El consultor John Gilligan, que participó en el desarrollo de una serie de controles de seguridad críticos para blindar las redes contra brechas de seguridad, resume los principales puntos de estas recomendaciones.
Consensus Audit Guidelines es un proyecto realizado entre la industria y el gobierno americano para identificar los controles de seguridad más críticos a la hora de defender los sistemas informáticos nacionales. Uno de los consultores participantes en su elaboración, John Gilligan, rebate la preocupación por los elevados costos de cualquier mejora de la seguridad afirmando que durante los años que fue CIO de Air Force –entre 2001 y 2005- aplicó algunos de estos criterios y consiguió ahorrar dinero tanto en la administración del riesgo como de las TI.
La lista de recomendaciones de Gilligan dice:
1) Conozca su red. Haga inventario de todos los dispositivos de su red con una herramienta de recuperación de activos. Registre las direcciones de red, los nombres de equipos, el propósito de cada dispositivo y la persona responsable de él. Encripte esta información. Asimismo, conciba una lista encriptada del software autorizado para ejecutarse en su red. Periódicamente, pruebe su herramienta de John Gilliganinventario de software desplegando nuevas aplicaciones para ver si las detecta. Apunte el retraso; es un tiempo vulnerable.
2) Pruebe y verifique. Documente y pruebe las configuraciones de seguridad en imágenes del sistema antes de desplegar portátiles, estaciones de trabajo y servidores. Realice comprobaciones una vez al mes de sus sistemas para ver qué configuraciones son las correctas. Almacene las imágenes maestras en servidores seguros o en máquinas offline.
3) Tome el control. En los puntos de conexión de la red, implemente filtros para permitir el uso sólo de los puertos y protocolos con una documentada necesidad empresarial. Use autenticación de doble factor y sesiones encriptadas en todos los dispositivos de red. Exija que el logging remoto también sea de autenticación de doble factor.
4) Sea desconfiado. Establezca logs controlados para registrar fechas, marcas de tiempo y direcciones de fuente y destino para cada pieza de software. Conciba perfiles de actividad común y defina logs para determinar anomalías. Despliegue cortafuegos para vigilar ataques web comunes. Pruebe el código fuente para código malicioso y puertas traseras antes de desplegarlos.
5) Cuide su espalda. Ejecute escaneo de vulnerabilidades al menos una vez a la semana (preferiblemente a diario). Compare los escaneos secuenciales para asegurarse de que los problemas anteriores ya se han resuelto. Instale parches críticos dentro de la semana. Reporte diariamente las cuentas deshabilitadas o bloqueadas, así como las cuentas con passwords determinadas para que nunca caduquen o que excedan un tiempo máximo. Tenga las explicaciones para esas cuentas. Revise las máquinas a diario e instálele actualizaciones para protegerlas contra el código malicioso.
