Guia de Seguridad

Gu a de Segur i dad
9 PASOS PARA I MPLEMENTAR LA SEGURI DAD

I NFORMTI CA EN SU EMPRESA

Elaborado por:
Mercedes Martin
Security & Privacy Initiatives

Versin 1.0 Final Noviembre 24, 2008
Security and Privacy Initiative FY09 Spain Microsoft

24 de noviembre de 2008 Mercedes Martn 2

I NDI CE DE CONTENI DO
INTRODUCCIN ..............................................................................................................................4
PASO 1 ESTABLECER LA POLITICA DE SEGURIDAD DE LA EMPRESA ........................................4
1. Qu debe incluir su poltica de Seguridad de la empresa ..............................................4
2. Conciencie a sus empleados .............................................................................................5
PASO 2 PROTEJA SUS EQUIPOS DE ESCRITORIO Y PORTATILES ...............................................5
1. Protjase de los virus y el software espa ........................................................................5
2. Actualizaciones Software ..................................................................................................6
3. Configure un firewall .........................................................................................................6
4. Evite el correo electrnico no deseado (Spam)...............................................................6
5. Utilice solamente software legal ......................................................................................6
6. Navegacin Segura ............................................................................................................6
PASO 3 PROTEJA SU RED.............................................................................................................7
1. Utilice contraseas seguras. .............................................................................................7
2. Proteger una Red WIFI ......................................................................................................7
Ocultar el SSID ................................................................................................................7
Cambiar el nombre SSID ................................................................................................8
Cifrado WEP ....................................................................................................................8
Encriptacin WPA o WPA2(Wi-Fi Protected Access ) .................................................8
Cambiar clave de acceso del punto de acceso .............................................................8
3. Configure un firewall a nivel de Red .....................................................................................8
PASO 4 PROTEJA SUS SERVIDORES ............................................................................................8
1. Certificados de servidor ....................................................................................................8
2. Mantenga sus servidores en un lugar seguro ..................................................................8
3. Prctica de menos privilegios. ..........................................................................................8
4. Conozca las opciones de seguridad ..................................................................................9
PASO 5 MANTENGA SUS DATOS A SALVO .................................................................................9
1. Copias de seguridad de los datos importantes para el negocio.....................................9
2. Establezca permisos. .........................................................................................................9
3. Cifre los datos confidenciales. ..........................................................................................9
4. Utilice sistemas de alimentacin ininterrumpida (SAI)...................................................9
PASO 6 PROTEJA SUS APLICACIONES Y RECURSOS ................................................................ 10
1. Valore la instalacin del Directorio Activo .................................................................... 10


2. Gestione las Aplicaciones a travs del Directorio Activo ............................................. 10
3. Preste atencin a la base de datos. ............................................................................... 10
4. Cortafuegos de Aplicaciones Web ................................................................................. 11
5. Auditorias Tcnicas ......................................................................................................... 11
PASO 7 GESTIN DE LAS ACTUALIZACIONES .......................................................................... 11
1. Actualizaciones oportunas ............................................................................................. 11
2. Configuraciones especiales ............................................................................................ 11
3. Supervisin. ..................................................................................................................... 11
PASO 8 PROTEJA SUS DISPOSITIVOS MOVILES ........................................................................ 12
PASO 9 PROTECCIN DE DATOS DE CARCTER PERSONAL .................................................... 12
1. Registre los ficheros ....................................................................................................... 12
2. Cesin de datos a un tercero ........................................................................................ 12
LISTA DE AMENAZAS DE SEGURIDAD ( Ms importantes) ....................................................... 13
RECURSOS .................................................................................................................................... 14



INTRODUCCIN

Segn un estudio realizado recientemente por Inteco, 8 de cada 10 equipos se
encuentran infectados con algn tipo de cdigo malicioso. Ante estos datos tan
alarmantes, Microsoft ha elaborado una Gua de Seguridad que intenta describir los pasos
prioritarios que una empresa debe implementar para proteger su entorno.
Es necesario incidir en la necesidad de un cambio de concepcin, que conlleva al empleo
de medidas reactivas a proactivas en la gestin de la seguridad. Las medidas reactivas
son soluciones parciales, medidas de proteccin implementadas sin apenas intervencin
del usuario, que bsicamente consisten en la instalacin del producto sin un
seguimiento y control continuado.
Si desea evaluar los puntos dbiles de su entorno de seguridad de IT puede usar la
herramienta gratuita de Evaluacin de Seguridad de Microsoft (MSAT), diseada para
ayudar a las organizaciones de menos de 1.000 empleados.

PASO 1 ESTABLECER LA POLITICA DE SEGURIDAD DE LA
EMPRESA
Los riesgos a los que se ven expuestas las empresas hacen necesario la creacin de
directrices que orienten hacia un uso responsable de los recursos.
Las polticas de seguridad son documentos que constituyen la base del entorno de
seguridad de una empresa y deben definir las responsabilidades, los requisitos de
seguridad, las funciones, y las normas a seguir por los empleados de la empresa.

1. Qu debe incluir su poltica de Seguridad de la empresa.
Responsables del desarrollo, implantacin y gestin de la poltica
Director de Poltica de Seguridad. Personal encargado de realizar, supervisar,
inspeccionar, modificar las normas y reglas establecidas en la poltica de
seguridad.
Director de Seguridad. Personal encargado de, en virtud de la poltica de
seguridad establecida, asignar roles de acceso a la informacin, proveer de
permisos y soportes informticos, controlar la entrada y salida de informacin,
identificacin y resolucin de incidencias, etc.
Cree una directiva de uso aceptable
Una directiva de uso aceptable es un documento en el que se informa a los
empleados de lo que pueden y no pueden hacer en los equipos de la empresa.
Ponga por escrito las normas que espera que se cumplan. Puede describir su
poltica sobre la creacin de contraseas, indicar la frecuencia de cambio de
contraseas o mencionar el riesgo que supone abrir archivos adjuntos de correo
electrnico de remitentes desconocidos. Tambin puede incluir la prohibicin de

HERRAMIENTA DE EVALUACIN DE SEGURIDAD
http://www.microsoft.com/spain/technet/security/tools/msat/default.mspx


instalar software no autorizado en los equipos. En este documento, que debe ser
firmado por todos los empleados, tienen que constar las sanciones (en casos
extremos, incluso el despido) por contravenir esas normas. En su calidad de
propietario o director del negocio, tambin deber firmar una copia de la
directiva.
Si la directiva es larga y detallada, ayude a los empleados a recordar los puntos
principales con un resumen de una pgina que puede distribuir y colocar cerca de
sus estaciones de trabajo.
Plan de Actuacin en caso de alarma de Seguridad

2. Conciencie a sus empleados
Distribuya proactivamente a travs de comunicaciones peridicas las
actualizaciones en las polticas.

PASO 2 PROTEJA SUS EQUIPOS DE ESCRITORIO Y PORTATILES

1. Protjase de los virus y el software espa
Los virus, as como los gusanos y los troyanos, son programas maliciosos que se ejecutan
en su equipo. Entre las acciones que pueden provocar este tipo de cdigo malicioso se
encuentran: borrado o alteracin de archivos, consumo de recursos del equipo, acceso no
autorizado a archivos, infeccin de los equipos de los clientes con los que se comunique
mediante correo electrnico El virus se puede extender por los equipos de su empresa y
producir momentos de inactividad y prdidas de datos muy graves. Existen herramientas
de eliminacin de software malintencionado que comprueban infecciones por software
malintencionado especfico y ayuda a eliminarlas
Instale software antivirus. Debe disponer de proteccin antivirus en todos sus equipos
de escritorio y porttiles. El software antivirus examina el contenido de los archivos en su
pc en busca de indicios de virus. Cada mes aparecen cientos de virus nuevos, por lo que
hay que actualizar peridicamente los antivirus con las ltimas definiciones para que el
software pueda detectar los nuevos virus.
Asegrese que el antivirus esta actualizado.

MICROSOFT FOREFRONT CLIENT SECURITY
www.microsoft.com/spain/forefront/default.mspx


2. Actualizaciones Software.
A los piratas informticos les gusta encontrar y aprovechar cualquier error de seguridad
en los productos de software ms populares. Cuando Microsoft u otra compaa
descubren una vulnerabilidad en su software, suelen crear una actualizacin que se puede
descargar de Internet (tanto para el Sistema Operativo como cualquier aplicacin que se
tenga instalada). Es necesario instalar las actualizaciones tan pronto se pongan a la
disposicin del pblico.
Windows Update le permitir recibir actualizaciones peridicamente.

3. Configure un firewall.
Un firewall es un programa encargado de analizar tanto el trfico entrante como saliente
de un equipo, con el fin de bloquear determinados puertos y protocolos que
potencialmente podran ser utilizados por las aplicaciones.

4. Evite el correo electrnico no deseado. (Spam)
El spam son mensajes de correo electrnico comercial no solicitado.
Si recibe un correo electrnico de un remitente desconocido elimnelo sin abrirlo, puede
contener virus, y tampoco responda al mismo, ya que estara confirmando que su
direccin es correcta y esta activa.
No realice envo de publicidad a aquellas personas que no hayan autorizado previamente
el consentimiento de recibir publicidad.
Adopte medidas de proteccin frente al correo electrnico no deseado. Como filtros de
correo electrnico actualizados.

5. Utilice solamente software legal.
El uso de software ilegal adems de generar riesgos de carcter penal, tambin puede
generar problemas en la seguridad de la informacin, lo que lo que conlleva a prdidas
en la rentabilidad y productividad de la organizacin.
El software legal ofrece garanta y soporte del fabricante.

6. Navegacin Segura.
Acceda nicamente a sitios de confianza.
Analice con un antivirus todo lo que descarga antes de ejecutarlo en su equipo.
No explore nunca sitios Web desde un servidor. Utilice siempre un equipo o
porttil cliente.
Mantenga actualizado su navegador a la ltima versin.

MICROSOFT UPDATE
http://www.update.microsoft.com/microsoftupdate/v6/


Configure el nivel de seguridad de su navegador segn sus preferencias.
Descargue los programas desde los sitios oficiales para evitar suplantaciones
maliciosas (Phishing).
Configure su navegador para evitar pop-ups emergentes.
Utilice un usuario sin permisos de Administrador para navegar por Internet, as
impide la instalacin de programas y cambios en los valores del sistema.
Borre las cookies, los ficheros temporales y el historial cuando utilice equipos
ajenos para no dejar rastro de su navegacin.

Comercio Electrnico
Observe en la barra de navegacin de su navegador, que la direccin Web
comienza por https: indica que se trata de una conexin segura y el contenido
que transfiera ser cifrado por la Red.
Observe que aparece un candado ( ) en la parte inferior derecha de su
navegador. Esto significa que la entidad posee un certificado emitido por una
autoridad certificadora, el cual garantiza que realmente se ha conectado con la
entidad destino y que los datos transmitidos son cifrados.

PASO 3 PROTEJA SU RED
Si su compaa trabaja con una red con cables o inalmbrica y tiene informacin que
desea mantener confidencial, preste atencin a los siguientes consejos:
1. Utilice contraseas seguras.
Informar a los empleados de la importancia de las contraseas es el primer paso para
convertir las contraseas en una valiosa herramienta de seguridad de la red, ya que
dificultan la suplantacin de su usuario. Es decir, no se debe dejar en cualquier parte ni se
debe compartir.
Caractersticas de una contrasea "segura":
Una longitud de ocho caracteres como mnimo; cuanto ms larga, mejor.
Una combinacin de letras maysculas y minsculas, nmeros y smbolos.
Se debe cambiar cada 90 das como mnimo y, al cambiarla, debe ser muy
distinta de las contraseas anteriores.
No utilice datos personales.
2. Proteger una Red WIFI.
Para maximizar seguridad en la red Wifi es necesario usar la siguiente lista de consejos
en conjunto.
Ocultar el SSID
Ocultar el SSID (identificador de redes inalmbricas) al exterior es una buena medida
para evitar las intrusiones, aun que este dato puede descubrirse fcilmente aunque este
se presente oculto.


Cambiar el nombre SSID
Cifrado WEP
Se basa en claves de 64 128 bits.
La encriptacin WEP no es la opcin ms segura.
Encriptacin WPA o WPA2(Wi-Fi Protected Access )
Surgi como alternativa segura y eficaz al WEP, se basa en el cifrado de la informacin
mediante claves dinmicas, que se calculan a partir de una contrasea.
Cambiar clave de acceso del punto de acceso
Es necesario modificar las claves de acceso peridicamente.

3. Configure un firewall a nivel de Red.
Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de
una red a la otra y en funcin de lo que sean permite o deniega su paso.
Un firewall puede ser un dispositivo software o hardware

PASO 4 PROTEJA SUS SERVIDORES

En el momento en que los servidores estn en peligro, tambin lo est toda la red.
1. Certificados de servidor.
Identifican a los sitios Web. Requiere de la existencia de una autoridad certificadora (CA)
que afirme, mediante los correspondientes certificados de servidor, que stos son quienes
dicen ser antes del establecimiento del canal seguro.
Le permitir establecer comunicaciones seguras con sus clientes, cifrando la conexin
usando la tecnologa SSL para que no pueda ser leda por terceros.

2. Mantenga sus servidores en un lugar seguro.
Las empresas deben asegurarse de que sus servidores no son vulnerables a las
catstrofes fsicas. Coloque estos equipos en una sala segura y con buena ventilacin.
Haga una relacin de los empleados que tienen las llaves de la sala de servidores.

3. Prctica de menos privilegios.
Asigne distintos niveles de permisos a los usuarios. En vez de conceder a todos los
usuarios el acceso "Administrador, debe utilizar los servidores para administrar los
equipos cliente. Los servidores de Windows se pueden configurar para conceder a cada
usuario acceso nicamente a programas especficos y para definir los privilegios de
usuario que se permiten en el servidor. De este modo se garantiza que los usuarios no
pueden efectuar cambios que son fundamentales en el funcionamiento del servidor o
equipo cliente.


4. Conozca las opciones de seguridad.
Los servidores actuales son ms seguros que nunca, pero las slidas configuraciones de
seguridad que se encuentran en los productos de servidor de Windows slo son eficaces si
se utilizan del modo adecuado y se supervisan estrechamente.

PASO 5 MANTENGA SUS DATOS A SALVO
La combinacin de estas tres prcticas debe proporcionar el nivel de proteccin que
necesita la mayora de las empresas para mantener sus datos a salvo.
1. Copias de seguridad de los datos importantes para el negocio.
La realizacin de copias de seguridad de los datos significa crear una copia de ellos en
otro medio. Por ejemplo, puede grabar todos los archivos importantes en un CD-ROM o
en otro disco duro.
Es recomendable probar las copias de seguridad con frecuencia mediante la restauracin
real de los datos en una ubicacin de prueba.

2. Establezca permisos.
Se pueden asignar distintos niveles de permisos a los usuarios segn su funcin y
responsabilidades en la organizacin. En vez de conceder a todos los usuarios el acceso
"Administrador" (instituya una poltica de "prctica de menos privilegios).

3. Cifre los datos confidenciales.
Cifrar los datos significa convertirlos en un formato que los oculta. El cifrado se utiliza
para garantizar la confidencialidad y la integridad de los datos cuando se almacenan o
se transmiten por una red. Utilice el Sistema de archivos cifrados (EFS) para cifrar
carpetas y archivos confidenciales.

