<$BlogRSDURL$>
Information Security Management for Users
martes, enero 27, 2004
  Navegando con Google, he encontrado en un blog vecino, un resumen de las Jornadas que el Ministerio de Ciencia y Tecnología dedicó en noviembre del 2003 a la Certificación de la Seguridad. A continuación, os posteo los comentarios que en este blog recogen lo hablado en las jornadas.

Otro día, dedicaré mas tiempo a hablar de la ISO 17799-1 y los sistemas de gestión de la seguridad de la información.

Salu2


"Diario de Sesiones

Hoy el MCYT nos ha convocado en las intalaciones del CSIC (los listos que cuidan de que el árbol de la ciencia crezca sano y frondoso en nuestro país) y nos ha convocado para una jornada divulgativa , planteada también como punto de encuentro de la industria relacionada con la certificación de la seguridad de la información. Se trata de una iniciativa que se enmarca dentro de la directriz de seguridad del plan para el desarrollo de la sociedad de la información (SI) Espańa.es. De modo que, con el habitual retraso de siempre, nuestro estimado colega, Jorge Pérez Martínez nos ha dirigido unas palabras, a modo de apertura, donde insistía en la importancia de la seguridad de la información que circula por las redes y del creciente grado de dependencia que vamos asumiendo a medida que avanzamos en el desarrollo de esa SI. Y hacía hincapié en dos cosas: la percepción de confianza, como factor indispensable para que la sociedad civil acepte la implantación efectiva de ese nuevo modelo de sociedad basada en el conocimiento y en una capacidad de interacción ilimitada; y la necesaria participación del tejido empresarial que definir los mecanismos y estándares (en el sentido de las buenas prácticas) que permitan esa percepción. Evidentemente, Jorge, como buen profesional, metido en su nuevo papel, no perdió la ocasión para vender el proyecto de Firma Digital, y el DNI Digital, que se espera entre en piloto pronto.

La mańana se organizaba en torno a dos mesas redondas: la primera, formada por las entidades de certificación, pretendía dar el enfoque normativo; mientras que la segunda, formada por representantes del mundo empresarial, pretendía mostrar la realidad de la certificación desde el mundo real, de la competencia empresarial.

Después de las dos mesas, se cerraba la programación con la visión de la Administración Pública, en base a las ponencias, por un lado del Ministerio, y por otra del CNI.

Antes de la primera mesa, vimos como las expectativas de cumplimiento con el horario previsto se diluían lentamente a lo largo de tres ponencias previas. En la primera, la entidad acreditadora a nivel nacional, ENAC, nos intentaba ilustrar el esquema que siguen los procesos de acreditación y certificación en Espańa y en Europa, y nos daba una idea del cuerpo normativo con el que se cuenta actualmente para abordar la certificación de los sistemas de gestión de los sistemas de información, situándonos en su contexto la norma estrella del día: la BS-7799, originaria de la BSI, acreditada por UKAS (el análogo de ENAC en el Reino Unido).

La siguiente ponencia, a cargo de un chaval de Marketing del BSI, ahondó más en la BS-7799, insistiendo más en la separación, ya introducida por la representante de ENAC, entre la parte 1 de la norma, convertida ya en 1999 en el estándar internacional ISO/IEC 17799-1, y que básicamente contiene un conjunto de buenas prácticas para la gestión de la seguridad de la información (127 criterios divididos en 10 temáticas), y la parte 2, que es donde realmente se certifican los procesos y la implantación de los mismos en la operación de la empresa. Es aquí donde comienza el discurso comercial vendiendo esta parte de la norma prácticamento como un estándar de facto y haciendo hincapié en el éxito que está teniendo en los paises asiáticos, aprovechando su enfoque de búsqueda de la integración con otras normas de certificación de sistemas de gestión, como la ISO 9000 y la ISO 14000.

A continuación, un representante de AENOR, detalló un poco más el cuerpo normativo existente en nuestro país... A destacar la UNE 71501, y lo que todavía es PNE 71502 (que se espera UNE a fin de ańo). Más de lo mismo, con la misma efectividad: ni siquiera estoy seguro de esos dos números.

Más interesante resultó la presentación de ASIMELEC, con los resultados más relevantes de su informe sobre la adopción de sistemas de seguridad en la empresa espańola: sobre la base de una encuesta de 140 preguntas, realizada sobre un universo de 52 empresas, se vertía una visión francamente pesimista () donde se destacaba la baja adopción de tecnologías de seguridad que se consideraban ampliamente difundidas y, sobre todo, la falta de una cultura orientaba a la actuación proactiva, que nos llevaba a bajos niveles de adopción incluso en temas de conformidad legal, como la LOPD.

Resultó bastante clarificadora la exposición de un chaval, con acento canario y apellido nórdico, que en representación de Applus+ nos contó la situación en que se encontraba el desarrollo de lo que será, algún día, el ISO/IEC 17799-2, a partir de los trabajos del SC27. Lejos de confirmar los deseos del BSI, dando por hecho el que era sólo cuestión de tiempo el que se lanzara un Fast Track para la adopción directa de la BS 7799 parte 2, se ha decidido hacerlo por la vía del Normal Track (5 ańos) y sobre la base de un estudio preliminar de varias de las normas existentes, una de las cuales es la BS 7799-parte-2, siendo otra de las destacadas una norma del NIST norteamericano que presenta la peculiaridad de no ser compatible con ISO 9000 o ISO 14000.

Esta presentación ya resaltaba el tema de la tendencia integradora de los sistemas de certificación; muy deseable a priori desde el punto de vista de las empresas, que deben afrontar las auditorías correspondientes a diferentes certificaciones de sistemas de gestión, con lo que ello comporta en cuanto a la asignación de recursos y su productividad.

La mesa se cerraba con la intervención de un representante del INTA, que hizo un intento de exposición de lo que significa el CommonCriteria y sus orígenes; y digo intento, porque lo que casi consiguió es dormirnos a todos leyendo una serie de transparencias en un fondo azul soporífero... Sin embargo seńaló una cuestión que se había obviado, y que sin embargo es fundamental: Toda la normativa sobre la que giraban las jornadas estaba destinada a la certificación de sistemas de gestión en general, y de sistemas y seguridad de la información en particular; y no a la certificación de la implantación de esos sistemas...

Un breve receso para el café dio paso a la segunda mesa, donde un chaval de EADS-CASA exponía más o menos claramente el proceso que se sigue en la evaluación, certificación y acreditación de la seguridad de los sistemas de información en la industria. Más enriquecedora, y esperada, fue la exposición del representante de Ericsson Espańa, puesto que presentaba el único caso de una empresa en este país en posesión de la certificación BS 7799-2:2002 (La última Revición del BSI). Un caso práctico que se reveló como una respuesta a una necesidad del mercado. En este caso Ericsson quería certificar la seguridad de los algoritmos que las operadoras les confiaban bajo la custodia de su oficina del AUC de su centro de I+D de Madrid. Un caso que destacaba dos puntos: la importancia de la definición del alcance en un proyecto de certificación, y el valor de la certificación como ventaja competitiva, y por tanto su utilización como argumento de venta.

Cerrando la segunda mesa, la directora general de Finmatica Espańa, daba la visión desde el Management moderno relacionando la certificación con la cobertura de la necesidad de cuantificación que surge al integrar la seguridad al mismo nivel que la calidad dentro de los sistemas de gestión de la empresa... Insistía esta mujer en una idea que casí todos los ponentes habían dejado sobre la mesa: LA SEGURIDAD NO ES UN PRODUCTO, SINO UN PROCESO, con todo lo que eso implica al considerarla dentro del sistema de gestión. Me refiero a la necesidad de un esfuerzo de comunicación a todos los niveles, el compromiso explícito de la Dirección, la necesidad de mejora contínua.

Al final, el autor de estas líneas, indignado ante la falta de seriedad en la programación del tiempo (un fallo recurrente, inaceptable de todo punto) optó por desaparecer e irse a compartir mesa y mantel con otro segmento del tejido empresarial del país... La visión del Ministerio de Administraciones Públicas y del CNI habrá que deducirla del material presentado.

Punto de reflexión: La tendencia a la integración de los estándares de certificación de sistemas de gestión y su relación con el valor como ventaja competitiva de los certificados, así como su efecto en el mercado de confianza (impacto en los distintos actores: auditores, consultores, certificadores, acreditadores, y comercializadores de las normas como BSI).

Enlaces que hay que visitar: el sitio de asimelec, el portal del BSI sobre la BS-7799-2:2002 y la Web del MCYT, donde se podrán descargar en breve las presentaciones de las diferentes ponencias.



# posted by ANTONIO : 1:01 AM"
Blog de Antonio relacionado con las TIC y la empresa 
lunes, enero 26, 2004
  Este es el documento rector de la seguridad de Microsoft.
Personalmente, creo que está muy bien planteado, ya que determina el por qué la seguridad de la información es importante, y establece cual es el rumbo que a adoptado Microsoft en este tema. Además, justifica todos estos hechos en base a un análisis del riesgo de sus sistemas, y una definición clara de la misíón y objetivos, respecto a la seguridad informática, que Microsoft tiene.

Security at Microsoft
 
  En esta página se recogen algunos consejos de seguridad, para garantizar una mínima protección cuando se navega.
Consejos de Seguridad para usuarios en la Red

Aunque fué un propósito de a?o nuevo, todavía no he conseguido elaborar un documento ilustrativo sobre el cómo protegernos, en base a un análisis dde riesgos sencillo. Con este documento, pretendo hacer ver cuales son los fuegos más importantes que deben apagarse a la hora de conectar un ordenador a Internet, y justificar cada medida de forma razonada. A ver si algún dia saco tiempo... 
jueves, enero 08, 2004
  Microsoft publica en su Web para usuarios XP unas recomendaciones básicas a utilizar para garantizar la seguridad del PC. Está disponible en la siguiente dirección:
Cheklist de seguridad para la configuración de la seguridad en entornos XP


A continuación, se resume el contenido del Web:

"Seguridad con Windows XP - lista de puntos a comprobar

Esta lista de puntos a comprobar resume los pasos que debe seguir para lograr un adecuado nivel de seguridad con Windows XP Professional, tanto en instalaciones autónomas como dentro de un dominio de Windows 2000 o Windows NT.

IMPORTANTE:

El propósito de esta lista de puntos a comprobar es el de dar instrucciones para configurar un nivel básico de seguridad para ordenadores con Windows XP. Esta guía no ofrece una lista de todas las funciones de seguridad incorporadas en Windows XP, o de su forma de uso. Hay una lista completa de las funcionalidades de seguridad disponibles en Windows XP en el sitio web de Microsoft. Esta lista de chequeo contiene información sobre modificaciones en el Registro. Antes de editar el Registro, asegúrese de que sabe cómo recuperar la situación anterior en caso de surgir algún problema. Para más información acerca de cómo hacer esto, lea la ayuda en línea del Editor del Registro.

Configuración de Windows XP Professional

Pasos
1.- Verificar que todas las particiones de disco están formateadas con NTFS
2.- Proteger adecuadamente las carpetas compartidas
3.- Utilizar la función Conexión Compartida a Internet para conexiones compartidas a Internet
4.- Habilitar la función de Firewall para la Conexión a Internet
5.- Utilizar las políticas de restricción de software
6.- Utilizar passwords para las cuentas de usuario
7.- Deshabilitar los servicios no necesarios
8.- Deshabilitar o eliminar las cuentas de usuario innecesarias
9.- Asegurarse de que la cuenta Invitado está desactivada
10.- Implantar políticas de password estrictas
11 .-Implantar políticas de bloqueo de cuenta estrictas
12.- Instalar software antivirus y actualizarlo adecuadamente
13.- Mantenerse al día con las últimas actualizaciones de seguridad

Detalles - lista de puntos a comprobar de la configuración de Windows XP

Asegurarse de que todas las particiones de disco están formateadas con NTFS
Las particiones NTFS ofrecen controles de acceso y protección que no existen en los sistemas de archivos FAT, FAT32 o FAT32x. Compruebe que todas las particiones de disco de su ordenador están formateadas con NTFS. Si es preciso, utilice el programa Convert para transformar sus particiones FAT en NTFS sin destruir los datos.

Proteger las carpetas compartidas

Por defecto, los ordenadores con Windows XP Professional que no se conectan a un dominio utilizan un modo de acceso a la red denominado "Compartición simple de archivos", donde todos los intentos de conexión al ordenador desde la red se convierten en accesos forzados con la cuenta Invitado. Esto supone que el acceso en la red mediante Server Message Blocks (SMB, utilizados para acceso a archivos e impresoras), así como las llamadas a procedimientos remotos (RPC, Remote Procedure Call, utilizados en la mayoría de las herramientas de gestión remota y acceso remoto al registro), solo estarán disponibles para la cuenta Invitado.

En el modelo de Acceso Simple a Archivos, los archivos y carpetas compartidos pueden crearse de manera que el acceso desde la red se haga en modo solo lectura, o alternativamente, con permisos para leer, crear, cambiar y borrar archivos. Simple File Sharing está pensado para usarse en redes domésticas y detrás de un firewall, como el que se incorpora dentro de Windows XP. Si Vd. Está conectado a Internet y no está protegido por un firewall, debe tener presente que cualquier recurso compartido que cree podría ser accedido por cualquier usuario desde Internet.

El modelo clásico de seguridad se utiliza cuando el sistema Windows XP se incorpora a un dominio o cuando se deshabilita Simple File Sharing. En el modelo clásico de seguridad, los usuarios que intentan hacer logon en la máquina local desde la red han de autentificarse como cuentas de usuario propias, no se hacen corresponder con la cuenta de Invitado. De esta manera, los recursos compartidos pueden crearse de modo que solo puedan se accedidos por los grupos y usuarios con los privilegios adecuados.

Utilizar Internet Connection Sharing (ICS) para las conexiones compartidas a Internet

Windows XP ofrece la posibilidad de compartir una única conexión a Internet entre varios ordenadores en una red doméstica o pequeńa red empresarial con la función ICS (Internet Connection Sharing). Un ordenador, denominado "Host ICS" conecta directamente a Internet y comparte esa conexión con el resto de los ordenadores de la red. Las máquinas clientes se apoyan en el host ICS para salir a Internet.

El uso de ICS refuerza la seguridad de la red porque solo el host ICS es visible desde Internet.

Para activar ICS haga clic con el botón derecho del ratón en una conexión a Internet dentro de la carpeta Conexiones de Red. Haga clic en Propiedades, luego en la solapa Avanzadas y después seleccione el cuadro de opción adecuado.

También puede configurar ICS utilizando el Asistente para Redes Domésticas. Para más información acerca de ICS puede consultar el Centro de Soporte y Ayuda en Windows XP.

Activar el Firewall de Conexión a Internet (ICF)

El Firewall de conexión a Internet está diseńado para su uso en casa o en pequeńas redes empresariales y proporciona protección para máquinas Windows XP que se conectan directamente a Internet o para ordenadores y dispositivos conectados al host ICS que está ejecutando este Firewall. El Firewall de Conexión a Internet utiliza un filtrado de paquetes activo, lo que significa que los puertos del firewall se abren dinámicamente solo por el tiempo necesario para permitir el acceso a los servicios que se desea.

Para activar ICF haga click con el botón derecho en una conexión a Internet en Conexiones de Red. Después seleccione Propiedades y la solapa Avanzadas, y finalmente, seleccione la opción correspondiente. También puede configurar ICF usando el Asistente para Configuración de Redes Domésticas. Para más información sobre ICF puede consultar el Centro de Soporte y Ayuda en Windows XP.

Usar políticas de restricción de software

Las políticas de restricción de software ponen a disposición de los administradores un mecanismo basado en directivas que identifica el software que se ejecuta en su dominio y permite controlar la ejecución de dicho software. Mediante políticas de restricción de software un administrador puede prevenir la ejecución no deseada de ciertos programas; esto incluye virus, troyanos y otro software del que se sabe que puede causar problemas cuando se instala. Las políticas de restricción de software pueden utilizarse en una máquina aislada configurando las directivas locales de seguridad. Las políticas de restricción de software también están integradas en Políticas de Grupo y Directorio Activo.

