Dominio del Modelo de Madurez de los Ocho Esenciales

Essential Eight (E8) se refiere a un conjunto de estrategias prioritarias de mitigación que desarrolló el Centro Australiano de Ciberseguridad (ACSC) para ayudar a las organizaciones a proteger sus redes informáticas conectadas a Internet contra diversas ciberamenazas. Estos controles de seguridad forman parte de las estrategias para mitigar incidentes de ciberseguridad de la Dirección de Señales de Australia (ASD), lo que representa un marco más amplio de mejores prácticas.

Entre las estrategias de Essential Eight, se incluyen las siguientes:

1. Aplicaciones de parches
2. Parches de sistemas operativos
3. Autenticación multifactor (MFA)
4. Restringir los privilegios administrativos
5. Control de aplicaciones
6. Restringir las macros de Microsoft Office
7. Reforzar las aplicaciones de usuario 
8. Copias de seguridad periódicas

¿Por qué Essential Eight es importante?

El marco Essential Eight es fundamental porque, en él, se abordan las áreas más eficaces de mitigación de cuestiones relacionadas con la ciberseguridad, lo que ayuda a las organizaciones a prevenir y detectar ciberamenazas a fin de responder a ellas. A partir de la aplicación de estas estrategias, las empresas australianas pueden reducir significativamente el riesgo de sufrir incidentes cibernéticos, proteger los datos confidenciales y garantizar la integridad y disponibilidad de sus sistemas.

Además, según el gobierno australiano, enfocarse proactivamente en estas tácticas es "más rentable en términos de tiempo, dinero y esfuerzo que tener que responder a un incidente de ciberseguridad a gran escala". Si se considera que el costo promedio de una violación de datos es de $4,88 millones, el más alto de la historia, a las organizaciones les conviene mucho más tomar medidas preventivas que tener que atacar a las amenazas posteriormente.

¿A quién se aplica el cumplimiento de E8?

Essential Eight no es un requisito universal. Sin embargo, en el caso de ciertas agencias y departamentos del gobierno australiano, los controles de seguridad E8 pueden representar una exigencia de las directivas, políticas o requisitos reglamentarios de este.

En estos casos, el cumplimiento de Essential Eight es necesario para el respeto de las normas y los reglamentos específicos relacionados con la ciberseguridad. Se anima a las organizaciones que no se encuentran incluidas en el marco de obligatoriedad a que adopten E8 como una mejor práctica para protegerse contra las ciberamenazas, si bien no están legalmente obligadas a hacerlo.

El modelo de madurez de Essential Eight (E8MM) de la ADS ofrece un enfoque estructurado para que las organizaciones apliquen progresivamente estrategias E8, con el objetivo de alcanzar un nivel adecuado de madurez en sus prácticas de ciberseguridad. Más sencillamente, es un marco con el cual es posible mejorar los controles de seguridad.

En el modelo, se clasifica la madurez en cuatro niveles, cada uno basado en la mitigación de grados crecientes de "tradecraft". Según la Dirección de Señales de Australia, "los actores maliciosos pueden exhibir diferentes niveles de tradecraft ante distintas operaciones contra diversos objetivos".

Por ejemplo, un ciberdelincuente capaz de utilizar tácticas avanzadas podría emplearlas contra un objetivo mientras aplica estrategias básicas contra otro. A su vez, las organizaciones australianas deben considerar qué nivel de madurez de Essential Eight corresponde a su entorno de riesgo específico, es decir, la probabilidad de un ataque y su daño potencial.

Aquí se ofrece un desglose de cada nivel y de lo que cada uno implica:

• Nivel de madurez cero: Indica debilidades en la postura general frente a la ciberseguridad, lo que hace que la organización sea susceptible de sufrir ataques. En pocas palabras, las organizaciones de este nivel carecen de las protecciones adecuadas para salvaguardar los datos confidenciales del acceso y la explotación no autorizados.
• Nivel de madurez uno: Se centra en mitigar las amenazas de los actores maliciosos mediante técnicas y herramientas básicas y ampliamente disponibles. En este nivel, se supone que los actores de amenazas se contentan con aprovechar exploits bien conocidos, como vulnerabilidades a las que no se les han aplicado parches.
• Nivel de madurez dos: Aborda las amenazas de ciberdelincuentes más sofisticados dispuestos a invertir tiempo y esfuerzo adicionales para eludir los controles de seguridad. Por ejemplo, pueden dirigirse activamente a las credenciales de inicio de sesión mediante técnicas de phishing e ingeniería social para eludir las débiles herramientas de autenticación de factores múltiples (MFA). En este nivel, también se supone que es probable que los actores maliciosos sean más selectivos a la hora de dirigirse a las víctimas, ya que prefieren a los usuarios con acceso privilegiado porque pueden recopilar información más sensible.
• Nivel de madurez tres: Su objetivo es defenderse de adversarios muy hábiles y con gran capacidad de adaptación que utilizan técnicas y tradecraft de nivel avanzado a fin de poner en peligro los sistemas. Por lo general, esto incluye a los ciberdelincuentes que están dispuestos a invertir tiempo, dinero y esfuerzo en eludir las protecciones más fuertes, además de que pueden hacerlo. Por ejemplo, pueden intentar burlar los sofisticados mecanismos de MFA a partir del robo de tokens de autenticación.

Así, mientras que el Nivel de madurez cero indica la postura de seguridad más débil, el tres representa la más fuerte.

Mejorar el nivel de madurez de Essential Eight

Independientemente de por dónde se empiece, alcanzar un estado de madurez cibernética adecuado es clave para salvaguardar los datos confidenciales. Estos son algunos pasos básicos con los cuales empezar:

1. Planificación: Establezca un nivel de madurez objetivo e identifique qué se necesita para alcanzarlo. Considere los tipos de información confidencial que procesa su organización y la probabilidad de que los actores de amenazas inviertan recursos en atacar sus sistemas. A partir de ahí, consulte el modelo de madurez de la ASD para comprender cuáles son los requisitos de control.
2. Evaluación: Analice las deficiencias para identificar las áreas en las que se debe mejorar. Esto ayudará a establecer a qué distancia en términos de ciberseguridad se encuentra de la línea de referencia del nivel objetivo.
3. Implementación: Implemente progresivamente cada estrategia de mitigación y asegúrese de que las excepciones se minimicen y documenten.
4. Seguimiento y revisión: Revise y actualice periódicamente sus estrategias de mitigación para mantener el cumplimiento y adaptarse a las nuevas amenazas. Si el panorama de riesgos cambia, evalúe si su nivel de madurez actual es suficiente.
5. Mejora continua: Esfuércese por alcanzar mayores niveles de madurez a partir del perfeccionamiento y la mejora de las estrategias a lo largo del tiempo.

El Centro Australiano de Ciberseguridad no recomienda una única solución para alcanzar el nivel de madurez tres, sino una serie de estrategias de mitigación y de controles de seguridad. ¿Por qué? Esto se debe a que se necesita contar con una combinación de procesos y herramientas para protegerse contra amenazas cada vez más avanzadas.

Desglosemos cada estrategia de mitigación en más detalle:

1. Control de aplicaciones
   Con esta medida de seguridad, se restringe la ejecución de software no autorizado o no aprobado, lo que impide que el malware y las aplicaciones potencialmente dañinas se ejecuten en los sistemas de una organización. Se trata de crear y aplicar una lista blanca de aplicaciones aprobadas, a fin de garantizar que solo pueda ejecutarse el software necesario y verificado.
   El control de aplicaciones es fundamental porque ayuda a bloquear la ejecución de código malicioso, lo que reduce el riesgo de sufrir infecciones por malware y limita la superficie potencial de ataque. Entre los controles de seguridad, pueden incluirse la creación de listas blancas de software, la aplicación de reglas ejecutables y la supervisión continua de la actividad de las aplicaciones.
2. Aplicación de parches en las aplicaciones
   Con el tiempo, los nuevos exploits pueden hacer que las aplicaciones sean más vulnerables que antes. Con esta estrategia de mitigación, se aborda ese riesgo, ya que se garantiza que todo el software se actualice con frecuencia con los últimos parches de seguridad. La aplicación periódica de parches puede implicar la exploración de vulnerabilidades para identificar errores de configuración y la gestión automatizada de parches a fin de actualizar los sistemas a su debido tiempo.
3. Configuración de macros de Microsoft Office
   Con las macros de Microsoft Office, los usuarios pueden configurar el funcionamiento de sus aplicaciones. Básicamente, son instrucciones de programación con las que se pueden automatizar tareas repetitivas. Aunque son útiles para aumentar la productividad, los delincuentes también utilizan las macros como vehículos para ejecutar el malware. Por ejemplo, pueden ocultar código malicioso en un archivo Excel.
   El hecho de deshabilitar o restringir las macros procedentes de fuentes no fiables puede impedir que las amenazas se instalen en su entorno, de forma de proteger los activos críticos de accesos no autorizados.
4. Fortalecimiento de aplicaciones de usuario
   Con el fortalecimiento de aplicaciones de usuario, se reduce la superficie de ataque, ya que se desactivan o restringen funciones innecesarias en ciertas aplicaciones, como Flash, Java y anuncios web, que los atacantes suelen explotar. El fortalecimiento es crucial porque, con él, se eliminan o limitan las funcionalidades que pueden aprovecharse para obtener acceso o ejecutar código malicioso.
   Fundamentalmente, esta medida de seguridad también es compatible con la gestión eficaz de claves y la public key infrastructure (PKI). Asegurar las aplicaciones que utilizan claves criptográficas puede ayudar a protegerlas con el hecho de verse expuestas o resultar mal utilizadas. Esto implica desactivar funciones innecesarias y aplicar normas de cifrado estrictas en las aplicaciones.
5. Restricción de privilegios administrativos
   Los privilegios administrativos se refieren a los derechos y permisos exagerados que se conceden a determinadas cuentas de usuario, lo que les permite realizar cambios en todo el sistema, instalar software, acceder a datos confidenciales y configurar los ajustes de seguridad. Aunque el acceso privilegiado es necesario para gestionar los sistemas informáticos, también representa un riesgo de seguridad importante si no se controla adecuadamente.
   Si un ciberdelincuente consigue acceder a una cuenta privilegiada, puede explotar los permisos para instalar malware, filtrar datos confidenciales, crear puertas traseras y desactivar los controles de seguridad, a fin de apropiarse del control efectivo de todo el sistema. Restringir y gestionar los privilegios administrativos es, por tanto, fundamental para minimizar el impacto potencial de este tipo de ataques.
   Si se usa un módulo de seguridad de hardware (HSM) con una aplicación de gestión de acceso privilegiado, es posible mejorar significativamente esta estrategia, ya que se gestionan y protegen de forma segura las claves criptográficas y las operaciones confidenciales. Los módulos de seguridad de hardware nShield funcionan junto con las aplicaciones PAM para evitar el secuestro de cuentas a partir de la aplicación de mejores prácticas de protección de credenciales privilegiadas como claves API, claves SSH, secretos DevOps y cuentas de administrador en la nube y de protección de las claves criptográficas que sustentan la seguridad de su infraestructura.
6. Parches de sistemas operativos
   El hecho de colocar parches en los sistemas operativos (SO) implica mantener el SO al día con las últimas actualizaciones de seguridad para corregir vulnerabilidades conocidas. Al igual que ocurre con la aplicación de parches en las aplicaciones, esta estrategia es esencial para protegerse de los exploits dirigidos a debilidades y errores de configuración conocidos. La aplicación periódica de parches en el sistema operativo es fundamental porque se trata de la columna vertebral de la infraestructura informática, y cualquier vulnerabilidad puede provocar brechas de seguridad generalizadas.
7. Uso de la autenticación de factores múltiples
   Con la autenticación de factores múltiples, se refuerzan los procesos de autenticación de los usuarios, ya que se requieren múltiples formas de verificación, como algo que el usuario conoce (contraseña) y algo que tiene (token de seguridad). También se puede solicitar algo propio del usuario, como cuando se usan el reconocimiento facial o las huellas dactilares para confirmar los identificadores biométricos.
   Esta estrategia es fundamental porque añade una capa adicional de seguridad, lo que hace que sea mucho más difícil que los atacantes obtengan acceso no autorizado incluso si las credenciales resultan comprometidas. La AMF resistente al phishing, como la autentitación adaptativa, puede hacer que el proceso sea aún más avanzado, ya que emite una verificación escalonada que se basa en el riesgo frente a determinadas condiciones.
8. Copias de seguridad periódicas
   Las copias de seguridad periódicas o diarias garantizan la restauración de los datos en caso de pérdida, corrupción o incidente de ciberseguridad. Esta estrategia implica crear y mantener copias de seguridad seguras y resistentes de los datos, las aplicaciones y la configuración del sistema, que son esenciales para la continuidad de la empresa. Con esta práctica, se ofrece una red de seguridad que permite a las organizaciones recuperarse de ataques de ransomware, fallos del hardware u otros sucesos catastróficos.

Desde la AMF hasta la gestión de accesos privilegiados y mucho más, Entrust ofrece una amplia variedad de soluciones para ayudar a implantar las estrategias Essential Eight y a proteger la información.