8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC Para Estar Seguro: Controles ISO/UNE 17799 y...
-
Upload
leon-orona -
Category
Documents
-
view
3 -
download
1
Transcript of 8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC Para Estar Seguro: Controles ISO/UNE 17799 y...
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC
““Para Estar Seguro”:Para Estar Seguro”:Controles ISO/UNE 17799 y Controles ISO/UNE 17799 y Herramientas MicrosoftHerramientas Microsoft
Olof Sandstrom, ApplusOlof Sandstrom, ApplusFernando Parrondo, Microsoft Consulting ServicesFernando Parrondo, Microsoft Consulting Services
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Fundamentos de la NormaFundamentos de la Norma
Dirigido aDirigido a Directivos, cuadros medios, consultores, responsables de sistemas, Directivos, cuadros medios, consultores, responsables de sistemas,
responsables de áreas técnicas ,administradores y cualquier responsables de áreas técnicas ,administradores y cualquier persona interesada en la seguridad de la información. persona interesada en la seguridad de la información.
ObjetivoObjetivo Conocer la forma de cubrir los requerimientos de seguridad de la Conocer la forma de cubrir los requerimientos de seguridad de la
Norma ISO 17799 con las herramientas de servidor de MicrosoftNorma ISO 17799 con las herramientas de servidor de Microsoft
ContenidosContenidos ¿Qué es ISO 17799?¿Qué es ISO 17799? Principios básicosPrincipios básicos Controles de accesoControles de acceso Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Código de buenas prácticas para la Código de buenas prácticas para la gestión de la seguridad de los gestión de la seguridad de los
sistemas de informaciónsistemas de información
¿Qué es ISO 17799?¿Qué es ISO 17799?
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Una cadena es tan fuerte como Una cadena es tan fuerte como
el más débil de sus eslabonesel más débil de sus eslabones
Algunos eslabones tecnológicos Hardening de sistemas Mecanismos de control de acceso Antivirus Criptografía Firewalls y VPN Sistemas de Detección de Intrusos Smart cards Biometría
Algunos eslabones no tecnológicos Políticas de seguridad Plan de seguridad Análisis y gestión de riesgos Plan de contingencia Seguridad física Seguridad del personal Procedimientos de seguridad
Tarde o temprano la cadena se romperá por el eslabón más débil,
¿Cuál es el suyo?
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Da recomendaciones para gestionar la seguridadDa recomendaciones para gestionar la seguridad
Es una base común para desarrollar ...Es una base común para desarrollar ...
normas de seguridad organizativas,normas de seguridad organizativas, prácticas efectivas de gestión de la seguridad yprácticas efectivas de gestión de la seguridad y la confianza en las relaciones entre organizacionesla confianza en las relaciones entre organizaciones
Debe usarse conforme a la legislación y reglamentos Debe usarse conforme a la legislación y reglamentos aplicablesaplicables
¿Qué es ISO 17799?¿Qué es ISO 17799?
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Principios básicosPrincipios básicosSímil con la conducciónSímil con la conducción
Para estar seguro no basta un buen motorPara estar seguro no basta un buen motor
Todo debe estar razonablemente bienTodo debe estar razonablemente bien Sistema eléctrico, batería, alternadorSistema eléctrico, batería, alternador Refrigeración, bomba de agua, radiadorRefrigeración, bomba de agua, radiador Amortiguadores y neumáticosAmortiguadores y neumáticos FrenosFrenos Etc.Etc.
Pero tambiénPero también SeguroSeguro Permiso de circulaciónPermiso de circulación Inspección Técnica de VehículosInspección Técnica de Vehículos Impuesto de tráficoImpuesto de tráfico Etc.Etc.
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Aunque tecnológicamente se consiguiera un sistema seguro, el Aunque tecnológicamente se consiguiera un sistema seguro, el problema sigue existiendoproblema sigue existiendo
Las técnicas criptográficas son computacionalmente Las técnicas criptográficas son computacionalmente seguras, pero los usuarios ...seguras, pero los usuarios ...
No quieren usar passwords de calidadNo quieren usar passwords de calidad No quieren u olvidan cifrar ficheros y correosNo quieren u olvidan cifrar ficheros y correos Los descifran y olvidan borrar el fichero en claroLos descifran y olvidan borrar el fichero en claro Los imprimen y los dejan en ...Los imprimen y los dejan en ...
la impresora, la mesa, la papelera, el metrola impresora, la mesa, la papelera, el metro
La dirección suele estar más preocupada por facilitar La dirección suele estar más preocupada por facilitar las cosas a los usuarios que en mejorar la seguridad de las cosas a los usuarios que en mejorar la seguridad de la compañíala compañía
Principios básicosPrincipios básicos
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Prevención
Detección
Represión
Corrección
Evaluación
Riesgo
Incidente
Daños
Recuperación
Cómo se aplica la NormaCómo se aplica la NormaTipos de controlesTipos de controles
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Desarrollo de los controlesDesarrollo de los controlesISO 17799ISO 17799
Polít
ica d
e s
eg
uri
dad
(1 O
bje
tivo,
3 C
ontr
ole
s)
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Desarrollo de los controlesDesarrollo de los controlesISO 17799ISO 17799
Polít
ica d
e s
eg
uri
dad
(1 O
bje
tivo,
3 C
ontr
ole
s)
Estructura organizativa(3 Objetivo, 10 Controles)
Clasificación de activos(1 Objetivo, 3 Controles)
Seguridad del personal(3 Objetivo, 10 Controles)
Seguridad física(3 Objetivo, 13 Controles)
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Desarrollo de los controlesDesarrollo de los controlesISO 17799ISO 17799
Polít
ica d
e s
eg
uri
dad
(1 O
bje
tivo,
3 C
ontr
ole
s)
Estructura organizativa(3 Objetivo, 10 Controles)
Clasificación de activos(1 Objetivo, 3 Controles)
Seguridad del personal(3 Objetivo, 10 Controles)
Seguridad física(3 Objetivo, 13 Controles)
Com
unic
aci
ones
Y o
pera
ciones
(7 O
bje
tivo, 2
3 C
ontr
ole
s)
Contr
ol de a
cceso
(8 O
bje
tivo, 3
1 C
ontr
ole
s)
Mante
nim
iento
De s
iste
mas
(5 O
bje
tivo, 1
8 C
ontr
ole
s)
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Desarrollo de los controlesDesarrollo de los controlesISO 17799ISO 17799
Polít
ica d
e s
eg
uri
dad
(1 O
bje
tivo,
3 C
ontr
ole
s)
Estructura organizativa(3 Objetivo, 10 Controles)
Clasificación de activos(1 Objetivo, 3 Controles)
Seguridad del personal(3 Objetivo, 10 Controles)
Seguridad física(3 Objetivo, 13 Controles)
Conformidad legal(3 Objetivo, 11 Controles)
Com
unic
aci
ones
Y o
pera
ciones
(7 O
bje
tivo, 2
3 C
ontr
ole
s)
Contr
ol de a
cceso
(8 O
bje
tivo, 3
1 C
ontr
ole
s)
Mante
nim
iento
De s
iste
mas
(5 O
bje
tivo, 1
8 C
ontr
ole
s)
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Desarrollo de los controlesDesarrollo de los controlesISO 17799ISO 17799
Polít
ica d
e s
eg
uri
dad
(1 O
bje
tivo,
3 C
ontr
ole
s)
Estructura organizativa(3 Objetivo, 10 Controles)
Clasificación de activos(1 Objetivo, 3 Controles)
Seguridad del personal(3 Objetivo, 10 Controles)
Seguridad física(3 Objetivo, 13 Controles)
Conformidad legal(3 Objetivo, 11 Controles)
Com
unic
aci
ones
Y o
pera
ciones
(7 O
bje
tivo, 2
3 C
ontr
ole
s)
Contr
ol de a
cceso
(8 O
bje
tivo, 3
1 C
ontr
ole
s)
Mante
nim
iento
De s
iste
mas
(5 O
bje
tivo, 1
8 C
ontr
ole
s)
Pla
n d
e C
on
tinu
idad d
e N
egocio
(1 O
bje
tivo, 5
Con
trole
s)
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Microsoft’s Security FrameworkMicrosoft’s Security Framework
Mensajes claros acerca de la seguridadMensajes claros acerca de la seguridad Miembro activo en los foros internacionalesMiembro activo en los foros internacionales Centro de respuesta de seguridadCentro de respuesta de seguridad
Arquitectura seguraArquitectura segura Características de seguridadCaracterísticas de seguridad Calidad en el códigoCalidad en el código
Reducción de posibilidad de ataquesReducción de posibilidad de ataques Lo que no se usa no se instalaLo que no se usa no se instala Principio del mínimo privilegioPrincipio del mínimo privilegio
Proteger, detectar, defender, recuperar, Proteger, detectar, defender, recuperar, gestionargestionar
Procesos: Como, Guías arquitecturaProcesos: Como, Guías arquitectura Gente: FormaciónGente: Formación
Seguro por Seguro por diseñodiseño
