La nue­va tec­no­lo­gía sig­ni­fi­ca que nues­tros datos y apli­ca­cio­nes que no es­tán ba­jo nues­tro con­trol di­rec­to, son com­pli­ca­dos y cam­bian­tes.

IT Now Guatemala - - SECURITY - Tony Sa­ger

pa­ra nues­tra ba­se de clien­tes del De­par­ta­men­to de De­fen­sa y la Co­mu­ni­dad de In­te­li­gen­cia, en la for­ma de las guías de se­gu­ri­dad de la NSA.

Pe­ro se es­ta­ba vol­vien­do muy cla­ro que el De­par­ta­men­to de De­fen­sa se mo­vía a un mo­de­lo más po­ten­te pe­ro com­ple­jo de con­duc­ción y de­pen­den­cia de mu­chos pro­vee­do­res co­mer­cia­les, el per­mi­so pa­ra li­be­rar las guías NSA de se­gu­ri­dad pa­ra el pú­bli­co a tra­vés www.nsa.gov.

Lo que se con­vir­tió en el Top 20 de los con­tro­les de se­gu­ri­dad crí­ti­ca, los cua­les fluían de ese mis­mo en­fo­que - ¿có­mo po­de­mos ayu­dar a las em­pre­sas prio­ri­zar y cen­trar­se en los pa­sos más im­por­tan­tes y efi­ca­ces pa­ra de­te­ner los ata­ques? En 2008, re­ti­ré de la NSA en 2012, ter­mi­né to­man­do el con­trol del pro­yec­to y con el apo­yo de SANS y otras com­pa­ñías me mo­ví en un ho­gar in­de­pen­dien­te, sin fi­nes de lu­cro, aho­ra el Cen­ter for In­ter­net Se­cu­rity (CIS).

La ma­yo­ría re­co­no­ce los con­tro­les co­mo una orien­ta­ción só­li­da.

“Creo que la ma­yo­ría de no­so­tros es­ta­mos abru­ma­dos por lo que he lla­ma­do “Nie­bla de más”: más orien­ta­ción, ad­ver­ten­cias, con­se­jos, pro­duc­tos, mar­ke­ting, for­ma­ción, cer­ti­fi­ca­cio­nes y de­más de lo que po­de­mos ab­sor­ber útil­men­te.”

Ees una de las pre­gun­tas que con más fre­cuen­cia es­cu­cho cuan­do em­pe­cé a ha­blar en pú­bli­co en 2001. Pa­ra mí, la res­pues­ta era siem­pre acer­ca de la “vi­si­bi­li­dad” - qué dis­po­si­ti­vos es­tán en su em­pre­sa, lo que el soft­wa­re es­tá eje­cu­tan­do, có­mo es­tá sien­do ope­ra­do (par­chea­do y con­fi­gu­ra­do). Si no sa­be lo que tie­ne, es di­fí­cil de­fen­der­lo.

Es­te ti­po de co­sas son la ba­se ope­ra­ti­va bá­si­ca pa­ra la com­pren­sión de su me­dio am­bien­te y es vul­ne­ra­ble, al ver a los chi­cos ma­los, el des­plie­gue de de­fen­sas, e in­clu­so re­cu­pe­rar­se de los pro­ble­mas inevi­ta­bles. Hay mu­cho más que ha­cer pa­ra la de­fen­sa efec­ti­va, pe­ro es­tos son los me­jo­res pun­tos de par­ti­da. He­mos he­cho hin­ca­pié en la ges­tión de las per­so­nas que pue­den cam­biar o anu­lar los con­tro­les de se­gu­ri­dad (“pri­vi­le­gio de ad­mi­nis­tra­ción”). He­mos co­di­fi­ca­do es­tas ideas en el Top 5 de los con­tro­les de la CEI. Tam­bién ten­ga en cuen­ta que es­tas ideas no son ex­clu­si­vas de la se­gu­ri­dad, pe­ro son só­lo bue­nas prác­ti­cas de ges­tión de IT.

Los con­tro­les no son nue­vos. ¿Qué se de­be ha­cer?

No hay res­pues­tas sen­ci­llas al­go­rít­mi­cas en la de­fen­sa ci­ber­né­ti­ca, pe­ro hay un mon­tón de prue­bas. Por ejem­plo, cual­quier es­tu­dio ba­sa­do en datos a gran es­ca­la de los ata­ques de In­ter­net lle­ga a una con­clu­sión si­mi­lar: la gran ma­yo­ría de los ata­ques (en el ran­go 80% -90%) es­tán ha­bi­li­ta­dos por la fal­ta o ca­ren­cia de de­fen­sas bá­si­cas.

Es­to es por eso que tra­ba­ja­mos con nu­me­ro­sas em­pre­sas en el mer­ca­do la in­for­ma­ción so­bre ame­na­zas pa­ra ma­pear los re­sú­me­nes de lo que ellos es­tán si­guien­do di­rec­ta­men­te en los con­tro­les de la CEI. Del mis­mo mo­do, los EE.UU.CERT atri­bu­ye el 85% de los in­ci­den­tes de se­gu­ri­dad que ma­ne­jan a la au­sen­cia o el fra­ca­so de ac­cio­nes de­fen­si­vas. En­con­tra­rá datos si­mi­la­res y el pen­sa­mien­to de­trás de pro­yec­tos co­mo las DHS Diag­nós­ti­cos Con­ti­nuos y Pro­gra­ma de Mi­ti­ga­ción (MDL), la lis­ta “Top 35” del go­bierno aus­tra­liano, y la NSA “Top 10 de ase­gu­ra­mien­to de la in­for­ma­ción mi­ti­ga­cio­nes”.

¿Có­mo se pue­de me­jo­rar?

Us­ted pue­de en­con­trar gran­des lis­tas de co­sas por ha­cer en ca­da es­qui­na de la ca­lle vir­tual de la se­gu­ri­dad ci­ber­né­ti­ca, de lo abs­trac­to a lo es­pe­cí­fi­co, de lo sim­ple a abru­ma­do­ra­men­te gran­de y com­ple­jo, de to­das las fuen­tes po­si­bles. La ma­yo­ría de ellos es­tán sim­ple­men­te re­pi­tien­do las mis­mas ideas una y otra vez. De he­cho, pro­por­cio­na­mos cru­za­das asig­na­cio­nes de los con­tro­les de la CEI pa­ra ca­da mar­co que po­de­mos en­con­trar, co­mo ISO, COBIT, PCI, NIST, etc. No es­ta­mos tra­tan­do de crear otro mar­co re­gu­la­to­rio o de cum­pli­mien­to de la com­pe­ten­cia. Es­ta­mos tra­tan­do de ayu­dar­le a te­ner éxi­to en un pro­ble­ma muy com­ple­jo.

En mi ex­pe­rien­cia, es di­fí­cil te­ner un pen­sa­mien­to ori­gi­nal o un pro­ble­ma úni­co en la se­gu­ri­dad. Por lo que una par­te fun­da­men­tal del mo­de­lo de CIS es crear y man­te­ner co­mu­ni­da­des que per­mi­tan a los lí­de­res de se­gu­ri­dad pa­ra ayu­dar a iden­ti­fi­car pro­ble­mas en­tre sí, ba­rre­ras y so­lu­cio­nes en con­jun­to.

Newspapers in Spanish

Newspapers from Guatemala

© PressReader. All rights reserved.