20 soluciones para proteger el sistema de información en empresas

Una auditoría de software permitirá salvaguardar la información, uno de los  el activo más importante de las empresas

La digitalización de la sociedad cada día da un nuevo paso. La interconexión abre nuevas vías de desarrollo en un mundo más inteligente. Sin duda, nos encontramos en un contexto de cambio, donde la información es uno de los recursos más importantes. Internet ha traspasado las fronteras y conformado la denominada Sociedad de la Información.

Pero, al mismo tiempo, se presentan nuevos desafíos y complejidades. Mantener la seguridad, nos proporcionará estabilidad y permitirá avanzar hacia nuevos retos. Por ello, desde cualquier ámbito, se debe apostar por proteger la información. Desde 2008, SANS Institute ha publicado los 20 controles críticos de seguridad (Critical Security Controls o CSC), donde se recogen aquellos controles en seguridad más importantes que se deben tener presentes. En 2014, dicho informe ha sido publicado por Council on Cybersecurity con el objetivo de asegurar la información en la red.

El documento especifica de forma detallada los procedimientos y herramientas a seguir e implementar. Es decir, establece un marco de trabajo para reducir el riesgo y aumentar la seguridad. Esto provoca que la orientación del gasto hacia la protección de la información suponga un retorno de la inversión. Conocer las medidas preventivas que organismos, tanto públicos como privados, pueden adoptar harán efectiva la productividad. Por tanto, los ataques en la red pueden ser prevenidos si se actúa con conocimiento.

Controles críticos de seguridad

A continuación, se enumerarán los nombrados 20 controles críticos de seguridad que garantizan la protección de los datos corporativos:

1. Inventario de los dispositivos autorizados y no autorizados (Inventory of Authorized and Unauthorized Devices)

2. Inventario de software autorizados y no autorizados (Inventory of Authorized and Unauthorized Software)

3. Configuraciones seguras para hardware y software en ordenadores portátiles, estaciones de trabajo y servidor (Secure Configurations for Hardware and Software on Laptops, Workstations, and Server)

4. Evaluación de la vulnerabilidad continua y Remediación (Continuous Vulnerability Assessment and Remediation)

5. Las defensas de malware (Malware Defenses)

6. Aplicación de Software de Seguridad (Application Software Security)

7. Control de Acceso Inalámbrico (Wireless Access Control)

8. Capacidad de Recuperación de Datos (Data Recovery Capability)

9. Seguridad de evaluación de habilidades y de formación adecuados para llenar vacíos (Security Skills Assessment and Appropriate Training to Fill Gaps)

10. Configuraciones seguras para dispositivos de red tales como cortafuegos, routers y conmutadores (Secure Configurations for Network Devices such as Firewalls, Routers, and Switches)

11. Limitación y Control de los puertos de red , protocolos y servicios (Limitation and Control of Network Ports, Protocols and Services)

12. Uso controlado de los privilegios administrativos (Controlled Use of Administrative Privileges)

13. Límite de Defensa (Boundary Defense)

14. Mantenimiento, Monitoreo y Análisis de registros de auditoría (Maintenance, Monitoring and Analysis of Audit Logs)

15. Control de Acceso Base con la necesidad de conocer (Controlled Access Base with the Need to Know)

16. Seguimiento y Control de Cuenta (Account Monitoring and Control)

17. Protección de Datos (Data Protection)

18. Respuesta a incidentes y Gestión (Incident Response and Management)

19. Ingeniería de red segura (Secure Network Engineering)

20. Pruebas de Penetración y Ejercicios de equipo de red (Penetration Tests and Red Team Exercises)

Los nombrados controles críticos de seguridad se conciben como la combinación de conocimiento en torno a la ciberdefensa. Además, han sido destacados por su efectividad en la protección contra las amenazas más comunes. Las empresas con pequeñas acciones pueden llegar a mitigar grandes riesgos. Por ello, un estudio continuado del sistema lógico proporcionará seguridad. De esta forma, realizar auditoría de software permitirá salvaguardar uno de los activos más importantes para nuestro negocio, la información.