4. Utilice sistemas de alimentacin ininterrumpida (SAI).
Para evitar que los equipos informticos no se interrumpan bruscamente en caso de corte
del suministro elctrico y para filtrar los microcortes y picos de intensidad, que resultan
imperceptibles, es recomendable el uso de SAI.



PASO 6 PROTEJA SUS APLICACIONES Y RECURSOS

1. Valore la instalacin del Directorio Activo.
La implementacin del directorio activo facilita las tareas tanto de seguridad como de
funcionalidad.
Ventajas:
La propagacin de permisos est centralizada desde el Controlador de Dominio.
Posibilidad de escalabilidad segn las necesidades particulares de la empresa.
La integracin con un servicio DNS.
Sencillez en la estructuracin de ficheros y recursos compartidos.
Robustez en la seguridad del sistema.
Establecimiento de Polticas.

2. Gestione las Aplicaciones a travs del Directorio Activo.
Polticas
Permisos Usuario
Impresoras
Correo Electrnico
3. Preste atencin a la base de datos.
Instale los ltimos Service Packs de la base de datos. Asegrese de instalar los Service
Packs y las actualizaciones ms recientes para mejorar la seguridad.
Evale la seguridad de su servidor con MBSA (Microsoft Baseline Security Analyzer).
Utilice el modo de autenticacin de Windows.
Asle el servidor y realice copias de seguridad peridicas del mismo.

WINDOWS SERVER 2008
http://www.microsoft.com/spain/windowsserver2008

MBSA
http://www.microsoft.com/spain/technet/security/tools
/mbsa/default.mspx


4. Cortafuegos de Aplicaciones Web.
Protegiendo de ataques especficamente las comunicaciones en las que intervienen tanto
las aplicaciones Web como todos los recursos a ellas asociados.
5. Auditorias Tcnicas.
Una auditora tcnica de seguridad puede identificar las vulnerabilidades de una aplicacin
web.
PASO 7 GESTIN DE LAS ACTUALIZACIONES
1. Actualizaciones oportunas.
Las revisiones y las actualizaciones de errores, junto con nuevas versiones de software,
se pueden implementar desde el servidor en los equipos y porttiles de los usuarios. As
sabe que se han realizado correctamente de forma oportuna y no tiene que depender de
que los usuarios no se olviden.

2. Configuraciones especiales.
Puede impedir que los usuarios instalen programas no autorizados si limita su capacidad
para ejecutar programas desde CD-ROM y otras unidades extrables o para descargar
programas de Internet.
3. Supervisin.
Si se produce un acceso no autorizado en un equipo o si hay un error del sistema de
algn tipo en algn equipo, se puede detectar inmediatamente mediante las capacidades
de supervisin que estn disponibles en un entorno de equipos/porttiles administrado.

WINDOWS SERVER UPDATE SERVICES 3.0
http://www.microsoft.com/spain/updateservices/default.mspx


PASO 8 PROTEJA SUS DISPOSITIVOS MOVILES
Es muy importante que los trabajadores sean conscientes de la importancia de la
seguridad en los aparatos mviles y los peligros que puede llevar consigo un mal uso.
Emplear las opciones de bloqueo del dispositivo terminal.
No acepte conexiones de dispositivos que no conozca para evitar transferencias
de contenidos no deseados.
Ignore / borre SMS o MMS de origen desconocido que inducen a descargas o
accesos a sitios potencialmente peligrosos.
Active mediante PIN el acceso al bluetooth.
Bloquee la tarjeta SIM en caso de prdida para evitar que terceros carguen gastos
a su cuenta.
Instale un antivirus y mantngalo actualizado para protegerse frente al cdigo
malicioso.
No descargue software de sitios poco fiables para impedir la entrada por esta va
de cdigos potencialmente maliciosos.
Configure el dispositivo en modo oculto, para que no pueda ser descubierto por
atacantes.
Desactive los infrarrojos mientras no los vaya a utilizar.

