Guía de Análisis y Seguridad Por AWERTY Clientes | Tecnología | Asistencia AWERTY Clientes | Tecnología | Asistencia Índice 0. Introducción 1. Análisis de seguridad 2. Análisis de seguridad interna 2.1. Usuarios y permisos 2.2. Sistemas desactualizados 2.3. Redes Wifi empresariales 2.4. Electrónica de red y comunicaciones 2.5. Copias de seguridad 2.6. Sistemas de protección 2.7. Seguridad ambiental y física 3. Análisis de seguridad externa 3.1. Comunicaciones 3.2. Sitios web corporativos 3.3. Dispositivos móviles vinculados 4. Métodos para el análisis y la periodicidad 4.1. La monitorización 5. Conclusiones www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 0. Introducción Internet nos hace libres. La frase, acuñada en los inicios de la globalización del servicio, aludía a la nueva forma de conocimiento auspiciada por la red, donde el usuario, siempre conectado, tiene acceso al conocimiento desde cualquier lugar, con cualquier dispositivo y sobre cualquier aspecto. En el terreno empresarial, las ventajas son innegables. Seguramente, la más destacada es la posibilidad dellegar a más clientes. Sin embargo, la moneda siempre tiene dos caras e internet no es la excepción. La simplicidad, la posibilidad de disponer de nuevos servicios siempre requiere de intermediarios y avanzadas programaciones construidas sobre la base de otras avanzadas programaciones. Es decir, es un proceso complejo que implica la actuación de muchas personas y ello puede generar vulnerabilidades de todo tipo. Las brechas de seguridad en una empresa pueden estar desencadenadas por negligencias cotidianas en nuestra forma de interaccionar con los ordenadores (contraseñas escritas en un post-it, redes Wifi desprotegidas, administración de sitios web sin ninguna seguridad, etc.), pero también las hay externas y premeditadas. Las vulnerabilidades se pueden convertir entonces en ataques que pueden derivar desde en robo de información confidencial o en daños de de un valor incalculable. Por fortuna, internet también permite que las máquinas faciliten información a otras máquinas y que éstas, a su vez, puedan ser controladas y gestionadas por personas. En definitiva, permite automatizar procesos que afectan a nuestra cotidianidad sin nuestra intervención. Con esta guía, desde Awerty Servicios Informáticos queremos mostrarte cómo gestionar los aspectos de seguridad relativos a los elementos habituales dentro de una empresas, sin obviar qué medios y tiempos son necesarios para mantener dicho control. Esperamos que te sea de utilidad. Con todo, no queremos desaprovechar la ocasión de ponernos a tu disposición para cualquier posible duda o problema que pueda surgir. Nos encontrarás en: Comercial@awerty.net 902 500 016 @awerty_TI www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 1. Análisis de seguridad El entorno privado de una empresa u organización puede ser un esquema complejo y, por tanto, el foco de una ristra de vulnerabilidades. Es precisamente la necesidad de conocer el estado de la seguridad empresarial (de forma preventiva), o de indagar en la causa que ha ocasionado un problema (de forma forense) la que da origen al servicio de Análisis de Seguridad (AdS). Habitualmente, los AdS siguen unos patrones o estándares ISO. Es decir, pueden estar certificados legalmente acorde a la normativa. Sin embargo, la prioridad de una compañía cuando realiza un ADS no debe ser que la pueda certifica un tercero, sino asegurarse de que la información que pueda recabar sea realmente importante: ¿qué experiencia tiene sobre el terreno?, ¿de qué información dispone?, ¿qué cantidad de recursos tiene a su alcance? Como partners de las compañías líder del sector de seguridad (Microsoft, Cisco, VMWare y Clavister) y, por tanto, conocedores de los entornos informáticos y de comunicaciones complejos más extendidos en el entorno empresarial, en Awerty Servicios Informáticos realizamos Análisis de Seguridad completos. En unas horas, podemos localizar el foco del problema, proponer al cliente la mejor solución y ejecutarla con celeridad para evitar daños mayores. Nos centramos en los siguientes campos: Detección de vulnerabilidades Análisis de la empresa • Filtración de información • Ataque externo • Defacing de un sitio • Recursos de los usuarios • Prácticas diarias de los usuarios y de la empresa • Disposición de los elementos Para tomar una foto exacta de la estructura de la empresa que sea un fiel reflejo de la situación en la que se halla, deben diferenciarse dos partes básicas: - el análisis externo el análisis interno Antes de contratar cualquiera de los dos servicios es fundamental tener claro en qué consiste cada uno, puesto que el foco de análisis es completamente distinto y, por tanto, también las acciones llevadas a cabo. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia Análisis de seguridad Intro red de redes Análisis Interno Análisis Externo -Usuarios y permisos -Nivel de actualización de los sistemas - Comunicaciones externas -Redes Wifi - Sitios web corporativos -Comunicaciones - Dispositivos móviles vinculados -Copias de seguridad Medios para el análisis - Personal especializado en seguridad - Servicio de Monitorización -Sistemas de protección -Seguridad ambiental - Permisos Antes de llevar a cabo un ADS interno o externo, debes tener en cuenta qué necesitarás: Inversión de tiempo AUDITORÍA RELEVANTE Inversión de recursos (humanos y tecnológicos) Herramientas analíticas A continuación, te detallamos los pasos a seguir para realizar un correcto análisis de seguridad. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 2. Análisis de seguridad interna El análisis de seguridad interna puede perseguir dos objetivos, o bien corroborar que todo funciona correctamente y evitar a la empresa sorpresas desagradables, o bien realizar un análisis forense. En el segundo caso, siempre hay un factor precipitante: pérdida de datos, intrusiones, infecciones, etc. Los apartados que verás a continuación te servirán para repasar, punto por punto, cómo proceder en ambos casos. 2.1. Usuarios y permisos Antes de iniciar un análisis de seguridad interna debes tener en cuenta si dispones, o no, de unas credenciales de uso para la red o equipos. Si dispones de ellas puedes acceder a varios recursos. Si no, deberás verificar hasta qué punto te condiciona, hasta dónde puedes llegar. En esta guía, centraremos este análisis en un entorno Windows, dado que el 95% del total de entornos con los que trabajamos a diario usan este sistema operativo. En cualquier caso, te mostraremos también cómo proceder si no dispones de credenciales y quieres comprabar si el acceso a la red es posible. Si dispones de un parque de ordenadores y demás recursos (servidores, almacenamiento en red, impresoras, etc.) debes tener en cuenta que la validación de cada usuario es constante, de modo que es fundamental que te asegures de que esa validación es fuerte. Si no dispones de credenciales Si estás tratando de dar con un usuario y una contraseña en una red empresarial lo primero que debes hacer es verificar lo siguiente: USUARIO PASSWORD INGENIERÍA SOCIAL Asegúrate de que el usuario no tiene el password visible (cajones del escritorio, post-it pegado en el monitor o en el portátil, etc.) Comprueba que es segura, que no usa nombre, apellidos u otras recurrentes ('123456', 'password', 'contraseña', en blanco, etc.) Obtén información del usuario (redes sociales, foros, etc) y asegúrate de que no es fácil dar con su contraseña (mascota, nombre del hijo). Si dispones de credenciales… Si tienes acceso a las credenciales lo más probable es que también conozcas el perfil de cada usuario. Es decir, si dispone o carece de permisos administrativos. Para realizar un análisis es www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia mejor tener unas credenciales elevadas, sobre todo si lo que quieres es comprobar los permisos de algún usuario. Cuando más elevados sean los permisos, más información podrás recopilar. Como hablamos de entornos Windows, debes centrarte en dos tipos de entornos, con Active Directory (AD) y sin él. Para poder ver todo lo que atañe al perfil de un usuario, debes centrarte en: Permisos sobre los recursos Los permisos