Aspectos a considerar para gestionar la seguridad de datos:
o Implementacin de un modelo de seguridad en capas que pueden hacer
frente a las amenazas y vulnerabilidades. o Identificar las formas de almacenamiento de datos que usa la organizacin, y seleccione los controles de seguridad para proteger a cada tipo de almacenamiento. Identificar formas de encriptacin, as como permisos y ACL que se pueden implementar en prcticamente cada tipo de almacenamiento de datos. Para el almacenamiento basado en la nube, examinar las prcticas y las garantas (SLA, OLA) de seguridad del proveedor para asegurarse de que sus medidas de proteccin de datos corresponden a sus necesidades. o Implementacin de controles para proteger los datos que se encuentren ya sea en trnsito, en uso o en reposo. o Desarrollo y aplicacin de polticas de proteccin de los datos.
Aspectos
considerar
para
el
establecimiento
de
la
seguridad del navegador Web
Hardening en el equipo o dispositivo. Instalar todas las ltimas versiones de software y parches. Configurar las opciones de seguridad integradas en el software. Deshabilitar secuencias de comandos (de ser necesario). Desactivar funciones de almacenamiento de la contrasea y autocomplete o Instalar el software anti-malware. o o o o o
Aspectos a considerar para la gestin de seguridad de
aplicaciones o Establecimiento de lneas de base de configuracin de seguridad para las aplicaciones. Revisar peridicamente las aplicaciones para asegurarse de que se cumplen los niveles mnimos de seguridad. o Identificar las formas de endurecer las aplicaciones especialmente los navegadores web y poner en prctica todas las medidas que se
o o o
o o o
necesitan para maximizar la seguridad de las aplicaciones utilizadas
por su organizacin. Implementar un sistema de gestin de parches para las aplicaciones. Para aplicaciones que requieran la intervencin del usuario, aplicar controles de validacin de entrada. Para las aplicaciones cliente-servidor, considerar la implementacin de una combinacin de validacin en el cliente y la validacin en el servidor. Para aplicaciones de desarrollo propio, aplicar el manejo de excepciones y errores. Implementar mtodos para proteger contra ataques XSS y XSRF. Implementar medidas para proteger las bases de datos y las aplicaciones que dependen de sus datos.
Aspectos a considerar para establecer la seguridad de los
dispositivos: o Para los sistemas basados en software, endurecer el sistema operativo base para cerrar los agujeros de seguridad en los servicios que se ejecutan. o Para los sistemas basados en hardware, instalar las ltimas actualizaciones (firmware) para reducir problemas de seguridad conocidos. o Poner en prctica recomendaciones de seguridad del fabricante de software y hardware. o Implementar controles de acceso estrictos, uso de contraseas robustas. o Los archivos de configuracin de los equipos (Swichws, Router) mantenerlos en un lugar seguro. o Configure los filtros de entrada y salida para prevenir DoS. o Restringir el acceso a la red interna. o Implementar un protocolo de enrutamiento que admite la autenticacin, Protocolo de enrutamiento de gateway interior mejorado (EIGRP), o Open Shortest Path First (OSPF), para permitir un mayor nivel de seguridad y autenticacin y para ayudar a evitar cambios no autorizados en las tablas de enrutamiento.
o Proteger routers, VLAN, NAT, y otros dispositivos de interconexin de
redes con firewalls configurados correctamente. o No utilizar puertos conocidos y bloquear todos los puertos que no se necesiten o Colocar los servidores que as se requieran, en una zona desmilitarizada (DMZ). o Proteger a todos los dispositivos de interconexin de redes y medios de comunicacin de la red de acceso fsico no autorizado para evitar las escuchas telefnicas, el vandalismo y el robo. o Probar la funcionalidad de los sistemas despus del endurecimiento para asegurarse de que los servicios y los recursos requeridos son accesibles a los usuarios legtimos. o Documentar los cambios.
Aspectos a considerar para establecer la seguridad en los
host: o Exigir contraseas seguras para proteger mecanismos de recuperacin de contraseas, mantener las contraseas seguras, y para proteger las bases de datos de contraseas. o Poner en prctica recomendaciones de seguridad del fabricante de software y hardware. o Implementar antivirus, anti-spyware y el software anti-adware para proteger contra cdigo malicioso. o Desactivar los servicios innecesarios para evitar que los atacantes se aprovechen de ellos. o Restringir los permisos de acceso (mnimo privilegio). o Implementar polticas de seguridad para controlar, limitar o restringir la interaccin del usuario con el sistema. o Los servidores y dispositivos crticos, en ubicaciones con acceso fsico seguro (controles de acceso, registros, etc). o Plan de respaldo para proteger los datos sensibles. Copias de seguridad almacenadas fuera del sitio. o Prueba de la funcionalidad de los sistemas despus del endurecimiento para asegurarse de que los servicios y los recursos requeridos son accesibles a los usuarios legtimos.
o Utilizar herramientas de anlisis y auditora para detectar posibles
vulnerabilidades en sus sistemas. o Documentar los cambios.
Aspectos a considerar para gestionar la seguridad mvil:
o Familiarizarse con los diferentes tipos de dispositivos mviles y sistemas operativos. o Implementar un mecanismo centralizado para la gestin de dispositivos de la red. o Hacer cumplir el bloqueo de pantalla, introduccin de la contrasea, y otras caractersticas de acceso del dispositivo. o Desactivar caractersticas innecesarias. o Tener un plan para bloqueo y/o borrado seguro de datos en caso de robo, hurto y/o prdida del dispositivo. o Habilitar el cifrado del dispositivo, si est disponible. o Aplicar algn tipo de control de acceso a aplicaciones que se utilizan en los dispositivos. o Almacenamiento de datos debe ser restringido. o Mantener un registro e inventario de dispositivos. o Considerar las necesidades de sus empleados BYOD. o Considerar los aspectos legales de BYOD: propiedad de los datos, problemas de privacidad, y control del dispositivo. o Crear normas y reglamentos que los empleados deben acatar para el uso mvil, junto con las polticas corporativas. o Crear estrategias de concienciacin y capacitacin o Ajustar la arquitectura del sistema, segn sea necesario. o Implementar mecanismos del cifrado y gestin de contraseas. o Seleccionar los mtodos de autenticacin y sistemas de administracin de credenciales para mantener a los usuarios seguros. o Restringir lo que su aplicacin se comunica con y cmo.