Guía para la implementación de mejores prácticas de seguridad informática.

Transcripción

1 Guía para la implementación de mejores prácticas de seguridad informática.

2 Es necesario que los usuarios incorporen buenas prácticas para proteger el entorno de información, y prevenir aún más la posibilidad de formar parte del conjunto que engloba a las potenciales y eventuales víctimas de cualquiera de las amenazas, que constantemente buscan sacar provecho de las debilidades humanas. Pero para ello inevitablemente se deben conocer los peligros latentes, y cómo detenerlos a través de mecanismos de prevención. Los intrusos no sólo andan buscando la información relacionada con el dinero de sus víctimas, también buscan recursos de tus computadoras, como, procesadores rápidos, tu espacio de disco duro y tu conexión a Internet. A continuación se proporciona un documento para implementar mejores prácticas de seguridad informática aplicable a empresas, escuelas y todo tipo de organizaciones que ayudara a dar un mejor rendimiento y cuidado de los equipos con acceso a internet de quien lo implemente. Mejores Prácticas de Seguridad: 12 Pasos Prácticos para la Seguridad Informática. Tanto los usuarios (sin importar el nivel de conocimiento) como las organizaciones, son cada vez más dependientes de Internet y de las tecnologías de información, lo que también los expone constantemente a diferentes amenazas, en las que se utilizan estas condiciones para cometer acciones delictivas con fines económicos. En consecuencia es sumamente importante incorporar, como hábito cotidiano, las medidas de seguridad expuestas. Al bloquear las amenazas de forma temprana se reduce considerablemente la posibilidad de ser potenciales víctimas de las actividades delictivas, que se llevan a cabo atentando contra la seguridad de los entornos de información. Además se debe tener presente que también es necesario mantenerse informados en lo que respecta a los problemas de seguridad que suponen el uso de determinados medios de comunicación e interacción, entender cómo y por qué se gestan las diferentes maniobras delictivas y conocer cuáles son las herramientas que permiten hacer frente a una problemática que a nivel mundial no tiene en cuenta fronteras y afecta por igual a todos los usuarios. Paso 1. Crear Política de Seguridad. (a) La política de seguridad debe incluir los siguientes puntos. Responsables del desarrollo, implantación y gestión de la política. Director de Política de Seguridad. Personal encargado de realizar, supervisar,

3 inspeccionar, modificar las normas y reglas establecidas en la política de seguridad. Director de Seguridad. Personal encargado de, en virtud de la política de seguridad establecida, asignar roles de acceso a la información, proveer de permisos y soportes informáticos, controlar la entrada y salida de información, identificación y resolución de incidencias, etc. (b) Crear una directiva de uso aceptable. Una directiva de uso aceptable es un documento en el que se informa a los empleados de lo que pueden y no pueden hacer en los equipos de la empresa. Poner por escrito las normas que espera que se cumplan. Describir la política sobre la creación de contraseñas, indicar la frecuencia de cambio de contraseñas o mencionar el riesgo que supone abrir archivos adjuntos de correo electrónico de remitentes desconocidos. Prohibición de Instalar software no autorizado en los equipos. En este documento, que debe ser firmado por todos los empleados, tienen que constar las sanciones (en casos extremos, incluso el despido) por contravenir esas normas. En su calidad de propietario o director del negocio, también deberá firmar una copia de la directiva. (c) Conciencie a sus empleados. Distribuir proactivamente a través de comunicaciones periódicas las actualizaciones en las políticas. Paso 2. Proteger equipos de escritorio y portátiles. (a) Proteger equipos contra virus y software espías. Instalación de herramientas de eliminación de software malintencionado que comprueban infecciones por software malintencionado específico y ayuda a eliminarlas. Instalar software antivirus. Se debe disponer de protección antivirus en todos sus equipos de escritorio y portátiles. Actualizar la base de datos del antivirus. (b) Actualizaciones Software. Es necesario instalar las actualizaciones tan pronto se pongan a la disposición del público. Windows Update le permitirá recibir actualizaciones periódicamente. (c) Configurar un firewall. Un firewall es un programa encargado de analizar tanto el tráfico entrante como saliente de un equipo, con el fin de bloquear determinados puertos y protocolos que potencialmente podrían ser utilizados por las aplicaciones.

4 (d) Evite el correo electrónico no deseado. (Spam). El spam son mensajes de correo electrónico comercial no solicitado. Si recibe un correo electrónico de un remitente desconocido elimínelo sin abrirlo, puede contener virus, y tampoco responda al mismo, ya que estaría confirmando que su dirección es correcta y está activa. No realice envío de publicidad a aquellas personas que no hayan autorizado previamente el consentimiento de recibir publicidad. Adopte medidas de protección frente al correo electrónico no deseado. Como filtros de correo electrónico actualizados. (e) Utilice solamente software legal. El uso de software ilegal además de generar riesgos de carácter penal, también puede generar problemas en la seguridad de la información, lo que lo que conlleva a pérdidas en la rentabilidad y productividad de la organización. El software legal ofrece garantía y soporte del fabricante. (f) Navegación Segura. Acceda únicamente a sitios de confianza. Analice con un antivirus todo lo que descarga antes de ejecutarlo en su equipo. No explore nunca sitios Web desde un servidor. Utilice siempre un equipo o portátil cliente. Mantenga actualizado su navegador a la última versión. Configure el nivel de seguridad de su navegador según sus preferencias. Descargue los programas desde los sitios oficiales para evitar suplantaciones maliciosas (Phishing). Configure su navegador para evitar pop-ups emergentes. Utilice un usuario sin permisos de Administrador para navegar por Internet, así impide la instalación de programas y cambios en los valores del sistema. Borre las cookies, los ficheros temporales y el historial cuando utilice equipos ajenos para no dejar rastro de su navegación. (g) Comercio Electrónico Observe en la barra de navegación de su navegador, que la dirección Web comienza por https: indica que se trata de una conexión segura y el contenido que transfiera será cifrado por la Red. Observe que aparece un candado () en la parte inferior derecha de su navegador. Esto significa que la entidad posee un certificado emitido por una autoridad certificadora, el cual garantiza que realmente se ha conectado con la entidad destino y que los datos transmitidos son cifrados.

5 Paso 3. Proteger la Red. Para maximizar seguridad en la red se recomienda los siguientes consejos: (a) Utilizar contraseñas seguras. Informar a los empleados de la importancia de las contraseñas como una valiosa herramienta de seguridad de la red, ya que dificultan la suplantación de su usuario. Características de una contraseña segura: Una longitud de ocho caracteres como mínimo; cuanto más larga, mejor. Utilizar una combinación de letras mayúsculas y minúsculas, números y símbolos. S Cambiar cada 90 días como mínimo y, al cambiarla, debe ser muy distinta de las contraseñas anteriores. No utilizar datos personales. (b) Proteger la Red WIFI. Para maximizar seguridad en la red Wifi es necesario se recomienda los siguientes consejos: Ocultar el SSID (identificador de redes inalámbricas) al exterior es una buena medida para evitar las intrusiones, aunque este dato puede descubrirse fácilmente aunque este se presente oculto. Cambiar el nombre SSID Cifrado WEP. Se basa en claves de 64 ó 128 bits. Encriptación WPA o WPA2 (Wi-Fi Protected Access) Cambiar clave de acceso del punto de acceso Es necesario modificar las claves de acceso periódicamente. (c) Configurar el firewall a nivel de Red. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Un firewall puede ser un dispositivo software o hardware. Paso 4. Proteger los servidores. (a) Certificados de servidor. Identificar los sitios Web deberá requerir la existencia de una autoridad certificadora (CA) que afirme, mediante los correspondientes certificados de servidor, que éstos son quienes dicen ser antes del establecimiento del canal seguro. Le permitirá establecer comunicaciones seguras con sus clientes, cifrando la conexión usando la tecnología SSL para que no pueda ser leída por terceros. (b) Mantener los servidores en un lugar seguro. Se deben asegurar de que los servidores no son vulnerables a las catástrofes físicas.

