TL;DR

The Essential Eight es la lista de comprobación práctica de ciberdefensa de Australia: ocho controles divididos en prevención, limitación y recuperación.

Piense en parches, MFA, endurecimiento de aplicaciones, copias de seguridad y mucho más.

No es un megamarco, pero es obligatorio para las organizaciones gubernamentales y una base sólida para cualquiera.

Los tres niveles de madurez miden su resistencia a los atacantes, desde los aficionados hasta los APT.

Resumen del Cuadro de Mando Esencial Ocho:

• Esfuerzo del desarrollador: Moderado (Implica parchear las aplicaciones, endurecer las aplicaciones de usuario, controlar potencialmente las aplicaciones, dar soporte a MFA y asegurar que las copias de seguridad son efectivas).
• Coste de herramientas: Moderado (Requiere herramientas de parcheo, control de aplicaciones/listas blancas, potencialmente control de macros, soluciones MFA, sistemas de backup, gestión de privilegios de administrador).
• Impacto en el mercado: alto (base de referencia obligatoria para el gobierno australiano; considerada la mejor práctica para las empresas australianas; buena base de seguridad a nivel mundial).
• Flexibilidad: Alta (se centra en resultados de mitigación específicos; los niveles de madurez permiten una aplicación gradual en función del riesgo).
• Intensidad de la auditoría: Moderada (a menudo autoevaluada con respecto a los niveles de madurez, pero las auditorías/evaluaciones son comunes para el cumplimiento gubernamental o la garantía de terceros).

¿Qué son los Ocho Esenciales?

Los Ocho Esenciales son un conjunto de estrategias básicas de mitigación de la ciberseguridad desarrolladas y recomendadas por el Centro Australiano de Ciberseguridad (ACSC). Está diseñado para proteger los sistemas de información de las organizaciones frente a una serie de ciberamenazas, centrándose en controles prácticos y de alto impacto. Se considera la base para mejorar la ciberresiliencia.

Las ocho estrategias esenciales se agrupan en tres objetivos:

1. Prevenir la distribución y ejecución de malware:

* Control de aplicaciones: Evita la ejecución de programas no aprobados/maliciosos (listas blancas).

* Aplicación de parches: Parchee/actualice las aplicaciones con prontitud para corregir las vulnerabilidades de seguridad conocidas.

* Configurar las macros de Microsoft Office: Bloquear o restringir macros de Internet.

* Endurecimiento de aplicaciones de usuario: Configure los navegadores web y otras aplicaciones para bloquear/limitar contenidos potencialmente dañinos (por ejemplo, Flash, anuncios, Java).

2. Limitar el alcance de los incidentes de ciberseguridad:

* Restrinja los privilegios administrativos: Limite el acceso de administradores potentes en función de las funciones del usuario; utilice cuentas privilegiadas independientes.

* Parcheo de sistemas operativos: Parchear/actualizar puntualmente los sistemas operativos.

* Autenticación multifactor (AMF): Implemente MFA para acceder a sistemas/datos sensibles, especialmente para acceso remoto y usuarios privilegiados.

3. Recuperación de datos y mantenimiento de la disponibilidad:

* Copias de seguridad periódicas: Realice copias de seguridad diarias de los datos importantes, el software y los ajustes de configuración. Conserve las copias de seguridad de forma segura y pruebe el proceso de restauración con regularidad.

El ACSC también define niveles de madurez para la aplicación de los ocho elementos esenciales (nivel uno, nivel dos, nivel tres), que representan niveles crecientes de capacidad para mitigar las técnicas de los adversarios.

• Nivel de madurez uno: se centra en mitigar a los adversarios que utilizan principalmente herramientas y técnicas comunes para obtener acceso y control iniciales.
• Nivel de madurez dos: se centra en mitigar a los adversarios con técnicas más avanzadas, tratando activamente de eludir los controles y cubrir sus huellas.
• Nivel de madurez tres: Se centra en mitigar a los adversarios sofisticados, incluidos los actores patrocinados por el Estado, que son más selectivos, persistentes y adaptables.

Cada nivel de madurez tiene requisitos de aplicación específicos para cada una de las ocho estrategias.

¿Por qué es importante?

Los Ocho Esenciales son fundamentales, sobre todo en el contexto australiano:

• Defensa básica eficaz: Proporciona un conjunto probado y priorizado de controles que mitigan significativamente los vectores de ciberataque más comunes (como malware, phishing, robo de credenciales).
• Mandato del Gobierno Australiano: La implantación (a menudo hasta el Nivel de Madurez Dos o superior) es obligatoria para las agencias del gobierno federal australiano bajo el Marco de Políticas de Seguridad Protectiva (PSPF).
• Mejores prácticas del sector (Australia): Ampliamente adoptada y recomendada como norma de referencia para que las empresas australianas mejoren su ciberresiliencia.
• Práctica y práctica: Se centra en controles técnicos concretos y no en complejos sistemas de gestión, por lo que es relativamente fácil de entender y aplicar.
• Mitigación rentable: Implantar estos controles básicos suele ser más rentable para prevenir las brechas que lidiar con las secuelas.
• Expectativas de la cadena de suministro: Cada vez más, las organizaciones (gubernamentales y privadas) esperan que sus proveedores demuestren su adhesión a los Ocho Esenciales.
• Ciberresiliencia mejorada: Fundamentalmente, hace que los sistemas sean más difíciles de comprometer y más fáciles de recuperar si se produce un incidente.

Incluso fuera de Australia, los Ocho Esenciales representan una base sólida para la higiene de la ciberseguridad.

Qué y cómo aplicar (técnica y política)

La puesta en práctica de los Ocho Esenciales implica el despliegue de controles técnicos y políticas de apoyo para cada estrategia, con el objetivo de alcanzar un Nivel de Madurez específico:

1. Control de aplicaciones:
   
   • Utilice herramientas (como Microsoft AppLocker, soluciones de terceros) para definir y aplicar listas de aplicaciones aprobadas (ejecutables, scripts, instaladores) cuya ejecución esté permitida. Bloquee todo lo demás. Requiere una cuidadosa creación de líneas de base y una gestión continua.
2. Aplicaciones de parches:
   
   • Implemente un sólido proceso de gestión de parches. Utilice herramientas automatizadas para buscar los parches que faltan en las aplicaciones (navegadores web, Office, visores de PDF, Java, Flash, etc.). Aplique los parches críticos/altos dentro de los plazos definidos (por ejemplo, 48 horas para ML2/3 para aplicaciones orientadas a Internet).
3. Configurar las macros de Microsoft Office:
   
   • Utilice objetos de directiva de grupo (GPO) o configuraciones de MDM para bloquear macros procedentes de ubicaciones no fiables (Internet, archivos adjuntos de correo electrónico). Permita macros sólo de fuentes fiables y firmadas si es necesario para la función empresarial. Examine rigurosamente cualquier excepción.
4. Endurecimiento de aplicaciones de usuario:
   
   • Configure los navegadores web para bloquear o desactivar los contenidos de alto riesgo (por ejemplo, Flash, anuncios web, applets Java). Impida que los usuarios anulen fácilmente estos ajustes. Utilice el filtrado de contenidos web. Configure los visores de Office, PDF, etc., para impedir la ejecución de enlaces/incrustación de objetos o la ejecución de secuencias de comandos siempre que sea posible.
5. Restringir los privilegios administrativos:
   
   • Aplique el principio del menor privilegio. Asigne derechos de administrador sólo cuando sea necesario. Utilice cuentas separadas para las tareas privilegiadas y las actividades diarias (correo electrónico, navegación). Gestione de forma segura las cuentas con privilegios (contraseñas o frases de contraseña seguras, MFA). Registre y supervise las operaciones privilegiadas.
6. Sistemas operativos con parches:
   
   • De forma similar a la aplicación de parches, implemente un proceso y herramientas para buscar y aplicar parches de seguridad del sistema operativo con prontitud, especialmente los críticos (por ejemplo, en 48 horas para ML2/3 para sistemas orientados a Internet).
7. Autenticación multifactor (AMF):
   
   • Implemente MFA para todos los accesos privilegiados, accesos remotos (VPN, RDP, webmail) y accesos a repositorios de datos importantes. Utilice métodos de autenticación fuertes (por ejemplo, aplicaciones de autenticación, claves FIDO2, tarjetas inteligentes). Evite métodos fáciles de suplantar, como SMS, siempre que sea posible para los niveles superiores.
8. Copias de seguridad diarias:
   
   • Realice copias de seguridad diarias automatizadas de los datos críticos, las configuraciones y las imágenes del sistema. Asegúrese de que las copias de seguridad se almacenan de forma segura (fuera de línea, fuera del sitio, cifradas). Pruebe el proceso de restauración con regularidad (al menos una vez al año, preferiblemente cada tres meses para los niveles superiores) para verificar su integridad y fiabilidad.

Alcanzar niveles de madurez más altos suele requerir más automatización, plazos de aplicación de parches más rápidos, un registro/monitorización más exhaustivo, controles más estrictos (por ejemplo, una AMF más sólida) y pruebas más frecuentes (por ejemplo, restauración de copias de seguridad).

Errores comunes que hay que evitar

A la hora de aplicar los Ocho Esenciales, los errores más comunes son:

1. Tratarlo sólo como una lista de comprobación: Implantar controles técnicamente sin las políticas, procedimientos y formación de apoyo para que sean eficaces a largo plazo.
2. Mala implementación: Configurar los controles (como el control de aplicaciones o la AMF) de forma incorrecta o incompleta, dejando lagunas o creando una fricción excesiva con el usuario.
3. Aplicación incoherente: Aplicación de controles a algunos sistemas pero no a otros dentro del ámbito definido.
4. Descuidar la cadencia de aplicación de parches: Incumplimiento de los plazos requeridos para parchear aplicaciones y sistemas operativos, especialmente vulnerabilidades críticas.
5. Control deficiente de los privilegios administrativos: Conceder excesivos derechos de administrador o no utilizar eficazmente cuentas privilegiadas separadas.
6. Lagunas de la AMF: Implementar MFA pero faltan áreas clave como el acceso remoto o el acceso a servicios sensibles en la nube.
7. Copias de seguridad no probadas: Realizar copias de seguridad pero nunca probar el proceso de restauración, sólo descubrir que no funcionan durante un incidente real.
8. Ignorar los niveles de madurez: Aspirar a un nivel específico sin comprender o cumplir plenamente todos los requisitos de ese nivel en las ocho estrategias. Uno es tan maduro como su control más débil.

Lo que podrían preguntar los auditores/evaluadores (Enfoque en el desarrollador)

Aunque las evaluaciones de Essential Eight suelen centrarse en la administración de sistemas y la infraestructura, los desarrolladores pueden verse implicados, sobre todo en lo que respecta a la aplicación de parches, el endurecimiento y las configuraciones seguras:

• (Aplicaciones de parches) "¿Cuál es el proceso para identificar y parchear vulnerabilidades en las bibliotecas de terceros que utilizan sus aplicaciones?" (Relacionado con SCA)
• (Fortalecimiento de aplicaciones de usuario) "¿Cómo se configuran los parámetros de seguridad de los componentes web o marcos de trabajo utilizados dentro de la aplicación para evitar ataques comunes del lado del cliente?"
• (Restringir privilegios de administrador) "¿La propia aplicación aplica el privilegio mínimo para las distintas funciones de usuario? ¿Cómo se protegen las funciones administrativas a nivel de aplicación?
• (Parcheo de sistemas operativos) "¿Cómo se asegura de que el sistema operativo y los entornos de ejecución en los que se despliega su aplicación están parcheados de acuerdo con la política?" (Interacción con los equipos de operaciones/plataformas)
• (MFA) "¿Admite o impone la aplicación MFA para el inicio de sesión de los usuarios, especialmente para funciones sensibles?"

Los evaluadores buscarán pruebas de procesos de aplicación de parches, configuraciones seguras (tanto del lado del servidor como potencialmente del lado del cliente relacionadas con el refuerzo de las aplicaciones) y cómo se integran las aplicaciones con controles más amplios como la AMF y el registro.

Ganancias rápidas para los equipos de desarrollo

Los equipos de desarrollo pueden apoyar directamente los objetivos de Essential Eight:

1. Priorizar el parcheado de dependencias: Integrar herramientas SCA y establecer un proceso para actualizar rápidamente las bibliotecas con vulnerabilidades críticas/altas conocidas. (Admite aplicaciones de parches)
2. Configuración segura de aplicaciones: Garantice que las aplicaciones se envían con una configuración predeterminada segura y que las dependencias se configuran de forma segura. (Admite el endurecimiento de aplicaciones de usuario, aplicaciones de parches).
3. Limite los privilegios de las aplicaciones: Diseñe aplicaciones para que se ejecuten con los privilegios mínimos necesarios del sistema operativo o del servicio. (Admite la restricción de privilegios de administrador)
4. Apoyo a la integración MFA: Asegúrese de que las aplicaciones pueden integrarse correctamente con soluciones MFA estándar para la autenticación de usuarios. (Admite MFA)
5. Producción de compilaciones seguras: Garantizar que el propio proceso de compilación no introduce vulnerabilidades y que los artefactos se almacenan de forma segura. (Apoya indirectamente varias estrategias)
6. Proporcionar ganchos de registro: Cree aplicaciones con capacidades de registro claras para los eventos relevantes para la seguridad con el fin de apoyar los requisitos de supervisión. (Admite indirectamente copias de seguridad y una seguridad más amplia).

Ignore esto y... (Consecuencias del incumplimiento)

Para los organismos públicos australianos, el incumplimiento de los requisitos de los Ocho Esenciales exigidos por el PSPF constituye un incumplimiento de la política gubernamental, que puede dar lugar a resultados de auditoría y a la aplicación de medidas correctoras. Para las empresas:

• Mayor riesgo de ataques comunes: Ignorar estas estrategias deja a las organizaciones altamente vulnerables al ransomware, phishing, infecciones de malware y robo de credenciales, el pan de cada día de la mayoría de los ciberataques.
• Mayor impacto de los incidentes: La falta de controles como la aplicación de parches, la restricción de la administración y las copias de seguridad significa que es probable que los incidentes se extiendan más, sean más dañinos y más difíciles de recuperar.
• Incapacidad para cumplir los requisitos de gobiernos y socios: Cada vez más, las licitaciones y los contratos (especialmente los relacionados con el gobierno) exigen demostrar la alineación con los Ocho Esenciales. El incumplimiento bloquea las oportunidades.
• Daños a la reputación: Sufrir una infracción por no aplicar controles básicos ampliamente recomendados, como los Ocho Esenciales, puede acarrear un importante daño a la reputación.
• Posibles problemas normativos/legales: Aunque no se trata de legislación directa (al margen de la PSPF), la no aplicación de buenas prácticas reconocidas, como los Ocho Esenciales, podría considerarse negligencia en caso de violación de datos personales (Ley de Privacidad) o que afecte a infraestructuras críticas.

PREGUNTAS FRECUENTES

¿Son obligatorios los Ocho Imprescindibles en Australia?

Es obligatorio para las entidades del gobierno federal australiano en virtud del Marco de Políticas de Seguridad Protectiva (PSPF). Para las empresas privadas, se considera la mejor práctica y se espera cada vez más, especialmente para las que trabajan con el gobierno o en sectores críticos, pero no es ampliamente obligatorio por ley (todavía).

¿Qué son los ocho niveles de madurez esenciales?

Existen tres niveles de madurez (uno, dos y tres) definidos por la ACSC. Cada nivel representa una capacidad creciente para defenderse de atacantes más sofisticados al requerir una aplicación más estricta de las ocho estrategias de mitigación. Una organización debe cumplir todos los requisitos de un nivel específico en las ocho estrategias para alcanzar ese nivel de madurez general.

¿A qué nivel de madurez debe aspirar mi organización?

La ACSC aconseja a las organizaciones que establezcan un nivel de madurez en función de su perfil de riesgo, teniendo en cuenta la probabilidad de convertirse en objetivo y las posibles consecuencias de un ataque. Las entidades gubernamentales australianas suelen aspirar a un nivel dos o superior. Las empresas deben realizar una evaluación de riesgos para determinar un objetivo adecuado.

¿Cómo se relacionan los Ocho Esenciales con ISO 27001 o NIST CSF?

Los Ocho Esenciales se centran en un conjunto específico y priorizado de estrategias técnicas de mitigación. ISO 27001 es una norma más amplia del Sistema de Gestión de la Seguridad de la Información (SGSI) que cubre la gobernanza, la gestión de riesgos y una gama más amplia de controles (incluidos muchos técnicos que se alinean con los E8). NIST CSF es un marco de alto nivel para organizar las actividades de ciberseguridad. La implementación de los Ocho Esenciales ayuda a cumplir muchos requisitos de control técnico dentro de ISO 27001 y se alinea con las funciones de "Proteger" y "Recuperar" del NIST CSF.

¿Son los Ocho Esenciales sólo para entornos Windows?

Aunque originalmente se diseñó pensando principalmente en los sistemas Microsoft Windows (lo que se refleja en controles como la configuración de macros de Office), los principios en los que se basan los Ocho Esenciales (aplicación de parches, control de aplicaciones, MFA, copias de seguridad, etc.) son aplicables y adaptables a otros sistemas operativos (Linux, macOS) y entornos en la nube, aunque los métodos específicos de implementación diferirán.

¿Cómo se evalúa el cumplimiento de los Ocho Esenciales?

La evaluación suele consistir en una autoevaluación con respecto a las especificaciones del Modelo de Madurez de la ACSC. Para el cumplimiento de la normativa gubernamental o el aseguramiento por parte de terceros, las auditorías o evaluaciones formales pueden ser realizadas por partes independientes, examinando las configuraciones técnicas, las políticas, los procedimientos y las pruebas de implementación para cada estrategia en el nivel de madurez objetivo. Herramientas como Introspectus Assessor pueden automatizar partes de la comprobación técnica.

¿Dónde puedo encontrar la guía oficial de los Ocho Esenciales?

El sitio web del Centro Australiano de Ciberseguridad (ACSC) (cyber.gov.au) es la fuente oficial de las estrategias de mitigación de los Ocho Esenciales y de las especificaciones detalladas del Modelo de Madurez.