Empresa fuerte con ciberseguridad: marzo 2021

Tres indicadores de ciberseguridad que debes conocer y aplicar en tu organización.

En este post vamos a trabajar tres indicadores de ciberseguridad y ver como puede llegar a afectar los activos de tu infraestructura tecnológica.

El primer indicador es MTTD y está relacionado con el tiempo que te demoras en detectar una vulnerabilidad en la infraestructura de tu organización y me refiero a todos los equipos conectados a la red interna, la nube, sedes remotas, datacenter alterno y los equipos en teletrabajo (puede haber otros sitios dependiendo de la arquitectura de red de la organización).

Entre más rápido detectes una vulnerabilidad, más rápido puedes trabajar en un plan de remediación. Este indicador deberá ser lo más corto posible, puedes comenzar con un análisis de vulnerabilidades cada treinta días y a medida que vayas madurando el proceso deberás llegar a siete días o menos.

El segundo indicador es MTTR y corresponde al tiempo que vas a demorar en remediar la vulnerabilidad. Aquí tenemos que hacer una bifurcación entre los equipos críticos como servidores y equipos de red, y los no tan críticos como lo son las estaciones de trabajo.

Para los equipos no críticos es más fácil la remediación porque en la mayoría de los casos no requieren de laboratorios de pruebas para verificación de no afectación del servicio. Este tiempo puede iniciar en quince días y madurar el proceso para que tome máximo siete días. Para el caso de los equipos críticos, el tiempo recomendado es de tres semanas, dependiendo de la criticidad de la infraestructura. Debes tratar de reducir este tiempo lo máximo posible en aras de proteger la información.

El tercer indicador es AWOE, corresponde al tiempo transcurrido desde que una vulnerabilidad se hace pública y el tiempo del cierre de la vulnerabilidad, en términos prácticos, es la suma de los dos indicadores anteriores. Para equipos no críticos deberá estar al rededor del los quince días y para equipos críticos al rededor de los treinta días.

La base de estos indicadores es la frecuencia del análisis de vulnerabilidades y el rápido tratamiento de los resultados hallados. Recomendado, un análisis mensual y madurar el proceso hasta llegar a un análisis cada siete días o menos, como siempre depende de la criticidad de la información.

Recuerda que no todas las organizaciones son iguales por lo que lo sugerido, está basado en las recomendaciones de expertos y se deben de ajustar a los requerimientos de cada una, teniendo en cuenta que entre más altos sean estos indicadores, mayor va a ser la exposición al riesgo.

“Lo que no se mide no se puede mejorar”. William Thomson Kelvin

Cinco herramientas para concientizar a tus empleados en ciberseguridad y no morir en el intento.

En este post te voy a mostrar cinco herramientas que te van a ayudar en la capacitación de tus usuarios.

Muchas veces hemos escuchado "El eslabón más débil de la cadena de ciberseguridad es el usuario final" y en verdad si tienen mucho de razón, por ello, el mercado está ofreciendo una serie de herramientas que están orientadas a capacitar al usuario final para solucionar el rollo del eslabón más débil de la cadena.

A continuación te voy a enumerar cinco herramientas entre las cuales la primera y la última son mis favoritas, la primera debido a que esta hecha por gente de habla hispana y tiene varias características que sobresalen sobre las demás. La última, pertenece al mundo opensource por el cual tengo especial afecto, no es fácil de configurar, pero viene bien si no tienes mucho presupuesto.

Aquí la descripción y el sitio web de cada una de ella por si quieres mayor información:

Smartfense: Es la plataforma de capacitación y concienciación en Seguridad de la Información que genera hábitos seguros en los usuarios finales.

Sophos: Sophos Phish Threat es una plataforma avanzada de pruebas y entrenamiento de seguridad diseñada para reducir el riesgo de la mayor superficie de ataque de TI: el usuario final.

Proofpoint: Convierta a sus usuarios en una última línea de defensa sólida frente a los ciberataques actuales, con nuestra formación para concienciar en materia de seguridad basada en investigaciones.

Knowbe4: KnowBe4 es la plataforma de phishing simulada y capacitación en concienciación sobre seguridad más grande del mundo que le ayuda a manejar el problema actual de la ingeniería social.

Gophish: es un framework Open Source, el cual ayuda de una forma sencilla el envío de correos de forma automatizada y con un dashboard que te muestra de forma detallada el proceso de phishing.

Existe otros fabricantes como cibsafe, mimecast, infosec, elevate security y más los cuales tienen soluciones similares, te recomiendo que revises y escojas la que más se ajuste a las necesidades de tu negocio.

Ponte en contacto si quieres tener alguna de estas soluciones como servicio en tu empresa.

Esta es la forma adecuada para conectar con la red interna de la empresa.

En este post hablaremos acerca de la forma como te debes conectar a los servicios internos de la empresa y como hacerlo de forma segura.

El teletrabajo nos ha traído grandes desafíos, entre ellos el dar acceso a los servicios de la red interna de forma segura, cosas como la publicación de servicios críticos sobre la Internet sin tomar las medidas de seguridad adecuadas pueden llegar a poner en riesgo la seguridad de la información digital.

Se presenta a menudo que administradores novatos en su afán por proveer soluciones rápidas optan por publicar sobre la Internet servicios críticos como escritorios remotos, VNC, bases de datos y backups, poniendo en riesgo a la empresa.

