Configuración segura de sistemas

La transformación digital de las empresas avanza a pasos agigantados. Y acompañar la digitalización con la protección de sus activos es fundamental para asegurar el correcto funcionamiento del negocio.

No obstante, debemos tener en cuenta que a veces no es posible proteger todos los activos al mismo tiempo y eliminar todos los riesgos, ya sea por operativa del negocio, o por capacidad de inversión. Lo que nos lleva a tener que priorizar y empezar por los activos más importantes.

Los 3 activos tecnológicos más críticos para una organización suelen ser:

1. Los puestos de trabajo: son los elementos con los que interactúan los empleados, y por tanto se encuentran a menudo expuestos a malas prácticas, fallos de configuración, vulnerabilidades o falta de mantenimiento.

2. Los servidores: son activos que alojan herramientas como ERPs o CRMs, centralizan información interna de proyectos, procesos y sirven de soporte a clientes y proveedores, por lo que resultan fundamentales para la operativa de la organización. Pueden verse expuestos a amenazas que pongan en riesgo su seguridad.

3. Los cortafuegos o firewalls: son los encargados de filtrar el tráfico malicioso y sospechoso en el límite del perímetro de las infraestructuras de las empresas. En muchos casos ayudan a frenar las amenazas externas. Por eso es importante que su parametrización (puertos, protocolos, reglas, permisos, contraseñas) no deje brechas de seguridad abiertas.

Con la oferta de configuración segura de sistemas, los expertos de SCASSI plantean como objetivo proteger los 3 activos tecnológicos más críticos para una organización: puestos de trabajo, servidores y firewalls, a la vez que ayudan al fundamental cumplimiento en materia de protección de datos, tanto con el RGPD (Reglamento General de Protección de Datos) a nivel europeo, como con la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales) en el territorio español.

Para ello siguen una metodología de hardening orientada hacia la consecución de resultados y el cumplimiento normativo.

1. Determinación de los perfiles de los usuarios y sus necesidades, para valorar cuál el mejor nivel de protección para cada uno de ellos. Seguramente habrá muchas funcionalidades por defecto ofrecidas por los sistemas que pueden ser deshabilitadas por el riesgo que conllevan.

2. Identificación de los parámetros que hay que modificar para bastionar los activos, a partir de las referencias más representativas para sistemas operativos, aplicaciones y firewalls: guías CCN-STIC, STIG, ANSSI, benchmarks CIS, estándares NIST, etc; y las mejores soluciones de auditoría de configuración de sistemas del mercado.

3. Salvaguarda de la información de los sistemas. Se realiza un backup para asegurar que no se perderá ninguna información contenida en los activos.

4. Aplicación de las configuraciones seguras. Cierre de puertos que no se usen, listas blancas de software, servicios e IPs, supresión de perfiles innecesarios, actualización de versiones, etc.

5. Valoración de los riesgos residuales. Después de un test de seguridad, y tras aceptar que los riesgos que quedan tras el bastionado son tolerables, los activos estarán listos para integrarse en los sistemas de producción de la organización.

El proyecto finaliza con un reporting del estado de seguridad de los activos, y del histórico de su intervención, lo cual será muy útil para continuar su mantenimiento a lo largo del resto de su ciclo de vida.