En los trabajos que se han presentado en las últimas semanas se han venido exponiendo los temas que recogen la norma ISO 27002 en su versión de 2022 como esenciales para el desarrollo de una gestión desde las buenas prácticas en el manejo seguro de la información.
En esta entrega, que cierra esta temática, se tratan los controles, que desde lo tecnológico, se consideran tienen mayor incidencia en la institución y que deben ser atendidos como parte de las acciones necesarias para mantener un accionar preventivo.
El tema de lo tecnológico en la ISO 27002:2022 tiene 34 controles, agrupados en la cláusula 8 de la mencionada norma. Los mismos se relacionan a continuación y entre ellos destacan algunos que se señalan en negritas para significar su importancia al interior de la UO.
1. Dispositivos de punto final del usuario.
2. Derechos de acceso con privilegios.
3. Restricción de acceso a la información.
4. Acceso al código fuente.
5. Autentificación segura.
6. Capacidad de gestión.
7. Protección contra códigos malignos.
8. Gestión de vulnerabilidades de orden técnicas.
9. Gestión de configuración. (se refiere a las configuraciones en la seguridad de hardware y software, servicios y de red).
10. Eliminación segura de la información. (Borrado seguro)
11. Enmascaramiento de datos.
12. Prevención de fuga de datos.
13. Copias de seguridad de la información.
14. Facilidades en la redundancia del procesamiento de la información. (referido a que los mecanismos para el procesamiento de información se implementarán con la redundancia suficiente para cumplir con los requisitos de disponibilidad, protección y análisis).
15. Trazabilidad o registro.
16. Monitoreo.
17. Sincronización de tiempo. (se refiere a que el reloj de los sistemas de procesamiento de información utilizados por la organización debe estar sincronizado con las fuentes de tiempo aprobadas).
18. Uso de programas con utilidades de privilegio. (programas que cuya utilización permite anular controles del sistema y aplicaciones, por lo que su uso debe estar restringido y estrictamente controlado).
19. Instalación de software en sistema operativo (implementación de procedimientos y medidas para gestionar de manera segura la instalación de software en los sistemas operativos).
20. Seguridad en la red.
21. Seguridad en los servicios de red (se diferencia del control anterior en que se refiere a los mecanismos y niveles de seguridad y requerimientos para los servicios de red que deben ser identificados, implementados y monitoreados.
22. Segregación de redes (necesidad de separar el trabajo en subredes como mecanismo de seguridad al reducir el área de impacto accesible, por ejemplo).
23. Filtrado de la web (como mecanismo para la reducción de la exposición de los sitios de cara a internet a contenidos o acciones maliciosos).
24. Uso de mecanismos criptográficos. (se refiere en especial al uso de llaves criptográficas para la protección de la información y los datos).
25. Desarrollo seguro de ciclos de vida (referido al establecimiento de reglas de seguridad para uso y desarrollo de sistemas y software).
26. Requerimientos para la seguridad en aplicaciones ( para ello se toma en cuenta los requerimientos a atender para la identificación, especificaciones y aprobación de las aplicaciones desarrolladas o adquiridas).
27. Principios de seguridad para la ingeniería y arquitectura de sistemas (se refiere a la obligatoriedad atender los principios de la ingeniería de software y sistemas que deben estar documentado en el proceso desde su establecimiento, aplicación y mantenimiento).
28. Seguridad de los códigos (referido a los principios para asegurar el uso de códigos seguros en el desarrollo de software).
29. Pruebas de seguridad para el desarrollo y aceptación (se enmarca en la necesidad de realizar pruebas para definir e implementar el desarrollo de un ciclo de vida para software y sistemas).
30. Aplicación del subcontrato (se atiende la aplicación de revisiones directas y monitoreo para el arrendamiento o subcontrato de sistemas de desarrollo).
31. Separación de entornos de desarrollo, pruebas y producción (deben estar separados y definidos sus mecanismos de seguridad).
32. Cambios administrativos. (Está referido a los cambios en los sistemas de información y mecanismos de procesamiento que estarán sujetos a los procedimientos de gestión de cambios para su conocimiento y control).
33. Pruebas de información (refiere que toda prueba a la información será debidamente seleccionada, protegida y gestionada para evitar errores o desvío de los objetivos trazados).
34. Protección de los sistemas de información durante las pruebas de auditoría (El control centra su atención en el hecho de que las pruebas de auditoría y otras acciones de seguridad que involucren la evaluación del sistema operativo deben estar planificadas y acordado su alcance entre el que evalúa y la dirección de la organización evaluada).
Muchas de las cuestiones tratadas hasta este momento encuentran su reflejo en los controles del tema de lo tecnológico. Esto es muestra de las interconexiones que se establecen entre los temas y controles en la norma 27002 y con las restantes de la serie 27000.
De la cláusula 8, se hará referencia 8 controles a partir del comportamiento que tienen en las incidencias institucionales. Esto no resta importancia a los restantes, pero el espacio y los tecnicismos que poseen, no permite profundizar en un número mayor de ellos.
El control 2 se refiere a los Derechos de acceso con privilegio.
Es un control de tipo preventivo que busca proteger desde la confidencialidad, la integridad y la disponibilidad la información partiendo de la gestión de accesos e identidades.
Se parte del presupuesto de que la asignación y el uso de los derechos de acceso privilegiado deben restringirse y gestionarse con el propósito de garantizar que solo los usuarios autorizados, los componentes de software y los servicios que se proporcionen cuente con derechos de acceso.
Para ello deben identificarse los usuarios que necesitan acceso privilegiado para cada sistema o proceso como por ejemplo, los sistemas de gestión de bases de datos y las aplicaciones.
También debe realizarse la asignación de derechos de acceso privilegiados a los usuarios cuando sea necesario y al evento que lo requiera. La política sobre el tema del control de acceso debe atender además las competencias de las personas para desarrollar las actividades acordes a ese acceso privilegiado y sobre todo que se correspondan con sus funciones.
Es vital definir cuando expiran esos permisos, quién aprueba la asignación de privilegios, la manera en que se accede a las redes y con que usuario. Es esencial también evitar que estos usuarios con privilegios usen usuarios como “root”, lo que facilita la labor de un atacante. Y sobre todo, recordar que estas cuentas no deben ser utilizadas en el trabajo cotidiano por el nivel de compromisos que pueden provocar en los sistemas informáticos.
Este control tiene una estrecha relación con otros que son esenciales entre los que destacan: 16 Monitoreo, 17 protección contra códigos malignos y en especial con el 13 referido a las copias de seguridad. Un usuario con privilegios comprometido puede hacer caer todo el trabajo de los controles mencionados.
El control 5: Autenticación segura. Con este control se busca la protección desde la prevención y busca asegurar que las tecnologías y los procedimientos de autenticación seguros sean implementados en función de la información, las restricciones de acceso y la política establecida para el control de acceso.
El propósito es garantizar que un usuario o la entidad esté autenticado de forma segura, cuando se accede a sistemas, aplicaciones y servicios.
La solidez de la autenticación debe estar adecuada a la clasificación de la información que se va a acceder. Para ello es imprescindible una autenticación sólida y una verificación de identidad. Los métodos de autenticación con contraseñas, certificados digitales, tarjetas inteligentes, fichas o medios biométricos puede ser utilizados a ese fin. Recordar que no puede por ningún concepto transmitirse el contenido de las credenciales en texto plano por canales inseguros. Hacerlo es un suicidio.
El control 7 se refiere a la Protección contra códigos malignos. Con este control se pretende actuar desde tres aristas: la prevención, la detección y la corrección. Su ámbito de acción no solo está en la seguridad de la información, sino también en la seguridad del sistema informático y su red de datos, pues debe recordarse que es esta la principal causa de pérdida de información.