El acceso a los recursos internos de la organización se debe hacer por medio de canales seguros como el servicio de conexión VPN que viene con la mayoría de los firewalls o UTMs de pago.

Una VPN es una conexión segura habilitada para conectarse a la red interna de la empresa y tener acceso a los servicios como si estuviéramos dentro de la empresa.

Entre las ventajas que tienes cuando haces uso de estas soluciones, están:

Conexión de forma segura a la red interna.
Acceso controlado de usuarios a recursos internos.
Evitar la exposición de servicios no necesarios sobre Internet.
Posibilidad de habilitar horarios de trabajo para teletrabajadores.

Recuerda esto: "Solo expones en Internet los servicios que van en la Internet."

Ten en cuenta que Internet es una red hostil, todo servicio que se publica es atacado constantemente en búsqueda de información, o simplemente para tomar control del equipo y utilizarlo para atacar otros sitios, por esto, debes tener especial cuidado acerca de los servicios públicas y de hacerlo de forma segura.

Si requieres mayor información a cerca de como conectar los servicios de tu red interna con personal en teletrabajo, por favor ponte en contacto.

Conozca 6 de los 20 controles que te ayudarán a mejorar tu ciberseguridad.

En este post conocerás seis controles críticos propuestos por el CIS para mejorar la ciberseguridad de tu organización.

Los Controles Críticos de Ciberseguridad son un conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por las organizaciones para mejorar su nivel de ciberseguridad.

En total son 20 controles divididos en tres secciones, la primera de ella se llama “basic” y corresponde a los controles mínimos o básicos que deben tener toda organización para garantizar una respuesta básica ante un incidente.

La segunda sección es “fundational” y corresponden a diez controles, su implementación ayudara a contrarrestar amenazas más específicas.

La sección “organizational” la cual corresponde a cuatro controles orientados a mejora en los procesos.

A continuación se enumeran los seis primeros controles junto con su descripción:

Control 1: Inventario y control de activos de hardware.

Supervise y gestione activamente y gestione todos los dispositivos de hardware conectados a su red. Mantenga un inventario actualizado de todos sus activos tecnológicos y disponga de un sistema de autenticación para garantizar que los dispositivos no autorizados no tengan accesControl 2: Inventario y control de activos de software.

Disponga de un sistema de inventario de software para supervisar y gestionar activamente todo el software que se esté ejecutando en su red. Utilice la lista blanca de aplicaciones para garantizar que solo se instale y ejecute software autorizado y que se bloquee el software no autorizado.

Control 3: Gestión continua de vulnerabilidades.

Analice continuamente sus activos para identificar posibles vulnerabilidades y remediarlas antes de que se conviertan en un problema. Fortalezca la seguridad de su red garantizando que el software y los sistemas operativos utilizados en su organización ejecuten las actualizaciones de seguridad más recientes.

Control 4: Uso controlado de los privilegios administrativos.

Monitoree los controles de acceso y el comportamiento de los usuarios de las cuentas privilegiadas para evitar el acceso no autorizado a los sistemas críticos. Garantice que sólo las personas autorizadas tengan privilegios elevados para evitar el uso indebido de los privilegios administrativos.

Control 5: Configuración segura para el hardware y el software de los dispositivos móviles, laptops, estaciones de trabajo y servidores.

Establezca y mantenga configuraciones de seguridad basadas en los estándares de configuración aprobados por la organización. Defina un riguroso sistema de gestión de configuraciones que monitoree y alerte sobre las configuraciones erróneas e implemente un proceso de control de cambios para impedir que los atacantes se aprovechen de los servicios y configuraciones vulnerables.

Control 6: Mantenimiento, monitoreo, y análisis de logs de auditoría.

Recopile, gestione y analice los logs de auditoría de los eventos para detectar anomalías. Mantenga registros de log para comprender los detalles de los ataques a fin de responder a los incidentes de seguridad de manera eficaz.

Este es el listado completo:

Controles Básicos:

Control 1: Inventario de Dispositivos autorizados y no autorizados.
Control 2: Inventario de Software autorizados y no autorizados.
Control 3: Gestión continua de vulnerabilidades.
Control 4: Uso controlado de privilegios administrativos.
Control 5: Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores.
Control 6: Mantenimiento, monitoreo y análisis de logs de auditoría.

Controles Fundacionales:

Control 7: Protección de correo electrónico y navegador web
Control 8: Defensa contra malware
Control 9: Limitación y control de puertos de red, protocolos y servicios
Control 10: Capacidad de recuperación de datos
Control 11: Configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores
Control 12: Defensa de borde
Control 13: Protección de datos
Control 14: Control de acceso basado en la necesidad de conocer
Control 15: Control de acceso inalámbrico
Control 16: Monitoreo y control de cuentas

Controles Organizacionales:

Control 17: Implementar un programa de concienciación y capacitación en seguridad
Control 18: Seguridad del software de aplicación
Control 19: Respuesta y gestión de incidentes
Control 20: Pruebas de penetración y ejercicios de red team

Puedes hallar mayor información en el siguiente link

https://www.cisecurity.org/white-papers/cis-controls-v-7-1-implementation-groups/

Si deseas asesoría, no dudes en ponerte en contacto. exposición.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario