Crear Una Cultura de Empresa para La Seguridad Evaluacion [PDF]

Zitiervorschau

Crear una cultura de empresa para la seguridad - documento de diseño de infraestructura de seguridad PUNTOS TOTALES DE 1

1.Pregunta 1 Visión general: Ahora que estás muy informado acerca de la seguridad, pongamos a prueba tus conocimientos recién adquiridos. Es posible que algún día te encuentres en un rol tecnológico, donde necesites diseñar e influir en una cultura de seguridad dentro de una organización. Este proyecto es tu oportunidad de practicar estos importantes conjuntos de habilidades.

is ar stu ed d vi y re aC s o ou urc rs e eH w er as o. co m

Asignación: En este proyecto, crearás un documento de diseño de infraestructura de seguridad para una organización ficticia. Los servicios y las herramientas de seguridad que describas en el documento deben ser capaces de satisfacer las necesidades de la organización. Tu trabajo se evaluará de acuerdo con el cumplimiento de los requisitos de la organización.

Sobre la organización: Esta organización ficticia tiene una base de empleados pequeña, pero en crecimiento, con 50 empleados en una pequeña oficina. La compañía es un minorista en línea de los mejores widgets artesanales hechos a mano en el mundo. Te contrataron como asesor de seguridad para ayudar a mejorar sus operaciones.

Requisitos de la organización: Como asesor de seguridad, la compañía necesita que agregues medidas de seguridad a los siguientes sistemas:

Un sitio web externo que permite a los usuarios navegar y comprar widgets

Un sitio web interno de intranet para uso de los empleados

Th

Acceso remoto seguro para empleados de ingeniería

Se garantizara el acceso remoto y seguro a los empleados de ingeniería a travez de una VPN

sh

Reglas razonables y básicas de Firewall

Cobertura inalámbrica en la oficina Configuraciones razonablemente seguras para laptops

This study source was downloaded by 100000828223821 from CourseHero.com on 07-09-2021 13:45:44 GMT -05:00

https://www.coursehero.com/file/54748820/Crear-una-cultura-de-empresa-para-la-seguridad-Evaluaciondocx/

Dado que se trata de una compañía minorista que manejará los datos de pago de los clientes, a la organización le gustaría tener mucho cuidado con la privacidad. No quieren que la información del cliente caiga en manos de un atacante debido a infecciones de malware o dispositivos perdidos.

Los ingenieros requerirán acceso a sitios web internos, junto con acceso remoto a la línea de comandos a sus estaciones de trabajo.

is ar stu ed d vi y re aC s o ou urc rs e eH w er as o. co m

Los siguientes elementos deben ser incorporados en tu plan:

Autenticación

La autenticación será manejada centralmente por un servidor LDAP e incorporará generadores de contraseña de un solo uso como un segundo factor para la autenticación.

Sitio web externo

El sitio web orientado al cliente se servirá a través de HTTPS, ya que servirá un sitio de comercio electrónico que permitirá a los visitantes navegar y comprar productos, así como crear e iniciar sesión en cuentas. Este sitio web sería de acceso público.

Sitio interno

El sitio web interno de los empleados también se servirá a través de HTTPS, ya que requerirá

Th

autenticación para que los empleados accedan. También solo será accesible desde la red interna de la empresa y solo con una cuenta autenticada.

sh

Acceso remoto

Dado que los ingenieros requieren acceso remoto a sitios web internos, así como acceso de línea de comando remoto a estaciones de trabajo, se necesitará una solución VPN de nivel de red, como OpenVPN. Para facilitar el acceso al sitio web interno, se recomienda un proxy inverso, además de VPN. Ambos confiarían en el servidor LDAP que se mencionó anteriormente para la autenticación y autorización.

This study source was downloaded by 100000828223821 from CourseHero.com on 07-09-2021 13:45:44 GMT -05:00

https://www.coursehero.com/file/54748820/Crear-una-cultura-de-empresa-para-la-seguridad-Evaluaciondocx/

Firewall Se requeriría un dispositivo de Firewall basado en la red. Incluiría reglas para permitir el tráfico para varios servicios, comenzando con una regla de denegación implícita y luego abriendo puertos de forma selectiva. También se necesitarán reglas para permitir el acceso público al sitio web externo, y para permitir el tráfico al servidor proxy inverso y al servidor VPN.

Inalámbrico Para la seguridad inalámbrica, se debe usar 802.1X con EAP-TLS. Esto requeriría el uso de certificados de cliente, que también se pueden usar para autenticar otros servicios, como VPN, proxy inverso y autenticación interna de sitios web. 802.1X es más seguro y se administra más fácilmente a medida que la empresa crece, lo que la convierte en una mejor

VLANs

is ar stu ed d vi y re aC s o ou urc rs e eH w er as o. co m

opción que WPA2.

Se recomienda incorporar VLAN en la estructura de la red como una forma de segmentación

de la red; esto facilitará el control del acceso a diversos servicios. Las VLAN se pueden crear para roles o funciones generales para dispositivos y servicios. Se puede utilizar una VLAN de ingeniería para colocar todas las estaciones de trabajo de ingeniería y los servicios de ingeniería. Se puede usar una VLAN de infraestructura para todos los dispositivos de

infraestructura, como puntos de acceso inalámbricos, dispositivos de red y servidores críticos como la autenticación. Una VLAN de ventas puede usarse para máquinas que no sean de ingeniería y una VLAN invitada sería útil para otros dispositivos que no se ajusten a las otras asignaciones de VLAN.

Seguridad para laptop

Th

A medida que la compañía maneja la información de pago y los datos del usuario, la privacidad es una gran preocupación. Las laptops deben tener cifrado de disco completo

(FDE) como un requisito, para protegerse contra el acceso no autorizado a los datos en caso de pérdida o robo de un dispositivo. El software antivirus también se recomienda

sh

encarecidamente para evitar infecciones de malware común. Para protegerse contra ataques poco comunes y amenazas desconocidas, se recomienda el software de lista blanca binario, además del software antivirus.

Política de aplicación

This study source was downloaded by 100000828223821 from CourseHero.com on 07-09-2021 13:45:44 GMT -05:00

https://www.coursehero.com/file/54748820/Crear-una-cultura-de-empresa-para-la-seguridad-Evaluaciondocx/

Para mejorar aún más la seguridad de las máquinas cliente, se debe implementar una política de aplicación para restringir la instalación de software de terceros solo a las aplicaciones relacionadas con las funciones de trabajo. Específicamente, las categorías de aplicación riesgosas y legalmente cuestionables deben ser explícitamente prohibidas. Esto incluiría cosas como software pirateado, generadores de claves de licencia y software descifrado. Además de las políticas que restringen algunas formas de software, también se debe incluir una política que requiera la instalación oportuna de los parches de software. "Oportunamente" en este caso se definirá como 30 días a partir de la amplia disponibilidad del parche.

Política de privacidad de datos del usuario

is ar stu ed d vi y re aC s o ou urc rs e eH w er as o. co m

A medida que la empresa toma la privacidad del usuario muy en serio, algunas políticas sólidas sobre el acceso a los datos del usuario son un requisito crítico. Los datos de usuario solo deben accederse para fines de trabajo específicos, relacionados con una tarea o un proyecto en particular. Se deben realizar solicitudes de datos específicos, en lugar de

solicitudes exploratorias demasiado amplias. Las solicitudes deben ser revisadas y aprobadas antes de otorgar el acceso. Solo después de la revisión y aprobación se otorgará a una persona el acceso a los datos específicos del usuario solicitados. Las solicitudes de acceso a los datos del usuario también deben tener una fecha de finalización. Además de acceder a los datos del usuario, también es importante definir las políticas relacionadas con el manejo y almacenamiento de los datos del usuario. Esto ayudará a evitar

que los datos del usuario se pierdan y caigan en las manos equivocadas. No se deben permitir los datos de usuario en dispositivos de almacenamiento portátiles, como llaves USB o discos duros externos. Si es necesaria una excepción, se debe utilizar un disco duro portátil cifrado para transportar los datos del usuario. Los datos de usuario en reposo siempre deben estar contenidos en medios encriptados para protegerlos del acceso no autorizado.

Política de seguridad

Th

Para garantizar que se usen contraseñas seguras, se debe aplicar la siguiente política de contraseña:

 

La contraseña debe tener una longitud mínima de 8 caracteres

sh



La contraseña debe incluir un mínimo de un carácter especial o un signo de puntuación La contraseña debe cambiarse una vez cada 12 meses

Además de estos requisitos de contraseña, todos los empleados deben completar una capacitación de seguridad obligatoria una vez al año. Esto debería cubrir escenarios comunes

This study source was downloaded by 100000828223821 from CourseHero.com on 07-09-2021 13:45:44 GMT -05:00

https://www.coursehero.com/file/54748820/Crear-una-cultura-de-empresa-para-la-seguridad-Evaluaciondocx/

relacionados con la seguridad, como evitar ser víctimas de ataques de phishing, buenas prácticas para mantener a salvo tu laptop y nuevas amenazas que han surgido desde la última vez que se tomó el curso.

Sistemas de detección o prevención de intrusos Se recomienda un sistema de detección de intrusos en la red para observar la actividad de la red en busca de signos de un ataque o infección de malware. Esto permitiría buenas capacidades de monitoreo sin incomodar a los usuarios de la red. Se recomienda un sistema de prevención de intrusiones en la red (NIPS) para la red donde se encuentran los servidores que contienen datos de usuario; este contiene datos mucho más valiosos, que es más

is ar stu ed d vi y re aC s o ou urc rs e eH w er as o. co m

probable que sean atacados en un ataque. Además de la Prevención de intrusiones en la red, también se recomienda que se instale en estos servidores el software de detección de

sh

Th

intrusiones basado en host (HIDS) para mejorar la supervisión de estos importantes sistemas.

This study source was downloaded by 100000828223821 from CourseHero.com on 07-09-2021 13:45:44 GMT -05:00

https://www.coursehero.com/file/54748820/Crear-una-cultura-de-empresa-para-la-seguridad-Evaluaciondocx/

El sitio web deberá tener autentificación para los usuarios que deseen comprar productos de la tienda, asegurándose que las contraseñas de usuarios cumplan con los requisitos mínimos de seguridad (tener más de 8 caracteres, incluir mayúsculas, minúsculas, etc.). Esto a través de un registro de cliente, que se obtendrán los datos necesarios para realizar la compra (datos personales y datos bancarios). Se deberá seguir la norma PCI DSS para resguardar los datos del pago a través de tarjetas. El sitio web interno de la empresa, tendrá también acceso a través de autentificación por parte de los empleados. Estas credenciales serán dadas por el administrador del sitio para su mejor manejo, en dado caso que algún empleado salga de la compañía, pueda dar de baja sus accesos y por otro lado administrar a los nuevos trabajadores que ingresen a la empresa. también se tendrá que implementar la autentificación en dos pasos, para reforzar la seguridad, puede hacerse a través de un token electrónico.

is ar stu ed d vi y re aC s o ou urc rs e eH w er as o. co m

Para la configuración del firewall y sus reglas básicas se deberán listar todos los servicios de red que se utilizan en la empresa, para crear una lista “blanca” en el firewall. De los servicios que se utilizan en la empresa, y se deberá bloquear todos los demás servicios para que el firewall bloquee todo ese tráfico. Con respecto al acceso a la red vía WIFI, es necesario implementar autentificación con WPA2 para mayor seguridad, además se recomienda tener otra red WIFI para personal ajeno a la empresa, esta red será independiente de la intranet de la empresa y y solo con acceso básico a la web.

Para el acceso remoto de los ingenieros, se utilizará una VPN cifrada para que puedan acceder a la intranet y a sus equipos, a través de sus respectivas credenciales para autentificar su acceso. Se deberá limitar su acceso a solo los recursos necesarios que necesitan para realizar su trabajo.

Para las laptops será necesario cifrar los datos de los discos duros de las laptops, para que, en caso de robo, se evite la filtración de datos, asignar usuarios y contraseñas para el acceso al equipo. Es necesario implementar una solución de supervisión de red y de los sistemas, con una supervisión y auditoria periódica de los registros, para detener y evitar ataques que puedan vulnerar la privacidad de los datos que se manejan de los clientes. Recomendaciones de política de seguridad y privacidad

Th

Establecer y capacitar a los empleados en las políticas de seguridad y privacidad de la empresa, tales como:

 

El uso de contraseñas seguras La renovación de contraseñas cada cierto tiempo establecido. Concientizar a los empleados del uso de utilerías de seguridad, como antivirus y antimalware. No instalar software descargado de internet que no sea necesario para su trabajo No abrir correos electrónicos no deseados, o de remitentes desconocidos

sh

  

This study source was downloaded by 100000828223821 from CourseHero.com on 07-09-2021 13:45:44 GMT -05:00

https://www.coursehero.com/file/54748820/Crear-una-cultura-de-empresa-para-la-seguridad-Evaluaciondocx/

Correct ¡Gracias por su respuesta! Una excelente respuesta incluyó: 

Dos requisitos del sistema de autenticación, como multifactor basado en clave de seguridad o multifactor basado en OTP, y algún tipo de sistema de autenticación centralizado (por ejemplo, LDAP o Active Directory)



Una descripción de HTTPS



Un servicio VPN como una solución de proxy inverso



Dos o más tipos de servicios de Firewall (por ejemplo, regla de denegación implícita, acceso remoto, sitios web)

is ar stu ed d vi y re aC s o ou urc rs e eH w er as o. co m



Un requisito para 802.1X

Una descripción de cuatro requisitos de VLAN, incluida la VLAN de ingeniería, la VLAN de ventas, la VLAN de infraestructura y la VLAN invitada



Tres requisitos de seguridad para laptop, incluidas las recomendaciones de FDE, la recomendación de antivirus y una recomendación de lista blanca binaria



Un requisito para una política de requisitos de actualización de software y un requisito de restricciones en los tipos de aplicaciones permitidas



Recomendaciones para las reglas que protegen el acceso a los datos del usuario y para las reglas que protegen el almacenamiento de los datos del usuario



Cuatro de las siguientes recomendaciones de políticas de seguridad: contraseñas que requieren un mínimo de 8 caracteres; contraseñas que requieren caracteres especiales; requiriendo cambios de contraseña periódicos> 6 meses, y alguna forma de entrenamiento de seguridad obligatorio para los usuarios



Un requisito para un NIPS / NIDS en la red para los datos del cliente y un requisito para HIPS / HIDS en los sistemas que contienen datos del cliente

sh

Th



This study source was downloaded by 100000828223821 from CourseHero.com on 07-09-2021 13:45:44 GMT -05:00

https://www.coursehero.com/file/54748820/Crear-una-cultura-de-empresa-para-la-seguridad-Evaluaciondocx/

is ar stu ed d vi y re aC s o ou urc rs e eH w er as o. co m sh

Th

This study source was downloaded by 100000828223821 from CourseHero.com on 07-09-2021 13:45:44 GMT -05:00

https://www.coursehero.com/file/54748820/Crear-una-cultura-de-empresa-para-la-seguridad-Evaluaciondocx/ Powered by TCPDF (www.tcpdf.org)