en los recursos compartidos de la red o de una máquina deben estar controlados (tanto en entorno AD como sin él). Existen herramientas asociadas de Microsoft que permiten realizar la tarea de forma automatizada. Políticas aplicadas al perfil del usuario (sólo para AD) Puedes ver el conjunto resultante mediante la herramienta RsOP. De esta forma, verás qué políticas se aplican a los usuarios. Grupos de pertenencia del usuario (sólo para AD) Podrás ver a qué grupos de distribución o seguridad pertenecen los usuarios de dominio. Mediante scripting, sabrás a qué grupo pertenece cada usuario. Herramientas de terceros para ver permisos en AD Deben usarse con cuidado, dado que se integran con AD (no forman parte de un entorno Microsoft). Además, podrías realizar cambios no deseados. 2.2. Sistemas desactualizados Todos los sistemas que forman parte de la estructura informática empresarial deben mantenerse al día para evitar fallos de seguridad. Las desactualizaciones provocan agujeros de seguridad o vulnerabilidades, son incapaces de hacer frente a ataques nuevos y más sofisticados. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia •Revisar actualizaciones. La administración centralizada es más fluida que la gestión equipo por equipo. Hay dos alternativas: SO Windows 1. Administración de los equipos Windows de red mediante WSUS. 2. Administración de los dispositivos (Servers no) desde la nube mediante Windows Intune. •Se puede trabajar de forma centralizada. Por ejemplo, mediante SUSE Manager. SO Linux •El fabricante suele disponer de herramientas para sus sistemas. En este apartado debemos incluir todos los dispositivos que son susceptibles de tener un firmware o drivers para actualizar: Actualizar hardware Actualizar Apps Actualizar •Ej. Servidores, equipos cliente, Thin clients, Impresoras locales o en red, electrónica de red (switchs, router, firewall) •En un entorno Microsoft no existe una centralización de updates para las aplicaciones de terceros. Se debe trabajar con otras herramientas que requieren de licenciamiento de pago (Shavlik). De no optar por una solución centralizada se deberán revisar en todos los equipos las actualizaciones de las aplicaciones de terceros. •Se debe revisar, administrar y realizar las actualizaciones de los servicios que se presten en cloud, como por ejemplo los sitios web. Es decir, revisar la actualización de un gestor de contenidos, del servidor web, del servidor ftp, etc. entorno Cloud Actualizar BYOD •Bring Your Own Device está absolutamente desplegado en casi todas las empresas. Esto requiere un mayor control sobre las aplicaciones de los smartphones y tablets que acceden a recursos de la red empresarial (clientes de correo empresarial, navegadores, actualización del sistema operativo, etc.) www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 2.3. Redes wifi empresariales Disponer de un servicio Wifi en la empresa es lo más habitual. Ahora bien, antes de ponerla a disposición de todos los usuarios debes considerar los siguientes aspectos: … Quién Las redes wifi deben estar segmentadas para que se usen únicamente con el fin de acceder a internet. La red debe permanecer aislada del resto, sobre todo, si se cuenta con servicios más sensibles como los servidores de datos. Cualquier usuario, independientemente de dónde esté, debería poder acceder a los servidores de la empresa, siempre teniendo en cuenta que la Wifi no debe proporcionar servicios de carácter interno. Si también quieres proporcionar acceso a la red interna, configura un segundo acceso. … Cómo La práctica correcta debería ser crear una VLAN específica para la conexión Wifi que no pueda ver el resto de la red. Puedes leer aquí un ejemplo básico de esta práctica. Del mismo modo, mediante otra conexión Wifi puedes dar acceso al resto de dispositivos que pueden hacer uso de los recursos de la red interna. Por ejemplo, que un portátil pueda ver un servidor de ficheros. … Cuándo Asegúrate de que cuando no estás supervisando la conexión (fuera de horario de oficina) ésta no está disponible para su uso. Si el hardware te lo permite configura la Wifi para que deje de emitir en determinadas horas. … Auditoría De forma adicional, deberías realizar un anlisis sobre las conexiones Wifi. Siempre, claro, si tu hardware lo permite. Si la asignación de IP está configurada mediante un DHCP interno en la red (servidor Windows) también podrás auditar las horas de conexión. 2.4. Electrónica de red y comunicaciones En las comunicaciones, lo común es organizar y auditar por capas. En un sistema de cascada, podríamos reducir los elementos en Router Firewall Switches www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 2.4.1. Router El router es el elemento que da entrada a las comunicaciones, en primera instancia, y al tráfico de salida, en última. En el apartado de ADS Externa podrás obtener más información acerca de cómo puede detectarse desde el exterior, teniendo en cuenta que es precisamente el router quien se encarga de dar paso o salida a la comunicación por los puertos que tú determines. Para supervisar el router deberás tener en cuenta: Supervisión: Cambio de la contraseña / usuario por defecto Puertos TCP abiertos Redirecciones NAT realizadas hacia recursos internos No conceder respuestas ICMP Opción de configurar el dispositivo en modo transparente si tenemos un firewall por detrás Si presta el servicio Wifi, tener en cuenta todas las recomendaciones descritas en el apartado de redes Wifi empresariales. 2.4.2. Firewall En la actualidad es un elemento imprescindible. No se entiende un entorno seguro sin el firewall, que es quien gestionará y protegerá todo el tráfico de entrada y salida para la red corporativa. Tienes la posibilidad de dar mucha granularidad a la configuración, en función de las necesidades que presente cada red pero, a grandes rasgos, los parámetros básicos a tener en cuenta son: Supervisión: Gestión de logs, alarmas y demás información acerca de intentos de acceso, ataques, etc. Gestión de tráfico elemental para la empresa. Se debe abrir y redirigir el tráfico tanto de entrada como de salida de los puertos y protocolos básicos. Ejemplos: http, https, smtp, ftp, etc. En caso de que el dispositivo lo permita, es recomendable tener un control IDPS (Intrusion Detection and Prevention Systems, que recoja información acerca de todo el tráfico y las conexiones, detecte y se anticipe a ataques y reporte información, etc. En caso de que también podamos hacerlo con nuestro firewall, habilitar un filtro http de salida, que nos permita bloquear en las máquinas cliente webs maliciosas o de contenido no productivo. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 2.4.3. Switchs Los switchs nos sirven para repartir la red hacia distintos puntos de la empresa. Para sintetizar, podría decirse que el switch recibe el canal de datos y lo reparte hacia las distintas tomas que tiene. De la misma forma, cuando recibe una petición en uno de estos puertos se encarga de enrutarla hacia el destino que más convenga. Para confirmar un entorno seguro con la electrónica de red es necesario: Buenas prácticas: Cambio de la contraseña/usuario por defecto Segmentación de la red. Si es posible, crea segmentos por departamentos, plantas, etc. De esta forma, aislas cada segmento de posibles problemas que se transmitan por la red (virus, etc). Esta segmentación debería hacerse con la inclusión de VLANs*. Deshabilitar todos los protocolos que no se vayan a usar en el tráfico de red para evitar posibles ataques DDoS Desactivar los puertos que no se usen o dejarlos en una VLAN aislada Si disponemos de la opción, habilitar el protocolo Spanning Tree Si disponemos de la opción, habilitar Dynamic ARP Inspection Si disponemos de la opción, habilitar DHCP Spoofing. Indica qué servidores DHCP van a poder trabajar a través de un puerto. Esto evita que alguien ponga un servidor DHCP en nuestra red, ya sea por error o de forma intencionada para llevar a cabo un ataque man in the middle. Tener controlados los registros a nivel de puertos activos * La creación de VLANs te permite: 1. Dividir la red en distintos rangos IP. Esto permite delimitar los dominios de broadcast y descongestiona la red. A partir de 80-100 direcciones IP en funcionamiento, la red funcionará mejor si está dividida en distintas subredes, que si toda la compañía trabaja en el mismo rango. 2. Protegerte contra a propagación de malware tipo gusano. 3. Si tu electrónica de red es lo suficientemente avanzada puedes ir un paso más allá y controlar qué protocolos/puertos dejas pasar entre una VLAN y otra. ¿Es necesario que todos los PCs de la compañía se vean entre todos al navegar por la red? Seguramente no. ¿Quizá sería suficiente con que viesen a los servidores? ¿Es necesario que lo vean todo de todos los servidores? Seguramente tampoco. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 2.5. Copias de seguridad Para seguir todo un estándar de seguridad, en la auditoría debe quedar certificado que existen copias de seguridad de los datos imprescindibles de la empresa. La tónica general es creer son los datos almacenados en un recurso compartido los que se deben copiar para tener un resguardo suficiente. Pero en realidad, hay mucho más a tener en cuenta acerca de qué debe copiarse, cómo y dónde. … Qué Evidentemente, hay información crítica alojada en recursos de la red en formato documento que se debe copiar (facturas, procedimientos, contratos, etc), pero debes tener en cuenta otros elementos igualmente importantes: Controladores de dominio Copiar el System State para poder tener la seguridad de que podremos recuperar el entorno Active Directory en caso de desastre, ya que incluye el registro, certificados, metabase de IIS, etc. x Bases de datos Debe hacerse una copia de todas las bases de datos mediante procesos automatizados, tanto si ocupa 10GB como 100GB. Un fallo de la base de datos, cuando no hay una copia de seguridad correcta, puede suponer un desastre absoluto para la compañía. Ejemplos de procesos de copia mediante Studio Management en SQL 2012 y 2008 Sistemas de correo Realizar la copia de seguridad de los buzones es de vital importancia si tenemos en cuenta el peso e importancia que ha cobrado el correo electrónico empresarial. Ejemplo de proceso de copia en Microsoft Exchange Otros elementos Seguramente, se podrían contemplar muchísimos más factores a tener en cuenta para una copia (máquinas virtuales por ejemplo), pero cada escenario es un mundo y es aquí donde el análisis adopta su vertiente más analítica. La pregunta es: ¿Todo lo que debería estar guardado lo está? www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia … Cómo y cuándo Cómo y dónde realizar las copias de seguridad es algo que atañe más a la elección que hagas a la hora de adquirir un software de copias de seguridad. Nuestra recomendación es que optes por un software de terceros, dado que en este aspecto Microsoft no cubre las necesidades (no es su mercado). En tu elección debes tener en cuenta que… - puedas realizar las copias de seguridad al medio del que dispongas: cinta, almacenaje en red, almacenamiento externo, etc. - las copias deben seguir una rotación lógica. Por ejemplo, realizando backups incrementales de lunes a jueves, y un completo el viernes. - si realizas las copias en un medio extraíble (cinta, disco duro) debes tener, por lo menos, uno de estos elementos de la rotación fuera de la empresa. Es decir, cada cierto tiempo, uno de estos medios debe quedar alojado fuera de las instalaciones para evitar la pérdida de datos por catástrofe en las oficinas (un incendio, por ejemplo). - si se realizan las copias en un entorno que lo permita, puede optarse también por el backup online, o la duplicación del backup en otro nodo externo (a través de Internet). Aquí tienes algunos ejemplos de fabricantes de copias de seguridad - gratuita (Cobian Backup). de pago (ARCServe Backup UDP - D2D) 2.6. Sistemas de protección Como sistema de seguridad entendemos una herramienta que nos cubra la seguridad de nuestros dispositivos. Por eso, una organización no puede plantearse como alternativa no tener una solución de antivirus en su infraestructura, dado el control que debemos tener sobre los dispositivos y los usuarios. Para poder cubrir este espectro de la seguridad hemos de tener en cuenta las siguientes consideraciones: Antivirus de pago •Garantiza un soporte avanzado de resolución de problemas •Garantiza la actualización de firmas Gestión centalizada •Permite administrar los dispositivos desde un mismo punto •Los fabricantes permiten obtener reportes sobre estadísticas, infecciones, ataques, etc. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 2.7. Seguridad ambiental y física Hay una serie de factores que son primordiales a la hora de blindar la seguridad de que nuestros sistemas, son los denominados factores ambientales o físicos. Todos los elementos electrónicos deben estar en un CLIMA AMBIENTAL propicio. Sobre todo, aquellos que estén en un CPD o sitio centralizado. Deben estar exentas de PELIGROS ADICIONALES. Ejemplos: equipos encima de estanterías inestables, con cuadros eléctricos sobrecargados, etc. Las ubicaciones deben tener un acceso restringido a personal NO AUTORIZADO. SISTEMAS DE ALIMENTACIÓN ininterrumpida bien dimensionados. En caso de falta de suministro eléctrico se debe poder proceder al cierre ordenado de los diversos sistemas y apagado de dispositivos. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 3. Análisis de seguridad externa El ADS Externo cubre los aspectos que atañen sobre todo a las comunicaciones de la empresa y que deben estar supervisados para que los accesos hacia la red interior o los servicios externos relacionados no supongan un factor de riesgo. Dividimos estos accesos en tres categorías que hay que analizar regularmente y dar certificación de que no podrán ser atacados, no podrán ser usados para recabar información o no supondrán un filtraje de información empresarial. 3.1. Comunicaciones Las comunicaciones externas se ciñen estrictamente en un aspecto: la IP pública. Esta dirección (o direcciones) es la que está al frente de todo en Internet y, quie tiene la potestad de recibir la llamada de entrada de todas las peticiones. Por lo tanto, lo que aquí se analiza sobre todo son los siguientes puntos: 3.1.1. Puertos TCP y UDP visibles desde el exterior Para analizar esto puedes usar cualquier web que te ofrezca el servicio online como MxToolbox o usar herramientas más especializadas como Nmap. La ventaja de usar el segundo ejemplo es que podrás recabar mucha más información (incluye software de figerprinting para tratar de averiguar posibles versiones de software y hardware a la escucha), así como definir rangos de puertos, tipos, scripts personalizados, etc. 3.1.2. Vulnerabilidades de los puertos abiertos Todas las posibles vulnerabilidades de los puertos abiertos y a la escucha, deben ser analizadas minuciosamente. En este punto, te adentras en el terreno del pentesting, que no es más que la labor de trabajar con todo tipo de herramientas específicas para arrojar luz en las posibles vulnerabilidades de los servicios, programas o hardware que haya detrás de los puertos abiertos y a la escucha. Hay un abanico enorme de posibilidades, pero lo más lógico sería seguir un patrón: Análisis de los puertos (como ya has visto anteriormente en la guía) Búsqueda de información sobre los estándares IANA Relación de servicios, software y hardware en CVE Pentesting de las posibles vulnerabilidades con herramientas como Metasploit, o bien usar entornos específicos con más herramientas como Kali 3.2. Sitios web corporativos Las páginas web son un pilar imprescindible para cualquier empresa hoy en día, y por lo tanto no pueden quedar exentas de ser analizadas. No importa si están alojadas en las propias instalaciones de la compañía o en la nube pública. En ambos casos, es necesario someterlas a un análisis para evitar que supongan un riesgo para ellas mismas o para la propia compañía. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia Análisis de la web Analisis de metadatos • Buscar todas las vulnerabilidades mediante herramientas tipo Crawler como WebScarab •Este listado de vulnerabilidades deberá ser analizado resultado a resultado y comprobando todos los tipos de vulnerabilidades (XSS, SQLInjection, etc) •Los metadatos revelan información empresarial de carácter crítico: nombres de usuarios, direcciones de correo, accesos, nombres de servidores, etc. •Para entender este procedimiento y como recabar esta información, se puede usar una herramienta como FOCA 3.3. Dispositivos móviles vinculados | BYOD La práctica BYOD (Bring Your Own Device) está ya absolutamente implantada en casi todas las empresas debido a las ventajas que ofrece tanto al trabajador como a la propia compañía. Sin embargo, la empresa que incorpore esta prática debe ser consciente también de que esta manera de trabajar la obliga a extremar precacuciones. Si se consiente el acceso a recursos de la empresa desde dispositivos que son propiedad de los usuarios y no de la compañía, ésta debe tener la certeza de que no suponen un riesgo en materia de seguidad. Los servicios más comunes usados por los smartphones, tablets, portátiles, etc., para acceder a los recursos de la empresa son: Acceso al correo corporativo mediante app cliente Acceso al correo corporativo mediante http Acceso a la/s página/s web corporativa Acceso a máquinas virtuales mediante VMware View Acceso a un equipo mediante servicio de Escritorio Remoto Acceso a la red interna mediante conexión VPN Acceso a una red social empresarial, por ejemplo Yammer La lista podría aumentar si se analiza en profundidad la infraestructura de una compañía y se conocen bien todos los servicios que se ofrecen hacia el exterior. En cualquier caso, lo importante en este sentido es no obviar que los dispositivos de los usuarios se conectan a la red y lo hacen, claro, con todo lo que tienen dentro, sea bueno o malo. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia Es decir, si un dispositivo está infectado con un troyano y se conecta a través de Escritorio Remoto contra un servidor de la empresa, éste puede verse comprometido y la brecha de seguridad podría desembocar en el robo del usuario y la contraseña del Administrador del Dominio. Para beneficiarte de la práctica BYOD sin comprometer la seguridad de tu instalación debes seguir unas pautas (el sentido común se presupone). Aunque es imposible controlar al 100% los dispositivos BYOD (teniendo en cuenta que son propiedad del usuario), hay factores imprescindibles. 1. Sistema de protección antivirus Probablemente, es más económico dejar que el usuario incorpore su dispositivo como herramienta de trabajo, que no comprar todo un parque informático y aplicarle ciertas restricciones. Si usas una protección centralizada (véase, Windows Intune) procura que gestione la seguridad tanto de sistemas Windows (escritorio o smartphone) como Android o iPhone. 2. Actualizaciones del sistema operativo También las podrías gestionar desde Intune para los dispositivos Windows. Para Android o iPhone, la gestión debería hacerse de forma individual, de forma que deberías asegurarte de que tanto el sistema como las aplicaciones reciben las últimas actualizaciones. 3. Controlar el acceso a las descargas Educar a los usuarios del uso de GooglePlay, Intunes, WindowsMarket o descargas convencionales. De esta forma, podremos darle al usuario un patrón para saber qué puede y qué no instalar en el dispositivo. 4. Educar al usuario en el uso de redes Wifi Ya sea porque desde el usuario accederá a través de su dispositivo a alguno de los ejemplos anteriores, o por su propia seguridad, debe tener claro a qué redes Wifi puede conectarse y qué puede hacer en ellas. Por ejemplo, no es nada recomendable que un usuario consulte datos críticos en un recurso de la empresa mediante Escritorio Remoto, estando conectado mediante la Wifi gratuita de una cafetería. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 4. Métodos para el análisis y periodicidad Para un correcto control de la seguridad de nuestro sistema informático hemos de combinar diversos métodos. Dotarnos de mecanismos de alerta que nos informen mediante alertas y control de métricas del estado de nuestros sistemas. Herramientas de monitorización correctamente configuradas que agrupan la recogida de información de todos los equipos y servicios informáticos son fundamentales. Personal orientado a este tipo de materia, con conocimiento y ganas de indagar en nuevas vulnerabilidades y en cómo subsanarlas. Un equipo multidisciplinar en la microinformática siempre proporciona una visión más concreta de la seguridad que conviene aplicar en una red informática dentro de una empresa. Disponer de un calendario bien definido de chequeos rutinarios de nuestros sistemas. Depediendo de la importancia de cada sistema, la periodicidad será mayor o menor. Sólo un minuto después de una revisión de seguridad, puede haber una nueva brecha en nuestro sistema. Estos procesos han de estar debidamente documentados en un informe que dé información sobre los procedimientos que se han aplicado para hacer la revisión. También mostrará los resultados obtenidos y en caso de encontrar deficiencias, explicitará cómo de resolverlas o informará de cómo se han resuelto 4.1 La monitorización Mediante un software de control en tiempo real que analiza cómo están actuando los dispositivos informáticos, tanto hardware de toda índole como softwares relevantes dentro de la organización (los llamados sensores), en Awerty Servicios Informáticos añadimos una capa de seguridad a nuestra infraestructura al mismo tiempo que tenemos información histórica de diversas métricas que nos permiten ver tendencias. Los softwares de monitorización se encargan fundamentalmente de: Conocer la disponibilidad de los elementos de la red Tener información del estado del hardware que compone estos elementos www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia Ver los consumos de memoria y CPU Saber el estado de los servicios que ofrece cada elemento Anuar el estado general de un conjunto de elementos, hardware y software, que afectan a un proceso de negocio de la empresa. Software de monitorización Personas Interfaz gráfica que visualiza en forma de mapa el estado de cada sensor Alarmas vía mail/sms cuando hay errores en los o se superan los umbrales de consumo definidos La monitorización de estos sensores se puede acometer hablando con ellos mediante diversos protocolos. Algunos de ellos específicos del control de medios informáticos, tales como SNMP (Simple Network Management Protocol) o WMI (Windows Management Infraestructure), y otros mediante el lenguaje específico dento del STACK TCPIP. Algunos ejemplos son POP3, SMTP, PING, HTTP, TELNET, IMAP, etc. La monitorización es un guardián activo, que permanece vigilante las 24 horas del día y vela siempre por el correcto funcionamiento de todos nuestros sistemas. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona AWERTY Clientes | Tecnología | Asistencia 5. Conclusiones Esperamos que esta guía haya contrinuido a arrojar luz acerca de la importancia capital que tiene la seguridad dentro de una organización. Hemos intentado acercarnos al análisis de seguridad sin demasiados tecnicismos ni centrándonos en un procedimientos concreto de análisis de seguridad, que nos podrían llevar horas de documentación adicional. Nuestro objetivo ha sido proporcionar una visión global de cómo acometer el proceso de seguridad de los sistemas informáticos de una empresa. Si queres hacernos algún comentario o necesitas aclaración respecto a alguno de los aspectos tratados en este documento no dudes en contactar con nosotros. Estaremos encantados de poder mejorar el documento con tus aportaciones y tus ideas. Comercial@awerty.net 902 500 016 @awerty_TI Awerty Servicios Informáticos, S.L Aviso Legal. Los contenidos de esta Guía son de propiedad exclusiva de Awerty Servicios Informáticos, S.L. Queda prohibida su divulgación, publicación, distribución, reproducción sin previo consentimiento de ésta. Todas las marcas registradas y logotipos de terceros que puedan aparecer en este texto son propiedad de sus respectivos fabricantes. Limitación de responsabilidad. Awerty Servicios Informáticos, S.L. no se hace responsable de los daños directos o indirectos que puedan producirse en los sistemas informáticos de terceros como consecuencia de la puesta en práctica del contenido de esta guía. www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona