Existen diferentes actividades para implementar seguridad en una institución que van orientadas en base a normas como la ISO 27000, las mejores prácticas internacionales implantadas así como la norma 1301-2005 de la Comisión Nacional de Bancos en Honduras.Pero que debemos hacer posteriormente para mantener un esquema de revisión adecuado.
En el esquema que utilizo para mi trabajo y lo expongo como consultor cito a Demming (Plan-Do-Check-Act) con su ciclo de mejora continua el cual para la seguridad no es algo aislado.
Dentro del Check (Verificación) podemos tener como costumbre seguir el siguiente check-list de Verificación, el cual no es exhaustivo pero sirve para inspirarse en ella para realizar una lista más completa y trabajar con comodidad en ese nuevo cargo que nos han dado como "Oficiales de Seguridad Informática". Nos sirve mucho para verificar todos los elementos y, eventualmente, corregir omisiones. Sirve sobre todo cuando hemos heredado el cargo y ya hay polpiticas y herramientas en funcionamiento.
Dentro del Check (Verificación) podemos tener como costumbre seguir el siguiente check-list de Verificación, el cual no es exhaustivo pero sirve para inspirarse en ella para realizar una lista más completa y trabajar con comodidad en ese nuevo cargo que nos han dado como "Oficiales de Seguridad Informática". Nos sirve mucho para verificar todos los elementos y, eventualmente, corregir omisiones. Sirve sobre todo cuando hemos heredado el cargo y ya hay polpiticas y herramientas en funcionamiento.
Veamos una lista de puntos a verificar periódicamente en su sistema de información para asegurar el mantenimiento del nivel de seguridad:
1. Antes de la puesta en marcha de una aplicación:
Buscar en Internet fallos de seguridad conocidos referentes a esta aplicación. Ejm. www.security focus.com
Desarrollar un Análisis de Riesgos
2. En tiempo real
- Tratamiento de las alertas enviadas por el IDS, los honeypots o sistemas de bitácoras con alertas automatizadas
- Tratamiento de los sucesos anormales señalados por los usuarios.
- Desactivación de la cuenta de cualquier persona que abandone la empresa. Molificación de las contraseñas de todas las cuentas de administrador que pueda haber conocido. Borrado completo de su equipo de usuario, por si hubiera instalado voluntaria o involuntariamente backdoors o bombas lógicas.
- Desactivación de la cuenta de cualquier persona que abandone la empresa. Molificación de las contraseñas de todas las cuentas de administrador que pueda haber conocido. Borrado completo de su equipo de usuario, por si hubiera instalado voluntaria o involuntariamente backdoors o bombas lógicas.
3. A diario
- Análisis de los logs, provenientes del cortafuegos, de los sistemas operativos, del proxy y de las aplicaciones ERP, Web, FTP, etc. Vigile especialmente los errores repetidos de acceso a un recurso (denegación de acceso a un archivo, denegación de conexión a una cuenta de usuario, denegación de recepción de un e-mail. etc.). Analice también los casos en que haya sido rechazado un intento de conexión desde el interior hacia el exterior. Esto puede significar que un virus intenta comunicarse con el exterior o que un usuario ha instalado un programa no autorizado, como Kazaa (aplicación de intercambio de archivos P2P)
- Verificación de la actualización del archivo de definición de los virus en todas las máquinas. Compruebe que el archivo de firmas del IDS esté actualizado.
- Verificación del bloqueo de la puerta de las salas informáticas, que deben estar cerradas tanto de día como de noche.
- Verificación del cierre con llave de todas las oficinas por la noche (una prueba nada mas...)
4. Semanalmente
- Verificación de la integridad de los archivos del sistema (compruebe que no hayan sido modificados).
- Scan de los puertos de todas las máquinas de la red, incluidos los equipos de usuario conectados de forma remota desde su casa mediante VPN. El objetivo es detectar eventuales backdoors, que probarían que el equipo de usuario está infectado por virus. Sin embargo, evite escanear los honeypots para no desencadenar falsas alertas.
- Verificación del cumplimiento de las políticas de seguridad por parte del personal.
5. Mensualmente
- Para cada aplicación y cada sistema operativo utilizados: comprobación en el sitio de los fabricantes por si han publicado nuevos parches de seguridad. Si es así, planifique una instalación de los parches lo antes posible. Esta comprobación puede automatizarse parcialmente con escáneres de vulnerabilidades.
- Verificación de que ninguna contraseña simple de administrador haya sido utilizada en ninguna máquina, incluyendo las máquinas de prueba temporales. Compruebe cada contraseña y asegurese de que son de nivel complejo. Si no es así haga que las cambien.
- Prueba del nivel de complejidad de todas las contraseñas (administradores y usuarios) empleando herramientas de ruptura de contraseñas como lOphtCrack.
- Utilización de un escáner para hacer una prueba de vulnerabilidad en todas las máquinas de la red.
- Revisión de las reglas del cortafuegos(ACL) y búsqueda de sus eventuales agujeros.
- Comprobación de que todos los antivirus en todas las máquinas hayan realizado al menos un scan completo de todos los archivos almacenados en los discos duros locales y en los discos de red.
- Inspección en detalle del 10% del parque informático. Establezca la lista de todos los programas cuya instalación no haya sido oficialmente autorizada por la empresa (shareware, juegos, etc.). Haga que esta auditoría permenente sea aleatoria, imprevisible y conocida por todos para disuadir a los usuarios de instalar programas no controlados en las máquinas. No olvide explicar por qué les están prohibidos los sharewares, sus colaboradores no deben tomarlo por un capricho sino por una sana medida de seguridad.
- Verificación de que ninguna contraseña simple de administrador haya sido utilizada en ninguna máquina, incluyendo las máquinas de prueba temporales. Compruebe cada contraseña y asegurese de que son de nivel complejo. Si no es así haga que las cambien.
- Prueba del nivel de complejidad de todas las contraseñas (administradores y usuarios) empleando herramientas de ruptura de contraseñas como lOphtCrack.
- Utilización de un escáner para hacer una prueba de vulnerabilidad en todas las máquinas de la red.
- Revisión de las reglas del cortafuegos(ACL) y búsqueda de sus eventuales agujeros.
- Comprobación de que todos los antivirus en todas las máquinas hayan realizado al menos un scan completo de todos los archivos almacenados en los discos duros locales y en los discos de red.
- Inspección en detalle del 10% del parque informático. Establezca la lista de todos los programas cuya instalación no haya sido oficialmente autorizada por la empresa (shareware, juegos, etc.). Haga que esta auditoría permenente sea aleatoria, imprevisible y conocida por todos para disuadir a los usuarios de instalar programas no controlados en las máquinas. No olvide explicar por qué les están prohibidos los sharewares, sus colaboradores no deben tomarlo por un capricho sino por una sana medida de seguridad.
6. Anualmente
- Sesión de formación de los equipos técnicos.
- Formación y sensibilización del personal respecto a las cuestiones de seguridad.
- Realización de una nueva auditoría de seguridad por un empresa externa especializada en la materia.
- Formación y sensibilización del personal respecto a las cuestiones de seguridad.
- Realización de una nueva auditoría de seguridad por un empresa externa especializada en la materia.
No hay comentarios:
Publicar un comentario