Año 4 - Nº 4 | Abril 2008  

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste


- Claves del Mes -

Seguridad Jurídica
Spam
DNS´s Attacks
Blackberries
Ciber-Solidaridad

 
 

Palabras de CISO

 

 
 
Lista de comprobación de Políticas de Seguridad de Información (Segunda Parte)

Frano Capeta
I-SEC Information Security - Perú


Leer primera parte...

La gestión de las crisis y la recuperación en casos de desastre

 

Desarrollar un plan de gestión de crisis. Este plan debería abarcar no sólo una crisis de TI sino también cualquier crisis que pueda ocurrir. Esto debe incluir los desastres naturales y ataques terroristas.

 

Desarrollar un plan de recuperación de desastres de TI. Este plan debe ser probado periódicamente. No vamos a indicar cómo crear un plan de recuperación en casos de desastre, debido a que está fuera del alcance de este documento.

 

FISICOS

 

Documentar qué controles de seguridad física existen en el ambiente de TI. ¿El centro de datos y sala de servidores tienen cerraduras en las puertas? ¿Se trata de cerraduras electrónicas con un registro que va de dentro y fuera? ¿La habitación tiene las ventanas que se pueden dividir? ¿Cómo tendría que ser resistente a una inundación, tornado, o el corte de luz? ¿Hay UPS y generadores en el lugar? ¿Qué clase de protección contra incendios que el centro de datos y sala de servidores? Además, considere la posibilidad de vigilancia por vídeo. Tenga en cuenta que esto sólo abarca los activos de TI y no cubre la seguridad física para toda la empresa.

 

Asegurar contra el acceso físico a una consola que se puede conectar a servidores, routers, y/o Switches.

 


PC’s y Laptops

 

Documentar los controles en las PCs y computadoras portátiles.

 

Los usuarios no deben tener privilegios de administrador en su PC local, a menos que exista una necesidad de las empresas (por ejemplo, para ejecutar una aplicación de negocios). Los usuarios deben siempre iniciar una sesión en el dominio, y no tener una cuenta local, si es posible.

 

Utilice la encriptación de archivos de modo que si una PC o un portátil se pierden o es robado, sus datos no se pueden leer.

 

Ejecutar antivirus y anti-spyware en todos los equipos sean estos desktop o laptops.

 

Considere la posibilidad de un firewall personal en portátiles, ya que viajan de red a red.

 

Llevar a la práctica la controles de seguridad de las política del grupo de Windows para bloquear lo que pueden hacer los usuarios de desktops y portátiles. Por ejemplo, evitar que los usuarios puedan instalar programas.

 

Desarrollar un procedimiento para garantizar que los desktops y portátiles han instalado los últimos parches.

 

Desarrollar una política de los dispositivos USB extraíbles. Se trata de un importante riesgo de seguridad ya que pueden ser utilizados fácilmente para eliminar grandes cantidades de datos, incluidos los secretos empresariales.

 

 

Acceso Remoto

 

Controlar el acceso dial-up (RAS) y VPN de acceso remoto. Sólo establecer permisos para los que verdaderamente lo necesitan. La lista debe ser lo más breve posible.

 

Documentar las políticas de la empresa sobre acceso remoto.

 

Registre el éxito y el fracaso de los inicios de sesión de acceso remoto.

 

Periódicamente acudir a una empresa externa para realizar una prueba de penetración en los sistemas de acceso remoto.

 

Aplicar un método para garantizar que los clientes a través de la conexión de acceso remoto tengan un buen antivirus y parches instalados para evitar que se infecten los sistemas de la empresa.

 

Considere la posibilidad de utilizar tokens como un método de autenticación secundario para el acceso remoto. De esta forma, si un nombre de usuario y contraseña son robados, que todavía no se pueda tener acceso a la red sin el token.

 

 

Servidores, routers, and switches

 

Ejecutar un software antivirus sobre los servidores.

 

Asegurar que los servidores, routers y switches tienen los últimos parches instalados.

 

Registrar los log de estos dispositivos a un servidor central de registro.

 

Ejecute el software de supervisión de la ejecución de manera que pueda recibir avisos si algo anormal sucede en los servidores o la red. Muchas veces esto puede ser una indicación de una violación a la seguridad o de otro problema crítico.

 

Documentar quién es el administrador de acceso de estos dispositivos y con qué frecuencia se cambia la contraseña.

 

Documentar qué privilegios y qué método de acceso se dará a los proveedores de acceso que necesitan para apoyar y/o cambiar los servidores y dispositivos de red.

 

Documentar la seguridad en todo el desarrollo de software y pruebas, así como el servidor y el dispositivo de red del entorno de pruebas.

 

 

Red de Internet y externa

 

Periódicamente (se sugiere trimestral) una compañía externa debe realizar una prueba de penetración en la conexión a Internet (o conexiones).

 

Proteger la red interna y la zona desmilitarizada de la red externa con un servidor de seguridad. Registrar que el firewall niegue la entrada en la red.

 

Documentar las reglas del firewall con explicaciones, y hacer las configuraciones de servidor de seguridad coherentes a través de los diferentes segmentos.

 

Utilice un sistema de prevención de intrusos para poner fin a ataques maliciosos, de otro modo, obtenido a través del firewall.

 

Asegúrese de tener el número más bajo de conexiones a Internet como sea posible (incluyendo conexiones de acceso telefónico). Cada conexión a Internet es una vía para un atacante malicioso para entrar en su red.

 

 

Wireless

 

Periódicamente convocar a una compañía externa para realizar una prueba de penetración de las redes de acceso inalámbrico.

 

Asegúrese de que esté utilizando por lo menos la forma más fuerte posible de encriptación WEP.

 

Verificar la existencia de un producto de seguridad inalámbrica que ayude a prevenir que las señales inalámbricas salgan de su edificio u oficina, y controlar puntos de acceso malicioso en su red.

 

Considere la posibilidad de utilizar la autenticación 802.1X como un método secundario método de autenticación para usuarios wireless (además de clave WEP).

 

Considere el establecimiento de la red inalámbrica en la zona desmilitarizada y obligar a los usuarios a conectarse a él a través de una conexión VPN.

 

Documentar la política de seguridad inalámbrica y educar a los usuarios sobre la misma.

 

 

Logging

 

Poner en marcha un servidor de registro de Log centralizado.

 

Documentar cómo se registra la información, qué se está registrando y cuánto tiempo se mantienen los registros.

 

 

Smartphones and cell phone

 

Documentar el correcto e incorrecto uso de los teléfonos celulares, smartphones y PDA's de la empresa.

 

Considere la posibilidad de utilizar un producto que permita “inutilizar a distancia" un smartphone o teléfono celular perdido y hacer sus datos inútiles.

 

Documentar qué tipos de teléfonos celulares son soportados y quién soporta a ellos.

 

 

Documentación y gestión del cambio

 

Documentar quién controla los cambios introducidos en la política de seguridad y quién mantendrá la documentación al día.

 

Documentar el proceso que deben pasar los cambios antes de que puedan ser aplicados.

 

 

 


Frano Capeta Mondoñedo
I-SEC Information Security
Perú
frano.capeta@i-secperu.org



   
 

 
Copyright © 2008 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales