Gestión estratégica de seguridad en la empresa - Anetcom

More documents

Recommendations

Info

56 • Proporcionar seguridad de los servicios ofrecidos. • Registrar y controlar los accesos que se han producido en el perímetro de la organización. Se deben considerar múltiples aspectos para diseñar una infraestructura perimetral segura, los factores claves a considerar deben ser: • Implementar una estrategia de seguridad basado en la defensa en profundidad. • Esto significa basar la seguridad en más de una tecnología o producto. • Utilizar las capacidades de seguridad que ofrecen los elementos que componen el perímetro (enrutadores, cortafuegos, detectores de intrusos, etc…). • Mantener una política de actualización de todas las tecnologías. • Implementar tecnología cortafuegos. • Segmentar el perímetro en zonas delimitadas y protegidas mediante la creación de zonas externas, zonas desmilitarizadas y zonas internas. • Utilizar la tecnología de traducción de direcciones (NAT) para ocultar el direccionamiento interno. • Implementar los servicios externos (web, cCorreo, etc.) en zonas desmilitarizadas securizadas y controladas. Implementando reglas de filtrado para estos servicios. • Implementar tecnología Proxy en los servicios comunes. • La tecnología Proxy proporciona un nivel de seguridad adicional evitando la exposición directa de los equipos internos con las redes externas. • Los servicios recomendados para aplicar la tecnología proxy son la navegación web y los servicios de mensajería.
• Utilizar el principio del “menor privilegio” en la política de accesos de la organización. • Por defecto se debe denegar todo si no está explícitamente permitido. • Las reglas de filtrado se deben basar en la necesidad de acceder. Los usuarios deben tener acceso a los servicios que tienen aprobados, denegando el acceso al resto de servicios. • Se utilizarán tecnologías de filtrado (enrutadores, firewalls, VLAN) para implementar la política de acceso. • Securizar y chequear cada componente después de su instalación, para asegurar que realiza la función para la que ha sido asignado. • Los componentes se deben instalar de forma securizada (deshabilitar servicios inseguros, securizar las comunicaciones, eliminar accesos por defecto, etc…), las instalaciones por defecto o malas configuraciones pueden producir agujeros de seguridad en la organización. • Chequear de forma periódica la configuración y las reglas de filtrado para detectar posibles errores de configuración en los componentes. • Realizar auditorías de forma periódica para detectar posibles problemas de seguridad en las infraestructuras. Una vez descritos los principales puntos a tener en cuenta en la securización del perímetro pasamos a describir las principales tecnologías que se están implantando en las empresas para proporcionar una seguridad inteligente y gestionada que nos permita tener un mayor nivel de confiabilidad y control en la seguridad dentro de nuestra organización. 2.4.3.1. Tecnología cortafuegos La tecnología fundamental en la defensa en profundidad son los cortafuegos. Esta tecnología nos va a permitir regular el tráfico de información en diferentes niveles y zonas, proporcionando una protección ante los ataques tanto internos como externos dependiendo de cómo despleguemos nuestra infraes- 57
Page 3 and 4:
Gestión Estratégica de Seguridad
Page 5 and 6:
Índice Prólogo 7 1. Introducción
Page 9 and 10: Prólogo La Seguridad de los Sistem
Page 13 and 14: Introducción Definitivamente era m
Page 15 and 16: Ilustración 1.- Seguridad de la In
Page 17 and 18: Dado el escenario planteado, en el
Page 19 and 20: que se enfrenta su organización, s
Page 21 and 22: fiduciarios y específicos de segur
Page 23 and 24: Ilustración 2.- El papel del Gobie
Page 25: sos humanos, tecnología, continuid
Page 28 and 29: 26 ción haga suya dicha política,
Page 30 and 31: 28 1. Definición del equipo de red
Page 32 and 33: 30 A la segunda de las preguntas se
Page 34 and 35: 32 les (ISO, NIST, etc.), así como
Page 36 and 37: 34 ¿Por qué incluir en un inventa
Page 38 and 39: 36 2.2.3. El riesgo como factor de
Page 40 and 41: 38 2.2.4. Algunas realidades en la
Page 42 and 43: 40 Cuando se aborda la determinaci
Page 44 and 45: ◆ 42 dicho análisis debe ser val
Page 46 and 47: 44 Su objetivo es por tanto prioriz
Page 48 and 49: 46 que a través del Plan Director
Page 50 and 51: 48 El último aspecto que se debe r
Page 52 and 53: 50 • La gestión. • Los sistema
Page 54 and 55: 52 • Existen varias líneas de de
Page 56 and 57: 54 La política de mantenimiento de
Page 60 and 61: 58 tructura de cortafuegos, segment
Page 62 and 63: 60 • Dispositivos móviles accedi
Page 64 and 65: 62 • Accesos remotos (redes priva
Page 66 and 67: 64 Estas tecnologías suelen trabaj
Page 68 and 69: 66 de la continuidad se ha converti
Page 70 and 71: 68 ción y los recursos necesarios
Page 72 and 73: 70 ble de servicio estima que la en
Page 74 and 75: 72 Ilustración 14.- Priorización
Page 76 and 77: 74 la intimidad personal y familiar
Page 78 and 79: 76 Gestión de incidencias Control
Page 80 and 81: 78 • Los precios de los productos
Page 82 and 83: 80 para la realización de las audi
Page 84 and 85: 82 Si lo deseado es un resultado ho
Page 86 and 87: 84 le queda en el depósito o si ha
Page 88 and 89: 86 los indicadores y métricas de s
Page 90 and 91: 88 En definitiva, el Cuadro de Mand
Page 92 and 93: 90 Otro caso especialmente relevant
Page 94 and 95: 92 • Certificaciones de Seguridad
Page 96 and 97: 94 • ISO/IEC 27001 se centra en l
Page 98 and 99: 96 pero que no sabe si se está rea
Page 100 and 101: 98 económicos. Por ello, es fundam
Page 102 and 103: 100 esta fase se encarga también d
Page 104 and 105: 102 COBIT® parte de un concepto se
Page 106 and 107: ◆ 3.3. Gestión de Servicios TI:
Page 108 and 109:
106 1. Alcance. 2. Términos y defi
Page 111:
• ISO 17799 • COBIT • ISO 270
show all

Gestión estratégica de seguridad en la empresa - Anetcom

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?