La seguridad informática en la PYME Situación actual y mejores prácticas

Transcripción

1 Introducción Seguridad informática: aspectos generales 1. Introducción Los dominios y regulaciones asociadas Las mejores prácticas ITIL V La estrategia del servicio (Service Strategy) El diseño de los servicios (Service Design) La transición del servicio (Service Transition) La operación del servicio (Service Operation) La mejora continua del servicio (Continual Service Improvement - CSI) La gestión de la configuración (Configuration Management) La gestión de la disponibilidad (Availability Management) La gestión de seguridad (Security Management) El método PDCA o rueda de Deming La norma ISO Las normas ISO 270xx Los riesgos informáticos Definiciones Las vulnerabilidades Las amenazas y sus impactos La gestión del riesgo informático La política de seguridad Los principios La elaboración del documento Las herramientas asociadas 57 1/13

2 5. Los principales ejes de la estrategia de seguridad El diagnóstico y la evaluación de las necesidades Los planes operativos de seguridad El acceso a los sistemas y los datos La protección física La protección lógica Identificación y trazabilidad La garantía de la disponibilidad del sistema de información La sensibilización de los usuarios a la seguridad La seguridad y los aspectos legales Conclusión 64 La seguridad en la empresa - La red 1. Requisitos previos Generalidades sobre la seguridad en las redes Introducción a la tecnología firewall Las funcionalidades del firewall Los diferentes tipos de cortafuegos Elección de un dispositivo de firewall para la empresa La política de configuración del firewall Estrategia de implementación de firewall Las reglas en un firewall Guía de mejores prácticas para implementar entornos de firewall Los firewall específicos La alta disponibilidad en la implementación de firewalls Las redes DMZ (Zona DesMilitarizada) Las redes privadas virtuales empresariales 91 2/13

3 3.1 Presentación El servidor VPN Las categorías de VPN Las VPN usuario-sitio Las VPN sitio-sitio Precauciones de uso de la funcionalidad de VPN y mejores prácticas Los protocolos vinculados a la seguridad Los componentes utilizados en las redes y la seguridad Los sistemas de detección y prevención de intrusión Los servidores DNS (Domain Name Service) Otras tecnologías utilizadas en las redes empresariales y la seguridad El Wi-Fi y las conexiones inalámbricas La tecnología PLC (Power Line Comunication) 108 La seguridad en la empresa - Los sistemas 1. Objetivos La disponibilidad de datos y sistemas Conceptos y principios La disponibilidad de los datos La tecnología RAID (Redundant Array of Inexpensive Disks) La red de almacenamiento SAN (Storage Area Network) La tecnología NAS (Network Attached Storage) La disponibilidad de los sistemas Los clústeres de servidores Windows La virtualización de sistemas La virtualización y la replicación de los servidores La virtualización del almacenamiento 123 3/13

4 3. La disponibilidad de la infraestructura Energía eléctrica Red de comunicaciones Identificación y autenticación Definiciones Implementación de sistemas de identificación y autenticación Mecanismos de control de acceso Controles de acceso lógico Controles de acceso interno Controles de acceso externos Administración de los controles de acceso Las herramientas o soluciones de control de acceso La firma digital o firma electrónica Infraestructura de cifrado de claves públicas La implementación de una infraestructura de cifrado de claves públicas Seguridad física y de entorno Las protecciones contra los virus y programas maliciosos Los virus Otros programas malinencionados Las mejores prácticas de seguridad en el marco de un sistema de información Las mejores prácticas generales La gestión de las cuentas Consejos a los administradores Las mejores prácticas para la gestión de cuentas y contraseñas para los usuarios Los mecanismos de control y de verificación Los mecanismos de control de acceso Los controles de acceso lógico Revisiones y auditorías 149 4/13

5 7.3.4 Las anomalías La disponibilidad de los sistemas La protección de los servidores La protección de los puestos de trabajo La protección de los dispositivos de impresión de documentos Mejores prácticas de seguridad dirigidas al administrador del sistema y de la red Caso de las contraseñas de administración de servidores Centralización de las contraseñas Ejemplos de herramientas de control de actualización de las protecciones de Windows Seguridad física de los accesos a la consola de los sistemas Documentación de configuración de la infraestructura La vigilancia tecnológica Mejores prácticas de administración específicas de Windows Política de bloqueo de cuenta La política de seguridad de acceso externo a través de Kerberos en las plataformas Windows Protocolo de autenticación por defecto en Windows Server 2008/ El cifrado o encriptación de los sistemas de archivos de Windows Política de auditoría de acceso a las cuentas y a los archivos 164 Movilidad y seguridad 1. A qué llamamos «móvil» o «terminal itinerante»? Los terminales itinerantes: problemas específicos El origen de estos problemas Las principales amenazas y vulnerabilidades Las amenazas Las vulnerabilidades El BYOD (Bring Your Own Device) Los impactos 174 5/13

6 2.4 Principios de respuesta a las amenazas Las mejores prácticas Consejos para el usuario La protección física La protección lógica o aplicativa Instalación de aplicaciones La seguridad de las funcionalidades e interfaces radio (Wi-Fi, Bluetooth) La seguridad de las conexiones inalámbricas (sistemas móviles, Wi-Fi) Requisitos y consejos para la empresa Implementación de una solución de seguridad Algunos dispositivos de protección Conclusión 202 La seguridad de los datos 1. Los riesgos de pérdida de datos El respaldo y la restauración Conceptos generales Definiciones La política de respaldo La copia de seguridad El archivado La restauración Los métodos generales de copia de seguridad La copia directa La copia en entornos de red Los tipos de respaldo más frecuentes La copia de respaldo completa (Full Backup) La copia normal La copia parcial La copia de seguridad definida por el usuario 212 6/13

7 2.3.5 La copia de seguridad remota (electronic vaulting) o en línea La copia de seguridad sintética Comparación de los tipos de copia de seguridad Ventajas e inconvenientes de los diferentes tipos de copia de seguridad Los dispositivos de copia de seguridad Los soportes de respaldo La gestión de los soportes y dispositivos en la aplicación de copia de seguridad Criterios de selección Gestión de los soportes y los grupos de medios Ciclo de vida de los soportes Formateo de los soportes Soporte de cintas de limpieza Protección de los datos escritos en los soportes Recomendaciones para la gestión de las cintas magnéticas Las copias de soportes (clonación) Las copias de seguridad en discos, la biblioteca virtual La copia de disco a disco a cinta La biblioteca virtual de copias de seguridad o VTL (Virtual Tape Library) La utilización de la arquitectura SAN para el almacenamiento virtual Las claves para un buen respaldo La base de datos de respaldo El concepto Copia de seguridad de la base de datos Las notificaciones Las máquinas virtuales y su estrategia de respaldo La gestión de la seguridad a nivel de las copias de seguridad La seguridad de los datos almacenados Dispositivos adicionales de gestión de la seguridad Concepto de snapshot o instantáneas La restauración de los datos Observaciones relativas a la restauración Las distintas opciones de restauración de archivos Restauración bajo demanda Restauración de un sistema operativo completo de un servidor 246 7/13

8 4. La estrategia de copia de seguridad Elementos de reflexión para la creación de una estrategia de copia de seguridad La ventana de copia de seguridad La periodicidad de los respaldos La duración de retención de los datos copiados El tipo de soporte de copia de datos Las especificaciones de copias de seguridad Creación de una especificación de copia de seguridad Los cálculos de necesidades de almacenamiento Captura de necesidades para diseñar un sistema de respaldo operativo El archivo de datos Estrategia de archivo Archivo legal y a largo plazo La administración y supervisión de las copias de seguridad Administración diaria Verificación de las sesiones Gestión de la base de datos del software de respaldo Plan de recuperación del servidor de respaldo La tecnología Drive Backup 11 Server Otros productos disponibles 273 El plan de contingencia informática 1. Introducción La preparación ante desastres 276 8/13

9 2.1 Enfoques posibles Restauración Selección de objetivos prioritarios Determinación del presupuesto disponible Determinación y análisis de riesgos Las soluciones de emergencia Consideraciones técnicas para la elaboración de planes de contingencia Puestos de trabajo fijos y portátiles Consideraciones de precauciones y mejores prácticas Las copias de seguridad Los riesgos específicos de los equipos itinerantes Los servidores Consideraciones sobre precauciones de seguridad y mejores prácticas Soluciones y precauciones de emergencia Soluciones específicas Las redes locales (LAN) y de área extensa (WAN) Las mejores prácticas Las soluciones de precaución y de emergencia Las redes inalámbricas o WLAN (Wireless Local Area Networks) Los sistemas distribuidos (arquitectura cliente-servidor) Guía para la elaboración de un plan de recuperación de desastres en prevención de un siniestro Objetivos generales Estado de los lugares actuales Elementos críticos de la infraestructura Inventario y diagnóstico del estado de la seguridad Arquitectura de copia de seguridad Equipos redundantes o de alta disponibilidad Equipo y software de emergencia Análisis de las necesidades de negocio Análisis del impacto sobre la actividad Determinación de los períodos de interrupción aceptables Los escenarios de riesgo 299 9/13

10 4.5 Elaboración del plan de recuperación de desastres Optimización de la infraestructura existente Análisis de las soluciones y opciones generales Elección del sitio de respaldo o de emergencia Otras soluciones técnicas de recuperación Implementación de los recursos Evaluación de los medios Soluciones técnicas del sistema y red Medios técnicos externos Limitaciones de los proveedores externos Elemento humano Elaboración de procedimientos Procedimientos de explotación Procedimientos de recuperación Documentación Las pruebas funcionales La gestión del seguimiento del plan La virtualización de servidores en la estrategia del plan de emergencia Ejemplo de proyecto de implementación de un PRA La norma ISO/IEC 22301: La norma ISO/IEC El Cloud Computing 1. Principios Los modelos o soluciones Los distintos modos de implementación Las ventajas del Cloud Computing El Cloud Computing interno en una empresa o Cloud privado /13

11 2. El Cloud Computing y sus riesgos Comprender los riesgos del Cloud Computing Los problemas identificados en la actualidad Los riesgos ocultos del Cloud Computing Las amenazas y vulnerabilidades específicas Los riesgos organizativos relacionados con el uso del Cloud Computing Los riesgos generales Los riesgos técnicos Los riesgos legales Los riesgos externos al Cloud Computing Mejores prácticas de seguridad Etapa preliminar Estado de los lugares Análisis de riesgos Conformidades requeridas El proveedor La elección Verificación en el proveedor El contrato y los niveles de servicio La gestión de incidentes El acceso y el cifrado de datos La copia de seguridad La gestión de la continuidad de negocio Etapa de seguimiento y mantenimiento La salida del Cloud Computing Conclusión 368 Internet de los objetos o Internet of things 1. Introducción /13

12 2. Presentación de la tecnología Definición Los desafíos Los dominios del Internet de los objetos Los sectores afectados por la seguridad Las redes Las tecnologías de objetos comunicantes Tomar en cuenta las nuevas amenazas y los nuevos riesgos Amenazas generales de los dispositivos móviles Los requerimientos de seguridad Amenazas específicas que puedan afectar a las redes WSN (Wireless Sensor Networks) Amenazas particulares que pueden afectar a estas tecnologías Amenazas que afectan en particular a la tecnología RFID Amenazas específicas de la tecnología NFC Amenazas que afectan a los datos Las vulnerabilidades Otros riesgos específicos Evaluación de riesgos Propuestas de soluciones de seguridad Mejores prácticas Recomendaciones de implementaciones de medidas de seguridad La tecnología WSN La tecnología RFID La tecnología NFC Estrategias globales de la seguridad de una infraestructura Conclusión /13

13 La sensibilización a la seguridad en la empresa 1. Objetivo El comportamiento La sensibilización La carta de buena conducta 412 Anexo 1. Sitios web Organismos relacionados con la seguridad 417 índice /13