De acuerdo , eres consciente de que tu infraestructura de IT es vulnerable y estás buscando información que te ayude a blindar el acceso a tu infraestructura. Te vamos a proponer un decálogo básico de ciberseguridad IT, puedes utilizarlo como guía.
El orden de actuación dependerá del estado actual en el que te encuentres. Si necesitas ayuda quizás te interese nuestro servicio de CISO Virtual
1. Gestión de usuarios y contraseñas
- No utilices usuarios genéricos o perderás el control y la trazabilidad.
- Utiliza nomenclaturas diferentes para el nombre del usuario y su correo electrónico.
- Política de cero privilegios tanto para usuarios normales como para los usuarios de TI.
- Utiliza usuarios administradores nominales (sólo cuando se requieran privilegios de administrador), no utilices (desactiva) el usuario administrador por defecto.
- Si es posible, configura el control horario a tus cuentas de usuario. No es necesario que estén activos por la noche o el fin de semana si no trabajan.
- Pon especial cuidado con las cuentas privilegiadas que utilizas para servicios como backup, etc. Utiliza en su lugar cuentas de servicio administradas (MSA)
- Elimina aquellas cuentas de usuario que ya no estén activas. Actualiza tu base de datos de usuarios.
- Aplica una política de contraseñas robusta, con complejidad y caducidad. No caigas en el típico discurso de que hay que ponérselo fácil a los usuarios, o se lo estarás poniendo fácil a los ciberdelincuentes. Utiliza si es necesario un gestor de contraseñas.
- Bloquea la sesión del usuario y levanta una alerta cuando éstos fallen más de n veces al abrir sesión. Ajusta ese valor a las necesidades de tu empresa, pero que no sea un valor elevado.
- Utiliza doble factor en las aplicaciones críticas (el correo lo es). Exige a tus proveedores de software que lo implementen.
2. Segmentación de red.
- Aísla tus ordenadores obsoletos (legacy). Utiliza el firewall para controlar el origen y el destino a ésta red, aplica políticas.
- Tu directorio activo ha de estar protegido, aislado en una VLAN controlada con políticas de firewall que permitan el acceso sólo a lo mínimamente necesario.
- Tus usuarios de TI también deberán estar en una VLAN diferenciada.
- Los servidores deberán estar también aislados en una o más VLAN. Se permitirá sólo la entrada y salida de aquellos protocolos necesarios, tanto para usuarios normales como administradores.
- Los servidores publicados a Internet deben estar en una VLAN (DMZ) dedicada. Siempre que sea posible se accederá a ellos para su administración utilizando una VPN. La autenticación a los servicios publicados deberá incorporar siempre un doble factor, nunca sólo usuario y contraseña.
3. Seguridad perimetral y de punto de trabajo.
- Habla con tus proveedores, haz que tus dispositivos de seguridad saquen humo. No vale con que hagan mínimamente su trabajo. Que configuren todo aquello que se pueda configurar. Es habitual que se haga una configuración inicial y no se evolucione con el tiempo.
- Utiliza el cifrado no sólo en la capa de transporte, también en la de almacenamiento. Cifra los discos, tanto en servidores como estaciones de trabajo.
4. Parchea tus dispositivos.
- Los ciberdelincuentes utilizan sistemas no actualizados como puerta de entrada y posterior persistencia a nuestros sistemas. Parchea..
5. Copias de seguridad.
- Finalmente es lo que te salvará la vida. Haz tantas como puedas, pero con criterio. Uno válido es utilizar el sistema 3-2-1. Tres copias de seguridad, en dos soportes diferentes y uno en un lugar físico diferenciado y no accesible a ser borrado por un malware o ciberdelincuente. Puedes leer el siguiente documento de Incibe.
6. Proveedores.
- Exige a tus proveedores garantías de seguridad y audítalos. Estás en tu derecho. Aplica SLA’s en los contratos.
7. Monitorización.
- No puedes controlar aquello que no ves. Registra los eventos de seguridad de tus dispositivos en un repositorio controlado, a ser posible fuera de la red. Dále inteligencia, utiliza un SIEM, no todos son impagables, algunos incluso muy baratos.
- Amplia el nivel de información de tus logs de seguridad.
- Levanta alarmas de aquellas actividades que puedan ser anómalas, procesos no controlados.
- ¿ Has pedido presupuesto y las soluciones tradicionales de SIEM te parecen caras ? Pídenos información de nuestro servicio de Security Watcher . Te aseguramos que si no monitorizas la seguridad de tu infraestructura no será por el precio del servicio.
8. Auditorías de seguridad. Hacking ético.
- Encarga auditorías de seguridad periódicamente. Gestión, supervisión y mejora continua de la seguridad TI. Pregúntanos
9. Plan de contingencia.
Ten previsto el desastre, porque a pesar de tomar medidas éste puede ocurrir. Piensa cómo actuarás si tu sistema informático deja de estar disponible durante el tiempo que tardarás en remontarlo. Trabaja un plan de contingencia y recuperación de desastres.
10. Conciencia y forma a tus empleados.
Ellos son la última línea de defensa y no por ello la que ha de estar menos preparada. Prepararlos es vital para que sepan reaccionar en caso de que la seguridad perimetral haya sido sobrepasada.
Como nota final, toma ésto sólo como un guion inicial, la ciberseguridad es un camino que se empieza y nunca se termina. El objetivo de éste documento es sólo tener una referencia, un Decálogo básico de ciberseguridad IT.