35 actuaciones esenciales para establecer una estrategia frente al cibercrimen.

Llevaba algún tiempo queriendo postear sobre varios documentos que había encontrado del Gobierno australiano que detallan de forma sencilla y clara cual va a ser su estrategia en ciberseguridad.

Lo más destacable y que fué lo que me llamó la atención en su momento es que las pautas generales que se dan son cosas relativamente básicas y claras que en toda organización se pueden implementar con la debida planificación y ajuste de recursos. Es muy significativo el texto inicial de la Web donde se indica que al menos el 85% de las intrusiones detectadas en 2010 podrían haberse evitado aplicando 4 sencillas estrategias que son:

• Actualización y parcheo de aplicaciones.
• Parcheo de vulnerabilidades en sistemas operativos.
• Principio de mínimos privilegios en la asignación de acceso.
• Usar listas blancas con aplicaciones autorizadas para denegar la ejecución de todo lo demás.

Quizás el problema real por el que estas estrategias no son algo cotidiano en las empresas/organizaciones es que las áreas directivas creen que los sistemas de información se mantienen sólo con estar enchufados y que no se requieren recursos técnicos que realicen tareas a diario para que todo funcione con normalidad. Es el gran problema de las áreas TI, que puede que no sean capaces de hacer visible su duro e intenso trabajo diario para pelear porque "todo funcione con normalidad". A ello hemos de añadir ahora la virtualización que ha multiplicado exponencialmente el número de elementos a gestionar y que hace que el ratio administrador/servidor se haya disparado. Y precisamente las tareas operativas que forman parte de estas 4 actuaciones se tienen que realizar tanto en entornos físicos como en los virtuales. Por tanto, si los servidores se han multiplicado por 4, las tareas posiblemente también.

Los documentos donde se detallan cada una de estas 35 actuaciones técnicas  pueden ser descargados en este enlace del Departamento de Defensa del Gobierno Australiano.

Además de esos documentos, Microsoft ha complementado esta iniciativa con otro documento donde describe qué medidas aplicar en cada uno de los dominios de seguridad de toda organización. Este dibujo representa muy buen las "zonas calientes en seguridad" de toda Empresa/Institución que se encuentra conectada a Internet y permite segmentar los riesgos por los niveles de sensibilidad y alcanzabilidad del intruso. Los dominios establecidos en el gráfico son:

Dominio de cliente final (end point)

• Usb y medios de almacenamiento portatiles.
• Usuarios remotos.
• Tablets, portátiles y equipos PC.

Protección perimetral y frontend.

• Firewalls y equipos de protección perimetral.
• Elementos de red e infraestructura.
• Servidores de correo.

Backend.

• Servidores de BB.DD. y aplicaciones.
• Servidores de directorio.

Es un dibujo de esos a poner como poster en cualquier departamento TI porque de un vistazo refleja qué vigilar y cómo. En cada dominio se indican las medidas de seguridad a aplicar y si son preventivas o de detección. El documento de Microsoft puede ser descargado en este enlace.

Este tipo de actuaciones son siempre interesantes aunque generalistas. Un análisis del riesgo aporta cierto criterio de ponderación del peligro atendiendo al propio modelo de negocio de la organización. En todo caso, no quita para que este tipo de enfoques basados solamente en gestionar amenazas también pueda ser relevante en aquellos casos donde se carece de este análisis porque siempre será mejor protegerte aun considerando que no es tu máximo riesgo que no hacer nada. Como reflexión final también quiero destacar que las 4 actuaciones esenciales tienen que ver con la correcta gestión y actualización de los sistemas de información. Esto pone de manifiesto que normalmente los intrusos no rompen puertas y ventanas. Simplemente se cuelan por aquellas que dejamos entreabiertas o sin proteger. Quizás sea más un problema de dar la relevancia que tienen a estas tareas técnicas de mantenimiento que un mérito del atacante. Como ya comenté en el post "El cibercrimen ataca al eslabón más debil, ahora tramitación electrónica", hay una descompensación brutal entre el esfuerzo en proteger y la pericia en atacar. A nosotros nos toca vigilar a todas las ovejas mientras que el lobo sólo tiene que permanecer al acecho, buscar la más débil y atacar en un momento de despiste.