• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
Download
 
July 10, 2009
1
Protección de la empresa
Monitoreo continuo basado en estándares decontroles de seguridad automatizados entoda la empresa
Las mejores prácticas de la seguridad de la información se trasladan deprocesos estáticos de certificación y acreditación (C&A), con auditoríaspoco frecuentes, a un sistema que recurre al monitoreo continuo de impor-tantes controles de seguridad. Hoy muchos expertos en seguridadrecomiendan el monitoreo casi en tiempo real de configuraciones de TI yotros controles de seguridad.
1
Otra mejor práctica importante de TI, ITIL,recomienda que las organizaciones creen un repositorio central o CMDB
1
Los recientes lineamientos de auditoría de consenso (CAG, por sus siglas eninglés), creados por el Instituto SANS, la Agencia Nacional de Seguridad, US-CERT y otras organizaciones federales y privadas, hacen hincapié en la necesi-dad de un monitoreo automatizado continuo de controles de seguridad.http:// www.sans.org/cag/guidelines.phpAsimismo, los nuevos lineamientos NIST para C&A, titulados Guía para laautorización de la seguridad de los sistemas de información federales (Guidefor Security Authorization of Federal Information Systems) SP800-37 (borra-dor) hace hincapié en el monitoreo continuo de controles que cambian fre-cuentemente. Aquí encontrará los detalles:http://csrc.nist.gov/publications/ drafts/800-37-Rev1/SP800-37-rev1-IPD.pdf , consulte la Sección 2.9, Moni-toreo continuo (Continuous Monitoring).
 
Las configuraciones son importantes
2
Protección de la empresa
(base de datos de administración de configuraciones), que les dará unavista empresarial de todos sus activos de TI y sus configuraciones.
2
Estasdos tendencias dan como resultado recomendaciones e implementacionesde sistemas automatizados en toda la empresa para reunir datos detalladosde la configuración de la seguridad sobre una base casi en tiempo real enun único repositorio central. Con base en la experiencia de Belarc congrandes sistemas empresariales de administración de configuraciones,sugerimos que estos objetivos se pueden cumplir de la mejor manera através de un sistema automatizado basado en puntos extremos instrumenta-dos y una arquitectura basada en WAN.
 Las configuraciones son importantes
La Junta Directiva de Garantía de la Información de la Agencia Nacionalde Seguridad de Estados Unidos (NSA) se ha avocado por muchos años alograr una mejor administración de las configuraciones de TI para protegerlos activos de TI de manera efectiva. La NSA descubrió a través del análi-sis de los resultados de sus pruebas Red Team y Blue Team que las mismasdebilidades en la seguridad ocurrían una y otra vez. La mayoría de estasdebilidades eran el resultado de prácticas deficientes de administración delas configuraciones.
3
Basándose en estos hallazgos, la NSA ha trabajado con organizaciones pri-vadas y gubernamentales para codificar estos parámetros de configuraciónen pruebas de referencia de seguridad. Esto ha dado como resultado laspruebas de referenciaCIS(Center for Internet Security, Centro para laSeguridad de Internet) y laFDCC(Federal Desktop Core Configuration,Configuración Federal Central de PCs de Escritorio) del NIST (NationalInstitute of Standards and Technology, Instituto Nacional de Estándares y
2
ITIL enfatiza que es importante para una organización adoptar una vista empre-sarial de sus activos de TI. Esto contrasta con la práctica común actual que sebasa en herramientas y procedimientos manuales implementados por adminis-tradores locales.http://en.wikipedia.org/wiki/ITIL
3
Establecer y monitorear configuraciones con base en pruebas de referencia deconsenso es importante para la seguridad de TI porque es una forma proactivade evitar muchos ataques exitosos. La Agencia Nacional de Seguridad de Esta-dos Unidos ha descubierto que la configuración de computadoras con parámet-ros de seguridad apropiados bloquea más del 90% de las amenazas existentes.(Boletines IA "Pruebas de referencia de seguridad: un estándar de oro". Hagaclic aquí para solicitar una copia,http://iac.dtic.mil/iatac/index.html.)
 
Estado actual
Protección de la empresa
3
Tecnología de Estados Unidos). La NSA ha sido también parte en losCon-sensus Audit Guidelines(CAG), que enfatizan el monitoreo continuo deconfiguraciones de seguridad y otros controles.La seguridad basada en perímetros no es suficiente para proteger laempresa. Expertos en seguridad de TI han sabido desde hace algún tiempoque los firewalls y ruteadores no son suficientes para proteger sus activosde TI.
4
Organizaciones privadas y gubernamentales dependen de contratis-tas y socios externos que se conectan a recursos alojados en sus redes.Muchas de estas relaciones con socios se sustentan en conexiones VPN, lascuales no son visibles para dispositivos IDS o IPS. Dispositivos dealmacenaje USB encuentran también su camino dentro del perímetro de lared. Hay un uso cada vez mayor de laptops que operan dentro y fuera delperímetro de parte de empleados y contratistas. Todos estos factores hanprovocado un daño importante.
 Estado actual
Hoy día, muchas organizaciones y el gobierno federal de Estados Unidosrecurren casi exclusivamente a un proceso de certificación y acreditación(C&A) para proteger sus sistemas de TI. Un ejemplo de esto es el proyectode Ley Federal de Administración de la Seguridad de la Información(FISMA) supervisado por OMB de Estados Unidos e implementado porNIST.Las revisiones de C&A se suelen llevar a cabo sobre una base muy pocofrecuente, como cuando se inicia un sistema de TI y luego sobre una baseanual o más larga. Puesto que muchos de estos controles, como los deFISMA, están basados en procesos, tiene poco sentido revisarlos más deuna vez al año. Sin embargo, desde un punto de vista operacional, ¿quésucede entretanto? En general, los administradores locales corren explora-dores en las redes que tienen a su cargo. A menudo, estos exploradoresrequieren esfuerzo manual y se llevan a cabo de manera poco frecuente,cuando mucho cada semana, y a menudo cada mes o cada trimestre. Estosresultados de exploradores locales tampoco suelen estar disponibles en
4
The Jericho Forum, foro de liderazgo de TI fundado por compañías internacio-nales de la lista Fortune 500, ha venido analizando este problema. The JerichoForum incluso le ha dado un nombre, "desperimetrización". Para conocer losdetalles, visite el sitio:http://www.opengroup.org/jericho/ 
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...