Bienvenid@ invitado Entrar o Registrarse Beneficios Revistas digitales Podcast BriefingCenters Analytics Newsletter Boletín diario RSS
Publicada. March 10, 2010

Llaman expertos a adoptar estándares mínimos de seguridad

Por Mónica Mistretta
Email |  ¿Desea imprimir? Regístrese ahora

Sin recursos suficientes, sin gente bien capacitada y sin el patrocinio de la dirección general, las empresas luchan por estar protegidas contra el creciente número de riesgos, reconocieron expertos en servicios de consultoría en riesgos.

En el marco del Séptimo bSecure Conference, Carlos Chalico y Ricardo Lira, directivos de Risk Advisory Services de Ernst & Young, recordaron a los más de 250 ejecutivos reunidos los estándares mínimos de seguridad, o Baseline Security Standards (BSS).

“No necesitamos comprar nada para llevarlos a cabo, sería como pagarle al dentista para que nos diga que tenemos que lavarnos los dientes tres veces al día. Pero nos hemos dado cuenta a través de pruebas de penetración de que muchas empresas no los aplican”, dijeron.

Gerente senior de Ernst & Young, Lira dijo en su intervención que las empresas están lejos del estado ideal de la seguridad, sin recursos suficientes, sin gente bien capacitada y sin el patrocinio de la dirección general. Por ello, recomendó a la audiencia que revisen su gestión tanto táctica como estratégica y comiencen por aplicar los estándares básicos mínimos de seguridad.

Los BSS son también conocidos como estándares mínimos de seguridad, línea base estandarizada de controles de seguridad o Hardening inicial. Equivale a mitigar tanto ataques de aquellos que no tienen acceso al sistema como de los que intenten abusar de sus privilegios en el sistema.

Al modelo básico de seguridad por capas, Lira sugirió añadir varios aspectos: virtualización, dispositivos de seguridad, el browser (el nuevo OS), terceros y cómputo en la nube. Y en la capa del sistema operativo considerar usuarios móviles.

A continuación, un resumen de los estándares mencionados por los conferencistas en los distintos niveles del modelo:

Estándares de seguridad básicos a nivel de RED:

-Inventario de dispositivos de telecomunicaciones

-Aplicación de parches (90 días)

-Filtrado a nivel red-zonas de seguridad (separar red de producción/desarrollo/usuarios)

-Identificación y depuración de usuarios (particularmente aquellos con privilegios de admin.)

-Política de contraseñas (vigencia mínima 1 semana/máxima -90 días, longitud mínima: 8 caracteres, complejidad de contraseña, bloqueado de cuenta después de 5 intentos fallidos, histórico: 5)

-Administración remota (SSH en lugar de Telnet)

-Identificación y activación de eventos relevantes de auditoría

-Separación de red alámbrica de red inalámbrica –AAA

A nivel de SISTEMA OPERATIVO:

-Inventario de sistemas operativos (servidor)

-Aplicación de parches (90 días)

-Puertos TCP/UDP únicamente aquellos requeridos.

-Política de contraseñas

-Identificación y depuración de usuarios

A nivel de SISTEMA OPERATIVO (cliente):

-Inventario de equipos cliente

-Aplicación de parches

-identificación y depuración de permisos en archivos y directorios con información críticas y/o sensible

-Puertos TCP/UDP

A nivel de BASES DE DATOS (1):

-Inventario de base de datos

-Aplicación de parches

-Limitar el acceso a la base de datos desde la red

-Identificación y depuración de usuarios

-Política de contraseñas

-Depuración de roles, perfiles, privilegios

-Permisos de ejecución de procedimientos almacenados (stored procedures)

APLICACIÓN, PROCESOS Y GENTE:

En este nivel, Carlos Chalico invitó a los asistentes a la 7ª. edición de la conferencia más importante de seguridad IT a identificar el soporte de la infraestructura, la administración de usuarios, la autenticación.  “En otras palabras, sin boleto no pasas. Hay que revisar periódicamente la asignación de privilegios de acceso y contemplar la verdadera necesidad de tener súper usuarios”, dijo Chalico en su intervención.

Con respecto a las aplicaciones, recordó tener controles aplicativos, preventivos, detectivos y correctivos. “La gente de desarrollo está orientada a generar programas y no está concientizada con el concepto de riesgo. A nivel aplicativo en desarrollos internos enfrentamos problemas de vulnerabilidad. La aplicación será tan segura como la infraestructura de soporte, los procesos relacionados y la gente que la utilice”, dijo el socio del área de Risk Advisory Services.

En cuanto a procesos,  recomendó marcos referenciales como Cobit, las diferentes normas de ISO, y tomar de ellos lo que más valga la pena para cada organización.

Dijo Chalico que los procesos hay que comprenderlos muy bien, identificar los riesgos e identificar los controles que mitiguen esos riesgos, ver que dejen evidencia cuando se ejecutan, monitoreados para ver que efectivamente están funcionando y que permiten tener habilidades de reporteo.

La seguridad de la información debe ser vista a sí misma como un proceso más de la empresa, advirtió el ejecutivo, y los procesos mínimos son: administración de vulnerabilidades, protección de la red y telecomunicaciones, administración de la continuidad de la operación, administración de configuraciones y servicios, cumplimiento y seguridad física.

En cuanto a la gente, Chalico dijo: “Estamos alejados de las áreas de negocio para hacerles ver cómo estamos visualizando la seguridad. El 51% de los directivos de Seguridad en las empresas estadounidenses le reportan la situación de seguridad a niveles C cuando menos en forma trimestral, mientras aquí solo el 35% tiene acceso a esos niveles. El director de seguridad sigue dependiendo del área de Sistemas, pero lo tiene que ver con los demás interesados del negocio”.

De acuerdo con los resultados de la última encuesta de Ernst & Young, el tema gente se está convirtiendo en prioridad de atención de alta demanda. No se tiene la efectividad esperada debido la poca concientización organizacional y la no disponibilidad de recursos humanos capacitados.

¿Qué recomendación hacer? Chalico dijo: “Concientizar, entrenar, contratar, proteger, monitorear, reportar”.

INFORMACIÓN:

-Inventario de activos de información

-Clasificación de información

-Cifrado

-Protección de acceso d dispositivos móviles

-Respaldos periódicos

“Es clave auditar cumplimiento. Tenemos que ver que todo esto permanezca en el tiempo. Clave aplicarlos a todos, a red de usuarios, a red de desarrollo de pruebas y a la red producción. Si no se aplica a todos hay el riesgo de equipos pivote”, dijo a su vez Lira.

Para concluir, Chalico aconsejó: “Aplicar estos estándares básicos, auditarlos para garantizar que en el tiempo continúen aplicados, analizar qué activos requieren mayor número de controles o robustecer los Baseline Security Standards”. No confié en el terror, use su sentido común, la fuerza no lo acompaña. Conozca, comprenda y compare”.

Artículos relacionados

  1. Evolucionamos o perdemos el camino en seguridad: Cisco
  2. Explican expertos implicaciones de seguridad de la nube
  3. Temen 50% de las empresas adoptar Cloud Computing por riesgos en seguridad
  4. Llaman a adoptar sistemas continuidad del negocio por influenza
  5. La seguridad, sin reglas ni estándares: McAfee

Deja un comentario ›

 

Los más leídos »