La Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés) y el equipo de respuesta a emergencias informáticas de la UE (CERT-EU) han elaborado conjuntamente una guía de buenas prácticas de ciberseguridad para las organizaciones, tanto públicas como privadas.
Como la propia guía indica, los dos organismos europeos de la ciberseguridad la han redactado ante el constante incremento de las ciberamenazas y animan "encarecidamente" a todas las organizaciones a aplicarlas para impulsar su ciberresiliencia.
"ENISA y CERT-EU confían en que, al aplicar este conjunto de recomendaciones de una manera coherente y sistemática, las organizaciones de la UE podrán mejorar sustancialmente su postura de ciberseguridad y mejorar su resistencia general ante los ataques", señala el documento.
Las buenas prácticas que recomiendan ENISA y CERT-EU
La guía recoge un total de 14 buenas prácticas de ciberseguridad que, como también se explica, deben complementarse con las medidas promovidas por las autoridades de ciberseguridad nacionales o gubernamentales y priorizarse en función de las necesidades específicas de cada organización. Las recomendaciones abarcan un amplio conjunto de aspectos de seguridad y son las siguientes:
1. Requerir autenticación multifactorial (MFA) para los servicios de acceso remoto, incluidos los de las redes VPN, los portales corporativos de cara al exterior, o el acceso al correo electrónico.
2. Cerciorarse de que los usuarios no reutilizan contraseñas e incentivarles para que empleen la autenticación multifactorial.
3. Asegurarse de que todo el software está actualizado.
4. Controlar rigurosamente el acceso de terceros a sus redes y sistemas internos.
5. Endurecer los controles en la nube antes de trasladar los procesos críticos.
6. Revisar los criterios para las copias de seguridad y utilizar la "regla 3-2-1"
7. Cambiar todas las credenciales predeterminadas y deshabilitar los protocolos que no admiten autenticación multifactor o que utilizan una autenticación débil (por ejemplo, contraseñas de texto sin cifrar, o contraseñas desactualizadas y protocolos de autenticación o cifrado vulnerables).
8. Emplear segmentación y restricciones de red adecuadas para limitar el acceso y el uso atributos adicionales (como información del dispositivo, entorno y rutas de acceso) al tomar decisiones de acceso.
9. Realizar formaciones periódicas para garantizar que los administradores de sistemas tienen una sólida comprensión de la política de ciberseguridad de la organización y los procedimientos asociados. También recomienda vigilar el mal uso de las herramientas de administración de sistemas para evitar la penetración de los atacantes y su desplazamiento lateral.
10. Crear un entorno resistente de seguridad de correo electrónico. Para ello aconseja habilitar el filtrado antispam y agregar una puerta de enlace de correo electrónico segura para seguir automáticamente las políticas aprobadas y evitar la entrada a los buzones de mensajes maliciosos.
11. Organizar periódicamente eventos de concienciación cibernética para formar a los usuarios sobre las técnicas y los efectos del phishing.
12. Proteger los activos web ante los ataques de denegación de servicio utilizando un content delivery network (CDN), empleando las funciones nativas de alta disponibilidad de las plataformas en la nube, automatizando los libros de ejecución de recuperación de desastres y asegurándose de que se puede trasladar las cargas de trabajo al sitio de recuperación en un solo clic, si es posible.
13. Bloquear o limitar severamente el acceso a Internet para servidores u otros dispositivos inusuales, ya que los actores de amenazas pueden aprovechar para establecer puertas traseras y crear balizas persistentes a la infraestructura de Comando y Control (C2).
14. Disponer de procedimientos para llegar y comunicarse rápidamente con su CSIRT ("Computer Security Incident Response Team).
Cabe señalar que la publicación de esta guía de ENISA y CERT-EU ha coincidido con el repositorio de herramientas y servicios gratuitos que ha lanzado la Agencia de Ciberseguridad e Infraestructuras de la Seguridad de EE.UU. (CISA) para ayudar a las organizaciones a defenderse frente a los ciberataques.