Para más detalles acerca de la creación de políticas de restricción de software recomendamos leer el documento What's New in Security for Windows XP Professional and Windows XP Home Edition white paper.

Utilizar passwords para las cuentas de usuario

Para proteger a los usuarios que no protegen sus cuentas con passwords, las cuentas de usuario de Windows XP Professional sin password solamente pueden iniciar sesión en la consola física del ordenador. Por defecto, las cuentas con passwords en blanco no podrán utilizarse en adelante para acceder remotamente desde la red, o para ninguna otra actividad de validación excepto desde la pantalla de inicio de sesión de la consola física. Por ejemplo, no se puede utilizar el servicio de inicio de sesión secundario ("RunAs") para ejecutar un programa como un usuario local con password en blanco.

Mediante la asignación de passwords a las cuentas locales se evita la restricción que prohibe hacer logon en la red. Esto permite a las cuentas de usuario acceder a los recursos para los cuales tiene permisos, incluso a través de la red. Por consiguiente, es preferible dejar una cuenta con la password en blanco que asignarle una password fácil de descubrir. Cuando se asignen passwords, asegúrese de que tiene una longitud de nueve caracteres como mínimo, y que incluye al menos un signo de puntuación o un carácter ASCII no imprimible dentro de los primeros siete caracteres.

Precauciones:

Si su ordenador no está en una ubicación físicamente segura, se recomienda que asigne passwords a todas las cuentas de usuario locales. De no hacerlo así, cualquiera con acceso físico al ordenador podría fácilmente iniciar sesión utilizando una cuenta que no tiene password. Esto es especialmente importante en el caso de portátiles, que deberán siempre blindarse con passwords difíciles de descubrir para todas sus cuentas locales.

Nota:

Esta restricción no se aplica a las cuentas de dominio, ni tampoco a la cuenta local de Invitado. Si la cuenta de Invitado está activada y tiene password en blanco, se le permitirá iniciar sesión y acceder a cualquier recurso con permisos de acceso para la cuenta Invitado.

Si quiere deshabilitar la restricción contra el inicio de sesión en la red sin password, puede hacerlo a través de las Directivas Locales de Seguridad

.
Deshabilitar los servicios innecesarios

Después de instalar Windows XP se deben deshabilitar todos aquellos servicios de red que no se necesiten en el ordenador. En particular debe considerarse si su PC necesita servicios de Internet Information Server. Por defecto IIS no se incluye como parte de la instalación normal de Windows XP y únicamente debe instalarse si realmente se necesitan dichos servicios.

Deshabilitar o borrar cuentas de usuario innecesarias

Revise la lista de cuentas activas, tanto para usuarios como para programas en el sistema, por medio de la función de Administración de Equipos. Deshabilite las cuentas inactivas de usuario y borre aquellas cuentas que no sean necesarias.

Asegurarse de que la cuenta Invitado está deshabilitada.

Esta recomendación solo se aplica a los ordenadores con Windows XP que pertenecen a un dominio, o a máquinas que no utilizan el modelo de Compartición Simple de Archivos.

En sistemas Windows XP Professional que no se conectan a un dominio, los usuarios que intentan abrir sesión desde la red se ven forzados a identificarse como la cuenta Invitado por defecto. Este cambio se ha diseńado para prevenir los intentos maliciosos de acceso a los sistemas desde Internet haciendo login con la cuenta de Administrador local con password en blanco. Para utilizar esta funcionalidad, que es parte del modelo de Compartición Simple de Archivos, la cuenta de Invitado ha de estar activada en todas las máquinas con Windows XP que no se han incorporado a un dominio. Para aquellas que ya pertenecen a un dominio o para la que, sin pertenecer a dominio, han deshabilitado el modelo de Compartición Simple de Archivos, la cuenta local de Invitado debe deshabilitarse.

Así se previene la posibilidad de que los usuarios puedan conectarse desde la red usando esta cuenta.

Utilizar políticas de password estrictas

Para proteger a los usuarios que no protegen sus cuentas con passwords, en Windows XP Professional las cuentas sin password únicamente pueden abrir sesión en la consola física del ordenador. Por defecto, las cuentas con passwords en blanco no podrán utilizarse en adelante para acceder remotamente desde la red, o para ninguna otra actividad de validación excepto desde la pantalla de inicio de sesión de la consola física.

Nota

Esta restricción no se aplica a las cuentas de dominio, ni a la cuenta de Invitado local. Si la cuenta de Invitado está activada y tiene password en blanco, se le permitirá abrir sesión y acceder a cualquier recurso al cual se le autorice acceso a la cuenta Invitado.

Utilice la consola de Política Local de Seguridad para reforzar las directivas del sistema para la aceptación de passwords. Microsoft sugiere que se hagan los siguientes cambios:

Fijar la longitud mínima de la password en 8 caracteres


Fijar un periodo mínimo de persistencia adecuado a su red (generalmente entre 1 y 7 días)


Fijar un periodo máximo de vigencia adecuado a su red (generalmente no superior a 42 días)


Habilitar el mantenimiento de un registro histórico de las passwords (utilizando el botón "recordar passwords") de al menos 6.


Implantar políticas de bloqueo de cuentas

Windows XP incluye una funcionalidad de bloqueo de cuentas que desactiva una cuenta después de un número de intentos fallidos de inicio de sesión que fija el administrador. Por ejemplo, se puede indicar que se bloquee la cuenta después de 5 ó 10 intentos fallidos, resetear la cuenta no antes de 30 minutos y dejar la situación de bloqueo a "Siempre (hasta que el administrador la desbloquee"). Si es demasiado agresiva, puede considerar la posibilidad de permitir que la cuenta se desbloquee automáticamente después de un cierto tiempo.

Dos son los objetivos más comunes al utilizar los bloqueos de cuentas: el primero, poner de manifiesto que han tenido lugar un cierto número de intentos de abrir sesión con una cuenta utilizando una password no válida. El segundo, proteger las cuentas de usuario ante la posibilidad de intentar abrir sesión mediante ataques con diccionarios de claves o identificación reiterativa. No hay una receta que sea válida para todos los entornos. Considere los valores que más se ajusten a su entorno particular.

Instalar software antivirus y actualizarlo adecuadamente

Una de las iniciativas más importantes a la hora de proteger sistemas informáticos es utilizar software antivirus, y asegurarse de que está correctamente actualizado. Todos los sistemas en Internet, en una intranet corporativa o en una red doméstica deberían llevar instalado software antivirus.

Hay más información sobre seguridad antivirus en Microsoft TechNet Security Web Site.

Mantenerse al día con las últimas actualizaciones de seguridad.

La función de Actualización Automática en Windows XP puede detectar automáticamente y descargar los parches de seguridad más recientes desde Microsoft. La función de Actualización Automática se puede configurar para descargar automáticamente los parches en tareas de segundo plano y pedir permiso al usuario para instalarlos cuando se ha completado la descarga.

Para configurar la Actualización Automática, haga clic en Sistema, dentro del Panel de Control, y seleccione la solapa Actualizaciones Automáticas. Elija la opción de notificación previa para descargar las actualizaciones automáticamente y recibirá notificación cuando estén listas para ser instaladas.

Aparte esto, Microsoft publica boletines de seguridad mediante su Servicio de Notificación de Seguridad. Estos boletines se publican para cualquier producto de Microsoft en el cual se haya encontrado algún problema de seguridad. Cuando estos boletines recomiendan la instalación de algún parche de seguridad, Vd. Debería descargarlo a la mayor brevedad e instalarlo en sus ordenadores."
 
Este sitio pretende ser un lugar donde albergar un recetario sobre trucos y consejos de seguridad para usuarios

ARCHIVES
10/01/2002 - 11/01/2002 / 11/01/2002 - 12/01/2002 / 12/01/2002 - 01/01/2003 / 04/01/2003 - 05/01/2003 / 05/01/2003 - 06/01/2003 / 08/01/2003 - 09/01/2003 / 09/01/2003 - 10/01/2003 / 10/01/2003 - 11/01/2003 / 11/01/2003 - 12/01/2003 / 12/01/2003 - 01/01/2004 / 01/01/2004 - 02/01/2004 /


Powered by Blogger