Seguro por Seguro por defectodefecto
Seguro en Seguro en desplieguedespliegue
ComunicaciónComunicación
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Windows Server 2003Windows Server 2003
Reducción de las vulnerabilidades de Reducción de las vulnerabilidades de códigocódigo
Formación, Modelado de Formación, Modelado de amenazas, Revisión de códigoamenazas, Revisión de código
Mejoras en el proceso de Mejoras en el proceso de desarrollodesarrollo
ContabilidadContabilidad
Arquitectura enfocada a la seguridadArquitectura enfocada a la seguridad
IIS Rediseñado IIS Rediseñado
Protocolos de autentificación Protocolos de autentificación
CLRCLR
Seguro por Seguro por diseñodiseño
Seguro por Seguro por defectodefecto
Seguro en Seguro en desplieguedespliegue
ComunicaciónComunicación
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Windows Server 2003Windows Server 2003
Reducción de posibilidad de Reducción de posibilidad de ataquesataques
20+ servicios apagados por defecto o 20+ servicios apagados por defecto o corriendo con privilegios reducidoscorriendo con privilegios reducidos
Configuración fuerteConfiguración fuerteIE cerradoIE cerrado
ACL en la raíz del sistemaACL en la raíz del sistema
Nuevo orden de busqueda de DLLNuevo orden de busqueda de DLL
Nuevas cuentas con privilegio Nuevas cuentas con privilegio menormenor
Network Service (IIS Worker Process)Network Service (IIS Worker Process)
Local Service (Telnet)Local Service (Telnet)
Seguro por Seguro por diseñodiseño
Seguro por Seguro por defectodefecto
Seguro en Seguro en desplieguedespliegue
ComunicaciónComunicación
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Windows Server 2003Windows Server 2003
Herramientas para facilitar la Herramientas para facilitar la seguridadseguridad
Directiva de restricción de Directiva de restricción de aplicacionesaplicaciones
Editor de configuración de Editor de configuración de seguridad*seguridad*
Sistema de recogida de eventos *Sistema de recogida de eventos *
Guías prescriptivasGuías prescriptivas
Secure Windows Server 2003Secure Windows Server 2003
Microsoft Systems ArchitectureMicrosoft Systems Architecture
Patch Management SolutionsPatch Management Solutions
Formación y PartnersFormación y Partners
4 Cursos4 Cursos
Seguro por Seguro por diseñodiseño
Seguro por Seguro por defectodefecto
Seguro en Seguro en desplieguedespliegue
ComunicaciónComunicación
* to be released after server release* to be released after server release
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Gestión de usuarios y autenticaciónGestión de usuarios y autenticación Gestión de passwords y privilegiosGestión de passwords y privilegios Autenticación de conexiones externasAutenticación de conexiones externas Autenticación de dispositivosAutenticación de dispositivos
AutenticaciónAutenticación
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Se requiere un procedimiento de altas y bajas de usuarios que Se requiere un procedimiento de altas y bajas de usuarios que incluya incluya Usar un identificador único para cada usuarioUsar un identificador único para cada usuario Garantizar que no se dará acceso hasta que se complete la autorización Garantizar que no se dará acceso hasta que se complete la autorización Mantener un registro de los usuarios que pueden usar el servicioMantener un registro de los usuarios que pueden usar el servicio Eliminar las autorizaciones a los usuarios que dejan la OrganizaciónEliminar las autorizaciones a los usuarios que dejan la Organización Revisar periódicamente las cuentas de usuario redundantesRevisar periódicamente las cuentas de usuario redundantes
Se pueden incluir cláusulas en el contrato laboral que especifiquen Se pueden incluir cláusulas en el contrato laboral que especifiquen las sanciones si se realizan accesos no autorizadoslas sanciones si se realizan accesos no autorizados
Autenticación Autenticación Gestión de usuarios y autenticación Gestión de usuarios y autenticación Registro de usuariosRegistro de usuarios
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
AD Users and ComputersAD Users and Computers
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Todos los usuarios tendrán un identificador Todos los usuarios tendrán un identificador único único
Los identificadores no deben indicar el nivel Los identificadores no deben indicar el nivel de privilegiode privilegio
Hay varios procedimientos de autenticación Hay varios procedimientos de autenticación para comprobar la identidad del usuariopara comprobar la identidad del usuario PasswordsPasswords TokensTokens BiometríaBiometría Protocolos de autenticación tipo KerberosProtocolos de autenticación tipo Kerberos
AutenticaciónAutenticación GestiónGestión de usuarios y autenticación de usuarios y autenticación Identificación y autenticación de los usuariosIdentificación y autenticación de los usuarios
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Métodos de autentificación en Métodos de autentificación en WindowsWindows
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
El acceso a los sistemas debe hacerse mediante un proceso El acceso a los sistemas debe hacerse mediante un proceso de logonde logon
Debe mostrar el mínimo posible de información sobre el Debe mostrar el mínimo posible de información sobre el sistema para no facilitar ayuda a usuarios no autorizados...sistema para no facilitar ayuda a usuarios no autorizados... No mostrar identificación del sistema hasta que termine el logonNo mostrar identificación del sistema hasta que termine el logon Advertir que es un sistema solo para usuarios autorizadosAdvertir que es un sistema solo para usuarios autorizados No ofrecer mensajes que puedan guiar a usuarios no autorizadosNo ofrecer mensajes que puedan guiar a usuarios no autorizados Validar la conexión sólo tras rellenar todos los datos de entradaValidar la conexión sólo tras rellenar todos los datos de entrada Si hay errores, no indicará qué parte de los datos es incorrectaSi hay errores, no indicará qué parte de los datos es incorrecta Limitar el número de intentos fallidos de conexiónLimitar el número de intentos fallidos de conexión Limitar los tiempos máximo y mínimo permitidos para hacer el Limitar los tiempos máximo y mínimo permitidos para hacer el
logonlogon Mostrar la siguiente información tras completar el logon:Mostrar la siguiente información tras completar el logon:
Fecha y hora del ultimo logonFecha y hora del ultimo logon Información de los intentos fallidos desde el último logonInformación de los intentos fallidos desde el último logon
Autenticación Autenticación Gestión de usuarios y autenticaciónGestión de usuarios y autenticación Procedimientos de conexión de terminalesProcedimientos de conexión de terminales
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Logon WindowsLogon Windows
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Debe controlarse el uso y asignación de privilegios teniendo Debe controlarse el uso y asignación de privilegios teniendo en cuenta ...en cuenta ...
Identificar los privilegios de cada elemento del sistema y las Identificar los privilegios de cada elemento del sistema y las categorías de empleados que los necesitancategorías de empleados que los necesitan
Asignar privilegios según la necesidad y caso por casoAsignar privilegios según la necesidad y caso por caso Mantener un proceso de autorización y un registro de los Mantener un proceso de autorización y un registro de los
privilegios asignadosprivilegios asignados No se darán privilegios hasta que se complete el proceso de No se darán privilegios hasta que se complete el proceso de
autorizaciónautorización Promover el desarrollo y uso de rutinas para evitar la asignación Promover el desarrollo y uso de rutinas para evitar la asignación
de privilegios a los usuariosde privilegios a los usuarios Asignar los privilegios a un identificador de usuario distinto del Asignar los privilegios a un identificador de usuario distinto del
asignado para uso normalasignado para uso normal
Autenticación Autenticación Gestión de passwords y privilegios Gestión de passwords y privilegios Gestión de privilegiosGestión de privilegios
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Privilegios. Gestion ADPrivilegios. Gestion AD
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Se debe controlar la asignación de contraseñas por medio de Se debe controlar la asignación de contraseñas por medio de un proceso que debe ...un proceso que debe ...
Dar inicialmente una contraseña temporal segura que se Dar inicialmente una contraseña temporal segura que se cambiará en el primer logoncambiará en el primer logon
También se darán contraseñas temporales cuando un usuario También se darán contraseñas temporales cuando un usuario olvide la suya, sólo después de identificar al usuarioolvide la suya, sólo después de identificar al usuario
Establecer una forma segura para dar las contraseñas temporales Establecer una forma segura para dar las contraseñas temporales a los usuariosa los usuarios
Las contraseñas no se almacenarán sin protegerlas con otras Las contraseñas no se almacenarán sin protegerlas con otras tecnologías, por ejemplo cifradotecnologías, por ejemplo cifrado
Autenticación Autenticación Gestión de passwords y privilegios Gestión de passwords y privilegios Gestión de contraseñas de usuarioGestión de contraseñas de usuario
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Los usuarios seguirán buenas prácticas con sus Los usuarios seguirán buenas prácticas con sus passwordspasswords
Mantenerlas confidenciales, no compartirlasMantenerlas confidenciales, no compartirlas No escribirlas en papelNo escribirlas en papel Cambiarlas si se sospecha que esta comprometidaCambiarlas si se sospecha que esta comprometida Seleccionar contraseñas de buena calidad que sean:Seleccionar contraseñas de buena calidad que sean:
Difíciles de adivinar y fáciles de recordarDifíciles de adivinar y fáciles de recordar No basadas en nombre, fecha de nacimiento, número de teléfono, No basadas en nombre, fecha de nacimiento, número de teléfono,
etc.etc. Que incluyan números y letrasQue incluyan números y letras
Cambiarlas periódicamente evitando reutilizarlasCambiarlas periódicamente evitando reutilizarlas No incluirlas en procedimientos automático de conexiónNo incluirlas en procedimientos automático de conexión
Autenticación Autenticación Gestión de passwords y privilegios Gestión de passwords y privilegios Uso de contraseñas Uso de contraseñas
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Gestion contraseñasGestion contraseñas
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Los usuarios remotos deben autenticarseLos usuarios remotos deben autenticarse
Se puede hacer usando criptografía, tokens o protocolos challenge-responseSe puede hacer usando criptografía, tokens o protocolos challenge-response
También pueden usarse líneas dedicadas o verificar información de la También pueden usarse líneas dedicadas o verificar información de la dirección del usuario o de su terminaldirección del usuario o de su terminal
AutenticaciónAutenticación Autenticación de conexiones externas Autenticación de conexiones externas Autenticación de usuarios para conexiones externasAutenticación de usuarios para conexiones externas
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Se deben autenticar las conexiones a sistemas Se deben autenticar las conexiones a sistemas remotos (Bancos, B2B, Administración, etc)remotos (Bancos, B2B, Administración, etc)
Esto es muy importante si la conexión usa una red Esto es muy importante si la conexión usa una red cuyo control de seguridad lo lleva un tercerocuyo control de seguridad lo lleva un tercero
La autenticación de nodos puede ser una La autenticación de nodos puede ser una alternativa a la autenticación de grupos de alternativa a la autenticación de grupos de usuarios remotos, cuando éstos están conectados usuarios remotos, cuando éstos están conectados a un sistema compartido seguroa un sistema compartido seguro
Autenticación Autenticación Autenticación de dispositivosAutenticación de dispositivos Autenticación de nodos de la redAutenticación de nodos de la red
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Autenticación redAutenticación red
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Segmentación de redesSegmentación de redes Protección de recursos del sistemaProtección de recursos del sistema Desconexión automática y ventanas temporalesDesconexión automática y ventanas temporales
AutorizaciónAutorización
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Se deben dividir las redes por grupos de usuariosSe deben dividir las redes por grupos de usuarios
Un método para controlar la seguridad de grandes Un método para controlar la seguridad de grandes redes es dividirlas en dominios separados cada redes es dividirlas en dominios separados cada uno protegido por un perímetro definido de uno protegido por un perímetro definido de seguridadseguridad
