En este artículo vamos a compartir algunas experiencias reales en el armado de “Casos de Uso”, siempre con foco en el ‣.
Entendemos como “caso de uso” a un determinado escenario o comportamiento que queremos representar, con el objetivo (en el marco de este artículo) de identificar la actividad en los activos dentro de scope, que permita definir una acción como parte de los objetivos del equipo de seguridad. Por ejemplo: disparar un alerta, generar un trigger que active una acción secundaria, formar parte de un reporte, levantar un ticket, etc.
Si bien nos vamos a enfocar en el desarrollo de un “caso de uso”, es importante tener en cuenta que para que el ejercicio logre el éxito esperadod, hay que contar con los registros de auditoría necesarios. Es decir, con esas pistas que se generarán al llevar a cabo las acciones que forman parte del alcance del ejercicio.
<aside> ☎️ Si el activo dentro del alcance ya tuvo su configuración segura (hardening), es muy probable que no sea necesario nada más.
</aside>
Uno de los beneficios de realizar casos de uso es el tiempo que se gana en la configuración del monitoreo de seguridad, ya que representando (de manera controlada y simulada) las situaciones que se quieren monitorear, en los registros de auditoría se pueden encontrar más rápido los eventos que deban formar parte de la configuración de cualquier herramienta que se utilice como concentrador de logs, o en el mejor de los casos, como SIEM (capítulo aparte la discusión sobre las herramientas de SIEM).
Para el éxito de esta actividad es fundamental un acuerdo y trabajo en equipo con los distintos equipos técnicos que deben ser convocados, ya que según el tipo de caso, podríamos requerir la participación del administrador de red, el administrador de sistemas, un miembro del equipo de soporte, un administrador de base de datos, un arquitecto cloud, etc.
<aside> ⚡ El trabajo en equipo es fundamental para lograr el mejor nivel de seguridad posible. Si crees que el desarrollador o el administrador de sistemas es tu “enemigo” o que el usuario es “tonto”, vas por un camino que no te llevará a buenos resultados.
</aside>
Si bien los estándares/referencias internacionales como los #CISControls, ISO 27K, NIST Cybersecurity Framework, PCI-DSS, establecen requerimientos específicos respecto al monitoreo de ciberseguridad, la realidad nos demuestra que el incremento de los delitos 🔥 y la digitalización de los negocios, hace que sea imperante trabajar en este aspecto.
Recientemente el Banco Central de la República Argentina ha publicado una comunicación respecto a la respuesta y coordinación en materia de incidentes de seguridad.
Muchas veces surge el debate sobre tal o cual caso de uso, sin embargo, desde SECURETECH ⚡#HacerLasCosasBien, creemos que esto se debe adaptar al Programa de Ciberseguridad de cada uno. En nuestra experiencia, a medida que se fueron incrementando las capacidades y las medidas de seguridad, siempre ha sido más viable incrementar el número de casos de uso disponibles. También es importante tener presente que:
<aside> 👉 Activar casos de uso no es gratis, alguien tendrá que atender el alerta o revisar el reporte y eso significa, más trabajo.
</aside>
Una manera sana de alinear los casos de uso es cruzarlos con los requerimientos de las políticas de seguridad, es decir, controlar que se cumple lo que se ha definido (si, hacer lo que decimos que hacemos). Por lo tanto, el marco de políticas es una entrada clave para la definición de casos de uso y ser coherentes.
Por ejemplo:
Si definimos que un conjunto de personas en particular son las únicos autorizadas para crear cuentas de usuario, entonces un caso de uso podría ser "Creación de cuenta de usuario por persona no autorizada", generando un alerta en particular.
Para ello se debería contar con una política de control de accesos y un procedimiento de alta, baja y modificación de usuarios, junto con un procedimiento de revisión de logs, que defina el “que, cómo, quién, cúando, dónde”.
Los controles de seguridad, además de implementarlos, hay que ser capaz de demostrar con evidencia que funcionan, son monitoreados y se mejoran de manera contínua.
<aside> 🤔 ¿Vieron qué buenos que somos para pedirle a los demás lo que a veces no tenemos nosotros mismos? #UnaRemeraQueDiga
</aside>