Firewalls

representan un mecanismo de defensa inicial que debe abarcar toda la red. Las reglas que se apliquen a los firewalls deben ser altamente restrictivas y establecerse por host y servicio.

Al crear las reglas para los firewalls y las listas de control de acceso (ACL) de los routers, céntrese en primer lugar en proteger los dispositivos de control de acceso y la red frente a posibles ataques.

+ Asegúrese de que los datos sigan fluyendo mediante la utilización de ACL de red y las reglas para los firewalls.

+ Compruebe el funcionamiento de las reglas para los firewalls y las ACL de los routers para determinar si las reglas contribuyen a ataques de negación de servicio (Denial of Service, DoS).

+ Utilice uno o varios DMZ como parte del desarrollo sistemático y formal de firewalls.

+ Sitúe en esa ubicación todos los servidores a los que se puede acceder por Internet. Limite la conectividad de los DMZ. 

 

Antivirus

Utilice soluciones antivirus en todo el ambiente: tanto en los servidores como en las computadoras de escritorio.

Utilice soluciones antivirus especializadas para tareas específicas, como detectores de virus para servidores de archivos, herramientas de análisis de contenido y detectores de carga y descarga de datos.

Configure las soluciones antivirus para que detecten virus que entren o salgan del sistema.

Estas soluciones deben instalarse primero en los servidores de archivos críticos y, a continuación, en los servidores de correo, de base de datos y de red.

En el caso de las computadoras portátiles y de escritorio, debe implementar una solución antivirus en el ambiente predeterminado.

Si utiliza Microsoft Exchange, utilice las funciones adicionales de antivirus y los filtros de contenido para los buzones de correo. 

 

Redes privadas virtuales (VPN)

Utilice una VPN entre el perímetro de la red y los segmentos de red internos que necesiten más seguridad.

Utilice una VPN para asegurar los protocolos de texto sin encripción de los ambientes en los que se pueda detectar o modificar el tráfico de datos.

Para los usuarios remotos, debe usar una VPN que requiera autenticación de factores múltiples y que utilice tecnologías IPSEC, SSL y SSH para suministrar conectividad a los recursos necesarios de la red corporativa utilizando las reglas de control de acceso por usuario.

Realice auditorías periódicas de la lista de acceso de los usuarios para el dispositivo VPN.

Puede limitar el acceso administrativo del dispositivo VPN para que quede exclusivamente dentro de la red corporativa. 

 

Segmentación

Utilice segmentaciones para separar el acceso a extranets específicas para fabricantes, socios o clientes.

Cada segmentación externa de la red debe permitir que el tráfico sólo se dirija a los hosts y puertos de aplicaciones determinadas que proporcionan servicios a los clientes.

Asegúrese de que existan controles de red que permitan sólo el acceso necesario para cada conexión de terceros.

Limite el acceso de los servicios de red suministrados, así como el acceso entre los segmentos de red. 

 

Contraseñas complejas para usuarios administrativo

Ponga en práctica una política estricta para las cuentas administrativas mediante el uso de contraseñas complejas que cumplan estas condiciones:

+ Alfanumérica

+ Mayúsculas y minúsculas

+ Contiene al menos un caracter especial

+ Contiene como mínimo 14 caracteres

Para limitar más los riesgos de ataques a las contraseñas, ponga en práctica los controles siguientes:

+ Vencimiento de contraseñas

+ Bloqueo de la cuenta después de entre 7 y 10 intentos de registro fallidos

+ Registro del sistemaAdemás de las contraseñas complejas, puede recurrir a la autenticación de factores múltiples.

Utilice controles avanzados para la administración de las cuentas y el registro de acceso a las cuentas (no permita que se compartan cuentas).

 

Contraseñas complejas para usuarios estándar

Para las cuentas de usuarios, ponga en práctica una política que exija el uso de contraseñas complejas que cumplan estas condiciones:

+ Alfanumérica

+ Mayúsculas y minúsculas

+ Contiene al menos un caracter especial

+ Contiene como mínimo 8 caracteres

Para limitar más los riesgos de ataques a las contraseñas, ponga en práctica los controles siguientes:

+ Vencimiento de contraseñas

+ Bloqueo de la cuenta después de 10 intentos de registro fallidos

+ Registro del sistemaAdemás de las contraseñas complejas, puede recurrir a la autenticación de factores múltiples.

Utilice controles avanzados para la administración de cuentas y el registro de acceso a las cuentas (no permita que se compartan cuentas). 

 

Contraseñas complejas para usuarios de acceso remoto

Ponga en práctica controles de contraseñas complejas para todos los usuarios de acceso remoto, independientemente de si el acceso se concede mediante tecnologías de marcación telefónicas o VPN.

Se considera que una contraseña es compleja si cumple estas condiciones:

+ Alfanumérica

+ Mayúsculas y minúsculas

+ Contiene al menos un caracter especial

+ Contiene como mínimo 8 caracteres

Ponga en práctica otro factor más de autenticación para las cuentas de acceso remoto.

Si lo desea, también puede utilizar controles avanzados para la administración de cuentas y el registro de acceso a las cuentas (no permita que se compartan cuentas).

Con respecto al acceso remoto, resulta especialmente importante proteger el ambiente mediante políticas estrictas de administración de cuentas, prácticas seguras de registro y funciones para detectar incidentes.

Para limitar aún más los riesgos de ataques de fuerza bruta a las contraseñas, puede poner en práctica los controles siguientes:

+ Vencimiento de contraseñas

+ Bloqueo de la cuenta después de entre 7 y 10 intentos de registro fallidos

+ Registro del sistemaPara los servicios de acceso remoto también deben considerarse los sistemas que se utilizarán para acceder a la red o a los hosts.

Por tanto, podría resultar conveniente controlar los hosts con acceso remoto a la red. 

 

Contraseñas complejas

La utilización de contraseñas complejas es un elemento fundamental para la defensa a profundidad.

Las contraseñas complejas deben tener de 8 a 14 caracteres e incluir caracteres alfanuméricos y especiales. Debe establecer una longitud mínima, un mantenimiento del historial, una duración límite y un plazo de vencimiento para reforzar la defensa.

Generalmente, el vencimiento de las contraseñas debe configurarse de la siguiente forma:

+ Duración máxima de 90 días

+ Las cuentas nuevas deben cambiar la contraseña al inicio de la sesión

+ Un historial de 8 contraseñas (mínimo de 8 días)

Además de las contraseñas complejas, la autenticación de factores múltiples es muy importante, especialmente para las cuentas administrativas y de usuarios remotos.

En todas las cuentas de usuario, se debe activar un proceso de bloqueo de cuenta tras 10 intentos de registro fallidos.

Los controles para bloquear una cuenta pueden variar; algunos sencillamente se dedican a los ataques de fuerza bruta a las contraseñas y otros requieren que un administrador desbloquee la cuenta.

Se aconseja activar el bloqueo en las cuentas administrativas, al menos para acceder a la red.

Esto no permitirá que la cuenta se bloquee desde la consola, solamente desde la red Es posible que esta solución no sea adecuada para todas las empresas, particularmente aquellas con sitios remotos.

En tales casos, lo más adecuado es que un administrador desbloquee la cuenta, de este modo se evita que los ataques pasen desapercibidos durante un largo tiempo si no se dispone de otros medios para detectar fallas de autenticación. Cuando se pongan en práctica controles de bloqueo de cuenta, siga las normas siguientes:

+ Bloqueo de las cuentas administrativas y de acceso remoto despues de 7 a 10 intentos de inicio de sesión erróneos

+ Bloqueo de las cuentas de usuarios regulares tras al menos 10 intentos de inicio de sesión erróneos

+ Requerir la intervención de un administrador para desbloquear las cuentas de acceso remoto y de administrador, y para reactivar automáticamente las cuentas de usuarios estándar al cabo de 5 minutos. 

 

Creación de contraseñas para administradores

Por lo general, las limitaciones para crear contraseñas de administradores deben ser más estrictas que las que se aplican a las cuentas normales.

En Windows, debe crear contraseñas de 14 caracteres alfanuméricos que incluyan caracteres especiales para las cuentas administrativas (y las cuentas de servicio).

Paquetes de administración

Cuando se utilizan paquetes de administración, debe robustecer y asegurar físicamente las consolas administrativas.

Debe robustecer las terminales de trabajo de administración que controlan los servidores y dispositivos de la red.

Use conexiones SSH o VPN para proteger los protocolos de texto sin encripción.

Las terminales de trabajo de administración deben estar dedicadas a administradores de red y hosts específicos.

Pruebe todos los sistemas de administración que utilizan SNMP para asegurarse de que tengan los parches más recientes y que no utilicen cadenas de conexión automáticas de la comunidad.

Los sistemas compartidos no almacenan datos de administración específica.

Las terminales de trabajo compartidas no se pueden usar para administrar hosts ni dispositivos de red.  

 

Archivo con la bitácora del uso

Los archivos con la bitácora del uso se configuran para que graben las actividades planificadas sin sobrescribir entradas.

Debe establecer un proceso automático de rotación de los archivos con la bitácora del uso cada día, así como la descarga de los archivos a un servidor seguro en la red de administración.Limite el acceso a los parámetros configurados y a los archivos con la bitácora del uso para evitar que sean modificados o eliminados.

Los archivos con la bitácora del uso se deben revisar periódicamente para detectar actividades sospechosas o anómalas.

La revisión debe extenderse al funcionamiento, mantenimiento y a la seguridad de los sistemas.

Para sacar más partido de esta revisión, debe utilizar un software de correlación de eventos y de análisis de tendencias. 

 

Proceso de creación para parches

Mantenga procesos de armado mediante los parches y configuraciones cerradas recomendadas del fabricante.

Compruebe este proceso periódicamente.

Utilice procedimientos para robustecer los hosts con el objeto de corregir y configurar correctamente los servicios y las aplicaciones de cada host.

Desactive todos los servicios y las aplicaciones que no necesite.

Deben robustecerse las terminales de trabajo instalando los parches recomendados, retirando también todos los paquetes y servicios que no sean necesarios y evaluando los permisos de los archivos.

Incluya medidas de robustecimiento de los hosts en los procedimientos estándar de creación de terminales de trabajo. 

Terminales de trabajoLas terminales de trabajo son un elemento fundamental en la defensa de cualquier ambiente, sobre todo si hay usuarios remotos o itinerantes que se estén conectando.

Herramientas como firewalls particulares, antivirus y software de acceso remoto son imprescindibles en todas las terminales, donde deberán configurarse correctamente.

Ponga en práctica un procedimiento que exija una revisión periódica de estas herramientas para asegurarse de que la configuración refleje los cambios en las aplicaciones y los servicios usados y que, al mismo tiempo, garantice la solidez de la terminal de trabajo ante los ataques. 

 

Tiempo de inactividad en aplicaciones críticas

Colabore con los propietarios de las empresas para definir el tiempo de inactividad aceptable en las aplicaciones críticas. A partir de estos resultados, tome las medidas oportunas para cumplir o incluso mejorar los objetivos.

La disponibilidad y el rendimiento de las aplicaciones Web mejoran con la utilización de dispositivos de equilibrio de carga en los primeros niveles de los servidores Web.

Los dispositivos de equilibrio de carga distribuyen las solicitudes a nodos diferentes dentro del clúster del servidor con el objetivo de optimizar el rendimiento del sistema.

Si falla un servidor Web en el clúster, se envía la solicitud a otro servidor, lo que garantiza una alta disponibilidad. Póngase de acuerdo con los propietarios de las empresas para definir el tiempo de inactividad aceptable en las bases de datos y los archivos compartidos críticos.

Pruebe con regularidad los mecanismos a prueba de fallas para las aplicaciones y determine si el tiempo de inactividad es excesivo.

Para minimizar el tiempo de inactividad, debe utilizar un mecanismo de clúster.

Cada aplicación en clúster está en el mismo dominio de seguridad, es decir, comparte una base de datos de usuario y grupo común.

Las operaciones de administración dentro de un clúster de equipos y dentro de una aplicación surten efecto tanto en la aplicación como en los homólogos.

Las aplicaciones que dependen de un conocimiento especial del ambiente de clúster, por ejemplo, por interacción con dispositivos de equilibrio de carga, reconocen y controlan todas las condiciones de excepción previsibles.

Las respuestas adecuadas pueden ser avisar al equipo de operaciones o probar la resistencia ante fallas.

La estrategia de copias de respaldo debe abordar el problema más grave que podría presentarse: la restauración de todos los sistemas y aplicaciones.

Para aplicaciones críticas, el proceso de restauración debe realizarse en un tiempo mínimo y con garantías de un funcionamiento pleno.

Pruebe regularmente el mecanismo de recuperación y de copias de respaldo que permite restaurar la aplicación a un estado normal de funcionamiento.

 

Actualizaciones y parches de terceros

Las empresas de desarrollo de software (ISV por sus siglas en inglés) deben ofrecer actualizaciones y parches periódicos para sus aplicaciones, en las que se explique su finalidad y el impacto en términos de funcionalidad, configuración y seguridad. Los ISV deben identificar claramente cuáles son los parches más importantes para que se apliquen rápidamente.

