Principios de diseño de seguridad
Estos principios admiten estas tres estrategias clave y describen un sistema de arquitectura segura hospedado en centros de seguridad locales o en la nube (o una combinación de ambos). La aplicación de estos principios aumentará drásticamente la probabilidad de que la arquitectura de seguridad mantenga las garantías de confidencialidad, integridad y disponibilidad.
Cada recomendación de este documento incluye una descripción de por qué se recomienda, lo que se corresponde a uno o más de estos principios:
Alinee las prioridades de seguridad con la misión: los recursos de seguridad casi siempre están limitados, por lo que es recomendable priorizar los esfuerzos y las garantías mediante la alineación de la estrategia de seguridad y los controles técnicos en la empresa mediante la clasificación de datos y sistemas. Los recursos de seguridad deben centrarse primero en las personas y los recursos (sistemas, datos, cuentas, etc.) con un valor empresarial intrínseco y en los que tienen privilegios administrativos sobre los recursos críticos para la empresa.
Cree una estrategia completa: una estrategia de seguridad debe tener en cuenta las inversiones en los controles de seguridad, los procesos y la referencia cultural en todos los componentes del sistema. La estrategia también debe tener en cuenta la seguridad del ciclo de vida completo de los componentes del sistema, incluida la cadena de suministro del software, el hardware y los servicios.
Impulsar la simplicidad: la complejidad en los sistemas conlleva un aumento de la confusión humana, los errores, los errores de automatización y la dificultad de recuperarse de un problema. Favorezca las arquitecturas e implementaciones simples y coherentes.
Diseño para atacantes: el diseño y la priorización de seguridad deben centrarse en la forma en que los atacantes ven su entorno, que a menudo no es la forma en que lo ven los equipos de TI y de las aplicaciones. Informe sobre el diseño de seguridad y realice pruebas de penetración para simular ataques de una sola vez. Use equipos rojos para simular grupos de ataques persistentes a largo plazo. Diseñe la estrategia de segmentación de la empresa y otros controles de seguridad para contener el movimiento lateral del atacante dentro de su entorno. Mida y reduzca activamente la potencial superficie expuesta a ataques a la que se dirigen los atacantes en busca de vulnerabilidades en los recursos del entorno.
Aproveche los controles nativos: favorezca los controles de seguridad nativos integrados en los servicios respecto a los controles externos de terceros. El proveedor de servicios mantiene y admite los controles de seguridad nativos, lo que elimina o reduce el esfuerzo necesario para integrar herramientas de seguridad externas y actualizar esas integraciones a lo largo del tiempo.
Use la identidad como control de acceso principal: el acceso a los recursos de las arquitecturas en la nube se rige, principalmente, por la autenticación basada en identidades y la autorización para los controles de acceso. La estrategia de control de cuentas debe basarse en sistemas de identidad para controlar el acceso, en lugar de basarse en controles de red o en el uso directo de claves criptográficas.
Responsabilidad: diseñe la propiedad clara de los recursos y las responsabilidades de seguridad y asegúrese de que las acciones sean rastreables para la imposibilidad de rechazo. También debe asegurarse de que se haya concedido a las entidades el menor privilegio necesario (a un nivel de granularidad administrable).
Adopción de la automatización: la automatización de las tareas reduce la probabilidad de errores humanos que pueden generar riesgos. Por lo tanto, tanto las operaciones de TI como los procedimientos recomendados de seguridad se deben automatizar tanto como sea posible para reducirlos y garantizar al mismo tiempo que expertos humanos regulen y auditen la automatización.
Céntrese en Information Protection: la propiedad intelectual suele ser uno de los repositorios más importantes del valor de la organización y estos datos deben protegerse en cualquier lugar, incluidos los servicios en la nube, dispositivos móviles, estaciones de trabajo o plataformas de colaboración (sin impedir la colaboración que permita la creación de valores empresariales). La estrategia de seguridad se debe crear en torno a la clasificación de la información y los recursos para habilitar la priorización de seguridad, aprovechar la sólida tecnología de cifrado y control de acceso y satisfacer las necesidades empresariales como la productividad, la facilidad de uso y la flexibilidad.
Diseño de resistencia: su estrategia de seguridad debe asumir que los controles devolverán errores y se diseñarán en consecuencia. Para conseguir que la posición de seguridad sea más resistente, se requieren varios enfoques que funcionen en combinación:
Inversión equilibrada: invierta en las funciones principales que abarcan el ciclo de vida completo del marco de ciberseguridad de NIST (identificar, proteger, detectar, responder y recuperar) para asegurarse de que los atacantes que consigan evadir los controles preventivos pierdan el acceso con las funcionalidades de detección, respuesta y recuperación.
Mantenimiento continuo: mantenga los controles de seguridad y las garantías para asegurarse de que no decaigan con el tiempo con cambios en el entorno o sin atender.
Vigilancia continua: garantice que las anomalías y las posibles amenazas que podrían suponer riesgos a las organizaciones se tratan de manera puntual.
Defensa en profundidad : considere el uso de controles adicionales en el diseño para mitigar el riesgo de la organización en caso de que se produzca un error en un control de seguridad principal. Este diseño debe tener en cuenta la probabilidad de que se produzca un error en el control principal, el riesgo potencial de la organización si lo hace y la eficacia del control adicional (especialmente en los casos probables en los que se produzca un error en el control principal).
Privilegios mínimos: se trata de una forma de defensa en profundidad para limitar el daño que puede realizar una cuenta. Se debe conceder a las cuentas la mínima cantidad de privilegios necesarios para realizar las tareas asignadas. Restrinja el acceso por nivel de permisos y por tiempo. Esto ayuda a mitigar el daño de un atacante externo que obtenga acceso a la cuenta o a un empleado interno que, de forma inadvertida o deliberada (por ejemplo, un ataque interno), ponga en peligro las garantías de seguridad.
Base de referencia y prueba comparativa: para asegurarse de que la organización tiene en cuenta el pensamiento actual de orígenes externos, evalúe su estrategia y configuración con respecto a las referencias externas (incluidos los requisitos de cumplimiento). Esto ayuda a validar los enfoques, minimizar el riesgo de un descuido involuntario y el riesgo de multas punitivas por el incumplimiento.
Impulso de la mejora continua: los sistemas y las prácticas existentes deben evaluarse y mejorarse periódicamente para garantizar que son y siguen siendo eficaces contra los atacantes que mejoran continuamente y la transformación digital continua de la empresa. Esto debe incluir los procesos que integran de forma proactiva los aprendizajes de los ataques reales, las pruebas de penetración realistas y las actividades del equipo rojo, así como otros orígenes, según disponibilidad.
Asunción de confianza cero: al evaluar las solicitudes de acceso, todos los usuarios, dispositivos y aplicaciones solicitantes se deben considerar como de no confianza hasta que su integridad se pueda validar adecuadamente. Las solicitudes de acceso se deben conceder condicionalmente según el nivel de confianza de los solicitantes y la confidencialidad del recurso de destino. Se deben realizar intentos razonables para ofrecer medios para aumentar la validación de confianza (por ejemplo, solicitar la autenticación multifactor) y corregir los riesgos conocidos (cambiar las contraseñas filtradas, corregir las infecciones de malware) para admitir los objetivos de productividad.
Aprendizaje e incentivación de la seguridad: los seres humanos que diseñan y operan las cargas de trabajo en la nube forman parte de todo el sistema. Es fundamental asegurarse de que estas personas estén educadas, informadas e incentivadas para admitir los objetivos de seguridad del sistema. Esto es especialmente importante para las personas con cuentas que tienen concedidos amplios privilegios administrativos.