Al ser este uno de los temas más conocidos no se considera conveniente prolongar las explicaciones, pero si dejar algunos contenido del control a la vista.
La protección contra los códigos malignos debe implementarse y sobre todo lograrse, desde la concientización de los usuarios. Este es la única manera de garantizar que la información y otros activos asociados estén protegidos. De nada vale antivirus y actualizaciones ante usuarios “promiscuos” cuyos dispositivos no se operan de forma segura. Debe trabajarse con el personal en la adquisición de hábitos preventivos como la revisión, antes de su uso, de los dispositivos extraíbles.
Es por ello que, la instalación de software no autorizado, la navegación en sitios de dudosa reputación, la actualización regular del software antivirus, el aislamiento de activos infectados, pero sobre todo el conocimiento de como proceder ante la presencia de un programa maligno, son acciones esenciales que forman parte de las buenas prácticas a poseer.
No puede excluirse la necesaria búsqueda de vulnerabilidades y la atención a boletines de firmas de antivirus sobre el tema. El principio debe ser: conocer es prevenir.
El control 8 se refiere a la Gestión de vulnerabilidades de orden técnico. Esto se expresa en la necesidad de obtener información sobre las vulnerabilidades en el aspecto técnico que presentan los sistemas informáticos. Esta labor implica que estas sean evaluadas y se adopte medidas en el sentido de su erradicación, mitigación o corrección. Por ello el propósito esencial de este control es la prevención para evitar que estas vulnerabilidades técnicas sean explotadas. Por ello es vital, que cuando se notifican debilidades, quienes administrar los sistemas comprometidos trabajen de inmediato en la corrección de estas.
En este sentido es importante que se parta de una preparación para desarrollar test de penetración éticas, también conocido como hacking ético, el estudio de las librerías y bases de vulnerabilidades de que se dispone a nivel internacional. Esta es una práctica habitual en la UO, nuestra debilidad está en la respuesta por el personal que atiende los sistemas afectados.
De lo anterior se deduce la necesidad de la búsqueda de software capaz de detectar y enfrentar las vulnerabilidades y establecer los roles para el cumplimiento de las medidas y procedimientos enfilados a la solución. Esto se relaciona de manera muy especial con la actualización de los sistemas operativos y de aplicación. Se interconecta con controles como el 23 y el 32 del tema organizacional sobre servicios en la nube y los cambios administrativos, respectivamente.
El control 12 se refiere a la prevención de la fuga de datos. El propósito de este se enfila a la detección y prevención de la fuga o extracción no autorizada de información personal o del sistema y la toma de medidas en este sentido. Debe pensarse siempre que la información que se posee puede ser codiciada por alguien, pensar que para los ciberdelincuentes la información que se maneja es un error. Hay que pensar incluso en la posibilidad de corrupción o disgusto de personas al interior de las dependencias que los lleven a esta práctica.
Para poder desarrollar esta labor se debe realizar una clasificación de la información, para ello es vital el Decreto 199/99 de la República de Cuba. También se debe monitorear los canales que son susceptibles a la fuga de datos y mantener una actuación preventiva para evitar el filtrado de información.
Pero recordar que para bloquear el filtrado de información debe diseñarse un mecanismo que parte de la observación y que permita el establecimiento de reglas en los sistemas de alerta temprana que frenen el drenaje de la información.
El control 13 se refiere a las copias de seguridad de la información. Este es un punto débil en el trabajo de prevención en ciberseguridad en la UO.
El control expresa de manera tácita: Las copias de seguridad de la información, el software y los sistemas deben mantenerse y probarse periódicamente de conformidad con la política acordada sobre temas específicos en la materia. Su propósito es simple: permitir la recuperación de la pérdida de datos o de sistemas en caso de incidente. Es importante hacer énfasis en la frase del control: “mantener y probar periódicamente”.
Un backup “viejo” no garantiza que el sistema se pueda restablecer para cumplir sus funciones al mismo nivel de antes de la ocurrencia del incidente, por ello, la actualización es esencial.
La segunda arista es que una “salva” defectuosa, de la que se detecta el problema al momento de la recuperación de la información, genera un nuevo problema en el sistema, por ello su integridad debe ser verificada de manera periódica. Debe recordarse que un medio puede fallar en cualquier momento por lo que debe desarrollarse una labor preventiva al respecto.
Pero la realización de las salvas no pueden ser un mecanismo para cumplir ante una inspección, tiene que ceñirse a un plan y cumplir la lógica de sus etapas. Cuando se establece el plan este debe contener un registro preciso y los procedimientos a desarrollar que pasan por la selección del material, su ubicación, la documentación del proceso, las herramientas a utilizar, donde van a ser guardadas (medios y lugares) y su verificación. Todo esto sustentado en políticas, medidas y procedimientos que están en el Plan de Seguridad de las TIC. Recordando que las copias de seguridad contienen la información que garantiza la continuidad de los procesos sustantivos de la institución.
Las copias de seguridad en la UO son “desestructuradas”, lo que representa una debilidad y requiere un cambio de mentalidad. En este Blog de Ciberseguridad de la UO puede encontrarse además, información sobre las modalidades de backup. (completas o totales, incrementales, diferenciales y se mencionan además en la literatura, las de espejo).
El control 15 se refiere a la Trazabilidad o registro. Esto sustenta un pilar de la Ciberseguridad: el no repudio. Su existencia permite la prevención de acciones ciberdelictivas, ya que saca a la luz desde un registro pormenorizado, la autoría de ese tipo de acciones, o sea su detección.
El control se basa en la producción, almacenamiento de registros que evidencien actividades, excepciones, fallas y otros eventos relevantes. Este registro, también conocido como traza o logs debe estar protegido y requiere un análisis continuo, para conocer la manera en que se actúa sobre el sistema por los usuarios.
Se puede afirmar esto, porque su propósito es el control del registro de eventos, generar la evidencia, prevenir el acceso no autorizado, identificar eventos de seguridad de la información que pueden conducir a un incidente de seguridad de la información. Es vital su protección para garantizar la integridad de la información de registro y poder respaldar las investigaciones forenses que se realicen. Sin contar que es un requerimiento de la legislación cubana.
El control 18 es esencial y se refiere al uso de programas con utilidades de privilegio. Este control es esencialmente preventivo pero trabajo sobre el concepto de la protección en ciberseguridad a partir de lograr una red con un sistema y configuración segura, junto a la seguridad de las aplicaciones.
Este se basa restringir y controlar el uso de programas capaces de anular los controles del sistema y de las aplicaciones como pueden ser los VPN que no sean promovidos por la organización y que intenten enmascarar o crear túneles que evadan el control de una navegación desligada de las necesidades institucionales.
Su propósito es garantizar que el uso de este tipo de utilidades no incidan negativamente en los mecanismos de seguridad e información del sistema y las aplicaciones.
El control 19, por su parte se refiere a la instalación de software en el sistema operativo.
La intención de este indicador se refiere a la necesidad de que sean implementados medidas y procedimientos para gestionar de forma segura la instalación de software en los sistemas operativos. Cuestión está que aún es una debilidad en nuestro sistema informático, de manera especial en los activos que son manejados por una sola persona o en áreas reducidas. Solo así se puede garantizar la integridad de los sistemas operativos y evitar que puedan ser explotadas vulnerabilidades técnicas. Uno de los mayores problemas es la instalación de software descargado directamente y sin control por parte de los usuarios sin que medie la analítica y la cuarentena como cuestiones elementales de seguridad.
Hasta aquí un análisis suscinto de algunos aspectos de la norma ISO 27002 que sustentan las buenas prácticas en el manejo seguro de la información y por ende de las TIC.