Sentar las bases

No hace falta reinventar la rueda cuando sienta las bases iniciales de un programa de seguridad de la información. Hay algunas normas que pueden ser de gran utilidad, que trataremos en el Capítulo 8. El Instituto Nacional de Estándares y Tecnología (NIST) tiene un marco de ciberseguridad basado en el riesgo que cubre muchos aspectos de un programa de este tipo. El Marco de Ciberseguridad (CSF) 2.0 del NIST consta de seis funciones concurrentes y continuas: identificar, proteger, detectar, responder, recuperar y gobernar. Cuando se consideran conjuntamente, estas funciones proporcionan una visión estratégica de alto nivel del ciclo de vida de la gestión del riesgo de ciberseguridad de una organización.

No sólo un marco será un posible activo, sino también las normas de cumplimiento. Aunque unas normas de cumplimiento mal aplicadas pueden obstaculizar la seguridad general de una organización, también pueden constituir un magnífico punto de partida para un nuevo programa. Trataremos las normas de cumplimiento en mayor profundidad en el Capítulo 8. Por supuesto, aunque recursos como éstos pueden ser un fenomenal valor añadido, siempre debes tener en cuenta que cada organización es diferente, y algunos aspectos que cubrimos pueden no ser relevantes para tu caso -hay recordatorios recurrentes de esto a lo largo del libro-.

Creación de equipos

Como ocurre con muchos otros departamentos, existen virtudes en tener al personal correcto en los equipos correctos en lo que respecta a la seguridad. La comunicación abierta entre equipos debe ser un objetivo primordial, ya que sin ella la postura de seguridad se debilita gravemente. Aunque las organizaciones más pequeñas pueden combinar varios de los siguientes equipos (o no tener ninguno), éste sigue siendo un buen objetivo para poblar un departamento de seguridad:

Equipo directivo

Un director de información (CIO) o un director de seguridad de la información (CISO) proporcionarán a la influencia y la autoridad necesarias para tomar decisiones y realizar cambios en toda la empresa. Un equipo ejecutivo también podrá proporcionar una visión a largo plazo, comunicar los riesgos corporativos, establecer objetivos, proporcionar financiación y sugerir hitos.

Equipo de riesgo

Muchas organizaciones ya tienen un equipo de evaluación de riesgos , y éste puede ser un subconjunto de ese equipo. En la mayoría de las organizaciones, la seguridad no va a ser la prioridad número uno. Este equipo calculará los riesgos que rodean a muchas otras áreas de la empresa, desde las ventas al marketing y las finanzas. Puede que la seguridad no sea algo con lo que estén muy familiarizados. En este caso, se les puede enseñar los fundamentos de la seguridad caso por caso, o se puede añadir al equipo un analista de riesgos de seguridad. Un marco de riesgo como el Marco de Gestión de Riesgos (RMF) del NIST; el marco de Evaluación de Vulnerabilidades, Activos y Amenazas Críticas Operativas (OCTAVE); o el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) pueden ayudar con esto.

Equipo de seguridad

El equipo de seguridad realizará tareas para evaluar y reforzar el entorno. La mayor parte de este libro se centra en él y en el equipo ejecutivo. Son responsables de las operaciones diarias de seguridad, incluida la gestión de activos, la evaluación de amenazas y vulnerabilidades, el monitoreo del entorno para detectar ataques y amenazas, la gestión de riesgos y la formación. En un entorno lo suficientemente grande, este equipo puede dividirse en varios subequipos, como seguridad de redes, operaciones de seguridad, ingeniería de seguridad, seguridad de aplicaciones y seguridad ofensiva.

Equipo de auditoría

Siempre es buena idea tener en un sistema de comprobaciones y balances. Esto te permite no sólo buscar lagunas en tus procesos y controles de seguridad, sino también asegurarte de que se están cubriendo las tareas e hitos correctos. Al igual que el equipo de riesgos, el equipo de auditoría puede ser un subconjunto de un grupo mayor.

De nuevo, es totalmente posible que, debido a factores como las limitaciones presupuestarias o de personal, una empresa pequeña o mediana combine uno o todos estos equipos en uno solo. En esos casos, nos solidarizamos contigo. A medida que la empresa crezca, y esperemos que el programa de seguridad también crezca, las funciones separadas podrán planificarse y cubrirse adecuadamente.

Determinar tu postura básica de seguridad

Las incógnitas en cualquier entorno van a asustar, pero eso no debería impedirte sumergirte en él. ¿Cómo vas a saber en qué nivel de éxito ha tenido el programa sin saber dónde empezó? Al principio de cualquier programa de seguridad nuevo o de cualquier inmersión profunda en uno existente, una fase de definición de bases y descubrimiento debe ser una de las primeras prioridades de todos los equipos. En este libro, trataremos varias veces la gestión de activos de distintas formas. Establecer la línea de base de la seguridad de la organización es un paso más en ese proceso de gestión. Para ello, querrás reunir información sobre todo lo siguiente:

• Políticas, procedimientos y respuesta a incidentes playbooks

• Endpoints-desktops y servidores, incluyendo fecha de implementación y versión del software

• Las renovaciones de licencias y software, así como las fechas de caducidad de los certificados de capa de sockets seguros (SSL)

• Huella de Internet-dominios, servidores de correo, dispositivos de zona desmilitarizada (DMZ), arquitectura en la nube

• Dispositivos de red e información: routers, conmutadores, puntos de acceso, sistemas de detección y prevención de intrusiones (IDS/IPS) y tráfico de red

• Registro y monitoreo

• Puntos de entrada/salida: contactos de proveedores de servicios de Internet, números de cuenta y direcciones IP

• Proveedores externos, con o sin acceso remoto a , y contactos principales

• Aplicaciones: todas las aplicaciones informáticas primarias mantenidas por tu empresa o utilizadas en cualquier aspecto como funciones empresariales primarias

Evaluar las amenazas y los riesgos

Como se ha mencionado anteriormente, establecer un equipo o función de riesgos en es una parte esencial de la creación de un equipo de seguridad de la información. Sin conocer las amenazas y los riesgos a los que se enfrenta tu organización, es difícil adaptar las tecnologías y ofrecer recomendaciones para una defensa adecuada. La forma de evaluar las amenazas y los riesgos será diferente para cada organización. Cada huella interna y externa es única cuando se combina con la infraestructura individual implicada. Por tanto, la evaluación requiere tanto una visión general de alto nivel como un conocimiento profundo de los activos.

Puedes encontrar información mucho más detallada en investigando sobre gobernanza, riesgo y cumplimiento (GRC). Como no podemos abarcar la totalidad de la GRC en este libro, repasaremos un marco general de riesgos. Existen varios marcos de gestión de riesgos, pero en general pueden resumirse en cinco pasos: identificar, evaluar, mitigar, monitorizar y gobernar.

Priorizando

Una vez identificadas y evaluadas las amenazas y los riesgos, hay que priorizarlos de mayor a menor porcentaje de riesgo, para planificar su corrección (concentrándose en la protección continua). Sin embargo, esto no siempre tiene por qué ser una empresa costosa. Muchas mitigaciones defensivas pueden realizarse con poco o ningún coste para una organización. Esto permite muchas oportunidades de iniciar un programa de seguridad sin disponer de presupuesto para ello. Realizar la diligencia debida necesaria para poner en marcha el programa de forma gratuita debería decir mucho a un equipo ejecutivo.

Este libro no pretende tomarse como una lista secuencial de tareas de seguridad a completar. La priorización puede variar mucho de un entorno a otro. Sólo recuerda, si el entorno ya está en llamas y bajo ataque, no empieces creando políticas o haciendo ingeniería inversa del malware. Como jefe de bomberos, no deberías preocuparte por buscar al pirómano y el punto de origen cuando aún no has apagado el fuego.

Para determinar la prioridad de algunos riesgos, puedes utilizar una matriz de riesgos, en la que el nivel de riesgo global se calcula tomando "Probabilidad × Impacto", como se ilustra en la Figura 1-1.

Figura 1-1. Una matriz de riesgos

Crear hitos

Los hitos te llevarán desde donde estás hasta donde quieres estar. Representan una progresión general en el camino hacia un entorno seguro. Esto se adentra un poco en las funciones del director de proyecto (PM), pero en muchos casos las empresas no tienen PM dedicados. Los hitos pueden dividirse libremente en cuatro tramos o niveles:

Nivel 1: Ganancias rápidas

Los primeros hitos a cumplir deben ser victorias rápidas que puedan lograrse en horas o días y que aborden vulnerabilidades elevadas -puntos finales no utilizados que puedan eliminarse, dispositivos heredados que puedan trasladarse a una red más segura y parches de terceros-, todo ello podría entrar en esta categoría. Mencionaremos muchas soluciones gratuitas en este libro, ya que el proceso de adquisición en algunas organizaciones puede llevar mucho tiempo.

Nivel 2: Este año

Las vulnerabilidades mayores que puedan requerir un proceso de gestión de cambios para abordarse, crear un cambio en el proceso o comunicarse a un número significativo de personas podrían no acabar en el nivel 1. Los cambios importantes en el enrutamiento de la red, la implantación de la educación de los usuarios y el desmantelamiento de cuentas, servicios y dispositivos compartidos son mejoras que requieren poco o ningún presupuesto para llevarse a cabo, pero pueden llevar algo más de tiempo debido a la necesidad de planificación y comunicación.

Nivel 3: El año que viene

Las vulnerabilidades y los cambios que requieren una cantidad significativa de planificación o que dependen de que se apliquen primero otras correcciones entran en este nivel. La transición de funciones empresariales completas a un servicio en la nube, las actualizaciones de dominio, las sustituciones de servidores y dispositivos de infraestructura importantes, la implantación del monitoreo y los cambios de autenticación son buenos ejemplos.

Nivel 4: A largo plazo

Algunos hitos pueden tardar varios años en cumplirse, debido a la duración del proyecto, la falta de presupuesto, la renovación de los contratos o la dificultad del cambio. Esto podría incluir elementos como una reestructuración de la red, la sustitución del software principal o la construcción de un nuevo centro de datos.

Es útil vincular los hitos a los controles y riesgos críticos que ya se han identificado. Aunque empezar por los riesgos y vulnerabilidades más elevados es una buena idea, puede que no sean soluciones fáciles. En muchos casos, no sólo llevará una cantidad significativa de tiempo y diseño arreglar estos elementos, sino que también pueden requerir un presupuesto del que no se dispone. Todos estos aspectos de deben tenerse en cuenta al planificar cada nivel.

Casos prácticos, ejercicios de simulación y simulacros

Los casos de uso son importantes para mostrar situaciones que pueden poner en peligro infraestructuras críticas, datos sensibles u otros activos. Haz una lluvia de ideas con los propietarios de los datos y los líderes para planificar con antelación cómo hacer frente a los ataques maliciosos. Lo mejor es plantear unos tres casos de uso diferentes en los que centrarse al principio y planificar la creación de medidas de mitigación y monitoreo de la seguridad en torno a ellos. Los posibles casos de uso incluyen ransomware, ataques distribuidos de denegación de servicio (DDoS), empleados descontentos, amenazas internas y exfiltración de datos. Una vez elegidos varios casos de uso, se pueden desglosar, analizar y correlacionar con cada paso de cualquiera de los marcos de seguridad que se tratan en este libro, o adicionalmente otros que se acaben creando después de que terminemos de escribir. Un ejemplo de un marco común de utilizado para mapear casos de uso es la Intrusion Kill Chain de Lockheed Martin (también conocida como Cyber Kill Chain).

Como se describe en el documento técnico de Lockheed Martin, la cadena de destrucción de intrusiones es "un modelo de inteligencia procesable cuando los defensores alinean las capacidades defensivas de la empresa con los procesos específicos que un adversario emprende para atacar a esa empresa", y se compone de siete pasos:

1. Reconocimiento

Investigación, identificación y selección de objetivos, a menudo representados como rastreo de sitios web de Internet, como actas de conferencias y listas de correo, en busca de direcciones de correo electrónico, relaciones sociales o información sobre tecnologías específicas.

2. Armatización

Acoplar un troyano de acceso remoto con un exploit en una carga útil entregable, normalmente mediante una herramienta automatizada (weaponizer). Cada vez más, los archivos de datos de la aplicación cliente, como el Formato de Documento Portátil de Adobe (PDF) o los documentos de Microsoft Office, sirven como entregable armificado.

3. Entrega

Transmisión del arma al entorno objetivo. Los tres vectores de entrega más frecuentes para las cargas útiles armadas... son los adjuntos de correo electrónico, los sitios web y los medios extraíbles USB.

4. Explotación

Una vez entregada el arma a [el] host víctima, la explotación activa el código de los intrusos. Lo más frecuente es que la explotación se dirija a una vulnerabilidad de la aplicación o del sistema operativo, pero también podría ser más sencillo explotar a los propios usuarios o aprovechar una función del sistema operativo que autoejecute código.

5. Instalación

La instalación de un troyano de acceso remoto o backdoor en el sistema víctima permite al adversario mantener la persistencia dentro del entorno.

6. Mando y Control (C&C)

Normalmente, los hosts comprometidos deben emitir balizas hacia un servidor controlador de Internet para establecer un canal de C&C. El malware APT requiere especialmente la interacción manual, en lugar de llevar a cabo la actividad de forma automática. Una vez que se establece el canal de C&C, los intrusos tienen acceso "con las manos en el teclado" dentro del entorno objetivo .

7. Acciones sobre los objetivos

Sólo ahora, una vez superadas las seis primeras fases, pueden los intrusos emprender acciones para alcanzar sus objetivos originales. Normalmente, este objetivo es la exfiltración de datos, que implica recopilar, cifrar y extraer información del entorno de la víctima; las violaciones de la integridad o disponibilidad de los datos también son objetivos potenciales. Otra posibilidad es que los intrusos sólo deseen acceder al cuadro víctima inicial para utilizarlo como punto de salto para comprometer sistemas adicionales y mover lateralmente dentro de la red.

Este libro blanco tiene una buena cantidad de información de que también puede utilizarse para crear casos de uso.

La Tabla 1-1 es un ejemplo de un caso de uso de cadena de muerte paso a paso que hemos creado para un ataque de ransomware sin desplegar software o hardware caros para una empresa con tiempo para implementar proyectos de código abierto.

Se pueden añadir muchas mitigaciones defensivas diferentes y detecciones específicas en cada paso de la cadena de muerte para una disminución general del riesgo en cada capa.

Tras la creación e implantación de controles de seguridad en torno a los casos de uso, los ejercicios de simulación y los simulacros pueden servir como pruebas de concepto y ayudarte a crear una colección de libros de jugadas. Un ejercicio de simulación es una reunión de las principales partes interesadas y del personal que recorren paso a paso la mitigación de algún tipo de desastre, avería, ataque u otra emergencia en un escenario de bajo estrés. Un simulacro es cuando el personal lleva a cabo el mayor número posible de procesos, procedimientos y mitigaciones que se realizarían durante una de las emergencias.

Aunque los simulacros tienen un alcance limitado, pueden ser muy útiles para probar controles específicos en busca de lagunas y posibles mejoras. Se puede llevar a cabo hasta cierto punto un plan de recuperación ante desastres (DR), probar las copias de seguridad con la restauración de archivos y fallar servicios a miembros secundarios del clúster.

Los ejercicios de mesa implican a varios grupos o miembros clave:

• Durante un ejercicio de mesa, debe haber un moderador o facilitador de que presente el escenario que se va a representar. Este moderador puede responder a preguntas del tipo "qué pasaría si" sobre la emergencia imaginaria, así como dirigir el debate, conseguir recursos adicionales cuando sea necesario y controlar el ritmo del ejercicio. Debe informar a los participantes de que es perfectamente aceptable no tener respuestas a todas las preguntas durante este ejercicio. El objetivo de los ejercicios de simulación es descubrir los puntos débiles de los procesos actuales para poder mitigarlos antes de un incidente real .

• Debe incluirse un conjunto diverso de participantes, incluidos representantes de finanzas, recursos humanos (RRHH), jurídicos, seguridad (tanto física como de la información), dirección, marketing y cualquier otro departamento clave que pueda ser necesario. Los participantes deben estar dispuestos a participar en la conversación, a desafiarse a sí mismos y a los demás educadamente, y a trabajar dentro de los parámetros del ejercicio.

• Un miembro del grupo debe evaluar el rendimiento general del ejercicio, así como crear un informe posterior a la acción. Este evaluador debe tomar notas meticulosas y seguir el libro de ejecución o de jugadas pertinente para garantizar la exactitud. Aunque el evaluador será el principal encargado de tomar notas, otros grupos e individuos pueden tener conocimientos y comprensión específicos de la situación. En este caso, un buen paso es que cada miembro proporcione al evaluador sus propias notas al final de la mesa.

Los posibles materiales a utilizar en el tablero son

• Un folleto para los participantes con una descripción del escenario y espacio para notas

• Un manual actualizado de cómo se gestionan las situaciones de seguridad

• Manuales de políticas y procedimientos

• Una lista de herramientas y servicios externos

Las preguntas y acciones posteriores al ejercicio incluyen

• ¿Qué ha ido bien?

• ¿Qué podría haber ido mejor?

• ¿Falta algún servicio o proceso que hubiera mejorado el tiempo de resolución o la precisión?

• ¿Hay pasos innecesarios o irrelevantes?

• Identifica y documenta los problemas para tomar medidas correctivas.

• Cambia el plan adecuadamente para la próxima vez.

Ampliar tu equipo y tus competencias

Encontrar un equipo dedicado, apasionado e inteligente puede ser uno de los aspectos más difíciles de la vida de cualquier profesional.

¿Qué podéis hacer tú y tu equipo para ampliar vuestros conocimientos y habilidades? Aquí tienes algunas ideas:

• Anima al personal a crear un laboratorio en casa, o proporciónale un laboratorio. Los laboratorios pueden utilizarse para probar situaciones del mundo real, así como para practicar habilidades y aprender otras nuevas. Puedes montar uno a un coste relativamente bajo comprando equipos de segunda mano o utilizando diversas ofertas en la nube. La mejor forma de aprender para la mayoría de las personas es la práctica, y con un laboratorio no hay riesgo de introducirse en un entorno de producción.

• Compite o crea competiciones de captura la bandera (CTF). Los CTF son desafiantes, y pueden proporcionar formación y creación de equipos, así como mejorar las habilidades de comunicación. La mayoría de las conferencias sobre seguridad de la información tienen CTFs. Si buscas ampliar un equipo, los CTF son también un lugar maravilloso para encontrar nuevos talentos. Los participantes no sólo demostrarán su nivel de conocimientos, sino que también podrás hacerte una idea de sus habilidades de comunicación, de lo bien que trabajan con otros en equipo y de su disposición a ayudar y enseñar a los demás.

• Encuentra o crea un proyecto. Identifica una necesidad y llénala. Sea cual sea el conjunto de habilidades que quieras ejercer, habrá por ahí un proyecto que necesite ayuda. La documentación es necesaria en casi todos los proyectos de código abierto, o puedes automatizar algo en la empresa.

• Asiste, organiza, hazte voluntario, habla, patrocina o forma en una conferencia del sector o en una reunión local. Hay cientos de ellas en todo EEUU, y casi siempre necesitan voluntarios. El mero hecho de asistir a una conferencia tiene sus ventajas, pero sumergirte de verdad te impulsará a aprender y experimentar más. Muchas carreras se han iniciado por una simple conversación sobre una pasión durante un almuerzo o una cerveza. Ten en cuenta, sin embargo, que aunque la creación de redes es un factor de cambio en nuestro sector, no es una bala de plata para todo el mundo. Puedes trabajar en red todo lo que quieras, pero a menos que seas un candidato deseable, no importará. La voluntad y el deseo de aprender, escuchar y colaborar, así como la capacidad de pensar por ti mismo, son rasgos ideales en un sector tan acelerado.

• Participa en tutorías. Ya sea como mentor o alumno, estructurada o no estructurada, la tutoría puede ser un valioso proceso de aprendizaje tanto dentro como fuera del trabajo.