Políticas, procedimientos y estándares de seguridad de TI

1. Políticas de seguridad de TI

Los gerentes deben revisar las políticas de seguridad de TI que pueden administrar cuentas privilegiadas (como cuentas de administrador de dominio, cuentas de administrador de aplicaciones, administradores de bases de datos), para garantizar la existencia de políticas de seguridad, también es necesario comprender cómo se procesa, verifica y certifica el acceso, y garantizar que estas políticas se revisen periódicamente. De lo contrario, esencialmente no hay base para gestionar el acceso privilegiado. Una estrategia para gestionar cuentas privilegiadas está incompleta sin informes relevantes. Los informes de auditoría de contraseñas para cuentas privilegiadas a menudo implican los siguientes problemas: cuándo se actualizan las contraseñas, qué fallas de actualización ocurren y cómo los usuarios individuales realizan tareas en una cuenta privilegiada, etc.

Se deben desarrollar políticas con el objetivo de poner fin a la actividad de los usuarios aparentemente indefendible. Asegúrese de que todos los empleados, contratistas y otros usuarios sean conscientes de sus responsabilidades y cumplan con las políticas, métodos y directrices relevantes de seguridad de TI apropiados para sus funciones.

2. Cuentas y acceso de “superusuario”

Es importante comprender el nivel de exposición de su empresa en relación con el acceso de los usuarios. Debe determinar quién tiene acceso a cuentas y usuarios privilegiados y obtener una lista de todas las cuentas con acceso elevado a redes, aplicaciones, datos y funciones administrativas. Incluye todas las cuentas de computadora que a menudo se pasan por alto. A partir de esto, asegúrese de que se pueda verificar el acceso de los usuarios y que tengan los permisos adecuados. Un buen enfoque es revisar periódicamente el acceso de los usuarios y determinar que los "propietarios" de los datos y sistemas hayan sido autorizados explícitamente.

3. Estándares de configuración de cuentas y contraseñas

Asegúrate de que todas las cuentas de administrador puedan actualizarse según las políticas. No debería haber ninguna configuración de contraseña predeterminada en un dispositivo en particular. Existe una gran cantidad de información disponible para los usuarios que tienen recursos suficientes para cuentas y contraseñas predeterminadas. Hay algunas cuentas seguras donde el nombre de la cuenta es la contraseña, lo que sólo genera problemas. También es importante establecer fechas de vencimiento de las contraseñas y también es inteligente deshabilitar ciertas cuentas que obviamente son temporales.

4. Acceso controlado a contraseñas

Se debe gestionar el acceso por contraseña a cuentas y administradores con poderes elevados. El motivo puede ser obvio, pero el acceso exclusivo a las contraseñas no siempre está controlado. No deberían existir registros fuera de línea o de acceso abierto, como correos electrónicos que contengan contraseñas. Incluso no es recomendable un archivo de contraseña cifrado. En el peor de los casos, el archivo de contraseñas no está controlado.

5. Cuenta de servicio (Cuenta "Máquina")

Los servidores también se pueden elevar y utilizar para diversos fines nefastos. Estas cuentas normalmente no se asignan a usuarios humanos y no se incluyen en los procesos tradicionales de autenticación o administración de contraseñas. Estas cuentas se pueden ocultar fácilmente. Los administradores deben asegurarse de que las cuentas de servicio solo tengan los derechos de acceso necesarios. Estas cuentas deben revisarse periódicamente ya que suelen tener capacidades de superusuario. Hay muchos usuarios de este tipo y hay muchas cuentas no utilizadas que necesitan atención.

6. Usuarios y roles de alto riesgo

Algunas empresas monitorean activamente ciertos roles. Estos roles plantean riesgos extremadamente altos para la empresa. El monitoreo de la empresa revelará su potencial "inaceptable". comportamiento. Muchas empresas desempeñan funciones críticas en las que hay mucho en juego. Por ejemplo, un gerente de compras que busca un puesto puede llevar datos confidenciales a los que tiene acceso a una empresa competidora. En este caso, el acceso está autorizado, pero existe la posibilidad de abuso. La rotación de puestos y responsabilidades y el establecimiento de horarios de citas es una forma importante de afrontar riesgos elevados. Nota: Los profesionales de seguridad de TI generalmente se encuentran dentro del alcance de roles de alto riesgo.

7. Proyecto de Concientización sobre Seguridad

Cualquier empleado o usuario puede suponer una amenaza. Es imperativo implementar un programa de concientización sobre seguridad que aborde todos los puntos anteriores y garantizar su cumplimiento. Hay muchas soluciones disponibles para garantizar que todos los usuarios hayan leído y aceptado las reglas y políticas. Una de esas herramientas es pedir a los usuarios que firmen un mensaje de advertencia cuando inician sesión, pidiéndoles que confirmen su consentimiento y seleccionen una casilla de verificación "Aceptar" o "De acuerdo" en la ventana.

8. Investigación de antecedentes

La investigación de antecedentes implica formular cuidadosamente a los empleados preguntas cuidadosamente redactadas para revelar señales de alerta sobre sus comportamientos y actitudes específicas, tales como:

·Irregular o historial laboral inusual: razones cuestionables para dejar un trabajo, razones para no estar empleado durante mucho tiempo

·Fraude: falsedades sobre ciertos hechos (por ejemplo, educación, relaciones laborales anteriores) Declaración

·Problemas de personalidad/actitud: malas relaciones con compañeros de trabajo o gerentes

·Frustración, problemas de autoridad, sospecha, incapacidad para aceptar cambios, etc.

9. Registro de eventos

El registro de eventos de seguridad proporciona transparencia sobre el uso y la actividad en tiempo real. Los registros precisos y completos de los usuarios y sus actividades son fundamentales para el análisis de incidentes y el desarrollo de medidas de seguridad adicionales. Es importante obtener el método de acceso, el alcance del acceso y la actividad pasada. Para garantizar que existan registros adecuados, se debe considerar una mejor utilización de los registros para áreas y servicios de mayor riesgo.

10. Evidencia

Los gestores deben estar familiarizados con los diferentes dispositivos de almacenamiento utilizados y deben tener un nivel de conocimiento suficiente para tomar “huellas dactilares” si hay algún signo de sospecha. Pueden ser datos de cookies, datos ocultos del sistema operativo, etc. Es muy sencillo obtener archivos críticos de los sistemas corporativos y colocarlos en dispositivos de memoria flash, que pueden disfrazarse de cámaras digitales, asistentes digitales personales (PDA) o teléfonos móviles. También hay investigadores que recopilan y analizan información de los teléfonos móviles porque los dispositivos pueden contener mensajes de voz, mensajes de texto, archivos de direcciones, números de teléfono y muchas llamadas perdidas, llamadas recibidas, etc. Si existe alguna sospecha de actividad ilegal, se deben conservar las pruebas pertinentes hasta que se determine finalmente el resultado.