Академический Документы
Профессиональный Документы
Культура Документы
Índice
Servicios ..........................................................................................................................3
Banca en línea..................................................................................................................................................................................4
Mensajería Instantánea................................................................................................................................................................5
Juegos en línea................................................................................................................................................................................5
Servidores..........................................................................................................................................................................................7
Enlaces de interés...........................................................................................................................................................................7
Seguridad para PyMEs – Buenas practicas de seguridad
La implementación de medidas de seguridad es una tarea dinámica, y cada empresa deberá definirlasde
acuerdo con sus necesidades. Sin embargo existen ciertos lineamientos generales que pueden ser aplicados en
la mayoría de las organizaciones. En este último módulo se describen una serie de buenas prácticas a
considerar por los responsables de la seguridad en la empresa, y otros puntos a tener en cuenta a la hora de
tomar decisiones.
Servicios
La disponibilidad de servicios en los puestos de trabajo de cada usuario es una decisión que debe
tomarse en conjunto con la alta gerencia, teniendo en cuenta las cuestiones de seguridad, pero sin
perjudicar, en la medida de lo posible, la línea de negocio de la empresa. El objetivo de la implementación
de los controles de seguridad será brindar medidas de protección, manteniendo el mayor grado de
usabilidad y confidencialidad que sea deseado por la organización.
En ese contexto se debe decidir qué servicios podrán utilizar los usuarios, teniendo en cuenta los ventajas
y riesgos asociados.
Correo electrónico
El correo electrónico es una vía de infección para los equipos y, además, puede ser utilizado para robo o
fuga de información. Su utilización debe estar regida y controlada por el Departamento de Sistemas y
explicitada en las Políticas de Seguridad de la organización.
Además, el Spam (correo no solicitado) es una amenaza constante para la empresa por su posibilidad de
propagar malware y sus efectos en el rendimiento de la red y en la performance de los empleados.
• Decidir (e informar) respecto a la permisión del uso de cuentas de correo personales durante la
jornada laboral.
Navegación Web
El acceso web es uno de los mayores riesgos para la red de la empresa, fundamentalmente por la
posibilidad de que los usuarios accedan a sitios web con contenido malicioso y se infecten las estaciones
de trabajo. Un administrador puede disponer de herramientas alternativas a la permisividad o prohibición
total de este servicio.
Banca en línea
El acceso a servicios de banca en línea debe ser realizado con precaución tanto para las cuentas
empresariales, como así también respecto al uso de servicios individuales de los empleados.
Se debe definir la política de uso de este tipo de servicios y comunicar a todos los empleados cuáles son
los criterios adoptados por la empresa.
Teniendo en cuenta que el robo de credenciales bancarias es realizado comúnmente a través de ataques
de Phishing, con un alto componente de Ingeniería Social, el uso del Home Banking debe ser incluido en
la concientización a los usuarios en materia de seguridad1.
1
Para más información consulte “Seguridad en las transacciones comerciales en línea” de ESET en http://edu.eset-la.com
Seguridad para PyMEs – Buenas practicas de seguridad
Mensajería Instantánea
La mensajería instantánea y el chat son, además de herramientas de posible distracción, otras vías
posibles de infecciones. Sin embargo, pueden ser útiles para ciertos trabajos. Por lo tanto, se debe definir
la política de uso de estos servicios y habilitar las aplicaciones pertinentes sólo en los equipos en que sea
necesaria su utilización.
Juegos en línea
Por lo tanto es recomendable concientizar a los usuarios sobre estos riesgos. En lo posible, prohibir la
utilización de este tipo de servicios en el entorno corporativo y utilizar un antivirus con bloqueo de sitios
web y de puertos USB (son los más utilizados por estos códigos maliciosos), como ESET Smart Security.
Redes P2P
Redes Wireless
Las redes Wireless (inalámbricas) son una necesidad para muchas empresas, dada la gran cantidad de
dispositivos móviles con Wi-Fi y la comodidad de uso. Sin embargo, estas redes pueden ser vulneradas
fácilmente si no son correctamente configuradas, dando acceso a personas indeseadas y permitiendo el
robo de información.
