Prefacio
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
En la última década, la adopción de tecnología se ha disparado en todo el mundo y las empresas han luchado por seguir el ritmo. La usabilidad y la creación de ingresos han sido los factores motivadores clave, ignorando a menudo el diseño proactivo y la seguridad necesarios para la estabilidad a largo plazo. Con el aumento de los hackeos de última hora, las filtraciones de datos que baten récords y los ataques de ransomware, nuestro trabajo consiste no sólo en arreglárnoslas con instalaciones por defecto, sino también en asegurar nuestros datos y activos lo mejor que podamos. Siempre habrá casos en los que entrarás en un entorno que es un metafórico choque de trenes con tantos incendios que no sabrás ni por dónde empezar. Este libro te dará lo que necesitas para crear un diseño sólido y seguro para la mayoría de las situaciones que te puedas encontrar.
Los ataques modernos pueden producirse por muchas motivaciones diferentes y son perpetrados por personas que van desde grupos de delincuencia organizada que buscan monetizar las brechas, hasta hacktivistas que buscan promulgar represalias contra las organizaciones que consideran inmorales o contrarias al interés público. Sea cual sea la motivación y quien sea el atacante, un gran número de ataques son organizados y llevados a cabo por individuos cualificados, a menudo con financiación.
Este cambio en el panorama ha llevado a muchas organizaciones a ponerse al día en materia de seguridad de la información, y a menudo se han dado cuenta de que su programa de seguridad de la información no ha recibido el respaldo ejecutivo necesario o simplemente nunca ha existido. Estas organizaciones intentan corregir esta situación y comenzar el camino para iniciar o madurar sus esfuerzos de seguridad de la información. Sin embargo, existe un problema.
La seguridad de la información es un sector que atraviesa actualmente un periodo de desempleo negativo; es decir, hay más puestos vacantes que candidatos para cubrirlos. Contratar gente es difícil, y contratar gente buena es más difícil. Para quienes buscan empleo, ésta puede ser una situación ventajosa; sin embargo, es un alto riesgo para los empresarios que buscan contratar a alguien para un puesto de seguridad de la información, ya que estarían infundiendo cierta confianza con posibles activos de gran valor en un nuevo contratado.
Por eso, muchas empresas que acaban de embarcarse en su programa de seguridad de la información han optado por ascender a alguien de otro puesto, como administrador de sistemas o arquitecto, a profesional de la seguridad de la información. Otra práctica habitual es contratar a un profesional de la seguridad de la información más junior para un puesto del que normalmente ocuparía y esperar que el recién nombrado aprenda en el trabajo. Esta situación es precisamente la que se pretende abordar en este libro.
Un gran número de problemas a los que se enfrentan las empresas con un programa de seguridad de la información inmaduro pueden remediarse, o al menos reducirse enormemente, con un poco de higiene básica de seguridad. La reacción instintiva ante la tarea de heredar un departamento de seguridad nuevo e inmaduro puede ser comprar tantos dispositivos con bonitos LED parpadeantes como sea posible, con la esperanza de que remedien los problemas. Hay quien prefiere pagar a otra empresa para que establezca un acuerdo de externalización, que puede aprovecharse para ayudar. Ambas opciones requieren dinero. Muchas organizaciones que se inician en la seguridad de la información no tienen presupuesto para emprender ninguna de estas soluciones al problema: utilizar las herramientas que ya existen en el entorno puede ser todo lo que tengas.
Nuestro objetivo
Nuestro objetivo no es sólo hacer de ésta una norma que pueda aplicarse a la mayoría de las redes empresariales, sino también que sea un poco entretenida de leer por el camino. Ya existen normas muy profundas de diversas organizaciones gubernamentales y privadas que pueden hablar sin parar sobre la validez de una u otra medida de seguridad. Queremos que sea un diálogo informativo respaldado por experiencias reales del sector. Habrá buenas políticas, buenas prácticas, fragmentos de código, capturas de pantalla, guías y sarcasmo, todo mezclado. Queremos llegar a las masas: a los administradores de red que no consiguen que les aprueben para contratar ayuda; a los directores que quieren saber que no son los únicos que libran las batallas que nosotros vemos día tras día; y a la gente que se está ensuciando las manos en las trincheras y ni siquiera está preparada para iniciar el camino de la lectura de libros blancos y RFC.
A quién va dirigido este libro
Este libro está diseñado para servir de manual de Seguridad 101 aplicable al mayor número posible de entornos, con el fin de impulsar la máxima mejora de tu postura de seguridad con el mínimo gasto económico. Entre los tipos de cargos que podrán extraer de él conocimientos y datos procesables se incluyen los directores de información de alto nivel (CIO), directores, analistas de seguridad, administradores de sistemas y otros cargos tecnológicos.
Navegar por el Libro
Lo hemos escrito deliberadamente para que no tengas que adoptar un enfoque de todo o nada. Cada uno de los capítulos puede servir como un cuerpo de conocimientos independiente para un área de interés concreta, lo que significa que puedes elegir qué temas te convienen a ti y a tu organización e ignorar los que consideres que no son aplicables. El objetivo no es lograr el cumplimiento de un marco o régimen de cumplimiento concreto, sino mejorar la situación actual en trozos sensatos, pragmáticos y manejables.
Hemos ordenado este libro a propósito para que comience con los fundamentos de la puesta en marcha o el rediseño de un programa de seguridad de la información. Te llevará desde los esqueléticos pasos de la creación de un programa en un alocado viaje en montaña rusa hacia las profundidades de temas más técnicos. Mucha gente no se da cuenta de que se puede realizar una gran cantidad de trabajo e implantación en una empresa antes de gastar un capital importante. Un problema común al que se enfrenta la seguridad de la información es no poder conseguir la aprobación de los ejecutivos de nivel C. Un paso en la dirección correcta para conseguir un presupuesto de seguridad sería demostrar que has llevado a cabo la diligencia debida en tu trabajo. Gran parte de este libro incluye pasos, herramientas, procesos e ideas para asegurar un entorno con poco o ningún capital.
Tras los esqueléticos pasos de planificación del nuevo y reluciente programa de seguridad, pasamos a crear un conjunto base de políticas, normas y procedimientos. Hacerlo al principio de las etapas de tu programa de seguridad te dará un buen punto de partida para el crecimiento y la maduración. Utilizar las políticas como método para comunicar las expectativas te permite alinear a las personas de toda tu organización con respecto a lo que se espera de ellas y de su función.
Incluimos la educación de los usuarios al principio del libro, ya que nunca es demasiado pronto para empezar a enseñar a los empleados a qué deben estar atentos (y utilizarlos como pieza clave en la detección). Sin embargo, dependiendo de la fortaleza actual de tus defensas, no debería ser un enfoque importante hasta que se haya formado una base sólida. Los atacantes no se van a molestar con la interacción humana si pueden conectarse remotamente sin ella.
A continuación, el libro pasa a la planificación y el tratamiento de las violaciones, los desastres, el cumplimiento y la seguridad física, todo lo cual combina el aspecto de gestión y organización de la seguridad de la información con las herramientas físicas y la infraestructura necesarias para llevarlas a cabo. Estar preparado en caso de cualquier tipo de emergencia física o técnica puede significar la diferencia entre una recuperación suave y constante o un fracaso total de la empresa, y cualquier cosa intermedia.
Un buen y sólido diseño de base es sólo el principio. Ahora que hemos cubierto parte del diseño del programa general, empezamos a adentrarnos en categorías más técnicas y en la arquitectura de seguridad, empezando por las dos categorías principales de sistemas operativos. Tanto Microsoft como Unix tienen sus pros y sus contras, pero en lo que respecta a Microsoft, algunos de los temas que se tratarán son la instalación del Enhanced Mitigation Experience Toolkit (EMET), las buenas prácticas de la directiva de grupo y la seguridad de Microsoft SQL. Para Unix, cubriremos las actualizaciones de terceros y el endurecimiento del servidor/OS, incluyendo la desactivación de servicios, permisos de archivos, cortafuegos basados en host, particiones de disco y otros controles de acceso. La gestión de puntos finales también entra en esta categoría. Una lucha común que vemos en las empresas incluye las prácticas de "trae tu propio dispositivo" (BYOD) y la gestión de dispositivos móviles (MDM). También nos ocuparemos de la gestión e implantación del cifrado de puntos finales.
Otras dos verticales importantes que a menudo se ignoran (o a las que no se les presta todo el cariño que deberían) son la infraestructura de red y la gestión de contraseñas. Al repasar la infraestructura de red, trataremos la seguridad de los puertos, la desactivación de tecnologías inseguras, el firmware de los dispositivos, el filtrado de salida, etc. Trataremos la segmentación, incluida la implantación de redes de área local virtuales (VLAN) con listas de control de acceso (ACL) para garantizar que la red no sea plana, la delegación de permisos y los Controles de Acceso a la Red. A continuación, analizaremos el escaneado y la corrección de vulnerabilidades. Aunque la mayoría de los escáneres de vulnerabilidades empresariales no son gratuitos, hablamos de ellos en este capítulo para demostrar su valía utilizándolos durante un periodo de prueba gratuito (para trabajar en la compra del producto completo) o sacando el máximo partido a una versión completa que ya esté en la organización.
Muchas organizaciones tienen su propio equipo de desarrollo; sin embargo, la formación tradicional para desarrolladores suele centrarse en la optimización del rendimiento, la escalabilidad y la interoperabilidad. Las prácticas de codificación segura sólo se han incluido en la formación sobre desarrollo de software en años relativamente recientes. Discutimos las técnicas que pueden utilizarse para mejorar la situación actual y reducir el riesgo que suele asociarse al desarrollo interno.
El Purple Teaming, que es la combinación de seguridad ofensiva (equipo rojo) y defensiva (equipo azul), puede ser difícil de implantar dependiendo de la dotación de personal y de las políticas corporativas. Se trata de un concepto relativamente nuevo que ha recibido una gran atención en los últimos dos años. El Capítulo 18 cubre algunos conceptos básicos de las pruebas de penetración, así como la ingeniería social y la inteligencia de fuentes abiertas.
Por último, se tratan algunas de las prácticas y dispositivos de seguridad que requieren más tiempo, como el sistema de detección de intrusos (IDS), el sistema de prevención de intrusos (IPS), el centro de operaciones de seguridad (SOC), el registro y el monitoreo. Nos hemos dado cuenta de que muchas organizaciones creen que estas tecnologías se instalan o configuran una sola vez y ya pueden irse sintiéndose protegidas. Merece la pena el tiempo, el esfuerzo y la inversión que supone tener una configuración en continuo progreso, porque tu entorno interno siempre está cambiando, al igual que las amenazas de las que debes preocuparte. No vamos a hacer ninguna recomendación específica de un proveedor; más bien, hemos optado por discutir soluciones y conceptos generales que deberían resistir la prueba del tiempo mucho mejor que una recomendación específica de un proveedor para el conjunto de herramientas actual.
Ah, y la Milla Extra(Capítulo 23)... es el cajón de los trastos viejos donde encontrarás nuestros fragmentos de ideas de configuración y consejos que realmente no tenían cabida en ningún otro sitio.
Ahora que hemos dicho todo esto, veamos qué podemos hacer para mejorar algunas cosas.
Convenciones utilizadas en este libro
En este libro se utilizan las siguientes convenciones tipográficas:
- Cursiva
-
Indica nuevos términos, URL, direcciones de correo electrónico, nombres de archivo y extensiones de archivo.
Constant width-
Se utiliza en los listados de programas, así como dentro de los párrafos para referirse a elementos del programa como nombres de variables o funciones, bases de datos, tipos de datos, variables de entorno, sentencias y palabras clave.
Constant width bold-
Muestra comandos u otros textos que deben ser tecleados literalmente por el usuario.
Constant width italic-
Muestra el texto que debe sustituirse por valores proporcionados por el usuario o por valores determinados por el contexto.
Nota
Este elemento significa una nota general.
Advertencia
Este elemento indica una advertencia o precaución.
Aprendizaje en línea O'Reilly
Nota
Durante más de 40 años, O'Reilly Media ha proporcionado formación, conocimientos y perspectivas sobre tecnología y negocios para ayudar a las empresas a alcanzar el éxito.
Nuestra red única de expertos e innovadores comparten sus conocimientos y experiencia a través de libros, artículos y nuestra plataforma de aprendizaje online. La plataforma de aprendizaje en línea de O'Reilly te ofrece acceso bajo demanda a cursos de formación en directo, rutas de aprendizaje en profundidad, entornos de codificación interactivos y una amplia colección de textos y vídeos de O'Reilly y de más de 200 editoriales. Para más información, visita https://oreilly.com.
Cómo contactar con nosotros
Dirige tus comentarios y preguntas sobre este libro a la editorial:
- O'Reilly Media, Inc.
- 1005 Gravenstein Highway Norte
- Sebastopol, CA 95472
- 800-889-8969 (en Estados Unidos o Canadá)
- 707-827-7019 (internacional o local)
- 707-829-0104 (fax)
- support@oreilly.com
- https://oreilly.com/about/contact.html
Tenemos una página web para este libro, donde se enumeran erratas, ejemplos y cualquier información adicional. Puedes acceder a esta página en https://oreil.ly/DefSecHandbook2e.
Para noticias e información sobre nuestros libros y cursos, visita https://oreilly.com.
Encuéntranos en LinkedIn: https://linkedin.com/company/oreilly-media.
Míranos en YouTube: https://youtube.com/oreillymedia.
Agradecimientos
En primer lugar, nos gustaría dar las gracias a nuestros revisores técnicos: Chris Dotson, Rajat Dubey y Swapnil Shevate.
Amanda
Tengo que dar las gracias a tanta gente; el plus de escribir tu propio libro es poder seguir y seguir y seguir y... ya te haces una idea.
Mi coautor Lee ha sido absolutamente increíble. Los dos hemos trabajado muchas horas para terminar la primera edición. Revisar el trabajo del otro y intercambiar ideas nos convierte en buenos amigos y compañeros de trabajo. No podría haber esperado una pareja mejor.
Mi segundo coautor, Bill, me ayudó mucho cuando lo añadimos a la segunda edición. Escribir libros no siempre es fácil, sobre todo con todo lo que ocurre en la vida. Bill tenía los conocimientos y la experiencia necesarios para ayudarnos a Lee y a mí a llevar la segunda edición hasta la línea de meta, y fue increíble trabajar con él.
Quiero dar un reconocimiento especial a mis tres maravillosos hijos, Michael, James y Wyatt. Han empezado a convertirse en personas tan independientes y asombrosas, y sin su apoyo y comprensión de mis largas horas de trabajo durante estos dos últimos años, no estaría donde estoy hoy.
A mi madre por su continuo apoyo y ánimo, y por limpiarme la casa cuando viajo.
Matt por ser el mejor compañero que nadie podría pedir. El trabajo en equipo, el respeto y el apoyo mutuos y todos los demás aspectos hicieron que fuera mucho más fácil escribir una segunda edición <3
Quiero dar las gracias a los compañeros de trabajo que he tenido a lo largo de los años y a todas las veces que habéis estado ahí para mí, con errores y todo. A las personas que considero mis mentores; algunos los he tenido durante toda mi carrera, otros desde que empecé a recorrer el camino tanto de la seguridad de la información como del liderazgo. Un agradecimiento especial a @_sn0ww por la ayuda con contenidos sobre seguridad física e ingeniería social, así como a Alan Burchill por sus conocimientos y contenidos sobre directivas de grupo. La comunidad de seguridad de la información me ha ayudado a seguir evolucionando a diario mientras luchaba contra el síndrome del impostor y las dudas sobre mí misma a diario. Habéis estado ahí para mí cuando os he necesitado, para apoyarme en vosotros, aprender de vosotros, enseñaros y relajarme. Aunque sois demasiados como para enumeraros, he apreciado mucho nuestras conversaciones en profundidad a través de copas, quedadas, Facebook, Twitter, sótanos y cualquier otra plataforma que exista.
Por último, quiero dar las gracias a mis brazos por estar siempre a mi lado, a mis piernas por sostenerme, a mis caderas por no mentir y a mis dedos por poder contar siempre con ellos. Gracias por creer en mí.
Lee
En primer lugar, gracias a mi mujer, Kirsty, y a nuestros hijos Noah, Amy y Dylan por apoyarme tanto en todo lo que hago, tener una paciencia increíble y darme tiempo para trabajar en esto. Gracias a todos. Os quiero, x x x.
A todos los que trabajaron con nosotros en la primera edición, sin los cuales no publicaríamos una segunda edición: Courtney Allen por creer en nosotros, por patearnos el culo sin cesar, por poner en marcha todo este proyecto en primer lugar; nuestros editores técnicos, Chris Blow, Mark Boltz-Robinson, Alex Hamerstone y Steven Mask; y Virginia Wilson por leer nuestra transcripción tantas y tantas veces.
Todos los que nos han acompañado desde O'Reilly en el viaje hacia una segunda edición, sin los cuales no publicaríamos esto: Clare Laylock y Shira Evans.
Amanda por todo el trabajo que ha realizado tanto en la primera como en la segunda edición de este libro, y a William F. Reyor por acompañarnos en esta segunda edición.
O'Reilly Media por su ayuda y apoyo.
Bea Hughes, para quien "culpa" quizá sea una palabra más adecuada... Bromeo... más o menos :)
También hay otras personas que componen el apasionante Diagrama de Venn de la comunidad InfoSec, colegas y amigos a los que quiero dar las gracias por ayudarme con este proyecto en términos de apoyo emocional, tutoría, consejos, cafeína y alcohol. Para evitar cometer algún tipo de faux pas en el orden de los nombres de InfoSec, voy a enumerarlos por orden alfabético:
James Arlen, Frederic Dorré, Bill Gambardella, Nick Johnston, Alex Muentz, Brendan O'Connor, Allan Stojanovic, Wade W. Wilson, prácticamente todos los miembros de la comunidad InfoSec de Toronto, y las otras 487 personas que inevitablemente no he mencionado.
Bill
Me subo a hombros de gigantes, y estaría perdida sin cada una de las siguientes personas que han invertido personalmente en mí. En primer lugar, Bree Skowera, por enseñarme en mi primer trabajo de TI (ACS/HCS) a pensar en términos de sistemas complejos para resolver problemas increíblemente complejos. Eres una mujer maga, y ayudaste a construir en mí una base en la que confío hasta el día de hoy para resolver problemas.
A Will, aquellos primeros días en los que te diste a conocer en 2008; y trabajabas para demostrar que estabas en ello para hacer una contribución positiva a la sociedad; pasamos muchos días y noches trabajando juntos y construyendo, primero con el programa de distribución de PC MySBKs; y más tarde cuando cofundamos el hackerspace NESIT y BSidesCT. Fue en los tiempos muertos cuando también compartiste tus ideas (y muchos ejemplos) sobre cómo funciona la mentalidad hacker y dónde debería esperar pivotes. Conocerte y aprender de ti me hizo mejor que mis compañeros a la hora de encontrar lo malo y te estoy agradecido por haberte conocido.
A Nick Sorgio y Tyler Tom, me enseñasteis cómo es la verdadera excelencia en la Respuesta a Incidentes en UTC/RTX, y os estoy inmensamente agradecido por vuestra sabiduría.
A Andy Dennis, por impulsarme siempre a ser un mejor experto en la materia, a entregar mejor y a construir mejores relaciones con mi equipo, compañeros y clientes en Modus Create. Gracias a Andy aprendí cómo son los equipos de desarrollo y DevOps de alto rendimiento. Y no sorprende a nadie que le haya conocido que lo haya hecho con un nivel de optimismo y positividad inigualable.
A Amanda Berlin y Lee Brotherston, gracias por vuestra amistad y por la invitación a colaborar como coautores en un proyecto tan increíble. A todas las excelentes personas con las que hemos trabajado en O'Reilly Media, incluidas Shira Evans y Clare Laylock, para hacer posible este proyecto, gracias por creer en nosotros.
A mi marido, Patrick Tassos, me has apoyado y has estado a mi lado pase lo que pase durante estos últimos 24 años. Siempre has sido mi mayor defensor, y tengo mucha suerte de tenerte; 143.
Get Manual de seguridad defensiva, 2ª edición now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
