Esta es la primera pregunta que escucho cuando hay perdida de información, primero que nada no hay que hablar de «Seguridad Informática» sino de seguridad de la información, seguridad es el arte de asegurar algún valor no permitiendo el acceso a personal no autorizado a esta para esto hay accesos controlados, guardias, cámaras, PROCEDIMIENTOS.

Entonces la contra pregunta es ¿Cuanto vale la información? en varios ámbitos,

Perdida: Ejemplo corrupción de raid 5 en servidor de un área de estudio de propuesta, historia de 5 años, efecto perdida de memoria del área, atraso de entrega de propuestas en curso.

Disponibilidad: El área de RRHH no puede entrar al sistema para pagar sueldos, efectos atraso en el pago de sueldos, baja en la moral de los empleados, disminución de productividad.

Confidencialidad: Gremio que pelea ajustes saláriales tuvo acceso a nómina de pagos de otra obra.

Integridad: Archivos corruptos por Virus en servidor de archivos. si se dispone de un respaldo diario se puede recuperar.

El primer paso es definir un comité de seguridad, el propósito principal es clasificar la información, como mínimo en dos confidencial y no confidencial. y dependiendo del valor de esta definir las medidas de prevención y mitigación para que no caigan en manos inadecuadas, o sean objeto de daño por incidentes medioambientales o accidentes humanos.

Se puede usar el Modelo OSI para ir desde abajo hacia arriba, descubriendo vulnerabilidades (Riesgos no controlados).

Podemos comenzar por la capa 0 o -1

Que seria el lugar donde esta nuestro centro de computo, recuerdo un datacenter ubicado en un subterráneo con el estacionamiento, un día un vehículo ingreso a esta sala. en otro grupo de servidores un día viernes una tubería del aire acondicionado del piso de arriba reventó un día viernes, lo cual mojo todas las máquinas.

Enlaces de Red Redundantes para Internet, Grupos electrógenos que alimentan a las UPS, extinguidores en caso de incendios o sistemas de corte de oxígeno. procedimiento de recuperación de servicios en otro lugar en caso de desastre total, o problemas políticos en el país.

Nuestra red eléctrica es primordial para el buen funcionamiento de nuestra infraestructura tecnológica, un día me toco ver un hervidor de agua con enchufe tipo Magic conectada al circuito de computación. los cuales deben estar aislados, los de impresoras también ya que estas en el momento de calentar el tonner producen una gran demanda de electricidad generando una variación grande de energía.

Manejo de Temperatura en nuestro centro de datos, no basta con colocar un aire acondicionado si este se condensa en la sala es fatal, los sistemas que recomiendo son los que meten a través de tuberías el aire frío por debajo y lo sacan por arriba justo donde están los rack con los equipos. generando un flujo continuo.

Accesos controlados, áreas restringidas no es conveniente que por ejemplo los abogados estén imprimiendo en la impresora del pasillo. definir áreas publicas y áreas restringidas.

LAN, nuestra lan debe estar certificada, con medidas de inducción, que cumpla rigurosamente con la norma EIA/TIA 568A o B, recuerden para todo hay una norma o estándar que nos asegura que estamos haciendo las cosas bien, para que reaventar la rueda. una política es mantener los puntos de red desconectados desde el rack, solo conectados los que están siendo usados para evitar por parte de los usuarios el mal uso de estos.  un estricto control de dispositivo por MAC. para evitar equipos no autorizados tengan acceso a la red.

Nuestra LAN puede estar dividida por VLAN, una política efectiva para que no se propaguen virus, o se creen verdaderos repositorios de MP3. compartidos a todos en la organización es no permitir por políticas de Grupos es compartir carpetas en las estaciones de trabajo, para lo cual existe un servidor de archivos.

Una DMZ donde tenemos nuestros servidores Front End, web, correo etc. también podemos tener un WIFI con acceso a Internet. para nuestras visitas.

Segmentación de nuestra red, nuestro bastión son los servidores los cuales deberían estar aislados, recuerdo lo que ocurrió con el famoso Blaster los únicos servidores que se salvaron eran los que se comunicaban entre si con IPSEC. definir roles, cada servidor tiene que hacer lo suyo con lo cual se puede aplicar HARDENING. mientras mas roles cumple un servidor mas difícil es protegerlos y aumenta su posibilidad de fallo y con ello los servicios comprometidos. al diseñar un servidor o servicio lo tenemos que hacer pensando en hacerlo lo mas redundante posible. unos de los servicios mas importantes es el DHCP. en muchos lugares me encuentro con uno solo un modelo 80% 20% es lo mas aconsejable. redundancia dentro de la máquina y redundancia como servicio en varias máquinas.

Respaldos, Respaldos y mas Respaldos.

Estructuras de Directorio Activos, organizar nuestras máquinas y usuarios en departamentos y luego máquinas, tipos y usuarios tipo. nos permite un mejor despliegue de nuestras políticas de Grupo el mejor aliado para aplicar políticas lo cual evita que estas no funcionen etc. siempre probarlas en un ambiente de laboratorio antes de pasar a producción y documentar.

Protección Antivirus, es sumamente importante que contemos con una solución antivirus que nos permita el manejo centralizado de la situación de nuestra red, que se pueda desplegar centralizadamente, que no tenga un impacto mayor en el rendimiento de nuestras estaciones, que sea unos de los primeros en tener la vacuna para amenazas nuevas.

Tan importante como el antivirus es tener un servidor de Windows Update Interno, una que disminuye el uso del ancho de banda por las estaciones descargando las actualizaciones, tenemos control de cuales y cuales no queremos que se propaguen por la organización. muchos virus nuevos buscan las vulnerabilidades para ser explotadas, como el caso de Blaster.

Contraseñas Seguras, obligar a los usuarios a usar contraseñas seguras de mas de 8 caracteres que incluyan símbolos y combinación de letras mayúsculas, tanto así es mas o igual de importante es inducir capacitar sobre la importancia de el cuidado de la información de la compañía, de lo contrario encontraras pegada la contraseña debajo del teclado. también se puede incluir dos medios de autentificacion un token y una clave. protectores de pantalla con contraseña no dejar papeles en los escritorios o en la impresora que contengan información confidencial

Uso de los servicios y recursos de la organización para fines personales, esto debería ser causal de despido y estar estipulado en los contratos de trabajo. así como la instalación de software no autorizado.

Camino Forzado, el usuario solo debe tener acceso a los servicio y información que necesita ni mas ni menos. principalmente en los sistemas y servidores de archivos.

Control de Medios Móviles, grabadores de CD, pendrives. una política es deshabilitar los puertos USB para el uso de disco externos. grabadores de CD.

Internet Llave Cerrada, Esta política es interesante permite tener control del recurso Internet, solo se autorizan los sitio que se usan para el trabajo, lo que permite revisarlos, antes de autorizarlos. quien solicita es el usuario quien autoriza es el jefe del área (Dueño de Datos). quien da la ultima autorización la gente de seguridad de informática.

Puertos FireWall, Todos Cerrados. excepto los típicos 80 443 etc. antes de abrir uno se estudia el impacto en seguridad que esto tendría.

El uso por parte de los administradores del RUNAS para tareas que necesitan tales permisos como administrador, nunca operar con una cta. con tales privilegios.

NUNCA, NUNCA hacer pruebas en producción, en los desastres el factor humanos sigues siendo el mas importante, accidentes por descuido, negligencia,  etc.

En resumen hay muchos controles de riegos o buenas practicas que se pueden implementar, lo mas importante es inducir y entrenar a los usuarios, que la información que manejan es un valor incluso esta contenida en sus cabezas. incluso la entrega de esta es espontánea a modo de comentario en una reunión de café. no se preocupen tanto del hacker, sino de sus propios usuarios, hagan hacking al asar vayan a contabilidad tomen un papel o un computador o una impresora, revisen el papel o documento y vean si encuentran información confidencial eso es lo que haría alguien de la competencia para obtener información para tener una ventaja estratégica.

 

esta herramienta es una excelente guía para comenzar a revisar cosas http://www.microsoft.com/technet/security/tools/msat/default.mspx 

Me gustaría mucho que compartieran conmigo sus políticas o practicas para agregarlas a estas y por supuestos sus comentarios.