Ir al contenido
Avanet

Uso correcto del Sophos Firewall Health Check

Sophos Firewall

El Sophos Firewall Health Check es una revisión integrada de la configuración del firewall. Muestra en el Control Center si configuraciones importantes cumplen con las recomendaciones de seguridad y mejores prácticas. Es especialmente útil para los administradores, ya que hace visibles configuraciones riesgosas antes de que se conviertan en un problema de seguridad u operativo.

El Health Check fue introducido con Sophos Firewall v22. La función evalúa configuraciones en comparación con mejores prácticas y estándares como los CIS Benchmarks. Con SFOS 22.0 MR1 también se actualizó el contexto CIS subyacente.

Vídeo tutorial

El vídeo muestra el Health Check en Sophos Firewall y complementa la explicación de los hallazgos del artículo.

¿Qué artículo de seguridad es adecuado?

El Health Check es un buen punto de partida, pero no todos los hallazgos se resuelven completamente en el artículo del Health Check. Para la implementación práctica, estos son buenos puntos de partida:

SituaciónMejor punto de partida
Recopilar, priorizar y documentar hallazgosEste artículo
WebAdmin, SSH, User Portal, VPN Portal, DNS o Ping demasiado accesiblesAsegurar el acceso a Sophos Firewall: Configurar correctamente el Device Access
Falta MFA para administradores, VPN Portal o acceso remotoActivar MFA para Sophos Firewall WebAdmin, VPN Portal y acceso remoto
Acceso a la API XML o automatización demasiado abiertoAsegurar el acceso a la API XML de Sophos Firewall
Reglas de firewall demasiado amplias o poco clarasEntender y configurar correctamente las reglas de Sophos Firewall
IPS debe activarse o revisarseConfigurar y probar de manera segura el IPS de Sophos Firewall
Se debe implementar la inspección TLSImplementar correctamente la inspección TLS de Sophos Firewall
Protección web, categorías o alertas instantáneas son relevantesUtilizar categorías web y alertas instantáneas de Sophos Firewall
Protección DNS debe gestionarse a través de Sophos CentralConfigurar Sophos DNS Protection con Sophos Firewall
Threat Feeds, NDR o Active Threat Response deben proporcionar hallazgosOperar Sophos Firewall NDR y Active Threat Response
Los cambios de configuración deben ser rastreablesRevisar los registros de auditoría de Sophos Firewall

Esta división previene dos errores típicos: los hallazgos se consideran solo como notificaciones del panel sin abordarlos técnicamente, o se activan funciones de protección de manera general sin aclarar registros, excepciones y responsabilidades.

Para qué está diseñado el Health Check

El Health Check no es un estado clásico del sistema ni un sensor de hardware. No verifica si una fuente de alimentación está defectuosa o si un SSD está a punto de fallar. Para eso, son adecuados otros chequeos operativos, como Verificar el estado de salud del SSD o el monitoreo de HA y hardware.

El Health Check responde más bien a estas preguntas:

  • ¿Están los accesos administrativos demasiado abiertos?
  • ¿Está activado el MFA para inicios de sesión críticos?
  • ¿Están las reglas del firewall demasiado abiertas?
  • ¿Están preparados correctamente los respaldos, hotfixes, registros o funciones de Central?
  • ¿Se desvía la configuración de los estándares de seguridad recomendados?
  • ¿Existen hallazgos que deban resolverse antes de una auditoría o puesta en marcha?

Es, por lo tanto, una buena herramienta para el endurecimiento, revisión y control de cambios. Sin embargo, no reemplaza una arquitectura limpia, documentación de reglas ni una evaluación manual.

⚠️ Un Health Check en verde no significa automáticamente que el firewall esté planificado de manera segura. Indica si ciertas configuraciones verificables son adecuadas. El diseño de la red, la lógica de negocio, las excepciones, los grupos de usuarios y los procesos operativos deben seguir siendo evaluados profesionalmente.

No malinterpretar el puntaje como un objetivo

El Health Check es útil, pero el puntaje no debe convertirse en un fin en sí mismo. Algunos puntos son claros fundamentos de seguridad, como MFA, hotfixes, reglas de contraseña, acceso restringido a WebAdmin, respaldos o IPS. Otros puntos dependen más del ecosistema de Sophos, la licencia o el modelo operativo.

Por lo tanto, no se debe activar cada recomendación solo para que la visualización se vuelva verde. Un ejemplo es el disclaimer de inicio de sesión: en entornos de auditoría o cumplimiento, puede ser necesario un aviso de inicio de sesión. Sin embargo, en muchos entornos operativos normales, solo genera un clic adicional en cada inicio de sesión y prácticamente no aporta un beneficio técnico de seguridad. Si solo aumenta el puntaje del Health Check, el valor agregado es limitado.

Lo mismo ocurre con funciones como DNS Protection, MDR threat feeds, NDR Essentials, Sophos X-Ops, Synchronized Application Control o Sophos Central Reporting. Estas funciones pueden ser útiles si están licenciadas, comprendidas, monitoreadas y realmente utilizadas en la operación. No deben activarse ciegamente solo porque el Health Check las recomienda. Lo importante siempre es: ¿reduce la medida un riesgo real en este entorno, y hay un responsable para la operación, excepciones y falsos positivos?

Como regla general:

CategoríaEvaluación
Accesos de gestión expuestos a Internet, MFA, hotfixes, respaldos, reglas de contraseña, IPSGeneralmente son fundamentos reales de seguridad u operación. Estos puntos deben tomarse muy en serio.
Registros, informes, notificaciones, NTPImportante para la operación y trazabilidad. El camino concreto depende del modelo operativo.
DNS Protection, NDR, MDR threat feeds, X-Ops, Synchronized SecurityÚtil si la función se utiliza, licencia, monitorea e integra en procesos. No automáticamente mejor solo por el puntaje.
Disclaimer de inicio de sesiónGeneralmente más una función de cumplimiento/aviso que una medida de protección técnica. Activar solo si realmente se requiere o desea.

Abrir el Health Check

El estado del Health Check aparece en el Control center. La vista detallada también se encuentra a través del menú principal:

Firewall health check

Allí se puede ver el número de configuraciones revisadas, los puntos conformes y los no conformes. Sophos muestra las entradas no conformes según su gravedad. Los datos se actualizan cuando cambia una configuración monitoreada. Por lo tanto, el Health Check también es adecuado para un seguimiento directo después de los cambios.

Para la revisión, no solo se debe anotar el estado general. Son más importantes los hallazgos concretos, el contexto de riesgo y la medida planificada. Un hallazgo crítico único sobre la accesibilidad WAN de WebAdmin es más importante en la operación que varios hallazgos menores sin exposición a Internet.

Resumen de las 31 revisiones del Health Check

La siguiente lista se basa en la vista del Health Check en inglés. El estado no se incluye intencionalmente, ya que varía según el firewall. Lo importante es qué revisión se menciona y cómo se clasifica profesionalmente.

RevisiónMóduloEstándarGravedadClasificación
1Synchronized Application Control debería estar activado.Active threat responseRecommendedMediumÚtil en entornos con Sophos Endpoint. En entornos mixtos o con Microsoft Defender, primero verificar si la función realmente proporciona datos.
2NDR Essentials debería estar activado y monitorear al menos una interfaz.Active threat responseRecommendedMediumSolo valioso si las interfaces monitoreadas se eligen adecuadamente y los hallazgos se evalúan posteriormente.
3Sophos X-Ops debería estar activado, acción Log and drop.Active threat responseCISHighRelevante para la seguridad si los Threat Feeds se utilizan activamente. Se deben verificar los falsos positivos y el registro.
4MDR threat feeds deberían estar activados, acción Log and drop.Active threat responseRecommendedHighSolo útil si las funciones de MDR o Threat Feed correspondientes están licenciadas e integradas operativamente.
5Una regla de firewall debería usar Synchronized Security Heartbeat.Active threat response and Advanced securityCISMediumGran valor con Sophos Endpoint. Sin Sophos Endpoint, no considerarlo simplemente como un tema de puntaje.
6Security Heartbeat debería estar activado.Active threat response and Advanced securityCISHighImportante si se utiliza Sophos Endpoint. De lo contrario, primero se debe aclarar el diseño del Endpoint.
7Login disclaimer debería estar activado.Admin settingsCISMediumTema de cumplimiento. Técnicamente tiene poco efecto de protección, pero genera un clic adicional al iniciar sesión.
8La configuración de Hotfix debería estar activada.Admin settingsCISHighMuy importante. Los hotfixes deben estar activos en entornos productivos, siempre que el proceso de cambio lo permita.
9Las sesiones inactivas deberían cerrarse y los inicios de sesión bloquearse después de intentos fallidos.Admin settingsCISHighEndurecimiento claro de inicio de sesión. Especialmente importante en portales expuestos y accesos administrativos.
10La complejidad de la contraseña debería configurarse para los usuarios.Admin settingsCISHighÚtil, especialmente para usuarios locales y portales. Con un IdP externo, también se debe revisar su política de contraseñas y MFA.
11La complejidad de la contraseña debería configurarse para los administradores.Admin settingsCISHighEndurecimiento básico. Más importante aún son los administradores individuales, MFA y el acceso restringido.
12DNS Protection debería configurarse y estar activa.Advanced securityRecommendedMediumNo activar de manera general. DNS Protection es útil si las políticas de DNS Central y los informes se utilizan realmente.
13MFA debería estar activo para los inicios de sesión de VPN de acceso remoto.AuthenticationCISHighMuy importante para SSL VPN y acceso remoto IPsec. Planificar el despliegue con un administrador de respaldo y usuarios de prueba.
14MFA debería estar activo para la WebAdmin Console y el VPN Portal.AuthenticationCISHighMuy importante, especialmente si los portales son accesibles desde redes menos controladas.
15Las conexiones a los servidores de autenticación deberían estar cifradas.Authentication serversCISMediumImportante en conexiones AD/LDAP/RADIUS. Evitar autenticación no cifrada.
16Los respaldos deberían planificarse en el firewall o en Sophos Central.Backup & restoreCISLowGravedad baja, pero extremadamente importante en caso de emergencia. También probar el proceso de restauración.
17La autenticación de clave pública debería estar activada para SSH.Device accessRecommendedHighMuy útil. Además, permitir SSH solo desde redes de confianza.
18El User Portal no debería ser accesible desde la zona WAN.Device accessRecommendedHighCorrecto en muchos entornos. Si se necesita acceso WAN, restringirlo fuertemente y usar MFA.
19La WebAdmin Console no debería ser accesible desde la zona WAN.Device accessCISHighUno de los puntos más importantes. Nunca abrir ampliamente WebAdmin a Internet.
20MFA debería configurarse para el administrador predeterminado.Device accessCISHighImportante, pero mejor aún es un proceso administrativo limpio con cuentas de administrador personales.
21Los correos electrónicos de notificación deberían configurarse para eventos del sistema y de seguridad.Notification settingsCISLowImportante operativamente. Alternativamente o además, integrar monitoreo, Syslog, SIEM o alertas de Central.
22Las actualizaciones automáticas de patrones deberían estar activadas.Pattern updatesCISHighOperación básica. Sin patrones actuales, muchas funciones de protección pierden valor. En entornos de Air-Gap, se necesita un proceso manual de patrones y licencias.
23Se debería seleccionar una política web en una regla de firewall.Rules and PoliciesRecommendedMediumÚtil para el tráfico web de usuarios. No aplicarlo ciegamente al tráfico de servidor a servidor o tráfico especializado.
24La protección contra día cero debería seleccionarse en una regla de firewall.Rules and PoliciesCISHighÚtil para rutas web y de descarga adecuadas. Considerar licencia, rendimiento y falsos positivos.
25IPS debería estar activado y se debería seleccionar una política IPS en una regla de firewall.Rules and PoliciesCISHighPunto de protección muy importante. IPS debe elegirse adecuadamente por ruta de tráfico y registrarse.
26Se debería seleccionar una política de control de aplicaciones en una regla de firewall.Rules and PoliciesCISMediumÚtil para reglas de Internet de clientes. Probar primero en tráfico crítico.
27Una regla de inspección SSL/TLS debería usar la acción Decrypt.Rules and PoliciesCISHighNo activar ciegamente. La inspección TLS requiere distribución de CA, excepciones, fase piloto y proceso de resolución de problemas.
28Una regla de permiso no debería usar Any en los campos de red y servicio en todas partes.Rules and PoliciesCISMediumMuy importante para la higiene de reglas. Any puede ser necesario conscientemente, pero debe justificarse y registrarse.
29Sophos Central Reporting debería estar activado.Sophos centralRecommendedMediumÚtil para informes y evaluaciones más largas. No es obligatorio si Syslog/SIEM se opera correctamente.
30El firewall debería estar registrado para Sophos Central Management y Central Management debería estar activado.Sophos centralRecommendedMediumPráctico para gestión centralizada, respaldos e informes. No todos los entornos quieren o necesitan gestión en la nube.
31Se debería configurar un servidor NTP.TimeCISLowRequisito básico. Sin tiempo correcto, los registros, certificados, autenticación y resolución de problemas sufren.

Priorizar correctamente los hallazgos

No todos los hallazgos tienen la misma importancia en cada entorno. Una buena revisión clasifica las entradas no solo por gravedad técnica, sino también por exposición y riesgo operativo.

Esta secuencia ha demostrado ser efectiva:

  1. Revisar accesos de gestión y portales expuestos a Internet.
  2. Revisar MFA y seguridad de inicio de sesión para administradores, VPN Portal, User Portal y acceso remoto.
  3. Limpiar reglas de firewall con fuentes, destinos o servicios demasiado amplios.
  4. Controlar registros, respaldos y hotfixes.
  5. Revisar funciones de protección por regla, como IPS, política web, control de aplicaciones, inspección TLS o protección contra día cero.
  6. Evaluar hallazgos de Central, Reporting o NDR según si la función realmente se utiliza y opera en el entorno.

La secuencia es pragmática: primero las cosas que son directamente visibles en Internet o permiten acceso al firewall. Luego, higiene de reglas y funciones de protección. Luego, temas operativos y de ecosistema.

Hallazgos típicos y medidas adecuadas

WebAdmin, User Portal o VPN Portal son demasiado accesibles

Si los portales administrativos o cercanos al usuario son accesibles desde demasiadas zonas, aumenta el riesgo de escaneos, intentos de fuerza bruta y relleno de credenciales. El artículo más importante sobre esto es Asegurar el acceso a Sophos Firewall: Configurar correctamente el Device Access.

Para entornos productivos, se debe verificar:

  • ¿Es realmente necesario WebAdmin desde la zona WAN?
  • ¿Existe una regla de excepción de Local Service ACL para la IP de gestión o la red de administración?
  • ¿SSH solo está permitido desde redes de confianza?
  • ¿Son User Portal y VPN Portal accesibles solo donde se necesitan?

Falta MFA o no está activado de manera consistente

MFA debe aplicarse al menos a accesos administrativos y acceso remoto. Si el Health Check muestra hallazgos de MFA, no se debe cambiar ciegamente para todos los usuarios al mismo tiempo. Es mejor un despliegue controlado con usuario de prueba, administrador de respaldo y proceso de token limpio.

La guía práctica está en Activar MFA para Sophos Firewall WebAdmin, VPN Portal y acceso remoto.

Las reglas de firewall son demasiado abiertas

Reglas muy amplias con Any en fuente, destino o servicio a menudo han crecido históricamente. No todas las reglas amplias son automáticamente incorrectas, pero cada una debe estar justificada.

Para la limpieza, estas preguntas son útiles:

  • ¿Qué zona realmente puede acceder a qué zona?
  • ¿Se pueden restringir las redes de destino o los servicios?
  • ¿Está activo el registro para que los aciertos sean visibles?
  • ¿Existen reglas de prueba antiguas o excepciones temporales?
  • ¿Se puede dividir la regla en varias reglas más comprensibles?

Los fundamentos están en Entender y configurar correctamente las reglas de Sophos Firewall. Si no está claro qué regla se aplica, ayuda Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture.

Faltan respaldos, hotfixes y proceso de actualización

Un Health Check puede señalar la falta de respaldos o temas de actualización/hotfix. Estos puntos parecen menos espectaculares que la exposición de portales, pero son cruciales en caso de emergencia.

Antes de cambios mayores, se debe crear un respaldo y saber cómo funciona una restauración. El procedimiento está descrito en Crear o restaurar un respaldo de Sophos Firewall. Para temas de firmware, es adecuado Actualización de firmware de Sophos Firewall - Preparación y mejores prácticas.

Registros e informes son incompletos

Si faltan registros, la operación es ciega. El Health Check puede dar pistas sobre temas de registros o informes, pero la decisión real depende del modelo operativo.

Para análisis local, son relevantes Log Viewer, registros de servicios y Packet Capture. Para almacenamiento más prolongado, se necesita Central Firewall Reporting o Syslog/SIEM. Si no se investigan eventos de registro individuales, sino flujos de tráfico, picos de ancho de banda o relaciones de comunicación inusuales, también es adecuado Monitoreo sFlow. Los fundamentos locales están en Solución de problemas de Sophos Firewall: Servicios y registros.

Las funciones de protección no están activas en las reglas

Un punto frecuente son las reglas sin IPS, política web, control de aplicaciones, inspección TLS o protección contra día cero. Aquí no se debe activar todo de manera general, sino entender la ruta del tráfico.

Ejemplos:

  • El tráfico web de usuarios necesita controles diferentes al tráfico de servidor a servidor.
  • La inspección TLS debe implementarse planificadamente, ya que puede interferir con aplicaciones.
  • IPS y control de aplicaciones necesitan registro y una rutina de revisión.
  • Las funciones de NDR o Threat Feed solo ayudan si los hallazgos se evalúan posteriormente.

Para la inspección TLS, es adecuado Implementar correctamente la inspección TLS de Sophos Firewall. Para Threat Feeds, es adecuado Sophos Firewall Threat Feeds.

Documentar conscientemente los overrides

Sophos Firewall permite anular manualmente el estado de revisiones individuales. Esto puede ser útil si una recomendación no se implementa conscientemente en el propio entorno.

Sin embargo, los overrides no deben malinterpretarse como una función de limpieza. Si se anula un punto, debe estar documentado:

  • ¿Por qué no es adecuada la recomendación?
  • ¿Quién aprobó la decisión?
  • ¿La excepción es permanente o solo temporal?
  • ¿Cuándo se revisará nuevamente?
  • ¿Existe una medida compensatoria?

⚠️ Un override no es una solución. Es una aceptación consciente del riesgo o una excepción documentada. Sin justificación, el Health Check pierde valor.

Documentar correctamente el resultado

Una revisión del Health Check debe generar un resultado rastreable. De lo contrario, solo se ve brevemente un panel, pero más tarde no se sabe qué decisión se tomó y qué puntos aún están pendientes.

Para entornos pequeños, a menudo basta con una tabla simple:

CampoPropósito
Fecha¿Cuándo se revisó el Health Check?
Firmware¿En qué versión de SFOS se evaluó?
Hallazgo¿Qué punto no conforme se reportó?
Riesgo¿Por qué es relevante o menos relevante el punto en este entorno?
Medida¿Qué se cambiará, probará o aceptará conscientemente?
Responsable¿Quién aclarará el punto profesional o técnicamente?
Fecha límite¿Para cuándo debe completarse la medida o reevaluarse?
EvidenciaCaptura de pantalla, ticket, ID de cambio o referencia de registro de auditoría

En firewalls productivos, la evidencia no debe consistir solo en una captura de pantalla. Si se cambió una configuración, deben estar juntos el ticket de cambio, el registro de auditoría, la regla de firewall afectada y el resultado del seguimiento. Para cambios en reglas, interfaces, hosts y servicios, es especialmente útil Revisar los registros de auditoría de Sophos Firewall.

Revisar nuevamente después de los cambios

Después de una corrección, se debe abrir nuevamente el Health Check y verificar si el hallazgo realmente ha desaparecido. Además, se necesita una prueba de funcionamiento técnico, ya que un estado verde por sí solo no prueba que el tráfico productivo siga funcionando correctamente.

Ejemplos:

  • Después de un cambio en Device access, verificar si el acceso administrativo desde la red de gestión prevista aún funciona y ya no es accesible desde redes no deseadas.
  • Después de cambios en MFA, iniciar sesión con un usuario de prueba y verificar por separado el administrador de respaldo.
  • Después de cambios en el conjunto de reglas, probar Log Viewer, Policy Test y aplicaciones afectadas.
  • Después de cambios en registros o informes, verificar si los nuevos eventos son realmente visibles localmente, en Sophos Central o en el Syslog.
  • Después de un override, establecer un recordatorio para que la excepción no se olvide permanentemente.

Si se abordan varios hallazgos al mismo tiempo, se deben dividir los cambios en bloques pequeños. De lo contrario, en caso de un problema posterior, no está claro si el acceso al dispositivo, MFA, reglas de firewall, inspección TLS u otro cambio fue la causa.

Usar el Health Check como proceso operativo

El Health Check es más efectivo cuando se ejecuta regularmente y después de cambios importantes.

Momentos adecuados:

  • después de la configuración inicial o una puesta en marcha,
  • antes y después de cambios importantes en el conjunto de reglas,
  • antes de actualizaciones de firmware,
  • después de restauraciones o cambios de hardware,
  • después de migraciones o cambios importantes en la arquitectura,
  • antes de auditorías,
  • trimestralmente como revisión de seguridad.

Para los cambios en sí, también se debe utilizar el registro de auditoría. El artículo Revisar los registros de auditoría de Sophos Firewall explica cómo evaluar configuration-audit.log y rastrear cambios de configuración.

Proceso práctico de revisión

Una revisión pragmática del Health Check se desarrolla así:

  1. Abrir el Health Check en el Control Center.
  2. Ordenar los hallazgos no conformes por gravedad.
  3. Revisar primero los servicios y accesos administrativos expuestos a Internet.
  4. Abordar temas de MFA, contraseñas y sesiones.
  5. Identificar reglas de firewall amplias y validar con Log Viewer.
  6. Revisar respaldos, hotfixes, registros e informes.
  7. Evaluar funciones de protección por regla.
  8. Documentar excepciones justificadas en lugar de anular sin comentarios.
  9. Revisar nuevamente después de los cambios.
  10. Documentar el resultado con fecha, responsable y puntos pendientes.

Para revisiones recurrentes, a menudo basta con una tabla simple con hallazgo, riesgo, medida, responsable, estado y recordatorio. Lo importante es que los hallazgos no solo se vean, sino que se aborden o se acepten conscientemente.

Límites

El Health Check es útil, pero tiene límites claros.

  • No conoce toda la lógica de negocio del entorno.
  • No evalúa si una regla es necesaria profesionalmente.
  • No reemplaza la segmentación de red ni un modelo de zonas.
  • No detecta automáticamente cada caso especial riesgoso.
  • No reemplaza una auditoría externa ni una revisión manual de reglas.
  • No indica si las alertas se abordarán posteriormente.

Por lo tanto, se debe ver el Health Check como un punto de partida. Hace que las desviaciones visibles sean tangibles, pero la verdadera calidad de seguridad surge de una buena arquitectura, procesos limpios y mantenimiento constante.

Lista de verificación operativa

  • Ejecutar el Health Check después de la puesta en marcha y después de grandes cambios.
  • Priorizar hallazgos por gravedad y exposición.
  • Revisar la accesibilidad WAN de WebAdmin, SSH, User Portal y VPN Portal.
  • Activar MFA para administradores, portales y acceso remoto.
  • Limpiar o justificar reglas de firewall amplias.
  • Activar registros en reglas importantes.
  • Revisar respaldos y proceso de restauración.
  • Documentar el proceso de hotfix y firmware.
  • Establecer overrides solo con justificación.
  • Documentar regularmente el resultado del Health Check.

FAQ

¿Qué verifica el Sophos Firewall Health Check?

El Health Check verifica configuraciones seleccionadas del firewall contra configuraciones recomendadas, mejores prácticas y estándares como los CIS Benchmarks. Esto incluye, entre otros, reglas de firewall, MFA, complejidad de contraseñas, accesos de gestión y otras opciones de seguridad.

¿Es un Health Check en verde una prueba completa de seguridad?

No. Un Health Check en verde es una buena señal, pero no reemplaza una revisión de arquitectura, un análisis de reglas, un concepto de respaldo ni una revisión de seguridad manual.

¿Con qué frecuencia se debe ejecutar el Health Check?

Al menos después de cambios importantes, antes de auditorías y en un ritmo fijo, por ejemplo, trimestralmente. En entornos críticos, una revisión mensual puede ser útil.

¿Se deben anular los hallazgos del Health Check?

Solo de manera consciente y documentada. Un override es útil si una recomendación no se ajusta justificadamente al entorno. Sin justificación, un override debilita el valor del Health Check.

¿Qué se debe corregir primero?

Primero se deben revisar los hallazgos con exposición a Internet, acceso administrativo, MFA, reglas demasiado abiertas, respaldos faltantes y registros faltantes. Luego siguen optimizaciones en funciones de protección e integraciones de ecosistema.