July 10, 2009

Protección de la empresa

Monitoreo continuo basado en estándares de

controles de seguridad automatizados en
toda la empresa

Las mejores prácticas de la seguridad de la información se trasladan de

procesos estáticos de certificación y acreditación (C&A), con auditorías
poco frecuentes, a un sistema que recurre al monitoreo continuo de impor-
tantes controles de seguridad. Hoy muchos expertos en seguridad
recomiendan el monitoreo casi en tiempo real de configuraciones de TI y
otros controles de seguridad.1 Otra mejor práctica importante de TI, ITIL,
recomienda que las organizaciones creen un repositorio central o CMDB

1
Los recientes lineamientos de auditoría de consenso (CAG, por sus siglas en
inglés), creados por el Instituto SANS, la Agencia Nacional de Seguridad, US-
CERT y otras organizaciones federales y privadas, hacen hincapié en la necesi-
dad de un monitoreo automatizado continuo de controles de seguridad. http://
www.sans.org/cag/guidelines.php
Asimismo, los nuevos lineamientos NIST para C&A, titulados Guía para la
autorización de la seguridad de los sistemas de información federales (Guide
for Security Authorization of Federal Information Systems) SP800-37 (borra-
dor) hace hincapié en el monitoreo continuo de controles que cambian fre-
cuentemente. Aquí encontrará los detalles: http://csrc.nist.gov/publications/
drafts/800-37-Rev1/SP800-37-rev1-IPD.pdf, consulte la Sección 2.9, Moni-
toreo continuo (Continuous Monitoring).

1
 Las configuraciones son importantes

(base de datos de administración de configuraciones), que les dará una

vista empresarial de todos sus activos de TI y sus configuraciones.2 Estas
dos tendencias dan como resultado recomendaciones e implementaciones
de sistemas automatizados en toda la empresa para reunir datos detallados
de la configuración de la seguridad sobre una base casi en tiempo real en
un único repositorio central. Con base en la experiencia de Belarc con
grandes sistemas empresariales de administración de configuraciones,
sugerimos que estos objetivos se pueden cumplir de la mejor manera a
través de un sistema automatizado basado en puntos extremos instrumenta-
dos y una arquitectura basada en WAN.

Las configuraciones son importantes

La Junta Directiva de Garantía de la Información de la Agencia Nacional
de Seguridad de Estados Unidos (NSA) se ha avocado por muchos años a
lograr una mejor administración de las configuraciones de TI para proteger
los activos de TI de manera efectiva. La NSA descubrió a través del análi-
sis de los resultados de sus pruebas Red Team y Blue Team que las mismas
debilidades en la seguridad ocurrían una y otra vez. La mayoría de estas
debilidades eran el resultado de prácticas deficientes de administración de
las configuraciones.3

Basándose en estos hallazgos, la NSA ha trabajado con organizaciones pri-

vadas y gubernamentales para codificar estos parámetros de configuración
en pruebas de referencia de seguridad. Esto ha dado como resultado las
pruebas de referencia CIS (Center for Internet Security, Centro para la
Seguridad de Internet) y la FDCC (Federal Desktop Core Configuration,
Configuración Federal Central de PCs de Escritorio) del NIST (National
Institute of Standards and Technology, Instituto Nacional de Estándares y

2 ITIL enfatiza que es importante para una organización adoptar una vista empre-
sarial de sus activos de TI. Esto contrasta con la práctica común actual que se
basa en herramientas y procedimientos manuales implementados por adminis-
tradores locales. http://en.wikipedia.org/wiki/ITIL
3
Establecer y monitorear configuraciones con base en pruebas de referencia de
consenso es importante para la seguridad de TI porque es una forma proactiva
de evitar muchos ataques exitosos. La Agencia Nacional de Seguridad de Esta-
dos Unidos ha descubierto que la configuración de computadoras con parámet-
ros de seguridad apropiados bloquea más del 90% de las amenazas existentes.
(Boletines IA "Pruebas de referencia de seguridad: un estándar de oro". Haga
clic aquí para solicitar una copia, http://iac.dtic.mil/iatac/index.html.)

2 Protección de la empresa
Estado actual

Tecnología de Estados Unidos). La NSA ha sido también parte en los Con-

sensus Audit Guidelines (CAG), que enfatizan el monitoreo continuo de
configuraciones de seguridad y otros controles.

