948 174242
Area de clientes
  Consultoria  
  Redes  
  Software de Gestion  
  Seguridad Informatica  
  Mantenimiento de Sistemas  
  Videovigilancia  
Guia de Seguridad Informatica

 

Introducción

Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy Initiatives

Según un estudio realizado recientemente por Inteco, 8 de cada 10 equipos se encuentran infectados con algún tipo de código malicioso. Ante estos datos tan alarmantes, Microsoft ha elaborado una Guía de Seguridad que intenta describir los pasos prioritarios que una empresa debe implementar para proteger su entorno.

Es necesario incidir en la necesidad de un cambio de concepción, que conlleva al empleo de medidas reactivas a proactivas en la gestión de la seguridad. Las medidas reactivas son soluciones parciales, medidas de protección implementadas sin apenas intervención del usuario, que básicamente consisten en “la instalación del producto” sin un seguimiento y control continuado.

Si desea evaluar los puntos débiles de su entorno de seguridad de IT puede usar la herramienta gratuita de Evaluación de Seguridad de Microsoft (MSAT), diseñada para ayudar a las organizaciones de menos de 1.000 empleados.

Paso 1: Establecer la política de seguridad de la empresaLos riesgos a los que se ven expuestas las empresas llevan consigo la creación de directrices que orienten hacia un uso responsable de los recursos y evitar su uso indebido, lo cual puede ocasionar serios problemas a los activos de una empresa.Las políticas de seguridad son documentos que constituyen la base del entorno de seguridad de una empresa y deben definir las responsabilidades, los requisitos de seguridad, las funciones, y las normas a seguir por los trabajadores de la empresa.Qué debe incluir su política de Seguridad de la empresaResponsables del desarrollo, implantación y gestión de la política- Director de Política de Seguridad. Personal encargado de realizar, supervisar, inspeccionar, modificar las normas y reglas establecidas en la política de seguridad.- Director de Seguridad. Personal encargado de, en virtud de la política de seguridad establecida, asignar roles de acceso a la información, proveer de permisos y soportes informáticos, controlar la entrada y salida de información, identificación y resolución de incidencias, etc.

Cree una directiva de uso aceptableUna directiva de uso aceptable es un documento en el que se informa a los empleados de lo que pueden y no pueden hacer en los equipos de la empresa. Ponga por escrito las normas que espera que se cumplan. Puede describir su política sobre la creación de contraseñas, indicar la frecuencia de cambio de contraseñas o mencionar el riesgo que supone abrir archivos adjuntos de correo electrónico de remitentes desconocidos. También puede incluir la prohibición de instalar software no autorizado en los equipos. En este documento, que debe ser firmado por todos los empleados, tienen que constar las sanciones (en casos extremos, incluso el despido) por contravenir esas normas. En su calidad de propietario o director del negocio, también deberá firmar una copia de la directiva.Si la directiva es larga y detallada, ayude a los empleados a recordar los puntos principales con un resumen de una página que puede distribuir y colocar cerca de sus estaciones de trabajo.

Paso 2: Proteja sus equipos de escritorio y portatiles

Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy Initiatives

1. Protéjase de los virus y el software espía

Los virus, así como los gusanos y los troyanos, son programas maliciosos que se ejecutan en su equipo. Entre las acciones que pueden provocar este tipo de código malicioso se encuentran: borrado o alteración de archivos, consumo de recursos del equipo, acceso no autorizado a archivos, infección de los equipos de los clientes con los que se comunique mediante correo electrónico… El virus se puede extender por los equipos de su empresa y producir momentos de inactividad y pérdidas de datos muy graves. Existen herramientas de eliminación de software malintencionado que comprueban infecciones por software malintencionado específico y ayuda a eliminarlas.Instale software antivirus. Debe disponer de protección antivirus en todos sus equipos de escritorio y portátiles. El software antivirus examina el contenido de los archivos en su PC en busca de indicios de virus. Cada mes aparecen cientos de virus nuevos, por lo que hay que actualizar periódicamente los antivirus con las últimas definiciones para que el software pueda detectar los nuevos virus.

2. Actualizaciones SW

A los piratas informáticos les gusta encontrar y aprovechar cualquier error de seguridad en los productos de software más populares. Cuando Microsoft u otra compañía descubren una vulnerabilidad en su software, suelen crear una actualización que se puede descargar de Internet (tanto para el Sistema Operativo como cualquier aplicación que se tenga instalada). Es necesario instalar las actualizaciones tan pronto se pongan a la disposición del público.

3. Configure un firewall

Un firewall es un sistema encargado de analizar tanto el tráfico entrante como saliente de un equipo o de una red, con el fin de restringir la entrada de diversas amenazas.

4. Evite el correo electrónico no deseado (Spam)

El spam son mensajes de correo electrónico comercial no solicitado.Si recibe un correo electrónico de un remitente desconocido elimínelo sin abrirlo, puede contener virus, y tampoco responda al mismo, ya que estaría confirmando que su dirección es correcta y esta activa. No realice envió de publicidad a aquellas personas que no hayan autorizado previamente el consentimiento de recibir publicidad, ya que podría ser sancionado por la Agencia de Protección de Datos. Adopte medidas de protección frente al correo electrónico no deseado. Como filtros de correo electrónico actualizados.

5. Utilice solamente software legal

El uso de software ilegal además de generar riesgos de carácter penal, también puede generar problemas en la seguridad de la información, lo que lo que conlleva a pérdidas en la rentabilidad y productividad de la organización. El software legal ofrece garantía y soporte.

6. Navegación Segura

- Acceda únicamente a sitios de confianza.- Analice con un antivirus todo lo que descarga antes de ejecutarlo en su equipo.- No explore nunca sitios Web desde un servidor. Utilice siempre un equipo o portátil cliente.- Mantenga actualizado su navegador a la última versión.- Configure el nivel de seguridad de su navegador según sus preferencias.- Descargue los programas desde los sitios oficiales para evitar suplantaciones maliciosas (Phishing).- Configure su navegador para evitar pop-ups emergentes.- Utilice un usuario sin permisos de Administrador para navegar por Internet, así impide la instalación de programas y cambios en los valores del sistema.- Borre las cookies, los ficheros temporales y el historial cuando utilice equiposajenos para no dejar rastro de su navegación.E- commerce- Observe en la barra de navegación de su navegador, que la dirección Web comienza por https: indica que se trata de una conexión segura y el contenido que transfiera será cifrado por la Red.- Observe que aparece un candado en la parte inferior derecha de su navegador. Esto significa que la entidad posee un certificado emitido por una autoridad certificadora, el cual garantiza que realmente se ha conectado con la entidad destino y que los datos transmitidos son cifrados.

Paso 3: Proteja su red

Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy InitiativesSi su compañía trabaja con una red con cables o inalámbrica y tiene información que desea mantener confidencial, preste atención a los siguientes consejos:

1. Utilice contraseñas seguras

Informar a los empleados de la importancia de las contraseñas es el primer paso para convertir las contraseñas en una valiosa herramienta de seguridad de la red, ya que dificultan la suplantación de su usuario. Es decir, no se debe dejar en cualquier parte ni se debe compartir.Características de una contraseña "segura":- Una longitud de ocho caracteres como mínimo; cuanto más larga, mejor.- Una combinación de letras mayúsculas y minúsculas, números y símbolos.- Se debe cambiar cada 90 días como mínimo y, al cambiarla, debe ser muy distinta de las contraseñas anteriores.

2. Proteger una Red WIFI

Para maximizar seguridad en la red Wifi es necesario usar la siguiente lista de consejos en conjunto.2.1 Ocultar el SSIDOcultar el identificador SSID al exterior es una buena medida para evitar las intrusiones, aunque este dato puede descubrirse fácilmente aunque este se presente oculto.2.2 Cambiar el nombre SSID2.3 Encriptación WEPSe basa en claves de 64 ó 128 bits. La encriptación WEP no es la opción más segura.2.4 Encriptación WPA o WPA2(Wi-Fi Protected Access )Surgió como alternativa segura y eficaz al WEP, se basa en el cifrado de la información mediante claves dinámicas, que se calculan a partir de una contraseña.2.5 Cambiar clave de acceso del punto de accesoEs necesario modificar las claves de acceso periódicamente.

3. Configure un firewall

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso.Un firewall puede ser un dispositivo software o hardware

Paso 4: Proteja sus servidores

Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy InitiativesEn el momento en que los servidores están en peligro, también lo está toda la red.

1. Certificados de servidor

Identifican a los sitios Web. Requiere de la existencia de una autoridad certificadora (CA) que afirme, mediante los correspondientes certificados de servidor, que éstos son quienes dicen ser antes del establecimiento del canal seguro.Le permitirá establecer comunicaciones seguras con sus clientes, cifrando la conexión usando la tecnología SSL para que no pueda ser leída por terceros.

2. Mantenga sus servidores en un lugar seguro

Las empresas deben asegurarse de que sus servidores no son vulnerables a las catástrofes físicas. Coloque estos equipos en una sala segura y con buena ventilación.Haga una relación de los empleados que tienen las llaves de la sala de servidores.

3. Práctica de menos privilegios

Asigne distintos niveles de permisos a los usuarios. En vez de conceder a todos los usuarios el acceso "Administrador, debe utilizar los servidores para administrar los equipos cliente. Los servidores de Windows se pueden configurar para conceder a cada usuario acceso únicamente a programas específicos y para definir los privilegios de usuario que se permiten en el servidor. De este modo se garantiza que los usuarios no pueden efectuar cambios que son fundamentales en el funcionamiento del servidor o equipo cliente.

4. Conozca las opciones de seguridad

Los servidores actuales son más seguros que nunca, pero las sólidas configuraciones de seguridad que se encuentran en los productos de servidor de Windows sólo son eficaces si se utilizan del modo adecuado y se supervisan estrechamente.

Paso 5: Mantenga sus datos a salvo

Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy InitiativesLa combinación de estas cuatro prácticas debe proporcionar el nivel de protección que necesita la mayoría de las empresas para mantener sus datos a salvo.

1. Copias de seguridad de los datos cruciales

La realización de copias de seguridad de los datos significa crear una copia de ellos en otro medio. Es recomendable probar las copias de seguridad con frecuencia mediante la restauración real de los datos en una ubicación de prueba.

2. Establezca permisos

Se pueden asignar distintos niveles de permisos a los usuarios según su función y responsabilidades en la organización. En vez de conceder a todos los usuarios el acceso "Administrador" (instituya una política de "práctica de menos privilegios”).

3. Cifre los datos confidenciales

Cifrar los datos significa convertirlos en un formato que los oculta. El cifrado se utiliza para garantizar la confidencialidad y la integridad de los datos cuando se almacenan o se transmiten por una red. Utilice el Sistema de archivos cifrados (EFS) para cifrar carpetas y archivos confidenciales.

4. Utilice sistemas de alimentación ininterrumpida (SAI)

Para evitar que los equipos informáticos no se interrumpan bruscamente en caso de corte del suministro eléctrico y para filtrar los “microcortes” y picos de intensidad, que resultan imperceptibles, es recomendable el uso de SAI.

Paso 6: Proteja sus aplicaciones y recursos

Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy Initiatives

1. Valore la instalación del Directorio Activo

La implementación del directorio activo facilita las tareas tanto de seguridad como de funcionalidad.Ventajas:- La propagación de permisos está centralizada desde el Controlador de Dominio.- Posibilidad de escalabilidad según las necesidades particulares de la empresa.- La integración con un servicio DNS.- Sencillez en la estructuración de ficheros y recursos compartidos.- Robustez en la seguridad del sistema.

