CIS Control #17 y #20: Implementar un programa de capacitación y concientización sobre seguridad (17) y Pruebas de penetración y ejercicios de “Red Team” (20).

Para todos los roles funcionales en la organización (priorizando aquellos de misión crítica para el negocio y su seguridad), identifique los conocimientos, habilidades y habilidades específicas necesarias para respaldar la defensa de la empresa; desarrollar y ejecutar un plan integrado para evaluar, identificar brechas y remediar a través de políticas, planificación organizacional, capacitación y programas de concientización.

Pruebe la fuerza general de la defensa de una organización (la tecnología, los procesos y las personas) simulando los objetivos y acciones de un atacante.

CSC 17. Uno de los elementos más importantes en seguridad: el comportamiento humano y su impacto en la seguridad. Asegurarse de que las personas sepan lo que se espera de ellas mientras participan en el diseño, implementación, operación, uso y supervisión del sistema, es fundamental para las buenas prácticas de seguridad de la información. Los desarrolladores, los profesionales de operaciones de TI, los analistas de seguridad, los usuarios finales y los ejecutivos deben conocer las mejores prácticas de seguridad, las políticas corporativas y los procesos de notificación de incidentes. Si no han recibido la educación y la formación adecuadas, podrían poner en peligro inadvertidamente la seguridad de su entorno de TI de diversas formas.

CSC 20. Para determinar qué tan efectivas son sus estrategias y prácticas de seguridad, debe someter sus defensas a pruebas estrictas que imitan los ataques del mundo real a través de pruebas de penetración y ejercicios de “Red Team”.

Recomendaciones:

Las recomendaciones para el control CIS #17 incluyen:

  • Realice un análisis de brechas para ver qué habilidades necesitan los empleados para implementar los otros controles y qué comportamientos no están siguiendo. Utilice esta información para construir una hoja de ruta de capacitación y concientización de referencia para todos ellos.
  • Brinde capacitación para llenar el vacío de habilidades. Si es posible, utilice personal de mayor jerarquía para impartir la formación. O bien, pida a profesores externos que proporcionen esta formación utilizando ejemplos que sean directamente relevantes. Si tiene que capacitar a un pequeño número de personas, utilice conferencias o capacitación en línea para llenar estos vacíos.
    Implementar un programa de concientización sobre seguridad que:
  • Se centre en los métodos comúnmente utilizados de intrusión que pueden bloquearse mediante acciones individuales
  • Se entregue en breves módulos en línea, convenientes para los empleados.
  • Se actualice con frecuencia (al menos una vez al año) para representar las últimas técnicas de ataque
  • Que sea obligatorio que todos los empleados lo completen al menos una vez al año.
  • Que sea supervisado.
  • Que incluya un mensaje personal del equipo de liderazgo senior. La participación en la capacitación y la responsabilidad a través de métricas de desempeño.

Las recomendaciones para el control CIS #20 incluyen:

  • Llevar a cabo pruebas de penetración externas e internas periódicas para identificar vulnerabilidades y vectores de ataque que se pueden utilizar para explotar los sistemas empresariales con éxito. Las pruebas de penetración deben realizarse desde fuera del perímetro de la red, así como desde dentro de sus límites.
  • Todas las cuentas de usuario o sistema utilizadas para realizar pruebas de penetración deben controlarse y supervisarse para asegurarse de que solo se utilicen con fines legítimos y se eliminen o restablezcan su funcionamiento normal una vez finalizadas las pruebas.
  • Realizar ejercicios periódicos de “Red Team” para probar la preparación de la organización en identificar y detener ataques o para responder de manera rápida y efectiva.

Herramientas que pueden ayudar

  1. Sophos Phish Threat

Con más de 30 módulos formativos de concienciación sobre la seguridad que abarcan temas tanto de cumplimiento como de seguridad. Sophos Phish Threat integra la formación y la realización de pruebas en campañas sencillas y fáciles de usar que ofrecen formación automatizada inmediata a los empleados según sea necesario.

  1. Ridgesecurity

Ridge Security permite automatizar los ethical hacking con RidgeBot®, un robot de pentest automatizado para lograr una gestión de vulnerabilidades basada en el riesgo. Los RidgeBot® actúan como un atacante humano, localizan implacablemente los exploits y documentan sus hallazgos. Los RidgeBot®, a diferencia de los humanos, vienen armados con una dinámica de estrategias de ataque que prueban antes de pasar al siguiente objetivo. Los RidgeBot® hacen que las pruebas de penetración sean asequibles y se ejecuten a escala empresarial.