Pautas de seguridad en acción y Principio de mínimo privilegio por google

Pautas de seguridad en acción

Las organizaciones suelen enfrentarse a una abrumadora cantidad de riesgos. Desarrollar un plan de seguridad desde el principio que los aborde puede resultar desafiante. Es por eso que los marcos de seguridad son una opción útil.

En una lectura anterior, aprendiste sobre el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST). Una de sus principales ventajas es su flexibilidad, ya que puede ser aplicado a cualquier industria. En esta lectura, explorarás cómo implementar el CSF del NIST.

The NIST CSFs five functions: identify, protect, detect, respond, and recover.

Orígenes del Marco de Ciberseguridad (CSF)

Lanzado originalmente en 2014, el Marco de Ciberseguridad (CSF) fue desarrollado para proteger la infraestructura crítica en los Estados Unidos. El Instituto Nacional de Estándares y Tecnología (NIST) fue seleccionado para crear el CSF debido a que es una fuente imparcial de datos y prácticas científicas. Con el tiempo, el NIST adaptó el CSF para adecuarlo a las necesidades de empresas tanto del sector público como del privado. Su objetivo fue hacer el marco más flexible, facilitando su adopción por parte de pequeñas empresas u otras entidades que podrían carecer de recursos para desarrollar sus propios planes de seguridad.

Implementación del CSF

Desde su creación, muchas empresas han utilizado el CSF del NIST. Como recordarás, el marco consta de tres elementos principales:

  • Núcleo

  • Niveles

  • Perfiles

Estos tres componentes fueron diseñados para ayudar a cualquier empresa a mejorar sus operaciones de seguridad. Aunque solo hay tres elementos principales, todo el marco consta de un sistema complejo de subcategorías y procesos.

La implementación del CSF puede ser un desafío debido a su alto nivel de detalle. También puede resultar complicado determinar dónde encaja el marco. Por ejemplo, algunas empresas ya tienen planes de seguridad establecidos, lo que dificulta comprender cómo el CSF puede beneficiarlas. Por otro lado, algunas empresas pueden estar en las etapas iniciales de elaborar sus planes y necesitar un punto de partida.

En cualquier escenario, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de los Estados Unidos (CISA) proporciona una guía detallada que cualquier organización puede utilizar para implementar el CSF. A continuación, se presenta una breve descripción y resumen de sus recomendaciones:

  • Crea un perfil actual de las operaciones de seguridad y describe las necesidades específicas de tu empresa.

  • Realiza una evaluación de riesgos para identificar cuáles de tus operaciones actuales cumplen con los estándares comerciales y regulatorios.

  • Analiza y prioriza las vulnerabilidades existentes en las operaciones de seguridad que ponen en riesgo los activos de la empresa.

  • Implementa un plan de acción para alcanzar las metas y objetivos de tu organización.

Consejo profesional: Ten siempre en cuenta las tendencias actuales en materia de riesgos, amenazas y vulnerabilidades al usar el CSF del NIST. 

Puedes obtener más información sobre la implementación del CSF en este informe de CISA, que describe cómo se aplicó el marco en el sector de las instalaciones comerciales.

Industrias que adoptan el CSF

Desde su introducción en 2014, el CSF del NIST ha seguido evolucionando. Su diseño está influenciado por los estándares y las prácticas recomendadas de algunas de las empresas más grandes del mundo.

Una ventaja del marco es que se alinea con las prácticas de seguridad de muchas organizaciones en la economía global. También, facilita el cumplimiento de regulaciones que podrían ser compartidas con socios/as comerciales.

Conclusiones clave

El CSF del NIST está diseñado como una guía flexible para que las organizaciones evalúen y mejoren sus prácticas de seguridad. Es un marco útil que combina las prácticas recomendadas de industrias de todo el mundo. Implementar el CSF puede ser un desafío para cualquier organización. El CSF puede ayudar a las empresas a cumplir con los requisitos de cumplimiento normativo para evitar riesgos financieros y de reputación.



Principio de mínimo privilegio

Los controles de seguridad desempeñan un rol fundamental para mantener la privacidad y seguridad de los datos confidenciales. Uno de los controles más comunes es el principio del mínimo privilegio, también conocido como PoLP o privilegio mínimo. Este principio de seguridad se basa en otorgar a los usuarios únicamente el nivel mínimo de acceso y autorización necesarios para llevar adelante una tarea o función específica.

El privilegio mínimo representa un control de seguridad clave que respalda la tríada de confidencialidad, integridad y disponibilidad (CID) de la información. En esta lectura, explorarás cómo el principio de mínimo privilegio ayuda a reducir el riesgo, cómo se implementa habitualmente y por qué es esencial someterlo a auditorías periódicas.

Reducir el acceso disminuye el riesgo

Toda empresa debe estar preparada para enfrentar el riesgo de robo, uso indebido o abuso de datos. La aplicación del principio de mínimo privilegio puede reducir significativamente el riesgo de incidentes costosos, como las filtraciones de datos, mediante las siguientes medidas:

  • Limitando el acceso a la información confidencial.

  • Reduciendo las posibilidades de modificación, alteración o pérdida accidental de datos.

  • Facilitando la supervisión y la administración del sistema.

El principio de mínimo privilegio reduce considerablemente la probabilidad de un ataque exitoso al conectar recursos específicos a determinados usuarios y establecer límites a sus acciones. Es un control de seguridad importante que debe aplicarse a todos los activos. Para implementar efectivamente el mínimo privilegio es fundamental empezar por definir de manera clara quiénes son los usuarios o entidades involucradas.

Determinar el acceso y la autorización

Para implementar el principio de mínimo privilegio, es necesario determinar el acceso y la autorización previamente. Para lograrlo, hay dos preguntas clave que deben responderse: 

  • ¿Quién es el usuario en cuestión? 

  • ¿Cuánto acceso requiere a un recurso específico? 

Identificar un usuario suele ser un proceso sencillo. Usuario puede ser una persona (cliente, personal, proveedor) o un dispositivo o software conectado a la red empresarial. En general, cada usuario debería tener su propia cuenta, y estas cuentas, por lo general, se almacenan y gestionan dentro del servicio de directorio de la organización.

Estos son los tipos más comunes de cuentas de usuario:

  • Cuentas de invitado: se proporcionan a usuarios externos que necesitan acceder a una red interna, como clientes, colaboradores externos o socios comerciales.

  • Cuentas de usuario: se asignan al personal en función de sus responsabilidades laborales.

  • Cuentas de servicio: se otorgan a aplicaciones o software que necesitan interactuar con otros programas en la red.

  • Cuentas privilegiadas: tienen permisos elevados o acceso administrativo.

Es una buena práctica determinar un nivel de acceso inicial para cada tipo de cuenta antes de implementar el principio de mínimo privilegio. Sin embargo, el nivel de acceso apropiado puede cambiar de un momento a otro. Por ejemplo, una persona que trabaja en servicio de atención al cliente solo debería tener acceso a tu información mientras te está brindando asistencia. No obstante, cuando esta persona comience a atender a otro cliente y ya no te esté asistiendo activamente, tus datos deberían volver a quedar inaccesibles. El mínimo privilegio solo puede reducir el riesgo si las cuentas de usuario son monitoreadas de forma rutinaria y consistente.

Consejo profesional: Las contraseñas desempeñan un papel importante al implementar el principio del mínimo privilegio. Incluso si las cuentas de usuario están asignadas adecuadamente, una contraseña insegura puede comprometer los sistemas.

Auditoría de los privilegios de cuentas

Establecer las cuentas de usuario adecuadas y asignarles los derechos de acceso o privilegios apropiados es un paso inicial muy valioso. Sin embargo, realizar auditorías periódicas de estas cuentas es una parte esencial para mantener seguros los sistemas de tu empresa.

Existen tres enfoques comunes para auditar las cuentas de usuario:

  • Auditorías de uso

  • Auditorías de privilegios

  • Auditorías de cambios de cuenta

Como profesional de seguridad, es posible que participes en cualquiera de estos procesos.

Auditorías de uso

Cuando se realiza una auditoría de uso, el equipo de seguridad revisa a qué recursos está accediendo cada cuenta y de qué forma los usuarios interactúan con estos recursos. Estas auditorías son útiles para determinar si los usuarios están cumpliendo con las políticas de seguridad de la organización. Además, permiten identificar si un usuario tiene permisos que podrían ser revocados debido a que ya no están siendo utilizados.

Auditorías de privilegios

Con el paso del tiempo, es común que los usuarios acumulen más privilegios de acceso de los que realmente necesitan, un fenómeno conocido como arrastre de privilegios. Esto puede suceder si un empleado recibe un ascenso o cambia de equipo, lo que conlleva cambios en sus responsabilidades laborales. Las auditorías de privilegios tienen como objetivo evaluar si el rol de un usuario se encuentra en consonancia con los recursos a los que actualmente tiene acceso.

