SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

24 oct 2011

Segu-Info » , , , » Mes de concienciación en seguridad con mucho material de descarga

Mes de concienciación en seguridad con mucho material de descarga

24 oct 2011, 2:42:00 p.m.   Comenta primero!
  , , ,  
Las iniciativas cómo la que les presento hoy son necesarias para acercar y dar a conocer la problemática existente en lo que a seguridad informática se refiere, explicando claramente los problemas más comunes, e incluso dando ejemplos con los que poder aumentar la seguridad informática en nuestro entorno, tanto corporativo como particular.
Esta iniciativa se denomina el mes de la ciberseguridad (Cyber Security Awareness Month) del que este año se celebra su octava edición, y está promovida por el Departamento de Seguridad Nacional de los Estados Unidos de América, en cooperación con la National Cyber Security Alliance (NCSA) y el Multi-State Information Sharing and Analysis Center (MS-ISAC).

Para esta edición, se ha publicado mucho material, como consejos y pósters, entre otros, en la propia web dedicada a este evento. También se muestran recursos proporcionados a la causa por otras empresas, y otras muchas simplemente han decidido unirse haciendo campaña por su parte.

Desde el instituto SANS han querido colaborar con el mes de la ciberseguridad dando un repaso a su lista de 20 controles críticos de seguridad, ofreciendo en sus artículos diarios una visión sencilla y cercana de por que es importante implantar estos controles y cuales son los objetivos que se persiguen con ellos, proporcionando además directrices acerca de su implementación práctica. Además, estos controles han sido actualizados este último año, contemplando una correspondencia entre estos controles y los ofrecidos por el NIST y por el departamento de estado Australiano.

Antes de mostraros los controles, mencionar que el orden en que aparecen no corresponde con el orden de importancia ni con el orden en que deben ser implementados en una organización, ya que muchos de ellos son independientes y pueden ser implantados en paralelo. Además, 15 de ellos son automatizables, lo que facilita conseguir su cumplimiento, aunque sea a un nivel básico.

El listado de controles es el siguiente:
  1. ¿Qué son los 20 controles críticos? Estos 20 controles
  2. [SANS] Inventario de Dispositivos (Autorizados o No)
  3. [SANS] Inventario de Software (Autorizado o No)
  4. [SANS] Configuración segura del software en equipos y servidores
  5. [SANS] Configuración segura de dispositivos de red
  6. [SANS] Defensa perimetral
  7. [SANS] Mantenimiento, monitorización y análisis de logs de Seguridad
  8. [SANS] Seguridad en aplicaciones software
  9. [SANS] Uso controlado de privilegios administrativos
  10. [SANS] Acceso controlado, basado en la necesidad de conocer (Need to know)
  11. [SANS] Comprobación continua de las vulnerabilidades y su mitigación
  12. [SANS] Monitorización y control de cuentas
  13. [SANS] Defensa contra el malware
  14. [SANS] Limitación y control de uso de puertos de red, protocolos y servicios
  15. [SANS] Control de dispositivos inalámbricos
  16. [SANS] Prevención contra la pérdida de datos
  17. [SANS] Diseño de redes seguro
  18. [SANS] Test de penetración y ejercicios de tipo “Red Team”
  19. [SANS] Capacidad de respuesta ante incidentes
  20. [SANS] Capacidad de recuperación de datos
  21. [SANS] Revisión de las habilidades en seguridad y formación adecuada para cubrir carencias

En primera instancia, uno puede pensar que llevar todo esto a cabo en una empresa debe ser una tarea titánica y con un coste elevadísimo, tanto en mano de obra como en tiempo, pero, como ya hemos comentado, con un poco de ingenio y utilizando herramientas y aplicaciones gratuitas o libres, el coste puede reducirse significativamente. Como muestra este ejemplo (en inglés) de una implementación de estos controles en una empresa con presupuesto reducido.

Bajo mi punto de vista, creo que un buen enfoque puede ser comenzar por conocer los elementos que conforman nuestra red y las aplicaciones que se utilizan (controles 1 y 2), luego controlar las cuentas de usuarios y su uso, para saber quién y como accede a los recursos existentes (controles 11, 8 y 9), y más adelante plantear la configuración segura de todos los activos de la red (controles 3 y 4) y el control del perímetro de nuestra red, así como los servicios que ofrecemos al exterior (controles 5 y 13). ¿Qué os parece este enfoque? Si no os parece adecuado, ¿cómo lo modificaríais?

Para finalizar me gustaría destacar la necesidad de este tipo de programas, que nos ayudan a dar difusión a los problemas de seguridad informática y nos aportan soluciones para mejorar nuestra navegación, cada vez más ubícua, en los entornos informáticos.

Fuente: SecurityArtWorks



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!