Capacidad de OI: Proceso de seguridad: del nivel estandarizado al racionalizado
En esta página
Introducción
Requisito: Autenticación de usuario de dos factores, revisión de seguridad estándar para nuevas adquisiciones de software y procesos de clasificación de datos
Introducción
El proceso de seguridad es un elemento clave de la optimización de infraestructura. La seguridad debe formar parte de los criterios de diseño de todos los procedimientos y tecnologías destacados por el modelo de optimización de infraestructura. En la tabla siguiente se describen los desafíos de alto nivel, las soluciones aplicables y las prestaciones de cambiar al nivel racionalizado en el proceso de seguridad.
Retos |
Soluciones |
Ventajas |
---|---|---|
Desafíos para la empresa Procesos no coherentes de evaluación de riesgos Hay un plan de respuesta a incidentes, pero no está totalmente documentado Sólo se usa tecnología de protección de identidad estándar Retos de TI Seguridad de PC limitada El proceso de actualización de seguridad en todos los activos de TI conectados de la red está sin documentar |
Proyectos Seguir optimizando las directivas de seguridad de defensa en profundidad Desarrollo e implementación de identidad de dos factores y acceso a directivas de administración Desarrollo de un proceso para administrar las pruebas de requisitos de seguridad en todo el software adquirido o desarrollado Establecimiento de un procedimiento estándar y repetible para clasificar información confidencial |
Ventajas empresariales Los problemas y los incidentes se reducen, y los casos pendientes se resuelven con mayor rapidez Seguridad de información mejorada y protección de identidad que ayuda a proteger la empresa frente a amenazas, con independencia del dispositivo Beneficios de TI Los servicios y las herramientas automatizadas liberan los recursos para implementar nuevos servicios u optimizar los ya existentes Las operaciones de TI proactivas resuelven los problemas antes para evitar reducir la productividad del usuario |
El nivel racionalizado de optimización requiere que la organización haya definido procedimientos de administración de riesgos, administración de incidentes y respuesta ante los mismos, y pruebas de aplicaciones.
Requisito: Autenticación de usuario de dos factores, revisión de seguridad estándar para nuevas adquisiciones de software y procesos de clasificación de datos
Destinatarios
Debe leer esta sección si no ha implementado planes de directivas de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos.
Introducción
La mayor parte de las organizaciones sabe que es muy importante proteger sus datos y recursos de la pérdida o el daño por robo, error humano o informático, ataque malintencionado o cualquier otra clase de incidencia. Puede llevar a cabo acciones específicas para limitar la posibilidad de pérdidas o daños potenciales. Asimismo, puede establecer directivas y procedimientos para responder y reducir los efectos de la pérdida o daños a su entorno de TI. El nivel racionalizado de esta guía se desvía un poco de lo establecido en la autoevaluación en línea de optimización de infraestructura principal y se centra en los siguientes temas: Autenticación de usuario de dos factores, revisión de seguridad estándar para nuevos activos y procesos de clasificación de datos.
Fase 1: Evaluación
La fase de evaluación debe determinar las necesidades de seguridad apropiadas para la organización y los procesos actualmente disponibles. Los requisitos de seguridad pueden variar mucho de una compañía a otra o de una institución a otra según, por ejemplo, el tamaño, el sector o campo y las leyes o normas regionales. La recopilación de los requisitos de su organización le permitirá definir un proceso de seguridad apropiado.
Fase 2: Identificación
Durante la fase de identificación, la organización examinará las herramientas y procedimientos aplicados actualmente, y determinará cuáles son sus requisitos de seguridad. Durante esta fase, recopilará las directivas de seguridad que actualmente están implícitas o aplicadas, además de los componentes de tecnología que ya están en uso o a su disposición. Asimismo, recopilará cualquier requisito externo basado en leyes o normas de su región o sector.
Fase 3: Evaluación y planeación
La fase de evaluación y planeación del paso al nivel racionalizado de optimización resalta áreas de mejora específicas.
Autenticación de dos factores
Los controles de seguridad basados en claves secretas individuales, como las contraseñas, pueden resultar eficaces. Una contraseña larga, compuesta de más de 10 caracteres, en la que se alternen letras, números y signos especiales puede resultar muy difícil de descifrar. Lamentablemente no siempre los usuarios pueden recordar ese tipo de contraseñas, en parte debido a limitaciones humanas fundamentales.
Los sistemas de autenticación de dos factores superan los problemas de la autenticación asociados a una sola clave solicitando un segundo dato secreto. En la autenticación de dos factores se utiliza una combinación de los siguientes elementos:
Algo que posee el usuario, como un testigo (token) de hardware o una tarjeta inteligente.
Algo que el usuario sabe, como un número de identificación personal (NIP).
Las tarjetas inteligentes y los NIP asociados son una forma cada vez más popular, confiable y rentable de una autenticación en dos fases. Además de establecerse los controles adecuados, el usuario debe poseer la tarjeta inteligente y saber el NIP para obtener acceso a los recursos de red. Con el requisito de dos factores se reducen considerablemente las probabilidades de acceso no autorizado a la red de la organización.
Las tarjetas inteligentes proporcionan controles de seguridad particularmente eficaces en dos casos: para proteger las cuentas de administrador y para proteger el acceso remoto. Esta guía se centra en estos dos casos generales como áreas prioritarias para la implantación de tarjetas inteligentes.
Dado que las cuentas en el nivel de administrador tienen asignados numerosos derechos de usuario, si una de estas cuentas queda expuesta, existe el riesgo de que un intruso obtenga acceso a todos los recursos de la red. Es esencial salvaguardar el acceso al nivel del administrador, ya que la usurpación de credenciales de cuentas en el nivel de administrador de dominio pone en peligro la integridad del dominio y, posiblemente, de todo el bosque y de cualquier otro bosque que confíe. La autenticación de dos factores es esencial para la validación de la identidad de los administradores.
Las organizaciones pueden incorporar un nivel de seguridad adicional con la implantación de tarjetas inteligentes para los usuarios que tengan necesidad de conectarse a los recursos de la red. La autenticación de dos factores es particularmente importante en el caso de los usuarios remotos, ya que no es posible proporcionar ningún tipo de control de acceso físico para las conexiones remotas. Con tarjetas inteligentes, la autenticación de dos factores puede aumentar el grado de seguridad del proceso de validación de identidad los usuarios remotos que se conecten a través de red privada virtual (VPN).
Para obtener información detallada sobre la autenticación de dos factores, vaya a https://www.microsoft.com/technet/security/guidance/networksecurity/securesmartcards/default.mspx.
Revisión de seguridad estándar para nuevas adquisiciones de software
En el nivel racionalizado, todas las adquisiciones de software de la organización deben seguir un programa para permitir una revisión de seguridad estándar. Los mejores procesos recomendados para realizar revisiones de seguridad de los sistemas de TI se describen en el estándar ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management. ISO/IEC 17799:2005 establece instrucciones y principios generales para la adquisición, el desarrollo y el mantenimiento de sistemas de información, entre los que se incluyen los siguientes:
Requisitos de seguridad de los sistemas de información
Procesamiento correcto de los sistemas de aplicaciones
Controles criptográficos
Seguridad de los sistemas de archivos
Seguridad de los procesos de desarrollo y soporte
Administración de vulnerabilidad técnica
Para obtener más información acerca del estándar, así como la propia documentación, visite el sitio web de ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management.
Procesos de clasificación de datos
La clasificación y la protección de datos se ocupan del modo de aplicación de los niveles de clasificación de seguridad a los datos en un sistema o en una transmisión. Esta categoría de soluciones también comprende la protección de los datos en cuanto a que ofrece confidencialidad e integridad tanto a los datos que están almacenados como a los que se están transmitiendo. Las soluciones de cifrado constituyen el método más habitual usado por las organizaciones para proporcionar protección de datos.
Efecto del cumplimientoCompliance Impact
La clasificación de datos es importante para el cumplimiento, ya que informa a los usuarios de los niveles que indican la importancia relativa de los datos, cómo deben administrar los datos y cómo deben protegerlos y deshacerse de ellos. Alto, medio y bajo son ejemplos típicos de clasificación de datos que indican el efecto relativo de los datos en la empresa. El sistema de clasificación militar de alto secreto, secreto, confidencial y sin clasificar también puede aplicarse en algunas organizaciones.
Todas las instrucciones de cumplimiento requieren de una protección y cifrado de archivos de información confidencial, ya estén almacenados o se transfieran. El proceso de cumplimiento crea enormes cantidades de información confidencial, principalmente en aplicaciones no estructuradas como archivos de Microsoft Office Word y Office Excel. El control y la protección de estos datos de cumplimiento es muy importante, ya que contiene detalles completos de la debilidad y las vulnerabilidades conocidas de una organización.
Recursos de Microsoft
Microsoft ofrece varios recursos para la clasificación y la protección de los datos. Por ejemplo, el uso combinado de Information Rights Management (IRM), que amplía a Rights Management Services de Windows en las aplicaciones de Microsoft Office 2003 y en Microsoft Internet Explorer, y las tecnologías de Rights Management Services (RMS) de Windows facilita la clasificación y la protección de datos en la organización. RMS aplica una protección basada en el cifrado mediante directivas que acompaña a la información allí donde ésta se dirija.
La solución de tecnología de protección de datos adicional incluye el protocolo de seguridad de Internet (IPsec, Internet Protocol security) y el sistema de cifrado de archivos (EFS, Encrypting File System). IPsec proporciona integridad y cifrado de datos al tráfico de IP, mientras que EFS cifra los archivos almacenados en los sistemas de archivos de Microsoft Windows 2000 Server, Windows XP Professional y Windows Server 2003. Microsoft proporciona la siguiente orientación acerca de estas soluciones de clasificación y protección de datos:
Para obtener más información acerca de la planeación del cumplimiento normativo, consulte la Guía de planeación para el cumplimiento normativo en https://www.microsoft.com/technet/security/guidance/complianceandpolicies/compliance/rcguide/4-11-00.mspx.
Para obtener más información acerca de las ofertas de asociados de Rights Management Services de Windows, consulte Asociados de Rights Management Services de Windows en https://www.microsoft.com/windowsserver2003/partners/rmspartners.mspx.
Para obtener más información acerca de RMS, consulte Rights Management Services de Windows en https://www.microsoft.com/rms.
Para obtener más información acerca de las capacidades de administración de derechos de información de Office 2003, consulte Administración de derechos de información en Microsoft Office 2003 en https://www.microsoft.com/technet/prodtechnol/office/office2003/operate/of03irm.mspx.
Para obtener información acerca de IPsec, consulte el sitio web de IPsec en https://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx.
Para obtener información acerca del uso de IPsec y la directiva de grupo con el fin de aislar servidores y dominios, consulte Aislamiento de servidores y dominios con IPsec y la directiva de grupo en https://go.microsoft.com/fwlink/?linkid=33945.
Para obtener información acerca del uso de EFS para proteger datos, consulte Protección de datos con EFS para cifrar unidades de disco duro en https://www.microsoft.com/technet/security/smallbusiness/topics/cryptographyetc/protect_data_efs.mspx.
Para obtener más información acerca de EFS, consulte Sistema de cifrado de archivos en https://go.microsoft.com/fwlink/?linkid=46681.
Para obtener información acerca de la protección de información confidencial frente al robo, consulte Protección de información confidencial frente al robo en Windows XP Professional en un grupo de trabajo en https://www.microsoft.com/technet/security/smallbusiness/prodtech/windowsxp/efsxppro.mspx.
Fase 4: Implementación
En la fase de implementación se implementan las mejoras de procesos de seguridad evaluadas y aprobadas. Es importante realizar pruebas de capacidad de uso ya que permiten restringir la directiva de seguridad, así como simulacros para garantizar que los procesos de datos son eficaces.
Más información
Para obtener más información acerca del desarrollo de operaciones de seguridad y estándares de proceso, vaya al portal de orientación sobre seguridad de Microsoft TechNet en https://www.microsoft.com/technet/security/guidance.
Punto de control: Autenticación de usuario de dos factores, revisión de seguridad estándar para nuevas adquisiciones de software y procesos de clasificación de datos
Requisito |
|
---|---|
|
Desarrollo e implementación de identidad de dos factores y acceso a directivas de administración. |
|
Desarrollo de un proceso para administrar las pruebas de requisitos de seguridad en todo el software adquirido o desarrollado. |
|
Establecimiento de un procedimiento estándar y repetible para clasificar datos confidenciales. |
Si se han completado los pasos anteriores, la organización ha cumplido el requisito mínimo del nivel racionalizado para la autenticación de usuario de dos factores, la revisión de seguridad estándar para nuevas adquisiciones de software y los procesos de clasificación de datos.
Le recomendamos que además siga los procedimientos recomendados adicionales para los procesos de seguridad tratados en el Centro de seguridad Microsoft TechNet.
Ir a la siguiente pregunta de autoevaluación.