jueves, 24 de septiembre de 2009

Guía de Seguridad Corporativa

• Establecer la política de seguridad de la empresa
Los riesgos a los que se ven expuestas las empresas llevan consigo la creación de directrices que orienten hacia un uso responsable de los recursos y evitar su uso indebido, lo cual puede ocasionar serios problemas a los activos de una empresa.Las políticas de seguridad son documentos que constituyen la base del entorno de seguridad de una empresa y deben definir las responsabilidades, los requisitos de seguridad, las funciones, y las normas a seguir por los trabajadores de la empresa.


Qué debe incluir su política de Seguridad de la empresa
Responsables del desarrollo, implantación y gestión de la política
- Director de Política de Seguridad. Personal encargado de realizar, supervisar, inspeccionar, modificar las normas y reglas establecidas en la política de seguridad.
- Director de Seguridad. Personal encargado de, en virtud de la política de seguridad establecida, asignar roles de acceso a la información, proveer de permisos y soportes informáticos, controlar la entrada y salida de información, identificación y resolución de incidencias, etc.

Directiva de uso aceptable
Una directiva de uso aceptable es un documento en el que se informa a los empleados de lo que pueden y no pueden hacer en los equipos de la empresa.Ponga por escrito las normas que espera que se cumplan. Puede describir su política sobre la creación de contraseñas, indicar la frecuencia de cambio de contraseñas o mencionar el riesgo que supone abrir archivos adjuntos de correo electrónico de remitentes desconocidos. También puede incluir la prohibición de instalar software no autorizado en los equipos. En este documento, que debe ser firmado por todos los empleados, tienen que constar las sanciones (en casos extremos, incluso el despido) por contravenir esas normas. En su calidad de propietario o director del negocio, también deberá firmar una copia de la directiva.
Si la directiva es larga y detallada, ayude a los empleados a recordar los puntos principales con un resumen de una página que puede distribuir y colocar cerca de sus estaciones de trabajo.


• Proteja su red

Si su compañía trabaja con una red con cables o inalámbrica y tiene información que desea mantener confidencial, preste atención a los siguientes consejos:
1. Utilice contraseñas seguras
Informar a los empleados de la importancia de las contraseñas es el primer paso para convertir las contraseñas en una valiosa herramienta de seguridad de la red, ya que dificultan la suplantación de su usuario. Es decir, no se debe dejar en cualquier parte ni se debe compartir.
Características de una contraseña "segura":
- Una longitud de ocho caracteres como mínimo; cuanto más larga, mejor.
- Una combinación de letras mayúsculas y minúsculas, números y símbolos.
- Se debe cambiar cada 90 días como mínimo y, al cambiarla, debe ser muy distinta de las contraseñas anteriores.
2. Proteger una Red WIFI
Para maximizar seguridad en la red Wifi es necesario usar la siguiente lista de consejos en conjunto.
2.1 Ocultar el SSID
Ocultar el identificador SSID al exterior es una buena medida para evitar las intrusiones, aunque este dato puede descubrirse fácilmente aunque este se presente oculto.
2.2 Cambiar el nombre SSID
2.3 Encriptación WEP
Se basa en claves de 64 ó 128 bits. La encriptación WEP no es la opción más segura.
2.4 Encriptación WPA o WPA2(Wi-Fi Protected Access )
Surgió como alternativa segura y eficaz al WEP, se basa en el cifrado de la información mediante claves dinámicas, que se calculan a partir de una contraseña.
2.5 Cambiar clave de acceso del punto de acceso
Es necesario modificar las claves de acceso periódicamente.
3. Configure un firewall
Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso.Un firewall puede ser un dispositivo software o hardware


• Proteja sus servidores
En el momento en que los servidores están en peligro, también lo está toda la red.
1. Certificados de servidor
Identifican a los sitios Web. Requiere de la existencia de una autoridad certificadora (CA) que afirme, mediante los correspondientes certificados de servidor, que éstos son quienes dicen ser antes del establecimiento del canal seguro.Le permitirá establecer comunicaciones seguras con sus clientes, cifrando la conexión usando la tecnología SSL para que no pueda ser leída por terceros.
2. Mantenga sus servidores en un lugar seguro
Las empresas deben asegurarse de que sus servidores no son vulnerables a las catástrofes físicas. Coloque estos equipos en una sala segura y con buena ventilación.Haga una relación de los empleados que tienen las llaves de la sala de servidores.
3. Práctica de menos privilegios
Asigne distintos niveles de permisos a los usuarios. En vez de conceder a todos los usuarios el acceso "Administrador, debe utilizar los servidores para administrar los equipos cliente. Los servidores de Windows se pueden configurar para conceder a cada usuario acceso únicamente a programas específicos y para definir los privilegios de usuario que se permiten en el servidor. De este modo se garantiza que los usuarios no pueden efectuar cambios que son fundamentales en el funcionamiento del servidor o equipo cliente.
4. Conozca las opciones de seguridad
Los servidores actuales son más seguros que nunca, pero las sólidas configuraciones de seguridad que se encuentran en los productos de servidor de Windows sólo son eficaces si se utilizan del modo adecuado y se supervisan estrechamente.



• Actualizaciones periodicas de OS y Softwares de trabajo.
A los piratas informáticos les gusta encontrar y aprovechar cualquier error de seguridad
en los productos de software más populares. Cuando Microsoft u otra compañía
descubren una vulnerabilidad en su software, suelen crear una actualización que se puede
descargar de Internet (tanto para el Sistema Operativo como cualquier aplicación que se
tenga instalada
). Es necesario instalar las actualizaciones tan pronto se pongan a la
disposición del público. Windows Update le permitirá recibir actualizaciones periódicamente.


• Mantenga sus datos a salvo
La combinación de estas cuatro prácticas debe proporcionar el nivel de protección que necesita la mayoría de las empresas para mantener sus datos a salvo.
1. Copias de seguridad de los datos cruciales
La realización de copias de seguridad de los datos significa crear una copia de ellos en otro medio. Por ejemplo, puede grabar todos los archivos importantes en un CD-ROM o en otro disco duro.
Es recomendable probar las copias de seguridad con frecuencia mediante la restauración real de los datos en una ubicación de prueba.
2. Establezca permisos
Se pueden asignar distintos niveles de permisos a los usuarios según su función y responsabilidades en la organización. En vez de conceder a todos los usuarios el acceso "Administrador" (instituya una política de "práctica de menos privilegios”).
3. Cifre los datos confidenciales
Cifrar los datos significa convertirlos en un formato que los oculta. El cifrado se utiliza para garantizar la confidencialidad y la integridad de los datos cuando se almacenan o se transmiten por una red. Utilice el Sistema de archivos cifrados (EFS) para cifrar carpetas y archivos confidenciales.
4. Utilice sistemas de alimentación ininterrumpida (SAI)
Para evitar que los equipos informáticos no se interrumpan bruscamente en caso de corte del suministro eléctrico y para filtrar los “microcortes” y picos de intensidad, que resultan imperceptibles, es recomendable el uso de SAI.


• Protección de datos de carácter personal
Guía de Seguridad elaborada por Mercedes Martin. Security & Privacy Initiatives
1. Registre los ficheros
Una de las obligaciones básicas establecidas por la LOPD es la inscripción de los Ficheros de datos de carácter personal en la Agencia Española de Protección de Datos, pero para realizar correctamente esta inscripción es necesario realizar previamente la Localización de los Ficheros preexistentes, así como la determinación de los nuevos ficheros a inscribir.
2. Tenga cuidado si da los datos a un tercero
En muchas ocasiones las empresas contratan y subcontratan a otras empresas la prestación de servicios profesionales especializados, servicios que suponen un acceso a los datos de carácter personal almacenados en nuestros ficheros para que sean tratados, almacenados y/o conocidos por estos profesionales. Aunque debiera proponerse por el Responsable del Fichero, cualquiera de las partes podrá proponer la firma de un contrato de acceso a datos, que deberá formalizarse preferiblemente por escrito, de manera que acredite fehacientemente su celebración y contenido.


• Protéjase de los virus y el software espía, (Malware y Spyware)
Los virus, gusanos y troyanos, son programas maliciosos que se ejecutan
en su equipo. Entre las acciones que pueden provocar este tipo de código malicioso se
encuentran:
borrado o alteración de archivos, consumo de recursos del equipo, acceso no
autorizado a archivos, infección de los equipos de los clientes con los que se comunique
mediante correo electrónico…
El virus se puede extender por los equipos de su empresa y
producir momentos de inactividad y pérdidas de datos muy graves. Existen herramientas
de eliminación de software malintencionado que comprueban infecciones por software
malintencionado específico y ayuda a eliminarlas
Instale software antivirus. Debe disponer de protección antivirus en todos sus equipos
de escritorio y portátiles. El software antivirus examina el contenido de los archivos en su
pc en busca de indicios de virus. Cada mes aparecen cientos de virus nuevos, por lo que
hay que actualizar periódicamente los antivirus con las últimas definiciones para que el
software pueda detectar los nuevos virus. (Asegúrese que el antivirus esta actualizado.)



No hay comentarios.: