SEGURIDAD DE UN SITE

SEGURIDAD DE UN SITE

Seguridad física y ambiental del equipamiento que soporta el sitio Web

Ubicar el equipamiento en un ambiente con acceso restringido sólo a personas autorizadas, esto es:

• personal del organismo que tenga autorización del área de sistemas.

• terceros que requieran acceder al equipamiento (por ejemplo para mantenimiento), acompañados por un empleado autorizado.

• Registrar el ingreso y egreso de personas al ambiente que alberga al equipamiento (como mínimo de personas ajenas al área informática) de manera de permitir la posterior revisión de los accesos ocurridos. Se se cuenta con un control de acceso automático, el mismo debe registrar los ingresos y egresos de forma de permitir la identificación de todas las personas que entren/salgan del recinto.

 Prohibir comer, beber y fumar dentro del ambiente donde reside el equipamiento.

 Adoptar controles adecuados para minimizar el riesgo de amenazas potenciales, por: robo o hurto, incendio, explosivos, humo, inundaciones o filtraciones de agua (o falta de suministro), polvo, vibraciones, efectos químicos, interferencia en el suministro de energía eléctrica (cortes de suministro, variación de tensión), radiación electromagnética, derrumbes, etc.

 Implementar un sistema de refrigeración que permita mantener una temperatura adecuada para el procesamiento. Prever equipamiento alternativo en caso de falla del primario.

 Revisar regularmente las condiciones ambientales para verificar que las mismas no afecten de manera adversa el funcionamiento de las instalaciones del equipamiento.

 Asegurar la continuidad del suministro de energía del equipamiento, en función a la criticidad del mismo, mediante:

• La disposición de múltiples líneas de suministro para evitar un único punto de falla en el suministro de energía. De ser posible, asignar el equipamiento de procesamiento y comunicaciones una fase diferente a la del resto de las instalaciones.

• El suministro de energía ininterrumpible (UPS) para asegurar el apagado regulado y sistemático o la ejecución continua del equipamiento. Los planes de contingencia deberán contemplar las acciones que han de emprenderse ante una falla de la UPS. Los equipos de UPS serán inspeccionados y probados periódicamente (a intervalos no mayores a seis meses) para asegurar que funcionan correctamente y que tengan la autonomía requerida.

• La disposición de un generador de respaldo para los casos en que el equipamiento deba continuar funcionando ante una falla prolongada en el suministro de energía. Se deberá disponer de un adecuado suministro de combustible para garantizar que el generador pueda funcionar por un período prolongado. Cuando el encendido de los generadores no sea automático, se deberá asegurar que el tiempo de funcionamiento de la UPS permita el encendido manual de los mismos. Los generadores deberán ser inspeccionados y probados periódicamente para asegurar que funcionen según lo previsto.

Proteger el cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información contra intercepción o daño, mediante:

• La utilización de pisoducto o cableado embutido en la pared, siempre que sea posible.

• La separación de los cables de energía de los cables de comunicaciones para evitar interferencias.

• La protección del tendido del cableado troncal (“backbone”) de ser posible mediante la utilización de ductos blindados.

Someter el equipamiento a tareas de mantenimiento preventivo, de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor. Cuando el sitio web se mantenga bajo la modalidad “housing” o “hosting”, deberán definirse acuerdos de nivel de servicio o cláusulas contractuales con el proveedor de manera que se contemplen las pautas de seguridad detalladas previamente

Seguridad del Sistema Operativo y las Comunicaciones

Mantener el sistema operativo actualizado, con los últimos parches de seguridad disponibles. Las actualizaciones críticas deben ser probadas antes de ser implementadas en el ambiente de produción de manera de asegurarse que los cambios no afecten la operatoria del sitio web. Configurar el sistema operativo de manera segura, implementando las mejores prácticas para el hardening de plataformas. Esto incluye entre otras actividades, deshabilitar cuentas de ejemplo, cambiar claves por defecto, etc.. Administrar adecuadamente las cuentas de usuario procurando:

• Otorgar acceso al sistema operativo sólo a personal autorizado, con privilegios mínimos que le permitan cumplir con sus funciones.

• Establecer una política de uso de las cuentas críticas (administrador de plataformas, etc.), así como procedimientos detallados.

• Controlar la vigencia de los accesos otorgados a los usuarios respecto del sistema operativo.

• Asegurar la posibilidad de identificar unívocamente a todos los usuarios del sistema a travé de sus cuentas.

Implementar políticas de contraseñas fuertes y de control de acceso a toda la información almacenada en el servidor de forma restrictiva. Registrar las actividades críticas ejecutadas en el sistema operativo a través de los logs propios de la plataforma, de manera de permitir el rastreo de información relacionada con un posible incidente de seguridad. De ser posible, almacenar los logs en un servidor distinto a donde se generan. Esto aumenta su confiabilidad en caso de que el servidor se vea comprometido. Siempre que sea posible, utilizar los paquetes oficiales (cuando se trate de una distribución de Linux o BSD) y evitar compilar programas a mano o instalar

paquetes desde fuentes no oficiales. Implementar y mantener actualizado un software antivirus. Efectuar controles preventivos periódicos. Desinstalar aquellos servicios que no sean utilizados en el servidor. No utilizar servicios que puedan ser utilizados por atacantes para recabar información del sistema operativo. (ej.: finger, rstat, rusers) Utilizar conexiones, siempre que se requieran, que permitan el cifrado de la información y la autenticación de las partes para la administración remota de equipos, la transferencia de archivos y el intercambio de

...