15 Minutos para una Empresa Segura Pr谩cticas diarias de administraci贸n de la seguridad de TI
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
15 Minutos para una Empresa Segura Prácticas diarias de administración de la seguridad de TI McAfee torna posible que las empresas pequeñas y medianas enfrenten los retos de la seguridad en sólo 15 minutos por día. Con un conjunto de prácticas diarias, el personal de TI puede administrar la seguridad de manera eficaz, dividiendo las principales responsabilidades en tareas administrables. El plan de acción ayuda a los departamentos de TI a definir las prioridades de las actividades y a mantener el control de la administración de seguridad. El programa 15 Minutos para una Empresa Segura le ayuda a: • • • • • •
Mejorar la postura general de seguridad, aun cuando sea con pocos recursos de TI Reconocer y solucionar brotes con más rapidez y facilidad Mantener las políticas de seguridad de Web y correo electrónico más eficaz Establecer prácticas recomendadas reproducibles, simplificando las tácticas de administración de seguridad Proteger datos confidenciales y asegurar la continuidad de los negocios con una seguridad proactiva Proteger de forma amplia, contra amenazas avanzadas, con una única suite integrada, que incluye: o Protección de correo electrónico contra virus y spam o Protección antivirus para desktops y servidores o Protección contra malware y spyware o Seguridad de la Web con la tecnología SiteAdvisor o Prevención de intrusiones de host y firewall de desktop o Detección de sistemas no administrados o Protección de datos para terminales
Prácticas diarias de Seguridad de McAfee El enfoque 15 Minutos para una Empresa Segura simplifica la administración de la seguridad por los profesionales de TI: • Subdividiendo las principales tareas de seguridad en bloques de 15 minutos diarios • Describiendo las tareas en acciones diarias, semanales y mensuales fáciles de seguir • Estableciendo prácticas reproducibles, administrables y eficaces • Aprovechando la experiencia de los expertos de McAfee, específicamente en la administración de la TI en las PYMES (o SMB)
2
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
Protección para Desktops/ Servidores (Desktop/ Server Security) Productos obligatorios de McAfee (incluidos en Total Protection (ToPS) for Secure Business): o Protección de Terminales (Endpoint Protection) Anti Virus Anti Spyware Host Intrusion Prevention (HIPS) SiteAdvisor
Etapa: Identificar sistemas fuera de conformidad (1 minuto) • Problema: Cuando los usuarios finales se están desplazando, trabajando remotamente o de vacaciones, pueden estar con un perfil de seguridad fuera de conformidad
•
Solución: Monitorear centralmente e identificar usuarios finales fuera de conformidad. Evaluar el nivel actual de la protección AV y anti-spyware
•
Producto de McAfee: ePO – Verifique en el tablero de mando de ePO la versión del DAT y si el AV y el Firewall están activos
•
Etapas Técnicas: o o
Identificar los sistemas que tienen dos versiones del DAT anteriores a la versión actual Descargar e instalar los archivos DAT más recientes en los sistemas fuera de conformidad
Etapa: Mantener actualizados los sistemas fuera de conformidad (1 minuto) • Problema: Las actualizaciones de seguridad de todo el archivo DAT consumen demasiado ancho de banda •
Solución: Actualizaciones periódicas de usuarios finales desactualizados evitan las actualizaciones de todo el archivo DAT, que consumen demasiado ancho de banda
•
Producto de McAfee: ePO – Ejecute la actualización del DAT en ePO en el informe
•
Etapas Técnicas: o o
Empiece la tarea de actualización en el ePO para poner al día con el nivel actual del DAT sólo los sistemas desactualizados Realice periódicamente la tarea de actualización para que sólo se necesiten actualizaciones incrementales (los usuarios finales que estén algunas versiones retrasados exigen una actualización de todo el archivo DAT que consume demasiado ancho de banda)
Etapa: Verificar los brotes de virus (2 minutos) • Problema: Incapacidad de detectar brotes de virus antes de que se diseminen •
Solución: Detectar picos de actividad de eventos para frustrar los ataques que puedan diseminarse por la red
•
Producto de McAfee: ePO – Verificar en el tablero de mando de ePO si hay picos de actividad de eventos. Eso ayuda a tomar medidas inmediatas contra los brotes de virus
•
Etapas Técnicas: o o o
Identificar los sistemas infectados y determinar qué acciones se necesitan para eliminar la infección Si el tablero de mando presenta demasiadas detecciones, profundícese en los informes para obtener más información Emita un informe que muestre los programas malintencionados más frecuentes, después busque esas amenazas en el sitio de McAfee para determinar la mejor providencia.
3
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
Etapa: Ajustar las políticas de protección contra las amenazas del ‘día cero’ (5-10 minutos) • Problema: Proteger las terminales contra las amenazas conocidas y desconocidas •
Solución: Implementar una solución de seguridad proactiva que impida que los ataques ocurran. La mejor forma de hacerlo es con un Host Intrusion System (HIPS) Firewall que proteja contra las amenazas que no incluye la solución AV
•
Producto de McAfee: HIPS – Analizar y modificar las políticas de firewall de HIPS (recurso de bloqueo de puertos y servicios) para reaccionar a la información provista por MTIS (McAfee Threat Intelligence Services)
•
Etapas Técnicas: o o
Bloquear los sistemas a través del blindaje de aplicaciones y del firewall Modificar las políticas de HIPS para asegurar que reflejen el conocimiento sobre las amenazas más recientes
Etapa: Aislar y limpiar las máquinas de los usuarios infectados (3 minutos) • Problema: No es posible eliminar remotamente las infecciones de las máquinas de los usuarios •
Solución: Realice inmediatamente una exploración a petición (on-demand) en la PC del usuario infectado
•
Producto de McAfee: ePO – Empezar inmediatamente una exploración a petición de la PC infectada del usuario para eliminar la infección
•
Etapas Técnicas: o o
La exploración a petición puede ser programada ya sea periódicamente o inmediatamente. Complementa la protección continua que ofrece el escáner de tiempo real La exploración examina la memoria del sistema para detectar y eliminar los rootkits instalados y procesos ocultos, la memoria de todos los procesos en ejecución, y todos los drives locales conectados con la PC
Etapa: Detectar los sistemas no administrados (2 minutos) • Problema: Identificar en tiempo real los dispositivos desconocidos que intentan conectarse a la red •
Solución: Usar un tablero de mando de tiempo real de todos los dispositivos conectados, e identificar los dispositivos desconocidos a través de mensajes de alerta
•
Producto de McAfee: Rogue System Detection (RSD) – Identificar sistemas potencialmente perjudiciales conectados a la red
•
Etapas Técnicas: o o
Monitorear todos los hosts detectados, subredes y sensores de la red Identificar los dispositivos no administrados desde una vista general de todos los dispositivos en la red: no administrados, administrados, excepciones y hosts inactivos
Etapa: Corregir los sistemas no administrados (5 minutos) • Problema: Rastrear los sistemas no administrados y eliminarlos •
Solución: Usar un tablero de mando de tiempo real de todos los dispositivos conectados, e identificar los dispositivos desconocidos a través de mensajes de alerta
•
Producto de McAfee: Rogue System Detection (RSD) – Monitorear los sistemas no administrados y corregirlos o eliminarlos de la red
•
Etapas Técnicas: o o
Intentar la instalación del Agente McAfee a través de ePO en los dispositivos no administrados que no tienen el agente Use la categoría de RSD para determinar la providencia que se ha de tomar en cuanto al dispositivo no administrado 4
15 Minutos para una Empresa Segura – Prácticas Diarias
o o
www.mcafee.com.mx
Para los dispositivos no administrados que no tienen un agente, use la información desde el sensor para rastrear el dispositivo y sacarlo de la red Considere la programación de "reacciones" automáticas distintas a los eventos de RSD
Etapa: Sincronización con ActiveDirectory (3 minutos) • Problema: Se requiere un proceso manual para aplicar la arquitectura de seguridad a los usuarios nuevos/existentes en AD •
Solución: Sincronizar automáticamente las herramientas de seguridad con AD
•
Producto de McAfee: ePO – Sincronizar automáticamente el árbol del sistema ePO con la estructura de ActiveDirectory junto con RSD
•
Etapas Técnicas: o o
Sincronizar el AD para asegurar que el sistema ePO refleje los sistemas y containers actuales de AD para que la inclusión, la retirada, las transferencias o la exclusión de elementos permanezcan sincronizados Navegue hasta “Server Task Log” en la consola de ePO y verifique si la tarea de sincronización del AD presenta el estado “Completed” (Concluido)
5
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
Seguridad de Email y Web (Email and Web Security) Productos obligatorios de McAfee (incluidos en Total Protection (ToPS) for Secure Business): • Seguridad de E-mail o Virtual Email & Web Security Appliance o GroupShield Anti Virus, Anti Spam, Content Filtering • Seguridad de Web o Virtual Email & Web Security Appliance o SiteAdvisor (navegación segura) o URL filtering Etapa: Evaluar las defensas del gateway de e-mail y de la Web (2 minutos) • Problema: El spam y las amenazas de la Web entran en el entorno, consumen el ancho de banda de la red y retrasan a todos los usuarios de la red •
Solución: Examinar el tráfico de e-mail y de la Web para asegurar que se utilicen las políticas de manera correcta y que las actualizaciones de archivos de características se realicen diariamente
•
Producto de McAfee: Examine el tablero de mando de Email & Web Security y el SmartReporter
•
Etapas Técnicas: o o o o o
Verificar las estadísticas y los promedios de virus en el tráfico de e-mail Verificar las estadísticas y los promedios de virus en el tráfico de la Web Verificar las estadísticas y los promedios de spam en el tráfico de e-mail Verificar el filtrado de URL y las violaciones de Site Advisor Identificar el acceso a sitios cuestionables
Etapa: Actualizar las defensas del gateway de e-mail y de la Web (1 minuto) • Problema: El spam y las amenazas de la Web entran en el entorno, consumen el ancho de banda de la red y retrasan a todos los usuarios de la red. Es fundamental asegurar que la protección esté actualizada •
Solución: Verificar rápidamente si los archivos de características se actualizan todos los días
•
Producto de McAfee: Confirmar la tarea de actualización de Email & Web Security
•
Etapas Técnicas: o o
Verificar rápidamente si se están realizando las tareas de actualización automática de descargas y la instalación de nuevos recursos y correcciones del producto desde el sitio de FTP de McAfee Asegurar que los archivos de antivirus y anti-spam se están actualizando al menos diariamente
Etapa: Monitorear los sitios malintencionados (2 minutos) • Problema: Los usuarios acceden inadvertidamente a sitios Web malintencionados e infectan sus máquinas con spyware, adware y otros tipos de malware •
Solución: Monitorear y controlar el acceso a sitios malintencionados
•
Producto de McAfee: SiteAdvisor Enterprise Plus (v2.0) – Examinar y modificar las políticas para eliminar o bloquear el acceso a sitios malintencionados
•
Etapas Técnicas: o o
Buscar cualquier descarga ROJA desde sitios autorizados y considerar la inclusión del sitio en la lista negra o impedir cualquier descarga desde ese sitio. Ajustar las políticas para liberar el acceso a sitios autorizados y prohibir las descargas y/o el acceso a sitios indeseables
6
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
Etapa: Analizar el filtro de contenido en el gateway (3-8 minutos) • Problema: Reducir el volumen de spam y alcanzar el mejor equilibrio entre permisos y restricciones para el acceso a la Web •
Solución: Ajustar periódicamente los parámetros de exploración y filtrado en los productos para el gateway de e-mail y Web
•
Producto de McAfee: Email and Web Security Appliance – Realice el login en la consola para examinar y ajustar las configuraciones de filtrado de contenido.
•
Etapas Técnicas: o o o
Analizar los e-mails en cuarentena que se están rastreando Analizar los eventos de la Web que se están rastreando Ajustar las configuraciones de filtrado de contenido para un equilibrio ideal
Etapa: Administrar los e-mails en cuarentena (5 minutos) • Problema: Algunos e-mails legítimos se ponen en cuarentena y no llegan al destinatario •
Solución: Ajustar los productos anti-spam según su entorno específico y aumentar la eficacia del filtrado de e-mail. Quarantine Manager centraliza el análisis y actúa sobre los e-mails y archivos en cuarentena. Se ponen los elementos en cuarentena porque son spam, phishing, virus, programas potencialmente indeseados o contenido indeseado.
•
Producto de McAfee: McAfee Quarantine Manager – Analice los e-mails puestos en cuarentena y ajuste los filtros para asegurar que los e-mails legítimos lleguen a su destinatario
•
Etapas Técnicas: o o o
Abrir la vista consolidada de todos los e-mails puestos en cuarentena Analizar los e-mails en cuarentena e identificar los que son legítimos Ajustar los parámetros de filtrado de e-mail para aumentar la eficacia del correo electrónico
Etapa: Confirmar la protección contra spam y virus en el servidor de e-mail (3 minutos) • Problema: Impedir que los virus entren en el entorno a través del correo electrónico •
Solución: Asegurar una protección adecuada instalada en el servidor de e-mail
•
Producto de McAfee: GroupShield – Identifica los tipos de virus transportados por correo electrónico atrapados en el gateway por la lectura de los informes
•
Etapas Técnicas: o
Confirmar las tareas de actualización antivirus y anti-spam de GroupShield para asegurar que usted posee la protección adecuada en el servidor de e-mail
Etapa: Ajustar el filtro de contenido del servidor de e-mail (5 minutos) • Problema: Necesidad de ajustar los mensajes entrantes y salientes de correo electrónico para cumplir con las leyes y políticas de gobernanza •
Solución: Ajustar periódicamente las configuraciones de contenido del servidor de e-mail
•
Producto de McAfee: GroupShield – Modificar las configuraciones de filtrado de contenido del GroupShield según sea necesario para proteger el contenido de los mensajes y documentos
•
Etapas Técnicas: o o
Verificar los e-mails que están en cuarentena para conocer sus categorías de contenido Ajustar las políticas de filtrado de contenido del GroupShield para asegurar la fiscalización de las políticas corporativas
7
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
Seguridad de Datos (Data Security) Productos obligatorios de McAfee (incluidos en Total Protection (ToPS) for Secure Business): • Endpoint encryption • Device Control
Etapa: Evaluar los dispositivos conectados a la red (3 minutos) • Problema: Posibilidad de pérdida de datos a través de dispositivos de almacenamiento removibles •
Solución: Determinar qué dispositivos conectan a los usuarios con sus sistemas y añadir los dispositivos que atienden a sus necesidades
•
Producto de McAfee: Device Control – Lea los informes de Device Control para limitar el tipo de dispositivos y contenido que puede entrar en el almacenamiento removible
•
Etapas Técnicas: o
o
Leer los informes de excepción para los dispositivos que se conectan con los sistemas Busque los dispositivos/usuarios para los cuáles usted quiere aplicar una regla permanente Asegurar que las excepciones se apliquen únicamente en casos de uso legítimo Lea los informes de bloqueo/monitoreo
Etapa: Ajustar las políticas de control de dispositivos (5 minutos) • Problema: Necesidad de impedir que información confidencial salga por los dispositivos externos conectados con los sistemas, por ejemplo, Smart phone, discos duros removibles, dispositivos Bluetooth, MP3 players, pen drives, etc. •
Solución: Monitorear y controlar los dispositivos externos y su uso en la distribución de información confidencial, y su conexión con los sistemas
•
Producto de McAfee: Device Control – Ajuste las políticas de Device Control para monitorear y/o bloquear los dispositivos externos
•
Etapas Técnicas: o o
Identificar las alteraciones de políticas de dispositivos y usuarios específicos Ajustar las políticas permanentes según sea apropiado Permitir que se usen ciertos dispositivos en todo el entorno Permitir que ciertos usuarios accedan a ciertos dispositivos según sus necesidades profesionales
Etapa: Bloquear dispositivos perdidos o robados (5 minutos) • Problema: Se expone información confidencial de la empresa cuando se pierde o se roba un dispositivo •
Solución: Impedir que la información confidencial salga de la empresa a través de la pérdida o el robo de dispositivos cifrados
•
