La integración es la vía más sólida para crear sistemas de seguridad sólidos y eficientes. Muchas veces cuando nos ponemos a pensar en si tendremos la protección adecuada para la protección de nuestros activos, solemos caer enseguida en listar todos los controles de los que nos acordamos de un ámbito concreto. Pero pocas personas son las que se plantean si realmente lo que tienen es suficiente si se combinaran ciertos vectores de ataque.
En anteriores ocasiones hablé de por qué creo que sólo hay 3 tipos de controles: de prevención, detección y recuperación. Estos controles sólo se pueden aplicar a tres ámbitos de actuación: físico, lógico y humano.Para desarrollar estos argumentos, de una forma muy simple y fácilmente comprensible, definiré cada uno de los 3 diferentes tipos de controles. Dentro de cada clase encontraremos controles aplicables a cada uno de los tres ámbitos de protección. Su integración será la clave fundamental del éxito de la protección.
Prevención
Los controles adscritos a este tipo son todos aquellos que eviten, de una forma u otra, la comisión de cualquier acto que ataque los activos objeto de protección.
Son parte de este tipo de control las barreras físicas y muros, la formación de los empleados y trabajadores sobre las amenazas a las que están expuestos y los mecanismos de protección, la configuración segura de los sistemas a las últimas versiones del software disponible y la adecuada activación de las medidas de seguridad necesarias, etc.
Detección
Son todos aquellos controles que permitan la rápida identificación de sucesos que o bien hayan superado las barreras de prevención, o bien se salgan de los patrones normales de comportamiento y puedan suponer una posible vulneración de los activos que se están protegiendo.
Por decir algún ejemplo de control podríamos listar: un sistema de alarma perimétrica que alerta si alguien ha accedido a un área no autorizada, las alertas que puedan dar los empleados de un edificio al ver personal no habitual o comportamientos anómalos de los sistemas de información, o mecanismos de centralización de alertas de los sistemas de protección lógicos de una organización, etc.
Recuperación
Aquí englobaremos los controles que permitan, una vez producido un evento que haya superado las medidas de prevención establecidas para la protección de los activos, el restablecimiento de los servicios que se estuvieran prestando en caso de ser detenidos, el levantamiento de las medidas de protección que hayan podido ser inhabilitadas, así como el análisis de las causas que permitieron la vulneración de los activos protegidos.
En este grupo podemos encontrar controles como: la posibilidad de continuar trabajando en otras ubicaciones físicas mientras se recupera la oficina principal, la correcta formación de los empleados para poder realizar las actividades habituales fuera de la actividad cotidiana, la restauración de las copias de seguridad de la información que permita la recuperación de los datos en caso de pérdida, etc.
Diseño integrado
Por explicarlo de forma muy sencilla en seguridad, la integración de controles de cada uno de los ámbitos de actuación, 1 + 1 es más de dos. Si se logran integrar adecuadamente podremos obtener mucho más valor y cubrir más vectores de los específicos de cada control de forma aislada. Para ello pondré un ejemplo de integración de medidas de protección de una vivienda unifamiliar con jardín y tres plantas.
Protección de una vivienda
Activos a proteger:
- Prohibición de acceso a la zona de jardín e interior de la casa a toda persona no autorizada.
- La protección de los inquilinos.
- La protección de los bienes (dinero y fotos entre otros).
Controles de prevención:
- En el ámbito físico. Se establecerán anillos concéntricos de protección que empezarán en la puerta de acceso de la calle, el perímetro de acceso a la vivienda, y el acceso a los bienes más sensibles como dinero o joyas en una caja fuerte. Tres anillos concéntricos que permitan tener sucesivas líneas de defensa en caso de que estas puedan ser vulneradas. Está claro que es necesaria una valla de acceso alta y consistente que impida el acceso por escalado o salto, eliminación de cualquier señal de que la casa pueda estar siendo investigada por delincuentes, etc. Unas puertas de acceso sólidas y que permitan el acceso controlado en el anillo exterior. Conforme nos acerquemos al último anillo de protección deberemos ir incrementando la fortaleza de estas medidas.
- En el ámbito humano. De nada sirven las medidas de protección si no se cierran adecuadamente las puertas y ventanas, por lo que la concienciación de los inquilinos, así como de los visitantes autorizados será fundamental para el correcto funcionamiento de las medidas de prevención. Igualmente es fundamental que cada una de las personas sepa cuáles pueden ser las amenazas que sufren, como por ejemplo personas deambulando en la zona de acceso de la vivienda, colocación de carteles de alarma en la zona exterior, etc.
- En el ámbito lógico. La protección de los activos incluye también la información, por lo que las cuentas de acceso a los correos o las redes sociales, los accesos a los bancos, las fotografías y documentos, también son objeto de protección. El método a utilizar es el mismo que en el físico, estableciendo anillos de protección. Todos los equipos electrónicos deberán tener control de acceso por contraseña, más robusta conforme se accede a los activos más importantes. La correcta configuración y actualización de la configuración de la seguridad de los dispositivos conectados. La reducción de la señal wifi al mínimo imprescindible para que pueda ser utilizada sin que pueda ser atacada fácilmente desde el exterior del perímetro, etc.
Siguiente post
- Controles de detección.
- Controles de protección.
- Beneficios de la integración de controles.
[…] los controles de detección y recuperación, así como los beneficios de la integración. En el anterior post estuvimos hablando sobre los controles de prevención necesarios a aplicar en un ejemplo sobre una […]