Repaso de actividades y recursos que hacen a la seguridad –Primer Parte-

3 Abr 2005 en Seguridad

George Spafford es un columnista de Datamation especializado en “la intersección de los factores humanos, la seguridad y la complejidad en el mundo de IT.”  El autor compiló una lista básica o menú de tecnologías de seguridad y procesos que las empresas y los responsables técnicos deberían tener presente.
Documentación: Esta es una mala palabra en IT, sobre todo en empresas PyME. La documentación garantiza la continuidad. Aunque se trate de una sola persona de IT, nadie puede recordar todas las configuraciones de firewall o routers de Internet que hizo en un año. La documentación es invaluable en recuperación de desastres, como así también para la capacitación de gente nueva y comunicación entre equipos de trabajo.
Asignación formal de responsabilidades: Si existen tareas de seguridad a realizar, debe haber un responsable de cada una de ellas con un esquema escrito a seguir. Las tareas no asignadas tienden a ser pospuestas o realizadas negligentemente. Es importante crear checklists para la gente y hacer que se firmen las tareas completadas.
Administración de cambios: ¿Quién no tiene problemas con un software cuándo el proveedor realiza updates? Para prever estas situaciones, es conveniente como mínimo, asegurarse de hacer backups completos de la aplicación y de la base de datos antes de aplicar el update. Lo ideal es tener un sistema de prueba donde instalar y probar el update para validar los resultados de la nueva funcionalidad y verificar que las funciones existentes no son dañadas.
Identidades y passwords de usuarios: En las PyME se suele saltear la administración de IDs y passwords de usuarios a nivel de sistemas operativos, aplicaciones y bases de datos, en una mezcla de confianza y deseo de simplificación. Esta ausencia de controles de accesos crea serios agujeros de seguridad. En primer lugar, cuando alguien gana acceso a uno de los sistemas, tiene control absoluto. En segundo lugar, con IDs y passwords únicas para cada usuario, existirá un registro para seguimiento de errores y determinar quién requiere capacitación, determinando cuándo y quién cometió dichos errores.
Reglas de Passwords: Que las passwords tengan al menos ocho caracteres y mezcla de letras, números y símbolos. Que expiren cada 60 días en caso de que alguien robe IDs o Passwords. Que el sistema registre y bloquee luego de tres a cinco intentos fallidos de ingreso de password e investigar porqué está bloqueada una cuenta antes de reactivarla.
No permitir que las passwords se escriban en papelitos pegados al monitor o escritorio. Quitar las password por default como administrador o guest y si no se puede, modificarlas por algo más seguro. Controlar diaria o semanalmente para ver si existen comportamientos anormales.