Seguridad para PyMEs – Buenas practicas de seguridad
Ante estas medidas de seguridad, si algún miembro del personal interno desea conectarse con su laptop
a los servicios de la LAN, deberá utilizar alguna de las siguientes alternativas:
• Conectar con cables su dispositivo a la LAN.
• Conectarse por Wireless y luego conectar una VPN para tener acceso a la red LAN.
Puestos de trabajo
• Restringir los usuarios administrativos en los equipos sólo a personal autorizado.
• Restringir la instalación de aplicaciones y controlar la cantidad de aplicaciones instaladas.
• Mantener actualizados el sistema operativo y todas las aplicaciones que se utilicen.
• Instalar soluciones antivirus y firewall en todos los puestos de trabajo.
• Todos los usuarios que accedan a los sistemas, deberán ser auditables ante un posible incidente.
2
Para más información sobre hardening, ver módulo 3 del presente curso.
Seguridad para PyMEs – Buenas practicas de seguridad
Servidores
• Restringir el acceso administrativo a los servidores sólo a personal autorizado.
• Revisar los logs de los servidores periódicamente (al menos semanalmente) en busca de errores.
• Mantener actualizados el sistema operativo y todas las aplicaciones que utilice el servidor.
• Deshabilitar los servicios que no se estén utilizando o que sean innecesarios.
• Contar con entornos de prueba para testear antes de aplicar cambios en los servidores. La
virtualización es una gran herramienta para mantener entornos de prueba a bajo costo.
• Todos los usuarios que accedan a los sistemas, deberán ser auditables ante un posible incidente.
• Utilizar aplicaciones de seguridad para entornos cliente-servidor como ESET Remote Administrator
o ESET Linux Security.
Enlaces de interés
• Windows XP Security Guide.
http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-
09A8A229F118&displaylang=en
• Windows Vista Security Guide.
http://www.microsoft.com/downloads/details.aspx?familyid=A3D1BBED-7F35-4E72-BFB5-
B84A526C1565&displaylang=en
• Windows Server 2003 Security Guide.
http://www.microsoft.com/downloads/details.aspx?familyid=8a2643c1-0685-4d89-b655-
521ea6c7b4db&displaylang=en
• Windows Server 2008 Security Guide.
http://www.microsoft.com/downloads/details.aspx?familyid=FB8B981F-227C-4AF6-A44B-
B115696A80AC&displaylang=en
• Implementación de Servidores con GNU Linux.
http://www.alcancelibre.org/filemgmt/index.php?id=1
• Hardening Tips for the Red Hat Enterprise Linux 5.
http://www.nsa.gov/notices/notic00004.cfm?Address=/snac/os/redhat/rhel5-pamphlet-i731.pdf
Seguridad para PyMEs – Buenas practicas de seguridad
Copyright © 2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este
curso, son marcas registradas de sus respectivos propietarios y no guardan relación con ESET, LLC y ESET,
spol. s.r.o.
© ESET, 2009
Acerca de ESET
Fundada en 1992 y con oficinas centrales en San Diego, California, Estados Unidos, ESET es una compañía
global de soluciones de software de seguridad que provee protección de última generación contra virus
informáticos.
El premiado producto antivirus ESET NOD32, asegura el máximo rendimiento de su red, detección
mediante Heurística Avanzada, y soporte mundial gratuito. Además, ESET lanzó al mercado su nueva
solución unificada ESET Smart Security, la cual incorpora a ESET NOD32 las funcionalidades de Antispam y
Firewall Personal.
ESET NOD32 les da a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como
resultado de una mayor productividad, bajo tiempo ocupado, y un uso mínimo de los recursos.
ESET NOD32 logra más premios Virus Bulletin 100% que ningún otro producto antivirus disponible,
detectando consistentemente todos los virus activos (in-the-wild) sin falsos positivos.
El trabajo de ESET con grandes corporaciones como Canon, Dell, Bridgestone y Microsoft le ha permitido
entrar en el Fast 50 de Deloitte Technology por tres años consecutivos, además de estar entre las 10
empresas de mayor crecimiento en San Diego, de acuerdo al San Diego FAST 100.
ESET es una compañía privada con oficinas en San Diego (Estados Unidos), Londres (Reino Unido), Praga
(República Checa), Bratislava (Eslovaquia) y Buenos Aires (Argentina).
Para más información, visite www.eset-la.com