Seguridad para PyMEs

Módulo: Buenas Prácticas de Seguridad

ESET, LLC 610 West Ash Street, Suite 1900

phone: (619) 876 – 5400, fax: (619) 437 – 7045
sales@eset.com, www.eset.com
 Seguridad para PyMEs – Buenas practicas de seguridad

Índice
Servicios ..........................................................................................................................3

Correo electrónico .........................................................................................................................................................................3

Navegación Web ............................................................................................................................................................................4

Banca en línea..................................................................................................................................................................................4

Mensajería Instantánea................................................................................................................................................................5

Juegos en línea................................................................................................................................................................................5

Redes P2P ..........................................................................................................................................................................................5

Redes Wireless ................................................................................................................5

Administración de Sistemas Operativos.......................................................................6

Puestos de trabajo .........................................................................................................................................................................6

Servidores..........................................................................................................................................................................................7

Enlaces de interés...........................................................................................................................................................................7
 Seguridad para PyMEs – Buenas practicas de seguridad

La implementación de medidas de seguridad es una tarea dinámica, y cada empresa deberá definirlasde
acuerdo con sus necesidades. Sin embargo existen ciertos lineamientos generales que pueden ser aplicados en
la mayoría de las organizaciones. En este último módulo se describen una serie de buenas prácticas a
considerar por los responsables de la seguridad en la empresa, y otros puntos a tener en cuenta a la hora de
tomar decisiones.

Servicios
La disponibilidad de servicios en los puestos de trabajo de cada usuario es una decisión que debe
tomarse en conjunto con la alta gerencia, teniendo en cuenta las cuestiones de seguridad, pero sin
perjudicar, en la medida de lo posible, la línea de negocio de la empresa. El objetivo de la implementación
de los controles de seguridad será brindar medidas de protección, manteniendo el mayor grado de
usabilidad y confidencialidad que sea deseado por la organización.

En ese contexto se debe decidir qué servicios podrán utilizar los usuarios, teniendo en cuenta los ventajas
y riesgos asociados.

Correo electrónico

El correo electrónico es una vía de infección para los equipos y, además, puede ser utilizado para robo o
fuga de información. Su utilización debe estar regida y controlada por el Departamento de Sistemas y
explicitada en las Políticas de Seguridad de la organización.

Además, el Spam (correo no solicitado) es una amenaza constante para la empresa por su posibilidad de
propagar malware y sus efectos en el rendimiento de la red y en la performance de los empleados.

Entre las buenas prácticas en este campo se incluyen:

• Asignar cuentas corporativas a cada empleado que necesite una y prohibir el envío de información
corporativa por correos electrónicos ajenos a la empresa.
• Homogeneizar la utilización de clientes de correo y sus configuraciones en los puestos de trabajo.
• Instalar un Anti-Spam corporativo a nivel de red y, preferentemente, una solución en cada puesto
de trabajo compatible con el cliente de correo a utilizar, como ESET Smart Security.
• Clarificar en las Políticas de Seguridad cuáles son los usos que se pueden dar al correo electrónico
corporativo.
 Seguridad para PyMEs – Buenas practicas de seguridad

• Decidir (e informar) respecto a la permisión del uso de cuentas de correo personales durante la
jornada laboral.

Navegación Web

El acceso web es uno de los mayores riesgos para la red de la empresa, fundamentalmente por la
posibilidad de que los usuarios accedan a sitios web con contenido malicioso y se infecten las estaciones
de trabajo. Un administrador puede disponer de herramientas alternativas a la permisividad o prohibición
total de este servicio.

Entre las buenas prácticas en este campo se incluyen:

• Configurar un servicio de control de tráfico de red que permita controlar y definir qué sitios web
podrán ser accedidos, o no, por cada usuario. Este puede ser implementado como un servidor (Proxy) o
en los puestos de trabajo de los usuarios.
• Controlar la navegación web a través de herramientas antivirus, como ESET NOD32 o ESET Smart
Security, para denegar el acceso a sitios web peligrosos.
• Homogeneizar la utilización de navegadores y sus configuraciones en los puestos de trabajo.
• Utilizar filtros de navegación para poder administrar los sitios permitidos, como ESET Smart
Security.

