Security and Privacy Initiative FY10 Spain Microsoft

Gua de Seguridad
10 PASOS PARA IMPLEMENTAR LA SEGURIDAD INFORMTICA EN SU EMPRESA

Elaborado por:

Mercedes Martin Security & Privacy Initiatives

Versin 2.0 Final Octubre, 2009

Security and Privacy Initiative FY10 Spain Microsoft

La informacin contenida en este documento representa el punto de vista de Microsoft Corporation sobre los problemas tratados en la fecha de publicacin. Microsoft no se hace responsable del cambio en las condiciones del mercado, y Microsoft no puede garantizar la precisin de la informacin presentada despus de la fecha de su publicacin. Este documento es para propsito informativo exclusivamente. MICROSOFT NO OTORGA GARANTA ALGUNA, EXPRESA O IMPLCITA, EN ESTE DOCUMENTO. No se permite la reproduccin de este documento ni el fotocopiado del mismo, sin el permiso escrito de Microsoft.

Security and Privacy Initiative FY10 Spain Microsoft

NDICE DE CONTENIDO

INTRODUCCIN ............................................................................................................................. 5 PASO 1 ESTABLECER LA POLITICA DE SEGURIDAD DE LAEMPRESA .............................................. 6 1. Qu debe incluir su poltica de Seguridad de la empresa. .................................................... 6 2. Conciencie a sus empleados.................................................................................................. 7 PASO 2 PROTEJA SUS EQUIPOS DE ESCRITORIO Y PORTATILES .................................................... 8 1. Protjase de los virus y el software espa ............................................................................. 8 2. Actualizaciones Software. ..................................................................................................... 9 3. Configure un firewall ............................................................................................................. 9 4. Evite el correo electrnico no deseado. (Spam) ................................................................... 9 5. Utilice solamente software legal. ........................................................................................ 10 6. Navegacin Segura. ............................................................................................................. 10 PASO 3 PROTEJA SU RED ............................................................................................................. 12 1. Utilice contraseas seguras. ................................................................................................ 12 2. Proteger una Red WIFI. ....................................................................................................... 13 3. Configure un firewall a nivel de Red. .................................................................................. 14 PASO 4 PROTEJA SUS SERVIDORES ............................................................................................. 15 1. Certificados de servidor. ..................................................................................................... 15 2. Mantenga sus servidores en un lugar seguro. .................................................................... 15 3. Prctica de menos privilegios. ............................................................................................. 15 4. Conozca las opciones de seguridad. .................................................................................... 15 PASO 5 MANTENGA SUS DATOS A SALVO .................................................................................. 16 1. Copias de seguridad de los datos importantes para el negocio. ........................................ 16 2. Establezca permisos. ........................................................................................................... 16 3. Cifre los datos confidenciales. ............................................................................................. 17 4. Utilice sistemas de alimentacin ininterrumpida (SAI). ...................................................... 17 PASO 6 PROTEJA SUS APLICACIONES Y RECURSOS ..................................................................... 18 1. Valore la instalacin del Directorio Activo. ......................................................................... 18 2. Gestione las Aplicaciones a travs del Directorio Activo. ................................................... 18 3. Preste atencin a la base de datos. ..................................................................................... 18 3

Security and Privacy Initiative FY10 Spain Microsoft

4. Cortafuegos de Aplicaciones Web. ..................................................................................... 19 5. Auditorias Tcnicas. ............................................................................................................ 19 PASO 7 GESTIN DE LAS ACTUALIZACIONES .............................................................................. 21 1. 2. 3. Actualizaciones oportunas. ............................................................................................. 21 Configuraciones especiales. ............................................................................................ 22 Supervisin. ..................................................................................................................... 22

PASO 8 PROTEJA SUS DISPOSITIVOS MOVILES............................................................................ 23 PASO 9 PROTECCIN DE DATOS DE CARCTER PERSONAL ........................................................ 24 1. 2. Registre los ficheros. ....................................................................................................... 24 Cesin de datos a un tercero. ......................................................................................... 24

PASO 10 COMO REALIZAR UN PRESUPUESTO PARA SEGURIDAD............................................... 26 LISTA DE AMENAZAS DE SEGURIDAD (Ms importantes) ........................................................... 27 HERRAMIENTAS DESTACADAS .................................................................................................... 29 Administracin de las actualizaciones de seguridad ............................................................... 29 Deteccin de actualizaciones de seguridad ............................................................................ 30 Bloqueo, auditora y deteccin de intrusos ............................................................................ 31 Proteccin y eliminacin de virus y malware .......................................................................... 32 Cumplimiento Normativo........................................................................................................ 33 RECURSOS ................................................................................................................................... 34 FEEDBACK .................................................................................................................................... 36 ENLACES DE INTERES ................................................................................................................... 37 GLOSARIO Y TRMINOS USADOS FRECUENTEMENTE................................................................ 38

Security and Privacy Initiative FY10 Spain Microsoft

INTRODUCCIN INTRODUCCIN
Segn un estudio realizado recientemente por Inteco, 8 de cada 10 equipos se encuentran infectados con algn tipo de cdigo malicioso. Ante estos datos tan alarmantes, Microsoft ha elaborado una Gua de Seguridad que intenta describir los pasos prioritarios que una empresa debe implementar para proteger su entorno. Es necesario incidir en la necesidad de un cambio de concepcin, que conlleva al empleo de medidas reactivas a proactivas en la gestin de la seguridad. Las medidas reactivas son soluciones parciales, medidas de proteccin implementadas sin apenas intervencin del usuario, que bsicamente consisten en la instalacin del producto sin un seguimiento y control continuado. Si desea evaluar los puntos dbiles de su entorno de seguridad de IT puede usar la herramienta gratuita de Evaluacin de Seguridad de Microsoft (MSAT), diseada para ayudar a las organizaciones de menos de 1.000 empleados.

PA ER LA POLITICA DE SEGURIDAD DE LA HERRAMIENTA DE EVALUACIN DE SEGURIDAD

http://www.microsoft.com/spain/technet/security/tools/msat/default.mspx

Security and Privacy Initiative FY10 Spain Microsoft

PASO 1 ESTABLECER LA POLITICA DE SEGURIDAD DE LAEMPRESA

Los riesgos a los que se ven expuestas las empresas hacen necesario la creacin de directrices que orienten hacia un uso responsable de los recursos. Las polticas de seguridad son documentos que constituyen la base del entorno de seguridad de una empresa y deben definir las responsabilidades, los requisitos de seguridad, las funciones, y las normas a seguir por los empleados de la empresa.

1. Qu debe incluir su poltica de Seguridad de la empresa.

Responsables del desarrollo, implantacin y gestin de la poltica

Director de Poltica de Seguridad. Personal encargado de realizar, supervisar, inspeccionar, modificar las normas y reglas establecidas en la poltica de seguridad.

- Director de Seguridad. Personal encargado de, en virtud de la poltica de seguridad establecida, asignar roles de acceso a la informacin, proveer de permisos y soportes informticos, controlar la entrada y salida de informacin, identificacin y resolucin de incidencias, etc.
Cree una directiva de uso aceptable

Una directiva de uso aceptable es un documento en el que se informa a los empleados de lo que pueden y no pueden hacer en los equipos de la empresa. Ponga por escrito las normas que espera que se cumplan. Puede describir su poltica sobre la creacin de contraseas, indicar la frecuencia de cambio de contraseas o mencionar el riesgo que supone abrir archivos adjuntos de correo electrnico de remitentes desconocidos. Tambin puede incluir la prohibicin de instalar software no autorizado en los equipos. En este documento, que debe ser firmado por todos los empleados, tienen que constar las sanciones (en casos extremos, incluso el despido) por contravenir esas normas. En su calidad de propietario o director del negocio, tambin deber firmar una copia de la directiva. Si la directiva es larga y detallada, ayude a los empleados a recordar los puntos principales con un resumen de una pgina que puede distribuir y colocar cerca de sus estaciones de trabajo.
Plan de Actuacin en caso de alarma de Seguridad

Security and Privacy Initiative FY10 Spain Microsoft

2. Conciencie a sus empleados

Microsoft reconoce que la concienciacin y el aprendizaje en seguridad de la informacin son fundamentales para la estrategia de seguridad de la informacin de cualquier organizacin y sus operaciones de seguridad asociadas. Las personas son en muchos casos la ltima lnea de defensa frente a amenazas tales como cdigo malintencionado, empleados descontentos y terceros malintencionados. Por lo tanto, es preciso educar a los usuarios en lo que su organizacin considera un comportamiento apropiado y consciente de la seguridad, y tambin acerca de qu prcticas recomendadas de seguridad es necesario adoptar en la actividad laboral diaria. Se ha reunido un kit para proporcionar orientacin, muestras y plantillas para crear un programa de concienciacin en seguridad. PASO 2 PROTEJA SUS EQU

PA ER LA POLITICA DE SEGURIDAD DE LAde Seguridad Kit de Concienciacin

http://technet.microsoft.com/es-es/security/cc165442.aspx

Security and Privacy Initiative FY10 Spain Microsoft

PASO 2 PROTEJA SUS EQUIPOS DE ESCRITORIO Y PORTATILES DE ESCRITORIO Y PORTATILES

1. Protjase de los virus y el software espa

Los virus, as como los gusanos y los troyanos, son programas maliciosos que se ejecutan en su equipo. Entre las acciones que pueden provocar este tipo de cdigo malicioso se encuentran: borrado o alteracin de archivos, consumo de recursos del equipo, acceso no autorizado a archivos, infeccin de los equipos de los clientes con los que se comunique mediante correo electrnico Los virus se pueden extender por los equipos de su empresa y producir momentos de inactividad y prdidas de datos muy graves. Existen herramientas de eliminacin de software malintencionado que comprueban infecciones por software malintencionado especfico y ayudan a eliminarlas. Instale software antivirus. Debe disponer de proteccin antivirus en todos sus equipos de escritorio y porttiles. El software antivirus examina el contenido de los archivos en su pc en busca de indicios de virus. Cada mes aparecen cientos de virus nuevos, por lo que hay que actualizar peridicamente los antivirus con las ltimas definiciones para que el software pueda detectar los nuevos virus. Asegrese que el antivirus esta actualizado.

PA ER LA POLITICA DE SEGURIDAD DE LA MICROSOFT FOREFRONT CLIENT SECURITY

www.microsoft.com/spain/forefront/default.mspx

Security and Privacy Initiative FY10 Spain Microsoft

2. Actualizaciones Software.

A los piratas informticos les gusta encontrar y aprovechar cualquier error de seguridad en los productos de software ms populares. Cuando Microsoft u otra compaa descubren una vulnerabilidad en su software, suelen crear una actualizacin que se puede descargar de Internet (tanto para el Sistema Operativo como cualquier aplicacin que se tenga instalada). Es necesario instalar las actualizaciones tan pronto se pongan a la disposicin del pblico.

PA
Office Update, Microsoft Update o Windows Update? Configure el ordenador para usar Microsoft Update en vez de Office Update Windows Update. ER LA POLITICA asegurarse que el ordenador reciba las actualizaciones ode seguridad para DE SEGURIDAD DE LA Esto le ayudara a Microsoft Office y otras aplicaciones, adems de las actualizaciones de los Sistemas Operativos Windows. Para ver la explicacin de las diferencias entre Microsoft Update y Windows Update, visite: www.microsoft.com/windows/downloads/windowsupdate/microsoftupdate.mspx.

3. Configure un firewall

. Un firewall es un programa encargado de analizar tanto el trfico entrante como saliente de un equipo, con el fin de bloquear determinados puertos y protocolos que potencialmente podran ser utilizados por las aplicaciones.

4. Evite el correo electrnico no deseado. (Spam)

El spam son mensajes de correo electrnico comercial no solicitado. Si recibe un correo electrnico de un remitente desconocido elimnelo sin abrirlo, puede contener virus, y tampoco responda al mismo, ya que estara confirmando que su direccin es correcta y esta activa. No realice envo de publicidad a aquellas personas que no hayan autorizado previamente el consentimiento de recibir publicidad. Adopte medidas de proteccin frente al correo electrnico no deseado. Como filtros de correo electrnico actualizados.

Security and Privacy Initiative FY10 Spain Microsoft

5. Utilice solamente software legal.

El uso de software ilegal adems de generar riesgos de carcter penal, tambin puede generar problemas en la seguridad de la informacin, lo que lo que conlleva a prdidas en la rentabilidad y productividad de la organizacin. El software legal ofrece garanta y soporte del fabricante.

6. Navegacin Segura.
La navegacin por Internet puede ser una experiencia segura pero debera ser consciente de los peligros que existen cuando visita Sitios Web. La tcnica conocida como hijacking es un tipo de ataque que permite a un atacante tomar el control de su navegacin en la Red. Por ejemplo, aadiendo enlaces a sitios que nunca haya visitado o mostrndole continas pop-ups o ventanas emergentes. Para ms informacin consulte: http://www.microsoft.com/protect/terms/hijacking.aspx (En ingls).

Los usuarios tambin pueden encontrar un mensaje que invita a descargar un control ActiveX cuando navegan por determinados sitios Web. Mientras que los controles ActiveX tienen sus riesgos, al igual que muchos otros elementos de comunicacin utilizados en los sitios Web, estn diseados para enriquecer la experiencia del usuario. Sea consciente de los riesgos y fjese bien si sospecha de un control ActiveX malicioso.

Acceda nicamente a sitios de confianza. Analice con un antivirus todo lo que descarga antes de ejecutarlo en su equipo. No explore nunca sitios Web desde un servidor. Utilice siempre un equipo o porttil cliente. Mantenga actualizado su navegador a la ltima versin. Configure el nivel de seguridad de su navegador segn sus preferencias. Descargue los programas desde los sitios oficiales para evitar suplantaciones maliciosas (Phishing). Configure su navegador para evitar pop-ups emergentes. Utilice un usuario sin permisos de Administrador para navegar por Internet, as impide la instalacin de programas y cambios en los valores del sistema. Borre las cookies, los ficheros temporales y el historial cuando utilice equipos ajenos para no dejar rastro de su navegacin.

Comercio Electrnico Observe en la barra de navegacin de su navegador, que la direccin Web comienza por https: indica que se trata de una conexin segura y el contenido que transfiera ser cifrado por la Red.

10

Security and Privacy Initiative FY10 Spain Microsoft

Observe que aparece un candado ( ) en la parte inferior derecha de su navegador. Esto significa que la entidad posee un certificado emitido por una autoridad certificadora, el cual garantiza que realmente se ha conectado con la entidad destino y que los datos transmitidos son cifrados. PASO 3 PROTEJA SU RED

11

Security and Privacy Initiative FY10 Spain Microsoft

PASO 3 PROTEJA SU RED

1. Utilice contraseas seguras.

Informar a los empleados de la importancia de las contraseas es el primer paso para convertir las contraseas en una valiosa herramienta de seguridad de la red, ya que dificultan la suplantacin de su usuario. Si los criminales adivinan su contrasea y roban su informacin, pueden abrir nuevas cuentas bancarias, solicitar prstamos y realizar otras acciones en su nombre en Internet. Por ello, debe crear contraseas seguras y mantenerlas bien protegidas y no compartirlas jams. Caractersticas de una contrasea "segura": Una contrasea fuerte debe estar compuesta de una serie de caracteres aleatorios, que contengan una combinacin de letras maysculas y minsculas, nmeros y smbolos. Alargue su contrasea: Una longitud de ocho caracteres como mnimo. Cada carcter que aade multiplica la proteccin. Se debe cambiar cada 90 das como mximo y, al cambiarla, debe ser muy distinta de las contraseas anteriores. No utilice datos personales. Use el teclado entero: No emplee solo los caracteres ms frecuentemente usados. Elija todos los smbolos, incluyendo caracteres que no aparezcan en la parte superior de teclado, y smbolos nicos de su lenguaje. No use la misma contrasea en todos los sitios: Es importante usar diferentes contraseas en los distintos sistemas.

Compruebe su contrasea aqu: www.microsoft.no/passordkontroll

12

Security and Privacy Initiative FY10 Spain Microsoft

2. Proteger una Red WIFI.

A pesar de que algunas formas de cifrado son mejores que otras, cualquier mtodo mejora de forma significativa la seguridad. Todos los cdigos de encriptacin puede ser descifrados por astutos hackers, pero esto requiere tambin de mucha experiencia. En una zona con una gran cantidad de redes desprotegidas, los intrusos seleccionaran aquella red que no posea proteccin en lugar de perder el tiempo entrando en el suyo. Por ello, incluso el cifrado WEP es mejor que no emplear ningn tipo de cifrado.

La mayora de las redes estn completamente desprotegidas cuando las configura por primera vez. Pero configurar la red solo le llevara unos cuantos minutos usando el mismo mtodo que emplean los bancos para proteger su contrasea, al igual que cuando inicia sesin en los servicios de la banca online: esto es la Encriptacin.

Para maximizar seguridad en la red Wifi es necesario usar la siguiente lista de consejos en conjunto.

Ocultar el SSID
Ocultar el SSID (identificador de redes inalmbricas) al exterior es una buena medida para evitar las intrusiones, aunque este dato puede descubrirse fcilmente aunque este se presente oculto.

