1- Analizar y definir cuales equipos requieren protección:
- Levantar un listado de los equipos y definir sus vulnerabilidades.
- Establecer el impacto económico o de otra índole en caso de que cada equipo se vea afectado, desconectado o dañado. - Establecer las prioridades en los equipos de mayor vulnerabilidad y/o de mayor impacto. - Crear planes de emergencia y de contingencia. - Documentar los resultados de todos los puntos anteriores.
2- Establecer políticas con relación a los passwords:
- Considerarse la longitud mínima.
- Definir el uso de caracteres especiales, mayúsculas y números - Definir cada cuanto se debe cambiar el password. - Definir políticas de con respecto al bloqueo o cierre de cuenta al ingresar una cantidad determinada de veces un password en forma errónea. - Determinar si los passwords pueden ser administrados por cada usuario final o por personal de Tecnologías de Información o ambas.
3- Culturizar a todos los empleados de la empresa para un uso correcto de los
sistemas informáticos. Solicitar a los empleados lo siguiente:
- Informar al administrador de la red o al personal de TI cualquier
comportamiento irregular o reducción considerable de la red de datos. Reportar retardos o falta de servicio al imprimir (en red), al revisar correo electrónico, al accesar páginas en Internet o en la Intranet, o cualquier otro acontecimiento irregular al del comportamiento normal. - Acatar las políticas y directrices establecidas en el plan de seguridad. - Consultar siempre sobre correos electrónicos de dudosa procedencia o con archivos adjuntos desconocidos. - Instalar únicamente programas autorizados por el personal de Tecnologías de Información de la empresa. - Adicionalmente se recomienda el envío de correos informativos sobre nuevas políticas de seguridad, nuevas actualizaciones, nuevos tipos de amenazas y acciones por parte de TI para reducir el impacto. - Informar a los empleados sobre el Phishing y sobre los posibles daños en caso de la divulgación de passwords u otra información personal o empresarial
4- Con relación a los antivirus se recomienda:
- Adquirir un antivirus de reconocido prestigio a nivel mundial
- Instalar la misma versión de antivirus en todas las computadoras, servidores y demás equipos terminales. - Mantener la versión del listado y definiciones de virus al día. - En grandes empresas se recomienda utilizar un servidor para actualizar automáticamente todos los equipos.
5- Establecer las funciones de cada empleado en TI:
- Establecer cuales equipos puede manipular un determinado
empleado de TI. - Mantener una bitácora física de cada acción realizada en relación a los equipos (cambios de modelo, actualización de sistemas operativos, reubicación y demás acciones que causen cambios considerables en la topología original) - Mantener un sitio seguro con los passwords y usernames de los equipos principales de la red. - Establecer, a lo sumo, un máximo de dos administradores con todos los permisos. - Definir los perfiles y permisos de cada funcionario de TI en forma independiente. - Establecer cuantos y cuales empleados tienen autorización para la manipulación de equipos de telecomunicaciones (switches, routers, access points, firewalls).
6- Realizar backups de las configuraciones:
- Almacenar en lugares seguros las configuraciones actuales,
preferiblemente en formato impreso. - De ser posible, fotografiar los equipos y sus conexiones y almacenarlas en sitios seguros. - Esta información puede ser de utilidad contra un caso de manipulación de los equipos en forma no autorizada.
7- Instalar equipo especializado de seguridad:
- Instalación de firewalls. En grandes empresas. recomiendan firewalls físicos. En empresas medianas y pequeñas se pueden utilizar firewalls basados en software o aprovechar algún router existente para implementar las funciones de firewall. - Se recomienda implementar al menos uno de los siguientes servicios: Servidores proxy, donde se considere necesario implementar. De pueden definir políticas en ancho de banda y permisos para el uso de Internet o redes externas a la empresa. Servidores AAA (Authentication, Authorization, Accounting) puede utilizarse RADIUS (gratuito) o TACACS+ (propietario). Servidores SysLog, en empresas con gran cantidad de equipos, de esta manera centralizar las bitácoras en un solo punto de monitoreo.
9- Utilizar las características de seguridad en los equipos:
- Activar la característica de bitácora en los equipos y realizar un
chequeo periódico de los mismos. - Cerrar o deshabilitar los servicios o protocolos en routers, firewalls u otros equipos de la red que no se estén utilizando y puedan llegar se ser utilizados para ataques (por ejemplo H.323, SIP, CDP, servicios TCP, UDP, RTP, ICMP) - Utilizar protocolos de seguridad al establecer VPNs tales como IPSec, PPTP, L2TP. - Utilizar el protocolo SSH (Security Shell) en lugar de Telnet. - Utilizar NAT para ocultar las IPs de la empresa. - Encriptar los enlaces utilizando esquemas de encripción reconocidos tales como DES, 3DES o AES. Y utilizar al claves de al menos 128 bits.
- Planificar y diseñar debidamente la posición de los servicios nuevos.
- No instalar servicios nuevos sin su debida protección. - Consultar con personal capacitado las posibles vulnerabilidades de los servicios a instalar. - Contratar empresas de reconocidas en caso de requerirse compra, instalación, mantenimiento de los equipos internos de telecomunicaciones. - Informar al ICE cualquier problema experimentado con los servicios ofrecidos. 11- Centro de conmutación o central telefónica (PBX).
- Restringir el acceso a redes internacionales o números 900 en las
extensiones de la central interna no autorizados.
- Las extensiones o usuarios con permisos especiales (llamadas
internacionales, 900s, llamadas entrantes o salientes) deben ser autorizadas por la persona destinada para tal función; documentadas y almacenadas en lugares seguros.
- El uso de PINs para el uso del servicio telefónico es altamente
recomendable en algunos casos.
- No colocar servicios telefónicos en sitios sin monitoreo o al alcance
de personas ajenas a la empresa.
- Establecer un plan de revisión frecuente de los registros (CDRs,
bitácora) que genera la central para verificar si existen llamadas no autorizadas,
- En caso de llamadas internacionales, mantener documentación
actualizada de los destinos comunes de la empresa (países, números de oficinas remotas, casas matrices, proveedores) y compararlo periódicamente con los registros de la central. En caso de encontrar diferencias de consideración, tomar las medidas del caso y seguir los procedimientos definidos en el plan de seguridad.
- Restringir o eliminar categorías no utilizadas, como por ejemplo DISA
(Direct Inward System Access), que podrían ser utilizados por usuarios no autorizados para realizar acciones fraudulentas, inmorales y/o anti éticas a nombre de la empresa.
- Generar alarmas cuando detecten tráfico nacional o internacional
masivo en días y horas no hábiles.
- En caso de presentarse algún evento irregular al comportamiento
natural de la empresa informar inmediatamente al ICE.