Resolución de conflictos: entre las mejores prácticas de seguridad y los mandatos de cumplimiento

Así que ha leído un gran consejo en Internet y cree que podría mejorar su postura de seguridad. Antes de presentar ese consejo a la dirección, es conveniente determinar si está permitido por los requisitos de cumplimiento de la seguridad o si puede convertirse en una excepción aceptable a sus plantillas de cumplimiento.

Muchos trabajan para empresas que tienen múltiples mandatos de cumplimiento. Cuanto más grande e internacional sea la compañía, más reglamentos de cumplimiento de la normativa tecnológica habrá que seguir: el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) de Estados Unidos, el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS), las directrices del Instituto Nacional de Estándares y Tecnología (NIST), la Ley Federal de Gestión de la Seguridad de la Información (FISMA) y los controles del Centro de Seguridad de Internet (CIS), por nombrar algunos. Estas normativas tendrán recomendaciones y controles que quizá se deban revisar antes de cambiar las defensas de la red para asegurarse de que sigue cumpliendo la ley. Mantenerse al día con las plantillas de cumplimiento suele ser un trabajo a tiempo completo.

Actualizaciones de Windows controladas vs. no controladas

Algunos mandatos pueden sorprenderle dados los cambios que hemos visto en nuestras redes en los últimos años. Un ejemplo es la forma de gestionar las actualizaciones de Windows. Las actualizaciones de algunas organizaciones ya no están controladas por los Servicios de Actualización de Software de Windows (WSUS), pero las normas de cumplimiento no han seguido el ritmo de cómo desplegamos las actualizaciones.

El antiguo mandato era claro: no permita que las actualizaciones del sistema no estén controladas. Como dicen las notas de la sección para Server 2012 R2: “Las actualizaciones del sistema no controladas pueden introducir problemas. La obtención de componentes de actualización de una fuente externa también puede proporcionar potencialmente información sensible fuera de la empresa. La instalación o reparación de componentes opcionales debe obtenerse de una fuente interna”. Por ello, no se recomienda utilizar WSUS y luego configurar la política de grupo para que los equipos puedan obtener componentes .Net 3.5 de Internet con esta configuración. Como se señala, se recomienda: "Configurar el valor de la política de Configuración del equipo -> Plantillas administrativas -> Sistema -> 'Especificar la configuración para la instalación de componentes opcionales y la reparación de componentes' en 'Habilitado' y con la opción 'No intentar nunca descargar la carga útil desde Windows Update' seleccionada”.

Entonces, ¿puede dejar que sus servidores se conecten de forma independiente a Windows Update para realizar el mantenimiento al instalar y desplegar .NET 3.5? La respuesta es: depende. Para algunas empresas puede ser obligatorio ceñirse a la plantilla de cumplimiento de su sector. Otras, por el contrario, pueden solicitar excepciones en función de las necesidades y la postura de seguridad de su empresa. Incluso Windows Server 2019 tiene requisitos para no usar funciones de actualización más modernas. El ejemplo es el mandato de Server 2019 de no buscar actualizaciones en otros dispositivos en la red utilizando la tecnología de actualización punto a punto conocida como Optimización de entrega. Así, para asegurarse de que los sistemas no tengan esta configuración, debe “Configurar el valor de la política para Configuración de la computadora >> Plantillas administrativas >> Componentes de Windows >> Optimización de entrega >> 'Modo de descarga' en 'Habilitado' con cualquier opción excepto 'Internet' seleccionado”.

‘Parchear’ máquinas virtuales en Microsoft Azure

Incluso cuando se utiliza una tecnología como Azure hay que seguir los mandatos de cumplimiento, por ejemplo, lograr que las máquinas virtuales en Azure se mantengan al día con los parches. La recomendación es utilizar el Centro de Seguridad de Azure para revisar el estado de las máquinas virtuales Windows y Linux. Como alternativa, se puede utilizar un software de parches de terceros para mantener los sistemas al día.

Examinar las nuevas plataformas tecnológicas

En esta misma línea es posible que tenga que examinar y aprobar nuevas plataformas tecnológicas antes de ponerlas en marcha. Por ejemplo, Intune, la nueva plataforma de Microsoft para gestionar y controlar las estaciones de trabajo. CIS dispone de una plantilla de auditoría para la implantación de Intune. Los elementos a revisar van desde la configuración hasta la autenticación.

Mejores prácticas en materia de contraseñas

Los puntos de referencia recomiendan configuraciones de contraseñas que están siendo cuestionadas y podrían causar más problemas con la gestión de las mismas. Como señala la página de auditoría de Tenable, la configuración recomendada de la antigüedad de las contraseñas en las plantillas de servidor y con Intune es de 60 días o menos. Sin embargo, investigaciones recientes han indicado que si se utiliza la autenticación multifactor junto con una mejor tecnología de autenticación, como Windows Hello u otras opciones biométricas, la caducidad de las contraseñas puede establecerse por encima de los 60 días e incluso puede desactivarse por completo. Es posible que su organización tenga que solicitar una excepción a ciertas plantillas de cumplimiento porque sus opciones hacen que su organización sea más segura, no menos.

Recursos normativos y de orientación

El Centro para la Seguridad en Internet te permite descargar PDF de orientación que van desde dispositivos Apple hasta dispositivos Cisco, pasando por cortafuegos e impresoras, una vez que proporciones una dirección de correo electrónico e información de la empresa. Recomiendo que, además de descargar las orientaciones, te registres para participar en la comunidad de referencia para que puedas hacer preguntas y participar en los debates. A menudo, en estas comunidades de referencia se encuentran participantes con ideas afines que pueden ayudarle en su proyecto de cumplimiento.

Si está investigando nuevas tecnologías y plataformas, estos documentos de referencia pueden ayudarle en sus proyectos de implantación. El CIS incluye orientación para tecnologías como Apple macOS 12.0, Apple macOS 11.0 Big Sur, Apple macOS 10.15 Catalina, Apple macOS 10.14 Mojave. Si acaba de buscar orientación sobre las mejores prácticas en el despliegue de escritorios Apple, estos documentos le ayudarán en su despliegue inicial y en la investigación de nuevas tecnologías.

El cumplimiento es un mandato necesario para casi todas las empresas de tamaño. Su objetivo es encontrar el equilibrio entre la elección de la orientación correcta y la adopción de nuevas tecnologías que aporten más seguridad a su empresa.