La seguridad basada en perímetros no es suficiente para proteger la

empresa. Expertos en seguridad de TI han sabido desde hace algún tiempo
que los firewalls y ruteadores no son suficientes para proteger sus activos
de TI.4 Organizaciones privadas y gubernamentales dependen de contratis-
tas y socios externos que se conectan a recursos alojados en sus redes.
Muchas de estas relaciones con socios se sustentan en conexiones VPN, las
cuales no son visibles para dispositivos IDS o IPS. Dispositivos de
almacenaje USB encuentran también su camino dentro del perímetro de la
red. Hay un uso cada vez mayor de laptops que operan dentro y fuera del
perímetro de parte de empleados y contratistas. Todos estos factores han
provocado un daño importante.

Estado actual
Hoy día, muchas organizaciones y el gobierno federal de Estados Unidos
recurren casi exclusivamente a un proceso de certificación y acreditación
(C&A) para proteger sus sistemas de TI. Un ejemplo de esto es el proyecto
de Ley Federal de Administración de la Seguridad de la Información
(FISMA) supervisado por OMB de Estados Unidos e implementado por
NIST.

Las revisiones de C&A se suelen llevar a cabo sobre una base muy poco
frecuente, como cuando se inicia un sistema de TI y luego sobre una base
anual o más larga. Puesto que muchos de estos controles, como los de
FISMA, están basados en procesos, tiene poco sentido revisarlos más de
una vez al año. Sin embargo, desde un punto de vista operacional, ¿qué
sucede entretanto? En general, los administradores locales corren explora-
dores en las redes que tienen a su cargo. A menudo, estos exploradores
requieren esfuerzo manual y se llevan a cabo de manera poco frecuente,
cuando mucho cada semana, y a menudo cada mes o cada trimestre. Estos
resultados de exploradores locales tampoco suelen estar disponibles en

4
The Jericho Forum, foro de liderazgo de TI fundado por compañías internacio-
nales de la lista Fortune 500, ha venido analizando este problema. The Jericho
Forum incluso le ha dado un nombre, "desperimetrización". Para conocer los
detalles, visite el sitio: http://www.opengroup.org/jericho/

Protección de la empresa 3
 Protección de la empresa

toda la empresa y, por consiguiente, no hay una forma concreta de conocer

el verdadero estado de vulnerabilidad de la empresa.5

Protección de la empresa

Controles Debido a estas realidades, las organizaciones recomiendan lo siguiente

automatizados, en toda para proteger la empresa en la actualidad:
la empresa, continuos,
basados en estándares • Un conjunto de controles más limitado que se puede automatizar es
mucho más efectivo que un número elevado de controles que se deben
implementar y auditar manualmente. Los controles manuales deben
estar limitados a los que se puedan auditar de manera segura y fre-
cuente.6
• Es importante conocer las configuraciones detalladas de software, hard-
ware y seguridad en toda la empresa.7
• Datos de configuración y del estado de control deben estar disponibles
en una base casi en tiempo real. La palabra que se usa a menudo es con-
tinuo. Qué tan continuo está sujeto a debate, pero definitivamente una
vez al mes, cada trimestre o una vez al año no es suficiente.8
• La mejor forma en que la empresa puede lograr estas metas es utilizar
sistemas y procesos automatizados basados en estándares.9

Para lograr la meta de que un sistema empresarial automatizado monitoree

continuamente un conjunto de controles se requerirán un enfoque y una

5 Por ejemplo, las Fuerzas Armadas de Estados Unidos requieren que los resulta-
dos de los exploradores locales se carguen en su sistema de Recursos de
seguimiento de activos y vulnerabilidades (Asset & Vulnerability Tracking
Resource, A&VTR). Sin embargo, esta carga de información está basada en la
ejecución manual de los exploradores locales y luego en cargar manualmente
los resultados en el sistema A&VTR.
6 Por ejemplo, los lineamientos de auditoría de consenso (CAG), cuyos detalles
se pueden ver aquí: http://www.sans.org/cag/guidelines.php
7
Por ejemplo, la lista de procesos de CAG y NIST FDCC, cuyos detalles se
pueden ver aquí: http://nvd.nist.gov/fdcc/index.cfm
8
Por ejemplo, la Guía de CAG y NIST para autorización de seguridad de siste-
mas federales de información, SP800-37 (borrador), cuyos detalles se pueden
ver aquí: http://csrc.nist.gov/publications/drafts/800-37-Rev1/SP800-37-rev1-
IPD.pdf

4 Protección de la empresa
Agentes o exploradores

arquitectura de sistema muy diferentes de los comunes en la mayoría de las

herramientas de la actualidad.

Agentes o exploradores
El uso de agentes ha sido complicado tradicionalmente para el personal de
seguridad de TI. En general, el personal de seguridad no tiene acceso a las
máquinas anfitrionas que se requieren para instalar un agente. Por desgra-
cia, recurrir a exploradores para determinar las vulnerabilidades de la
empresa se está volviendo una operación cada vez más difícil y manual.
Los exploradores se basan en el descubrimiento de puertos abiertos y en
deducir qué servicios y aplicaciones se ejecutan en las máquinas anfitrio-
nas. Este método por sí solo produce a menudo muchos errores como falsos
positivos o parámetros de configuración faltantes. Si la exploración puede
obtener permisos de administrador en el anfitrión, y acceder al registro
local y a servicios para compartir archivos, puede determinar las aplica-
ciones y vulnerabilidades con mayor precisión.

Sin embargo, en la actualidad muchas máquinas anfitrionas utilizan fire-

walls locales que hacen mucho más difícil explorar la máquina anfitriona.
Asimismo, muchas organizaciones apagan sus computadoras fuera de
horas hábiles. Esto significa que la exploración se debe programar en tiem-
pos más limitados, cuando las máquinas están encendidas y cuando las
redes no están ocupadas con el tráfico normal.10 Asimismo, más organiza-
ciones utilizan laptops, y cuando estas máquinas no están conectadas a la
red, no se pueden explorar.

Como las prácticas normales de las redes limitan la mayor parte del tráfico
a LANs locales, los exploradores sólo pueden examinar el segmento de red
local a menos que se les concedan derechos de atravesar los firewalls y

9
El programa SCAP de NIST incluye muchos estándares de enumeración de la
seguridad de TI, como CVE (vulnerabilidades y exposiciones comunes, Com-
mon Vulnerabilities and Exposures), CPE (enumeración de plataforma común,
Common Platform Enumeration) y otros. Para conocer los detalles, consulte la
GUÍA PARA ADOPTAR Y USAR EL PROTOCOLO DE AUTOMA-
TIZACIÓN DEL CONTENIDO DE SEGURIDAD (SECURITY CONTENT
AUTOMATION PROTOCOL, SCAP) (BORRADOR) borrador de NIST Draft
SP800-117.
10 Aunque Wake-On-LAN puede ser de utilidad, la coordinación de su uso para el
monitoreo de la empresa no resulta práctico.

Protección de la empresa 5
 Agentes o exploradores

ruteadores. La configuración de estos derechos requiere aún más configu-

raciones manuales. Asimismo, los exploradores pueden tener problemas al
identificar de forma única los sistemas anfitriones a través de múltiples
exploradores.11

El resultado final es que hoy los exploradores requieren mucho esfuerzo

manual en su configuración, programación y ejecución. No son ideales
para un entorno empresarial automatizado.

Los agentes tampoco son una solución mágica, pero en el entorno empre-
sarial actual ofrecen algunos beneficios críticos y únicos. Como el agente
se ejecuta en la máquina anfitriona como servicio, puede ser muy preciso
con respecto a la configuración del sistema anfitrión, lo que da como resul-
tado un menor número de falsos positivos o parámetros de configuración
faltantes. Asimismo, si el sistema anfitrión está encendido o conectado a
una red, puede pasar desapercibido por el agente. El agente puede estar dis-
eñado para cargar automáticamente sus resultados cuando el sistema
anfitrión está encendido o cuando tiene una conexión de red.

Los agentes tampoco están limitados a un segmento de la red. Dependiendo

de los protocolos que usa el agente, éstos se pueden cargar automática-
mente a un repositorio central de la empresa sin requerir ningún permiso
especial del ruteador o del firewall para implementarse.12 De hecho, los
agentes que utilizan un protocolo basado en WAN no necesitan reconfigu-
rarse aún cuando se hagan cambios a la topología de la red.13

Para que sean de utilidad, las empresas necesitan ver los datos de configu-
ración resultantes basados en su estructura organizacional interna. Por
ejemplo, puede ser por unidades organizacionales (OUs) de Active Direc-

11
Los agentes pueden identificar de manera única los sistemas anfitriones utili-
zando el UUID (Universally Unique Identifier, identificador universalmente
único) en la motherboard del sistema anfitrión.
12 En general se admiten protocolos http o https (puerto 80 o 443) en la red interna
de la empresa sin que se requieran cambios a la configuración. Naturalmente, si
los agentes utilizan la intranet de la organización, necesitan estar bien maneja-
dos para que no interfieran con el tráfico normal de la red. Esto significa un
tamaño compacto y la posibilidad de programarse de forma aleatoria de modo
que no afecte a la red.
13 Por ejemplo, si los rangos de direcciones IP cambian en las subredes, esto
afectará en general los exploradores, aunque no tendrán impacto en los agentes
que usan un protocolo WAN.

6 Protección de la empresa
Agentes o exploradores

tory, subredes IP, dominios o combinaciones de éstos y otros medios. Esto

se puede lograr fácilmente por medio de la información recopilada por un
agente instalado, aunque puede ser más difícil para los exploradores.

Los agentes necesitan instalarse en los sistemas anfitriones, pero esto suele
poder hacerse de manera automática empleando cualquier herramienta de
instalación, como SMS, Active Directory IntelliMirror, PSExec o muchas
otras. Una vez instalado el agente, no se requiere administración adicional.

Consulte abajo un gráfico que describe el debate del agente versus la

exploración.

Agentes o exploradores
El personal de seguridad de TI ha utilizado exploradores 
Uso histórico históricamente, mientras que el personal de operaciones de 
TI ha utilizado agentes.

Para grandes empresas u organizaciones con sitios 
distribuidos, los agentes ofrecen más automatización que los 
exploradores. Una vez instalados, los agentes se ejecutan 
Automatización automáticamente, mientras que los exploradores requieren 
esfuerzos manuales en su programación, configuración para 
ejecución con privilegios administrativos, permisos a través 
de firewalls y ruteadores, etc.

Los exploradores suelen requerir mucho ancho de banda y se 
ejecutan manualmente. No son propicias para el monitoreo 
Monitoreo  continuo de configuraciones. Los agentes se ejecutan como 
continuo un servicio en la máquina anfitriona y se pueden configurar 
para que descubran automáticamente y carguen datos de 
configuración de manera regular.

Los exploradores suelen estar limitadas al segmento de red 
local. La información resultante se debe enviar entonces a un 
servidor local y luego se debe subir a una base de datos 
A nivel de toda  central. Esto requiere a menudo esfuerzos manuales. Los 
la empresa agentes pueden estar diseñados para ejecutarse en la 
intranet de la organización y cargar automáticamente sus 
datos de configuración del anfitrión en un repositorio central 
para toda la empresa.

Protección de la empresa 7
 Arquitectura basada en WAN

Agentes y Para hacer esto aún más interesante, existen hoy agentes que son también
exploradores exploradores.14 En muchas formas, esto permite tener lo mejor de ambos
mundos, es decir, explorar todos los dispositivos en la red como ruteadores,
impresoras en red y máquinas infiltradas, al tiempo de mantener las car-
acterísticas de automatización del agente.

Arquitectura basada en WAN

La mayoría de los productos de vulnerabilidad y evaluación de la seguridad
se apoyan en exploradores de red locales. Los exploradores ponen a prueba
los puertos de los sistemas anfitriones e infieren aplicaciones y vulnerabili-
dades o bien tienen derechos administrativos en los sistemas anfitriones
para comprobar parámetros de configuración del registro y ejecutar scripts.
Esta información es muy útil para los administradores locales porque les
ayuda a proteger los sistemas que tienen a su cargo.

Sin embargo, para obtener una vista a nivel de toda la empresa del estado
de la seguridad, los resultados de estos exploradores locales se deben
enviar a un sitio central. Si la empresa es grande, a menudo se envían a
servidores regionales, que luego se agregan en un sitio central. La eje-
cución de los exploradores y la carga de los resultados pueden implicar
esfuerzos manuales considerables. Además, es posible que el repositorio
resultante no esté en un formato de base de datos relacional estándar, de
modo que puede ser difícil de consultar o de integrar con otros sistemas.

Esta arquitectura de explorador jerárquico se ilustra en la Figura 1 a contin-

uación.

