Consejos en Seguridad TI : Parte I

Aca les va una lista de buenas practicas en seguridad TI.

El presente post tiene como objetivo ofrecer consejos prácticos a las problemáticas comunes relacionadas a la seguridad de las tecnologías de información, detectadas en las PYMES, donde los ambientes heterogéneos son una realidad recurrente. No profundizamos en el tema de seguridad informática, ya hay bastantes bdocumentos al respecto, y muchos especializados en las diversas áreas que comprende este tema. Tampoco se habla de las ventajas o desventajas del software libre versus software propietario, ya que también se ha debatido bastante al respecto.

Sin profundizar en terminología teórica, se presentan consejos y herramientas de software libre que auxilian en estas tareas. Desgraciadamente la experiencia indica que es más cómodo "vivir en la ignorancia", que enfrentar un tema aparentemente "complicado" e “incómodo”, por lo que les invito a involucrarse. El tema de la seguridad TI es un tema que por su importancia, para la continuidad de la operación de las empresas, tiene que ser considerado por empresarios, directores, gerentes, profesionales TI y todo los involucrados del negocio.

Cajas de Arena 
 
Muchas veces nos vemos obligados a descargar algún programa de dudosa procedencia, e instalarlo. Cuantas veces hemos tenido que “formatear nuestras computadoras”, debido a que se han “llenado de basura” o “se ha corrompido la configuración”, debido a la multitud de programas que instalamos y desinstalamos.
Para evitar estas situaciones, existen herramientas que permiten “aislar” cualquier actividad que realice un programa sobre nuestra computadora. Entre estos tenemos Sandboxie y Altiris Software Virtualization Solution (SVS, ahora parte de Symantec). Dependiendo de la necesidad, inclusive podemos crear una “computadora virtual” dentro de nuestra computadora, y ahí hacer todas las pruebas que necesitemos, para este tema VirtualBox o VMWare son programas que emulan ser una computadora donde podemos definir memoria, discos duros, e instalar algún sistema operativo, arrancarlo, apagarlo, etc. Sumamente útiles si queremos probar alguna distribución de Linux, sin tener que formatear nuestra computadora. Completadas
nuestras pruebas, simplemente borramos la “computadora virtual”, y nuestra computadora seguirá intacta.

Virus, Antivirus, Firewalls

Hay múltiples productos antivirus en el mercado, para diferentes necesidades y tamaño de empresas. Antivirus que se instalan directamente en los servidores que manejan los correos electrónicos y las comunicaciones o en las computadoras de los usuarios (con la correspondiente carga que representan).
Para protección de toda la red, existen soluciones integrales de software libre que además de proveer protección, permiten el filtrado de contenido, balancear el uso de los recursos, etc. La empresa “Endian” ofrece su “Community Firewall”, para aquellos profesionales TI que quieran probar una solución completa de cortafuegos para nuestra red.Para protección de computadoras personales “Filseclab Personal Firewall Professional Edition for Windows”, a pesar de no ser el más intuitivo para los usuarios finales, es muy útil para que los profesionales TI sepan qué programas y hacia dónde envían información a Internet. La configuración se puede definir, y se puede replicar en las computadoras de los usuarios.

En el tema de antivirus, ClamAV se ha destacado para la protección de nuestros servidores, Kapersky nos presenta un antivirus para terminales de trabajo Linux y servidores, mientras que Avira ofrece buena protección para Windows y AVG inclusive ofrece un disco de rescate (basado en Linux), para desinfectar computadoras con Windows.

Navegación Anónima

Aunque no necesariamente sea de las cosas que utilizaremos en el día a día para proteger la infraestructura TI de nuestra empresa, existen dos herramientas sumamente interesantes para la protección de nuestra privacidad en la red:
FreeNet es un proyecto que nos permite conectarnos a una red encriptada de computadoras que comparten información.
Tor es otra herramienta de software libre que nos permite navegar en la red a través de otras computadoras, a finde que  nuestras consultas viajen por otros caminos, y man-tenernos anónimos.
Estas herramientas son muy útiles en países donde la libertad de expresión está siendo truncada por los gobiernos y/o los proveedores de servicios de Internet.

Manejo de Contraseñas

En un mundo TI ideal, sólo habría una contraseña que identifique al usuario, y que a través de esta autentificación se pudiera acceder a todos los servicios disponibles en la infraestructura TI. Sin embargo, la realidad en las PYMES es otra. A veces se requiere tener una contraseña para cada servicio: una para el correo electrónico, una para el sistema de nómina, una para el sistema de producción, una para acceder a los bancos, una para la mensajería instantánea, etc.Tanto el software libre como las soluciones no libres ofrecen mecanismos y estrategias para simplificar estos escenarios, por ejemplo la autentificación a través de directorios como LDAP, Active Directory, etc. Pero como dice el dicho, "la cadena se rompe por el eslabón más débil"... y en la seguridad TI, el eslabón más débil algunas veces es el usuario y las contraseñas que utiliza.

Desde acciones irresponsables como dejarlas escritas en un "pedazo de papel" pegadas al monitor, hasta usar contraseñas tan sencillas que cualquier persona cercana al usuario puede adivinarlas. Hay muchos mecanismos que nos ayudan a evitar el problema de la administración de contraseñas, sin embargo muchos implican esfuerzos y cambios en la infraestructura TI que usualmente no son aceptados. Como alternativa, casi siempre recomiendo el uso de "Claves Físicas". Le llamo "Claves Físicas" a las contraseñas que generan los usuarios, a través del movimiento "aleatorio", pero "repetitivo" de las manos sobre el teclado. En vez de verbalizar una palabra, la idea es generar una contraseña escribiendo caracteres aleatorios, pero que para el usuario correspondan a un movimiento familiar sobre el teclado, algo repetitivo que puedan recordar como movimiento de las manos, no como una palabra. Ventajas: generas contraseñas no identificables con técnicas de diccionario, desventajas: requiere movimiento rápido de la mano, y representa un enfoque diferente a lo que están acostumbrados los usuarios.

Encriptación

Encriptación es la codificación de nuestra información en un “dialecto” que no sea legible por terceros, al menos que compartamos la “contraseña” para “decodificarlo”. En las PYMES, se mueve mucha información sensible en equipos portátiles, lo cual se vuelve una vulnerabilidad si uno de estos equipos es robado o perdido.
Suponga que le roban la laptop al director de finanzas. Este tipo de ataques es común y en el mejor de los casos el atacante solamente estará interesado en el hardware, formatearlo y revenderlo. Sin embargo, si la intención es extraer información, estamos en problemas. Una alternativa que tenemos es encriptar los discos duros, de tal manera que no sea posible leerlos a pesar de que no hayan sido borrados. TrueCrypt nos ofrece esta posibilidad, desde proteger “contenedor de archivos”, particiones, e inclusive el disco duro completo. También se aplica en la protección de memorias USB.

Bueno creo que esto termina nuestra primera parte, pronto posteare la segunda.

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
 

Blogroll

Xgil :: Las noticias que estan dando de que hablar ¡Haz click y Vota este sitio en TOP-WEBS.com!! Vota esta web!! Directorio de Enlaces Mi Ping en TotalPing.com BritBlog Agregar Web - Directorio de webs directorio de blogs Promovado de My Enlaces Blogs XL Directorio Web Sitiopedia anuncios gratis altaendirectorios directorio de blogs Alta en directorios blogs Blogs Vuelos Baratos Directorio Webs
Estadisticas y contadores web gratis