Aspectos a considerar para gestionar la seguridad de datos:

o Implementacin de un modelo de seguridad en capas que pueden hacer

frente a las amenazas y vulnerabilidades.
o Identificar las formas de almacenamiento de datos que usa la
organizacin, y seleccione los controles de seguridad para proteger a
cada tipo de almacenamiento.
Identificar formas de encriptacin, as como permisos y ACL que
se pueden implementar en prcticamente cada tipo de
almacenamiento de datos.
Para el almacenamiento basado en la nube, examinar las
prcticas y las garantas (SLA, OLA) de seguridad del proveedor
para asegurarse de que sus medidas de proteccin de datos
corresponden a sus necesidades.
o Implementacin de controles para proteger los datos que se encuentren
ya sea en trnsito, en uso o en reposo.
o Desarrollo y aplicacin de polticas de proteccin de los datos.

Aspectos

considerar

para

el

establecimiento

de

la

seguridad del navegador Web

Hardening en el equipo o dispositivo.
Instalar todas las ltimas versiones de software y parches.
Configurar las opciones de seguridad integradas en el software.
Deshabilitar secuencias de comandos (de ser necesario).
Desactivar funciones de almacenamiento de la contrasea y autocomplete
o Instalar el software anti-malware.
o
o
o
o
o

Aspectos a considerar para la gestin de seguridad de

aplicaciones
o Establecimiento de lneas de base de configuracin de seguridad para
las aplicaciones. Revisar peridicamente las aplicaciones para
asegurarse de que se cumplen los niveles mnimos de seguridad.
o Identificar las formas de endurecer las aplicaciones especialmente los
navegadores web y poner en prctica todas las medidas que se

o
o
o

o
o
o

necesitan para maximizar la seguridad de las aplicaciones utilizadas

por su organizacin.
Implementar un sistema de gestin de parches para las aplicaciones.
Para aplicaciones que requieran la intervencin del usuario, aplicar
controles de validacin de entrada.
Para las aplicaciones cliente-servidor, considerar la implementacin de
una combinacin de validacin en el cliente y la validacin en el
servidor.
Para aplicaciones de desarrollo propio, aplicar el manejo de excepciones
y errores.
Implementar mtodos para proteger contra ataques XSS y XSRF.
Implementar medidas para proteger las bases de datos y las
aplicaciones que dependen de sus datos.

Aspectos a considerar para establecer la seguridad de los

dispositivos:
o Para los sistemas basados en software, endurecer el sistema operativo
base para cerrar los agujeros de seguridad en los servicios que se
ejecutan.
o Para los sistemas basados en hardware, instalar las ltimas
actualizaciones (firmware) para reducir problemas de seguridad
conocidos.
o Poner en prctica recomendaciones de seguridad del fabricante de
software y hardware.
o Implementar controles de acceso estrictos, uso de contraseas
robustas.
o Los archivos de configuracin de los equipos (Swichws, Router)
mantenerlos en un lugar seguro.
o Configure los filtros de entrada y salida para prevenir DoS.
o Restringir el acceso a la red interna.
o Implementar un protocolo de enrutamiento que admite la autenticacin,
Protocolo de enrutamiento de gateway interior mejorado (EIGRP), o
Open Shortest Path First (OSPF), para permitir un mayor nivel de
seguridad y autenticacin y para ayudar a evitar cambios no
autorizados en las tablas de enrutamiento.

o Proteger routers, VLAN, NAT, y otros dispositivos de interconexin de

redes con firewalls configurados correctamente.
o No utilizar puertos conocidos y bloquear todos los puertos que no se
necesiten
o Colocar los servidores que as se requieran, en una zona
desmilitarizada (DMZ).
o Proteger a todos los dispositivos de interconexin de redes y medios de
comunicacin de la red de acceso fsico no autorizado para evitar las
escuchas telefnicas, el vandalismo y el robo.
o Probar la funcionalidad de los sistemas despus del endurecimiento
para asegurarse de que los servicios y los recursos requeridos son
accesibles a los usuarios legtimos.
o Documentar los cambios.

Aspectos a considerar para establecer la seguridad en los

host:
o Exigir contraseas seguras para proteger mecanismos de recuperacin
de contraseas, mantener las contraseas seguras, y para proteger las
bases de datos de contraseas.
o Poner en prctica recomendaciones de seguridad del fabricante de
software y hardware.
o Implementar antivirus, anti-spyware y el software anti-adware para
proteger contra cdigo malicioso.
o Desactivar los servicios innecesarios para evitar que los atacantes se
aprovechen de ellos.
o Restringir los permisos de acceso (mnimo privilegio).
o Implementar polticas de seguridad para controlar, limitar o restringir la
interaccin del usuario con el sistema.
o Los servidores y dispositivos crticos, en ubicaciones con acceso fsico
seguro (controles de acceso, registros, etc).
o Plan de respaldo para proteger los datos sensibles. Copias de seguridad
almacenadas fuera del sitio.
o Prueba de la funcionalidad de los sistemas despus del endurecimiento
para asegurarse de que los servicios y los recursos requeridos son
accesibles a los usuarios legtimos.

o Utilizar herramientas de anlisis y auditora para detectar posibles

vulnerabilidades en sus sistemas.
o Documentar los cambios.

Aspectos a considerar para gestionar la seguridad mvil:

o Familiarizarse con los diferentes tipos de dispositivos mviles y
sistemas operativos.
o Implementar un mecanismo centralizado para la gestin de dispositivos
de la red.
o Hacer cumplir el bloqueo de pantalla, introduccin de la contrasea, y
otras caractersticas de acceso del dispositivo.
o Desactivar caractersticas innecesarias.
o Tener un plan para bloqueo y/o borrado seguro de datos en caso de
robo, hurto y/o prdida del dispositivo.
o Habilitar el cifrado del dispositivo, si est disponible.
o Aplicar algn tipo de control de acceso a aplicaciones que se utilizan en
los dispositivos.
o Almacenamiento de datos debe ser restringido.
o Mantener un registro e inventario de dispositivos.
o Considerar las necesidades de sus empleados BYOD.
o Considerar los aspectos legales de BYOD: propiedad de los datos,
problemas de privacidad, y control del dispositivo.
o Crear normas y reglamentos que los empleados deben acatar para el
uso mvil, junto con las polticas corporativas.
o Crear estrategias de concienciacin y capacitacin
o Ajustar la arquitectura del sistema, segn sea necesario.
o Implementar mecanismos del cifrado y gestin de contraseas.
o Seleccionar los mtodos de autenticacin y sistemas de administracin
de credenciales para mantener a los usuarios seguros.
o Restringir lo que su aplicacin se comunica con y cmo.