Producto de McAfee: ePO y Device Control – Posibilidad de configurar las configuraciones de bloqueo en la consola de cifrado para proteger los dispositivos perdidos o robados
•
Etapas Técnicas: o o
Monitorear los informes de dispositivos perdidos/robados Entre en la consola de cifrado del ePO y configure la política de bloqueo de dispositivos perdidos/robados
8
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
Etapa: Evaluar el cumplimiento de la política de cifrado (5 minutos) • Problema: La pérdida o el robo de portátiles puede resultar en la violación de información confidencial •
Solución: El cifrado de disco completo evita que información confidencial llegue a personas no autorizadas y comprometa los recursos y la información de la empresa
•
Producto de McAfee: McAfee Endpoint Encryption – Examine el tablero de mando del producto para verificar la fiscalización del cifrado en todas las unidades organizativas
•
Etapas Técnicas: o o
Examinar las máquinas con políticas de cifrado de disco aplicadas al directorio del grupo Verificar si las máquinas cumplen con la política de cifrado de disco completo
Etapa: Fiscalizar la política de cifrado de disco (2 minutos) • Problema: El robo o la pérdida de una portátil no debe poner en riesgo a toda la empresa •
Solución: Fiscalizar la política de cifrado de disco en todas las máquinas
•
Producto de McAfee: McAfee Endpoint Encryption – Cifrar los dispositivos que no tienen la política de cifrado de disco instalada
•
Etapas Técnicas: o o
Identificar las máquinas que deben llevar el cifrado de disco, pero no se lo aplicó aún Iniciar manualmente la tarea de cifrado para obligar al cumplimiento de la política de cifrado de disco completo
Etapa: Fiscalizar la política de cifrado de archivos y carpetas (2 minutos) • Problema: Se puede copiar, transferir o manipular la información confidencial dejada en los servidores internos, desktops o portátiles •
Solución: El cifrado de archivos y carpetas impide el escape de datos y protege los datos al transitar por la red
•
Producto de McAfee: McAfee Endpoint Encryption – Asegurar que se apliquen las políticas de cifrado de archivos y carpetas a todas las máquinas
•
Etapas Técnicas: o o o
Identificar las máquinas en la cuales se aplicará el cifrado de archivos y carpetas Reinstalar el paquete de cifrado de contenido Asegurar que la política de cifrado de archivos y carpetas esté activa y actualizada en todas las máquinas
9
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
Conformidad (Compliance) Productos obligatorios de McAfee: • McAfee ToPS Enterprise Advanced suite (Policy Auditor) y Remediation Manager • PCI Certification Service o McAfee Secure (actualmente disponible sólo en EE.UU.)
Etapa: Monitorear las políticas de conformidad (5 minutos) • Problema: Rastrear los sistemas que violan las políticas y determinar los pasos siguientes •
Solución: Generar informes de políticas predefinidas para auxiliar a la conformidad
•
Producto de McAfee: ePO, Policy Auditor y Remediation Manager – Identificar los sistemas fuera de conformidad, comparándolos con la referencia y determinando las etapas necesarias de corrección
•
Etapas Técnicas: o o o
Examinar el ePO Compliance Summary Dashboard para ver una instantánea de múltiples informes creados por Policy Auditor Comparar los sistemas fuera de conformidad o vulnerables con la referencia y evaluar su exposición general al riesgo Transferir los datos de Policy Auditor a una herramienta de corrección automática
Etapa: Contemplar las violaciones de la política • Problema: Necesidad de corregir automáticamente los sistemas que violan las políticas •
Solución: Rastrear los sistemas fuera de conformidad y corregirlos automáticamente
•
Producto de McAfee: ePO, Policy Auditor y Remediation Manager – Importar los datos fuera de conformidad al Remediation Manager para la corrección automatizada
•
Etapas Técnicas: o o
Importar al Remediation Manager los resultados de Policy Auditor sobre los sistemas fuera de conformidad Realizar la corrección automatizada de los sistemas fuera de conformidad
Etapa: Identificar nuevas amenazas (2 minutos) • Problema: No logramos mantenernos al tanto de las amenazas y los vectores de ataque más recientes •
Solución: Identificar las amenazas y los vectores de ataque que surgen
•
Producto de McAfee: McAfee Threat Intelligence Services (MTIS) – Obtenga la información actual de amenazas con los informes de MTIS
•
Etapas Técnicas: o o
Busque las vulnerabilidades más graves de Microsoft, SAP, Quicktime, Firefox y otras aplicaciones Verifique las vulnerabilidades y las respectivas amenazas con las versiones actuales de DAT en ePO y NPS
10
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
Etapa: Verificar la conformidad con la norma PCI (2 minutos) • Problema: Mantener la conformidad con la norma PCI; verificar si un sitio es seguro y conquistar la confianza del cliente •
Solución: Exploraciones diarias del perímetro y el monitoreo continuo de la Web, para recibir la información más reciente de los perfiles de vulnerabilidad, incluso la presencia de vulnerabilidades peligrosas de las aplicaciones de la Web
•
Producto de McAfee: McAfee Threat Intelligence Services (MTIS) – Obtenga la información actual de amenazas con los informes de MTIS
•
Etapas Técnicas: o o
Examine las exploraciones diarias del Vulnerability Management Portal de McAfee Examine esos informes y siga las recomendaciones específicas de corrección
11
15 Minutos para una Empresa Segura – Prácticas Diarias
www.mcafee.com.mx
Red (Network) Productos obligatorios de McAfee: • McAfee Total Protection for Network o McAfee Intrusion Prevention • UTM/Firewall
Etapa: Examinar los incidentes de la red (5 minutos) • Problema: No logramos encontrar la causa principal de los incidentes de seguridad •
Solución: Analizar los incidentes que infringen las políticas predefinidas de seguridad
•
Producto de McAfee: Alert Manager – Examine la información de los alertas de NPS en busca de incidentes de seguridad que infrinjan las políticas de seguridad configuradas
•
Etapas Técnicas: o o
Conozca los tipos de ataques, orígenes, destinos y la gravedad de los ataques Defina nuevas políticas de seguridad para detectar los ataques futuros
Etapa: Actualizar la protección de red (2 minutos) • Problema: No es posible detectar e impedir nuevos incidentes de seguridad en la red •
Solución: Instalar y actualizar un Sistema de Prevención de Intrusiones de Red
•
Producto de McAfee: Network IPS (IPS de Red) – Confirme si la plataforma automatizada de seguridad de red recibirá las actualizaciones de características más recientes
•
Etapas Técnicas: o
Actualizar el sensor con las características más recientes para combatir a los hackers, el uso inadecuado y los nuevos ataques de Negación de Servicio (DoS)
Etapa: Monitorear la protección perimetral de seguridad (5 minutos) • Problema: Los ataques dirigidos desactivan la red periódicamente •
Solución: Monitorear los logs del firewall en busca de ataques externos y añadir nuevas reglas
•
Producto de McAfee: Secure Computing Secure Firewall Reporter – Examine el tablero de mando en busca de amenazas externas de hackers y malware, además de datos de análisis forense
•
Etapas Técnicas: o o
Examine la información sobre las amenazas a la seguridad detectadas y cree su base de conocimiento acerca del uso de protocolos por dispositivo, usuario y departamento Examine los datos de calidad forense, incluso el tipo de ataque, el origen, el destino, el puerto, el protocolo, la gravedad y la regla
McAfee, Inc. 3965 Freedom Circle Santa Clara, CA 95054, 888.847.8766 www.mcafee.com.mx
McAfee y/u otras marcas mencionadas en este documento son marcas comerciales, registradas o no, de McAfee, Inc. y/o de sus afiliadas en Estados Unidos y/o en otros países. El color rojo de McAfee usado con relación a la seguridad es una señal distintiva de los productos que llevan la marca McAfee. Todas las otras marcas comerciales, registradas o no, mencionadas en este documento, pertenecen exclusivamente a sus respectivos titulares. © 2008 McAfee, Inc. Todos los derechos están reservados.
12