Banca en línea

El acceso a servicios de banca en línea debe ser realizado con precaución tanto para las cuentas
empresariales, como así también respecto al uso de servicios individuales de los empleados.

Se debe definir la política de uso de este tipo de servicios y comunicar a todos los empleados cuáles son
los criterios adoptados por la empresa.

Teniendo en cuenta que el robo de credenciales bancarias es realizado comúnmente a través de ataques
de Phishing, con un alto componente de Ingeniería Social, el uso del Home Banking debe ser incluido en
la concientización a los usuarios en materia de seguridad1.

1
Para más información consulte “Seguridad en las transacciones comerciales en línea” de ESET en http://edu.eset-la.com
 Seguridad para PyMEs – Buenas practicas de seguridad

Mensajería Instantánea

La mensajería instantánea y el chat son, además de herramientas de posible distracción, otras vías
posibles de infecciones. Sin embargo, pueden ser útiles para ciertos trabajos. Por lo tanto, se debe definir
la política de uso de estos servicios y habilitar las aplicaciones pertinentes sólo en los equipos en que sea
necesaria su utilización.

Juegos en línea

Si bien existen sitios de juegos en línea completamente legítimos y legales (dependiendo de la

jurisprudencia del país de origen), también se han creado gran cantidad de sitios con estos fines
maliciosos:
• Diseminar archivos infectados.
• Obtener información sensible de los usuarios.
• Cometer acciones fraudulentas con los datos obtenidos.

Por lo tanto es recomendable concientizar a los usuarios sobre estos riesgos. En lo posible, prohibir la
utilización de este tipo de servicios en el entorno corporativo y utilizar un antivirus con bloqueo de sitios
web y de puertos USB (son los más utilizados por estos códigos maliciosos), como ESET Smart Security.

Redes P2P

La utilización de redes P2P no es recomendable en entornos corporativos. El consumo de ancho de

banda, la exposición de información y la probabilidad de descargar archivos ilegales o infectados son las
principales razones para prohibir su uso, tanto a nivel técnico (inhabilitando su instalación, cerrando
puertos en el firewall, etc.) como clarificando su prohibición en las Políticas de Seguridad.

Redes Wireless
Las redes Wireless (inalámbricas) son una necesidad para muchas empresas, dada la gran cantidad de
dispositivos móviles con Wi-Fi y la comodidad de uso. Sin embargo, estas redes pueden ser vulneradas
fácilmente si no son correctamente configuradas, dando acceso a personas indeseadas y permitiendo el
robo de información.
 Seguridad para PyMEs – Buenas practicas de seguridad

Entre las buenas prácticas en este campo se incluyen:

• Proteger todas las redes Wireless con contraseñas fuertes. Además, modificar periódicamente las
contraseñas.
• Mantener las redes Wireless desconectadas de la red cableada y del entorno de servicios internos
de la red.
• Mantener redes Wireless separadas para uso de personal interno y personal externo.

Ante estas medidas de seguridad, si algún miembro del personal interno desea conectarse con su laptop
a los servicios de la LAN, deberá utilizar alguna de las siguientes alternativas:
• Conectar con cables su dispositivo a la LAN.
• Conectarse por Wireless y luego conectar una VPN para tener acceso a la red LAN.

Administración de Sistemas Operativos

Como parte del proceso de hardening2 de los sistemas operativos, se enumeran algunas buenas prácticas
referidas a la administración de los mismos, teniendo en cuenta tanto puestos de trabajo como
servidores.

Puestos de trabajo
• Restringir los usuarios administrativos en los equipos sólo a personal autorizado.
• Restringir la instalación de aplicaciones y controlar la cantidad de aplicaciones instaladas.
• Mantener actualizados el sistema operativo y todas las aplicaciones que se utilicen.
• Instalar soluciones antivirus y firewall en todos los puestos de trabajo.
• Todos los usuarios que accedan a los sistemas, deberán ser auditables ante un posible incidente.

2
Para más información sobre hardening, ver módulo 3 del presente curso.
 Seguridad para PyMEs – Buenas practicas de seguridad

Servidores
• Restringir el acceso administrativo a los servidores sólo a personal autorizado.
• Revisar los logs de los servidores periódicamente (al menos semanalmente) en busca de errores.
• Mantener actualizados el sistema operativo y todas las aplicaciones que utilice el servidor.
• Deshabilitar los servicios que no se estén utilizando o que sean innecesarios.
• Contar con entornos de prueba para testear antes de aplicar cambios en los servidores. La
virtualización es una gran herramienta para mantener entornos de prueba a bajo costo.
• Todos los usuarios que accedan a los sistemas, deberán ser auditables ante un posible incidente.
• Utilizar aplicaciones de seguridad para entornos cliente-servidor como ESET Remote Administrator
o ESET Linux Security.

Enlaces de interés
• Windows XP Security Guide.
http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-
09A8A229F118&displaylang=en
• Windows Vista Security Guide.
http://www.microsoft.com/downloads/details.aspx?familyid=A3D1BBED-7F35-4E72-BFB5-
B84A526C1565&displaylang=en
• Windows Server 2003 Security Guide.
http://www.microsoft.com/downloads/details.aspx?familyid=8a2643c1-0685-4d89-b655-
521ea6c7b4db&displaylang=en
• Windows Server 2008 Security Guide.
http://www.microsoft.com/downloads/details.aspx?familyid=FB8B981F-227C-4AF6-A44B-
B115696A80AC&displaylang=en
• Implementación de Servidores con GNU Linux.
http://www.alcancelibre.org/filemgmt/index.php?id=1
• Hardening Tips for the Red Hat Enterprise Linux 5.
http://www.nsa.gov/notices/notic00004.cfm?Address=/snac/os/redhat/rhel5-pamphlet-i731.pdf
 Seguridad para PyMEs – Buenas practicas de seguridad

Copyright © 2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este
curso, son marcas registradas de sus respectivos propietarios y no guardan relación con ESET, LLC y ESET,
spol. s.r.o.

© ESET, 2009

Acerca de ESET

Fundada en 1992 y con oficinas centrales en San Diego, California, Estados Unidos, ESET es una compañía
global de soluciones de software de seguridad que provee protección de última generación contra virus
informáticos.

El premiado producto antivirus ESET NOD32, asegura el máximo rendimiento de su red, detección
mediante Heurística Avanzada, y soporte mundial gratuito. Además, ESET lanzó al mercado su nueva
solución unificada ESET Smart Security, la cual incorpora a ESET NOD32 las funcionalidades de Antispam y
Firewall Personal.

ESET NOD32 les da a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como
resultado de una mayor productividad, bajo tiempo ocupado, y un uso mínimo de los recursos.

ESET NOD32 logra más premios Virus Bulletin 100% que ningún otro producto antivirus disponible,
detectando consistentemente todos los virus activos (in-the-wild) sin falsos positivos.

El trabajo de ESET con grandes corporaciones como Canon, Dell, Bridgestone y Microsoft le ha permitido
entrar en el Fast 50 de Deloitte Technology por tres años consecutivos, además de estar entre las 10
empresas de mayor crecimiento en San Diego, de acuerdo al San Diego FAST 100.

ESET es una compañía privada con oficinas en San Diego (Estados Unidos), Londres (Reino Unido), Praga
(República Checa), Bratislava (Eslovaquia) y Buenos Aires (Argentina).
Para más información, visite www.eset-la.com