Auditorías de cambios de cuentas

Los servicios de directorio de cuentas mantienen inventarios y registros asociados a cada usuario. Los cambios en una cuenta generalmente se guardan y pueden utilizarse para auditar el directorio en busca de actividades sospechosas, como múltiples intentos de cambiar la contraseña de una cuenta. Realizar auditorías de cambios de cuenta ayuda a asegurar que todas las modificaciones en las cuentas sean realizadas por usuarios autorizados.

Nota: La mayoría de los servicios de directorio se pueden configurar para alertar a quienes administran el sistema sobre actividades sospechosas.

Conclusiones clave

El principio de mínimo privilegio es un control de seguridad que puede reducir el riesgo de acceso no autorizado a información y recursos confidenciales. Configurar y ajustar las cuentas de usuario con los niveles adecuados de acceso y autorización es un paso importante para implementar el mínimo privilegio. La auditoría de las cuentas de usuario y la revocación de derechos de acceso innecesarios son prácticas fundamentales que contribuyen a mantener la confidencialidad, integridad y disponibilidad de la información de manera efectiva.

Comentarios

Publicar un comentario

Entradas más populares de este blog

La Importancia de la Selección Genética en la Producción Avícola

  La Importancia de la Selección Genética en la Producción Avícola Introducción La selección genética en la avicultura es un proceso fundamental para mejorar la eficiencia de la producción de pollos de engorde y ponedoras. A través de la aplicación de técnicas de mejoramiento genético, se pueden optimizar rasgos como la tasa de crecimiento, la conversión alimenticia, la resistencia a enfermedades y la calidad de la carne o los huevos. Este artículo investiga la importancia de la selección genética en la avicultura moderna y su impacto en la seguridad alimentaria y la sostenibilidad del sector. Fundamentos de la Selección Genética en Pollos La selección genética se basa en la identificación y reproducción de aves con características deseables. Para ello, se analizan parámetros como: Tasa de crecimiento : Se seleccionan aves con una ganancia de peso rápida y eficiente. Conversión alimenticia : Pollos que requieren menos alimento para producir una cantidad determinada de carne o huevo...
Leer más

Análisis de viabilidad económica y sostenibilidad de la crianza, incubación y alimentación de gallinas ponedoras para un consumo saludable en venta Bogotá, Colombia

Imagen
  Proyecto Análisis de viabilidad económica y sostenibilidad de la crianza, incubación y alimentación de gallinas ponedoras para un consumo saludable en venta Bogotá, Colombia 1. Resumen Ejecutivo Este proyecto evalúa la viabilidad económica y sostenibilidad de la crianza, incubación y alimentación de gallinas ponedoras con venta en Bogotá. Con el aumento de la demanda de huevos y gallinas criollas como fuente de proteína saludable, se busca determinar los costos, ingresos y márgenes de ganancia para inversionistas interesados. El análisis incluye un enfoque en prácticas sostenibles, proyecciones económicas y recomendaciones para optimizar el retorno de inversión. 2. Justificación El huevo y la gallina criolla es un alimento de alta demanda en Colombia, especialmente en Bogotá, Cali, Medellín, entre otras, donde su consumo per cápita sigue en aumento. Este proyecto responde a la necesidad de ofrecer soluciones económicamente viables para inversionistas interes...
Leer más

Ventajas y Desventajas de los Proyectos Avícolas en el Campo Colombiano

  Ventajas y Desventajas de los Proyectos Avícolas en el Campo Colombiano Introducción La avicultura en Colombia es una de las industrias más dinámicas dentro del sector agropecuario. Según la Federación Nacional de Avicultores de Colombia (FENAVI), el país produce más de 1,6 millones de toneladas de carne de pollo al año y más de 14.000 millones de huevos. Esto demuestra la importancia de la producción avícola en la seguridad alimentaria y la economía nacional. Sin embargo, implementar proyectos avícolas en el campo colombiano conlleva múltiples desafíos y oportunidades, especialmente cuando se integran nuevas tecnologías y modelos sostenibles. Ventajas de los Proyectos Avícolas en Colombia 1. Alta Demanda del Mercado El consumo de pollo y huevo en Colombia sigue en crecimiento. En 2023, el consumo per cápita de pollo fue de aproximadamente 37 kg, mientras que el consumo de huevo alcanzó los 325 huevos por persona al año. Esto hace que la avicultura sea una inversión rentable y co...
Leer más