Tag Archive: seguridad


Por qué es importante mejorar la seguridad de las cuentas de administrador

Es esencial que las cuentas de administrador sean tan seguras como sea posible para garantizar la protección total de los activos de la red de la organización. Deberá proteger todos los equipos que pueda utilizar un administrador (controladores de dominio, servidores y las estaciones de trabajo que éste utilice). El grupo de TI de su empresa debe garantizar la seguridad de los controladores de dominio y servidores de entidad emisora de certificados, pues se consideran activos de máxima confianza. También deberán protegerse los equipos de escritorio y móviles de los administradores como activos de confianza, pues los administradores los utilizan para administrar de forma remota el bosque, el dominio y la infraestructura.

Por qué no debe iniciar una sesión en su equipo como administrador

Si normalmente inicia la sesión en su equipo como administrador para llevar a cabo las tareas comunes basadas en aplicaciones, hará que el equipo sea vulnerable ante software malintencionado y otros riesgos para la seguridad pues el software malintencionado se ejecutará con los mismos privilegios que se utilizaron para iniciar la sesión. Si visita un sitio de Internet o abre un archivo adjunto a un mensaje de correo, puede dañar el equipo ya que podría descargarse y ejecutarse en su equipo código malintencionado.

Si inicia la sesión como administrador en un equipo local, el código malintencionado podría, entre otras acciones, formatear la unidad de disco duro, eliminar archivos y crear una nueva cuenta de usuario con privilegios administrativos. Si inicia la sesión como miembro del grupo Administradores de dominio, el grupo Administradores de organización o el grupo Administradores de esquema en el servicio de directorio Active Directory®, el código malintencionado podría crear una nueva cuenta de usuario de dominio con acceso administrativo y poner en peligro los datos de dominio, configuración o esquema.

En un equipo local, deber agregar su cuenta de usuario de dominio sólo al grupo Usuarios (y no al grupo Administradores) para llevar a cabo tareas rutinarias como ejecutar programas o visitar sitios de Internet. Cuando sea necesario llevar a cabo tareas administrativas en un equipo local o en Active Directory, utilice el comando Ejecutar como para iniciar un programa con credenciales administrativas.

 

Existen varios grupos y cuentas de usuario administrativo cuyas credenciales pueden utilizarse para iniciar la sesión en un equipo o dominio. Entre las cuentas administrativas del dominio de Active Directory se incluyen las siguientes:

    • La cuenta Administrador, que se crea con la instalación de Active Directory en el primer controlador del dominio. Es la cuenta con más privilegios. La persona encargada de instalar Active Directory en el equipo crea la contraseña de esta cuenta durante la instalación. . De forma predeterminada, la primera cuenta de administrador creada en cada dominio es también el Agente de recuperación de datos (DRA) para el Sistema de cifrado de archivos (EFS) en cada dominio.
    • Las cuentas que cree posteriormente y a las que asigne directamente privilegios administrativos o coloque en un grupo con privilegios administrativos.

 

El número de grupos administrativos en un dominio Active Directory varía según los servicios instalados. Entre los grupos utilizados específicamente para la administración de Active Directory se incluyen:

  • Grupos administrativos que ya existen en el contenedor Builtin; por ejemplo, operadores de cuentas y operadores de servidores. Tenga en cuenta que los grupos del contenedor Builtin no se pueden cambiar de ubicación.
  • Grupos administrativos que ya existen en el contenedor Usuarios; por ejemplo, Administradores de dominio y Propietarios del creador de directivas de grupo.
  • Los grupos que se creen posteriormente y se incluyan en un grupo con privilegios administrativos o a la que se asignen directamente estos privilegios.

Las cuentas y los grupos administrativos predeterminados de un entorno de dominio son:

  • Administradores de organización (existen sólo en los dominios raíz del bosque)
  • Administradores de dominio (existen en todos los dominios)
  • Administradores de esquema (existen sólo en los dominios raíz del bosque)
  • Propietarios del creador de directivas de grupo (existen sólo en los dominios raíz del bosque)
  • Grupo Administradores
  • Cuenta de administrador
  • Cuenta de administrador del modo de restauración de SD (disponible sólo en Modo de restauración de servicios de directorio. Esta cuenta es local para el controlador de dominio y no es una cuenta de todo el dominio. La contraseña para esta cuenta se establece al instalar Active Directory en el equipo).
Tipos de cuenta de administrador

Existen básicamente tres categorías de cuentas de administrador para iniciar la sesión en un equipo o dominio. Cada categoría tiene privilegios y capacidades exclusivas.

  • Cuentas de administrador local. Esta categoría incluye la cuenta de administrador integrada que crea y utiliza Windows Server la primera vez que se instala en un equipo. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado. Los miembros de este grupo tienen acceso completo sin restricciones al equipo local.
  • Cuentas de administrador de dominio. Esta categoría incluye la cuenta de administrador de dominio integrada que crea y utiliza Active Directory la primera vez que se instala. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado o al grupo Administradores de dominio. Los miembros de estos grupos tienen acceso completo sin restricciones al dominio y, si no se protegen adecuadamente, a todo el bosque.
  • Cuentas de administrador de bosque. Esta categoría incluye la cuenta de administrador de dominio integrada del primer dominio creado en el bosque, que se denomina dominio raíz del bosque, porque la cuenta de administrador del dominio raíz del bosque se agrega automáticamente al grupo Administradores de organización al instalar Active Directory. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores de organización. Los miembros del grupo Administradores de organización tienen acceso completo sin restricciones a todo el bosque. Los administradores de organización también pueden instalar entidades emisoras de certificados, que pueden utilizarse para suplantar a cualquier usuario del bosque.

Principios para mejorar la seguridad de las cuentas de administrador

Al planear cómo proteger mejor sus cuentas administrativas, debe:

  • Aplicar el principio de privilegios mínimos
  • Seguir las directrices de prácticas recomendadas para mejorar la seguridad de las cuentas de administrador
Principio de privilegios mínimos

. El principio es simple y el efecto de aplicarlo correctamente aumenta considerablemente la seguridad y reduce los riesgos. El principio especifica que todos los usuarios deben iniciar la sesión con una cuenta de usuario que sólo tenga los permisos mínimos necesarios para llevar a cabo la tarea actual. Ésta es una forma de protección contra código malintencionado, entre otros ataques. Este principio es válido para los equipos y para los usuarios de dichos equipos.

 

Debe otorgar a todos los usuarios administradores de dominio sus privilegios de dominio según el concepto de privilegios mínimos. Por ejemplo, si un administrador inicia la sesión con una cuenta con privilegios e inintencionadamente ejecuta un programa de virus, el virus tendrá acceso administrativo al equipo local y a todo el dominio. Si el administrador hubiera iniciado la sesión con una cuenta sin privilegios (no administrativa), el virus sólo afectaría al equipo local pues se ejecuta como usuario del equipo local.

Prácticas recomendadas para mejorar la seguridad de las cuentas de administrador

Entre las directrices de prácticas recomendadas que debe seguir para mejorar la seguridad de las cuentas administrativas en Windows Server   incluyen:

  • Separar las funciones Administrador de dominio y Administrador de organización.
  • Separar las cuentas de usuario y administrador.
  • Utilizar el servicio de inicio de sesión secundario.
  • Ejecutar una sesión independiente de Servicios de Terminal Server para administración.
  • Cambiar el nombre de la cuenta Administrador predeterminada.
  • Crear una cuenta Administrador señuelo.
  • Crear una cuenta de administrador secundaria y deshabilitar la cuenta Administrador integrada.
  • Habilitar el bloqueo de la cuenta para inicios de sesión de administrador remotos.
  • Crear una contraseña de administrador segura.
  • Detectar automáticamente contraseñas poco seguras.
  • Utilizar credenciales administrativas sólo en equipos de confianza.
  • Auditar las cuentas y contraseñas periódicamente.
  • Prohibir la delegación de cuentas.
  • Controlar el proceso de inicio de sesión administrativa.

Capítulo 3: Directrices para mejorar la seguridad de las cuentas de administrador

Descripción general de las directrices para mejorar la seguridad de las cuentas de administrador.
Separar las cuentas de usuario y administrador

Para cada usuario que desempeñe una función de administrador, debe crear dos cuentas: una cuenta de usuario normal para las tareas cotidianas típicas, como correo electrónico y otros programas, y una cuenta administrativa únicamente para las tareas administrativas. No debe habilitar estas cuentas administrativas para el correo electrónico, utilícelas para ejecutar programas estándar o explorar Internet. Cada cuenta debe disponer de una contraseña única. Si adopta estas precauciones simples, contribuirá a reducir considerablemente la exposición de las cuentas a los riesgos externos y la cantidad de tiempo que las cuentas administrativas están activas en un equipo o dominio.

Utilizar el servicio de inicio de sesión secundario

En Microsoft Windows® se pueden ejecutar programas como un usuario distinto del que ha iniciado la sesión actualmente. En Windows 2000, el servicio Ejecutar como proporciona esta capacidad, mientras que en Windows XP y Windows Server 2003, se denomina servicio de inicio de sesión secundario. Los servicios Ejecutar como e Inicio de sesión secundario son el mismo pero con nombres distintos.

El inicio de sesión secundario permite a los administradores iniciar sesión en el equipo con una cuenta no administrativa y, sin cerrar la sesión, llevar a cabo tareas administrativas mediante la ejecución de programas administrativos de confianza en contextos administrativos.

Para cambiar el nombre de la cuenta Administrador predeterminada en un dominio

  1. Inicie sesión como miembro del grupo de administradores de dominio (pero no la cuenta Administrador integrada) y, a continuación, abra Usuarios y equipos de Active Directory.
  2. En el árbol de consola, haga clic en Users.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el cuadro de diálogo Cambiar nombre de usuario, modifique los valores de los campos Nombre completo, Nombre, Apellidos, Nombre para mostrar, Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (anterior a Windows 2000) para que coincidan con los de la cuenta ficticia y, a continuación, haga clic en Aceptar.
  6. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  7. Haga clic en la ficha General. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  8. Haga clic en Aceptar.

Para cambiar el nombre de la cuenta Administrador local predeterminada

  1. Inicie sesión como miembro del grupo Administradores local (pero no la cuenta Administrador integrada) y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de consola, expanda Usuarios locales y grupos y, a continuación, haga clic en Usuarios.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  6. Haga clic en la ficha General. En el cuadro Nombre completo, escriba el nuevo nombre completo. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  7. Haga clic en Aceptar.

Cc162797.note(es-es,TechNet.10).gifNota: también existe una configuración de objeto de directiva de grupo (GPO) que puede utilizar para cambiar el nombre de la cuenta Administrador predeterminada en gran cantidad de equipos. No obstante, esta configuración no permite modificar la descripción predeterminada. Para obtener más información, consulte el artículo de Knowledge Base HOW TO: Rename the Administrator and Guest Account in Windows Server 2003 en http://support.microsoft.com/default.aspx?scid=kb;en-us;816109.

Crear una cuenta Administrador señuelo

La creación de una cuenta Administrador señuelo agrega un nivel adicional de protección. Puede engañar a un atacante que planee un ataque de contraseña en la cuenta Administrador para que lo haga en una cuenta que no tenga privilegios especiales, por lo que es muy poco probable que el atacante descubra que ha cambiado el nombre de la cuenta Administrador. También es aconsejable para detener a un atacante, asegurándose de que esta cuenta señuelo no se bloquea y estableciendo una contraseña segura. Después de crear la cuenta señuelo, debe asegurarse de que no es miembro de ningún grupo de seguridad con privilegios y, a continuación, supervise el uso de la cuenta por si se produce alguna actividad inesperada, como errores de inicio de sesión. Para obtener más información, consulte Seguridad en grupos administrativos y cuentas de Active Directory en http://www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx.

Para crear una cuenta Administrador señuelo en un dominio

  1. Inicie sesión como miembro del grupo Admins. del dominio y abra Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario del mouse (ratón) en el contenedor Users, seleccione Nuevo y, a continuación, haga clic en Usuario.
  3. En los cuadros Nombre y Nombre de inicio de sesión de usuario, escriba Administrador y, a continuación, haga clic en Siguiente.
  4. Escriba una contraseña y confírmela.
  5. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo y, a continuación, haga clic en Siguiente.
  6. Compruebe que la información de la cuenta señuelo es correcta y, a continuación, haga clic en Finalizar.
  7. En el panel de detalles, haga clic con el botón secundario del mouse en Administrador y, a continuación, haga clic en Propiedades.
  8. Haga clic en la ficha General. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio y, a continuación, haga clic en Aceptar.

Para crear una cuenta Administrador señuelo local

  1. Inicie sesión como miembro del grupo Administradores local y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de la consola, amplíe Usuarios locales y grupos.
  3. Haga clic con el botón secundario del mouse (ratón) en la carpeta Usuarios y, a continuación, haga clic en Nuevo usuario.
  4. En el cuadro Nombre de usuario, escriba Administrador. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio.
  5. Escriba una contraseña y confírmela.
  6. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo.
  7. Haga clic en Crear.
Crear una contraseña de administrador segura

Utilice una contraseña segura para la cuenta Administrador integrada. Una contraseña segura minimiza la amenaza de que un atacante averigüe la contraseña y obtenga las credenciales de la cuenta Administrador. Una contraseña de cuenta de administrador segura debe:

  • Contener 15 caracteres como mínimo.
  • No contener un nombre de cuenta, nombre real o nombre de compañía.
  • No contener una palabra de diccionario completa, ni siquiera de argot o jerga, en ningún idioma.
  • Ser considerablemente distinta de las contraseñas anteriores. Las contraseñas que incluyen un incremento (Contraseña1, Contraseña2, Contraseña3, …) no son seguras.
  • Contener caracteres, como mínimo, de tres de los cinco grupos enumerados en la tabla siguiente.

Shadow copy y seguridad forense

Introducción

Volume Shadow Copy Service, VSS, es una herramienta de Control de versiones que forma parte de Microsoft Visual Studio. Por ejemplo,es posible recuperar versiones anteriores de un determinado fichero con extrema comodidad. Desde el punto de vista del usuario, VSS es como una pequeña máquina del tiempo integrada en el sistema que permite retroceder y obtener información generada en el pasado.

shadow copy forensics

Esto es posible ya que VSS ejecuta copias en un determinado volumen, en un momento específico del tiempo a intervalos regulares, permitiendo que el usuario restaure versiones previas con suma comodidad. Aunque, desde el punto de vista forense, VSS podría ser mirado con otros ojos: el analista forense, en caso de querer recuperar material, no necesita realizar carving del espacio no asignado, ni reconstrucciones específicas de bloques del sistema de ficheros, ni nada parecido. Podría bastarle con acceder a una shadow copydeterminada, y recuperar allí cómodamente lo que se anda buscando.

Estos servicios se implementaron originalmente en Windows XP SP2, si bien en aquel entonces el concepto era totalmente distinto, habida cuenta que las copias que se producen en dicho sistema no son persistentes. Las primeras funcionalidades de copia persistente, es decir, la que no desaparece aunque se reinicie el sistema, se remontan a Windows 2003, y desde entonces todas las versiones, Vista, Windows 7 y 2008 han ido añadiendo soporte a los servicios VSS no persistentes, con ligeras variaciones. Windows 7 es el primer sistema que además de incorporar servicios nativos VSS, dispone de un interfaz gráfico para su gestión.

Determinación del proveedor de servicio VSS y presencia de copiasshadow

Para identificar la presencia de VSS recurrimos al comando vssadmin, que permite enumerar los proveedores existentes:

shadow copy forensics

Como se puede apreciar, esta máquina dispone de servicios VSS, con lo que el siguiente paso sería determinar si VSS ha generado copias, para lo cual también usaremos vssadmin:

shadow copy forensics

En la última captura, el sistema me informa de la existencia de dos copiasshadow en mi sistema. Existirá siempre una traducción entre el volumen original y la shadow copy correspondiente, en este caso, el volumen original es (C:)\\?\Volume{b072baad-d0ae-11df-ae4c-806e6f6e6963}\ y dicho volumen tiene asociadas dos copias, \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 y \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2

Extracción forense de las copias shadow

Para ilustrar cómo se analizan las copias vamos a ejecutar la extracción en el sistema en ejecución. Por favor, hay que tener  en cuenta que cuando se hace una adquisición en un sistema que está en ejecución, cualquier cosa que ejecutemos provocará cambios en el sistema, especialmente si traemos herramientas externas al sistema. . En este caso, para simplificar el proceso, emplearemos dd.exe para Windows desde el propio sistema, aunque esta operación es posible realizarla por ejemplo, desde una máquina Unix de análisis forense conectada en red con la máquina a analizar. Al ser volúmenes, desde un punto de vista de dd, es posible realizar una copia bit a bit de dichos volúmenes al igual que las haríamos en otro volumen convencional. El único requisito que tenemos que tener presente es que las copias sólo son accesibles con el sistema en ejecución, es decir, los volúmenes no pueden ser consultados si el sistema que las genera no está cargado.

Para realizar la copia, necesitaremos recordar la nomenclatura de los dispositivos que hemos identificado anteriormente. Tampoco perder de vista que al extraer una copia shadow, obtendremos una imagen del sistema a analizar, independientemente de que el método de conservación se base en detecciones incrementales de cambios, con lo que es de esperar un tamaño elevado, especialmente en las versiones modernas de Windows, que suelen tener un tamaño base importante. Y tamaño elevado siempre implica tiempo elevado, especialmente en unidades de disco que no son de estado sólido:

C:\forensics>dd if=\\.\HarddiskVolumeShadowCopy2 of=c:\forensics\shadow.dd

Esta copia puede ser después montada en la estación forense para realizar las tareas habituales, tales como generación de una línea temporal, búsqueda de cadenas, y carving de ficheros eliminados. Una vez extraída no sufriremos la dependencia del sistema operativo que las ha generado, y podemos aplicar las técnicas de análisis que estimemos oportunas.

Examen mediante enlaces simbólicos

Es posible realizar un examen en el sistema en ejecución mediante enlaces simbólicos. Este método puede ser útil si lo que se desea es acceder a los contenidos de la copia shadow para una inspección visual rápida. Para esta operativa se emplea el comando nativo mklink con la opción -d que indica que queremos realizar un enlace mediante un directorio:

C:\windows\system32>mklink /d c:\copiashadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\
symbolic link created for c:\copiashadow < <===>> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\

No olvidés cerrar el volumen con \, de lo contrario, no podréis acceder a los contenidos. Una vez creado el enlace se puede analizar cómodamente. Aquí se muestra un ejemplo de la segunda copia shadow, que además, incluye otros enlaces simbólicos creados anteriormente. Este directorio es totalmente navegable, y por defecto, montado en sólo lectura.
shadow copy forensics

Implicaciones forenses

Las implicaciones prácticas de las shadow copies son inmediatas. Puedo eliminar un fichero del sistema, e instantáneamente, recuperarlo de la copia. En este ejemplo eliminamos el fichero Thumbs.db en el volumen anfitrión, pero ese fichero está disponible en la shadow copy que hemos enlazado:

shadow copy forensics

Planteamientos como la extremadamente fácil recuperación forense de información en volúmenes de este tipo, cabe preguntarse si merece la pena emplearlos o no. Desde el punto de vista del usuario en la mayoría de las ocasiones sólo se apreciará lo cómodo que es recuperar un fichero borrado o sobreescrito accidentalmente, pero no todo el mundo es consciente de la cantidad de trazas que están dejando tras de sí, lo que pone en bandeja al analista forense la recuperación de información. Ni que decir tiene que ese analista forense podría ser también un usuario malicioso con acceso al disco.

Seguridad..un poquito mas

Política y Plan de Seguridad

Es importante  poder tener   un marco general en el que se encuenren  los subprocesos asociados a la Gestión de la Seguridad. Su complejidad e intricadas interrelaciones necesitan de una política global donde se definan aspectos tales como los objetivos, responsabilidades y recursos.

La Política de Seguridad debe definir:

  • La relación con la política general del negocio.
  • La coordinación con los otros procesos TI.
  • Los protocolos de acceso a la información.
  • Los procedimientos de análisis de riesgos.
  • Los programas de formación.
  • El nivel de monitorización de la seguridad.
  • Qué informes deben ser emitidos periódicamente.
  • El alcance del Plan de Seguridad.
  • La estructura y responsables del proceso de Gestión de la Seguridad.
  • Los procesos y procedimientos empleados.
  • Los responsables de cada subproceso.
  • Los auditores externos e internos de seguridad.
  • Los recursos necesarios: software, hardware y personal.
Plan de Seguridad

El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser incluidos como parte de los SLAs (acuerdos de nivel de servicio), OLAs *acuerdos de nivel de operacion)y UCs. (acuerdos de nivel de soporte)

El Plan de Seguridad debe ser diseñado con el fin de ofrecer un mejor y más seguro servicio al cliente y nunca como un obstáculo para el desarrollo de sus actividades de negocio.

Siempre que sea posible, deben definirse métricas e indicadores clave que permitan evaluar los niveles de seguridad acordados.

Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de seguridad coherentes en todas las fases del servicio y para todos los estamentos implicados. “Una cadena es tan resistente como el más débil de sus eslabones”, por lo que carece de sentido, por ejemplo, establecer una estrictas normas de acceso si una aplicación tiene vulnerabilidades frente a inyecciones de SQL. Quizá con ello podamos engañar a algún cliente durante algún tiempo ofreciendo la imagen de “fortaleza”, pero esto valdrá de poco si alguien descubre que la “puerta de atrás está abierta”.

Aplicación de las Medidas de Seguridad

Por Excelente  que sea la planificación de la seguridad resultará inútil si las medidas previstas no se ponen en práctica.

 

En primer lugar la Gestión de la Seguridad debe verificar que:

  • El personal conoce y acepta las medidas de seguridad establecidas así como sus responsabilidades al respecto.
  • Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad.
  • Se imparte la formación pertinente.

Es también responsabilidad directa de la Gestión de la Seguridad:

  • Asignar los recursos necesarios.
  • Generar la documentación de referencia necesaria.
  • Colaborar con el Centro de Servicios y la Gestión de Incidentes en el tratamiento y resolución de incidentes relacionados con la seguridad.
  • Instalar y mantener las herramientas de hardware y software necesarias para garan
  • Proponer RFCs a la Gestión de Cambios que aumenten los niveles de seguridad.
  • Establecer las políticas y protocolos de acceso a la información.
  • Monitorizar las redes y servicios en red para detectar intrusiones y ataques.

Es necesario que la gestión de la empresa reconozca la autoridad de la Gestión de la Seguridad respecto a todas estas cuestiones y que incluso permita que ésta proponga medidas disciplinarias vinculantes cuando los empleados u otro personal relacionado con la seguridad de los servicios incumplan con sus responsabilidades.

 

Control del proceso

Al igual que en el resto de procesos TI, es necesario realizar un riguroso control del proceso para asegurar que la Gestión de la Seguridad cumple sus objetivos.

Una buena Gestión de la Seguridad debe traducirse en:

  • Disminución del número de incidentes relacionados con la seguridad.
  • Un acceso eficiente a la información por el personal autorizado.
  • Gestión proactiva, que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradación de la calidad del servicio.

La correcta elaboración de informes permite evaluar el rendimiento de la Gestión de Seguridad y aporta información de vital importancia a otras áreas de la infraestructura TI.

Entre la documentación generada cabría destacar:

  • Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de los SLAs, OLAs y UCs en vigor.
  • Relación de incidentes relacionados con la seguridad, calificados por su impacto sobre la calidad del servicio.
  • Evaluación de los programas de formación impartidos y sus resultados.
  • Identificación de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI.
  • Auditorías de seguridad.
  • Informes sobre el grado de implementación y cumplimiento de los planes de seguridad establecidos.

En este post veremos un resumen del modulo seguridad de ITILv3

Gestión de  Seguridad de la Información

Los  objetivos se resumen en:

  • Diseñar  y crear   una política de seguridad, en colaboración con clientes y proveedores, correctamente alineada con las necesidades del negocio.
  • Asegurar  cumplimiento de los estándares de seguridad acordados en los SLAs (acuerdo de nievel de servicios)
  • Minimizar al minimo  los riesgos de seguridad que amenacen la continuidad del servicio.

La  Gestión de  Seguridad no es responsabilidad (exclusiva) de un “expertos en seguridad” que desconocen los otros procesos de negocio. Si caemos en la tentación de establecer la seguridad como una prioridad en sí misma, limitaremos las oportunidades de negocio que nos ofrece el flujo de información entre los diferentes agentes implicados y la apertura de nuevas redes y canales de comunicación.

La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que aseguren que la información esté accesible cuando es necesaria para aquellos que tengan autorización para utilizarla.

Una vez comprendidos cuáles son los requisitos de seguridad del negocio, la Gestión de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAscorrespondientes para, a renglón seguido, garantizar su cumplimiento.

La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, y que no necesariamente tienen por qué figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio.

Es importante que la Gestión de la Seguridad sea proactiva y evalúe a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etcétera.


Los principales beneficios de una correcta Gestión de la Seguridad:

  • Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera.
  • Se minimiza el número de incidentes.
  • Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos.
  • Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios.
  • Se cumplen los reglamentos sobre protección de datos.
  • Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.

Las principales dificultades a la hora de implementar la Gestión de la Seguridad se resumen en:

  • No existe el suficiente compromiso de todos los miembros de la organización TI con el proceso.
  • Se establecen políticas de seguridad excesivamente restrictivas que afectan negativamente al negocio.
  • No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, etc.).
  • El personal no recibe una formación adecuada para la aplicación de los protocolos de seguridad.
  • Falta de coordinación entre los diferentes procesos, lo que impide una correcta evaluación de los riesgos.

Proceso

La Gestión de la Seguridad está estrechamente relacionada con prácticamente todos los otros procesos TI y necesita para su éxito la colaboración de toda la organización.

Para que esa colaboración sea eficaz, es necesario que la Gestión de la Seguridad:

  • Establezca una clara y definida política de seguridad que sirva de guía a todos los otros procesos.
  • Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos.
  • Implemente el Plan de Seguridad.
  • Monitorice y evalúe el cumplimiento de dicho plan.
  • Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades.
  • Realice periódicamente auditorías de seguridad.