Entre las redes a interconectar pueden implantarse Entre las redes a interconectar pueden implantarse firewalls que controlen los accesos y los flujos de firewalls que controlen los accesos y los flujos de información entre los dominiosinformación entre los dominios
Los criterios para segregar las redes en dominios Los criterios para segregar las redes en dominios se basarán en la política de control de accesosse basarán en la política de control de accesos
AutorizaciónAutorizaciónSegmentación de redesSegmentación de redesSegregación en las redesSegregación en las redes
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Metodos de Segmentacion redMetodos de Segmentacion red
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Es imprescindible controlar el acceso a los puertos Es imprescindible controlar el acceso a los puertos de diagnósticode diagnóstico
En muchos ordenadores y sistemas de En muchos ordenadores y sistemas de comunicación se instala un servicio para que el comunicación se instala un servicio para que el personal de mantenimiento pueda hacer personal de mantenimiento pueda hacer diagnósticos o incluso mantenimientos remotosdiagnósticos o incluso mantenimientos remotos
Estos puertos pueden permitir accesos no Estos puertos pueden permitir accesos no autorizadosautorizados
AutorizaciónAutorizaciónProtección de los recursos del sistemaProtección de los recursos del sistema Protección a puertos de diagnóstico remotoProtección a puertos de diagnóstico remoto
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
ICFICF
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Los usuarios deben asegurase de que los equipos estén protegidos cuando quedan Los usuarios deben asegurase de que los equipos estén protegidos cuando quedan desatendidos ...desatendidos ...
Cerrar las sesiones activas antes de marcharseCerrar las sesiones activas antes de marcharse
Bloquear el equipo, por ejemplo con un protector de pantalla con contraseñaBloquear el equipo, por ejemplo con un protector de pantalla con contraseña
Hacer log-offHacer log-off cuando se ha terminado la sesióncuando se ha terminado la sesión
AutorizaciónAutorizaciónProtección de los recursos del sistema Protección de los recursos del sistema Equipamiento informático de usuario desatendidoEquipamiento informático de usuario desatendido
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Mecanismos de logoffMecanismos de logoff
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
La mayoría de los sistemas informáticos disponen de utilidades La mayoría de los sistemas informáticos disponen de utilidades del sistema capaces de eludir las medidas de controldel sistema capaces de eludir las medidas de control
Es fundamental que su uso se restrinja y se mantenga controladoEs fundamental que su uso se restrinja y se mantenga controlado Usar procedimientos de autenticación para las utilidadesUsar procedimientos de autenticación para las utilidades Segregar las utilidades respecto al software aplicativoSegregar las utilidades respecto al software aplicativo Limitar el uso de las utilidades al mínimo número de usuariosLimitar el uso de las utilidades al mínimo número de usuarios Autorizar el uso de las utilidades solo con un propósito concretoAutorizar el uso de las utilidades solo con un propósito concreto Limitar la disponibilidad de las utilidades, por ejemplo, durante un Limitar la disponibilidad de las utilidades, por ejemplo, durante un
cambio autorizadocambio autorizado Registrar los usos de las utilidadesRegistrar los usos de las utilidades Definir y documentar los niveles de autorización para las utilidadesDefinir y documentar los niveles de autorización para las utilidades Desactivar todas las utilidades que no sean necesariasDesactivar todas las utilidades que no sean necesarias
AutorizaciónAutorizaciónProtección de los recursos del sistemaProtección de los recursos del sistema Uso de utilidades del sistema Uso de utilidades del sistema
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Autorizacion a nivel de recursos y Autorizacion a nivel de recursos y privilegios SOprivilegios SO
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Los terminales de riesgo se desactivarán tras un Los terminales de riesgo se desactivarán tras un periodo de inactividadperiodo de inactividad
La desactivación borrará la pantalla y cerrará la La desactivación borrará la pantalla y cerrará la aplicación y las sesiones aplicación y las sesiones
Muchos PCs suelen tener una forma limitada de Muchos PCs suelen tener una forma limitada de este dispositivo que borra la pantalla, pero no este dispositivo que borra la pantalla, pero no cierra la aplicación o las sesionescierra la aplicación o las sesiones
AutorizaciónAutorizaciónDesconexión automática y ventanas Desconexión automática y ventanas temporalestemporales Desconexión automática de terminalesDesconexión automática de terminales
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Limitar el periodo de tiempo durante el que se Limitar el periodo de tiempo durante el que se aceptan conexiones reduce la ‘ventana’ de aceptan conexiones reduce la ‘ventana’ de oportunidad para accesos no autorizadosoportunidad para accesos no autorizados
Estas medidas se emplearán para aplicaciones Estas medidas se emplearán para aplicaciones sensibles, en especial para terminales instalados sensibles, en especial para terminales instalados en áreas de riesgo con restricciones como ...en áreas de riesgo con restricciones como ... Usar ‘ventanas’ de tiempo predeterminadasUsar ‘ventanas’ de tiempo predeterminadas La restricción de tiempos de conexión al horario normal La restricción de tiempos de conexión al horario normal
de oficina, si no existen requerimientos para operar fuera de oficina, si no existen requerimientos para operar fuera de este horariode este horario
AutorizaciónAutorizaciónDesconexión automática y ventanas Desconexión automática y ventanas temporalestemporales Limitación del tiempo de conexión Limitación del tiempo de conexión
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Scheduling conexionScheduling conexion
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Monitorización del sistema y de las Monitorización del sistema y de las comunicacionescomunicaciones
Monitorización de los derechos de accesoMonitorización de los derechos de acceso
MonitorizaciónMonitorización y auditoríay auditoría
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Se debe mantener un logSe debe mantener un log que incluya ... que incluya ...
Tiempos de arranque y cierre del sistemaTiempos de arranque y cierre del sistema Errores del sistema y las correcciones correspondientesErrores del sistema y las correcciones correspondientes El nombre de quien registra la entrada en el logEl nombre de quien registra la entrada en el log
Los logs se comprobaran periódicamente para Los logs se comprobaran periódicamente para verificar que se esta trabajando de acuerdo a lo verificar que se esta trabajando de acuerdo a lo que se estableció en los procedimientos de que se estableció en los procedimientos de operaciónoperación
Monitorización y auditoría Monitorización y auditoría Monitorización del sistema y de las Monitorización del sistema y de las comunicacionescomunicaciones Diarios de Operación Diarios de Operación
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Deben mantenerse durante un tiempo los registros Deben mantenerse durante un tiempo los registros de auditoría, que contendrán también ...de auditoría, que contendrán también ... El identificador del usuarioEl identificador del usuario Fecha y hora de conexión y desconexiónFecha y hora de conexión y desconexión Identificación del terminal o el lugar si es posibleIdentificación del terminal o el lugar si es posible Registro de los intentos de acceso al sistemaRegistro de los intentos de acceso al sistema Registro de los intentos de acceso a datos y otros Registro de los intentos de acceso a datos y otros
recursos.recursos.
Se tienen que archivar los registros de auditoría Se tienen que archivar los registros de auditoría como parte de la política de retención de registros como parte de la política de retención de registros o por requerimientos de recogida de evidenciaso por requerimientos de recogida de evidencias
Monitorización y auditoría Monitorización y auditoría Monitorización del sistema y de las Monitorización del sistema y de las comunicacionescomunicaciones Registro de incidenciasRegistro de incidencias
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Visor de sucesosVisor de sucesos
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Es necesario hacer un seguimiento del uso de Es necesario hacer un seguimiento del uso de los sistemas para asegurarse de que se usan los sistemas para asegurarse de que se usan correctamente, incluyendo ...correctamente, incluyendo ...
El acceso autorizadoEl acceso autorizado Todas las operaciones que precisan privilegios Todas las operaciones que precisan privilegios
especialesespeciales Registro de los intentos aceptados y rechazados de Registro de los intentos aceptados y rechazados de
acceso al sistemaacceso al sistema Alertas o fallos del sistemaAlertas o fallos del sistema
Monitorización y auditoría Monitorización y auditoría Monitorización del sistema y de las Monitorización del sistema y de las comunicacionescomunicaciones Seguimiento del uso de los sistemasSeguimiento del uso de los sistemas
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
La seguridad del dispositivo de registro es La seguridad del dispositivo de registro es fundamental, porque si se manipula se tendrá una fundamental, porque si se manipula se tendrá una falsa sensación de seguridadfalsa sensación de seguridad
Se tendrán en cuenta controles para protegerlo de Se tendrán en cuenta controles para protegerlo de cambios no autorizados y problemas como pueden cambios no autorizados y problemas como pueden ser ...ser ... La desactivación del dispositivoLa desactivación del dispositivo Alteraciones al tipo de mensajes registradosAlteraciones al tipo de mensajes registrados La edición o borrado de registrosLa edición o borrado de registros La saturación del soporte del registro, no registrando o La saturación del soporte del registro, no registrando o
regrabandoregrabando
Monitorización y auditoría Monitorización y auditoría Monitorización del sistema y de las Monitorización del sistema y de las comunicacionescomunicaciones Seguimiento del uso de los sistemasSeguimiento del uso de los sistemas
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Configuracion visor ADConfiguracion visor AD
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Para disponer de buenos registros de auditoría es Para disponer de buenos registros de auditoría es imprescindible que los relojes de los elementos del sistema imprescindible que los relojes de los elementos del sistema estén sincronizadosestén sincronizados
La inexactitud de los registros puede impedir las La inexactitud de los registros puede impedir las investigaciones y restar credibilidad a las evidenciasinvestigaciones y restar credibilidad a las evidencias
Los relojes de tiempo real de todos los elementos del Los relojes de tiempo real de todos los elementos del sistema, deben ajustarse a un estándar aceptado, como el sistema, deben ajustarse a un estándar aceptado, como el Tiempo Universal Coordinado (UCT) o a la hora local estándar Tiempo Universal Coordinado (UCT) o a la hora local estándar aceptada. aceptada.
Si los relojes de algún elemento del sistema pueden Si los relojes de algún elemento del sistema pueden adelantarse o retrasarse, entonces se necesita un adelantarse o retrasarse, entonces se necesita un procedimiento que lo corrijaprocedimiento que lo corrija
Monitorización y auditoría Monitorización y auditoría Monitorización del sistema y de las Monitorización del sistema y de las comunicacionescomunicaciones Sincronización de relojesSincronización de relojes
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Protección logsProtección logs
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Gestión del cambio y Gestión del cambio y Continuidad de negocioContinuidad de negocio
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Periódicamente es necesario efectuar cambios en Periódicamente es necesario efectuar cambios en el sistema operativo, por ejemplo, para instalar una el sistema operativo, por ejemplo, para instalar una nueva versión o un parche de software.nueva versión o un parche de software.
Se deben revisar y probar las aplicaciones cuando Se deben revisar y probar las aplicaciones cuando se efectúen cambios, para asegurar que no afectan se efectúen cambios, para asegurar que no afectan a las operaciones o a la seguridada las operaciones o a la seguridad
Gestión del cambio y Gestión del cambio y continuidad de negociocontinuidad de negocio Revisión técnica de los cambios en el sistema Revisión técnica de los cambios en el sistema operativooperativo
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET
Estos canales secretos se pueden activar cambiando un Estos canales secretos se pueden activar cambiando un parámetro accesible por los elementos seguros e inseguros parámetro accesible por los elementos seguros e inseguros del sistemadel sistema
El código de tipo ‘Troyano’ se diseña para afectar a un El código de tipo ‘Troyano’ se diseña para afectar a un sistema por medios no autorizados ni descubiertos a tiempo sistema por medios no autorizados ni descubiertos a tiempo ni requeridos por el receptor o el usuario del programani requeridos por el receptor o el usuario del programa
Los canales encubiertos y los códigos Troyanos raramente Los canales encubiertos y los códigos Troyanos raramente tienen lugar de forma accidentaltienen lugar de forma accidental
Se debe tener en cuenta lo siguiente:Se debe tener en cuenta lo siguiente: Comprar programas sólo de proveedores fiablesComprar programas sólo de proveedores fiables Usar productos evaluadosUsar productos evaluados Inspeccionar el código fuente antes de usarloInspeccionar el código fuente antes de usarlo Controlar el acceso y las modificaciones una vez instaladoControlar el acceso y las modificaciones una vez instalado Usar personal de confianza probada para trabajar en los sistemas claveUsar personal de confianza probada para trabajar en los sistemas clave
Gestión del cambio y Gestión del cambio y continuidad de negociocontinuidad de negocio Canales encubiertos y código TroyanoCanales encubiertos y código Troyano
8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC
es un proceso,es un proceso,La seguridadLa seguridad
no un productono un producto