FUNDAMENTOS DE FORTALECIMIENTO (HARDENING) DE SEGURIDAD.

PARTE I.

VÍCTOR VILLAR JARA

HARDENING
INSTITUTO IACC
LUNES 19 DE ABRIL DE 2021.
INTRODUCCIÓN.

Esta semana presentaremos el tema introductorio del módulo "Mejorado". Estarán Esta
es la versatilidad del refuerzo y el objetivo detrás de su verdadero pensamiento. En
este sentido, es importante comprender la relevancia de brindar seguridad física y
lógica. Mantener los activos de información que deben protegerse para su normal
funcionamiento. Organización. Por otro lado, veremos los tipos de refuerzo y dónde se
puede implementar, y finalmente, veremos Qué es el riesgo y cómo se relaciona con el
endurecimiento.
El objetivo del Control Semana 1 “FUNDAMENTOS DE FORTALECIMIENTO
(HARDENING) DE SEGURIDAD. PARTE I.”, es apreciar los tipos de fortalecimiento
(Hardening), en la administración de riesgo para su aplicabilidad.
 DESARROLLO:

Lea atentamente las siguientes preguntas y analice la información de acuerdo a los

contenidos revisados en la semana:

1. Ante la sentencia de que el Hardening hace invulnerables a los sistemas, elabore

un cuadro comparativo en el que distinga, por qué dicha sentencia sería
verdadera y por qué sería falsa. Recuerde fundamentar su respuesta.

Hardening hace invulnerables a los sistemas

Que lo hace ser Verdadero Que lo hace ser Falso

El propósito del hardening o Si bien el concepto Hardening suele

endurecimiento, hace verdadera esta ser aprovechado en:
afirmación bajo la base qu este tiene  Servidores
como propósito reducir la cantidad de  End-point
vulnerabilidades en el sistema, ya que  Redes
cuantas más funciones tenga el  Servicios
sistema, mayor será la cantidad de  Usuario
vulnerabilidades presentadas. Esta Es en los Usuarios donde esta
mejora no es implantada solo a nivel afirmación se vuelve falsa ya que se
técnico, sino también en operaciones busca concientizar y preparar a los
o gestión. Al reducir el número de individuos que integran una
vulnerabilidades, permite a las organización, dichas acciones se
organizaciones evitar amenazas en el sustentan bajo la base que a través de
entorno, reduciendo así los riesgos y la educación, podemos reducir
en un cumplimiento ideal bajo esta vulnerabilidades generadas por un
teoría, haría invulnerable los sistemas. usuario que es el eslabón mas débil en
[1](Pág. 6) el bastionado de sistemas.[1](Pág. 7)

Gracias al Hardening, gestión sobre Las Empresas y organizaciones

la estructuración esta directamente funcionan con multas.
relacionada con el conocimiento de Aun cuando exista una normativa que
la seguridad sobre cada exija el aplicar determinadas medidas
organización: de seguridad, la verdadera
preocupación se genera solo por
(a) Gestión de vulnerabilidades. cumplir, y no por una conciencia sobre
(b) Auditorías internas. la seguridad en sí. Esto quiere decir,
(c) Instaurar políticas, normativas y que siempre menospreciamos la
procedimiento. inversión que se hace sobre esta.
Con toda esta información, el Es así como las organizaciones sub-
hardening faculta preparar dentro de contratan los servicios de una
cada organización capas de empresa especializada en seguridad
defensas que frustraría a cualquier que verifique, amplíe o derechamente
atacante la intención de lograr un implemente un SGSI.
acceso a los equipos y en La planificación anual siempre deja
consecuencia cualquier acción sus recursos sobre la seguridad de la
maliciosas sobre la información de información relegada a remanentes o
una empresa.[1](Pág. 6) bajas asignaciones y son sus propios
departamentos de compras quienes
intentan conseguir proveedores
baratos, objeto conseguir un importe
más bajo en la realización de los
servicios de sistemas y seguridad. Es
la propia empresa, obviamente, la que
visualiza este importe como un gasto a
perdida y no como una inversión, a su
vez los servicios contratados aplicará
un esfuerzo alícuota al pago recibido.
En resumen, esto refluirá en que la
responsabilidad de un mal resultado, o
en la ocasión de un incidente grabe
que afecte la seguridad, sera pagado
por quien cotizo un mal servicio.[3]
La formación de los empleados
La mayor demanda de cursos, tanto a
nivel personal como empresarial esta
con Hacking Ético y Análisis Forense,
el ultimo lugar lo ocupa y en general
por una obligación dentro de un plan
de estudios, los cursos de hardening
de Sistemas Operativos e
Infraestructuras, seguridad perimetral,
etc. Muchos de estos cursos quedan
circunscritos por lo general a
Universidades que exigen cubrir
dichos contenidos en másteres de
seguridad.
Sobre esta aspecto podemos des-
contextualizar subsiguiente relación:

La masa se ve inclinada ante las

acciones que rompen o reparan.
Aun cuando fuera cierta las
afirmaciones de que “para poder
proteger, hay que saber atacar”, decir
que para auditar los sistemas dentro
de una organización hay que tener
conocimientos de pentesting como
algo vital y considerar el Análisis
Forense imperioso para poder
identificar como hemos sido atacado
posterior a un incidente de seguridad,
el cuando y cómo ha pasado, y cuál
ha sido el alcance.
Esto culmina en considerar en ultimo
lugar la protección de sistemas
operativos, una configuración segura
de nuestros servicios, la fortificación
de infraestructuras, buenas prácticas
de seguridad en dispositivos móviles,
monitorización de sistemas y redes.

Culminando nuestra afirmación, el

tener instrucción sobre cómo lograr
hacer las cosas más difíciles a los
malos, nos entusiasma mucho menos
que ponernos en los zapatos de un
presunto atacante.[3]
2. Realice un cuadro demostrativo en el que se diferencia la defensa en profundidad
del mínimo punto de exposición. Según Moreno, J. (2003)[5]:

A. B.
Autoridad Reguladora Normas, Procedimientos,
Son ente regulador, SGSI Enmarcado en las
entes certificadores. normas y
procedimientos:
-ISO27000.
-Modelo de SGSI
Gobierno en línea.
-SGSI de la entidad.

H.
Datos
Encriptación de datos.

D.
Perímetro Lógico
Enmarcado en:
C. - Firewall.
Seguridad Física - Pruebas de penetración Web
Enmarcado en el control Application.
de acceso físico: - Firewall IDS/IPS VPN/NAC.
- Video vigilancia.
- Alarmas. E.
- Seguridad perimetral. Red Interna
- Control ambiental. VLAN, ACL, Auditoría de
seguridad, IDS/IPS
SSL/TLS, SSH, Kerberos.
G.
Aplicación F.
Programación segura. Servidores / PC / Lapton /
Contraseñas. Smartphones
Control de acceso - Contraseñas.
Evaluación de seguridad. - Aseguramiento.
Ambiente red interna de - Parches de seguridad.
desarrollo. - Anti malware.
- Log de seguridad.
- Escaneo de vulnerabilidad.
3. Ante riesgos de un sistema con un factor de 0,72, indique cuáles son las medidas
para fortalecer ese sistema

Según IACC (2020)[1](Pág. 10), el riesgo existe en cualquier actividad de una empresa, y
lo que busca es evaluar la gravedad de la pérdida ante una situación peligrosa
(amenaza). Existen varias definiciones de riesgo, una de las cuales es la cantidad de
amenazas y la cantidad de vulnerabilidades que existen.

Riesgo = Amenazas ∗ Vulnerabilidades

Otra especificación es la probabilidad de que suceda una incidencia por el efecto que
esta pueda gestar en el negocio.

Riesgo = Probabilidad ∗ Impacto

Hay varias formas de determinar la gravedad de un riesgo. Una es estimar la

probabilidad del incidente (descubrir y explotar la vulnerabilidad) y el posible impacto
que la empresa puede sufrir si se da cuenta de la vulnerabilidad. Esta estimación
puede ser:

Cualitativa → Alta – Media – Baja

Cuantitativa → Valor numérico

Cualquiera de estas dos estimaciones permitirá a la empresa ver el estado de riesgo

relacionado con sus activos, procesos, etc., y poder gestionarlos de forma eficaz (en
función de los recursos disponibles en ese momento).
En este caso particular el índice de estimación de riesgo es de 0,72 que según la
tabla 1 nos indica estar ante una ata probabilidad de impacto sobre nuestros sistemas
de información:

Lo que nos obliga planificar una respuesta de frente a su alto índice de estimación de
riesgo, tal como lo muestra la figura a continuación:
Podemos adoptar medidas como las que se mencionan en el Blog de Gestor, C. (28
mayo de 2020) [2].

El Blog en si nos indica que podemos efectuar nuestro Hardening contra las amenazas
en función de cómo reducir las amenazas, endureciendo nuestro sistema.

Usuarios:
Mediante cursos de concienciación en la seguridad informática.

Programas malintencionados:
No descargando ningún programa de fuentes desconocidas o no oficiales.

Exploits:
Manteniendo nuestros sistemas operativos actualizados.

Intrusos:
Estableciendo permisos y niveles de acceso.

Fuerza mayor:
Mediante el uso de backups.
CONCLUSIÓN.

La administración del riesgo dentro de los sistemas informáticos es fundamental en el

interior de una organización, una de las maneras que se puede ejecutar dicha gestión
es la implementación del Hardening, facultando el disminuir vulnerabilidades en los
servicios y sistemas, en consecuencia, el riesgo que va asociado a estos.
Terminada el Control Semana 1 podemos distinguir los conceptos asociados al
fortalecimiento (Hardening), diferenciar los tipos de fortificación, relacionar la
aplicabilidad del fortalecimiento en un sistema u organización, en base a la severidad
de los riesgos a los que está expuesta.
BIBLIOGRAFÍA:

[1].- IACC (2020). Fundamentos de Fortalecimiento (Hardening) de Seguridad Parte

I. Hardening. Semana 1.
[2].- Gestor, C. (28 mayo de 2020). Hardening informático ¿Qué es? CISET Centro
de Innovación y Soluciones Empresariales y Tecnológicas Blog.
https://www.ciset.es/publicaciones/blog/746-hardening
[3].- Martínez, L. (18 de mayo de 2015). La importancia del bastionado de sistemas.
Incibe-Cert Blog. https://www.incibe-cert.es/blog/importancia-bastionado-
sistemas
[4].- Rincón, Á. (29 agosto de 2019). Los tres principios esenciales para aplicar un
proceso de Hardening. Open Cloud Factory.
https://www.opencloudfactory.com/principios-esenciales-hardening/
[5].- Moreno, J. (2003). Defense in Depth: Universidad Piloto de Colombia. Publisher
Name. http://polux.unipiloto.edu.co:8080/00001345.pdf