El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Implementación de seguridad preventiva

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Veamos los procesos que COBIT plantea para la implementación de seguridad preventiva, así como sus equivalentes en otros frameworks y ejemplos de soluciones de seguridad implementables en redes corporativas.

Transcripción

Una de las primeras de acción a considerar en seguridad es la prevención. De los siete controles de la defensa en profundidad, la capa más exterior es la disuasión y, justo a continuación, la prevención, que es la que mayor cantidad de problemas que puede evitarnos. Los principales recursos preventivos en COBIT 5 los podemos encontrar en DSS05, gestión de servicios de seguridad. El primero de sus controles o DSS05.01 es la prevención contra malware, que debe prevenir, detectar y eliminar el malware a todos los niveles del entorno IT, incluyendo aplicaciones, sistemas operativos, redes, recursos compartidos, por ejemplo, directorios, y hardware, como, por ejemplo, memorias USB. Las actividades completadas en este control son: instalación, configuración, activación y actualización de aplicaciones anti-malware; y, por otro lado, filtrado de tráfico entrante para evitar conexiones a servidores de dudosa reputación desde los que, por ejemplo, un 'rootkit' no detectado puede estar descargando un malware, o, por ejemplo, archivos adjuntos a emails que puedan ser peligrosos. El control equivalente a DSS05.01 en ISO 27001 sería el control A.12.2.1, que hace referencia a los controles de detección, prevención y recuperación que deben implementarse para protección contra malware, en combinación con la necesaria concienciación de los usuarios. El segundo control de DSS05 es la gestión de seguridad de red y las conexiones: el DSS05.02, cuyas actividades principales, consisten en la implementación de mecanismos de filtrado de tráfico, como firewalls y sistemas de detección de intrusión, permitiendo tanto el análisis de tráfico como el registro del mismo y su filtrado. Su equivalente en ISO 27001 es el .13.01 del anexo A, sobre gestión de seguridad en red y todos sus controles. El siguiente elemento cuya seguridad debemos considerar son los terminales. Se contemplan en DSS05.03, titulado: Gestión de seguridad de terminales, y su equivalente en ISO 27001; para la parte física sería el A.11.02, sobre seguridad física del equipamiento, así como cualquier otro control cuyo objetivo sea que la seguridad de los terminales sea igual o superior a la implementada para el procesamiento, almacenamiento y transmisión de la información que con ello se lleva a cabo. Una de las actividades principales es la de prevención de pérdidas de datos. Hasta este punto, hemos acumulado varias actividades orientadas a la prevención en distintos niveles de profundidad desde el perímetro de nuestra red hacia el interior. Protección contra malware, que incluye software antivirus, monitorización de tráfico sospechoso en la red, uso inapropiado de protocolos de comunicaciones y búsqueda activa, manual y automatizada de indicadores de compromiso. Filtrado de tráfico entrante, cuyo propósito es vigilar las conexiones provenientes del exterior, analizar los correos electrónicos recibidos, así como las descargas de los usuarios de la red. La meta es bloquear, en esta etapa, todo aquello que pueda ser perjudicial una vez llegue al terminal del usuario como el phishing o software malicioso encubierto en las descargas. Una dificultad de esta tarea es acceder a comunicaciones cifradas con SSL. La otra medida, el filtrado de tráfico, es una actividad que, lejos de ser pasiva, está para bloquear conexiones entrantes o salientes, indeseadas mediante firewalls. Además, se puede implementar sistemas avanzados de análisis como IDS para detección de intrusiones, o IPS para detección y protección contra dichas intrusiones. La compartimentación de redes sirve para aislar de forma apropiada las zonas más sensibles, controlando los accesos solo a recursos y usuarios autorizados. Además, reduce el tráfico general y permite una gestión más eficiente de la estructura de red de la organización. La prevención de perdida de datos también denominada DLP por sus siglas en inglés, se puede implementar mediante herramientas específicas conocidas como motores DLP, que supervisan y registran el tratamiento que se da a la información en busca de posibles comportamientos anómalos, ya sea por parte de aplicaciones maliciosas, o de usuarios que no actúan según su obligación. En la ISO 27002 podemos encontrar los controles equivalentes como, por ejemplo, el 11.4.5 de segregación de redes o el objetivo de control 10.4 de protección contra software malicioso y código descargable. El rfamework del NIST también tiene controles preventivos equivalentes a los de COBIT 5 e ISO 27002, entre ellos destacan dos: el SC-7, de protección perimetral que incluye referencias a firewalls, pasarelas, routers y dispositivos de seguridad en red. También aboga por la segregación o compartimentación de redes mediante estos dispositivos, y cubre ,incluso, aspectos como la exfiltración de datos. El otro control es el SI-3 de protección contra código malicioso, entre cuyas actividades está el escaneo de archivos y la monitorización del tráfico entrante y saliente en busca de indicadores de compromiso. El control afecta no solo a elementos de red como el SC-7, también a servidores y terminales de usuario. Veamos algunas soluciones concretas que podemos aplicar para mejorar la etapa de prevención de riesgos. Una de las medidas más eficientes de segregación de redes y filtrado de tráfico que pueden aplicarse en combinación, es la creación de una zona desmilitarizada o DMZ mediante la correcta configuración de dos routers que implementen listas de control de acceso que, a este nivel, son básicamente reglas de enrutamiento de tráfico. En el gráfico podemos ver que un router separa la zona desmilitarizada de Internet y, otro, la red interna de la zona desmilitarizada. En esta zona desmilitarizada es donde se instalan los servidores que tienen que ser accesibles desde el exterior sin, por ello, comprometer la red de Internet. Para este propósito, ha bastado con implementar dos tablas, una por cada router. Cada una de las tablas indica la zona de origen de una comunicación, la de destino, y el protocolo o servicio de dicha comunicación. Después indica si ese tipo de comunicación es permitida o denegada. Según lo que vemos en la tabla se permite cualquier tipo de comunicaciones, entre Internet y la zona desmilitarizada, con cualquier protocolo y para cualquier servicio. Sin embargo, para la conexión entre la zona desmilitarizada y la red interna, el segundo router impone más restricciones. En sentido entrante, permite conexiones HTTP y HTTPS, generalmente usadas para navegación y servicios web, además del protocolo POP para descarga de correo electrónico y DNS para resolver nombres de dominio. En sentido saliente, es decir, desde la red interna a la DMZ, el router permite los mismos protocolos HTTP y HTTPS. El protocolo para correo electrónico es SMTP, ya que hablamos de correo saliente. Y también permite DNS. Además, se está autorizando el trafico HTTPS desde la zona interna al servidor web alojado en la zona DMZ. Más avanzado que las listas de control de acceso de los routers o ACL, son los firewalls, que son elementos de red ubicados en el límite de estas, en el interior y en los propios terminales. La protección proporcionada por los firewalls es sencilla y basada en reglas de direccionamiento o bloqueo del tráfico a través suyo. Ya sea basándose en las direcciones IP de origen o destino o en los puertos en los que se desea establecer la conexión. En el ejemplo que vemos en pantalla, podemos ver que las cinco primeras reglas permiten a la máquina con IP 192.168.1.50 acceder a los servicios web de correo electrónico básicos. La sexta regla autoriza a esta máquina a conectar por Telnet con las máquinas de un rango especifico de direcciones IP. En concreto, desde la 192.168.48.112 hasta la 192.168.48.115. La séptima, bloquea cualquier otro tipo de conexión que pretenda establecer la máquina. Y, por último, la octava, bloquea toda conexión en sentido inverso, es decir, bloquea el acceso a la máquina 192.168.1.50 desde el exterior. Los firewalls de red disponen de varios puertos, cada uno asignado a un equipo o subred, y en sus tablas podemos establecer las reglas de permiso o bloqueo que deseamos entre las redes asociadas a cada puerto, lo cual nos permite aislar redes de distinto departamentos, permitiendo acceso solo a servidores concretos, lo cual reduce en gran medida la superficie de ataque por segmentación. Los firewalls de sistemas operativos como Windows o Linux, son tablas de acceso destinadas a filtrar el tráfico entrante y saliente de la computadora en la que se ejecutan. Limitando el tráfico entrante reducimos la exposición de servicios innecesarios a la red; y controlando el tráfico saliente minimizamos las opciones de exfiltración de cualquier malware que pueda haber en el sistema. En Windows debemos configurar el Firewall desde el panel de control, en Linux el Firewalls se configura mediante el fichero de textos Iptables, que generalmente encontramos en el directorio /etc/ o en algún subdirectorio de este, depende de cada distribución de Linux. En el caso de macOS, el Firewall bloquea o permite conexiones entrantes para cada aplicación, no se basa en listas de direcciones y puertos. Además, existen múltiples soluciones avanzas en el mercado que combinan enrutamiento, firewall, inspección de tráfico, detección de intrusión, filtros de correo electrónico, etc. Pero lo más aconsejable, es que cada herramienta haga una tarea específica, facilitando la gestión y comprensión de nuestra infraestructura.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.