| |
|
Lista de comprobación de Políticas de Seguridad de Información (primera parte) |
Por Frano Capeta Mondoñedo
|
| I-SEC Information Security Inc. -
Perú |
|
Todas las organizaciones necesitan de una sólida política de Seguridad de la Información. La siguiente lista de verificación puede ayudarle a iniciar la creación de una política, o puede facilitarle a auditar una política existente. Esta lista de comprobación está basada en experiencias en proyectos de I-SEC, cubre una amplia variedad de tecnologías y además provee algunas sugerencias útiles.
Navegación en la Web
☻Documentar el punto central de control para la navegación. Si se trata de un servidor proxy, un router o de un firewall.
☻Identificar al responsable que tiene acceso a determinar quiénes pueden acceder a navegar por Internet, a los sitios Web que pueden tener acceso los usuarios, y cuándo (horas del día) se puede acceder a esos sitios. Categorizar los sitios y controlar quién puede tener acceso a ciertas categorías de sitios y durante cuánto tiempo (es decir, “José sólo puede acceder a sitios de noticias por 20 minutos al día”).
☻Documentar el método para reportar quién está navegando en la Web, qué sitios son visitados, a quién se entregarán esos reportes y con qué frecuencia.
☻Documentar cuál es el proceso si un empleado visita sitios impropios o se dedica a excesiva navegación y definir estas dos acciones.
☻Registrar toda actividad de navegación, haciendo un registro seguro de nombre de usuario y dejar en claro que es una práctica de la compañía.
☻Asegúrese de que todos los empleados están conscientes de la política de navegación Web. Esto es importante ya que la mayoría de los empleados navega en la web todos los días y la política de seguridad de navegación es algo que los afecta.
☻Implementar Configuración de Políticas de Grupo (si utiliza Active Directory) Sobre el Internet Explorer para fortalecer los sistemas de usuario final y proteger de algunas Web de contenido malicioso. Por ejemplo, utilizando GPO puede normalizar la configuración de Windows de toda la empresa para que los navegadores no descarguen componentes ActiveX sin firmar. Que sea una política de empresa no bajar los controles ActiveX sin firmar a menos que sean aprobadas por el área de Seguridad de Información / Informática o TI (según sea el caso).
☻Implementar Software de seguridad para descargas lo cual permitirá evitar los adware, malware, spyware que sin saberlo son instalados en las máquinas de los usuarios. Este software deberá bloquear o poner en cuarentena ciertos tipos de descargas (quizás MP3 y videos).
☻Aplicar complejos requisitos de contraseña. Esto se puede hacer con una política de Windows. Usando una política de grupo (si es posible) forzar las contraseñas a una razonable longitud, que expirará cada pocos meses, para impedir la reutilización de antiguas contraseñas, y para bloquear a los usuarios que tienen muchos intentos de conexión fallidos.
☻Registro de exitosos y fallidos intentos de conexión y cierres de sesión. Esto es especialmente importante para el administrador de cuentas.
☻Considere la posibilidad de cambiar el nombre por defecto de la cuenta "Administrador”, de modo que sea un objetivo menos para robo ilegal de contraseñas.
☻Considere la posibilidad de utilizar Single-Sign-On (SSO), de forma que todos los usuarios sólo tengan un nombre de usuario/contraseña a recordar para todas las aplicaciones. Esto sólo es importante si hay varias Bases de Datos de nombre de usuario/contraseña de autenticación (como Windows, Linux / UNIX ) o si hay diferentes aplicaciones con su propia base de datos de nombre de usuario/ contraseña.
☻Documentar acerca de la política de nombres de usuario y contraseñas, y educar a los usuarios sobre el uso adecuado de ellos.
☻Realizar periódicamente en forma local testeos de contraseña de cuentas de administrador para poner a prueba la fortaleza de las contraseñas. Esto se puede hacer con una herramienta como L0ptcrack.
Mensajería instantánea
☻Considerar seriamente la posibilidad de bloquear toda mensajería instantánea (IM) a menos que sea necesaria por necesidades de la empresa.
☻Si IM es necesaria por razones de la empresa, implementar un programa para controlar quién puede utilizar la IM, el software que se puede utilizar, y registrar todas las conversaciones. Programe qué hacer también para controlar el contenido que se transmite a través de las conversaciones de voz y si se puede enviar y recibir mensajes instantáneos a través de descargas (los cuales pueden abrir en la empresa virus, malware y protección de la privacidad).
☻Documentar y educar a los usuarios sobre sus políticas de IM.
E- Mail
☻Documentar qué nivel de almacenamiento se requerirá para cada e-mail de usuario. Determinar cuáles serán las consecuencias cuando un mensaje de correo electrónico de usuarios es superior a su cuota (como las que les impiden el envío y recepción de correo electrónico).
☻Control de acceso externo al interior de los grupos (por ejemplo, "todos los empleados").
☻Considere la posibilidad de realizar un control de contenidos de los mensajes para evitar que los secretos comerciales o información confidencial salgan de la empresa.
☻Implementar programas anti-spam de correo electrónico corporativo.
☻Educar a los usuarios sobre el uso adecuado del correo electrónico y la forma en que no deben dar su dirección de correo electrónico a las empresas que les podrían enviar spam. Educar a los usuarios sobre qué hacer si reciben spam.
☻Aplicar un antivirus de escaneo de e-mail Implantar un programa de almacenamiento de correo electrónico. En función de los consejos del equipo jurídico de la empresa y de la legislación vigente, el programa de almacenamiento se puede utilizar para definir y fijar las fechas de vencimiento de los correos. La otra función del programa sería para controlar el tamaño de la base de datos de correo electrónico.
☻Desarrollar una política sobre el uso del correo electrónico de la empresa para uso personal (incluyendo el envío de chistes y cartas en cadena) y decidir lo que es "uso aceptable". Educar a los usuarios sobre esta política.
☻Educar a los usuarios sobre el "phishing" para ayudar a prevenir fraudes por robo de identidad.
Permiso de acceso a archivos
☻Documentar quiénes son los propietarios de los archivos importantes. Estas serán las personas que determinen quién tiene acceso a qué. Determinar quién tiene acceso a lo que no debe ser una función de TI. La función de TI es para configurar el acceso en el sistema operativo o aplicación, una vez que éste es determinado.
☻Cuidado con utilizar el permiso por defecto "Para todos".
☻Considere los accesos exitosos, accesos fallidos y modificaciones a los archivos.
Copias de seguridad
☻Documentar qué información necesita ser respaldada, la frecuencia con la que debe ser respaldada, y el plazo en que debe mantenerse. Documentar la frecuencia en que una prueba debe hacerse para que las copias de seguridad sean restauradas.
☻Considere la posibilidad de encriptar las cintas de copia de seguridad a fin de que los datos no se pueden recuperar si se pierden o se los roban.
☻Asegúrese de que las copias de seguridad sean también tomadas en las ubicaciones remotas (si las hubiera). Considere que alguien le preste el servicio.
Frano Capeta Mondoñedo
I-SEC Information Security Inc.
frano.capeta@i-secperu.org
|
