Los 20 principales controles de seguridad crítica del SANS Vs. el DSD australiano

¿Cómo compararía los 20 principales controles de seguridad crítica del SANS con las directivas de señales de defensa (Defence Signals Directorate) del gobierno australiano, en particular cuando se refieren a conjuntos de controles para evitar la explotación de aplicaciones comunes?

Tanto el SANS como el Defence Signals Directorate (DSD) de Australia ofrecen excelentes consejos y recursos para cualquier persona que esté involucrada con o preocupada por la seguridad informática. El SANS se dirige más a los profesionales de seguridad de TI, mientras que el sitio DSD se dirige a un público más amplio, incluidos los altos directivos y los usuarios domésticos, así como los profesionales de TI.

Los 20 Principales Controles de Seguridad Críticos del SANS se seleccionaron con base en el asesoramiento y las aportaciones de más de 100 agencias gubernamentales, empresas de seguridad y expertos forenses y pen testers que evalúan las comunidades de las infraestructuras críticas y bancarias. No tratan de resolver todos los problemas de seguridad imaginables, sino que se centran en las medidas necesarias para bloquear ataques conocidos y encontrar los que se cuelan a través de las defensas de la empresa. Esta filosofía de "la Ofensa Informa a la Defensa" utiliza el conocimiento específico de los ataques reales para que los administradores puedan concentrar sus recursos en la estrategia defensiva más costo-efectiva mediante la priorización de los riesgos. Esto ayuda a hacer frente a la frustración causada por muchas leyes regulatorias y de cumplimiento, que a menudo tienen cientos de requisitos de seguridad, pero no dan ningún peso a su importancia.

Muchos de los controles enumerados por SANS están disponibles como versiones freeware y de código abierto, pero proporcionan seguridad efectiva en términos de bloqueo de ataques. Los controles complementan muchos esquemas de seguridad y regímenes de cumplimiento y soportan el monitoreo continuo, la medición y automatización. El Departamento de Estado de E.U. reportó la reducción del riesgo medido en más de un 90% desde que implementó y automatizó estos controles en un programa de monitoreo continuo y mitigación.

El consejo de seguridad de la DSD es, a primera vista, mucho más simple y menos detallado que el proporcionado por SANS. Su lema es, "Patch Catch Match" (Parchear Atrapar Unir), que se desglosa de la siguiente forma: Parchee todas sus aplicaciones con actualizaciones; atrape el software malicioso con una lista blanca; una a las personas adecuadas con los accesos correctos.

Puede sonar simplista, pero es una estrategia de seguridad efectiva que supuestamente previene al menos el 85% de las técnicas de intrusión a las que responde DSD. También está muy bien explicado por DSD en términos simples. Conseguir el apoyo de la alta dirección es esencial para que funcione cualquier iniciativa de seguridad, y el sitio tiene un montón de recursos para ayudar a los directivos a entender la efectividad de implementa estas estrategias.

Recomiendo que los responsables de la seguridad de TI en su organización utilicen ambos tipos de recursos. El consejo de la DSD está lleno de recomendaciones de buenas prácticas y explicaciones profundas de expertos mundiales, y es gratis. La información de SANS puede ser más técnica y detallada, pero a menos que los usuarios entiendan de seguridad, siempre peleará una batalla perdida, así que utilice las publicaciones de DSD en su proceso de entrenamiento para que todos puedan ser parte de la protección.