Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Tema 3. Características Avanzadas de Seguridad en Entornos Móviles y Virtuales

    Cargado por

    Yagami Ligth
    43 vistas4 páginas

    Título original

    TEMA 3. CARACTERÍSTICAS AVANZADAS DE SEGURIDAD EN ENTORNOS MÓVILES Y VIRTUALES

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    43 vistas4 páginas

    Tema 3. Características Avanzadas de Seguridad en Entornos Móviles y Virtuales

    Cargado por

    Yagami Ligth

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    TEMA 3.

    CARACTERÍSTICAS AVANZADAS DE SEGURIDAD EN


    ENTORNOS MÓVILES Y VIRTUALES

    ¿Cómo estudiar este tema?


    Para estudiar este tema lee las Ideas clave que encontrarás a continuación.

    Además, deberás consultar la siguiente guía:


     Esquema Nacional de Seguridad, ENS. (2011). Esquema nacional de
    seguridad política de seguridad de la información. Madrid: Centro
    Criptológico Nacional.
    También consulta el siguiente documento:
     CISRT-CV. (2012). Guía buenas prácticas en el uso coorporativo de
    dispostivos móviles. Valencia: Comunitat Valenciana.
    Por último, lee el siguiente documento:
     Cómo gestionar una fuga de información: una guía de aproximación
    para el usuario».

    En este tercer tema veremos en qué afecta la inclusión de dispositivos móviles y


    entornos virtualizados dentro de la seguridad de una organización.

    El tema comienza indicando las actualizaciones necesarias en la política de


    seguridad de la organización, para adecuarlas a los nuevos escenarios para,
    posteriormente, exponer las buenas prácticas que nos permiten mantener un alto
    nivel de seguridad dentro de estos nuevos escenarios. Seguidamente, en los
    últimos apartados del tema se realizará una visión general sobre cómo gestionar
    de manera centralizada los dispositivos móviles y cómo prevenir y gestionar las
    posibles fugas de información dentro de nuestra organización.

    Actualización de las políticas de


    seguridad
    Con el paso de los años, las tecnologías han experimentado una intensa evolución
    que nos ha llevado de utilizar equipos aislados en centros de trabajo al uso de
    teléfonos inteligentes y tabletas desde los que es posible acceder a equipos
    virtualizados ubicados en la nube. Toda esta evolución ha hecho que podamos
    estar permanentemente conectados con nuestro trabajo, amigos y familia, pero
    también ha obligado a la actualización y mejora de todas las políticas de seguridad
    utilizadas con anterioridad.
    La Política de Seguridad de la Información es un documento de alto nivel donde se
    define qué significa para la organización la seguridad de la información, además
    de indicar cómo se va a abordar toda la seguridad de la información dentro de
    dicha organización.

    Normalmente las secciones típicas de una Política de Seguridad de la Información


    son:

     Misión u objetivo de la organización.

     Marco normativo.
     Organización de seguridad:
    o Definición de comités y roles.

    o Funciones.

    o Responsabilidades.

    o Mecanismos de coordinación.

    o Procedimientos de designación de personas.

     Política global de seguridad de la información.


     Políticas de la organización de la seguridad de la información.

     Concienciación y formación.
     Postura para la gestión de riesgos:
    o Plan de análisis.

    o Criterios de evaluación de riesgos.

    o Directrices de tratamiento.

    o Proceso de aceptación del riesgo residual.

     Política de gestión de activos de información.


     Política de control de acceso.

     Proceso de revisión de la Política de Seguridad.

    Como vemos, en el documento no existe ninguna sección específica donde se


    detallen los retos inherentes a los dispositivos móviles o equipos que han sido
    virtualizados.

    Para solucionar esto, muchas organizaciones optan por añadir dentro de las


    políticas de seguridad dos nuevas secciones:
    Figura 1. Nuevas secciones.

    Si bien, esta última suele hacer referencia a la política global o específica utilizada
    para los equipos estándares, ya que un equipo virtualizado suele ser tratado como un
    equipo físico con algunas particularidades.

    Política para el uso de dispositivos móviles

    En este apartado indicaremos las peculiaridades de los dispositivos móviles dentro


    de la Política de Seguridad de la Información. También se hará referencia a
    la Guía de buenas prácticas, que será donde se detallen las configuraciones y
    opciones que deben aplicarse en los dispositivos.

    Bajo esta sección se incluirán las normas de uso de los dispositivos móviles. Estas
    normas, que serán de aplicación para todos los miembros de la organización, o
    para una parte de estos, definirán cómo deben ser usados este tipo de
    dispositivos.

    Así, como ejemplo de una serie de normas reales tenemos:

     Normas dirigidas a la Dirección de Tecnología:


    o La Dirección de Tecnología debe investigar y probar las opciones de
    protección de los dispositivos móviles institucionales y personales que hagan
    uso de los servicios ofrecidos.
    o La Dirección de Tecnología debe establecer las configuraciones aceptables
    para los dispositivos móviles institucionales o personales que hagan uso de los
    servicios ofrecidos.

     Normas dirigidas a todos los usuarios:


    o Los usuarios deben evitar usar los dispositivos móviles institucionales en
    lugares que no les ofrezcan las garantías de seguridad física necesarias
    para evitar pérdida o robo de estos.
    o Los usuarios deben evitar la instalación de programas desde fuentes
    desconocidas; se deben instalar aplicaciones únicamente desde los
    repositorios oficiales de los dispositivos.
    Como vemos, en estas normas de uso se define exactamente cómo deben
    tratarse los dispositivos móviles con el objetivo de mantener la seguridad de los
    mismos.

    Política de gestión de equipos virtualizados

    Al igual que la introducción de dispositivos móviles, el incluir dentro de nuestra


    organización equipos virtualizados tiene un importante impacto sobre la política de
    seguridad existentes. Si bien, en muchos aspectos esta política hace referencia a
    la política utilizada en equipos físicos con algunas particularidades.

    En la política de gestión de equipos virtualizados debemos tener en cuenta los


    nuevos sistemas de control de acceso, por ejemplo, indicando la manera en que
    se gestionarán los roles a través de vCenter Server, de VMware, para evitar dar
    demasiados privilegios a usuarios que no los necesitan.

    También deberemos adaptar los apartados referentes a las actualizaciones y


    parches de la Política de Seguridad, pudiendo incluir sistemas como Update
    Manager para una gestión centralizada de las actualizaciones.

    Además de estas adaptaciones, en función de los elementos que tengamos en


    cuenta en nuestras políticas de seguridad, también puede ser de interés el incluir
    referencias a los registros de actividad en la red, los filtrados por VLAN o los
    registros de logs, entre otras cosas de interés.

    También podría gustarte