Red Seguridad 093

red seguridad segundo trimestre 2021 89 opinión se han convertido en la práctica más habitual para desarrollar una gran ma- yoría de actividades profesionales. Por ello, hemos reforzado notablemente los controles dedicados a este aspecto, to- mando como referencia la norma NIST, SP 800-46r2. Aunque ahora se está im- plantando el retorno a las oficinas, el te- letrabajo es una práctica que va a per- manecer, por lo que evaluar que este y la conexión remota se realizan con todas las garantías es una necesidad. Control de acceso Es otro de los aspectos que se han refor- zado con mayor intensidad. Numerosos incidentes, como el recientemente sufrido por Continental Oil, son debidos a contra- señas débiles y que permanecen duran- te años. Hoy en día hay todo un mundo más allá de las contraseñas en control de acceso. Tomando como punto de partida la publicación especial del NIST 800-63, se han incorporado requisitos relativos a los diferentes tipos de autenticadores que una organización puede implementar, dando una gran importancia al empleo de factores múltiples. Cadena de suministro Ya lo teníamos contemplado, pero ahora lo destacamos. La seguridad de la cade- na de suministro es crucial para la con- tinuidad de negocio (la cita es de Paul Kirvan), y una notable proporción de in- cidentes que afectan a las organizacio- nes (casi el 50% según nuestro último estudio) ha tenido su origen en alguno de sus proveedores. Pero esto no es de extrañar, ya que la práctica totalidad de entidades cuentan con proveedores que de alguna manera se conectan a los sis- temas o bien procesan datos de la enti- dad en los sistemas del proveedor. La seguridad de la cadena de sumi- nistro y la gestión de las terceras/cuar- tas partes forman un capítulo que cobra tanta importancia como la seguridad de los sistemas propios. Vulnerabilidades y parcheos En realidad, esto no es una novedad, pero sigue siendo una de los principa- les coladeros. También tenemos no- tables ejemplos muy cercanos, por lo que no nos cansaremos de pregonarlo. Y aunque siempre se puede sufrir una vulnerabilidad de día cero, es de impor- tancia capital disponer de procedimien- tos para asegurar que sistemas operati- vos y aplicaciones, tanto de servidores como equipos personales, resultan prontamente actualizados con los par- ches de seguridad publicados por los fabricantes. Hay otras muchas novedades, como medidas aplicables a la tecnología de contenedores, de uso creciente, refuer- zo de la seguridad por defecto y desde el diseño, acorde a las mejores prácticas recogidas en el estándar BSIMM10, con- sideración de los principios de confianza cero ( Zero Trust ), tomando como fuente la publicación NIST, 800-207 y un largo etcétera. Como nuestro marco es de uso gene- ral, hemos hecho también alguna adap- tación a entornos de sistemas de control industrial con el objetivo de asegurar que las prácticas de ciberseguridad se pueden aplicar en este tipo de entornos. Se han realizado modificaciones en los literales de las mismas, explicitando cómo se debían implementar en entor- nos de este tipo. De esta manera, se me- jora la compatibilidad del referencial con entornos OT. Formación y concienciación Finalmente, queremos hacer una es- pecial mención, dada la importancia y transcendencia que ello tiene, a la sección de formación y concienciación. El phishing y el ramsomware , posible- mente, son los mayores problemas a que nos enfrentamos a diario. La mejor forma de combatirlo es asegurar que nuestro personal es plenamente cons- ciente de las amenazas y que cuenta con la información para no caer en el engaño. En esto, es mucho mejor pa- sarse que quedarse corto. En resumen, en Leet Security nos re- novamos para seguir teniendo el sistema más completo y fiable para determinar el nivel de ciberseguridad aplicado por las organizaciones en la prestación de sus servicios y contribuir con ello a la mejora de sus capacidades.