Los 10 principios de la seguridad continua

1. Asigne el menor privilegio posible: limite los privilegios al mínimo para el contexto. Los amplios privilegios permiten el acceso malicioso o accidental a los recursos protegidos. Como parte de las canalizaciones de seguridad, debemos validar que cada recurso solo tenga acceso al mínimo necesario para operar.
2. Responsabilidades separadas: separe y compartimente las responsabilidades y los privilegios para limitar el impacto de los ataques exitosos y haga que los ataques sean menos atractivos al probar no solo que un intruso no puede ingresar, sino también lo que se puede lograr una vez que ingresa.
3. Confíe con cautela: suponga que las entidades desconocidas no son de confianza, tenga un proceso claro para establecer la confianza y valide esa confianza durante su proceso de implementación.
4. Las soluciones más simples posibles: diseñe activamente para lograr la simplicidad, evite los modelos de falla complejos, el comportamiento implícito y las características innecesarias. La seguridad requiere una comprensión del diseño y la complejidad rara vez se comprende. Las soluciones más simples requieren menos pruebas.
5. Audite eventos confidenciales: registre todos los eventos significativos de seguridad en un almacenamiento resistente a manipulaciones, proporcione un punto de monitoreo y asegúrese de que sus mecanismos de registro se prueben como parte de su canal de implementación.
6. Falle de forma segura y use valores predeterminados seguros: fuerce cambios en los parámetros sensibles a la seguridad. Piense en las fallas, para estar seguro pero recuperable. Las contraseñas, los puertos y las reglas predeterminados son "puertas abiertas". Los estados de falla y reinicio a menudo son "inseguros". Asegúrese de que sus canalizaciones automaticen y validen el cambio de valores predeterminados.
7. Nunca confíe en la oscuridad: suponga que los atacantes tienen un conocimiento perfecto de su sistema, esto obliga a un diseño de sistema seguro. Ocultar cosas es difícil. Alguien los va a encontrar, accidentalmente si no a propósito. El uso de estándares conocidos abre una gama más amplia de automatización de auditorías de seguridad.
8. Implemente una defensa en profundidad: no confíe en un solo punto de seguridad, asegure todos los niveles, detenga la propagación de fallas en un nivel. Los sistemas son atacados, ocurren violaciones y se cometen errores. Cada capa debe tener su propia automatización de seguridad basada en su propio modelo de amenazas.
9. Nunca invente tecnología de seguridad: no cree su propia tecnología de seguridad, use siempre un componente probado. La tecnología de seguridad es difícil de crear y evitar las vulnerabilidades es difícil, lo que hace que sea más difícil de probar.
10. Encuentre el eslabón más débil: encuentre el eslabón más débil en la cadena de seguridad y fortalézcalo. Actualice sus modelos de amenazas y automatización de seguridad cuando lo haga.

En conclusión, la seguridad continua funciona tomando los principios fundamentales de "seguridad por diseño" y aplicándolos a sus canalizaciones de integración continua/entrega continua a través de la automatización de pruebas, alertas y monitoreo. Es un camino largo y, a veces, difícil, pero que cosecha muchos beneficios.

Más información 

 

CyberRes es la unidad de negocio de Micro Focus que busca ayudar a los clientes a mejorar su ciberseguridad y acelerar la confianza, la fiabilidad y la supervivencia en tiempos de adversidad, crisis y volatilidad empresarial. ¿Quieres conocer más sobre CyberRes? Puedes consultar este enlace