PASO 9 PROTECCIN DE DATOS DE CARCTER PERSONAL
1. Registre los ficheros.
Una de las obligaciones bsicas establecidas por la LOPD es la inscripcin de los Ficheros
de datos de carcter personal en la Agencia Espaola de Proteccin de Datos, pero para
realizar correctamente esta inscripcin es necesario realizar previamente la Localizacin
de los Ficheros preexistentes, as como la determinacin de los nuevos ficheros a
inscribir.
2. Cesin de datos a un tercero.
En muchas ocasiones las empresas contratan y subcontratan a otras empresas la
prestacin de servicios profesionales especializados, servicios que suponen un acceso a
los datos de carcter personal almacenados en nuestros ficheros para que sean tratados,
almacenados y/o conocidos por estos profesionales. Aunque debiera proponerse por el
Responsable del Fichero, cualquiera de las partes podr proponer la firma de un contrato
de acceso a datos, que deber formalizarse preferiblemente por escrito, de manera que
acredite fehacientemente su celebracin y contenido.

SYSTEM CENTER MOBILE DEVICE MANAGER
http://technet.microsoft.com/es-es/magazine/cc462799.aspx


LISTA DE AMENAZAS DE SEGURIDAD ( Ms importantes)

- Vulnerabilidades en el Software: Debilidad en el software que podra ser explotada.
- Ataques Directos
El 70 %del malware procede de ataques directos producidos por empleados de la
compaa.
o Trabajadores Descontentos
o Clientes Insatisfechos
o Competidores

- Malware
o Virus: Malware cuyo cometido es alterar el funcionamiento normal de un
ordenador.
o Gusanos: Programa parecido a un virus, cuya principal caracterstica es la
capacidad de poder replicarse a si mismos.
o Troyanos: Programas que se introducen en el ordenador, para realizar acciones con
el objetivo de tomar el control del sistema afectado.
- Ataques de Denegacin de Servicio ( DOS ) : Ataque que evita al usuario la utilizacin de
determinados servicios.
- Spam: Correo basura o no deseado.
- Spyware: Programas espa que recopilan informacin.
- Contenido inapropiado o ilegal
- Phishing: Suplantacin de identidad de una pgina Web.
- Vishing: es una prctica fraudulenta en donde se hace uso del Protocolo VoIP y la ingeniera
social para engaar a personas.
- Snifadores de Paquetes : Programas que capturan informacin en los paquetes que
cruzan los nodos de conmutacin de las redes.
- Acceso a Wifis inseguras
- Web Sites con cdigo malicioso
o Instalando Troyanos
o Redireccin a un site indeseado
o Robo passwords
o Instalacin de keyloggers
o Adware/ spyware/ lectura cookies
- Ataques a las Contraseas
o Ataque de Fuerza Bruta
o Snifadores de Paquetes
o Suplantacin de IP: Consiste en la sustitucin de una direccin IP origen de un
paquete TCP/IP por otra direccin IP a la cual se desea suplantar.
o Troyanos



RECURSOS

Pgina Principal de Seguridad
http://www.microsoft.com/spain/seguridad/default.mspx

Seguridad para PYMES
http://www.microsoft.com/spain/empresas/seguridad/default.mspx

Seguridad para Profesionales IT
http://www.microsoft.com/spain/technet/security/default.mspx

Artculos de Seguridad
http://technet.microsoft.com/es-es/magazine/cc135960.aspx

WebCast de Seguridad
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=13

Foros de Seguridad
http://forums.microsoft.com/TechNet-ES/Search/Search.aspx?words=seguridad&
localechoice=10&SiteID=30&searchscope=allforums

Guia de Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia de Seguridad

Cargado por

Copyright:

Formatos disponibles

Gu a de Segur i dad

9 PASOS PARA I MPLEMENTAR LA SEGURI DAD

También podría gustarte