Asimismo, deben describir los distintos mecanismos de seguridad de la aplicación y proporcionar la documentación más reciente.

La empresa debe conocer las configuraciones necesarias para garantizar el nivel de seguridad más alto. 

 

Actualizaciones y parches internos

El equipo de desarrollo interno debe proporcionar las actualizaciones y los parches, e indicar cuál es su finalidad y el impacto en términos de funcionalidad, configuración y seguridad.

El equipo de desarrollo debe identificar claramente cuáles son los parches más importantes para que la empresa pueda instalarlos rápidamente.

El equipo de desarrollo debe describir los distintos mecanismos de seguridad de la aplicación y proporcionar la documentación más reciente.

La empresa debe conocer las configuraciones necesarias para garantizar el nivel de seguridad más alto.

Considere la posibilidad de contratar servicios externos independientes para revisar la arquitectura y utilización de la aplicación y para identificar los problemas de seguridad que pudieran existir. 

 

Parches para vulnerabilidades de seguridad conocidas

Debe identificar y corregir todas las vulnerabilidades de seguridad conocidas.

Visite los sitios de los fabricantes y otros proveedores de soluciones de seguridad para buscar información sobre nuevas vulnerabilidades y parches disponibles.

Si no hay parches disponibles para vulnerabilidades de seguridad conocidas, intente averiguar cuándo podrá disponer de uno y desarrolle un plan de seguridad provisorio.

Puede contratar servicios externos independientes para revisar regularmente el diseño de seguridad de la aplicación.

Una evaluación realizada por terceros podría descubrir otros problemas que exijan mecanismos de seguridad adicionales. 

 

Mecanismos de autenticación

La aplicación debe utilizar un mecanismo de autenticación cuya eficacia sea proporcional a las necesidades de seguridad de los datos o de su funcionamiento.

Las aplicaciones que dependen de contraseñas deben requerir contraseñas complejas que incluyan diversos caracteres (alfabéticos, numéricos y símbolos), una longitud mínima, un mantenimiento del historial, una duración límite, un plazo de vencimiento y una comprobación de diccionario.

La aplicación debe archivar los intentos de registro fallidos, pero no la contraseña. Cada componente que concede acceso a datos o a funciones debe requerir una autenticación correcta.

Debe proteger el acceso administrativo a los sistemas con los tipos de autenticación más sólidos.

Por lo general, las limitaciones para crear contraseñas de administradores deben ser más estrictas que las de las cuentas normales.

Además de usar contraseñas sólidas con prácticas adecuadas, considere la autenticación de factores múltiples para una mayor seguridad. 

 

Elementos básicos para contraseñas seguras

La utilización de contraseñas seguras es un elemento fundamental para el índice de defensa a profundidad.

Estas contraseñas deben tener entre 8 y 14 caracteres e incluir caracteres alfanuméricos y especiales.

Debe establecer una longitud mínima, un mantenimiento del historial, una duración límite y un plazo de vencimiento para reforzar la defensa.

Generalmente, el plazo de vencimiento de las contraseñas debe configurarse de esta forma:

+ Duración máxima de 90 días

+ Las cuentas nuevas deben cambiar la contraseña al inicio de la sesión

+ Un historial de 8 contraseñas (mínimo de 8 días)

Debe proteger el acceso administrativo a los sistemas con los tipos de autenticación más seguros.

Por lo general, las limitaciones para crear contraseñas de administradores deben ser más estrictas que las de las cuentas normales:

si las cuentas normales requieren contraseñas con 8 caracteres, las cuentas administrativas deben requerir contraseñas de 14 caracteres.

En todas las cuentas de usuario, se debe activar un proceso de bloqueo de cuenta tras 10 intentos de registro fallidos.

Los controles para bloquear una cuenta pueden variar; algunos simplemente consisten en bloquear ataques de fuerza bruta a contraseñas y otros requieren que un administrador desbloquee la cuenta.

Cuando se pongan en práctica controles de bloqueo de cuenta, siga las normas siguientes:

+ Bloqueo después de 10 intentos de registro fallidos para las cuentas de usuario

+ Requerir la intervención de un administrador para desbloquear las cuentas de aplicaciones importantes y reactivar automáticamente las cuentas de usuarios normales al cabo de 5 minutos

+ 30 minutos para almacenar en caché los errores de cuentas de usuarios normales

 

Controles de acceso según la función del empleado

Las aplicaciones deben utilizar un mecanismo de autorización que permita sólo a los usuarios o clientes adecuados el acceso a datos y funciones sensibles.

