Lo más destacable y que fué lo que me llamó la atención en su momento es que las pautas generales que se dan son cosas relativamente básicas y claras que en toda organización se pueden implementar con la debida planificación y ajuste de recursos. Es muy significativo el texto inicial de la Web donde se indica que al menos el 85% de las intrusiones detectadas en 2010 podrían haberse evitado aplicando 4 sencillas estrategias que son:
- Actualización y parcheo de aplicaciones.
- Parcheo de vulnerabilidades en sistemas operativos.
- Principio de mínimos privilegios en la asignación de acceso.
- Usar listas blancas con aplicaciones autorizadas para denegar la ejecución de todo lo demás.
Los documentos donde se detallan cada una de estas 35 actuaciones técnicas pueden ser descargados en este enlace del Departamento de Defensa del Gobierno Australiano.
Además de esos documentos, Microsoft ha complementado esta iniciativa con otro documento donde describe qué medidas aplicar en cada uno de los dominios de seguridad de toda organización. Este dibujo representa muy buen las "zonas calientes en seguridad" de toda Empresa/Institución que se encuentra conectada a Internet y permite segmentar los riesgos por los niveles de sensibilidad y alcanzabilidad del intruso. Los dominios establecidos en el gráfico son:
Dominio de cliente final (end point)
- Usb y medios de almacenamiento portatiles.
- Usuarios remotos.
- Tablets, portátiles y equipos PC.
- Firewalls y equipos de protección perimetral.
- Elementos de red e infraestructura.
- Servidores de correo.
- Servidores de BB.DD. y aplicaciones.
- Servidores de directorio.
Este tipo de actuaciones son siempre interesantes aunque generalistas. Un análisis del riesgo aporta cierto criterio de ponderación del peligro atendiendo al propio modelo de negocio de la organización. En todo caso, no quita para que este tipo de enfoques basados solamente en gestionar amenazas también pueda ser relevante en aquellos casos donde se carece de este análisis porque siempre será mejor protegerte aun considerando que no es tu máximo riesgo que no hacer nada. Como reflexión final también quiero destacar que las 4 actuaciones esenciales tienen que ver con la correcta gestión y actualización de los sistemas de información. Esto pone de manifiesto que normalmente los intrusos no rompen puertas y ventanas. Simplemente se cuelan por aquellas que dejamos entreabiertas o sin proteger. Quizás sea más un problema de dar la relevancia que tienen a estas tareas técnicas de mantenimiento que un mérito del atacante. Como ya comenté en el post "El cibercrimen ataca al eslabón más debil, ahora tramitación electrónica", hay una descompensación brutal entre el esfuerzo en proteger y la pericia en atacar. A nosotros nos toca vigilar a todas las ovejas mientras que el lobo sólo tiene que permanecer al acecho, buscar la más débil y atacar en un momento de despiste.