Los 20 controles de seguridad crticos

La prevencin es lo ideal pero la deteccin es una necesidad

Para protegerse contra los ataques, las organizaciones deben:

Defender sus redes y sistemas de una variedad de amenazas internas y externas

Estar preparados para detectar e impedir daos en el interior de su organizacin una vez
sta se ha visto comprometida

Principios fundamentales de un sistema de defensa

El ataque informa a la defensa. Usar el conocimiento de los ataques reales que han
comprometido sistemas para construir defensas prcticas y eficaces. Utilizar los controles
que detengan los ataques conocidos del mundo real.
Priorizacin. Invertir primero en aquellos controles que supongan la mayor reduccin de
riesgo y proteccin contra las amenazas ms peligrosas y que se puedan implementar de
forma factible en el entorno de TI actual.
Mtricas. Implementar sistemas de medicin comunes y acordados que permitan
identificar e implementar rpidamente los ajustes necesarios.
Monitorizacin. Llevar a cabo un seguimiento continuo que permita probar y validar la
eficacia de los controles de seguridad implementados.
Automatizacin. Automatizar, en la medida de lo posible, las defensas de manera que las
organizaciones puedan obtener mediciones continuas, fiables y escalables del
comportamiento de los controles y las mtricas relacionadas

Los 20 controles crticos

Los 20 controles crticos de seguridad son un conjunto recomendado de acciones para la
ciberseguridad que proporcionan formas concretas y viables de frustrar los ataques ms
generalizados http://www.cpni.gov.uk/advice/cyber/Critical-controls/
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.

Inventario de dispositivos autorizados y no autorizados

Inventario de software autorizado y no autorizado
Configuraciones seguras del hardware y software en dispositivos mviles, PCs, servidores.
Anlisis continuo y eliminacin de vulnerabilidades
Proteccin anti-malware
Seguridad del software de aplicacin
Control de dispositivos Wireless
Capacidades de recuperacin de datos
Anlisis de habilidades de seguridad y programas de formacin adecuados
Configuraciones seguras para dispositivos de red como firewalls, routers y switches
Limitacin y control de los puertos de red, protocolos y servicios
Uso controlado de los privilegios administrativos
Defensa del permetro
Mantenimiento, monitorizacin y anlisis de los logs de auditora
Control de acceso basado en la necesidad de conocimiento
Control y monitorizacin de las cuentas
Prevencin de prdida de datos
Gestin y respuesta a incidencias
Ingeniera de red segura
Realizacin de tests de penetracin

El objetivo de los controles crticos

El objetivo de los controles crticos es:

Proteger los activos crticos, la infraestructura y la organizacin mediante una proteccin

continua y automatizada.
Reducir los niveles de compromiso, minimizar la necesidad de esfuerzos de recuperacin y
reducir los costes asociados mediante la monitorizacin de la infraestructura de tecnologa
de la informacin.

Estructura de los controles crticos

Cada control crtico incluye:

Una explicacin de cmo los atacantes explotan activamente la ausencia de este control.
Un listado de las acciones especficas que las organizaciones estn realizando para
implementar, automatizar y medir la efectividad de este control:
Quick wins que proporcionen una slida reduccin del riesgo sin realizar grandes cambios
tcnicos, en la arquitectura o a nivel de procedimientos y que proporcionen una reduccin
sustancial y rpida del riesgo en base a los ataques ms comunes que sufren la mayora
de las organizaciones.
Medidas de visibilidad y atribucin que mejoren los procesos, la arquitectura y las
capacidades tcnicas de la organizacin para monitorizar las redes y sistemas, detectar
intentos de ataques, localizar puntos de entrada, identificar mquinas ya comprometidas,
interrumpir las actividades de los atacantes infiltrados y conseguir informacin sobre las
fuentes de los ataques.
Configuracin de la seguridad de la informacin mejorada para reducir el nmero o
magnitud de las vulnerabilidades de seguridad y mejorar las operaciones de los sistemas
informticos con un enfoque en la proteccin contra prcticas de seguridad pobres por
parte de los administradores de los sistemas y de los usuarios
Sub controles avanzados que utilizan las nuevas tecnologas para proporcionar una
mxima seguridad pero que son difciles de implementar o son ms caros que soluciones
de seguridad ms estndar.

Cmo aplicar los controles?

Realizar una evaluacin inicial que analice lo ya implementado en la organizacin y detecte

reas de mejora o carencias respecto a los controles.
Desarrollar un plan de trabajo donde se establezcan diferentes fases de implementacin,
los controles especficos que se aplicaran en cada fase y la programacin de las mismas en
funcin de consideraciones de riesgo empresarial.
Implementar la primera fase. Identificar las herramientas existentes que puedan ser
reutilizadas o utilizadas mejor, nuevas herramientas a adquirir, procesos a mejorar y
habilidades a desarrollar mediante formacin.
Integrar los controles en las operaciones. Focalizarse en el seguimiento continuo, mitigacin
e integracin de nuevos procesos en los sistemas de adquisicin y gestin de operaciones.
Revisar el plan de trabajo definido en el paso 2 y actualizar, repetir las fases 3. 4 y 5

http://calidadtic.blogspot.mx/2014/01/los-20-controles-de-seguridad-criticos.html