Preparación
Antes de implementar una política de seguridad, debe hacer lo siguiente:
- Cree las declaraciones de política de uso.
- Realizar un análisis de riesgo.
- Establecer una estructura de equipo de seguridad.
Crear Declaraciones de Políticas de Uso
Se recomienda crear de las declaraciones de política de uso que describan los roles y las responsabilidades de usuarios con respecto a la seguridad. Usted puede comenzar con una política general que incluya todos los sistemas de red y datos dentro de su compañía. Este documento debe proporcionar a la comunidad de usuarios generales las nociones básicas de la política de seguridad, de su propósito, de las guías de consulta para mejorar las prácticas de seguridad, y las definiciones de sus responsabilidades con respecto a la seguridad. Si su compañía ha identificado acciones específicas que podrían dar lugar a acciones disciplinarias o punitivas contra un empleado, estas acciones y cómo evitarlas se deben articular claramente en este documento.
El siguiente paso es crear una declaración de uso aceptable del socio para proporcionar a los socios las nociones básicas de la información disponible, la disposición prevista de esa información, así como la conducta de los empleados de su compañía. Debe explicar claramente cualquier acto específico que se haya identificado como ataques a la seguridad y las acciones punitivas que serán tomados si se detecta un ataque a la seguridad.
Por último, crea una declaración de uso aceptable del administrador para explicar los procedimientos para la administración de la cuenta de usuario, la aplicación de políticas, y la revisión del privilegio. Si su compañía tiene políticas específicas relativas a las contraseñas del usuario o al manejo posterior de datos, también debe presentar claramente esas políticas. Verificar la política contra el uso aceptable del socio y las declaraciones de políticas de uso aceptable para el usuario para garantizar la uniformidad. Asegúrese de que los requisitos de administrador enumerados en la política de uso aceptable estén reflejados en los los planes de entrenamiento y las evaluaciones de rendimiento.
Realizar un Análisis de Riesgos
El análisis de riesgos debe identificar los riesgos a su red, los recursos de red, y los datos. Esto no significa que debe identificar cada punto de entrada posible a la red, ni los medios posibles del ataque. El intento de un análisis de riesgo es identificar las partes de su red, asignar una calificación de amenaza para cada parte, y aplicar un nivel adecuado de seguridad. Esto ayuda a mantener un equilibrio factible entre la seguridad y el acceso de la red necesario.
Asignar a cada recurso de red uno de los siguientes tres niveles de riesgo:
- Sistemas de bajo riesgo o datos que, de verse comprometidos (datos observados por el personal no autorizado, datos corruptos, o datos perdidos) no se interrumpiría el negocio ni causaría ramificaciones económicas y legales. El sistema objetivo o los datos se puede recuperar fácilmente y no permite el acceso adicional de otros sistemas.
- Los sistemas de riesgo mediano o los datos que si estuvo comprometido (los datos vistos por el personal no autorizado, los datos corrompidos, o los datos perdido) causaría una interrupción leve en el negocio, legal de menor importancia o las ramificaciones económicas, o proporcionan el acceso adicional a otros sistemas. El sistema objetivo o los datos requieren un esfuerzo leve para restaurarse o el proceso de restauración es perturbador para el sistema.
- Sistemas de Alto Riesgo o datos que, e verse comprometidos (datos observados por el personal no autorizado, datos corruptos, o datos perdidos) causarían una interrupción extrema en el negocio, causarían ramificaciones económicas o legales importantes, o amenazarían la integridad o la seguridad de una persona. El sistema objetivo o los datos requieren mucho esfuerzo para restaurarse o el proceso de restauración es perturbador al negocio u otros sistemas.
Los equipos de red tal como switches, routers, servidores DNS, y servidores DHCP permiten acceso adicional a la red y, por lo tanto, son dispositivos de riesgo moderado o alto. También es posible que la corrupción de este equipo cause el colapso de la red. Dicha falla puede ser extremadamente perjudicial para el negocio.
Una vez asignado un nivel de riesgo, es necesario identificar los tipos de usuarios de ese sistema. Los cinco tipos más comunes de usuarios son:
- Usuarios internos de los administradores responsables de los recursos de red.
- Usuarios internos privilegiados con necesidad de mayor acceso.
- Usuarios internos de usuarios con acceso general.
- Usuarios externos de socios con necesidad de acceder a algunos recursos.
- Otros usuarios externos o clientes.
Establecer una Estructura de Equipo de Seguridad
Crear un equipo de seguridad de funcionalidad cruzada liderado por un Administrador de Seguridad con los participantes de cada uno de las áreas operativas de su compañía. Los representantes en el equipo deben conocer la política de seguridad y los aspectos técnicos del diseño y de la implementación de seguridad. A menudo, esto requiere la capacitación adicional de los miembros del equipo. El equipo de seguridad tiene tres áreas de responsabilidad: elaboración de políticas, práctica, y respuesta.
Aprobación de Cambios de Seguridad
Los cambios de seguridad se definen como los cambios al equipo de red que tengan un posible impacto en la seguridad general de la red. Su política de seguridad debe identificar requisitos de configuración de seguridad específicos, en términos no técnicos. Es decir, en lugar de definir un requisito como “Ninguna conexión al FTP de las fuentes externas se permitirá a través del firewall”, defina el requisito como “Las conexiones externas no deben extraer archivos de la red interna”. Deberá definir un conjunto único de requisitos para su organización.
El equipo de seguridad debe revisar la lista de requisitos de lenguaje sencillo para identificar la configuración de red o los problemas de diseño específicos que cumplan los requisitos. Una vez que el equipo ha creado los cambios en las configuraciones de la red requerida para implementar la política de seguridad, puede aplicarlos a cualquier cambio de configuración futuro. Mientras que es posible que el equipo de seguridad revise todos los cambios, este proceso permite que sólo se revisen solamente los cambios que plantean un riesgo importante para autorizar el tratamiento especial.
Se recomienda que el equipo de seguridad revise los siguientes tipos de cambios:
- Cualquier cambio en la configuración firewall.
- Cualquier cambio en las listas de control de acceso (ACL).
- Cualquier cambio en la configuración del Simple Network Management Protocol (SNMP).
- Cualquier cambio o actualización en el software que difiera de la lista de nivel de revisión de software aprobada.
Debe definir el nivel de autoridad dado al equipo de seguridad para realizar los cambios, y en qué orden deben realizarse los cambios. Las posibles acciones correctivas son:
- Implementar cambia para prevenir el acceso adicional a la violación.
- Aislar los sistemas violados.
- Establecer contacto con el portador o el ISP en un intento de localizar el ataque.
- Usar los dispositivos de grabación para obtener pruebas.
- Desconectar los sistemas violados o la fuente de la violación.
- Comunicarse con la policía, u otros organismos gubernamentales.
- Apagar los sistemas violados.
- Restaurar los sistemas según una lista prioritaria.
- Notificación al personal legal administrativo interno.
| Sistema | Descripción | Nivel de riesgos | Tipos de usuarios |
|---|---|---|---|
| Switches ATM | Dispositivo del núcleo de red | Alto | Administradores para la configuración del dispositivo (equipo de soporte técnico solamente); Todos los otros para usar como transporte |
| Routeres de la red | Dispositivo de distribución de red | Alto | Administradores para la configuración del dispositivo (equipo de soporte técnico solamente); Todos los otros para usar como transporte |
| Switches de armario | Dispositivo de red de acceso | Medio | Administradores para la configuración del dispositivo (equipo de soporte técnico solamente); Todos los otros para usar como transporte |
| ISDN o servidores de marcación rápida | Dispositivo de red de acceso | Medio | Administradores para la configuración del dispositivo (equipo de soporte técnico solamente); Socios y usuarios con privilegios para el acceso especial |
| Firewall | Dispositivo de red de acceso | Alto | Administradores para la configuración del dispositivo (equipo de soporte técnico solamente); Todos los otros para usar como transporte |
| DN y servidores DHCP | Aplicaciones de Red | Medio | Administradores para configuración; Usuarios con privilegios y generales para el uso |
| Servidor externo de correo electrónico | Aplicación de red | Bajo | Administradores para configuración; Todos los otros para el transporte del correo entre Internet y el servidor de correo interno |
| Servidor interno de correo electrónico | Aplicación de red | Medio | Administradores para configuración; El resto de los usuarios internos para el uso |
| Bases de datos Oracle | Aplicación de red | Moderado o alto | Administradores para la administración del sistema; Usuarios con privilegios para las actualizaciones de los datos; Usuarios generales para el acceso de datos; Todos los otros para el acceso a los datos parciales |
No hay comentarios:
Publicar un comentario