ENISA y el CERT-EU han elaborado conjuntamente una guía de buenas prácticas en ciberseguridad

La Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés) y el Equipo de Respuesta ante Incidentes de Seguridad de la Información  de la Unión Europea (CERT-EU, por las siglas de Computer Emergency Response Team-European Union) han redactado conjuntamente una guía de recomendaciones para mejorar la ciberseguridad de las organizaciones.

Finalidad de la guía

La guía está destinada a complementar las orientaciones de las autoridades nacionales para la implantación de medidas de ciberseguridad. Aconsejan aplicar estas recomendaciones sistemática y consistentemente de acuerdo con las necesidades específicas de cada organización.

Resumen de las recomendaciones

Las recomendaciones abarcan un conjunto amplio de aspectos de seguridad.

A continuación, las resumimos.

Requerir autenticación multifactorial para los servicios de acceso remoto

Los servicios incluidos, entre otros, son:

• los de redes privadas virtuales (VPN, en siglas inglesas),
• portales corporativos de cara al exterior, o
• el acceso al correo electrónico.

Recomienda:

1. evitar el uso de mensajes cortos (SMS) o llamada de voz para proporcionar códigos de un solo uso, y
2. utilizar el despliegue de tóquenes resistentes (resistant tokens) al phishing como tarjetas inteligentes y claves de seguridad FIDO2 (fast identity online, norma de seguridad para la autenticación de dos factores).

Impedir la reutilización de contraseñas y utilizar múltiples factores de autenticación

Implantar estas medidas al menos cuando la aplicación lo permita.

Recomienda:

1. que los usuarios utilicen comprobadores de fugas de confianza para identificar posibles filtraciones de datos y cambiar cualquier contraseña comprometida, y
2. utilizar un gestor de contraseñas corporativo, siempre que sea posible.

Asegurar que todo el software esté actualizado

En este punto, recomienda:

1. dar prioridad a las actualizaciones que aborden vulnerabilidades conocidas,
2. la reingeniería de los procesos de gestión de las vulnerabilidades para desplegar los parches de gravedad alta y crítica lo antes posible,
3. comprobar que que todas las acciones relacionadas con la aplicación de parches en puntos finales y servidores se han completado, y
4. recordar a los usuarios que deben utilizar parches en sus sistemas personales y con la mayor regularidad posible.

Controlar el acceso de terceros a redes y sistemas internos

Este control estricto ayudará a mejorar la capacidad para prevenir y detectar posibles ataques.

Endurecer los controles en la nube antes de trasladar los procesos críticos

Para evitar que los atacantes salten de un entorno a otro, se recomienda:

1. utilizar controles sólidos de seguridad, disponibles en la nube, y
2. separar la gestión del sistema en la nube de la gestión del sistema en las instalaciones.

Revisar los criterios para copias de seguridad y utilizar la «regla 3-2-1»

Los criterios para las copias de seguridad debe estar totalmente alineados con las necesidades de la empresa.

La regla 3-2-1 consiste en mantener tres copias de seguridad completa de datos:

• dos de ellas almacenadas localmente, pero en distintos soportes, y
• una almacenada fuera de las instalaciones.

En este sentido, recomienda:

1. asegurarse de que los procedimientos de restauración están bien documentados y se prueban regularmente;
2. tener controlado, limitado y restringido el acceso a las copias de seguridad;
3. aumentar la frecuencia de las copias de datos críticos;
4. que los usuarios estén formados para guardar datos en los dispositivos permitidos; y
5. verificar que el propio software de copia de seguridad está actualizado.

Cambiar las credenciales por defecto

La guía recomienda desactivar todos los protocolos que:

• no utilicen múltiples factores de autenticación, o
• utilicen una autenticación débil.

Emplear segmentación y restricciones de red adecuadas

Este punto lo recomienda para limitar el acceso y utilizar atributos adicionales (información del dispositivo, entorno, rutas de acceso) al tomar decisiones de acceso.

Realizar formaciones periódicas para los administradores de sistemas

Estas formaciones se deben basar en asegurarse de que estas personas tienen un sólido conocimiento de la política de seguridad de la organización y de los procedimientos asociados.

Recomienda también vigilar el mal uso de las herramientas de administración de sistemas para evitar la penetración de los atacantes y su desplazamiento lateral.

Crear un entorno de seguridad para el correo electrónico

En este sentido, recomienda:

• activar el filtrado anti-spam, y
• añadir una puerta de enlace de correo segura para seguir automáticamente políticas aprobadas, para evitar que lleguen a los buzones mensajes maliciosos.

Organizar periódicamente eventos de concienciación cibernética

Estos eventos deben orientarse a formar a los usuarios en:

• las técnicas comunes de phishing, y
• los efectos de estos ataques de phishing.

Proteger los activos web de ataques de denegación de servicio

Para ello, recomienda:

• usar un content delivery network (CDN),
• emplear funciones nativas de alta disponibilidad de las plataformas en la nube,
• automatizar los libros de ejecución de recuperación de desastres, y
• asegurarse de que se puede trasladar las cargas de trabajo al sitio de recuperación en un solo clic, si es posible.

Bloquear o limitar el acceso a internet de los servidores

La guía lo recomienda para evitar que los atacantes aprovechen puertas traseras o balizas persistentes a la infraestructura de mando y control.

Disponer de procedimientos para contactar rápidamente con su CSIRT

Los datos de contacto con los CERT (también conocidos como CSIRT, de computer security incident response team) pueden encontrarse en los sitios web de correspondencia disponibles.