Recomendaciones Generales

Recomendaciones Generales

Marco General

1.- Establecer un sistema de gestión de la cibersguridad en base a análisis de riesgos y costos para lograr un riesgo residual aceptable por la institución.

2.- Establecer controles para el cumplimiento de la normativa vigente sobre ciberseguridad: Decreto Supremo N°1, Decreto Supremo N°83, Nch-ISO-27.001:2013 (ISO).

3.- Las instituciones críticas del Estado deben avanzar progresivamente en instalar la norma Nch-ISO-22.301.

TIPS:

1.- Establecer en los sistemas firewall la regla general tanto de entrada como de salida: “todo está denegado salvo lo que está explícitamente permitido”.

2.- Proteger mediante cifrado las trasferencias de información de datos sensibles sobre internet. En ese mismo sentido NO usar protocolos que envien el usuario y contraseña en claro sobre internet. Por ejemplo Protocolo POP3 (tcp/110) para lectura de correos, protocolo Telnet (tcp/23) para acceso a terminales, ftp (tcp/21) para transferencia de archivos. Preferir protocolos seguros como ssh (tcp/22) y sftp (tcp/22).

3.- En general no exponer escritorios remotos (tcp/3389) a Internet, pues son susceptibles de ataque de fuerza bruta.

4.- Revisar con frecuencia los LOGS que entregan los diferentes dispositivos de seguridad, pues en ellos han de aparecer señales de anomalías.

5.- Revisar que su plataforma tecnológica no esté siendo utilizada para ataques del tipo reflexión o amplificación o volumétrico contra otros. Referencia: https://www.us-cert.gov/ncas/alerts/TA14-017A .

Algunos protocolos UDP que son utilizados para estos ataques, que son capaces de denegar el servicio a las instituciones bajo ataque, son:

  • DNS
  • NTP
  • SNMPv2
  • NetBIOS
  • SSDP
  • CharGEN
  • QOTD
  • BitTorrent
  • Kad
  • Quake Network Protocol
  • Steam Protocol
  • RIPv1
  • Multicast DNS (mDNS)
  • Portmap

6.- Actualice constantemente los Gestores de Contenidos de sus sitios web y actualice los plugin’s que estos utilizan para mejorar las funcionalidades de los sitios web. En general no exponga el gestor de contenidos a internet. Esta recomendación es independiente del sistema operativo sobre el cual esta montado su webserver y gestor de contenidos.

7.- Pensando en posibles ataques del tipo Denegación Distribuida de Servicios (DDoS), en sus variantes Volumétrica y/o de Reflexión, es de suma importancia mantener sistema de alertas ante variaciones inusuales de tráfico, y mantener una buena comunicación y coordinación con sus Proveedores de Internet. Este tipo de ataques requieren de respuesta coordinada entre ISP e Institución.

Es importante que vuestro análisis de riesgos para este tipo de ataque incorpore a sus proveedores de servicios y aplicaciones, pues eventualmente éstos podrían verse afectados y, en consecuencia, afectar a la institución principal indirectamente. Sus procesos críticos deben tener en consideración que ante este tipo de ataques algunas veces es necesario actuar sobre el tráfico internacional, viédose con ello afectadas todas las aplicaciones que dependan de contenidos o servicios internacionales (plugin hosteados en el exterior, aplicaciones en nubes extranjeras, gmail, office365 por mencionar algunas).

Sus proveedores deben estar a la altura de la criticidad de los servicios prestados y contar en lo posible con certificación ISO27.001, ISO20.000 e ISO22.301.

8.- Dentro de su análisis de riesgo al menos considere las siguientes amenazas que están al acecho de sus activos de información, extraídos desde la norma Nch-ISO-27.005:

  • Daño físico:

Fuego, Agua, Contaminación, Incidente importante, Destrucción de equipamiento o medios, Polvo, Corrosión, Congelamiento.

  • Eventos Naturales:

Fenómeno climático, Fenómeno sísmico, Fenómeno volcánico, Fenémeno meteorológico, Inundación, Tsunamis, Aluviones.

  • Pérdidas de servicios esenciales:

Falla de aire acondicionado o sistemas de suministro de agua, Pérdida de suministro de energía, Falla de equipamiento de telecomunicaciones.

  • Perturbación debido a radiación:

Radiación electromagnética, Radiación térmica, Pulsos electromagnéticos.

  • Compromiso de información:

Señales de interferencia e interceptación que comprometen, Espionaje remoto, Escucha secreta, Robo de medios o documentos, Robo de equipos, Recuperación de medios reciclados o descartados, Divulgación, Datos de fuentes poco fiables, Manipulación con hardware, Manipulación con software, Detección de posición.

  • Fallas técnicas:

Fallas de equipo, Mal funcionamiento del equipo, Saturación del sistema de información, Mal funcionamiento del software, Brecha/fisura de mantenimiento del sistema de información.

  • Acciones no autorizadas:

Uso no autorizado del equipo, Copia fraudulenta de software, Uso de software falsificado o copiado, Corrupción de datos, Procesamiento ilegal de datos.

  • Compromiso de funciones:

Error de uso, Abuso de derechos, Falsificación de derechos, Negación de acciones, Bracha de disponibilidad de personal.

  • Fuentes de amenazas humanas:

Hackers, Delitos Informáticos, Terrorismo, Espionaje Industrial (inteligencia, compañías, gobiernos extranjeros), Internos (funcionarios pobremente entrenados, descontentos, maliciosos, negligentes, deshonestos o despedidos).

Considere las siguientes restricciones al momento de evaluar la reducción del riesgo en sus activos de información:

  • Restricciones de tiempo: Pueden existir muchos tipos de restricciones de tiempo. Por ejemplo, los controles se deberían implementar dentro de un período de tiempo aceptable para la dirección de la organización.
  • Restricciones financieras: Los controles a implementar o mantener no deberían ser más costosos que el valor de los riesgos que están diseñados a proteger, excepto cuando el cumplimiento sea obligatorio (por ejemplo, por la legislación). Cada esfuerzo que se deba hacer, no debe exceder los presupuestos asignados y alcanzar ventajas financieras a través de la utilización de los controles. Sin embargo, en algunos casos puede no ser posible alcanzar la seguridad deseada y el nivel de aceptación del riesgo, debidoa resticciones presupuestarias. La resolución de esta situación requiere la decisión de la dirección de la organización. Se debería tener mucho cuidado si el presupuesto reduce el número o calidad de los controles a ser implementados, ya que esto puede conducir a la aceptación implícita de riesgo mayor que los planificados. El presupuesto establecido para controles se debería sólo utilizar como un factor limitante con mucho cuidado.
  • Restricciones técnicas: Problemas técnicos, como la compatibilidad de programas o hardware, se pueden evitar fácilmente si se han tomado en cuenta durante la selección de los controles.
  • Restricciones operacionales: Las restricciones operacionales, tales como la necesidad de operar 24×7 aún con copias de seguridad, pueden resultar en una implementación costosa y compleja de los controles, a menos que sean construidos dentro del diseño desde el inicio.
  • Restricciones culturales: Las restricciones culturales para la selección de controles pueden ser específicas a un país, sector, organización o incluso un departamento dentro de una organización.
  • Restricciones éticas: Las restricciones éticas pueden tener implicancias importantes en los controles, como cambio ético basado en normas sociales.
  • Restricciones ambientales: Los factores ambientales, tales como, disponibilidad de espacio, condiciones climáticas extremas, geografía urbana y natural del entorno pueden influir en la selección de controles.
  • Restricciones legales: Factores legales, tales como, protección de datos personales o provisiones del código criminal para el procesamiento de la información podrían afectar la selección de controles.
  • Facilidad de uso: Una pobre interfaz tecnológica-hombre puede resultar en un error humano y puede hacer inútil el control.
  • Restricciones de personal: Se debería considerar la disponibilidad y el costo salarial de un conjunto de habilidades espacializadas para implementar controles, y la habilidad para mover personal entre ubicaciones en condiciones operativas adversas.
  • Restricciones de la integración de controles nuevos y ya existentes: La integración de nuevos controles en la infraestructurea existente y la interdependencia entre los controles a menudo se pasa por alto. Los nuevos controles pueden no ser fácilmente implementados si hay incongruencia o incompatibilidad con los controles existentes.

9.- Protección de la presencia web y de redes sociales de los funcionarios públicos:

  • Limite la cantidad de información personal que postea en Redes Sociales.
  • Recuerde que Internet es un recurso de acceso abierto a todos.
  • Sea cauto con extraños.
  • Sea escéptico.
  • Sea cuidadoso con aplicaciones de terceras partes (use en general los repositorios oficiales).
  • Use contraseñas fuertes y difíciles (ojalá utilicé el segundo factor de autenticación).
  • Verifique las condiciones de privacidad de los sitios en los que deja su información personal.
  • Mantenga sus software al día con sus parches (ojo con sus browser).
  • Use y mantenga al día un software antivirus (es necesario, pero no suficiente).

Fuente: https://www.us-cert.gov/ncas/tips/ST06-003

10.- Al considerar la fuga de credenciales contemple al menos las siguientes recomendaciones:

  • Las plataformas deberán adoptar políticas de seguridad que obliguen a sus usuarios a utilizar contraseñas lo suficientemente robustas, no deducibles y de actualización periódica.
  • La implementación del doble factor de autenticación por parte de las plataformas. De esta manera, los usuarios también deben ser conscientes de lo que supondría la no utilización de herramientas similares ya que con su uso se puede evitar gran parte de accesos no autorizados.
  • Considerar herramientas/aplicaciones que contemplen la detección por parte de las plataformas de posibles fugas de información sensible.
  • Tenga en cuenta que en muchas ocasiones, pueden pasar meses hasta que se detecta el problema. Asimismo, se recomienda que los usuarios no se registren en páginas de terceros con credenciales corporativas con el objetivo de minimizar la probabilidad de fuga.
  • Si se toma conocimiento de una fuga de información de servicios externos, por ejemplo se roban la base de datos de algún aplicativo web o un software, debe procurar mediante canales formales verificar la presencia de cuentas institucionales en la base de datos filtrada, y de existir esas cuentas, solicitar el cambio de credenciales a la brevedad.

Fuente: Basado en Informe de Tendencias – Telefónica

 

11.- Evite que las vulnerabilidades de SSL/TLS afecten su cumplimiento normativo, con las siguientes acciones recomendables:

  • Actualizar a la versión más reciente todos los componentes de SSL o TLS existentes en el entorno (prestar especial atención a OpenSSL, cuyas versiones desde la 1.0.1 hasta la 1.0.1f (inclusive) son afectadas por la vulnerabilidad HeartBleed).
  • Emplear algoritmos robustos en las configuraciones de cifrado de SSL/TLS (evitar el uso de Triple-DES CBC, RC4, MD5 y SHA-1).
  • En aquellos servicios que lo soporten, activar TLS Fallback Signaling Cipher Suite Value (SCSV) para prevenir la renegociación con protocolos débiles.
  • Habilitar el soporte de HTTP Strict Transport Security (HSTS) en los servicios que lo soporten.
  • Configurar Perfect Forward Secrecy (PFS) en donde sea soportado.
  • Habilitar el soporte para Elliptic-Curve Diffie-Hellman (ECDH) en el intercambio de claves y utilizar grupos de Diffie-Hellman como mínimo de 2048-bit para evitar ataques de logjam.
  • Configurar los browsers de usuarios para deshabilitar el soporte de SSL (ver https://zmap.io/sslv3/browsers.html y https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm).

Así mismo, una acción altamente recomendable es deshabilitar completamente el soporte de SSL en los servidores, habilitar TLS y configurarlo de forma segura. Esta acción debe ser analizada detalladamente en cada caso, ya que puede afectar la conectividad de browsers de clientes que no tengan soporte de TLS.

Fuente de Referencia: LINK

 

Documentos de Lectura Adicional:

Los siguientes documentos se disponibilizan para fortalecer el conocimiento y ayudar a la difusión de líneas de pensamiento en materia de Ciberseguridad e Internet:

__________________________________________________________________________________________

 

Documento Informativo para los Estados Miembros de la OEA Sobre la Transición de la Custodia de las Funciones de IANA
(Fuente: OEA)

 

ADOPCIÓN DE UNA ESTRATEGIA INTERAMERICANA INTEGRAL DE SEGURIDAD CIBERNÉTICA: UN ENFOQUE MULTIDIMENSIONAL Y MULTIDISCIPLINARIO PARA LA CREACIÓN DE UNA CULTURA DE SEGURIDAD CIBERNÉTICA (Aprobada en la cuarta sesión plenaria, celebrada el 8 de junio de 2004)
(Fuente: OEA)