1. Libros y videos
  2. Resiliencia cibernética en la empresa
  3. Buenas prácticas del SI ciberseguro
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

Buenas prácticas del SI ciberseguro

Introducción

Tras presentar un análisis de riesgos basado en un caso práctico, es hora de analizar la respuesta tecnológica a los ciberataques. Hay muchos productos y servicios disponibles en todo el mundo, tanto en versiones comunitarias como comerciales. Elementos de arquitectura, estaciones de trabajo, correo electrónico, antivirus, EDR, cuentas privilegiadas, acceso móvil, escáneres de vulnerabilidades...

Pero, ¿por dónde empezar realmente y qué estrategia adoptar para ser lo más eficaz posible?

Elementos de arquitectura fundamental

Si se representa la arquitectura de un SI de la forma más exhaustiva posible, se aprecian claramente varios tipos de entidades.

1. Entidad central, denominada "HeadQuarter" (HQ)

Esta entidad es el centro neurálgico del sistema de información, el lugar donde se almacenan servidores, bahías de almacenamiento, elementos activos, centros de datos con y sin certificación ISO, accesos de telecomunicaciones, cortafuegos, servidores de correo, software antivirus, aplicaciones empresariales, aplicaciones colaborativas, front-ends de publicación, directorios, servidores DNS... y muy a menudo los equipos informáticos de producción (los "Ops"). En esta nube privada, ahora es necesario añadir elementos tecnológicos de ciberseguridad para completar la panoplia del cauto director informático:

  • Retransmisión de correo con sistema antispam

  • Sistema de protección de aplicaciones web (WAF)

  • Sistema proxy de autenticación (BASTIÓN)

  • Gestión centralizada de endpoints

  • Gestión centralizada de cortafuegos remotos

  • Gestión centralizada de registros con correladores de eventos (SIEM)

  • Gestión centralizada de las operaciones NOC/SOC

  • Gestión de la orquestación de eventos de seguridad (SOAR)

  • Gestión automática del comportamiento de los usuarios (UEBA)

  • Gestión de enlaces de telecomunicaciones seguros y calidad de las aplicaciones (SDWAN)

  • Gestión de la seguridad en la nube (CSPM)

  • Gestión de la seguridad de los usuarios/aplicaciones en la red (SASE)

  • Gestión de prevención y detección de intrusiones (IPS/IDS)

  • Gestión del filtrado web

Esta arquitectura ideal es cara. Evidentemente, no todas las empresas pueden permitirse la inversión asociada. En este caso, es necesario plantearse la subcontratación cibernética con un especialista que disponga de este tipo de entorno (compartido entre sus clientes).

images/05RI01.PNG

Elementos de la arquitectura de ciberseguridad

La mayoría de estos elementos, y muchos más, están incorporados en Security Fabric de Fortinet, una de las plataformas tecnológicas de ciberseguridad más avanzadas del mundo.

images/fortinet%20Security%20Fabric.png

El concepto de tejido de seguridad de Fortinet

2. Arquitectura de usuario

Se trata esencialmente de los puestos de trabajo de los usuarios de la sede, ya sean fijos...

Clientes

1. Puestos de trabajo

a. Contexto principal

Los puestos de trabajo son uno de los componentes del sistema de información, casi siempre ubicados dentro de la empresa, con un sistema operativo tipo Microsoft Windows (versiones 7-8-10 actualmente soportadas durante 2021). Este sistema mayoritario los convierte en un blanco privilegiado para los atacantes que explotarán las numerosas vulnerabilidades, lo que obligará a Microsoft a proporcionar toda una serie de parches para remediar la situación.

Cada segundo martes es el "Patch Tuesday" para todos los sistemas Microsoft. También es posible configurar un servidor central de actualizaciones con Windows Update Service (WUS) para ahorrar ancho de banda de la red de Internet: es el servidor WUS el que recupera las actualizaciones y, a continuación, todas las estaciones de trabajo se sincronizan con el servidor WUS a través de la LAN.

Las estaciones de trabajo cliente son vulnerables, mucho más que los servidores, porque las utilizan personas que no son expertas en informática y que a menudo tienen poca conciencia de la ciberseguridad. Las mismas personas que hacen clic en un enlace web pensando que potencialmente han ganado un gran premio de lotería. Así es como se cierra la trampa y se instala el malware.

Los puestos de trabajo cliente deben estar protegidos por programas antivirus y EDR para detectar y prevenir las amenazas. Se trata...

Servidores

Los servidores, ya sea en la nube privada, en la nube pública, en las instalaciones, en Windows o Linux, en forma de VM, bare-metal o en contenedores, deben considerarse de la misma manera desde el punto de vista de la seguridad:

  • Instalación de las últimas versiones del sistema operativo y del middleware.

  • Instalación de Software antivirus (incluso para Linux).

  • Instalación de un EDR.

  • Protección en una DMZ adecuada.

  • Estar protegido por sistemas de rebote en lugar de estar expuesto en Internet:

  • Un relay SMTP protege un servidor de correo.

  • Un proxy web protege la navegación saliente.

  • Un reverse proxy protege el acceso entrante a la web.

  • Un Web Application Firewal (WAF) protege los recursos de las aplicaciones web.

  • Los servidores públicos deben estar protegidos por un cortafuegos (ningún servidor debe tener direcciones IP públicas configuradas en sus interfaces de red).

  • Los registros del sistema/aplicación deben exportarse a un servidor de registros centralizado y a un sistema SIEM.

  • Los servicios deben ser monitorizados (Zabbix, Nagios, What’s up, Azure Monitor, Cacti, etc.).

  • Los componentes de hardware deben ser redundantes (tarjetas de red, fuentes de alimentación, discos duros, etc.).

  • Los datos críticos y sensibles deben guardarse en un dispositivo externo.

  • Hay que hacer copias de seguridad de las máquinas virtuales, los contenedores y las bases de datos.

  • Deben...

Redes

La ciberresiliencia también puede aplicarse a las redes, en particular a los enlaces de telecomunicaciones y a los equipos "activos", como routers, conmutadores y puntos de acceso Wi-Fi.

1. Télécom

En general, hay que gestionar enlaces redundantes para garantizar la continuidad de la actividad utilizando varios operadores de acceso a Internet, combinados con un enlace a Internet sin velocidad garantizada (sólo burst).

Es necesario mezclar tecnologías para lograr la redundancia necesaria: 4G/5G, MPLS/FO/xDSL/Internet por cable, satélite, SDWAN, IPSec, SSL, etc.

Los packs de operadores Internet con cortafuegos gestionados son atractivos porque el riesgo se transfiere al operador (normalmente deben expertos en el tema).

Lo importante aquí es tener contratos sólidos con los operadores y un compromiso de garantía de tiempo de reestablecimiento y penalizaciones... acorde con los exigencias.

2. Elementos activos

Todos estos elementos deben duplicarse para garantizar la continuidad de la actividad; forman parte plenamente del sistema BCP/DRP.

Como estos equipos suelen estar equipados con sistemas operativos propietarios (por ejemplo, Cisco IOS), deben tratarse como un activo informático que hay que proteger:

  • Realice actualizaciones periódicas de los últimos parches y versiones de software suministrados por el fabricante.

  • Supervisión con paneles que muestran la carga...

Otros dispositivos informáticos que deben protegerse

Hay que tener en cuenta otras características fundamentales de los sistemas de información:

  • Cortafuegos (local, gestionado en nube privada o modo SaaS en nube pública) : Fortinet, Palo Alto, CheckPoint...

  • Almacenamiento mediante matrices de almacenamiento SAN tradicionales (fabricantes HPE, Nutanix, IBM, etc.) o almacenamiento distribuido (Ceph, PureStorage, Scality, etc.)

  • Copias de seguridad: Veeam, Atempo, NetBackup, CommVault

  • Directorios Active Directory/Azure AD/LDAP

  • Objetos conectados/IOT

  • Mensajería: Exchange Online en M365, Exchange on-premise, Roundcube, Zimbra, Postfix/Dovecot, etc.

  • Acceso móvil: FortiClient VPN Client, TheGreenBow, Secure Remote CheckPoint...)

  • Cuentas privilegiadas: Wallix, Balabit, BeyondTrust, Systancia, JumpServer (JumpServer es una (rara) solución de código abierto (Privileged Access Management), disponible en: https://www.jumpserver.org/index-en.html)...

  • Exploración de vulnerabilidades: OpenVAS, iTrust IKare, Nessus...

Esta lista no es exhaustiva; sin embargo, las mejores prácticas de ciberresiliencia descritas anteriormente se aplican en todos los casos y a todos los elementos de la SI.

Conciencia humana

Una vez repasado el escudo tecnológico imprescindible para la supervivencia de cualquier empresa en el ciberespacio, el tema de la ciberconcienciación es sin duda el complemento ideal para perfeccionar la postura de seguridad de la SI.

La sensibilización se dirige a todos los empleados de la empresa, incluidos los altos directivos. Tiene varios objetivos y puede adoptar múltiples formas.

Objetivos

Los objetivos de la campaña de sensibilización son :

  • Formar a los empleados en ciberseguridad, centrándose en los principales elementos de este campo: asegurar el entorno digital, proteger los datos personales y la privacidad.

  • Empleados de pruebas: utilice pruebas automatizadas de forma regular para mantener un alto nivel de buenos reflejos de protección.

  • Medir el nivel de conocimientos de los empleados.

La idea principal es que el peligro está entre la silla y la pantalla del ordenador, es decir, el ser humano, y que por tanto es necesario darle todos los trucos para que no caiga en la trampa de hacer clic en un enlace malicioso, navegar por sitios ilegales, facilitar datos personales, etc.

Formas

La sensibilización es un proceso completo del SGSI que debe documentarse:

  • Descripción del proceso de sensibilización: alcance, partes interesadas, objetivos, diagrama de flujo, indicadores de medición, comunicación, herramientas utilizadas.

  • Formalizar un plan de acción...