Debe mantener controles de acceso en función del cargo del usuario, tanto para la base de datos como para la interface de la aplicación.

De esta forma, se protege la base de datos incluso si la aplicación cliente resulta atacada.

Para comprobar una autorización, deberá haberse realizado antes una autenticación correcta. Se deben archivar todos los intentos de acceso sin autorización adecuada

Compruebe regularmente las aplicaciones principales que procesan datos sensibles y las interfaces disponibles para los usuarios de Internet.

Incluya pruebas de “caja negra” e “informadas” de la aplicación.

Descubra si los usuarios pueden acceder a los datos mediante otras cuentas.

Registros

Debe activar el archivo de registro en todas las aplicaciones del ambiente. Los datos de los archivos con la bitácora del uso son importantes para los análisis de incidentes, tendencias y auditorías.

Las aplicaciones deben registrar los intentos de autenticación correctos e incorrectos, además de los cambios de datos de la aplicación, incluidas las cuentas de usuarios, los errores graves de la aplicación y los accesos correctos e incorrectos a los recursos. Cuando grabe datos en la bitácora de la aplicación, deberá evitar grabar información sensible en ésta. 

 

Validación de datos

La aplicación puede permitir la entrada de datos en distintos puntos a partir de fuentes externas, como, por ejemplo, usuarios, aplicaciones cliente o bien alimentación de datos.

Deberá comprobar que los datos de entrada tengan una sintaxis y semántica correctas. Deberá también comprobar si tales datos cumplen las restricciones de los componentes subyacentes o dependientes, particularmente la longitud de cadenas y los grupos de caracteres.

El servidor deberá validar los campos suministrados por el usuario. 

 

Encripción y aplicación de hash a los datos

Los datos sensibles deben encriptarse o codificarse mediante hash en la base de datos y en el sistema de archivos.

La aplicación debe diferenciar entre los datos que podrían estar expuestos a la divulgación y que deben encriptarse, los datos sensibles que podrían llegar a manipularse y para los que es necesario un valor de claves hash, y los datos que se pueden transformar irreversiblemente (hash) sin ninguna pérdida de funcionalidad, como las contraseñas.

La aplicación debe guardar las claves para desencriptar datos en un lugar distinto al de la información encriptada.

Los datos sensibles se deben encriptar antes de transmitirlos a otros componentes. Verifique que los componentes intermedios que controlan los datos en un formato de texto sin encripción, antes o después de la transmisión, no representan una amenaza indebida.

La aplicación debe sacar partido de las funciones de autenticación disponibles con el mecanismo de transmisión segura.

Algunos de los tipos de encripción más comunes y confiables son: 3DES, AES, RSA, RC4 y Blowfish.

Utilice claves de 128 bits (1024 bits para RSA) como mínimo. 

Criptografía

La aplicación debe utilizar algoritmos criptográficos estándar del sector, con claves de tamaños adecuados y modos criptográficos apropiados. Algunos de los tipos de encripción más comunes y confiables son: 3DES, AES, RSA, RC4 y Blowfish.

Se debe utilizar un tamaño de clave mínimo de 128 bits (para RSA, 1024 bits).  Información sobre compilación del sistemaEn un principio, la información acerca de un sistema se debe capturar como parte del proceso de creación.

Se incluirá la información de host estándar y las diferencias particulares de la configuración consideradas primordiales para identificar el host, como el nombre del sistema, el SID (Identificador del sistema) y el nivel de actualización existente.

Los sistemas se crearán y configurarán de acuerdo con estos estándares de creación documentados.

La instalación y la configuración se realizarán con tecnología de simulaciones o secuencias de comandos detalladas con auditorías de seguimiento para garantizar su precisión y concordancia.

La configuración se llevará a cabo en un ambiente aislado donde no haya riesgo de ataques. 

 

Diagramas de red

Los diagramas actuales y precisos de las relaciones físicas y lógicas de las redes internas y externas tendrán que estar disponibles en todo momento.

Actualice estos diagramas conforme se produzcan cambios en el ambiente.

Limite el acceso a los diagramas a sólo el equipo de TI. 

 

Diagramas de flujo de datos

Los diagramas de la arquitectura de las aplicaciones deben mostrar los principales componentes y los flujos de datos críticos del ambiente, además de los sistemas por los que pasa el tráfico de información y cómo se administran estos datos.

Actualice los diagramas conforme surjan cambios en la aplicación o el ambiente donde se encuentra la aplicación. 

 

Protocolos y servicios compatibles

Documente los estándares normas y las prácticas donde se establecen los protocolos y servicios que permite la organización.

Se deben verificar las listas de control de acceso para garantizar que los servicios permitidos tienen necesidades empresariales acordes con su nivel de acceso.

Utilice direcciones IP y rangos de direcciones IP específicos donde sea posible.

Limite los servicios de los servidores a los que necesita la empresa. En las pautas también se debe detallar aspectos específicos relativos a la versión de protocolo y la seguridad mínima de la encripción.

Implemente el uso de protocolos establecidos con dispositivos del perímetro (como routers, gateways, firewalls, etc.), sistemas de autenticación segura y comunicaciones encriptadas.  

 

Políticas de uso aceptable

La política de uso aceptable tiene como finalidad supervisar el buen uso de las redes corporativas, las aplicaciones, los datos y los sistemas.

Esta política también debe abarcar los medios digitales, impresos y demás propiedades intelectuales. 

Cuentas de usuarios particularesSe deben crear cuentas de usuario para todos quienes necesiten acceder a los recursos de TI.

Los usuarios no deben compartir cuentas.

De forma predeterminada, las cuentas se crearán con los privilegios mínimos necesarios.

Los administradores de las redes y de los servidores deben tener una cuenta con privilegios (administrativa) y otra sin privilegios.

Se impondrá el uso de contraseñas seguras, las cuales se revisarán periódicamente y se registrarán todos los cambios en las cuentas.

A medida que cambie el cargo de un individuo, revise y modifique los privilegios de su cuenta, según sea necesario.

Cuando se prescinda de algún miembro del personal, se deberá desactivar o eliminar su cuenta. 

Cambios en la configuración y parches

Los parches de seguridad y cambios de configuración se deben aplicar en forma oportuna (según lo dispuesto en la política de seguridad de la empresa) cuando estén disponibles.

Estos parches y actualizaciones se deben comprobar exhaustivamente en un ambiente de laboratorio antes de instalarlos definitivamente, independientemente de que se hayan desarrollado en la empresa o por terceros.

Por otra parte, una vez instalado el parche, se debe probar cada uno de los sistemas para detectar conflictos específicos que podrían significar tener que desinstalar el parche.

Debe clasificar los sistemas para permitir una programación basándose en agrupaciones:

los sistemas críticos y los que tienen más tráfico tienen preferencia a la hora de aplicar los parches. 

 

Monitoreo de actualizaciones de antivirus

Visite regularmente los sitios de los fabricantes para obtener actualizaciones de definiciones de virus y descárguelas en un sitio aislado para probarlas en un ambiente de laboratorio.

Verifique que las actualizaciones no causan problemas con ningún sistema operativo ni aplicaciones antes de utilizarlas.

Debe desactivar las funciones de actualización automática de las soluciones antivirus en todos los sistemas para evitar el uso de archivos potencialmente peligrosos antes de probarlos.

Puede utilizar una consola central para las aplicaciones antivirus y así facilitar la creación de informes sobre los sistemas obsoletos o con funciones de software desactivadas.

Para los usuarios remotos que no se conectan regularmente a la red de la empresa, puede usar la función de actualización automática. 

Copias de respaldo completas

Debe realizar copias de respaldo completas con regularidad. Si le resulta posible, realice copias de respaldo parciales entre las completas.

Al crear copias de respaldo se debe considerar el peor de los casos posibles: la restauración de la totalidad de los sistemas y aplicaciones.

Para aplicaciones críticas, el proceso de restauración debe realizarse en un tiempo mínimo y con garantías de un funcionamiento pleno. 

 

Almacenamiento y manejo de los medios de copias de respaldo

Deben seguirse políticas detalladas relativas al almacenamiento y la manipulación de los dispositivos de copias de respaldo.

Estas políticas deben abordar temas como:

+ Almacenamiento en las instalaciones o fuera de ellas

+ Rotación de los medios

+ Controles de seguridad

+ Controles de acceso para empleados

Los dispositivos extraíbles para copias de respaldo deben almacenarse en armarios cerrados, a prueba de fuego, a los que sólo tengan acceso empleados autorizados.

El almacenamiento fuera de las instalaciones debe usarse como sistema adicional para recuperar datos en caso de que producirse algún desastre. 

 

Comprobación de los procedimientos de restauración y respaldo

Debe probar regularmente los procedimientos de restauración y respaldo para identificar dispositivos defectuosos y para mejorar las posibilidades de éxito de una restauración en caso de un apagón.

Los procedimientos detallados para la restauración de los distintos sistemas, incluidas las aplicaciones, deben estar bien documentados.

Revise los documentos de restauración y respaldo para asegurarse de que cubren los aspectos relativos a los sistemas necesarios para la continuidad de la actividad empresarial. 

 

Análisis de los niveles de seguridad

La empresa debe identificar a individuos con experiencia en el campo de la seguridad para incluirlos en todas las reuniones y decisiones relativas a este tema.

Además, debe señalar qué debe protegerse, teniendo en cuenta el valor del recurso y el nivel de seguridad que se requiere.

El análisis incluye todas las amenazas posibles.

La estrategia desarrollada debe equilibrar los costos y los beneficios de las protecciones, e incluir como opciones el traslado o la aceptación de los riesgos.

Los requisitos de seguridad, definidos por representantes comerciales y técnicos, se deben documentar y publicar para que todo el personal los pueda consultar y usar en diseños futuros.

Las diferencias entre los tipos de aplicaciones y tipos de datos pueden dar como resultado requisitos finales diferentes. 

 

Evaluaciones de terceros

Las evaluaciones por parte de terceros aportan una perspectiva objetiva muy valiosa para las medidas de seguridad de una empresa.

Estas evaluaciones también podrían resultar beneficiosas para cumplir las estipulaciones legales y los requisitos de los clientes, socios y fabricantes.

Las evaluaciones deben incluir la infraestructura, las aplicaciones, las políticas y los procedimientos de auditoría.

Estas evaluaciones no deben centrarse exclusivamente en la identificación de vulnerabilidades, sino también en señalar configuraciones que no sean seguras o privilegios de acceso externo.

Se deben revisar las políticas y los procedimientos de seguridad para descubrir faltas.  

 

Controles en segundo plano

Se deben realizar comprobaciones del historial personal para descubrir cualquier problema posible y así reducir el riesgo al que se exponen la empresa y los empleados.

Este proceso también permite identificar cualquier problema o laguna en el currículum del aspirante.

El proceso de contratación de personal debe incluir una evaluación del historial laboral y sus antecedentes penales.

Se deben evaluar las habilidades del aspirante comparándolas con las descripciones detalladas y los requisitos del puesto para detectar los puntos fuertes y débiles.

 

Procedimientos de salida

Los procedimientos formales para despido garantizan que se actúa debidamente cuando se rescinde un contrato de trabajo.

Estos procedimientos deben aplicarse para así hacer frente a despidos en buenos y malos términos.

Estos procedimientos deben incluir:

+ Notificación a todos los departamentos (Recursos humanos, TI, Seguridad física, Departamento de ayuda, Finanzas, etc.)

+ Acompañar al empleado cuando abandone las instalaciones

+ Cancelación de todas las cuentas del usuario y de su acceso a la red

+ Recuperación de todos los bienes de la empresa (equipos portátiles, PDA, dispositivos electrónicos, documentos confidenciales, etc.). 

 

Políticas sobre terceros

Con el objeto de reducir el riesgo de divulgación de datos, deben implementarse políticas y procedimientos formales enfocados a las relaciones con terceros.

De esta forma, se podrá detectar cualquier problema de seguridad y la responsabilidad de cada parte a la hora de solucionarlo.

Dichas políticas deben incluir:

+ El nivel de conectividad y acceso

+ La presentación y la manipulación de los datos

+ El cargo y las responsabilidades (incluida la autoridad) de cada parte

+ La administración de la relación: creación, mantenimiento y término. 

 

Programa de formación sobre seguridad

Un programa formal de formación sobre las medidas de seguridad ayuda a los empleados a contribuir a la seguridad global de la empresa, puesto que se les mantiene informados acerca de los riesgos existentes.

La mejor garantía de alerta ante problemas potenciales es informar debidamente al personal en materia de seguridad.

Un programa de formación eficaz debe incluir todos los aspectos relacionados con la seguridad (aplicaciones, redes y medios físicos), a la vez que debe proporcionar pautas sencillas para que los empleados sepan cómo actuar ante una posible señal de alerta.

Ponga en práctica políticas para regular el uso de los recursos corporativos por parte de los empleados.

Los programas de formación deben ser parte del curso de orientación de empleados nuevos.

Se debe proporcionar información actualizada y cursos para asegurar que todos los empleados conozcan las prácticas y los riesgos más recientes. Se deben realizar comprobaciones periódicas para asegurarse de que los empleados han asimilado la información.  

 

Educación permanente

La formación y los cursos de aprendizaje permanente diseñados para cada cargo, garantizan que todos los empleados entiendan qué se espera de ellos y cómo deben satisfacer esas expectativas.

El desarrollo de las habilidades necesarias para mantener la seguridad de la empresa incluye capacitación interna y externa.

El contenido corresponde al cargo que ocupa el individuo para una mayor eficacia. Es imprescindible que los empleados en cargos muy importantes sigan cursos de educación permanente. 

 

Protección de las conexiones a Internet

Todas las conexiones a Internet y los servicios afines deben estar protegidos con un firewall y un sistema de detección de intrusos (IDS). 

 

Responsabilidad de las empresas que actúan como host

En función del sistema legal, las empresas que actúan como host pueden estar sujetas a responsabilidades sustanciales por el contenido que alberguen sus equipos.

En los contratos se deben especificar el tipo de actividad que se permite en los servidores host y, si las compañías que actúan como host son responsables ante la ley, el contenido de dichos servidores debe supervisarse para garantizar sea legal.

 

No hay práctica recomendada

Pregunta sobre la recopilación de información. No se aplican las mejores prácticas recomendadas. 

 

Acceso a los datos

El acceso a los datos debe estar limitado sólo a los usuarios que tengan una necesidad fundada.

Si se permite sacar datos confidenciales de las instalaciones (ya sea mediante un equipo portátil o usando un dispositivo de almacenamiento externo para copias de respaldo), o si se permite la navegación por redes que no sean seguras, será necesario encriptar los datos antes de que salgan de las instalaciones.

 

Diseño de aplicaciones para la seguridad

Todas las aplicaciones se deben diseñar desde un comienzo considerando factores de seguridad; se deben evaluar sus puntos débiles, se debe disponer de un mecanismo de respuesta rápida y se deben distribuir actualizaciones para abordar cualquier problema que pudiera surgir relacionado con la seguridad. 

 

Bloqueo de sistemas computacionales

Todos los equipos computacionales se deben proteger contra robos. Los servidores y los equipos de red deben mantenerse en lugares que se puedan cerrar con llave y cuyo acceso sea controlado. 

 

Requisitos de responsabilidad contractual

Para evitar la divulgación de datos, los contratos deben establecer claramente las responsabilidades de ambas partes. 

 

Políticas sobre relaciones con las empresas asociadas

Deben implementarse políticas y procedimientos formales enfocados a las relaciones con terceros.

De este modo, se identifica cualquier problema de seguridad y la responsabilidad de cada parte para solucionarlo. Dichas políticas deben incluir:

+ El nivel de conectividad y acceso

+ La presentación y la manipulación de los datos

+ El cargo y las responsabilidades (incluida la autoridad) de cada parte

+ La administración de la relación: creación, mantenimiento y término. 

 

Sistemas de detección de intrusos

Los sistemas de detección de intrusos del host y de la red deben implementarse para detectar y notificar cualquier ataque que se produzca contra los sistemas corporativos. 

 

Redes inalámbricas

Las mejores prácticas para la implementación inalámbrica incluyen la garantía de que la red no hace público su SSID, que se usa la encripción WPA y que la red no se considera fundamentalmente como insegura. 

 

Auditorías legales

Las auditorías efectuadas por terceros deben realizarse periódicamente para garantizar que se cumple con todas las leyes penales y civiles vigentes (por ejemplo, HIPAA para la salud o Sarbanes-Oxley para las empresas conforme a la norma SEC). 

 

Creación de políticas de seguridad

Las políticas de seguridad deben establecerse según la información suministrada por la administración, el departamento de TI y de RR.HH., deben ponerlas en funcionamiento los ejecutivos, y se deben actualizar para reflejar las mejores prácticas recomendadas (como por ejemplo, CoBIT). 

 

Comprobación y documentación de los cambios

Cualquier cambio que se produzca en el ambiente debe probarse primero para verificar que es seguro y compatible antes de ponerlo en práctica. También se debe guardar toda la documentación acerca de la configuración de todos los sistemas de producción.

Estas son algunas recomendaciones que nos propone DiD (Defense in Depth) en MSAT (Microsoft Assessment Tool) herramienta que a través de un cuestionario crea un pequeña línea base de el estado de a organización en algunos tópicos básicos de seguridad.