Medidas de Seguridad

1- Analizar y definir cuales equipos requieren protección:

- Levantar un listado de los equipos y definir sus vulnerabilidades.

- Establecer el impacto económico o de otra índole en caso de que
cada equipo se vea afectado, desconectado o dañado.
- Establecer las prioridades en los equipos de mayor vulnerabilidad y/o
de mayor impacto.
- Crear planes de emergencia y de contingencia.
- Documentar los resultados de todos los puntos anteriores.

2- Establecer políticas con relación a los passwords:

- Considerarse la longitud mínima.

- Definir el uso de caracteres especiales, mayúsculas y números
- Definir cada cuanto se debe cambiar el password.
- Definir políticas de con respecto al bloqueo o cierre de cuenta al
ingresar una cantidad determinada de veces un password en forma
errónea.
- Determinar si los passwords pueden ser administrados por cada
usuario final o por personal de Tecnologías de Información o ambas.

3- Culturizar a todos los empleados de la empresa para un uso correcto de los

sistemas informáticos. Solicitar a los empleados lo siguiente:

- Informar al administrador de la red o al personal de TI cualquier

comportamiento irregular o reducción considerable de la red de
datos. Reportar retardos o falta de servicio al imprimir (en red), al
revisar correo electrónico, al accesar páginas en Internet o en la
Intranet, o cualquier otro acontecimiento irregular al del
comportamiento normal.
- Acatar las políticas y directrices establecidas en el plan de seguridad.
- Consultar siempre sobre correos electrónicos de dudosa procedencia
o con archivos adjuntos desconocidos.
- Instalar únicamente programas autorizados por el personal de
Tecnologías de Información de la empresa.
- Adicionalmente se recomienda el envío de correos informativos sobre
nuevas políticas de seguridad, nuevas actualizaciones, nuevos tipos
de amenazas y acciones por parte de TI para reducir el impacto.
 - Informar a los empleados sobre el Phishing y sobre los posibles
daños en caso de la divulgación de passwords u otra información
personal o empresarial

4- Con relación a los antivirus se recomienda:

- Adquirir un antivirus de reconocido prestigio a nivel mundial

- Instalar la misma versión de antivirus en todas las computadoras,
servidores y demás equipos terminales.
- Mantener la versión del listado y definiciones de virus al día.
- En grandes empresas se recomienda utilizar un servidor para
actualizar automáticamente todos los equipos.

5- Establecer las funciones de cada empleado en TI:

- Establecer cuales equipos puede manipular un determinado

empleado de TI.
- Mantener una bitácora física de cada acción realizada en relación a
los equipos (cambios de modelo, actualización de sistemas
operativos, reubicación y demás acciones que causen cambios
considerables en la topología original)
- Mantener un sitio seguro con los passwords y usernames de los
equipos principales de la red.
- Establecer, a lo sumo, un máximo de dos administradores con todos
los permisos.
- Definir los perfiles y permisos de cada funcionario de TI en forma
independiente.
- Establecer cuantos y cuales empleados tienen autorización para la
manipulación de equipos de telecomunicaciones (switches, routers,
access points, firewalls).

6- Realizar backups de las configuraciones:

- Almacenar en lugares seguros las configuraciones actuales,

preferiblemente en formato impreso.
- De ser posible, fotografiar los equipos y sus conexiones y
almacenarlas en sitios seguros.
- Esta información puede ser de utilidad contra un caso de
manipulación de los equipos en forma no autorizada.

7- Instalar equipo especializado de seguridad:

 - Instalación de firewalls. En grandes empresas. recomiendan firewalls
físicos. En empresas medianas y pequeñas se pueden utilizar
firewalls basados en software o aprovechar algún router existente
para implementar las funciones de firewall.
- Se recomienda implementar al menos uno de los siguientes servicios:
 Servidores proxy, donde se considere necesario
implementar. De pueden definir políticas en ancho de banda
y permisos para el uso de Internet o redes externas a la
empresa.
 Servidores AAA (Authentication, Authorization, Accounting)
puede utilizarse RADIUS (gratuito) o TACACS+ (propietario).
 Servidores SysLog, en empresas con gran cantidad de
equipos, de esta manera centralizar las bitácoras en un solo
punto de monitoreo.

9- Utilizar las características de seguridad en los equipos:

- Activar la característica de bitácora en los equipos y realizar un

chequeo periódico de los mismos.
- Cerrar o deshabilitar los servicios o protocolos en routers, firewalls u
otros equipos de la red que no se estén utilizando y puedan llegar se
ser utilizados para ataques (por ejemplo H.323, SIP, CDP, servicios
TCP, UDP, RTP, ICMP)
- Utilizar protocolos de seguridad al establecer VPNs tales como
IPSec, PPTP, L2TP.
- Utilizar el protocolo SSH (Security Shell) en lugar de Telnet.
- Utilizar NAT para ocultar las IPs de la empresa.
- Encriptar los enlaces utilizando esquemas de encripción reconocidos
tales como DES, 3DES o AES. Y utilizar al claves de al menos 128
bits.

10- Servicios nuevos (Líneas dedicadas, ADSL, G.SHDSL, RDSI-PRI):

- Planificar y diseñar debidamente la posición de los servicios nuevos.

- No instalar servicios nuevos sin su debida protección.
- Consultar con personal capacitado las posibles vulnerabilidades de
los servicios a instalar.
- Contratar empresas de reconocidas en caso de requerirse compra,
instalación, mantenimiento de los equipos internos de
telecomunicaciones.
- Informar al ICE cualquier problema experimentado con los servicios
ofrecidos.
11- Centro de conmutación o central telefónica (PBX).

- Restringir el acceso a redes internacionales o números 900 en las

extensiones de la central interna no autorizados.

- Las extensiones o usuarios con permisos especiales (llamadas

internacionales, 900s, llamadas entrantes o salientes) deben ser
autorizadas por la persona destinada para tal función; documentadas
y almacenadas en lugares seguros.

- El uso de PINs para el uso del servicio telefónico es altamente

recomendable en algunos casos.

- No colocar servicios telefónicos en sitios sin monitoreo o al alcance

de personas ajenas a la empresa.

- Establecer un plan de revisión frecuente de los registros (CDRs,

bitácora) que genera la central para verificar si existen llamadas no
autorizadas,

- En caso de llamadas internacionales, mantener documentación

actualizada de los destinos comunes de la empresa (países, números
de oficinas remotas, casas matrices, proveedores) y compararlo
periódicamente con los registros de la central. En caso de encontrar
diferencias de consideración, tomar las medidas del caso y seguir los
procedimientos definidos en el plan de seguridad.

- Restringir o eliminar categorías no utilizadas, como por ejemplo DISA

(Direct Inward System Access), que podrían ser utilizados por
usuarios no autorizados para realizar acciones fraudulentas,
inmorales y/o anti éticas a nombre de la empresa.

- Generar alarmas cuando detecten tráfico nacional o internacional

masivo en días y horas no hábiles.

- En caso de presentarse algún evento irregular al comportamiento

natural de la empresa informar inmediatamente al ICE.