Cómo elegir su
¿asesor de seguridad en IBM i?

A pesar de todas las ventajas de seguridad que puede ofrecer un AS/400, los ataques actuales obligan a sus propietarios a poner en marcha las mejores prácticas para su organización: está en juego su capacidad para garantizar una producción ininterrumpida, así como los diversos riesgos legales asociados a la posible pérdida de datos.

Bob Losey explica el punto de vista de Bruce Bading, experto en seguridad de IBM i.

Traducción del artículo por Bob Losay con su amable permiso. Jan. 2023

La ciberseguridad de IBM i es una de las principales prioridades de los usuarios de IBM con los que hablo. Tengo la suerte de haber trabajado con Bruce Bading, un auténtico experto en seguridad de IBM i. Con su permiso, ésta es una reimpresión modificada de otra publicación que deseo compartir.

Hay muchas opciones cuando se trata de consultores de ciberseguridad o proveedores de servicios de seguridad gestionados. Una forma de evaluar sus opciones es preguntar qué buenas prácticas de seguridad recomienda el consultor (o su empresa) para establecer ciberdefensas. Algunas buenas prácticas están motivadas por equipos organizativos a gran escala o por los resultados de la empresa. Sin embargo, hay otra forma de desarrollar directrices de seguridad aprovechando los controles y puntos de referencia del CIS a través de la pertenencia a CIS SecureSuite.

CIS Controls y CIS Benchmarks son buenas prácticas de seguridad que allanan el camino para mejorar las defensas mediante un proceso único de consenso comunitario. En colaboración con numerosos profesionales de la seguridad de todo el mundo, el CIS elabora consejos de seguridad globales (controles CIS) y configuraciones de refuerzo específicas para las tecnologías (puntos de referencia CIS).

Veamos cómo Bruce Bading, Presidente de BFB Consulting, utiliza su afiliación a CIS SecureSuite para reforzar la ciberseguridad de sus clientes. BFB Consulting ofrece servicios de ciberdefensa para ayudar a las organizaciones a mejorar sus ciberpolíticas, requisitos de cumplimiento y procedimientos.

Implantar la seguridad fundamental

Con más de 40 años de experiencia en ciberseguridad y cumplimiento de la normativa, Bading ha sido testigo del crecimiento y desarrollo de diversas mejores prácticas. Desde su etapa como Director Financiero de una importante empresa industrial hasta sus años de experiencia en IBM como consultor senior de ciberseguridad, ha aprendido a aprovechar los recursos de CIS SecureSuite. Se basa en CIS Controls, CIS RAM (método de evaluación de riesgos) y CIS Benchmarks para ayudar a los clientes a hacer operativa la seguridad fundamental. El Sr. Bading utiliza CIS-CAT Pro, una herramienta de evaluación de configuraciones, para mostrar a sus clientes las lagunas de seguridad de sus configuraciones: «CIS-CAT Pro es una base realmente sólida sobre la que puede acercarse a cualquier cliente y mostrársela. Mira, esto es lo que el Centro para la Seguridad en Internet nos dice que tienes que hacer para bloquear tus sistemas. Puedes leer lo que dice Tony Sager: deja de perseguir lo brillante y vuelve a lo básico.«.

Bading ha visto de primera mano cómo algunos clientes caen en el «síndrome del brillo» y persiguen afirmaciones de grandeza técnica mientras ignoran las mejores prácticas básicas. «
Tenemos que volver a la seguridad fundamental
«, insiste. Parte de esta seguridad fundamental incluye la aplicación de las mejores prácticas, como los puntos de referencia CIS, y la evaluación del cumplimiento y la adhesión a las normas. Los clientes deben preguntar si los asesores son miembros de CIS SecureSuite. Si este es el caso, pueden pedir ver sus propios resultados de CIS-CAT Pro para identificar cualquier laguna de seguridad en la configuración. La experiencia del consultor puede ayudar a colmar estas lagunas y a resolver cualquier problema de ciberseguridad que pueda subsistir.

Seguridad en un entorno híbrido

Los clientes de Bading operan en entornos híbridos, es decir, tanto en infraestructuras locales como en la nube. Lo importante, dice el Sr. Bading, es identificar la criticidad y confidencialidad de cada dato. Recomienda que la información privada, como la información de identificación personal (IIP) u otros datos confidenciales, se almacene en una nube privada. Para los datos públicos, basta con una nube pública. En segundo lugar, es esencial que las organizaciones refuercen los entornos en nube, dondequiera que estén alojados. CIS proporciona las mejores prácticas de seguridad para configurar de forma segura cuentas y servicios en la nube en tres de los principales proveedores:

• CIS AWS Foundations Benchmark
• Evaluación comparativa de CIS Azure Foundations
• CIS Google Cloud Platform Foundations Benchmark

Sea cual sea el entorno en el que opere -en las instalaciones o en la nube, público o privado-, las configuraciones seguras son esenciales. «
Y eso es lo que tenemos que comunicar a la gente
«, explica Bading. «
Tenemos que endurecer esas imágenes
«.

Colaborar y conectar con la comunidad

Bading participó en el proceso de consenso de la comunidad CIS para ayudar a desarrollar el primer IBM i Benchmark CIS. Le gusta estar conectado a una comunidad de ciberseguridad más amplia y afirma: «Mi próximo objetivo es entrar en otras comunidades.«Las comunidades CIS son una forma de establecer contactos con otros expertos técnicos, resolver problemas de seguridad y llegar a un consenso sobre las mejores prácticas en materia de ciberdelincuencia. «Los profesionales participaron en el debate«explica Bading,»a través de una comunidad, han cerrado el círculo. Y esto es lo que dijeron colectivamente. No se trata de una sola persona o empresa, sino de un gran grupo de individuos que transmiten el mismo mensaje..»

Seguridad seria para amenazas serias

«
Los ciberdelincuentes van en serio
«, advierte el Sr. Bading, «
y no tienen miedo de romper cosas
«. La determinación de los ciberdelincuentes demuestra que los clientes deben tomarse igual de en serio la aplicación de las mejores prácticas y el cumplimiento de la normativa. La ciberseguridad es una cuestión empresarial, no sólo informática. Para BFB Consulting y sus clientes, la Membresía CIS SecureSuite proporciona los recursos que necesitan para implementar las mejores prácticas de seguridad. «
Los cortafuegos y antivirus ya no bastan en la era de la IA maliciosa, el malware sin archivos y metamórfico
«, afirma Bading. «
Tenemos que mejorar constantemente la seguridad y los controles internos.
.» Al combinar los potentes CIS Benchmarks y CIS Controls, CIS SecureSuite Membership ayuda a las organizaciones a mantener seguros los sistemas configurados. Es un recurso esencial para desarrollar una auténtica seguridad básica en toda la empresa.

Para más información, visite
www.Source-Data.com
.

Artículo original en inglés: https: //www.linkedin.com/pulse/how-choose-ibm-i-iseriesas400-cybersecurity-consultant-bob-losey/