ESET Latinoamérica: Av. Del Libertador 6250, 6to. Piso - Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 - Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com

Buenas Prácticas de Seguridad

Seguridad para PyMEs

Seguridad para PyMEs

2

Índice Servicios ......................................................... 3

Correo electrónico ...................................................... 3

Navegación Web ........................................................ 4

Banca en línea ............................................................ 4

Mensajería Instantánea .............................................. 5

Juegos en línea ........................................................... 5

Redes P2P .................................................................. 5

Redes Wireless ................................................ 6

Administración de Sistemas Operativos ............ 7

Puestos de trabajo ...................................................... 7

Servidores .................................................................. 7

Enlaces de interés ....................................................... 8

Seguridad para PyMEs

3

La implementación de medidas de seguridad es una tarea dinámica, y cada empresa deberá definirlasde acuerdo con sus necesidades. Sin embargo existen ciertos lineamientos generales que pueden ser aplicados en la mayoría de las organizaciones. En este último módulo se describen una serie de buenas prácticas a considerar por los responsables de la seguridad en la empresa, y otros puntos a tener en cuenta a la hora de tomar decisiones.

Servicios La disponibilidad de servicios en los puestos de trabajo de cada usuario es una decisión que debe tomarse en conjunto con la alta gerencia, teniendo en cuenta las cuestiones de seguridad, pero sin perjudicar, en la medida de lo posible, la línea de negocio de la empresa. El objetivo de la implementación de los controles de seguridad será brindar medidas de protección, manteniendo el mayor grado de usabilidad y confidencialidad que sea deseado por la organización.

En ese contexto se debe decidir qué servicios podrán utilizar los usuarios, teniendo en cuenta los ventajas y riesgos asociados.

Correo electrónico

El correo electrónico es una vía de infección para los equipos y, además, puede ser utilizado para robo o fuga de información. Su utilización debe estar regida y controlada por el Departamento de Sistemas y explicitada en las Políticas de Seguridad de la organización.

Además, el Spam (correo no solicitado) es una amenaza constante para la empresa por su posibilidad de propagar malware y sus efectos en el rendimiento de la red y en la performance de los empleados.

Entre las buenas prácticas en este campo se incluyen:

• Asignar cuentas corporativas a cada empleado que necesite una y prohibir el envío de información corporativa por correos electrónicos ajenos a la empresa.

• Homogeneizar la utilización de clientes de correo y sus configuraciones en los puestos de trabajo.

• Instalar un Anti-Spam corporativo a nivel de red y, preferentemente, una solución en cada puesto de trabajo compatible con el cliente de correo a utilizar, como ESET Smart Security.

Seguridad para PyMEs

4

• Clarificar en las Políticas de Seguridad cuáles son los usos que se pueden dar al correo electrónico corporativo.

• Decidir (e informar) respecto a la permisión del uso de cuentas de correo personales durante la jornada laboral.

Navegación Web

El acceso web es uno de los mayores riesgos para la red de la empresa, fundamentalmente por la posibilidad de que los usuarios accedan a sitios web con contenido malicioso y se infecten las estaciones de trabajo. Un administrador puede disponer de herramientas alternativas a la permisividad o prohibición total de este servicio.

Entre las buenas prácticas en este campo se incluyen:

• Configurar un servicio de control de tráfico de red que permita controlar y definir qué sitios web podrán ser accedidos, o no, por cada usuario. Este puede ser implementado como un servidor (Proxy) o en los puestos de trabajo de los usuarios.

• Controlar la navegación web a través de herramientas antivirus, como ESET NOD32 o ESET Smart Security, para denegar el acceso a sitios web peligrosos.

• Homogeneizar la utilización de navegadores y sus configuraciones en los puestos de trabajo.

• Utilizar filtros de navegación para poder administrar los sitios permitidos, como ESET Smart Security.

Banca en línea

El acceso a servicios de banca en línea debe ser realizado con precaución tanto para las cuentas empresariales, como así también respecto al uso de servicios individuales de los empleados.

Se debe definir la política de uso de este tipo de servicios y comunicar a todos los empleados cuáles son los criterios adoptados por la empresa.

Seguridad para PyMEs

5

Teniendo en cuenta que el robo de credenciales bancarias es realizado comúnmente a través de ataques de Phishing, con un alto componente de Ingeniería Social, el uso del Home Banking debe ser incluido en la concientización a los usuarios en materia de seguridad1.

Mensajería Instantánea

La mensajería instantánea y el chat son, además de herramientas de posible distracción, otras vías posibles de infecciones. Sin embargo, pueden ser útiles para ciertos trabajos. Por lo tanto, se debe definir la política de uso de estos servicios y habilitar las aplicaciones pertinentes sólo en los equipos en que sea necesaria su utilización.

Juegos en línea

Si bien existen sitios de juegos en línea completamente legítimos y legales (dependiendo de la jurisprudencia del país de origen), también se han creado gran cantidad de sitios con estos fines maliciosos:

• Diseminar archivos infectados.

• Obtener información sensible de los usuarios.

