Mejores prácticas para redes de datos/Equipo de Seguridad
El Equipo de Seguridad
editar
Las funciones principales de un equipo de seguridad son la prevención, la práctica y la respuesta.
La “prevención” se enfoca en establecer y revisar las políticas de seguridad de la empresa. El equipo de seguridad de de revisar, como mínimo, una vez al año tanto el análisis de riegos y las políticas de seguridad de la empresa.
Durante la “práctica”, el equipo de seguridad conduce un análisis de riesgo, la aprobación de las peticiones de cambio a la seguridad, revisa las alertas de seguridad de tanto distribuidores y empresas especializadas y transforma los requerimientos de políticas de seguridad presentadas en un idioma llano a implementaciones técnicas especificas.
Por último, durante la “respuesta”, los miembros del equipo de seguridad diagnostican y resuelven tales violaciones de seguridad.
El equipo de seguridad debe de constar de personal proveniente de cada una de las áreas operacionales de su empresa y deben de ser encabezados por un Administrador de Seguridad.
Cada miembro del equipo de seguridad debe de conocer a detalle las características de seguridad que provee el equipo en su área operacional.
Quienes forman parte del equipo de seguridad, deben de estar consientes de la política de seguridad y los aspectos técnicos del diseño e implementación de la seguridad.
Aun cuando se han definido las responsabilidades del equipo de seguridad en general, también es necesario definir los papeles y responsabilidades individuales de los miembros del equipo de seguridad de acuerdo a las políticas de seguridad específicas de la empresa.
- Prevención
- La prevención se consta de dos partes:
- Aprobación de Cambios
- Monitoreo de Seguridad
- La prevención se consta de dos partes:
- Aprobación de Cambios
- Los cambios en la seguridad son aquellos cambios en los equipos de red que tienen un posible impacto en la seguridad general de la red. La política de seguridad debe de identificar requerimientos específicos de configuración de seguridad en términos no técnicos. Se necesita definir un conjunto único de requerimientos para cada organización.
- Se recomienda que el equipo de seguridad revise los siguientes tipos de cambios:
- Cualquier cambio a la configuración del Firewall
- Cualquier cambio a la lista de control de acceso (ACL)
- Cualquier cambio a la configuración del Protocolo de Administración de Red Simple (SNMP)
- Cualquier cambio o actualización en el software que difiera de la lista aprobada de nivel de software.
- Se recomienda que el equipo de seguridad revise los siguientes tipos de cambios:
- También se recomienda la implementación de las siguientes guías:
- El cambio rutinario de contraseñas al los dispositivos de red
- Permitir el acceso a los dispositivos de red a solo una lista de aprobada de personal.
- Asegurase de que los niveles de revisión de software actuales de los equipos de red y entornos de servidor estén en cumplimiento con los requerimientos de configuración de seguridad.
- También se recomienda la implementación de las siguientes guías:
- Monitoreo de Seguridad
- El monitoreo de seguridad es similar al monitoreo de red, excepto que se enfoca en detectar cambios en la red que indiquen una violación de seguridad. El punto de inicio de un monitoreo de seguridad es determinar cuál es la violación. En el análisis de riesgos se identificó el nivel de monitoreo requerido basado en la amenaza al sistema. En la aprobación de los cambios de seguridad se definieron las amenazas especificas de la red, al tomar en cuenta ambos parámetros obtendremos una imagen clara de lo que se necesita ser monitoreado y que tan seguido.
- Las políticas de seguridad deben de mencionar a quien se debe de notificar sobre las violaciones de seguridad, por lo general, el equipo de seguridad.
- Respuesta
- La respuesta se puede dividir en tres partes:
- Violaciones de seguridad
- Restauraciones
- Revisiones.
- La respuesta se puede dividir en tres partes:
- Violaciones de Seguridad
- Cuando una violación de seguridad es detectada, el que tan rápida sea nuestra respuesta, determina la extensión de la intrusión.
- La primera acción después de la detección de una intrusión es notificar al equipo de seguridad.
- Es necesario definir un proceso en las políticas de seguridad el cual esté disponible 24 horas al día 7 días a la semana.
- A continuación debe definir el nivel de autoridad que recibirá el equipo de seguridad durante un ataque para hacer cambios, y en qué orden los cambios deben ser realizados.
- Asegúrese de detallar cualquier cambio que pueda ser realizado sin aprobación administrativa en la póliza de seguridad.
- Por último existen dos razones para acumular y mantener información durante un ataque de seguridad:
- Para determinar la extensión a la cual el sistema ha sido comprometido
- Para perseguir violaciones extrañas.
- Por último existen dos razones para acumular y mantener información durante un ataque de seguridad:
- Para determinar la extensión de la violación, es necesario hacer lo siguiente:
- Grabar el evento obteniendo un rastreo con sniffers de su red, copias de los archivos de registro, cuentas de usuario activas y conexiones de red.
- Limite compromisos adicionales al deshabilitar cuentas, desconectando equipos de su red y desconectando del internet.
- Respalde el sistema comprometido para auxiliar en un análisis detallado del daño y el método de ataque.
- Busque otros signos de compromiso. Por lo general cuando el sistema es comprometido, existen otros sistemas o cuentas involucradas.
- Mantener y revisar los archivos de registro de los dispositivos de seguridad y archivos de registros de monitoreo de red, ya que estos por lo general proveen pistas del método de ataque.
- Para determinar la extensión de la violación, es necesario hacer lo siguiente:
- Si se tiene interés en tomar acción legal es necesario que el departamento legal revise los procesos para la acumulación de información e involucración de las autoridades. Tales revisiones incrementan la efectividad de la evidencia en procesos legales. Si la violación fue interna en naturaleza, contacte al departamento de recursos humanos.
- Restauración
- La meta final de una respuesta rápida a una violación de seguridad es la restauración de la operación normal de red
- La política de seguridad debe de definir como se conducirá, asegurará y se harán disponibles respaldos normales. Si cada sistema tiene sus propios medios y procesos de respaldo, la política de seguridad debe detallar para cada sistema las condiciones de seguridad que requieren la restauración desde el respaldo.
- Revisión
- La “revisión” es el último paso para crear y mantener una póliza de seguridad. Existen tres cosas que se deben realizar para esto:
- Políticas
- Posturas
- Prácticas.
- La “revisión” es el último paso para crear y mantener una póliza de seguridad. Existen tres cosas que se deben realizar para esto:
- Una política de seguridad debe de ser un documento adaptable un entorno continuamente cambiante.
- La “postura” de la red se debe de comparar con la postura de seguridad deseada. Una firma externa que se especialice en seguridad puede intentar penetrar la red y probar no solamente la postura de la red sino también la respuesta de seguridad de su organización. Para redes de alto tráfico, se recomienda realizar estas pruebas anualmente.
- Las “practicas” son las pruebas o simulacros que lleva cabo el equipo de soporte para asegurar que se sabe lo que se debe de hacer durante una violación de seguridad.
- Dichas “pruebas” se ejecutan conjunto con la prueba de postura de red.