Gua de Seguridad

9 PASOS PARA IMPLEMENTAR LA SEGURIDAD INFORMTICA EN SU EMPRESA

Elaborado por: Mercedes Martin Security & Privacy Initiatives

Versin 1.0 Final Noviembre 24, 2008

Security and Privacy Initiative FY09 Spain

Microsoft

INDICE DE CONTENIDO
INTRODUCCIN ..............................................................................................................................4 PASO 1 ESTABLECER LA POLITICA DE SEGURIDAD DE LA EMPRESA ........................................4 1. 2. Qu debe incluir su poltica de Seguridad de la empresa ..............................................4 Conciencie a sus empleados .............................................................................................5

PASO 2 PROTEJA SUS EQUIPOS DE ESCRITORIO Y PORTATILES ...............................................5 1. 2. 3. 4. 5. 6. Protjase de los virus y el software espa ........................................................................5 Actualizaciones Software ..................................................................................................6 Configure un firewall .........................................................................................................6 Evite el correo electrnico no deseado (Spam)...............................................................6 Utilice solamente software legal ......................................................................................6 Navegacin Segura ............................................................................................................6

PASO 3 PROTEJA SU RED.............................................................................................................7 1. 2. Utilice contraseas seguras. .............................................................................................7 Proteger una Red WIFI ......................................................................................................7 Ocultar el SSID ................................................................................................................7 Cambiar el nombre SSID ................................................................................................8 Cifrado WEP....................................................................................................................8 Encriptacin WPA o WPA2(Wi-Fi Protected Access ) .................................................8 Cambiar clave de acceso del punto de acceso .............................................................8 3. Configure un firewall a nivel de Red.....................................................................................8 PASO 4 PROTEJA SUS SERVIDORES ............................................................................................8 1. 2. 3. 4. Certificados de servidor ....................................................................................................8 Mantenga sus servidores en un lugar seguro..................................................................8 Prctica de menos privilegios. ..........................................................................................8 Conozca las opciones de seguridad ..................................................................................9

PASO 5 MANTENGA SUS DATOS A SALVO .................................................................................9 1. 2. 3. 4. Copias de seguridad de los datos importantes para el negocio.....................................9 Establezca permisos. .........................................................................................................9 Cifre los datos confidenciales. ..........................................................................................9 Utilice sistemas de alimentacin ininterrumpida (SAI)...................................................9

PASO 6 PROTEJA SUS APLICACIONES Y RECURSOS ................................................................ 10 1. Valore la instalacin del Directorio Activo.................................................................... 10

24 de noviembre de 2008

Mercedes Martn

Security and Privacy Initiative FY09 Spain

Microsoft

2. 3. 4. 5.

Gestione las Aplicaciones a travs del Directorio Activo ............................................. 10 Preste atencin a la base de datos................................................................................ 10 Cortafuegos de Aplicaciones Web................................................................................. 11 Auditorias Tcnicas......................................................................................................... 11

PASO 7 GESTIN DE LAS ACTUALIZACIONES.......................................................................... 11 1. 2. 3. Actualizaciones oportunas ............................................................................................. 11 Configuraciones especiales ............................................................................................ 11 Supervisin...................................................................................................................... 11

PASO 8 PROTEJA SUS DISPOSITIVOS MOVILES ........................................................................ 12 PASO 9 PROTECCIN DE DATOS DE CARCTER PERSONAL .................................................... 12 1. 2. Registre los ficheros ....................................................................................................... 12 Cesin de datos a un tercero ........................................................................................ 12

LISTA DE AMENAZAS DE SEGURIDAD ( Ms importantes) ....................................................... 13 RECURSOS .................................................................................................................................... 14

24 de noviembre de 2008

Mercedes Martn

Security and Privacy Initiative FY09 Spain

Microsoft

INTRODUCCIN
Segn un estudio realizado recientemente por Inteco, 8 de cada 10 equipos se encuentran infectados con algn tipo de cdigo malicioso. Ante estos datos tan alarmantes, Microsoft ha elaborado una Gua de Seguridad que intenta describir los pasos prioritarios que una empresa debe implementar para proteger su entorno. Es necesario incidir en la necesidad de un cambio de concepcin, que conlleva al empleo de medidas reactivas a proactivas en la gestin de la seguridad. Las medidas reactivas son soluciones parciales, medidas de proteccin implementadas sin apenas intervencin del usuario, que bsicamente consisten en la instalacin del producto sin un seguimiento y control continuado. Si desea evaluar los puntos dbiles de su entorno de seguridad de IT puede usar la herramienta gratuita de Evaluacin de Seguridad de Microsoft (MSAT), diseada para ayudar a las organizaciones de menos de 1.000 empleados.

HERRAMIENTA DE EVALUACIN DE SEGURIDAD http://www.microsoft.com/spain/technet/security/tools/msat/default.mspx

PASO 1 ESTABLECER LA POLITICA DE SEGURIDAD DE LA EMPRESA

Los riesgos a los que se ven expuestas las empresas hacen necesario la creacin de directrices que orienten hacia un uso responsable de los recursos. Las polticas de seguridad son documentos que constituyen la base del entorno de seguridad de una empresa y deben definir las responsabilidades, los requisitos de seguridad, las funciones, y las normas a seguir por los empleados de la empresa.

1. Qu debe incluir su poltica de Seguridad de la empresa.

Responsables del desarrollo, implantacin y gestin de la poltica

Director de Poltica de Seguridad. Personal encargado de realizar, supervisar,

inspeccionar, modificar las normas y reglas establecidas en la poltica de seguridad. Director de Seguridad. Personal encargado de, en virtud de la poltica de seguridad establecida, asignar roles de acceso a la informacin, proveer de permisos y soportes informticos, controlar la entrada y salida de informacin, identificacin y resolucin de incidencias, etc.

Cree una directiva de uso aceptable Una directiva de uso aceptable es un documento en el que se informa a los empleados de lo que pueden y no pueden hacer en los equipos de la empresa. Ponga por escrito las normas que espera que se cumplan. Puede describir su poltica sobre la creacin de contraseas, indicar la frecuencia de cambio de contraseas o mencionar el riesgo que supone abrir archivos adjuntos de correo electrnico de remitentes desconocidos. Tambin puede incluir la prohibicin de

24 de noviembre de 2008

Mercedes Martn

Security and Privacy Initiative FY09 Spain

Microsoft

instalar software no autorizado en los equipos. En este documento, que debe ser firmado por todos los empleados, tienen que constar las sanciones (en casos extremos, incluso el despido) por contravenir esas normas. En su calidad de propietario o director del negocio, tambin deber firmar una copia de la directiva. Si la directiva es larga y detallada, ayude a los empleados a recordar los puntos principales con un resumen de una pgina que puede distribuir y colocar cerca de sus estaciones de trabajo.

Plan de Actuacin en caso de alarma de Seguridad

2. Conciencie a sus empleados

Distribuya proactivamente a actualizaciones en las polticas. travs de comunicaciones peridicas las

PASO 2 PROTEJA SUS EQUIPOS DE ESCRITORIO Y PORTATILES

1. Protjase de los virus y el software espa
Los virus, as como los gusanos y los troyanos, son programas maliciosos que se ejecutan en su equipo. Entre las acciones que pueden provocar este tipo de cdigo malicioso se encuentran: borrado o alteracin de archivos, consumo de recursos del equipo, acceso no autorizado a archivos, infeccin de los equipos de los clientes con los que se comunique mediante correo electrnico El virus se puede extender por los equipos de su empresa y producir momentos de inactividad y prdidas de datos muy graves. Existen herramientas de eliminacin de software malintencionado que comprueban infecciones por software malintencionado especfico y ayuda a eliminarlas Instale software antivirus. Debe disponer de proteccin antivirus en todos sus equipos de escritorio y porttiles. El software antivirus examina el contenido de los archivos en su pc en busca de indicios de virus. Cada mes aparecen cientos de virus nuevos, por lo que hay que actualizar peridicamente los antivirus con las ltimas definiciones para que el software pueda detectar los nuevos virus. Asegrese que el antivirus esta actualizado.

MICROSOFT FOREFRONT CLIENT SECURITY www.microsoft.com/spain/forefront/default.mspx

24 de noviembre de 2008

Mercedes Martn

Security and Privacy Initiative FY09 Spain

Microsoft

2. Actualizaciones Software.
A los piratas informticos les gusta encontrar y aprovechar cualquier error de seguridad en los productos de software ms populares. Cuando Microsoft u otra compaa descubren una vulnerabilidad en su software, suelen crear una actualizacin que se puede descargar de Internet (tanto para el Sistema Operativo como cualquier aplicacin que se tenga instalada). Es necesario instalar las actualizaciones tan pronto se pongan a la disposicin del pblico. Windows Update le permitir recibir actualizaciones peridicamente.

MICROSOFT UPDATE http://www.update.microsoft.com/microsoftupdate/v6/

3. Configure un firewall.
Un firewall es un programa encargado de analizar tanto el trfico entrante como saliente de un equipo, con el fin de bloquear determinados puertos y protocolos que potencialmente podran ser utilizados por las aplicaciones.

4. Evite el correo electrnico no deseado. (Spam)

El spam son mensajes de correo electrnico comercial no solicitado. Si recibe un correo electrnico de un remitente desconocido elimnelo sin abrirlo, puede contener virus, y tampoco responda al mismo, ya que estara confirmando que su direccin es correcta y esta activa. No realice envo de publicidad a aquellas personas que no hayan autorizado previamente el consentimiento de recibir publicidad. Adopte medidas de proteccin frente al correo electrnico no deseado. Como filtros de correo electrnico actualizados.

5. Utilice solamente software legal.

El uso de software ilegal adems de generar riesgos de carcter penal, tambin puede generar problemas en la seguridad de la informacin, lo que lo que conlleva a prdidas en la rentabilidad y productividad de la organizacin. El software legal ofrece garanta y soporte del fabricante.

6. Navegacin Segura.
Acceda nicamente a sitios de confianza. Analice con un antivirus todo lo que descarga antes de ejecutarlo en su equipo. No explore nunca sitios Web desde un servidor. Utilice siempre un equipo o porttil cliente. Mantenga actualizado su navegador a la ltima versin.

24 de noviembre de 2008

Mercedes Martn

Security and Privacy Initiative FY09 Spain

Microsoft

Configure el nivel de seguridad de su navegador segn sus preferencias. Descargue los programas desde los sitios oficiales para evitar suplantaciones maliciosas (Phishing). Configure su navegador para evitar pop-ups emergentes. Utilice un usuario sin permisos de Administrador para navegar por Internet, as impide la instalacin de programas y cambios en los valores del sistema. Borre las cookies, los ficheros temporales y el historial cuando utilice equipos ajenos para no dejar rastro de su navegacin. Comercio Electrnico Observe en la barra de navegacin de su navegador, que la direccin Web comienza por https: indica que se trata de una conexin segura y el contenido que transfiera ser cifrado por la Red. Observe que aparece un candado ( ) en la parte inferior derecha de su navegador. Esto significa que la entidad posee un certificado emitido por una autoridad certificadora, el cual garantiza que realmente se ha conectado con la entidad destino y que los datos transmitidos son cifrados.

PASO 3 PROTEJA SU RED

Si su compaa trabaja con una red con cables o inalmbrica y tiene informacin que desea mantener confidencial, preste atencin a los siguientes consejos:

1. Utilice contraseas seguras.

Informar a los empleados de la importancia de las contraseas es el primer paso para convertir las contraseas en una valiosa herramienta de seguridad de la red, ya que dificultan la suplantacin de su usuario. Es decir, no se debe dejar en cualquier parte ni se debe compartir. Caractersticas de una contrasea "segura":

Una longitud de ocho caracteres como mnimo; cuanto ms larga, mejor. Una combinacin de letras maysculas y minsculas, nmeros y smbolos. Se debe cambiar cada 90 das como mnimo y, al cambiarla, debe ser muy distinta de las contraseas anteriores. No utilice datos personales.

2. Proteger una Red WIFI.

Para maximizar seguridad en la red Wifi es necesario usar la siguiente lista de consejos en conjunto.

Ocultar el SSID
Ocultar el SSID (identificador de redes inalmbricas) al exterior es una buena medida para evitar las intrusiones, aun que este dato puede descubrirse fcilmente aunque este se presente oculto.

24 de noviembre de 2008

Mercedes Martn

Security and Privacy Initiative FY09 Spain

Microsoft

Cambiar el nombre SSID Cifrado WEP

Se basa en claves de 64 128 bits. La encriptacin WEP no es la opcin ms segura.

Encriptacin WPA o WPA2(Wi-Fi Protected Access )

Surgi como alternativa segura y eficaz al WEP, se basa en el cifrado de la informacin mediante claves dinmicas, que se calculan a partir de una contrasea.

Cambiar clave de acceso del punto de acceso

Es necesario modificar las claves de acceso peridicamente.

3. Configure un firewall a nivel de Red.

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Un firewall puede ser un dispositivo software o hardware

PASO 4 PROTEJA SUS SERVIDORES

En el momento en que los servidores estn en peligro, tambin lo est toda la red.

1. Certificados de servidor.
Identifican a los sitios Web. Requiere de la existencia de una autoridad certificadora (CA) que afirme, mediante los correspondientes certificados de servidor, que stos son quienes dicen ser antes del establecimiento del canal seguro. Le permitir establecer comunicaciones seguras con sus clientes, cifrando la conexin usando la tecnologa SSL para que no pueda ser leda por terceros.

2. Mantenga sus servidores en un lugar seguro.

Las empresas deben asegurarse de que sus servidores no son vulnerables a las catstrofes fsicas. Coloque estos equipos en una sala segura y con buena ventilacin. Haga una relacin de los empleados que tienen las llaves de la sala de servidores.

3. Prctica de menos privilegios.

Asigne distintos niveles de permisos a los usuarios. En vez de conceder a todos los usuarios el acceso "Administrador, debe utilizar los servidores para administrar los equipos cliente. Los servidores de Windows se pueden configurar para conceder a cada usuario acceso nicamente a programas especficos y para definir los privilegios de usuario que se permiten en el servidor. De este modo se garantiza que los usuarios no pueden efectuar cambios que son fundamentales en el funcionamiento del servidor o equipo cliente.

24 de noviembre de 2008

Mercedes Martn

Security and Privacy Initiative FY09 Spain

Microsoft

4. Conozca las opciones de seguridad.

Los servidores actuales son ms seguros que nunca, pero las slidas configuraciones de seguridad que se encuentran en los productos de servidor de Windows slo son eficaces si se utilizan del modo adecuado y se supervisan estrechamente.

PASO 5 MANTENGA SUS DATOS A SALVO

La combinacin de estas tres prcticas debe proporcionar el nivel de proteccin que necesita la mayora de las empresas para mantener sus datos a salvo.

1. Copias de seguridad de los datos importantes para el negocio.

La realizacin de copias de seguridad de los datos significa crear una copia de ellos en otro medio. Por ejemplo, puede grabar todos los archivos importantes en un CD-ROM o en otro disco duro. Es recomendable probar las copias de seguridad con frecuencia mediante la restauracin real de los datos en una ubicacin de prueba.

2. Establezca permisos.
Se pueden asignar distintos niveles de permisos a los usuarios segn su funcin y responsabilidades en la organizacin. En vez de conceder a todos los usuarios el acceso "Administrador" (instituya una poltica de "prctica de menos privilegios).

3. Cifre los datos confidenciales.

Cifrar los datos significa convertirlos en un formato que los oculta. El cifrado se utiliza para garantizar la confidencialidad y la integridad de los datos cuando se almacenan o se transmiten por una red. Utilice el Sistema de archivos cifrados (EFS) para cifrar carpetas y archivos confidenciales.

4. Utilice sistemas de alimentacin ininterrumpida (SAI).

Para evitar que los equipos informticos no se interrumpan bruscamente en caso de corte del suministro elctrico y para filtrar los microcortes y picos de intensidad, que resultan imperceptibles, es recomendable el uso de SAI.

24 de noviembre de 2008

Mercedes Martn

Security and Privacy Initiative FY09 Spain

Microsoft

PASO 6 PROTEJA SUS APLICACIONES Y RECURSOS

1. Valore la instalacin del Directorio Activo.
La implementacin del directorio activo facilita las tareas tanto de seguridad como de funcionalidad. Ventajas: La propagacin de permisos est centralizada desde el Controlador de Dominio. Posibilidad de escalabilidad segn las necesidades particulares de la empresa. La integracin con un servicio DNS. Sencillez en la estructuracin de ficheros y recursos compartidos. Robustez en la seguridad del sistema. Establecimiento de Polticas.

WINDOWS SERVER 2008 http://www.microsoft.com/spain/windowsserver2008

2. Gestione las Aplicaciones a travs del Directorio Activo.

Polticas Permisos Usuario Impresoras Correo Electrnico

3. Preste atencin a la base de datos.

Instale los ltimos Service Packs de la base de datos. Asegrese de instalar los Service Packs y las actualizaciones ms recientes para mejorar la seguridad. Evale la seguridad de su servidor con MBSA (Microsoft Baseline Security Analyzer). Utilice el modo de autenticacin de Windows. Asle el servidor y realice copias de seguridad peridicas del mismo.

MBSA http://www.microsoft.com/spain/technet/security/tools /mbsa/default.mspx

24 de noviembre de 2008

Mercedes Martn

10

Security and Privacy Initiative FY09 Spain

Microsoft

4. Cortafuegos de Aplicaciones Web.

Protegiendo de ataques especficamente las comunicaciones en las que intervienen tanto las aplicaciones Web como todos los recursos a ellas asociados.

5. Auditorias Tcnicas.
Una auditora tcnica de seguridad puede identificar las vulnerabilidades de una aplicacin web.

PASO 7 GESTIN DE LAS ACTUALIZACIONES

1. Actualizaciones oportunas.
Las revisiones y las actualizaciones de errores, junto con nuevas versiones de software, se pueden implementar desde el servidor en los equipos y porttiles de los usuarios. As sabe que se han realizado correctamente de forma oportuna y no tiene que depender de que los usuarios no se olviden.

WINDOWS SERVER UPDATE SERVICES 3.0 http://www.microsoft.com/spain/updateservices/default.mspx

2. Configuraciones especiales.
Puede impedir que los usuarios instalen programas no autorizados si limita su capacidad para ejecutar programas desde CD-ROM y otras unidades extrables o para descargar programas de Internet.

3. Supervisin.
Si se produce un acceso no autorizado en un equipo o si hay un error del sistema de algn tipo en algn equipo, se puede detectar inmediatamente mediante las capacidades de supervisin que estn disponibles en un entorno de equipos/porttiles administrado.

24 de noviembre de 2008

Mercedes Martn

11

Security and Privacy Initiative FY09 Spain

Microsoft

PASO 8 PROTEJA SUS DISPOSITIVOS MOVILES

Es muy importante que los trabajadores sean conscientes de la importancia de la seguridad en los aparatos mviles y los peligros que puede llevar consigo un mal uso. Emplear las opciones de bloqueo del dispositivo terminal. No acepte conexiones de dispositivos que no conozca para evitar transferencias de contenidos no deseados. Ignore / borre SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios potencialmente peligrosos. Active mediante PIN el acceso al bluetooth. Bloquee la tarjeta SIM en caso de prdida para evitar que terceros carguen gastos a su cuenta. Instale un antivirus y mantngalo actualizado para protegerse frente al cdigo malicioso. No descargue software de sitios poco fiables para impedir la entrada por esta va de cdigos potencialmente maliciosos. Configure el dispositivo en modo oculto, para que no pueda ser descubierto por atacantes. Desactive los infrarrojos mientras no los vaya a utilizar.

SYSTEM CENTER MOBILE DEVICE MANAGER http://technet.microsoft.com/es-es/magazine/cc462799.aspx

PASO 9 PROTECCIN DE DATOS DE CARCTER PERSONAL

1. Registre los ficheros.
Una de las obligaciones bsicas establecidas por la LOPD es la inscripcin de los Ficheros de datos de carcter personal en la Agencia Espaola de Proteccin de Datos, pero para realizar correctamente esta inscripcin es necesario realizar previamente la Localizacin de los Ficheros preexistentes, as como la determinacin de los nuevos ficheros a inscribir.

2. Cesin de datos a un tercero.

En muchas ocasiones las empresas contratan y subcontratan a otras empresas la prestacin de servicios profesionales especializados, servicios que suponen un acceso a los datos de carcter personal almacenados en nuestros ficheros para que sean tratados, almacenados y/o conocidos por estos profesionales. Aunque debiera proponerse por el Responsable del Fichero, cualquiera de las partes podr proponer la firma de un contrato de acceso a datos, que deber formalizarse preferiblemente por escrito, de manera que acredite fehacientemente su celebracin y contenido.

24 de noviembre de 2008

Mercedes Martn

12

Security and Privacy Initiative FY09 Spain

Microsoft

LISTA DE AMENAZAS DE SEGURIDAD ( Ms importantes)

Vulnerabilidades en el Software: Debilidad en el software que podra ser explotada. Ataques Directos El 70 % del malware procede de ataques directos producidos por empleados de la compaa. o Trabajadores Descontentos o Clientes Insatisfechos o Competidores

Malware o Virus: Malware cuyo cometido es alterar el funcionamiento normal de un ordenador. o Gusanos: Programa parecido a un virus, cuya principal caracterstica es la capacidad de poder replicarse a si mismos. o Troyanos: Programas que se introducen en el ordenador, para realizar acciones con el objetivo de tomar el control del sistema afectado. Ataques de Denegacin de Servicio ( DOS ) : Ataque que evita al usuario la utilizacin de determinados servicios. Spam: Correo basura o no deseado. Spyware: Programas espa que recopilan informacin. Contenido inapropiado o ilegal Phishing: Suplantacin de identidad de una pgina Web. Vishing: es una prctica fraudulenta en donde se hace uso del Protocolo VoIP y la ingeniera social para engaar a personas. Snifadores de Paquetes : Programas que capturan informacin en los paquetes que cruzan los nodos de conmutacin de las redes. Acceso a Wifis inseguras Web Sites con cdigo malicioso o Instalando Troyanos o Redireccin a un site indeseado o Robo passwords o Instalacin de keyloggers o Adware/ spyware/ lectura cookies Ataques a las Contraseas o Ataque de Fuerza Bruta o Snifadores de Paquetes o Suplantacin de IP: Consiste en la sustitucin de una direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar. o Troyanos

24 de noviembre de 2008

Mercedes Martn

13

Security and Privacy Initiative FY09 Spain

Microsoft

RECURSOS
Pgina Principal de Seguridad
http://www.microsoft.com/spain/seguridad/default.mspx

Seguridad para PYMES

http://www.microsoft.com/spain/empresas/seguridad/default.mspx

Seguridad para Profesionales IT

http://www.microsoft.com/spain/technet/security/default.mspx

Artculos de Seguridad
http://technet.microsoft.com/es-es/magazine/cc135960.aspx

WebCast de Seguridad
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=13

Foros de Seguridad
http://forums.microsoft.com/TechNet-ES/Search/Search.aspx?words=seguridad& localechoice=10&SiteID=30&searchscope=allforums

24 de noviembre de 2008

Mercedes Martn

14