👉 Esta actividad te ayuda a cumplir el siguiente control:
ISO 27001 en su versión 2022: A.8.9
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar la configuración de seguridad adecuada que deben tener los sistemas usados por tu empresa, y que son alcanzados por tu SGSI.
💡 Hardening o endurecimiento informático es un proceso de reducción de vulnerabilidades en los sistemas, estableciendo e implementando medidas de seguridad para estar preparados ante un posible ciberataque.
¿Qué tengo que hacer? 🚀
El realizar esta actividad puede depender de los servicios o sistemas que se desean hardenizar.
Lo primero que debes hacer es identificar todos los elementos con los que opera la organización, que sean alcanzados por tu programa de seguridad, y a los que deseas aplicar medidas de hardening. Algunos de estos elementos pueden ser redes, servidores, bases de datos, sistemas operativos, servicios de nube, aplicaciones, etcétera.
Una vez identificados los sistemas que deseas endurecer, debes documentar las configuraciones y los lineamientos necesarios, considerando por lo menos los siguientes aspectos:
Política de acceso a usuarios, revisión de contraseñas (que cumplan con los criterios establecidos, su duración, el cambio de los valores por defecto que otorga el proveedor, etcétera) y gestión de los permisos.
Opciones de seguridad como bloqueo de sistema, cuentas de administradores, cuentas de invitado, etcétera.
Pistas de auditoría activadas, tipos de registros, tiempos de retención, etcétera.
Monitoreo y configuraciones de los dispositivos para evitar que los usuarios instalen controladores de impresora, USB, software malicioso, etcétera.
Métodos criptográficos para forzar una protección robusta de las claves de usuario y la información compartida o almacenada.
Activación de un antivirus, antimalware, firewalls y sus componentes de ayuda, sistemas de detección y prevención de intrusos, listas negras y blancas (whitelisting y blacklisting), software para la gestión de actualizaciones, entre otros.
Inicio de sesión seguro con validación de credenciales.
Configuraciones del panel de control, como activar protector de pantalla, proteger con usuario y contraseña, cierre de sesión por inactividad, etcétera.
Servicios del sistema desactivados, como por ejemplo bluetooth, geolocalización, FTP, etcétera.
Configuración de búsquedas, como por ejemplo desactivar Cortana, Siri o cualquier otro asistente virtual, así como también desactivar la búsqueda en internet si no es necesario, etcétera.
Desactivación del “store” si no es necesario.
Mantenimiento y aplicación de actualizaciones y parches de seguridad en los sistemas, programas y aplicaciones.
Ejecución de copias de seguridad.
Dependiendo del sistema, podrás encontrar más o menos opciones y configuraciones disponibles para implementar el hardening, pero lo más importante es garantizar que estás aplicando todas las medidas posibles para proteger tu información, y que éstas se encuentren documentadas.
Debes también asignar responsables adecuados de dar seguimiento a la implementación y monitoreo de todas las configuraciones para asegurar que funcionen correctamente. Además, debes revisar periódicamente esta documentación y aplicarla tanto a sistemas recién instalados como a cualquier sistema a lo largo de su vida útil.
¡Pueden ayudarse de la documentación de las herramientas! Por ejemplo los servicios de nube (AWS, Azure, Google, etcétera) generalmente ya cuentan con documentación de hardening y de sus configuraciones bien detalladas. Pueden colocar los enlaces correspondientes de esta información dentro del documento como referencias para facilitar su acceso y consultar en qué consisten 🙌🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Considera el hardening como un checklist que debes ir complementando y/o ajustando a las necesidades de la empresa, si es necesario.
Utiliza guías disponibles públicamente como aquellas brindadas por proveedores u organizaciones de seguridad independientes.
Asegúrate de que tu documentación de hardening apoye y sustente las políticas de seguridad definidas por la empresa.
Toma en cuenta la viabilidad y aplicabilidad de estas configuraciones dentro del contexto de la organización.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.