14 El sistema BelManage 2009 de Belarc utiliza agentes que pueden explorar tam-
bién sus segmentos de red local, o subredes. Uno de los agentes de cada subred
es seleccionado automáticamente para realizar la exploración local y envía sus
resultados al servidor central junto con sus datos de configuración normales. El
servidor agrega los datos de la subred para toda la empresa.

8 Protección de la empresa
 Arquitectura basada en WAN

HQ Server Country 1 Server Netw ork 1 Scanner

Netw ork 2 Scanner

No remote laptops
ZZ ZZ ZZ
Country 2 Server

∗∗∗
No pow ered off hosts

FIGURE 1. Arquitectura normal de explorador jerárquico

Arquitectura basada en En contraste, una arquitectura basada en WAN funciona con agentes livia-
WAN nos de recopilación de datos que utilizan la intranet de la empresa y requi-
ere sólo un servidor y una base de datos (vea la Figura 2). Los agentes se
comunican directamente con el servidor, prescindiendo de la necesidad de
una jerarquía de servidores y de la replicación de bases de datos.

Esta arquitectura permite una fácil implementación y poca, si acaso alguna,

administración local. Los agentes se ejecutan como un "servicio" y por lo
tanto no necesitan que un usuario inicie sesión en la computadora para
operar. Las máquinas desconectadas, como máquinas remotas y laptops, se
comunicarán automáticamente con el servidor la próxima vez que se
conecten a la red.

Protección de la empresa 9
 Arquitectura basada en WAN

Div./Country Workstations/Laptops/Servers

∗∗∗
HQ Server

Intranet

∗∗∗

FIGURE 2. Arquitectura basada en WAN

Mediante la publicación de información en el servidor como reportes basa-

dos en Web, esta arquitectura permite también a administradores locales y
a la administración regional y central compartir y acceder fácilmente a la
información.15 El contenido de los reportes se adapta automáticamente con
base en el inicio de sesión del usuario, de modo que cada usuario sólo verá
información relevante a su área de responsabilidad.

Escalabilidad en toda Un sistema basado en WAN correctamente diseñado con puntos extremos
la empresa instrumentados, o agentes, puede escalar al tamaño de cualquier empresa.16
Lo que ayuda a hacer esta arquitectura exitosa para la empresa son los
siguientes elementos:
• Uso de la intranet existente de la empresa, que suele ser dominante en
toda la organización. Esto permite que los datos de configuración se
agreguen automáticamente en un servidor y repositorio central sin la
necesidad de configurar manualmente firewalls y ruteadores.

15
Se cuenta con soporte para inicios de sesión seguros CAC/PKI y operan con los
estándares CAC/PKI del Departamento de Defensa y del Gobierno Federal de
Estados Unidos.
16 El sistema de Belarc en la Marina de Estados Unidos es un ejemplo de más de
100,000 perfiles de configuración que se actualizan todos los días. El sistema
se ejecuta en hardware promedio de servidor y base de datos.

10 Protección de la empresa
 Prueba Positiva

• Pequeñas cargas de datos de configuración. Naturalmente, si una apli-

cación usa la WAN necesita ser muy eficiente y limitar su uso de recur-
sos de la red.17
• Almacenaje y recuperación eficiente de bases de datos. Con un reposito-
rio central que recibe y almacena activamente cientos de miles de per-
files de configuración cada día, esto se puede volver un cuello de
botella, a menos que se diseño correctamente.

Facilidad de Implementar un sistema basado en WAN requiere sólo configurar el servi-

implementación y dor central y la base de datos, además de implementar los agentes. Como
mantenimiento los agentes son pequeños (< 1 MB) se pueden implementar utilizando
políticas de grupo de Active Directory, SMS o cualquier otro medio que
utilice la organización para instalar archivos pequeños.

Una vez configurado el servidor y los agentes implementados, no hay man-

tenimiento continuo de parte de los administradores locales y muy poco de
parte del personal de las oficinas centrales.18 Esto contrasta abiertamente
con la mayoría de los sistemas basados en exploradores, que requieren
esfuerzos de administración locales y de las oficinas centrales cada vez que
se ejecutan.

Prueba Positiva
Todos los productos de Belarc incorporan la arquitectura de Portal en TI y
estos productos han sido utilizados exitosamente por grandes clientes
durante los pasados cinco años. Se incluyen breves descripciones de tres de
nuestros clientes.

Dana La Corporación Dana está en la lista Mundial de Fortune 200 de fabri-

cantes de auto partes y cuenta con una organización muy descentralizada.
Tienen mas de 25,000 equipos de escritorio, servidores y portátiles en 30
países alrededor del mundo, los cuales envían actualizaciones diarias a su
servidor BelManage. Más de 300 administradores locales ingresan al
sistema BelManage para revisar el estado de sus activos de cómputo. La
organización de TI de Dana utiliza BelManage diariamente para control de
licencias de software, planeación de actualizaciones y administración del

17
Los agentes de Belarc suelen enviar cargas de menos de 30 KB.
18 La Marina de Estados Unidos maneja su sistema BelManage con menos de 2
FTEs.

Protección de la empresa 11
 El futuro ahora es posible

ciclo de vida de sus equipos. La base de datos de BelManage está también

vinculada al sistema de requisiciones de compras y órdenes en línea de
Dana, requiriendo únicamente de muy poca de atención de un administra-
dor. Para información adicional, clique aquí.

U.S. Coast Guard Los Guarda Costas de los Estados Unidos, USCG, utilizan BelManage en
sus 40,000 activos de TI distribuidos a través del país. Ellos están usando
BelManage para ayudar a administrar sus contratos de licenciamiento de
software, procesos de renovación de hardware, parches en seguridad, hot-
fixes y demás. Ambos administradores, locales y corporativos, tienen
acceso inmediato a la información actualizada que necesitan para tomar
decisiones correctas. Para más detalles, clique aquí.

U.S. Marine Corps Los Marines de los Estado Unidos, USMC, han implementado BelManage
en una red mundial de mas de 100,000 computadoras, incluyendo servi-
dores, equipos de escritorio y portátiles. BelManage es ejecutado en un
servidor Windows único, utilizando una base de datos Oracle en Quantico,
VA y los perfiles se actualizan diariamente. El sistema es utilizado diaria-
mente por cientos de administradores remotos alrededor del mundo y el
grupo de TI corporativo utiliza BelManage para administración de licen-
cias, auditorias en seguridad, consolidación de aplicaciones, planear reno-
vaciones de hardware, consolidación de servidores y para la administración
diaria de activos informáticos. BelManage es utilizado en ambas redes del
USMC la NIPRNet y SIPRNet,† y han comprobado que menos de la mitad
del tiempo de un administrador es requerido para administrar el sistema.
Para información adicional clique aquí.

El futuro ahora es posible

Tener acceso a un repositorio central a nivel empresarial de detalles de con-
figuración actualizados abre nuevas oportunidades para análisis y mejoras
a la seguridad de TI. A continuación se dan algunos ejemplos.

Análisis forense El análisis forense de ataques exitosos y no exitosos se ha basado por lo

general en datos de configuración posteriores a los hechos. Sin embargo, la
posibilidad de almacenar las historias de configuración en un repositorio
central ofrecerá a los investigadores de seguridad datos de base mucho más
precisos y útiles para entender los entornos reales antes y después del
ataque. Asimismo, la historia de los cambios a la configuración permitirá a
los investigadores ver el progreso real de ataques en sus redes. Por ejem-
plo, podrán ver dónde fue exitoso un ataque y cómo se propagó por la red.

12 Protección de la empresa
 El futuro ahora es posible

Este tipo de datos de configuración históricos reales harán más preciso y

efectivo el análisis forense para lograr entender los ataques y, con suerte,
prevenir nuevos ataques.

Métricas de seguridad La seguridad se mide a menudo por la frecuencia con la que se menciona a
la organización en la prensa. Cuantas menos noticias, que siempre son
acerca de un ataque exitoso, mejor. Aunque siempre es conveniente man-
tener a su jefe y a la organización aislados de mala publicidad, existen for-
mas más efectivas de medir y mejorar las operaciones de seguridad de TI.
El Centro para la Seguridad de Internet (CIS, por sus siglas en inglés) ha
desarrollado una serie detallada de métricas que permitirán a las organiza-
ciones medir la efectividad y los costos de sus operaciones de seguridad de
TI con el tiempo y por último les permitirán comparar sus operaciones con
las operaciones de seguridad de otras organizaciones similares.19 Las
métricas de CIS incluyen medidas de efectividad para el manejo de inci-
dentes, manejo de vulnerabilidades, manejo de parches, seguridad de las
aplicaciones, manejo de la configuración y métricas financieras o de cos-
tos.

A fin de medir cómo se desempeña una organización contra muchas de

estas métricas, se requiere un historial preciso de los cambios realizados a
la configuración en toda la empresa. Esto es exactamente lo que puede
ofrecer un repositorio central al profesional de la seguridad. Las métricas
pueden ayudar claramente a cada organización a medir la efectividad de
sus operaciones de seguridad con el tiempo. Además, una vez que un
número suficiente de organizaciones hayan comenzado a usar estas
métricas y las sometan a la consideración de CIS, las organizaciones
podrán comenzar a ver cómo se comparan con otras con una línea de nego-
cios similar.

Postura en torno a la Conocer el estado de seguridad actualizado de los activos de TI de toda la

seguridad en tiempo empresa ha sido siempre una meta difícil de lograr. Sin embargo, con un
real repositorio central empresarial automatizado basado en estándares20 de
configuraciones actualizadas, esto es una realidad. Por ejemplo, muchas
organizaciones grandes y geográficamente distribuidas ejecutan actual-

19
Para obtener información y para descargar una copia del documento de
métricas de seguridad de CIS, visite los sitios: http://www.cisecurity.org/securi-
tymetrics.html y https://community.cisecurity.org/download/. (No necesita ser
miembro de CIS para descargar el documento.)

Protección de la empresa 13
 Resumen

mente exploraciones de vulnerabilidad en sus redes locales de manera

periódica. Los resultados de estas exploraciones locales se suben después
manualmente a un repositorio central. Sin embargo, este repositorio a
menudo no se encuentra abierto o no es de fácil acceso. Además, es difícil
comparar automáticamente los resultados de exploraciones anteriores para
ver cómo han cambiado las configuraciones.

Un repositorio central basado en estándares que recibe automáticamente

actualizaciones de configuración de todo el mundo a diario, o a veces más
frecuentemente, puede ayudar a resolver este problema. Como estos datos
están disponibles en un formato estándar y son accesibles a través de con-
sultas estándar a bases de datos, el repositorio se puede utilizar para ali-
mentar otras aplicaciones existentes y nuevas.21 Por ejemplo, la
organización puede crear un mapa interactivo que muestre el estado de
seguridad actualizado de sus activos de TI en todo el mundo.

Resumen
Las mejores prácticas de seguridad están cambiando de sustentarse en pro-
cesos estáticos de C&A con auditorías poco frecuentes al monitoreo con-
tinuo de importantes controles de seguridad. Como la seguridad perimetral
por sí sola no es suficiente para proteger los activos de TI de la empresa,
los controles de seguridad deben incluir comprobaciones de las configura-
ciones detalladas de los sistemas anfitriones. La información de configu-
ración resultante necesita estar disponible en un repositorio central para
toda la empresa al que puedan acceder con facilidad los administradores
locales, el personal de las oficinas centrales y otras aplicaciones. Belarc
sugiere que la mejor manera de lograr esto es con un sistema automatizado
basado en estándares que utilice una arquitectura de WAN con puntos
extremos instrumentados.

20 El programa NIST SCAP incluye muchos estándares de enumeración de segu-

ridad de TI, como CVE (vulnerabilidades y exposiciones comunes), CPE (enu-
meración de plataforma común) y otros. Para conocer los detalles consulte la
GUÍA PARA ADOPTAR Y USAR EL PROTOCOLO DE AUTOMA-
TIZACIÓN DEL CONTENIDO DE SEGURIDAD (SCAP) (BORRADOR),
NIST Draft SP800-117.
21 El repositorio central de Belarc hace esto actualmente para los 120,000 activos
de TI de la Marina de los Estados Unidos en todo el mundo.

14 Protección de la empresa
Contáctenos:

Contáctenos:
Para información adicional y para una descripción de nuestras capacidades,
sírvase ponerse en contacto con nosotros.

Belarc, Inc.
Two Clock Tower Place, Suite 520
Maynard, MA 01754 USA
Tel: (+1) 978-461-1100
Email: info@belarc.com
Web: http://www.belarc.com

Copyright© 2009 Belarc, Inc. Todos los derechos reservados. Belarc, Bel-
Manage y BelSecure son marcas registradas o comerciales de Belarc, Inc.
Todas las otras marcas que se mencionan en este documento son propiedad
de sus respectivos dueños.

Protección de la empresa 15
 Contáctenos:

16 Protección de la empresa