• Cometer acciones fraudulentas con los datos obtenidos.

Por lo tanto es recomendable concientizar a los usuarios sobre estos riesgos. En lo posible, prohibir la utilización de este tipo de servicios en el entorno corporativo y utilizar un antivirus con bloqueo de sitios web y de puertos USB (son los más utilizados por estos códigos maliciosos), como ESET Smart Security.

Redes P2P

La utilización de redes P2P no es recomendable en entornos corporativos. El consumo de ancho de banda, la exposición de información y la probabilidad de descargar archivos ilegales o infectados son las principales razones para prohibir su uso, tanto a nivel técnico (inhabilitando

1 Para más información consulte “Seguridad en las transacciones comerciales en línea” de ESET en http://edu.eset-la.com

Seguridad para PyMEs

6

su instalación, cerrando puertos en el firewall, etc.) como clarificando su prohibición en las Políticas de Seguridad.

Redes Wireless Las redes Wireless (inalámbricas) son una necesidad para muchas empresas, dada la gran cantidad de dispositivos móviles con Wi-Fi y la comodidad de uso. Sin embargo, estas redes pueden ser vulneradas fácilmente si no son correctamente configuradas, dando acceso a personas indeseadas y permitiendo el robo de información.

Entre las buenas prácticas en este campo se incluyen:

• Proteger todas las redes Wireless con contraseñas fuertes. Además, modificar periódicamente las contraseñas.

• Mantener las redes Wireless desconectadas de la red cableada y del entorno de servicios internos de la red.

• Mantener redes Wireless separadas para uso de personal interno y personal externo.

Ante estas medidas de seguridad, si algún miembro del personal interno desea conectarse con su laptop a los servicios de la LAN, deberá utilizar alguna de las siguientes alternativas:

• Conectar con cables su dispositivo a la LAN.

• Conectarse por Wireless y luego conectar una VPN para tener acceso a la red LAN.

Seguridad para PyMEs

7

Administración de Sistemas Operativos

Como parte del proceso de hardening2 de los sistemas operativos, se enumeran algunas buenas prácticas referidas a la administración de los mismos, teniendo en cuenta tanto puestos de trabajo como servidores.

Puestos de trabajo • Restringir los usuarios administrativos en los equipos sólo a personal autorizado.

• Restringir la instalación de aplicaciones y controlar la cantidad de aplicaciones instaladas.

• Mantener actualizados el sistema operativo y todas las aplicaciones que se utilicen.

• Instalar soluciones antivirus y firewall en todos los puestos de trabajo.

• Todos los usuarios que accedan a los sistemas, deberán ser auditables ante un posible incidente.

Servidores • Restringir el acceso administrativo a los servidores sólo a personal autorizado.

• Revisar los logs de los servidores periódicamente (al menos semanalmente) en busca de errores.

• Mantener actualizados el sistema operativo y todas las aplicaciones que utilice el servidor.

• Deshabilitar los servicios que no se estén utilizando o que sean innecesarios.

• Contar con entornos de prueba para testear antes de aplicar cambios en los servidores. La virtualización es una gran herramienta para mantener entornos de prueba a bajo costo.

2 Para más información sobre hardening, ver módulo 3 del presente curso.

Seguridad para PyMEs

8

• Todos los usuarios que accedan a los sistemas, deberán ser auditables ante un posible incidente.

• Utilizar aplicaciones de seguridad para entornos cliente-servidor como ESET Remote Administrator o ESET Linux Security.

Enlaces de interés • Windows XP Security Guide.

http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en

• Windows Vista Security Guide. http://www.microsoft.com/downloads/details.aspx?familyid=A3D1BBED-7F35-4E72-BFB5-B84A526C1565&displaylang=en

• Windows Server 2003 Security Guide. http://www.microsoft.com/downloads/details.aspx?familyid=8a2643c1-0685-4d89-b655-521ea6c7b4db&displaylang=en

• Windows Server 2008 Security Guide. http://www.microsoft.com/downloads/details.aspx?familyid=FB8B981F-227C-4AF6-A44B-B115696A80AC&displaylang=en • Implementación de Servidores con GNU Linux.

http://www.alcancelibre.org/filemgmt/index.php?id=1

• Hardening Tips for the Red Hat Enterprise Linux 5. http://www.nsa.gov/notices/notic00004.cfm?Address=/snac/os/redhat/rhel5-pamphlet-i731.pdf

Seguridad para PyMEs

9

Copyright © 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas registradas de sus respectivos propietarios y no guardan relación con ESET, LLC y ESET, spol. s.r.o.

© ESET, 2012

Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Londres (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.

Desde el 2004, ESET opera para la región de América Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigación focalizado en el descubrimiento proactivo de variadas amenazas informáticas.

La importancia de complementar la protección brindada por tecnología líder en detección proactiva de amenazas con una navegación y uso responsable del equipo, junto con el interés de fomentar la concientización de los usuarios en materia de seguridad informática, convierten a las campañas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio.

Para más información, visite www.eset-la.com