Defensa en Profundidad - Defense in Depth

Defensa en Profundidad Comprendiendo el Riesgo del Negocio Muchos expertos en Seguridad dicen que ésta es complicada. La Seguridad no lo es. Seguridad puede ser resumida en dos palabras sencillas: Gestión de riesgos. Esto no es acerca de eliminación de riesgo, sino acerca de mitigación de riesgos. Antes de entrar en la Jerga de la Seguridad, deseamos que piense realmente este concepto. Si usted NO comprende el riesgo, usted no entenderá la seguridad, y si usted no entiende la seguridad, entonces el concepto de Defensa en Profundidad no tendrá sentido para usted. El riesgo es la imagen grande. Hay muchas metodologías para valorar el riesgo. Seguro es difícil pedir que comprenda cosas como la valoración de los activos, la expectativa anual de la pérdida, ROI, etc., pero se necesitan para comprender sinceramente el riesgo antes de poder adentrarnos en él. Figura 1. La vista general de la Defensa de Microsoft el Modelo en profundidad Capa 1 Las Políticas, los Procedimientos y el Conocimiento (La Corteza) Todos recordamos al Señor de la trilogía de película de los Anillos, cuando los tipos malos asaltaban el castillo. Los defensores pudieron utilizar un modelo de defensa en profundidad para mantener a los atacantes en el extremo. Los atacantes se abrían camino por una pared, y los defensores se retiraban detrás de otra. Aquí aplica la misma cosa. La primera y mejor inversión que usted puede hacer está alrededor de la Capa 1: Las políticas, los Procedimientos, y el Conocimiento. Se trata del establecimiento de algunas políticas de seguridad y buenas prácticas escritas como una Política en toda la empresa de Uso. Consiga apoyo ejecutivo para su política, y esto ayudará para cualquier complicación. Lo mejor para la Alta Gerencia (El rendimiento de la Inversión para nuestros amigos del negocio) en el mundo de seguridad es una campaña de concienciación fuerte y creadora de seguridad. Los usuarios se olvidan rápidamente de las lecciones aprendidas durante la instrucción de seguridad anual. Los concursos, quizzes, los premios, los boletines, videos graciosos — éstos son sólo algunos de las cosas que usted puede hacer en un presupuesto apretado. Capa 2: Seguridad física (Puertas, Guardias y Fusiles) La Seguridad física es una capa que nosotros como personas tendemos a pasar por alto. Nosotros no tenemos la visión para cosas como la vigilancia de video, las cerraduras, los guardias y las puertas magnéticas. Pero esto no hace esta capa menos importante. ¿Cuántas veces ha sido robado un ordenador portátil en su compañía? ¿Supo usted que todos los años en la convención grande de pirata informático en Las Vegas, DEFCON, el concurso de violar cerraduras es uno de los más populares? ¿Por qué es eso? Cuando la Seguridad y la Tecnología física comienzan a más ser integrados, es importante que comprendamos cómo trabaja cada uno. Esta discusión de “convergencia” consigue mucho ruido. Las personas de seguridad física corren la vigilancia de video por IP, y estos paquetes ahora atraviesan su red. Lo mismo ocurre con los registros o Logs de acceso físico a los edificios que son almacenados en sus servidores. El concepto de seguridad física es uno que necesitamos conocer para estar más enterados en nuestros Trabajos. Gaste algún tiempo y hable con las personas que trabajan en esta área. Encuentre un capítulo local de la Sociedad norteamericana para la Seguridad Industrial (ASIS) y el búsquese ir a una reunión. Capa 3: Seguridad de perímetro (Viviendo al borde) No entraremos a discutir las tecnologías de Firewall ni Gateways de Aplicación. Usted sabe lo que esas cosas hacen, y ellos son críticos para proteger el perímetro. ¿Deseo que usted piense fuera de la caja por un momento y considere, si usted hace, qué sucedería si nosotros nos deshacemos simplemente de nuestro perímetro enteramente? ¿Qué si podríamos eliminarnos aún las cosas como VPNs (que reduce la eficacia de su cortafuegos abriendo los puertos) y las conexiones de RAS? Esta idea es de mucho interés, especialmente con grupos como el Proyecto de Jericó. Capa 4: Seguridad de la Red (Protegiendo Su Casa) Fue un nuevo día en la seguridad Informática el día que alguien conectó dos computadoras juntas a través de un cable. Por supuesto, aumentó productividad, pero también aumentó el riesgo. Por supuesto, asegurar la red es restringiendo quien puede hablar con quién. Uno de las mejores maneras de hacer esto es de utilizar una tecnología que insinué anteriormente: Seguridad de IP, más exactamente como IPSec. IPSec es simplemente un mecanismo que permite el Sistema Operativo para hablar seguro por un canal cifrado. IPSec tiene en esencia dos modos: El Modo del transporte, que es utilizado para conexiones extremo a extremo, y el Modo de Túnel, que es utilizado para conexiones uno a uno Con esto podemos aislar quien se comunica con quien. Capa 5: Seguridad en el Host – Servidor(Salve la Caja, Salve la Red) Usted está loco si no está protegiendo los servidores que corren sus aplicaciones de negocio-críticos. Permítanos decirle una cosa pequeña en esta área, sin embargo. Es el concepto de seguridad de la Virtualización. Allí hay una ayuda para sacar actualmente algunas soluciones de virtualización en un esfuerzo de consolidar servidores. Gran idea. Nosotros no podemos dejar pasar la importancia y la necesidad para asegurar las máquinas virtuales (VM) y el anfitrión que reside en ellos. Se escucha a menudo un conjunto de suposiciones inexactas como que el si el anfitrión es seguro, La Máquina Virtual -VM es segura” y otros cuentos de hadas. Con respecto a la seguridad, usted necesita tratar estas máquinas virtuales como servidores físicos. Que corran antivirus dentro del VM. Que medios utilizan ACLs para cerrar hacia abajo lo que pueda modificar los archivos de config. Capa 6: Seguridad de aplicación (Si Usted Lo Construye…Asegurado, Ellos no Entrarán) Cada vez es más difícil evitar los ataques exitosos contra sistemas operativos y software comercial. Metodologías para desarrollar Software Seguro como nuestro Ciclo vital del Desarrollo de Seguridad (SDLC), son usados cada vez más. ¿Qué hace un atacante? Sencillo. Ellos se comienzan a concentrar en sus aplicaciones hechas en casa (In house) o de encargo e internas que usted ha escrito. Los desarrolladores escogen añadir simplemente un “username y la contraseña poco antes de sacarla a producción en toda la empresa. Si su equipo de Desarrollo no aplica la codificación segura de algún tipo o la metodología dentro de su propia compañía, no es un asunto de si Usted no ha sido Comprometido, Es un asunto de cuando lo será. Capa 7: Seguridad de los datos Hemos llegado al final de un viaje asombroso, pero este último paso es probablemente el más crítico. Nuestra misión clave es la Protección de Datos. ¿Qué hace usted para asegurar los datos? Una de las cosas más fáciles que usted puede hacer es usar la estrategia de algún tipo de codificación para sus datos. Si su información es valiosa necesitará codificarla. Dígale esto al director general y yo apuesto él tiene algún amor para la codificación. La codificación es simplemente demasiado fácil de aplicar para ignorar y, dadas las amenazas y los ataques diversos que existen, acaban teniendo sentido. Conclusión Defensa en profundidad es un modelo crucial para aplicar la seguridad efectiva de la información. Traducido y adaptado por José A. Tomado de: http://www.microsoft.com/technet/community/columns/secmgmt/default.mspx