Ir al contenido principal

Documentación de Hardening

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • TSC: Seguridad (Common Criteria): Principio 11 del Marco COSO y el criterio CC7.1.

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a documentar la configuración de seguridad adecuada (línea base segura) que deben tener los sistemas, redes y aplicaciones utilizados por tu empresa y que están en el alcance de tu reporte SOC 2.

💡 Hardening o endurecimiento informático es el proceso de reducir la superficie de ataque y las vulnerabilidades en los sistemas, estableciendo e implementando medidas de seguridad para estar preparados ante un posible ciberataque.

¿Qué tengo que hacer? 🚀

Lo primero que debes hacer es identificar todos los elementos tecnológicos de la organización a los que deseas aplicar medidas de hardening. Esto incluye redes, servidores, bases de datos, sistemas operativos, servicios de nube y aplicaciones.

Una vez identificados, debes documentar las configuraciones y los lineamientos necesarios, considerando por lo menos los siguientes aspectos:

  • Política de acceso a usuarios: Revisión de contraseñas, duración, cambio de valores por defecto y gestión de permisos.

  • Opciones de seguridad del sistema: Bloqueo automático de pantalla, deshabilitación de cuentas de invitado, restricción de cuentas de administrador.

  • Pistas de auditoría (logs): Asegurar que el registro de eventos esté activado y configurado correctamente.

  • Control de dispositivos: Medidas para evitar que los usuarios instalen software no autorizado o conecten dispositivos no permitidos (USB, etc.).

  • Cifrado: Implementar métodos criptográficos para proteger las claves y la información almacenada o en tránsito.

  • Software de seguridad: Asegurar la activación de antivirus, antimalware y firewalls.

  • Inicio de sesión seguro: Requerir siempre la validación de credenciales.

  • Configuraciones del panel de control: Activar protectores de pantalla con contraseña, cierre de sesión por inactividad.

  • Desactivación de servicios innecesarios: Deshabilitar servicios que no se utilicen (Bluetooth, FTP, asistentes virtuales, etc.) para reducir la superficie de ataque.

  • Mantenimiento y actualizaciones: Definir el requisito de aplicar parches de seguridad de manera oportuna.

  • Copias de seguridad: Asegurar que los sistemas críticos estén incluidos en el proceso de backups.

Dependiendo del sistema, podrás encontrar más o menos opciones y configuraciones disponibles para implementar el hardening, pero lo más importante es garantizar que estás aplicando todas las medidas posibles para proteger tu información, y que éstas se encuentren documentadas.

Debes también asignar responsables de dar seguimiento a la implementación y monitoreo de estas configuraciones y revisar periódicamente esta documentación para mantenerla actualizada.

¡Puedes ayudarte de la documentación de tus herramientas! Por ejemplo, los servicios de nube (AWS, Azure, Google Cloud) generalmente ya cuentan con guías de hardening y mejores prácticas de seguridad.

💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Considera el hardening como un checklist que debes ir complementando y/o ajustando a las necesidades de la empresa.

  • Utiliza guías disponibles públicamente, como los CIS Benchmarks, que son estándares de configuración segura reconocidos por la industria.

  • Asegúrate de que tu documentación de hardening apoye y sea consistente con las políticas de seguridad definidas por la empresa.

  • Toma en cuenta la viabilidad y aplicabilidad de estas configuraciones dentro del contexto de tu organización.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
23. Procedimiento de Antivirus
11. Documentación de Hardening
Documentación de Hardening
FAQs - Fase 9. Documentación de Hardening
Política de Seguridad por Capas
¿Ha quedado contestada tu pregunta?