Cuando desarrollamos tanto proyectos basados en la adecuación o cumplimiento y debemos presentar Planes de tratamiento o simplemente necesitamos mejorar el entorno de Seguridad de la información, hay uno que no falla y casi aparece (o por lo menos en mis proyectos he debido proponerlo) y debemos considerar; el Hardening (Endurecimiento), como veremos a continuación, cuando establecemos el Hardening como una de las iniciativas de protección podemos definir diferentes actividades que, si las miramos de manera global, generaran un impacto positivo.

Antes que nada y para quienes no lo conozcan, el Endurecimiento de la Infraestructura o Hardening, es una medida de protección o plan de tratamiento, conforme sea el caso, que es ejecutada por el personal a cargo de la infraestructura «los fierros» y busca realizar ajustes con el objetivo de dificultar la realización de acciones maliciosas, o contar con las suficientes pistas en caso de que algo ocurra.

Cuando nace como una iniciativa de tecnología, es el propio personal de TI el que busca la manera de realizar la implementación, considerando las buenas prácticas (que hay muchas), por otro lado cuando se realiza por temas de cumplimiento o adecuación estas medidas vienen socializadas por los responsables de Seguridad de la información, y he aquí uno de los primeros beneficios, cuando proponemos el Hardening como responsables de Seguridad de la información tenemos la oportunidad de colaborar con TI generando sinergia.

Si bien existen diferentes formas de abordarlo son 4 puntos básicos los que debemos considerar y que vamos a identificar como oportunidades de implementación de controles listados en el Anexo A de la norma ISO/IEC 27001:2013.

1. Mínimo privilegio: se basa en permitir el acceso, tanto físico como lógico, únicamente a roles que justifiquen la necesidad de conocer, por lo cual viendo desde un punto de vista objetivo es en parte la implementación de la filosofía “cero confianza” (zero trust), podrían por ejemplo considerarse algunos procesos como:
   • Gestión de cuentas de usuario; A.9.1.2, A.9.4.2
   • Configuración de archivos y directorios; A.13.2.1
   • Configuraciones para protegerse de posibles ataques físicos; A.11.1
   • Configuraciones para protegerse de posibles ataques de hardware de la máquina; A.9.4.4
     • Upgrade de firmware
     • Configuración de la BIOS
   • Políticas para establecimiento de contraseñas complejas; A.9.3.1, A.9.4.3

2. Mínima exposición: componente que busca que los servicios o aplicaciones que se dan de alta en las organizaciones sean los mínimos requeridos para la operación, por ejemplo contemplamos:
   • Servicios
     • Definición de software baseA.12.5.1
     • Restricciones para instalación de software; A.12.6.2
     • Configuración de acceso remoto;

• • Protocolos
    • Definición de protocolos de Red y medios de comunicación con la red externa; A.13.1.2

3. Registro de eventos: cuando aplicamos endurecimiento a nuestra infraestructura, las actividades que se realizan con cada elemento deben estar registradas, por ello algunas de los componentes a considerar serán:
   • Implementación de Protocolo de Tiempo de Red (NTP); A.12.4.4
   • Gestión de auditorías de sistema; A.12.4.1

4. Actualizaciones: asegurar que los elementos de la infraestructura cuentan con los parches de seguridad provistos por el proveedor es el componente que considero final y de vital importancia, aspectos que se deben considerar son:
   • Implementación de servidor de actualizaciones
   • Gestión de vulnerabilidades; A.12.6.1

Si lo analizamos adecuadamente el concepto de Hardening es aplicable tanto a sistemas operativos, servicios o aplicaciones y como lo hemos visto en este corto planteamiento, es una medida de control que requerirá un tiempo para que madure y, adicionalmente, necesitaremos la colaboración posiblemente constante de roles de auditoria o control (A.18.2.3) para que se este tipo de proyectos o iniciativas sean parte del día a día de la organización.

Jorge Guerrón

Equipo Govertis