Autor: Dirk Tapia, Ingeniero de Proyectos, Soluciones Seguras Panamá

Las 8 esenciales no es un producto ni una solución que se pueda encasar y vender, sino más bien un conjunto de estrategias sobre las que una organización puede definir su marco de ciberseguridad. 

Curiosamente, muchos de nosotros ya tenemos muchas de las piezas necesarias para comenzar nuestra búsqueda de una postura de ciberseguridad más madura y una mejor protección. Para el desarrollo de las 8 esenciales traeremos un modelo de análisis de madurez desarrollado por el Centro Australiano de Seguridad Cibernética (ACSC) para mitigar incidentes de seguridad cibernética.

ACSC ha desarrollado un modelo de madurez para ayudar a definir su nivel actual de madurez en función de un conjunto de criterios que, cada vez más organizaciones, tanto gubernamentales como comerciales, están adoptando. Revisaremos las 8 esenciales con sus niveles de madurez con algunos comentarios sobre cómo podemos reforzar nuestras defensas.

NIVELES DE MADUREZ POR EL ACSC

La ACSC define tres niveles oficiales de madurez, del uno al tres (1, 2, 3), y dos niveles no oficiales más: cero (0), y por encima de tres (3+). El nivel de madurez cero significa que no existen controles que se ajusten a la estrategia de mitigación. Sin embargo, es muy probable que directa o indirectamente ya estamos haciendo algo que cumple con cada uno de estos controles, incluso si no es obvio o completo. En cuanto a un nivel de madurez más significativo que tres, es un nivel personalizado adaptado para una organización individual por el ACSC. A continuación, vamos a especular sobre lo que algunos de estos podrían ser en cada sección de las 8 esenciales.

Resumiendo la terminología del ACSC:

  • "Nivel de madurez uno: parcialmente alineado con la intención de la estrategia de mitigación",
  • "Nivel de madurez dos: en su mayoría alineado con la intención de la estrategia de mitigación" y
  • "Nivel de madurez tres: Totalmente alineado con la intención de la estrategia de mitigación".

 

LAS 8 ESTRATEGIAS ESENCIALES

Veamos cada una de las 8 estrategias esenciales que debemos considerar dentro de nuestra organización:

  1. Seguridad de Redes
    1. Nivel de madurez 1: Es donde la mayoría de las organizaciones se sientan hoy día. Aquí se alojan las organizaciones que poseen controles de seguridad firewall de red, pero solo con modelos básicos de seguridad como Firewall para control de reglas, VPN para conectividad e IPS en algunos casos.
    2. Nivel de madurez 2: Aquí se implementan mecanismos de control superiores dentro de los firewalls, entre ellos Antivirus, Antibot y seguridad APT. Además de algunas otras soluciones para detección de amenazas o escaneos de vulnerabilidades.
    3. Nivel de madurez 3: Requiere de la implementación de detección y bloqueo de amenazas conocidas y desconocidas dentro de los firewalls, soluciones sandboxing. Así como soluciones de detección de mitigación de ataques avanzados (Anti DDoS, entre otros).
  2. Seguridad de Fuerza de trabajo remota
    1. Nivel de madurez 1: Al inicio de la pandemia muchas organizaciones estuvieron aquí, brindando conectividad ilimitada (VPN capa 3) con seguridad limitada (Antivirus).
    2. Nivel de madurez 2: Se implementan soluciones de seguridad avanzada en las estaciones de usuarios remotos, como Antibot, NGAntivirus, Análisis de Comportamiento, Control de Aplicaciones. La conectividad se mantiene por VPN.
    3. Nivel de madurez 3: Implementa una nueva generación de conectividad segura a través del acceso Zero-Trust sin VPN, seguridad de amenazas desconocidas y de día cero, antiphishing y tecnologías SASE.
  3. Seguridad de Nube
    1. Nivel de madurez 1: Este fue el nivel básico cuando iniciaron las nubes, era requerido esquemas de firewall y VPN básicos para asegurar puertos y conectividad con las premisas. Sin embargo, no es suficiente para las amenazas avanzadas de hoy.
    2. Nivel de madurez 2: Implementa Firewall de Siguiente Generación en el perímetro de la nube con algunas soluciones de aseguramiento de servicios como seguridad de aplicativos WEB (WAF) para servicios publicados.
    3. Nivel de madurez 3: Implementa firewall con seguridad de amenazas avanzadas, así como seguridad para microservicios, servicios SaaS y soluciones de monitoreo y validación de postura de seguridad de la nube, para revisar la configuración de la nube basado en cumplimientos y mejores prácticas.
  4. Seguridad de Datos
    1. Nivel de madurez 1: Implementa segmentación de redes y servicios para aislar los servidores de datos sensitivos del resto de los accesos. La información debe residir en servidores de bases de datos que permitan escalabilidad.
    2. Nivel de madurez 2: Implementa soluciones de auditoría de bases de datos (Database Activity Monitoring) para mantener una visibilidad y control de los accesos a las bases de datos así como bloqueo de accesos no autorizados (Database Firewall).
    3. Nivel de madurez 3: Requiere de la implementación de mecanismos o soluciones con funciones de aprendizaje automático y análisis de comportamiento que permitan detectar de forma autónoma accesos no autorizados a la información sensitiva.
  5. Seguridad de Correo
    1. Nivel de madurez 1: En esta posición se ubican las empresas que solo poseen seguridad básica para correo electrónico, entiéndase solución Antispam basado en contenido, palabras clave, y reputación.
    2. Nivel de madurez 2: Implementa soluciones que se extiendan a detección y bloqueo de amenazas avanzadas que se ocultan en archivos de uso común, así como mecanismos de bloqueo de campañas fraudulentas (Anti Phishing) y cifrado de correo electrónico.
    3. Nivel de madurez 3: Implementa soluciones de bloqueo de amenazas de día cero, con soluciones de educación y concientización del personal humano, y soluciones de archivado o respaldo de correos o servicios nube.
  6. Seguridad de Credenciales
    1. Nivel de madurez 1: Implementa una segmentación de roles donde solo administradores poseen acceso a la información o servicios sensitivos. Los demás usuarios poden cuentas con privilegios limitados.
    2. Nivel de madurez 2: Requiere la implementación de soluciones tipo bóvedas que guarden criptográficamente segura las credenciales de alto privilegio y sirvan de intermediario seguro para los usuarios que requieren de estos accesos sensitivos.
    3. Nivel de madurez 3: Extiende el concepto de acceso seguro de usuarios de alto privilegio a los usuarios comunes y al acceso administrativo fuera de la organización con una campaña Zero-Trust.
  7. Seguridad de Aplicaciones y Servidores
    1. Nivel de madurez 1: Segmenta los servidores y servicios web en redes dedicadas (DMZ) para aislar del resto de la red. Los servidores poseen soluciones de antivirus e IPS para seguridad local en el agente.
    2. Nivel de madurez 2: Implementa soluciones para el aseguramiento de las aplicaciones como protección de aplicativos WEB con seguridad OWASP Top10 y de amenazas avanzadas. Servidores requieren de una solución con capacidades de análisis forense.
    3. Nivel de madurez 3: Requiere de soluciones de seguridad de aplicaciones basada en la nube para que brinde mitigación de ataques (Anti DDoS) y control de bots (Bot Manager). Los servidores requieren de mecanismos de seguridad avanzados como parchado virtual, análisis forense y malwares de día cero.
  8. Seguridad de Accesos
    1. Nivel de madurez 1: Describe un acceso simple y básicamente ilimitado de forma remota, generalmente otorgado por accesos VPN capa 3.
    2. Nivel de madurez 2: Describe accesos VPN, pero con una autenticación extendida como MFA. Algunas veces las conexiones se crean a través de un sistema de gestión de credenciales o proxies seguros para una visibilidad y control ante los accesos.
    3. Nivel de madurez 3: Requiere implementación de soluciones SASE para un acceso Zero Trust seguro a los recursos empresariales incluyendo también a los accesos de uso sensitivo sin utilizar VPN.

 

EN RESUMEN

En general, para lograr un nivel de madurez en ciberseguridad puede recurrir indudablemente a las 8 esenciales, que le brindarán una posición actual y una hoja de ruta a seguir para reforzar su estrategia de ciberseguridad. Las 8 esenciales no suponen un principio ni un final de la estrategia de ciberseguridad, pero su adopción y alineación es un gran comienzo.