2. Gestione las Aplicaciones a través del Directorio Activo

- Permisos Usuario- Impresoras- Correo Electrónico

3. Preste atención a la base de datos

Instale los últimos Service Packs de la base de datos. Asegúrese de instalar los Service Packs y las actualizaciones más recientes para mejorar la seguridad.Evalúe la seguridad de su servidor con MBSA.Utilice el modo de autenticación de Windows.Aísle el servidor y realice copias de seguridad periódicas del mismo.

4. Cortafuegos de Aplicaciones Web

Protegiendo de ataques específicamente las comunicaciones en las que intervienen tanto las aplicaciones Web como todos los recursos a ellas asociados.

5. Auditorías Técnicas

Una auditoría técnica de seguridad puede identificar las vulnerabilidades de una aplicación web.

Paso 7: Gestión de las actualizaciones

Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy Initiatives

1. Actualizaciones oportunas

Las revisiones y las actualizaciones de errores, junto con nuevas versiones de software, se pueden implementar desde el servidor en los equipos y portátiles de los usuarios. Así sabe que se han realizado correctamente de forma oportuna y no tiene que depender de que los usuarios no se olviden.

2. Configuraciones especiales

Puede impedir que los usuarios instalen programas no autorizados si limita su capacidad para ejecutar programas desde CD-ROM y otras unidades extraíbles o para descargar programas de Internet.

3. Supervisión

Si se produce un acceso no autorizado en un equipo o si hay un error del sistema de algún tipo en algún equipo, se puede detectar inmediatamente mediante las capacidades de supervisión que están disponibles en un entorno de equipos/portátiles administrado.

Paso 8: Proteja sus dispositivos móviles

Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy InitiativesEs muy importante que los trabajadores sean conscientes de la importancia de la seguridad en los aparatos móviles y los peligros que puede llevar consigo un mal uso.- Emplear las opciones de bloqueo del dispositivo terminal.- No acepte conexiones de dispositivos que no conozca para evitar transferencias de contenidos no deseados.- Ignore / borre SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios potencialmente peligrosos.- Active mediante PIN el acceso al bluetooth.- Bloquee la tarjeta SIM en caso de pérdida para evitar que terceros carguen gastos a su cuenta.- Instale un antivirus y manténgalo actualizado para protegerse frente al código malicioso.- No descargue software de sitios poco fiables para impedir la entrada por esta vía de códigos potencialmente maliciosos.- Configure el dispositivo en modo oculto, para que no pueda ser descubierto por atacantes.- Desactive los infrarrojos mientras no los vaya a utilizar.

Paso 9: Protección de datos de carácter personal

Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy Initiatives

1. Registre los ficheros

Una de las obligaciones básicas establecidas por la LOPD es la inscripción de los Ficheros de datos de carácter personal en la Agencia Española de Protección de Datos, pero para realizar correctamente esta inscripción es necesario realizar previamente la Localización de los Ficheros preexistentes, así como la determinación de los nuevos ficheros a inscribir.

2. Tenga cuidado si da los datos a un tercero

En muchas ocasiones las empresas contratan y subcontratan a otras empresas la prestación de servicios profesionales especializados, servicios que suponen un acceso a los datos de carácter personal almacenados en nuestros ficheros para que sean tratados, almacenados y/o conocidos por estos profesionales. Aunque debiera proponerse por el Responsable del Fichero, cualquiera de las partes podrá proponer la firma de un contrato de acceso a datos, que deberá formalizarse preferiblemente por escrito, de manera que acredite fehacientemente su celebración y contenido.
AYERDI INFORMÁTICA - TODOS LOS DERECHOS RESERVADOS 2008