redseguridad 076

red seguridad primer cuatrimestre 2017 77 banca online opinión Si una barrera falla debe haber otros controles que puedan evitar que una vulnerabilidad sea difícilmente explotable o permitan monitorizar los intentos de explotarla y alertar a tiempo La "defensa en profundidad" pone todas las barreras posibles a los malos, de manera que si en ese equilibrio seguridad-funcionalidad hay un punto de debilidad, no pueda ser explotado. nes relacionados con el servicio para eliminar aquellos elementos inne- cesarios que pueden comprometer la seguridad: controlar permisos de escritura o subida de ficheros en sitios que no lo necesitan, ejecución de servicios utilizando usuarios con privilegios acotados, modificación de rutas por defecto, etc. „ Sistemas actualizados. Las actua- lizaciones de sistemas a veces son triviales, pero otras suponen cam- bios que hay que planificar cuida- dosamente y no se pueden llevar a cabo de un día para otro. Si la actualización es sencilla no hay que pensarlo dos veces: actualizar. Y en el caso de que no lo sea y el siste- ma se muestre vulnerable, se han de estudiar formas alternativas de paliar la vulnerabilidad. Si aun así no es posible evitarla, se debe analizar el impacto en el servicio y el riesgo que supone en la seguridad para proceder o no con la actualización. „ Dispositivos de seguridad peri- metral. Los dispositivos de seguri- dad cada vez están más avanzados y tienen mayor funcionalidad. Es imprescindible un buen cortafuegos con una correcta política de acce- sos (y si hay dos barreras, mejor). Y a partir de ahí, todo es bienvenido: cortafuegos de aplicación, gestores de ancho de banda, IPS ( Intruder Prevention System ) o los novedo- sos NAC ( Network Access Control ). La posibilidad que dan estos dis- positivos es infinita y una correcta gestión, configuración y disposición en la red pueden ayudar a evi- tar muchas de las vulnerabilidades publicadas, dando un plazo ase- quible para la actualización de los sistemas sin afectar a los usuarios. „ Análisis de vulnerabilidades (hac- king ético). Periódicamente se deben llevar a cabo análisis de vul- nerabilidades para revisar el estado de los servicios tanto internos como externos. En ámbitos como el de la banca esto es un requisito norma- tivo. Para mantener los servicios lo más seguros posible es fundamen- tal conocer cuáles pueden ser las debilidades actuales „ Herramientas SIEM . Las herra- mientasSIEM ( Security Information and Event Management) son grandes aliadas para centralizar los numerosos logs y alertar de cualquier situación anómala o sospechosa. „ Monitorización de servicios. La visión del usuario se puede conocer a través de un sistema de monito- rización, generalmente con herra- mientas automáticas que avisan de cualquier anomalía o lentitud en el servicio, además de otros pará- metros configurables que pueden ser indicativos de un problema de seguridad. „ Concienciación. A los usuarios hay que informarles de lo que no pueden hacer, como proporcionar sus contraseñas en algún sitio dis- tinto de la web habitual o acceder a servicios bancarios a través de un enlace en un correo electrónico. Afortunadamente, los bancos tie- nen muchos controles que evitan que un pirata informático pueda acceder a tu dinero aunque lograra capturar las claves, como los siste- mas de doble autenticación para la realización de operaciones. Gestión y coordinación En definitiva, si una barrera falla debe haber otros controles que puedan evitar que una vulnerabilidad sea difícilmente explotable o permitan monitorizar los intentos de explotarla y alertar a tiempo. Para que esto funcione ha de existir una buena gestión de la seguridad que va desde la perso- na que está en atención al cliente hasta los técnicos expertos y res- ponsables –que, finalmente, toman las decisiones–, pasando por el servicio de primer nivel del SOC ( Security Operation Center ). Si hay una buena gestión y coor- dinación entre todas las partes, al menos se lo pondremos difícil al hacker. Y si alguna vez logra explo- tar alguna vulnerabilidad, lograre- mos que se sienta cual "ratón enjaulado" y no pueda hacer nada más que decir: "vale, ya la he explo- tado. ¿Y?".