Cambiar el nombre SSID Cifrado WEP (Wired Equivalent Protection)

Se basa en claves de 64 128 bits. Este es el estndar original de encriptacin wireless, pero hoy en da est desfasado. Este estndar es fcil de crackear y conseguir que personas extraas consigan acceso a su red, por lo que la encriptacin WEP no es la opcin ms segura.

Encriptacin WPA (Wi-Fi Protected Access)

Surgi como alternativa segura y eficaz al WEP, se basa en el cifrado de la informacin mediante claves dinmicas, que se calculan a partir de una contrasea.

Encriptacin WPA- Enterprise

Un mtodo seguro diseado para empresas. Es ms complicado de configurar y requiere una estructura de red especial.

WPA2
Este es el mtodo de encriptacin ms moderno. Proporciona la mejor proteccin y debera ser la eleccin que tome siempre que su router y dispositivos wireless permitan trabajar con l.

13

Security and Privacy Initiative FY10 Spain Microsoft

Cambiar clave de acceso del punto de acceso

Es necesario modificar las claves de acceso peridicamente.

3. Configure un firewall a nivel de Red.

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Un firewall puede ser un dispositivo software o hardware. PASO 4 PROTEJA SUS SERVIDORES En el momento en que los servidores estn en peligro, tambin lo est toda la red.

14

Security and Privacy Initiative FY10 Spain Microsoft

PASO 4 PROTEJA SUS SERVIDORES

1. Certificados de servidor.
Identifican a los sitios Web. Requiere de la existencia de una autoridad certificadora (CA) que afirme, mediante los correspondientes certificados de servidor, que stos son quienes dicen ser antes del establecimiento del canal seguro. Le permitir establecer comunicaciones seguras con sus clientes, cifrando la conexin usando la tecnologa SSL para que no pueda ser leda por terceros.

2. Mantenga sus servidores en un lugar seguro.

Las empresas deben asegurarse de que sus servidores no son vulnerables a las catstrofes fsicas. Coloque estos equipos en una sala segura y con buena ventilacin. Haga una relacin de los empleados que tienen las llaves de la sala de servidores.

3. Prctica de menos privilegios.

Asigne distintos niveles de permisos a los usuarios. En vez de conceder a todos los usuarios el acceso "Administrador, debe utilizar los servidores para administrar los equipos cliente. Los servidores de Windows se pueden configurar para conceder a cada usuario acceso nicamente a programas especficos y para definir los privilegios de usuario que se permiten en el servidor. De este modo se garantiza que los usuarios no pueden efectuar cambios que son fundamentales en el funcionamiento del servidor o equipo cliente.

4. Conozca las opciones de seguridad.

Los servidores actuales son ms seguros que nunca, pero las slidas configuraciones de seguridad que se encuentran en los productos de servidor de Windows slo son eficaces si se utilizan del modo adecuado y se supervisan estrechamente.

15

Security and Privacy Initiative FY10 Spain Microsoft

PASO 5 MANTENGA SUS DATOS A SALVO

1. Copias de seguridad de los datos importantes para el negocio.

La realizacin de copias de seguridad de los datos significa crear una copia de ellos en otro medio. Por ejemplo, puede grabar todos los archivos importantes en un CD-ROM o en otro disco duro. Es recomendable probar las copias de seguridad con frecuencia mediante la restauracin real de los datos en una ubicacin de prueba.

Backup y restauracin en Windows Funciones Clave FUNCIN

Backup Automtica Centro de Recuperacin y Backup Backup del PC completo y Restauracin del PC Completo

DESCRIPCIN SIMPLE
Crea backups manuales y automticas de sus archivos. Un completo panel de Control que contiene todas las backup y funciones de restauracin Realiza backups y restauraciones del ordenador entero, incluyendo el Sistema Operativo, software instalado, configuraciones de usuario y archivos de datos. Windows Vista almacena en el espacio de almacenamiento solo aquellos archivos de backup que hayan sido modificados desde la ltima vez que se realizo el backup. Hace fcil y sencilla la restauracin de versiones previas de documentos que haya podido borrar por equivocacin. Restaura archivos del sistema, archivos de programa y configuraciones.

Backup de Almacenamiento de espacio

Copia de Respaldo

Restauracin del Sistema

2. Establezca permisos.
Se pueden asignar distintos niveles de permisos a los usuarios segn su funcin y responsabilidades en la organizacin. En vez de conceder a todos los usuarios el acceso "Administrador" (instituya una poltica de "prctica de menos privilegios). 16

Security and Privacy Initiative FY10 Spain Microsoft

3. Cifre los datos confidenciales.

Cifrar los datos significa convertirlos en un formato que los oculta. El cifrado se utiliza para garantizar la confidencialidad y la integridad de los datos cuando se almacenan o se transmiten por una red. Utilice el Sistema de archivos cifrados (EFS) para cifrar carpetas y archivos confidenciales.

4. Utilice sistemas de alimentacin ininterrumpida (SAI).

Para evitar que los equipos informticos no se interrumpan bruscamente en caso de corte del suministro elctrico y para filtrar los microcortes y picos de intensidad, que resultan imperceptibles, es recomendable el uso de SAI.

17

Security and Privacy Initiative FY10 Spain Microsoft

PASO 6 PROTEJA SUS APLICACIONES Y RECURSOS PASO 6 PROTEJA SUS APLICACIONES Y RECURSOS
1. Valore la instalacin del Directorio Activo.
La implementacin del directorio activo facilita las tareas tanto de seguridad como de funcionalidad. Ventajas: La propagacin de permisos est centralizada desde el Controlador de Dominio. Posibilidad de escalabilidad segn las necesidades particulares de la empresa. La integracin con un servicio DNS. Sencillez en la estructuracin de ficheros y recursos compartidos. Robustez en la seguridad del sistema. Establecimiento de Polticas.

PA ER LA POLITICA DE SEGURIDAD DE LA 2008 WINDOWS SERVER

http://www.microsoft.com/spain/windowsserver2008

2. Gestione las Aplicaciones a travs del Directorio Activo.

o o o o Polticas Permisos Usuario Impresoras Correo Electrnico

3. Preste atencin a la base de datos.

Instale los ltimos Service Packs de la base de datos. Asegrese de instalar los Service Packs y las actualizaciones ms recientes para mejorar la seguridad. Evale la seguridad de su servidor con MBSA (Microsoft Baseline Security Analyzer). Utilice el modo de autenticacin de Windows. Asle el servidor y realice copias de seguridad peridicas del mismo.

18

Security and Privacy Initiative FY10 Spain Microsoft

PA ER LA POLITICA DE SEGU
MBSA http://www.microsoft.com/spain/technet/security/tools/mbsa/default.mspx

4. Cortafuegos de Aplicaciones Web.

Protegiendo de ataques especficamente las comunicaciones en las que intervienen tanto las aplicaciones Web como todos los recursos a ellas asociados.

5. Auditorias Tcnicas.

ASO 7 GESTIN DE LAS ACTUALIZACIONES

El grupo de Microsoft Assessment Consulting and Engineering (ACE) cuenta con ms de 6 aos de experiencia en seguridad y rendimiento tanto de aplicaciones como de infraestructuras. Desde 2002 ha realizado ms de 2,000 revisiones de seguridad y 700 de rendimiento incluyendo las aplicaciones de negocio utilizadas en Microsoft con valor estratgico y platinum. Los mismos servicios que ACE ha estado ofreciendo internamente en Microsoft ahora estn disponibles para los clientes y partners de Microsoft a nivel mundial. En los proyectos ACE los clientes se benefician de los mismos procesos, recursos y propiedad intelectual que Microsoft utiliza para proteger y optimizar su negocio. Aspectos a destacar Pioneros del proceso Security Development Lifecycle for IT (SDL-IT) que Microsoft utiliza en la actualidad Protegen algunas de las infraestructuras ms atacadas del mundo como Microsoft.com, MSN.com y el Departamento de Defensa de Estados Unidos. Autores de diversos libros, incluyendo: Windows Vista Security: Securing Vista Against Malicious Attacks, Assessing Network Security & Performance Testing Microsoft .NET Web Applications El equipo est compuesto por expertos de la industria de seguridad y rendimiento con gran experiencia profesional en Tecnologas de la Informacin. Ms de 100 presentaciones incluyendo RSA, Black Hat, Strategic Architecture Forum, Tech Ed, MS Developer Conferences Creacin de soluciones gratis como Threat Analysis & Modeling (TAM) y Anti XSS Library para proteger las aplicaciones.

ACE Infrastructure Security Assessment (AISA) Auditoria de Seguridad de los Sistemas Microsoft (Windows, Exchange, SQL, IIS, etc) en conformidad con las guas 19

Security and Privacy Initiative FY10 Spain Microsoft

de seguridad de Microsoft y de otros estndares de seguridad de la industria. Para ello se utiliza la herramienta SPIDER para analizar hasta 1.00 settings de seguridad y configuracin para determinar el estado de los sistemas en relacin al estado deseado.

Performance Analysis Optimization Este analisis tiene como foco la capa de aplicacin con el objetivo de identificar y eliminar las principales causas de cuellos de botella de rendimiento. La combinacin de los siguientes aspectos son aplicados para ayudar a resolver los problemas de rendimiento de la aplicacin: Application Performance Review Application Network Analysis Application Load Test Application Scalability Test Application Performance Active Monitoring System

Application Security Code Review Este servicio proporciona la informacin necesaria para ayudar a comprender los riesgos de seguridad a nivel de cdigo fuente de vuestras aplicaciones crticas, adems de proporcionaros los pasos necesarios para mitigar estos riesgos. Microsoft realizar una revisin exhaustiva de vuestro cdigo, buscando vulnerabilidades de seguridad. Trainings de Seguridad para Arquitectos y Desarrolladores ACE Secure Application Deployment Training ACE SDL-IT Application Threat Modeling ACE SDL-IT Application Security Training TAM (Threat Analysis & Modeling)

Trainings de Seguridad de Infraestructura Public Key Infraestructure and IPSec Windows Vista/7 Security in Depth

Herramientas CAT.NET Code Analysis Tool .NET TAM Threat Analysis & Modeling Enterprise Edition SPIDER Security Profiler Intelligent Detection Engine for Remediation

Si desea obtener ms informacin sobre estos servicios, pnganse en contacto con nosotros en la siguiente direccin: simonros@microsoft.com

20

Security and Privacy Initiative FY10 Spain Microsoft

PASO 7 GESTIN DE LAS ACTUALIZACIONES

1. Actualizaciones oportunas.

Las revisiones y las actualizaciones de errores, junto con nuevas versiones de software, se pueden implementar desde el servidor en los equipos y porttiles de los usuarios. As sabe que se han realizado correctamente de forma oportuna y no tiene que depender de que los usuarios no se olviden. Cliente Necesidad Mediana a grande empresa (Tpicamente aquella con ms de 50 ordenadores ) Para administrar completamente la configuracin de actualizaciones y controlar de la distribucin de las actualizaciones para los equipos de redes de los clientes. WSUS no soporta el despliegue de actualizaciones que no pertenezcan a Microsoft. Opciones configurables que permiten a los profesionales IT recoger los informes de inventario de los dispositivos administrados, determinar qu actualizaciones se aplican a un equipo o grupo de equipos, especificar la accin requerida ante una actualizacin necesaria, y luego instalar las actualizaciones basadas en un horario flexible con poca o mnima intervencin del usuario. Disponible sin cargo para licencias de usuario que soporten Windows Server.

Ventajas y Consideraciones

Precio
Intended Customer

ER LA POLITICA WINDOWS SERVER UPDATELA DE SEGURIDAD DE SERVICES 3.0 (WSUS)

http://www.microsoft.com/spain/updateservices/default.mspx

21

Security and Privacy Initiative FY10 Spain Microsoft

2. Configuraciones especiales.
Puede impedir que los usuarios instalen programas no autorizados si limita su capacidad para ejecutar programas desde CD-ROM y otras unidades extrables o para descargar programas de Internet.

3. Supervisin.
Si se produce un acceso no autorizado en un equipo o si hay un error del sistema de algn tipo en algn equipo, se puede detectar inmediatamente mediante las capacidades de supervisin que estn disponibles en un entorno de equipos/porttiles administrado.

22

Security and Privacy Initiative FY10 Spain Microsoft

PASO 8 PROTEJA SUS DISPOSITIVOS MOVILES

Es muy importante que los trabajadores sean conscientes de la importancia de la seguridad en los aparatos mviles y los peligros que puede llevar consigo un mal uso. o o o o o o o o o Emplear las opciones de bloqueo del dispositivo terminal. No acepte conexiones de dispositivos que no conozca para evitar transferencias de contenidos no deseados. Ignore / borre SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios potencialmente peligrosos. Active mediante PIN el acceso al bluetooth. Bloquee la tarjeta SIM en caso de prdida para evitar que terceros carguen gastos a su cuenta. Instale un antivirus y mantngalo actualizado para protegerse frente al cdigo malicioso. No descargue software de sitios poco fiables para impedir la entrada por esta va de cdigos potencialmente maliciosos. Configure el dispositivo en modo oculto, para que no pueda ser descubierto por atacantes. Desactive los infrarrojos mientras no los vaya a utilizar.

PASO 9 PR PA ER LA POLITICA DE SEGURIDAD DE LA SYSTEM CENTER MOBILE DEVICE MANAGER

http://technet.microsoft.com/es-es/magazine/cc462799.aspx

23

Security and Privacy Initiative FY10 Spain Microsoft

PASO 9 PROTECCIN DE DATOS DE CARCTER PERSONAL OTECCIN DE DATOS DE CARCTER PERSONAL

1. Registre los ficheros.
Una de las obligaciones bsicas establecidas por la LOPD es la inscripcin de los Ficheros de datos de carcter personal en la Agencia Espaola de Proteccin de Datos, pero para realizar correctamente esta inscripcin es necesario realizar previamente la Localizacin de los Ficheros preexistentes, as como la determinacin de los nuevos ficheros a inscribir.

2. Cesin de datos a un tercero.

En muchas ocasiones las empresas contratan y subcontratan a otras empresas la prestacin de servicios profesionales especializados, servicios que suponen un acceso a los datos de carcter personal almacenados en nuestros ficheros para que sean tratados, almacenados y/o conocidos por estos profesionales. Aunque debiera proponerse por el Responsable del Fichero, cualquiera de las partes podr proponer la firma de un contrato de acceso a datos, que deber formalizarse preferiblemente por escrito, de manera que acredite fehacientemente su celebracin y contenido.

LIBRO ELECTRONICO GRATUITO: LA PROTECCIN DE DATOS PERSONALES

Este libro est disponible para su descarga de manera gratuita en la pgina principal de seguridad del Sitio Web de TechNet

http://technet.microsoft.com/es-es/security/

24

Security and Privacy Initiative FY10 Spain Microsoft

A travs de este libro en formato electrnico puede conocer cmo utilizar la tecnologa y recursos de seguridad de los productos Microsoft para garantizar la privacidad, confidencialidad y proteccin de los datos personales en los trminos que la LOPD exige a las organizaciones.

Un libro muy completo e interesante, que recoge temas como: Obligaciones bsicas Tratamientos especiales Infracciones y sanciones La seguridad en sistemas Microsoft Poltica de seguridad

25

Security and Privacy Initiative FY10 Spain Microsoft

ISTA DE AMENAZAS DE SEGURIDAD ( PASO 10 COMO REALIZAR UN PRESUPUESTO PARA SEGURIDAD

Realizar estimaciones para los costes en seguridad puede ser difcil. Le ofrecemos unas breves sugerencias que le ayudaran a planificar los presupuestos de una manera ms precisa. Alinee los presupuestos de seguridad con los objetivos de negocio. Anticipe los costes de seguridad con al menos seis meses de antelacin. Considere la posibilidad usar herramientas de seguridad estratgicas.

El problema en la presupuestacin El problema fundamental que encuentran las empresas cuando realizan un presupuesto en seguridad, es que no existe una tabla para calcular el riesgo. Para complicar la situacin, su presupuesto de seguridad debe incluir soluciones tecnolgicas para las amenazas tanto internas (ya sea accidental o intencional) como externas. Peor an, duplicando su inversin en seguridad no significa que su empresa se encuentre doblemente ms segura. La clave es un concepto bien conocido, aunque quiz no muy practicado: la alineacin con los objetivos de negocio. Si tiene buenas prcticas de seguridad pero no soluciona las iniciativas de negocio, existe un problema. Atendiendo a las necesidades de seguridad, entonces, como lo hara con otras reas de su presupuesto de IT: atribuir un cierto porcentaje para el mantenimiento general del sistema, lograra el presupuesto para los proyectos individuales. En otras palabras, ajustar su presupuesto de seguridad adecuadamente con el nivel de seguridad que cada aplicacin necesita.

Consideraciones durante las adquisiciones Lo fundamental para la evolucin es el crecimiento y las adquisiciones. Cuando comienza a planificar sus inversiones en seguridad, piense a largo plazo.

