Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Microsoft
INDICE DE CONTENIDO
INTRODUCCIN ..............................................................................................................................4 PASO 1 ESTABLECER LA POLITICA DE SEGURIDAD DE LA EMPRESA ........................................4 1. 2. Qu debe incluir su poltica de Seguridad de la empresa ..............................................4 Conciencie a sus empleados .............................................................................................5
PASO 2 PROTEJA SUS EQUIPOS DE ESCRITORIO Y PORTATILES ...............................................5 1. 2. 3. 4. 5. 6. Protjase de los virus y el software espa ........................................................................5 Actualizaciones Software ..................................................................................................6 Configure un firewall .........................................................................................................6 Evite el correo electrnico no deseado (Spam)...............................................................6 Utilice solamente software legal ......................................................................................6 Navegacin Segura ............................................................................................................6
PASO 3 PROTEJA SU RED.............................................................................................................7 1. 2. Utilice contraseas seguras. .............................................................................................7 Proteger una Red WIFI ......................................................................................................7 Ocultar el SSID ................................................................................................................7 Cambiar el nombre SSID ................................................................................................8 Cifrado WEP....................................................................................................................8 Encriptacin WPA o WPA2(Wi-Fi Protected Access ) .................................................8 Cambiar clave de acceso del punto de acceso .............................................................8 3. Configure un firewall a nivel de Red.....................................................................................8 PASO 4 PROTEJA SUS SERVIDORES ............................................................................................8 1. 2. 3. 4. Certificados de servidor ....................................................................................................8 Mantenga sus servidores en un lugar seguro..................................................................8 Prctica de menos privilegios. ..........................................................................................8 Conozca las opciones de seguridad ..................................................................................9
PASO 5 MANTENGA SUS DATOS A SALVO .................................................................................9 1. 2. 3. 4. Copias de seguridad de los datos importantes para el negocio.....................................9 Establezca permisos. .........................................................................................................9 Cifre los datos confidenciales. ..........................................................................................9 Utilice sistemas de alimentacin ininterrumpida (SAI)...................................................9
PASO 6 PROTEJA SUS APLICACIONES Y RECURSOS ................................................................ 10 1. Valore la instalacin del Directorio Activo.................................................................... 10
24 de noviembre de 2008
Mercedes Martn
Microsoft
2. 3. 4. 5.
Gestione las Aplicaciones a travs del Directorio Activo ............................................. 10 Preste atencin a la base de datos................................................................................ 10 Cortafuegos de Aplicaciones Web................................................................................. 11 Auditorias Tcnicas......................................................................................................... 11
PASO 7 GESTIN DE LAS ACTUALIZACIONES.......................................................................... 11 1. 2. 3. Actualizaciones oportunas ............................................................................................. 11 Configuraciones especiales ............................................................................................ 11 Supervisin...................................................................................................................... 11
PASO 8 PROTEJA SUS DISPOSITIVOS MOVILES ........................................................................ 12 PASO 9 PROTECCIN DE DATOS DE CARCTER PERSONAL .................................................... 12 1. 2. Registre los ficheros ....................................................................................................... 12 Cesin de datos a un tercero ........................................................................................ 12
24 de noviembre de 2008
Mercedes Martn
Microsoft
INTRODUCCIN
Segn un estudio realizado recientemente por Inteco, 8 de cada 10 equipos se encuentran infectados con algn tipo de cdigo malicioso. Ante estos datos tan alarmantes, Microsoft ha elaborado una Gua de Seguridad que intenta describir los pasos prioritarios que una empresa debe implementar para proteger su entorno. Es necesario incidir en la necesidad de un cambio de concepcin, que conlleva al empleo de medidas reactivas a proactivas en la gestin de la seguridad. Las medidas reactivas son soluciones parciales, medidas de proteccin implementadas sin apenas intervencin del usuario, que bsicamente consisten en la instalacin del producto sin un seguimiento y control continuado. Si desea evaluar los puntos dbiles de su entorno de seguridad de IT puede usar la herramienta gratuita de Evaluacin de Seguridad de Microsoft (MSAT), diseada para ayudar a las organizaciones de menos de 1.000 empleados.
Cree una directiva de uso aceptable Una directiva de uso aceptable es un documento en el que se informa a los empleados de lo que pueden y no pueden hacer en los equipos de la empresa. Ponga por escrito las normas que espera que se cumplan. Puede describir su poltica sobre la creacin de contraseas, indicar la frecuencia de cambio de contraseas o mencionar el riesgo que supone abrir archivos adjuntos de correo electrnico de remitentes desconocidos. Tambin puede incluir la prohibicin de
24 de noviembre de 2008
Mercedes Martn
Microsoft
instalar software no autorizado en los equipos. En este documento, que debe ser firmado por todos los empleados, tienen que constar las sanciones (en casos extremos, incluso el despido) por contravenir esas normas. En su calidad de propietario o director del negocio, tambin deber firmar una copia de la directiva. Si la directiva es larga y detallada, ayude a los empleados a recordar los puntos principales con un resumen de una pgina que puede distribuir y colocar cerca de sus estaciones de trabajo.
24 de noviembre de 2008
Mercedes Martn
Microsoft
2. Actualizaciones Software.
A los piratas informticos les gusta encontrar y aprovechar cualquier error de seguridad en los productos de software ms populares. Cuando Microsoft u otra compaa descubren una vulnerabilidad en su software, suelen crear una actualizacin que se puede descargar de Internet (tanto para el Sistema Operativo como cualquier aplicacin que se tenga instalada). Es necesario instalar las actualizaciones tan pronto se pongan a la disposicin del pblico. Windows Update le permitir recibir actualizaciones peridicamente.
3. Configure un firewall.
Un firewall es un programa encargado de analizar tanto el trfico entrante como saliente de un equipo, con el fin de bloquear determinados puertos y protocolos que potencialmente podran ser utilizados por las aplicaciones.
6. Navegacin Segura.
Acceda nicamente a sitios de confianza. Analice con un antivirus todo lo que descarga antes de ejecutarlo en su equipo. No explore nunca sitios Web desde un servidor. Utilice siempre un equipo o porttil cliente. Mantenga actualizado su navegador a la ltima versin.
24 de noviembre de 2008
Mercedes Martn
Microsoft
Configure el nivel de seguridad de su navegador segn sus preferencias. Descargue los programas desde los sitios oficiales para evitar suplantaciones maliciosas (Phishing). Configure su navegador para evitar pop-ups emergentes. Utilice un usuario sin permisos de Administrador para navegar por Internet, as impide la instalacin de programas y cambios en los valores del sistema. Borre las cookies, los ficheros temporales y el historial cuando utilice equipos ajenos para no dejar rastro de su navegacin. Comercio Electrnico Observe en la barra de navegacin de su navegador, que la direccin Web comienza por https: indica que se trata de una conexin segura y el contenido que transfiera ser cifrado por la Red. Observe que aparece un candado ( ) en la parte inferior derecha de su navegador. Esto significa que la entidad posee un certificado emitido por una autoridad certificadora, el cual garantiza que realmente se ha conectado con la entidad destino y que los datos transmitidos son cifrados.
Una longitud de ocho caracteres como mnimo; cuanto ms larga, mejor. Una combinacin de letras maysculas y minsculas, nmeros y smbolos. Se debe cambiar cada 90 das como mnimo y, al cambiarla, debe ser muy distinta de las contraseas anteriores. No utilice datos personales.
Ocultar el SSID
Ocultar el SSID (identificador de redes inalmbricas) al exterior es una buena medida para evitar las intrusiones, aun que este dato puede descubrirse fcilmente aunque este se presente oculto.
24 de noviembre de 2008
Mercedes Martn
Microsoft
En el momento en que los servidores estn en peligro, tambin lo est toda la red.
1. Certificados de servidor.
Identifican a los sitios Web. Requiere de la existencia de una autoridad certificadora (CA) que afirme, mediante los correspondientes certificados de servidor, que stos son quienes dicen ser antes del establecimiento del canal seguro. Le permitir establecer comunicaciones seguras con sus clientes, cifrando la conexin usando la tecnologa SSL para que no pueda ser leda por terceros.
24 de noviembre de 2008
Mercedes Martn
Microsoft
2. Establezca permisos.
Se pueden asignar distintos niveles de permisos a los usuarios segn su funcin y responsabilidades en la organizacin. En vez de conceder a todos los usuarios el acceso "Administrador" (instituya una poltica de "prctica de menos privilegios).
24 de noviembre de 2008
Mercedes Martn
Microsoft
24 de noviembre de 2008
Mercedes Martn
10
Microsoft
5. Auditorias Tcnicas.
Una auditora tcnica de seguridad puede identificar las vulnerabilidades de una aplicacin web.
2. Configuraciones especiales.
Puede impedir que los usuarios instalen programas no autorizados si limita su capacidad para ejecutar programas desde CD-ROM y otras unidades extrables o para descargar programas de Internet.
3. Supervisin.
Si se produce un acceso no autorizado en un equipo o si hay un error del sistema de algn tipo en algn equipo, se puede detectar inmediatamente mediante las capacidades de supervisin que estn disponibles en un entorno de equipos/porttiles administrado.
24 de noviembre de 2008
Mercedes Martn
11
Microsoft
24 de noviembre de 2008
Mercedes Martn
12
Microsoft
Malware o Virus: Malware cuyo cometido es alterar el funcionamiento normal de un ordenador. o Gusanos: Programa parecido a un virus, cuya principal caracterstica es la capacidad de poder replicarse a si mismos. o Troyanos: Programas que se introducen en el ordenador, para realizar acciones con el objetivo de tomar el control del sistema afectado. Ataques de Denegacin de Servicio ( DOS ) : Ataque que evita al usuario la utilizacin de determinados servicios. Spam: Correo basura o no deseado. Spyware: Programas espa que recopilan informacin. Contenido inapropiado o ilegal Phishing: Suplantacin de identidad de una pgina Web. Vishing: es una prctica fraudulenta en donde se hace uso del Protocolo VoIP y la ingeniera social para engaar a personas. Snifadores de Paquetes : Programas que capturan informacin en los paquetes que cruzan los nodos de conmutacin de las redes. Acceso a Wifis inseguras Web Sites con cdigo malicioso o Instalando Troyanos o Redireccin a un site indeseado o Robo passwords o Instalacin de keyloggers o Adware/ spyware/ lectura cookies Ataques a las Contraseas o Ataque de Fuerza Bruta o Snifadores de Paquetes o Suplantacin de IP: Consiste en la sustitucin de una direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar. o Troyanos
24 de noviembre de 2008
Mercedes Martn
13
Microsoft
RECURSOS
Pgina Principal de Seguridad
http://www.microsoft.com/spain/seguridad/default.mspx
Artculos de Seguridad
http://technet.microsoft.com/es-es/magazine/cc135960.aspx
WebCast de Seguridad
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=13
Foros de Seguridad
http://forums.microsoft.com/TechNet-ES/Search/Search.aspx?words=seguridad& localechoice=10&SiteID=30&searchscope=allforums
24 de noviembre de 2008
Mercedes Martn
14