El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Framework Cyber Essentials de UK

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Sin importar el tamaño de una organización, la información es valiosa para todas. Por eso el Reino Unido diseñó Cyber Essentials, un framework pensado para el alcance, recursos y capacidades de las pequeñas empresas.

Transcripción

Algunos de los frameworks para implementación de sistemas de gestión de seguridad de la información son tan amplios que implican una gran cantidad de trabajo que puede resultar inabarcable para empresas que no tengan el tamaño suficiente como para disponer de personal dedicado o al menos, responsables de departamento que se ocupen de implementar completamente y punto por punto cada control de los mismos. Por ejemplo, COBIT5 o las normas de la serie ISO27000 El gobierno británico, pensando en todas aquellas pequeñas y medianas empresas que necesitan implementar sistemas de gestión para la seguridad de la información, bien por su propio interés o por exigencia del propio gobierno, diseñó el plan conocido como Cyber Essentials. Cyber Essentials se nutre de ISO27000 y el SP800-53 del Instituto Nacional de Estándares y Tecnología de Estados Unidos y los acota y simplifica para hacerlos asequibles económicamente y a nivel de esfuerzo. Para incentivar su implementación el propio gobierno exige a todo contratista público estar certificado en Cyber Essentials. Toda la información está disponible para su descarga desde la web oficial de Cyber Seguridad del gobierno británico. El documento del que más provecho podemos sacar y que puede ayudarnos a hacer una auto evaluación es el esquema de requisitos de Cyber Essentials. El cumplimiento de todos estos requisitos nos habilitaría para obtener esta certificación, algo muy recomendable si operamos en el Reino Unido. La certificación tiene dos niveles que podemos ver en la portada de la página web : la estándar y la plus. La certificación básica implica auto evaluación y auditoria externa mientras que la certificación Cyber Essentials Plus requiere de todo un proceso de evaluación y auditoría externa e independiente. Las cinco áreas de interés de este framework son: los dispositivos periféricos, la configuración segura, los controles de acceso y autenticación, la protección contra el malware y la gestión de actualizaciones. Como podemos apreciar, esta estructura de protección multi capa tiene una fuerte orientación a la evasión de amenazas provenientes de Internet, aunque no es especialmente robusta ante las APTS o amenazas avanzadas persistentes que son más frecuentes en sabotaje o espionaje industral de bastante alto nivel. En el propio esquema del framework se nos especifica que está ampliamente orientado, por un lado, a un dispositivos como computadoras, servidores, teléfonos equipos de red y periféricos y por otro, a servicios como correo electrónico o servicios web. La primera línea de defensa son los dispositivos de red como el Firewall o pasarelas como los routers; estos son los elementos más expuestos a Internet y los guardianes de lo que hay dentro de nuestra red. El primer requerimiento es cambiar la configuración por defecto creando nuestros usuarios con contraseñas seguras y eliminando los usuarios y contraseñas definidas por defecto por el fabricante. A continuación deberíamos deshabilitar todo servicio y funcionalidad innecesario y, ante todo, limitar el acceso a la administración de los dispositivos a la red interna. Después, documentar todas las reglas que se configuren de vetos, bloqueos, redirecciones y asegurarse de borrar todas las que queden obsoletas. La segunda línea, aunque es aplicable también a los equipos de red, debe aplicarse a cada uno de los sistemas y dispositivos. Hay que eliminar toda configuración por defecto de los fabricantes y aplicar una configuración propia. Crear cuentas de usuario personalizadas y eliminar las predefinidas. Cambiar contraseñas por defecto, desactivar servicios innecesarios, eliminar aplicaciones pre instaladas que no necesitemos y activar las medidas de seguridad integradas en los propios equipos como el firewall interno del sistema operativo de las computadoras. El control de acceso y autenticación debe enfocarse, en primer lugar, a establecer una ley de mínimos privilegios para evitar acceso no autorizado a información, tanto por usuarios como por servicios. Hay que forzar a los usuarios a usar contraseñas complejas y a renovarlas periódicamente. Las cuentas de usuario con privilegios de administración deberían tener restringido el acceso a Internet, ya que cualquier amenaza se vuelve más peligrosa si el usuario afectado tiene privilegios de administrador. Por último, hay que asegurarse de revocar privilegios y eliminar cuentas que dejen de ser necesarias. La protección contra malware se desarrolla, en primer lugar, con sistemas de antivirus que deben mantenerse constantemente actualizados. Siempre que sea posible, se debe implementar sistemas de monitorización en tiempo real y hacer escaneos periódicos de archivos. Otra medida a tomar, es vetar el acceso a páginas reconocidas como maliciosas algo más fácilmente aplicable desde los dispositivos de red para que bloqueen estas comunicaciones. Por último, tenemos la gestión de actualizaciones. Dado que el software es un diseño humano sujeto a defectos, es posible que con el tiempo se descubran vulnerabilidades en el software y firmware de los equipos que usamos en nuestra empresa, por lo que es igualmente importante estar pendiente de las actualizaciones que estos fabricantes publican para solventar vulnerabilidades Las actualizaciones, cuyo único objetivo es solucionar una vulnerabilidad de software son conocidas como parches. Dentro de esta categoría debemos incluir también el inventario de software con las pertinentes comprobaciones de vigencia de mantenimiento y licencias, evitando el uso de cualquier software de origen desconocido y asegurándonos de que la licencia activa de cada aplicación nos garantiza la disposición de parches de seguridad por parte del fabricante. Es decir, que no estamos usando abandonware es decir, software obsoleto que ya no recibe mantenimiento por parte del fabricante. Cubriendo estas cinco áreas de requisitos estaríamos listos para pasar una auditoria de certificación de Cyber Essentials y, como hemos visto, no son medidas que supongan un esfuerzo elevado incluso para empresas pequeñas ofreciendo una importante contrapartida en forma de incremento del nivel de seguridad y, por tanto, mejorando la viabilidad del negocio.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Formadores:
Fecha de publicación:29/08/2017
Duración:2:58 horas (27 Videos)

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.