26

Security and Privacy Initiative FY10 Spain Microsoft

LISTA DE AMENAZAS DE SEGURIDAD (Ms importantes)

- Vulnerabilidades en el Software: Debilidad en el software que podra ser explotada. - Ataques Directos El 70 % del malware procede de ataques directos producidos por empleados de la compaa. o o o - Malware o o Virus: Malware cuyo cometido es alterar el funcionamiento normal de un ordenador. Gusanos: Software malicioso que tiene como caracterstica principal el poder reproducirse a s mismo. Los gusanos son diseados para espiar una red o sus usuarios, tomar el control de PCs o realizar ataques de Denegacin de Servicio. Troyanos: Aparentemente es un software benigno como un salvapantallas o un programa antivirus que esconde cdigos maliciosos (tales como puertas traseras, las cuales toman el control del PC) que se instalaran y activaran sin el consentimiento ni el conocimiento por parte del usuario. Spyware: Software malicioso que se instala en un ordenador (normalmente sin consentimiento) con la finalidad de recolectar y transmitir informacin sobre los sistemas sus usuarios. Trabajadores Descontentos Clientes Insatisfechos Competidores

- Ataques de Denegacin de Servicio (DOS): Ataque realizado a un sitio web, red o activo IT que impide responder a las peticiones de los usuarios, normalmente debido a la invasin masiva de solicitudes falsas. - Spam: Emails no solicitados u otras formas de comunicacin, a menudo diseados para vender productos de dudosa reputacin o stocks. - Contenido inapropiado o ilegal - Phishing: Tcnica usada fraudulentamente para obtener datos personales (datos de cuentas bancarias, nmeros de tarjetas de crdito, fechas de nacimiento etc.) desde correos electrnicos enviados por usuarios o supuestas entidades bancarias, departamentos del gobierno u otras instituciones importantes. El robo de estos datos es usado para robar dinero, abrir cuentas falsas y mucho ms. - Vishing: es una prctica fraudulenta en donde se hace uso del Protocolo VoIP y la ingeniera social para engaar a personas. - Snifadores de Paquetes: Software que puede detectar y robar la informacin que circula por una red, incluyendo contraseas y otra informacin confidencial. - Honey Pot: Ordenador u otro tipo de activos que aparenta (falsamente) ser parte de una red y esta desprotegida con el objetivo de atraer a atacantes informticos u otros malhechores para capturarles. 27

Security and Privacy Initiative FY10 Spain Microsoft

- Acceso a Wifis inseguras - Sitios Web con cdigo malicioso o Instalando Troyanos o Redireccin a un Web Site indeseado o Robo de contraseas o Instalacin de keyloggers o Adware: Software gratuito que automticamente muestra anuncios (debiendo descargar peridicamente contenido desde internet) en el PC. Algunos tipos de adware son tambin spyware. El adware puede ser usado con usos benignos y tambin malignos. - Ataques a las Contraseas o o o o Ataque de Fuerza Bruta Snifadores de Paquetes Suplantacin de IP: Consiste en la sustitucin de una direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar. Troyanos:

28

Security and Privacy Initiative FY10 Spain Microsoft

HERRAMIENTAS DESTACADAS

Administracin de las actualizaciones de seguridad

Microsoft Update

Microsoft Update rene las actualizaciones proporcionadas por Windows Update y Office Update en un mismo sitio y permite configurar su equipo para que reciba automticamente actualizaciones crticas y de seguridad. http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=en-us Windows Server Update Services (WSUS)

Windows Server Update Services (WSUS) simplifica el proceso de mantener actualizados los sistemas basados en Windows con las ltimas actualizaciones disponibles, con una mnima intervencin administrativa. http://technet.microsoft.com/en-us/configmgr/default.aspx System Center Configuration Manager

System Center Configuration Manager 2007 permite gestionar la implantacin y configuracin de sistemas operativos y aplicaciones, mejorando la seguridad y ofreciendo una evaluacin completa de servidores, equipos y dispositivos mviles. http://technet.microsoft.com/en-us/configmgr/default.aspx

29

Security and Privacy Initiative FY10 Spain Microsoft

Herramienta de inventariado Systems Management Server 2003 para Microsoft Updates

Los administradores de Systems Management Server pueden utilizar esta herramienta de inventariado para Microsoft Updates (ITMU) para ver si se est cumpliendo la actualizacin de los sistemas que gestionan.

http://technet.microsoft.com/en-us/sms/bb676783.aspx

Deteccin de actualizaciones de seguridad

Microsoft Baseline Security Analyzer (MBSA)

Microsoft Baseline Security Analyzer (MBSA) es una herramienta fcil de usar diseada para los profesionales de IT que ayuda a las pequeas y medianas empresas a determinar su estado de seguridad segn las recomendaciones de seguridad de Microsoft y ofrece orientacin de soluciones especficas. Mejore el proceso de administracin de seguridad utilizando MBSA para detectar los errores ms comunes de configuracin de seguridad y actualizaciones de seguridad que falten en sus sistemas informticos. http://technet.microsoft.com/es-es/security/cc184924.aspx Microsoft Office Visio 2007 Connector para Microsoft Baseline Security Analyzer

Este conector permite ver los resultados del anlisis de Microsoft Baseline Security Analyzer de manera clara y comprensible en un diagrama de Microsoft Office Visio 2007.

http://technet.microsoft.com/es-es/security/cc184925.aspx
Extended Security Update Inventory Tool

La herramienta Extended Security Update Inventory Tool sirve para detectar boletines de seguridad no cubiertos por MBSA incluidos los boletines de seguridad MS04-028, de febrero 2005 y futuros que son excepciones a MBSA.

http://www.microsoft.com/downloads/details.aspx?FamilyID=2c93da1d-48a0-4e5c991f-87e08954f61b&displaylang=en

30

Security and Privacy Initiative FY10 Spain Microsoft

Bloqueo, auditora y deteccin de intrusos

BitLocker Active Directory Recovery Password Viewer

Esta herramienta ayuda a localizar contraseas de recuperacin de Cifrado de unidad BitLocker para equipos basados en Windows Vista, o Windows Server 2008, en Servicios de dominio de Active Directory

http://www.microsoft.com/downloads/details.aspx?FamilyID=2786fde9-5986-4ed68fe4-f88e2492a5bd&displaylang=en

Herramienta de preparacin de la unidad BitLocker

Esta herramienta configura las unidades de disco duro del equipo de forma que sean compatibles con la habilitacin de BitLocker.

http://www.microsoft.com/downloads/details.aspx?FamilyID=320b9aa9-47e8-44f9b8d0-4d7d6a75add0&displaylang=en

31

Security and Privacy Initiative FY10 Spain Microsoft

Proteccin y eliminacin de virus y malware

Windows Defender

Windows Defender funciona con Internet Explorer 8 para ayudarte a tomar las decisiones adecuadas sobre el software instalado en el equipo, proporcionando una proteccin siempre activa que supervisa las ubicaciones clave del sistema y est alerta ante cualquier cambio que muestre la presencia de spyware.

http://www.microsoft.com/spain/windows/products/windowsvista/features/details/defen der.mspx

Malicious Software Removal Tool

Esta herramienta busca en los equipos infecciones por software malintencionado especfico y predominante, y ayuda a eliminarlas. Microsoft publica una versin actualizada de esta herramienta el segundo martes de cada mes, o segn se requiera para responder a incidentes de seguridad.

http://www.microsoft.com/spain/seguridad/malwareremove/default.mspx

32

Security and Privacy Initiative FY10 Spain Microsoft

Cumplimiento Normativo
Kit de herramientas de gestin de cumplimiento de seguridad.

Este kit combina guas de las mejores prcticas y herramientas automatizadas para ayudar a sus clientes a mantener seguros los equipos de Windows 7 frente a ataques

http://www.microsoft.com/downloads/details.aspx?FamilyID=5534BEE1-3CAD-4BF0B92B-A8E545573A3E&displaylang=en

33

Security and Privacy Initiative FY10 Spain Microsoft

RECURSOS

Newsletter de Seguridad para Profesionales IT

La newsletter de seguridad ofrece las ltimas noticias sobre seguridad de Microsoft, incluyendo: Trucos de Seguridad, actualizaciones, Eventos on-line y presenciales y ms

http://www.microsoft.com/spain/technet/security/bulletin/current.mspx

Informe de Inteligencia de Seguridad (SIR)

Este informe de carcter bianual proporciona una visin en profundidad de la tendencia de amenazas incluyendo: Vulnerabilidades en el software Exploits Malware Nuevas estafas : phishing, spam, ingeniera social

http://blogs.technet.com/luismi/archive/2009/05/06/informe-de-inteligencia-de-seguridadsir.aspx

Artculos de Seguridad

Artculos ms recientes que le ayudaran a mantener su infraestructura protegida.

http://technet.microsoft.com/es-es/magazine/cc135960.aspx

34

Security and Privacy Initiative FY10 Spain Microsoft

WebCast de Seguridad

Los Webcasts son sesiones en directo va Internet impartidas por expertos de Microsoft y la comunidad que le ayudarn a planificar, gestionar, mantener y dar soporte a los productos y tecnologas Microsoft. Una vez realizadas quedan grabadas para que pueda consultarlas cuando las necesite http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=13

Foros de Seguridad

Busque en los Foros para las preguntas y las respuestas tcnicas. http://social.technet.microsoft.com/forums/es-ES/categories/

Laboratorios Virtuales de Seguridad

Mejore la planificacin y gestin de la estrategia de Su organizacin con la ayuda de estos laboratorios virtuales. http://technet.microsoft.com/es-es/bb512932(en-us).aspx

35

Security and Privacy Initiative FY10 Spain Microsoft

FEEDBACK
Gracias por leer esta gua. Los autores de esta gua estn interesados en conocer sus comentarios e impresiones sobre como tus necesidades pueden ser solucionadas. Por favor, comparta sus comentarios sobre como siente que Microsoft puede ayudarle a mejorar este contenido. Por favor, enve sus comentarios al Equipo de Seguridad de Microsoft Espaa: luisgar@microsoft.com

36

Security and Privacy Initiative FY10 Spain Microsoft

ENLACES DE INTERES

SITIOS WEB
Pgina Principal de Seguridad Est al corriente de las ltimas noticias relevantes sobre seguridad
http://www.microsoft.com/spain/seguridad/default.mspx

Seguridad para PYMES

http://www.microsoft.com/spain/empresas/seguridad/default.mspx

Seguridad para Profesionales IT

http://www.microsoft.com/spain/technet/security/default.mspx

BLOGS

Blog de Seguridad y Privacidad de Microsoft El equipo de seguridad de Microsoft Espaa ha creado un blog, y estar especialmente dedicado a las ltimas noticias y novedades en Seguridad y Privacidad relativas a Microsoft. http://blogs.technet.com/luismi/

Blog ACE TEAM http://blogs.msdn.com/ace_team/default.aspx

Blog Tcnico de Mark Russinovich http://blogs.technet.com/markrussinovich/

37

Security and Privacy Initiative FY10 Spain Microsoft

GLOSARIO Y TRMINOS USADOS FRECUENTEMENTE

Binarios

Los dos componentes bsicos de una actualizacin son la actualizacin binaria (o binarios) y la actualizacin del archivo de metadatos. El binario es la actualizacin ejecutable. El archivo de metadatos es un documento XML que contiene informacin bsica sobre la actualizacin. Elevacin de privilegios

Cuando un usuario sin privilegios obtiene acceso para el que no est autorizado. Ataque dirigido

Ataques con objetivo establecido, ya sea personas, entidades o empresas, sin llegar a ser son ataques masivos.

38