6 Colocar los equipos en una sala segura y con buena ventilación. Hacer una relación de los empleados que tienen las llaves de la sala de servidores. (c) Práctica de menos privilegios. Asignar distintos niveles de permisos a los usuarios. En vez de conceder a todos los usuarios el acceso Administrador, debe utilizar los servidores para administrar los equipos cliente. Los servidores de Windows se pueden configurar para conceder a cada usuario acceso únicamente a programas específicos y para definir los privilegios de usuario que se permiten en el servidor. De este modo se garantiza que los usuarios no pueden efectuar cambios que son fundamentales en el funcionamiento del servidor o equipo cliente. (d) Conocer las opciones de seguridad. Los servidores actuales son más seguros que nunca, pero las sólidas configuraciones de seguridad que se encuentran en los productos de servidor de Windows sólo son eficaces si se utilizan del modo adecuado y se supervisan estrechamente. Paso 5. Mantener los datos a Salvo. La combinación de estas tres prácticas debe proporcionar el nivel de protección que necesita la mayoría de las empresas para mantener sus datos a salvo. (a) Copias de seguridad de los datos importantes. La realización de copias de seguridad de los datos significa crear una copia de ellos en otro medio. Es recomendable probar las copias de seguridad con frecuencia mediante la restauración real de los datos en una ubicación de prueba. (b) Establecer permisos. Se pueden asignar distintos niveles de permisos a los usuarios según su función y responsabilidades en la organización. (c) Cifrar los datos confidenciales. Cifrar los datos convertirlos en un formato que los oculta. El cifrado se utiliza para garantizar la confidencialidad y la integridad de los datos cuando se almacenan o se transmiten por una red. Utilizar el Sistema de archivos cifrados (EFS) para cifrar carpetas y archivos confidenciales. (d) Utilizar sistemas de alimentación ininterrumpida (UPS, Sistema de alimentación interrumpida).

7 Evitar que los equipos no se interrumpan bruscamente en caso de corte del suministro eléctrico y para filtrar los microcortes y picos de intensidad, que resultan imperceptibles, es recomendable el uso de UPS. Paso 6. Proteger las aplicaciones y recursos. (a) Valorar la instalación del Directorio Activo. La implementación del directorio activo facilita las tareas tanto de seguridad como de funcionalidad. Ventajas: La propagación de permisos está centralizada desde el Controlador de Dominio. Posibilidad de escalabilidad según las necesidades particulares de la empresa. La integración con un servicio DNS. Sencillez en la estructuración de ficheros y recursos compartidos. Robustez en la seguridad del sistema. Establecimiento de Políticas. (b) Administrar las Aplicaciones a través del Directorio Activo. Políticas Permisos Usuario Impresoras Correo Electrónico (c) Prestar atención a la base de datos. Instalar los últimos Service Packs de la base de datos. Asegúrese de instalar los Service Packs y las actualizaciones más recientes para mejorar la seguridad. Evalúe la seguridad de su servidor con MBSA (Microsoft Baseline Security Analyzer). Utilice el modo de autenticación de Windows. Aísle el servidor y realice copias de seguridad periódicas del mismo. (d) Cortafuegos de Aplicaciones Web. Protegiendo de ataques específicamente las comunicaciones en las que intervienen tanto las aplicaciones Web como todos los recursos a ellas asociados. (e) Auditorias Técnicas. La auditoría técnica de seguridad puede identificar las vulnerabilidades de una aplicación web. Paso 7. Administrar las Actualizaciones. (a) Actualizaciones oportunas. Las revisiones y las actualizaciones de errores, junto con nuevas versiones de software, se pueden implementar desde el servidor en los equipos y portátiles de los usuarios. Así sabe que se han realizado correctamente de forma oportuna y no tiene que depender de que los usuarios no se olviden.

8 (b) Configuraciones especiales. Impedir que los usuarios instalen programas no autorizados si limita su capacidad para ejecutar programas desde CD-ROM y otras unidades extraíbles o para descargar programas de Internet. (c) Supervisión. Si se produce un acceso no autorizado en un equipo o si hay un error del sistema de algún tipo en algún equipo, se puede detectar inmediatamente mediante las capacidades de supervisión que están disponibles en un entorno de equipos/portátiles administrado. Paso 8. Proteger los dispositivos Móviles. Es muy importante que los trabajadores sean conscientes de la importancia de la seguridad en los aparatos móviles y los peligros que puede llevar consigo un mal uso. Emplear opciones de bloqueo del dispositivo terminal. No aceptar conexiones de dispositivos que no conozca para evitar transferencias de contenidos no deseados. Ignorar / borrar SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios peligrosos. Activar mediante PIN el acceso al bluetooth. Bloquear la tarjeta SIM en caso de pérdida para evitar que terceros carguen gastos a su cuenta. Instalar un antivirus y mantenerlo actualizado para protegerse frente al código malicioso. No descargar software de sitios poco fiables para impedir la entrada por esta vía de códigos maliciosos. Configurar el dispositivo en modo oculto, para que no pueda ser descubierto por atacantes. Desactivar los infrarrojos mientras no los vaya a utilizar. Paso 9. Asegurar el sistema operativo. Otro de los aspectos importantes en materia de prevención, radica en configurar el sistema operativo para hacerlo más seguro. Entre las buenas prácticas que se pueden tener en cuenta se encuentran: Deshabilitar las carpetas compartidas. Esto evita la propagación de gusanos que aprovechen ese vector como método de infección. Utilizar contraseñas fuertes. El empleo de contraseñas fáciles de recordar es otra de las debilidades que los códigos maliciosos suelen aprovechar para propagarse por los recursos de información.

9 Crear un perfil de usuario con privilegios restringidos. Por defecto, el usuario que crean las plataformas Windows al momento de su implementación posee privilegios administrativos. Esto es un factor que aumenta la probabilidad de infección. Deshabilitar la ejecución automática de dispositivos USB. Los dispositivos de almacenamiento removibles que se conectan al puerto USB constituyen un vector de ataque muy empleado por el malware para la propagación, sobre todo, de gusanos. De ser posible, migrar hacia plataformas (sistemas operativos) modernas. En la actualidad, los sistemas operativos antiguos (Microsoft Windows9x,NT) no cuentan con soporte técnico ni con actualizaciones de seguridad por parte de Microsoft, lo cual constituye un punto que permite la explotación de vulnerabilidades Configurar la visualización de archivos ocultos ya que la mayoría de los códigos maliciosos se esconden en el sistema con este tipo de atributos. Configurar la visualización de las extensiones de archivos para poder identificar las extensiones de los archivos descargados y no ser víctimas de técnicas como la doble extensión. Paso 10. Seguridad en Redes Sociales. En la actualidad, las redes sociales son muy populares y los usuarios las utilizan masivamente; estas características las transforman en importantes focos de propagación de malware. Por tal motivo, se torna necesario tener en cuenta y aplicar las siguientes medidas preventivas: Intentar no publicar información sensible y confidencial, debido a que personas extrañas pueden aprovechar esta información con fines maliciosos. También es recomendable evitar la publicación de fotografías propias y de familiares. Las fotografías pueden ser utilizadas para complementar actos delictivos, incluso fuera del ámbito informático. Mantener la privacidad del perfil; es decir, configurar el perfil para que no sea público. No responder las solicitudes de desconocidos, ya que pueden contener códigos maliciosos o pueden formar parte de actividades delictivas. Ignorar los mensajes que ofrecen material pornográfico, pues usualmente a través de ellos suele canalizarse la propagación de malware, además de otras acciones ofensivas desde el punto de vista ético y moral. No abrir contenidos con spam a través de este medio. De esta manera se evita formar parte del ciclo de vida del spam a través de este canal. Cambiar periódicamente la contraseña para evitar que la misma sea descubierta fácilmente. Antes de aceptar contactos espontáneos, es recomendable verificar su existencia y que realmente provienen de quien dice ser. Paso 11. Seguridad en redes P2P. Las redes Punto a Punto, más conocidas como P2P, forman otro de los canales por donde se propagan diferentes amenazas informáticas y cuya relación con códigos maliciosos es muy activa. Esta situación obliga a tener en cuenta una serie de medidas preventivas tendientes a fortalecer la seguridad del sistema, entre las cuales se destacan:

10 Explorar con una solución antivirus de alta efectividad en la detección de amenazas conocidas y desconocidas, absolutamente todos los archivos que se descargan a través de esta red, sin importar su extensión. Evitar el almacenamiento de información confidencial y sensible en la misma computadora donde se comparten archivos por redes P2P, para evitar que la misma sea robada. Verificar que el programa cliente de intercambio de archivos no instale o descargue componentes extras, ya que en la mayoría de los casos son códigos maliciosos del tipo Adware/Spyware. Asegurarse de que los archivos a descargar no se encuentren sometidos a métodos de engaño como doble extensión, debido a que se trata de una técnica muy empleada por el malware. Controlar que exista coherencia entre el tamaño original del archivo descargado y el tamaño aproximado que debería tener, para descartar la posibilidad de que se esté en presencia de programas troyanos. Chequear que la carpeta de intercambio de archivos contenga sólo los archivos que se desea compartir. Revisar la configuración de seguridad del programa cliente. Esto ayuda a maximizar la seguridad durante el proceso de descarga de archivos. Paso 12. Seguridad en dispositivos Removibles. Los dispositivos de almacenamiento removibles que se conectan a través del puerto USB (memorias, cámaras digitales, filmadoras, teléfonos celulares, etc.), constituyen otro de los mayores focos de propagación/infección de códigos maliciosos. Por lo tanto, es necesario tener presente alguna de las siguientes medidas que ayudan a mantener el entorno de información con un nivel adecuado de seguridad, ya sea en entornos corporativos: Establecer políticas que definan el uso correcto de dispositivos de almacenamiento removibles. Esto ayuda a tener claro las implicancias de seguridad que conlleva el uso de estos dispositivos. Brindar acceso limitado y controlado de los usuarios que utilizan estos dispositivos, para controlar la propagación de potenciales amenazas y el robo de información. De ser necesario, registrar el uso de los mismos y/o habilitar/deshabilitar puertos del tipo USB. Esto permite un mayor control sobre el uso de dispositivos de este estilo. En casos extremos es recomendable bloquear, por medio de políticas de grupo, de dominio o corporativas, el uso de estos dispositivos. Si se transporta información confidencial en estos dispositivos, es recomendable cifrarla. De esta forma, en caso de robo o extravío, la información no podrá ser vista por terceros. Es recomendable explorar con el antivirus cualquier dispositivo que se conecte a la computadora para controlar a tiempo una posible infección. Deshabilitar la ejecución automática de dispositivos en los sistemas operativos Microsoft Windows, ya que muchos códigos maliciosos aprovechan la funcionalidad de ejecución automática de dispositivos de las plataformas Microsoft para propagarse a través de un archivo Autorun.inf Elaborado por: Jorge Mieres, Analista de Seguridad de ESET para Latinoamérica, Junio 30

11 del Elaborado por Mercedes Martin Security & Privacy Initiatives, Microsoft elaboro a fines del 2008 una Guía de Seguridad que intenta describir los pasos prioritarios que una empresa debe implementar para proteger su entorno. Publicado en Agosto 2 del