Economía digital | Artículos | 01 SEP 2003

Diez Medidas Fundamentales de Seguridad

GE Access.
Si se siguen las normas expuestas en este artículo es más que probable que no tengamos muchos problemas con la seguridad en nuestos ordenadores. No olvide siempre estar a la última, informado de lo que pasa en el mundo Internet y tenga cuidado donde se conecta. De momento sólo algunos consejos...

1.Política de Parches
El problema más acuciante al que se enfrenta cualquier compañía dotada de recursos que dispongan de enlaces públicos, es la elaboración de una política exitosa de parches. Semanalmente se descubren vulnerabilidades críticas que afectan a programas informáticos de los servidores, viéndose afectados con regularidad los principales fabricantes. Los Directores de Informática deben establecer una política que les permita tener conocimiento inmediato de una posible vulnerabilidad y disponer de una estrategia que les permita realizar la mejora exigida en un plazo de 48 horas. Asimismo deben estar al corriente de todos los programas informáticos que requieran acceso al exterior, y tener una fuente accesible y digna de confianza para la documentación de parches requerida.

2.Política de Contraseñas
A pesar de ser utilizada en la mayoría de las interfaces entre ordenadores y personas, la política de contraseñas resulta insatisfactoria para la mayoría de las empresas. Para ser más exactos:

a. Las cuentas de usuario tienen contraseñas poco sólidas o no tienen ninguna.
b. Los usuarios no protegen sus contraseñas.
c. El sistema operativo o el software adicional crea cuentas administrativas dotadas de contraseñas poco sólidas o inexistentes.
d. Los algoritmos de verificación de claves son conocidos y a menudo se almacenan informaciones no sólidas de forma que resultan visibles para todos.
Resulta esencial una política sólida de contraseñas, ya que el conocimiento de una contraseña auténtica permite a un usuario malintencionado explorar un sistema con escaso o nulo seguimiento o registro de datos.

3. Administración de Usuarios
Una política eficaz de administración de usuarios protege a una empresa en dos niveles:

a. Una política de varios niveles logra que los usuarios se ciñan a la información que es pertinente a sus puestos. Numerosas compañías siguen poniendo en práctica una política de “talla única para todos” al margen del grupo privilegiado del departamento de informática.
b. La eliminación rápida y eficiente de privilegios una vez que un empleado abandone la empresa es esencial, especialmente en el caso de una rescisión de contrato poco amistosa. La política de eliminación de usuarios debe incorporarse al proceso normal seguido por RR.HH., para garantizar la seguridad de los datos de la empresa.

4.Instalación por Defecto
La inmensa mayoría de los programas informáticos, incluidos los Sistemas Operativos, disponen de una instalación por defecto que presenta oportunidades a los intrusos. Algunos programas brindarán una opción de personalizar los componentes instalados en el punto de instalación; otros exigen modificación después de la instalación. La instalación de servicios y componentes que no se requieran puede dejar a un administrador en la ignorancia de posibles debilidades de sus sistemas. Es menos probable que los servicios que no se requieren sean sometidos al escrutinio de un Director de Informática y pueden ser pasados por alto en las políticas de seguridad. Además, la mayoría de los programas informáticos se instalan con un mínimo de seguridad a fin de permitir que los usuarios pongan el sistema en marcha con el mínimo esfuerzo. Una vez que se confirme que el servicio funciona correctamente, los administradores del sistema deben procurar dotar al servicio de una seguridad que se ajuste a las normas exigidas.

5.Política de Cortafuegos
La creación exitosa de una política concisa de cortafuegos resulta esencial para la seguridad de una empresa. Es necesario un único punto de coordinación para una puesta en práctica eficaz de la estrategia. Numerosas empresas confían en políticas de plantillas o en numerosos administradores que abren puertos cuando les es solicitado. Para tener éxito, debe emprenderse una auditoría completa de los servicios presentes en una red. A continuación, debe discutirse un examen general, del tipo “riesgos frente a ventajas”, de los permisos correspondientes a varios servicios, antes de que se ponga en práctica una estrategia de cortafuegos bien documentada. Los cambios introducidos en la política de cortafuegos deben analizarse siempre en busca de riesgos, y posteriormente implementarse en una actividad bien coordinada de gestión de cambios.

6. Selección de Fabricantes
En la selección de fabricantes a menudo se pasa por alto el historial de seguridad y el soporte de una organización. Hay varios grupos de seguridad que ponen un historial completo de incidentes sufridos y éxitos obtenidos a disposición de los fabricantes; unos y otros deben tenerse en cuenta cuando se realicen compras a un nuevo proveedor. Numerosas aplicaciones disponen regularmente de actualizaciones de seguridad, y esto es un factor que el comprador debe tener en cuenta.

7. Definiciones de Virus
Un scaner de virus sólo es tan bueno como las definiciones que contiene. Éstas deben actualizarse regularmente, además de cuando se reconozca una amenaza específica. Fundamentalmente, debe haber siempre un punto central de administración, así como un plan documentado acerca de las tareas exi

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios