BYOD y más dispositivos conectados. Todos estos dispositivos y activos representan un riesgo para la empresa, ya que los atacantes pueden usarlos para introducir software malicioso, filtrar datos confidenciales u otros peligros.
El Control 2 de CIS es innegablemente fundamental en los entornos empresariales de TI actuales. Con el impulso hacia todo lo definido por software, en gran parte motivado por el crecimiento de cloud computing, los activos empresariales se entrelazan como software de manera inevitable.
Aparte de los activos, las organizaciones están consumiendo grandes cantidades de software, ya sea de proveedores de software propietario, y de creadores y mantenedores de software de código abierto. Esto es excelente ya que impulsa un ecosistema diverso de desarrollo de software modular y flexible, pero el mayor inconveniente es que vuelve la cadena de suministro de software cada vez más compleja.
Como se vio con SolarWinds y ahora Log4j, los componentes de software de código abierto y propietario (y los pipelines a través de los que se alimentan) pueden introducir un riesgo enorme para los sistemas empresariales con un efecto en cascada en toda la cadena de suministro. Y, además, si no cuenta con un inventario preciso del software que se ejecuta en sus sistemas, no podrá ver el riesgo al que se enfrenta, y quedará indefenso a la hora de priorizar sistemas específicos para su corrección o clasificación. Esfuerzos como la lista de materiales de software (SBOM) están ganando más terreno debido a esta realidad. Sobre la base del concepto de BOM también existe la necesidad de tener certificaciones para corroborar la calidad de un artefacto de software, independientemente del productor del software, como lo propone TestifySec.
Control 3 de CIS: Protección de datos
Considerando que el paradigma moderno de seguridad está siendo impulsado por la seguridad centrada en los datos y promovido por la confianza cero, sería difícil no poner la protección de datos al inicio de la lista. No se puede negar que estamos en una economía impulsada por lo digital en la que todas las organizaciones son esencialmente empresas de tecnología, sobre todo si quieren seguir siendo relevantes. En el centro de ese cambio está el elemento vital de todo: los datos. Esto es lo que aporta valor empresarial a su organización y es, en última instancia, lo que buscan los adversarios. Por eso es fundamental contar con un plan para identificar, clasificar, manejar de forma segura, retener y eliminar los datos, tal como lo recomienda el control.
Control 6 de CIS: Gestión del control de acceso
Sobre la base del requisito de proteger los datos, está la necesidad de controlar el acceso a los sistemas y datos de la empresa. Aquí es donde entra en juego el Control 6 de CIS: Gestión del control de acceso. Las filtraciones de datos han alcanzado máximos históricos y la mayoría implican credenciales comprometidas. Por este motivo es fundamental contar con una gestión adecuada del ciclo de vida de las cuentas, un control de acceso, un acceso lo menos permisivo posible y el cambio a un modelo de confianza cero impulsado por el contexto para acceder a los activos y datos de la empresa. Esta necesidad de control de acceso se aplica no solo a los humanos, sino también a las NPEs (non-person entity) como software, máquinas virtuales y funciones sin servidor que pueden tener identidades y permisos asociados.
Control 8 de CIS: Gestión de registros de auditoría
Si bien el objetivo de la ciberseguridad es evitar que sucedan cosas malas, la realidad inevitable es que seguirán pasando. Aquí es donde entra en juego el control crítico de la gestión de registros de auditoría. Esto es clave para detectar, comprender y recuperarse de incidentes cuando ocurren, y está estrechamente relacionado con el Control 17, que se analiza más adelante. Sin la capacidad de comprender qué sucedió, por quién y qué activos involucrados, la organización está totalmente a oscuras y es incapaz de llevar a cabo actividades efectivas de respuesta a incidentes.
Control 14 de CIS: Concientización y capacitación en materia de seguridad
Vivimos en una industria que está abrumada con palabras de moda y jerga técnica. Dicho esto, la realidad es que las herramientas no lideran las transformaciones, lo hacen las personas. Pregúntele a cualquier profesional de la seguridad con varios años de experiencia y le confirmará lo importante que es el factor humano en la seguridad cibernética y en el éxito de las iniciativas de seguridad.
Una creencia extendida es que los humanos son el "eslabón más débil” en la ciberseguridad, pero la verdad es que son el eslabón más importante. Investigadores destacados como la Dra. Margaret Cunningham, el Dr. Calvin Nobles y la Dra. Nikki Robinson están liderando el cambio hacia una seguridad centrada en el ser humano; el cambio hacia la realidad de que los humanos son la línea de defensa más crítica. Esto se traduce en empoderar a las personas mediante la concientización y capacitación en materia de seguridad, tal como promueve el Control 14. Más allá de eso, también significa evitar los sistemas mal diseñados que comprometen a los usuarios y diseñar sistemas tecnológicos centrados en el ser humano que faciliten los comportamientos seguros de los usuarios.
Control 17 de CIS: Gestión de respuesta a incidentes
Al igual que se mencionó en la discusión sobre la Gestión de registros de auditoría, si bien la prevención de incidentes es ideal, responder de manera efectiva y recuperarse de ellos es imprescindible. Aquí es donde entra en juego el Control 17 de CIS. Las organizaciones deberían tener planes, políticas y procedimientos de respuesta a incidentes definidos. Además, no solo deben tener estos planes, sino que deben facilitar la eficiencia en su ejecución a través de ejercicios de simulación. Por lo general, esto se lleva a cabo a través de escenarios hipotéticos con funciones y responsabilidades definidas en los que se determina cómo respondería la organización si algo ocurriera.
Dando un paso más, las organizaciones pueden implementar métodos como la ingeniería del caos que gira en torno a la inyección intencional de fallas en un esfuerzo por generar sistemas más resistentes y robustos. Algunas fuentes esenciales para comenzar con la respuesta a incidentes incluyen la 800-61 r2 Computer Security Incident Handling Guide de NIST, que presenta las mejores prácticas fundamentales para establecer programas de respuesta a incidentes.
Aunque ninguna lista de controles de seguridad es inmune a las críticas o las debilidades, la realidad es que asegurar los complejos sistemas de TI es un desafío. Sin actividades, prácticas y capacidades básicas, es casi imposible. Las organizaciones pueden ganar mucho terreno si se enfocan en los fundamentos absolutamente críticos y los ejecutan de manera efectiva a escala.
Basado en el artículo de Chris Hughes (CSO) y editado por CIO Perú
Puede ver también: