ADMINISTRADOR DE SERVIDORES Captulo

Seguridad corporativa
Ya conocemos los pasos necesarios para la instalacin de servidores, y vimos algunas pautas para configurarlos en el dominio con Active Directory y con las herramientas que nombramos. Ahora veremos cmo darles seguridad fsica y lgica. Nuestra meta es que los equipos no sean daados y no puedan ser modificados ni accedidos sin los permisos correspondientes.
Polticas de seguridad Qu son y cmo se aplican las polticas de seguridad Ejemplo de polticas corporativas Polticas avanzadas para Windows 7 y Windows Server 2008 Acceso a los centros de cmputos Seguridad fsica en los centros de cmputos Plan de contingencias Normas de seguridad Normas ISSO 9001 y 27001 ITIL y la norma ISO20000 Antivirus corporativos Caractersticas de los antivirus corporativos Infraestructura de los antivirus Firewalls corporativos Firewalls fsicos y lgicos Definicin de reglas de seguridad Resumen Actividades 72 72 76

81 82 82 86 88 89 91 94 94 96 100 100 103 103 104

SERVICIO DE ATENCIN AL LECTOR: usershop@redusers.com

3. SEGURIDAD CORPORATIVA

POLTICAS DE SEGURIDAD
La aplicacin de polticas de seguridad nos ayudar a tener nuestra infraestructura controlada y con configuraciones estndar. Debemos tener en cuenta que esta prctica se encarga de complementar la seguridad brindada por las aplicaciones antivirus y firewalls, pero es igualmente necesaria. Las polticas tienen una gran variedad de configuraciones para los servidores y los usuarios. Definiremos qu son, y veremos cmo administrarlas, aplicarlas y las nuevas caractersticas que podemos encontrar en un dominio con Windows Server 2008.

Qu son y cmo se aplican las polticas de seguridad

Las polticas de seguridad son reglas establecidas para el dominio de nuestra empresa. Existen polticas de usuarios y de mquinas. Las primeras restringen las acciones de los usuarios una vez que ingresan en la red; por ejemplo, podemos evitar que se ejecuten ciertos programas en los equipos y realizar muchas otras configuraciones. Al aplicar polticas de mquinas, tenemos la opcin de estandarizar las propiedades de las PCs de escritorio y los servidores para que tengan una configuracin general nica; es decir que cualquier usuario que use la mquina tendr las mismas configuraciones. Por ejemplo, podramos acceder a realizar la modificacin de algunos servicios para que queden funcionando en forma automtica, o tambin instalar un parche o aplicacin al iniciar el sistema, adems de cambiar los usuarios del equipo para incluir usuarios del dominio, etc. En muchos casos, deberemos crear estas reglas por pedido de los departamentos de Seguridad o de Recursos Humanos, pero es importante mencionar que una gran parte de ellas son establecidas para hacer funcionar algn sistema de la empresa en particular. Utilizamos la herramienta denominada GPMC (Group Policy Management Console) de Microsoft para efectuar esta tarea. Debemos saber que no viene instalada en el sistema operativo por defecto, sino que tendremos que realizar los pasos correspondientes para agregarla. En Windows 2003 Server podemos bajarla del sitio oficial de Microsoft e instalarla en el sistema operativo; para Windows 2008 Server veremos la manera de agregarla paso a paso, como una caracterstica nueva.

POLTICAS
Las polticas son reglas que impone la compaa a sus empleados para que utilicen el capital de la empresa en forma correcta, ya que restringen accesos de seguridad, configuraciones e instalaciones de programas indebidos. Active Directory nos permite crear directorios de dominios en los cuales administraremos toda nuestra infraestructura.

72

www.redusers.com

Polticas de seguridad

Instalar la consola GPMC en Windows Server 2008

PASO A PASO

Conctese al equipo que sea controlador de dominio (Active Directory), vaya al botn Inicio y abra el Panel de control. Ingrese en la opcin Activar o desactivar las caractersticas de Windows.

Para continuar, oprima el botn derecho del mouse sobre la opcin llamada Caractersticas del rbol y elija Agregar caractersticas.

MICROSOFT SECURITY ADVISORY

ste es un sistema de alertas de Microsoft que nos avisa de manera urgente cualquier novedad sobre vulnerabilidades y parches. En general, nos informa por e-mail, pero tambin tiene presencia en distintas redes sociales. Proporciona boletines diarios, asesoramientos, herramientas, orientacin y recursos de la comunidad. www.microsoft.com/technet/security/advisory

www.redusers.com

73

3. SEGURIDAD CORPORATIVA

Marque la opcin Administracin de directivas de grupo para agregar la nueva funcin que le permitir administrar las polticas del dominio.

Oprima el botn Instalar para comenzar la instalacin y espere unos minutos.

NETLOGON
Es una carpeta que se publica en el controlador de dominio de Active Directory cuando se lo instala, y por lo tanto, pertenece al dominio correspondiente. A ella pueden acceder todas las mquinas de la red y todos los usuarios. Lo harn con permisos de slo lectura; los de modificacin los tendremos nosotros, los administradores.

74

www.redusers.com

Polticas de seguridad

Luego, compruebe que la instalacin se realiz correctamente expandiendo el rbol debajo de Caracterstica/Administracin de directivas de grupo.

La consola conocida como GPMC se conectar a un controlador de dominio para mostrar la configuracin del dominio Active Directory. Podemos ver un rbol, similar al de la herramienta denominada Usuarios y equipos, pero podremos darnos cuenta de que presenta algunas diferencias, ya que slo se muestran las OU y las polticas aplicadas a cada una de ellas; por lo tanto, no ser posible que veamos los objetos que se encuentran asociados a cada una.

Figura 1. En la consola se distinguen una seccin para generar bsquedas, otra para ver dnde estn aplicadas las polticas, y una tercera que es el repositorio en donde se crean y se administran.
www.redusers.com 75

3. SEGURIDAD CORPORATIVA

Las polticas se aplicarn a todos los objetos que estn en la OU configurada. Por ejemplo, la OU Argentina contiene otra OU llamada Computadoras. A todos los objetos que tengamos en la OU Argentina se les aplicar la poltica Default Domain Policy, al igual que en la OU Computadoras, ya que las polticas se heredan. Decimos que las polticas estn conectadas a las OU porque hay una carpeta especial que es el repositorio en donde se crean; luego se generan accesos directos a las OU para configurar las polticas en un determinado lugar del dominio. La carpeta se denomina Objetos de directiva de grupo. Una vez creada una poltica, se puede conectar o desconectar de distintas OU que necesitemos. Las polticas aplicadas a una mquina pueden chequearse desde la lnea de comandos de la siguiente manera:
C:\>GPRESULT /R

Este comando muestra un listado con las configuraciones de polticas de cada mquina y las configuraciones de polticas de usuario que tenga la PC o el servidor en donde se ejecute. Es muy importante tenerlo en cuenta para comprobar la aplicacin certera de las polticas. En ciertos casos, deberemos reiniciar el equipo para lograrlo. Tambin podemos forzarlas a actualizarse usando el siguiente comando:
C:\>GPUPDATE

De todos modos, si existen polticas que necesitan un reinicio, el comando pedir hacerlo en el momento. Es conveniente agregar el opcional f para forzar el reinicio. Si estamos en duda, siempre debemos reiniciar.

Ejemplo de polticas corporativas

Existen polticas para configurar cualquier aspecto del uso de una mquina o servidor. Encontraremos muchos sitios en Internet con recomendaciones y detalles sobre cada configuracin. Vamos a nombrar algunas de ellas y veremos un ejemplo prctico de cmo conectar una poltica a una OU. Debemos tener en cuenta que si bien hay muchas polticas, las ms utilizadas son, por ejemplo, establecer normas de longitud y detalles en la creacin de contraseas, deshabilitar o habilitar ciertos servicios que funcionan en el sistema operativo, iniciar una aplicacin en forma automtica luego de que el usuario acceda al sistema o instalar un parche de Windows o algn software. A continuacin, aprenderemos a publicar un paquete de software para todas las mquinas de la red y a configurarlo para que se instale al iniciar el sistema mediante una poltica de seguridad. En el Netlogon podemos publicar scripts y paquetes
76 www.redusers.com

Polticas de seguridad

de instalacin para que sean accedidos por cualquier usuario de la red. Si existe ms de un controlador de dominio que pertenezca al mismo dominio, esta carpeta se replicar con cada cambio que se haga, al igual que cualquier configuracin que realicemos en Active Directory. Para acceder al Netlogon y copiar un archivo, slo ser necesario que escribamos el comando \\nombredominio.com\netlgon en el men Inicio del sistema operativo, desde la opcin denominada Ejecutar. Podremos darnos cuenta de que se abrir la carpeta correspondiente al controlador de dominio adecuado. Luego de realizar esta tarea, debemos proceder a crear una carpeta para la aplicacin y, posteriormente, copiar el ejecutable.

Figura 2. Una vez que creamos la carpeta, copiamos el instalador de la aplicacin deseada en ella. Nos quedar una ruta parecida a \\nombredominio.com\netlogon\carpetaapli\aplicacion.exe.

El paquete de instalacin podr ser ledo por cualquier usuario de la red. As como este paquete, podremos copiar el de cualquier programa. Para continuar, veremos cmo configurar la instalacin del paquete para todas las mquinas. Debemos crear un script de instalacin, guardarlo en la misma carpeta del Netlogon y, como ltimo paso, crear una poltica que corra el script al inicio del sistema desde la consola GPMC. El script debe crearse utilizando un editor de textos. Crear una poltica y conectarla a una OU PASO A PASO

Vaya al men Inicio/Ejecutar y escriba el comando notepad.exe, para abrir el editor de texto.

www.redusers.com

77

3. SEGURIDAD CORPORATIVA

Para continuar, ser necesario que escriba el siguiente texto en el editor de notas del sistema operativo: @echo off. Debe tener en cuenta la necesidad de dejar un rengln. Luego escriba (para el ejemplo que mencionamos ms arriba): \\nombredominio.com\netlogon\carpetaaplicacion\aplicacion.exe. Por ltimo, guarde el archivo utilizando el men adecuado.

Renombre el archivo para cambiar su extensin .TXT por .BAT o gurdelo desde el editor de notas con esa extensin. A continuacin, muvalo para ubicarlo en la carpeta de la aplicacin en el Netlogon.

78

www.redusers.com

Polticas de seguridad

Vaya a Inicio/Ejecutar. Escriba gpmc.msc para abrir la consola de comandos.

Posicinese en Objetos de directiva de grupo y elija la opcin Nuevo.

Escriba un nombre para la poltica y oprima el botn Aceptar. Deje la lista desplegable de abajo como est por defecto.

Vaya a la poltica recin creada y posteriormente haga clic con el botn derecho del mouse en ella. Elija Editar para poder configurarla.

www.redusers.com

79

3. SEGURIDAD CORPORATIVA

A continuacin, expanda el rbol de Configuracin del equipo y luego dirjase a la seccin denominada Configuracin de Windows. Expanda nuevamente el rbol y elija la opcin llamada Scripts. En el lado derecho de la pantalla haga clic derecho sobre Inicio y escoja la opcin Propiedades.

Para continuar, oprima el botn denominado Agregar y posteriormente escribir la ruta del script; en este caso deber copiar la que se muestra a continuacin: \\dominio.com\netlogon\aplicacion\aplicacion.bat.

En este paso deber oprimir el botn Aceptar, luego de lo cual tendr que cerrar la pantalla de edicin. En la consola posicinese donde quiera conectar la poltica. Para todas las computadoras de escritorio, ubquese en la OU denominada Computadoras. Para continuar, haga clic con el botn derecho del mouse y elija la opcin Vincular un GPO existente.

80

www.redusers.com

Polticas de seguridad

Elija la nueva poltica antes creada del listado que figura en pantalla y finalmente haga clic sobre el botn llamado Aceptar.

Una vez que se reinicie el sistema, se comenzar a instalar la aplicacin con las credenciales de un usuario administrador, se llamar al script y se ejecutar en forma oculta. En todos los sistemas operativos Windows este tipo de tareas se realiza con el usuario de sistema. Se trata de un usuario especial con privilegios de administracin que slo puede ser manejado por el mismo sistema operativo. Otro tipo de poltica muy utilizada, y un poco distinta de la empleada en los procedimientos anteriores, es configurar todos los servicios de los equipos de la empresa. Para hacerlo, debemos crear una poltica nueva que aplicaremos a todas las mquinas. Abrimos la poltica y la editamos, luego expandimos el rbol hasta la opcin de servicios del sistema ubicada en Configuracin del equipo/Directivas/ Configuracin de Windows/Configuracin de seguridad/Servicios del Sistema y all modificamos los que queremos configurar. Antes de cambiar la poltica, tenemos que probarla muy bien para que no haya problemas con la compatibilidad de distintos sistemas de la empresa.

Polticas avanzadas para Windows 7 y Windows Server 2008

Estuvimos aprendiendo cmo configurar algunas polticas de seguridad, la aplicacin de otras es muy similar a las vistas anteriormente. Ahora conoceremos qu es lo nuevo que nos trae el directorio de dominio de Active Directory con Windows Server 2008 R2. El sistema operativo incluye algunos cambios y algunas ventajas con respecto a su antecesor, Windows Server 2003. Nombraremos los ms destacados en cuanto a polticas de seguridad.
www.redusers.com 81

3. SEGURIDAD CORPORATIVA

Antes, con Windows Server 2003, los scripts de las polticas de inicio de sistema utilizaban el lenguaje vbscript, y no poda emplearse Power Shell. Afortunadamente, ahora s podemos usarlo, lo que nos otorga mayor flexibilidad y varias configuraciones que antes no podamos aplicar. Este motor de scripts puede agregarse en equipos con Windows Server 2003 y as utilizarlo una vez que el sistema se inicia. De todos modos, no podemos configurar una poltica de inicio con l. Otro cambio importante es que tenemos la opcin de restringir los diseos de las contraseas para distintos tipos de usuarios. El diseo es la estructura que definimos para que una clave exista. Antes slo podamos tener un nico diseo para todos los usuarios del dominio. Por ejemplo, podemos establecer la longitud que deber tener, si hay que utilizar caracteres especiales, si debemos tener minsculas y maysculas, etc. Con Windows Server 2008 podemos tener distintos tipos de usuarios y configurar restricciones acordes a cada uno. Puede servirnos, por ejemplo, si deseamos que las contraseas de usuarios de alto nivel administrativo sean ms seguras que las de un usuario comn.

ACCESO A LOS CENTROS DE CMPUTOS

Si dejamos de lado la proteccin contra un incendio o brindamos total libertad en el acceso al centro de cmputos, estaremos en problemas tarde o temprano. A continuacin haremos una descripcin de los puntos importantes para tener en cuenta con respecto a la seguridad fsica. Tambin, extendiendo la introduccin del Captulo 2 a lo que es un plan de contingencias, detallaremos an ms sus caractersticas y explicaremos cmo crear uno.

Seguridad fsica en los centros de cmputos

La seguridad fsica es muy importante para la administracin. El centro de cmputos es el lugar en donde se conectan los equipos servidores que nosotros administramos. Puede tener distintos tamaos segn la cantidad de equipos que albergue. No slo tiene equipos servidores, sino que tambin cuenta con varios elementos que se deben proteger. Tiene un piso tcnico (piso flotante por debajo del cual se pasan los cables), racks, armarios, un equipo de control de temperatura, otro para control de energa y uno para controlar incendios. Es preciso controlar el indicador de temperatura, ya que un equipo puede generar demasiado calor, ms del soportable, y hasta alguno puede quemarse. Los racks son capaces de albergar servidores y switches, consolas para conectarse a los equipos y pacheras. Deben estar bien ventilados, refrigerados y ordenados para que todo funcione correctamente. No slo tenemos servidores que resguardar, sino todo un grupo de elementos fsicos que son muy importantes. Debemos protegerlos, entonces, contra
82 www.redusers.com

Acceso a los centros de cmputos

intrusos, desastres naturales, incendios, sabotajes, y otros factores. Necesitamos ser cuidadosos con el acceso de intrusos, porque puede haber un sabotaje a los servidores y, tambin, ataques mucho ms graves. Como administradores, podemos restringir el acceso de varias formas. Una es utilizar un lector de tarjetas magnticas, un escner de iris o de mano, o un simple guardia. Tambin, contar con un sistema de cmaras como respaldo de la seguridad, que son fciles de instalar y muy utilizadas actualmente. Los lectores de tarjetas y escneres trabajan con un servidor y algunos dispositivos mecnicos ubicados en las puertas. El dispositivo lee la tarjeta, la huella, la palma de la mano o el iris, y manda la informacin hacia el servidor habilitante. Si sta se encuentra cargada en la base de datos, el servidor enva una seal de apertura a la cerradura del centro de cmputos y habilita la entrada.

Figura 3. Algunos centros de cmputos estn fuertemente protegidos mediante grandes y pesadas puertas. Otros, en cambio, no dan demasiada importancia a la construccin y su seguridad.
www.redusers.com 83

3. SEGURIDAD CORPORATIVA

Otra amenaza importante son los incendios, que pueden originarse de varias maneras, motivo por el cual es necesario estar preparados. El piso, el techo y las paredes deben estar creados con materiales ignfugos y no tiene que haber ningn elemento inflamable dentro del centro. Es fundamental contar con algn equipo controlador de incendios en estado latente, generalmente, mediante polvo qumico o dixido de carbono. Como administradores, podemos adoptar como prctica la realizacin de un chequeo diario visual en el centro de cmputos, con el fin de verificar posibles alarmas en los servidores y equipos de electricidad, controlar la temperatura y mantener el orden. Los servidores traen indicadores que es necesario revisar, que nos dicen cuando una fuente falla, un disco est roto, una placa funciona mal, hay problemas con un cooler o memoria RAM, etc. Si no llevamos un control, podemos encontrarnos con un servidor fuera de lnea sin saber cul fue el origen del problema. Una buena prctica sera llenar un formulario diario, y hacerlo llegar a todos los administradores y responsables cada da. Si vamos ms all, podemos realizar un informe de inicio de jornada y otro al finalizar, que detalle los arreglos que se realizaron y los que quedaron por hacer. Algunos pasos para llevarlo a cabo son los siguientes: Al iniciar el da, imprimimos un formulario y vamos hasta el centro de cmputos. Anotamos todo el control en l.

Figura 4. Un informe de inventario de todos los servidores de la empresa es de gran utilidad. Tambin podemos hacer un formulario especial para el chequeo diario.
84 www.redusers.com

Acceso a los centros de cmputos

Verificamos en primer lugar que no haya luces rojas en los servidores. Si las hay, abrimos el panel de luces y buscamos informacin que indique la causa. Comprobamos ahora que no haya luces naranjas en los servidores. Si las hay, buscamos otra vez las causas y completamos el formulario. Nos dirigimos al panel de control de electricidad y en l verificamos en forma cuidadosa que no haya ningn indicador encendido.

Figura 5. Tenemos que ser muy cuidadosos al manipular este tipo de paneles, ya que podemos quedarnos electrocutados o dejar sin luz a gran parte de la compaa.

EQUIPOS DE REFRIGERACIN
Debemos tener en cuenta que los equipos de refrigeracin se encargan de bajar la temperatura emitida por los servidores dentro de la sala del centro de cmputos y de esta forma la mantienen a unos 22 C. Un aspecto importante es que conservan un flujo constante de aire que circula desde el frente de los racks hacia la parte posterior.

www.redusers.com

85

3. SEGURIDAD CORPORATIVA

Vamos hasta el controlador de temperatura del centro de cmputos y verificamos que est en 22 grados o por debajo de ese valor. Tambin miramos atrs de los racks para hacer un testeo perceptivo en busca de focos de calor intensos. Entramos en la consola de monitoreo lgico y verificamos las alarmas del da. Completamos el formulario, lo digitalizamos y lo enviamos por mail a los responsables.

Figura 6. El monitoreo lgico puede hacerse con varias herramientas, pero es importante dejar impreso un documento como historial del estado de los equipos.

Plan de contingencias
Continuando con la introduccin que hicimos en el Captulo 2, detallaremos un poco ms lo que es un plan de contingencias y qu aspectos debemos tener en cuenta. Bsicamente, el plan de contingencias nos dice qu hacer en caso de que ocurra

DNDE CREAR EL CENTRO DE CMPUTOS

Las amenazas naturales no son tomadas en cuenta en muchas ocasiones, pero en caso de tener que planificar la instalacin de un centro de cmputos, es preciso establecer una buena zona donde hacerlo, en prevencin de algn posible desastre. Por ejemplo, no debera de estar en inmediaciones de productos inflamables ni en zonas de inundaciones o huracanes.

86

www.redusers.com

Acceso a los centros de cmputos

una situacin no deseada. Tiene que contener todas las tareas que debemos realizar para que el centro de cmputos vuelva a su estado original y operativo. El plan contempla posibles incendios, catstrofes, cortes de luz, sabotajes, etc. La capacidad para recuperarse exitosamente de un desastre en un corto perodo es crucial para el negocio. Hay empresas que, al no tener un plan de contingencias, tardan aos en recobrarse operativamente, con las correspondientes prdidas econmicas, del negocio y, posteriormente, quiebra. Replicar el centro de cmputos es lo mejor que podemos hacer, siempre y cuando la rplica se encuentre en un lugar alejado, para que no sufra las mismas causas de desastre. Pero ste es un detalle de seguridad fsica; el plan de contingencias viene a decirnos los pasos que debemos seguir para que el cambio sea satisfactorio. Nos indica qu palanca mover, hacia dnde y el tiempo que tenemos para hacerlo. El plan de contingencias, generalmente, se extiende del plan general de la empresa. Indica las salidas de emergencia, la ubicacin de los manuales de emergencia, los procedimientos por seguir, los responsables y los telfonos a donde llamar. Podramos hacerlo teniendo en cuenta los siguientes puntos: Pensar en los posibles desastres que pueden ocurrir e identificar los riesgos que la empresa afrontara en caso de que sucediera alguno. Luego, evaluar las prdidas econmicas, y realizar estadsticas y grficos. Aplicar los conocimientos sobre los sistemas de la empresa, y jerarquizar las aplicaciones en crticas y no crticas. Establecer los requerimientos de recuperacin. Tomar nota de todo lo necesario y los pasos por seguir con cada sistema. Luego, generar documentacin clara. Implementar el plan de contingencias, realizar pruebas y simulacros para verificar que los procedimientos son los indicados antes de que sea tarde. Difundir el plan de contingencias en la empresa mediante comunicaciones masivas e indicadores. Por ltimo, ser necesario planificar en detalle un mantenimiento y chequeo del plan cada cierto tiempo. La ejecucin y puesta a punto del plan de contingencias es responsabilidad nuestra y de toda la empresa. Por eso, debemos asegurarnos de que haya una buena

ESTADSTICAS DE DESASTRES
Se sabe que las causas ms comunes de los desastres son el terrorismo, los incendios y los huracanes. Imaginemos por un instante perder todos los datos de la compaa para siempre o perder las comunicaciones de la empresa durante semanas. Debemos ser conscientes de estas posibles amenazas y actuar antes de que ocurran.

www.redusers.com

87

3. SEGURIDAD CORPORATIVA

comunicacin y de que cada empleado lo conozca. La continuidad del negocio depende de un buen plan de contingencias.

Figura 7. El anlisis de un evento crtico de tal magnitud requiere de controles muy severos y coordinacin de toda la empresa.

NORMAS DE SEGURIDAD
En esta seccin veremos normas que estn en el mercado y nos permiten certificarnos en calidad (ISO9001), en seguridad (ISO27001) y en buenas prcticas (ISO20000). ITIL no es una certificacin propiamente dicha, pero las empresas estn aplicando los procedimientos descriptos como tal. Estas prcticas provienen del Reino Unido. A continuacin, analizaremos las normas ISO20000 e ISO15000, que tienen una certificacin valedera y se basan en procedimientos de ITIL.

SISTEMAS SGSI
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) sirve para el diseo, la implantacin y el mantenimiento de un conjunto de procesos tendientes a gestionar eficientemente la accesibilidad de la informacin, buscando asegurar confidencialidad, integridad y disponibilidad de los activos de informacin, a la vez que minimiza los riesgos de seguridad.

88

www.redusers.com

Normas de seguridad

Normas ISSO 9001 y 27001

Las normas ISO 9001 y 27001 son estndares elaborados por la Organizacin Internacional para la Estandarizacin, una federacin internacional de los institutos de normalizacin de 157 pases; organizacin no gubernamental con sede en Ginebra (Suiza). Todos estos pases, en consenso, estudian los estndares requeridos por el mercado sobre tecnologa, productos, mtodos de gestin, etc. El organismo no obliga a aplicar los estndares; esto es voluntario y slo es obligatorio si en el pas rige una legislacin sobre su aplicacin. La norma ISO9001 especifica los requerimientos para un buen sistema de gestin de la calidad. Actualmente, existe la cuarta versin de la norma, publicada en el ao 2008, razn por la cual se la llama, internacionalmente, ISO9001:2008.

Figura 8. Sello con el que debera contar nuestra empresa para ofrecer calidad en los productos. Nuestro sector tambin puede tener este sello para distinguirnos dentro de la organizacin y que los usuarios confen ms en los servicios brindados.

Tanto esta norma como las otras, de las cuales hablaremos ms adelante, pueden servir a la empresa para trabajar mejor o, en muchos casos, como parte de su plan de marketing. Algunas compaas slo certifican determinados departamentos o productos especficos, y no, la organizacin en su integridad. Esto las ayuda a tener

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY)

Es un resumen de las buenas prcticas en la entrega de servicios de tecnologas de informacin (IT). Fueron desarrolladas en el ao 1980 por la Central Computer and Telecommunications Agency (CCTA), del gobierno britnico, como respuesta a la creciente demanda y falta de un estndar, lo que generaba duplicaciones de investigacin y grandes gastos a las empresas.

www.redusers.com

89

3. SEGURIDAD CORPORATIVA

mejores ventas con una buena campaa publicitaria, sin realizar el gran esfuerzo que implica certificar todos y cada uno de los procedimientos. Pero nosotros tenemos que enfocarnos en lo que estas normas significan para la administracin de servidores. La norma ISO9001 nos da una gran ayuda para mantener una gua de calidad en nuestro trabajo. Aplicarla hasta los lmites que podamos hacerlo seguramente nos gratificar tarde o temprano. La norma ISO9001:2008 se compone de ocho captulos:
CAPTULO I II III IV V VI VII VIII DESCRIPCIN Guas y descripciones generales Normativas de referencia Trminos y definiciones Sistema de gestin Responsabilidades de la Direccin Gestin de los recursos Realizacin del producto Medicin, anlisis y mejora

Tabla 1. Los ocho captulos de los que se compone la norma ISO9001:2008.

Aplicar la norma en la empresa es una carta de presentacin al mundo, significa decirle que tenemos calidad en lo que hacemos. La aplicacin nos otorga una mejora en toda la documentacin, nos asegura que la informacin se actualice y sea efectiva, reduce los costos y disminuye la cantidad de procesos. La norma 27001 gestiona la seguridad. Se basa en un Sistema de Gestin de la Seguridad de Informacin, tambin conocido como SGSI. Este sistema, bien implantado en una empresa, nos permitir hacer un anlisis de los requerimientos de la seguridad de nuestro entorno. Con ellos, podremos crear procedimientos de mantenimiento y puesta a punto, y aplicar controles para medir la eficacia de nuestro trabajo. La norma contempla cada uno de estos requisitos y nos ayuda a organizar todos los procedimientos. Todas estas acciones protegern la empresa frente a amenazas y riesgos que puedan poner en peligro nuestros niveles de competitividad, rentabilidad y conformidad legal para alcanzar los objetivos planteados por la organizacin.

LIBROS Y VERSIONES DE ITIL

Su ltima versin, la tercera, fue publicada en 2007 con ciertas modificaciones. En las anteriores, las continuas modificaciones y actualizaciones dieron lugar a 31 libros para la versin I y 30 libros para la versin II. El grupo originario se propuso minimizar esta cantidad y, as, en la versin 3 de 2007 tenemos slo 8 libros y uno complementario.

90

www.redusers.com

Normas de seguridad

ISO 27000 - Estructura

Estratgico Poltica de Seguridad Organizacin de la seguridad de la informacin Gestin de activos Operativo Conformidad Seguridad fsica y del entorno Gestin de incidentes de seg. de la informacin Gestin de la continuidad del negocio Seguridad en los Recursos Humanos Gestin de comunicaciones y operaciones Adquisicin, desarrollo y mantenimiento de sistemas de informacin Control de acceso accesos Seguridad organizativa Seguridad lgica Seguridad fsica Seguridad legal

Figura 9. Estructura en la que se basa la ISO 27001. Vemos los niveles estratgicos y operativos que debemos cumplir.

Nuestro objetivo al aplicar esta norma tiene que ser asegurar la confidencialidad, integridad y disponibilidad de la informacin para nuestros empleados, clientes y cada persona que intervenga en el negocio. La aplicacin no slo expresa nuestras buenas prcticas en la materia, sino que tambin nos ayuda con ciertos requerimientos legales de nuestra legislacin. Obviamente, la legislacin depender del gobierno de cada pas, pero a grandes rasgos, nos ayuda con leyes de proteccin de datos personales, de inspeccin y de control, y tambin en juicios, en los que casi siempre se solicitan datos histricos.

ITIL y la norma ISO20000

ITIL proviene del ingls Information Technology Infrastructure Library, biblioteca de infraestructuras de tecnologas de la informacin. Es un marco de referencia de mejores prcticas para gestionar operaciones y servicios de IT. Fue definido en los aos 80 por el Reino Unido y es, sencillamente, el sentido comn documentado a lo largo de los aos de aprendizaje de gestores de departamentos de helpdesk de todas partes del mundo. ITIL no es un estndar; no existe una certificacin ITIL, podemos obtenerla certificacin de las normas ISO20000 o BS15000 que se basan en ITIL. Cualquier empresa puede implementar ITIL, pero es recomendable para aquellas que tengan ms de cinco personas en el departamento de helpdesk. Fue publicado como un conjunto de libros, cada uno dedicado a un rea especfica dentro de la gestin de IT.
www.redusers.com 91

3. SEGURIDAD CORPORATIVA

Los libros de la ltima versin son los siguientes: 1. Mejores prcticas para la provisin de servicio 2. Mejores prcticas para el soporte de servicio 3. Gestin de la infraestructura de IT 4. Gestin de la seguridad 5. Perspectiva de negocio 6. Gestin de aplicaciones 7. Gestin de activos de software 8. Planeando implementar la gestin de servicios 9. Implementacin de ITIL a pequea escala (complementario)

Mejora Continua del Servicio

Diseo del Servicio

Mejora Continua del Servicio

Operacin del Servicio

Estrategia del Servicio ITIL

Transicin del Servicio

Mejora Continua del Servicio

Figura 10. Podemos observar el ciclo de vida de ITIL dentro de una empresa, que podra ser la nuestra.

La ISO20000 fue publicada en diciembre del ao 2005. Nos permite concentrarnos en una gestin de problemas de tecnologa de la informacin mediante el uso de un planteamiento de servicio de asistencia. Tambin controla la capacidad del sistema, los niveles de gestin necesarios cuando ste cambia, la asignacin de presupuestos, y el control y la distribucin del software. Debemos tener en cuenta que la norma se divide en tres partes: la primera se encarga de realizar la definicin de los requisitos necesarios para disear, implementar y mantener la gestin de servicios IT de una empresa; la segunda nos ensea cules son los mejores procedimientos para los procesos de gestin de servicios, las mejores prcticas codificadas segn el mercado; y por ltimo, la tercera parte es una gua sobre el alcance y la aplicabilidad de la norma correspondiente. En la primera, los requisitos pueden detallarse como se indica a continuacin:
92 www.redusers.com

Normas de seguridad

Requisitos para un sistema de gestin Planificacin e implantacin de la gestin del servicio Planificacin e implantacin de servicios nuevos o cambiados Proceso de prestacin de servicios Procesos de relaciones Procesos de resolucin Procesos de control y liberacin

Actualmente, se est realizando una revisin para alinear la norma con la ITIL v3, por lo que se est trabajando en dos partes ms: una trata el modelo de procesos de referencia de gestin de servicios, que describe cmo se establecen las bases del modelo de madurez y el marco de evaluacin; y la quinta y ltima requiere un ejemplar del plan de implementacin para la norma; es la presentacin de un ejemplar final de todas las tareas por realizar.
PARTES I II III IV V DESCRIPCIN Especificaciones Cdigo de buenas prcticas Gua sobre la definicin del alcance y aplicabilidad Modelo de procesos de referencia de gestin de servicios Ejemplar del plan de implementacin

Tabla 2. Partes de la versin 3 de ITIL.

Luego de ver los detalles de la norma ISO20000, a continuacin describiremos los pasos que se deben seguir en un proceso de certificacin. Una vez que nuestra empresa haya implementado un sistema de gestin de servicios de IT (SGSIT), y haya decidido certificar, necesita realizar estas actividades. Habr dos actores principales, que sern la empresa solicitante y la entidad certificadora. Estas tareas deben ser cubiertas por ambos para lograr la certificacin: Determinar el alcance de la certificacin dentro de la empresa. Acotar los lmites en los cuales la norma tiene incidencia. Realizar una solicitud de la certificacin ante la entidad certificadora. Tambin es necesario analizar la documentacin correspondiente a la norma y ver todos los requisitos que debe cumplir la empresa. Organizar una visita previa de la entidad certificadora a nuestra empresa, de esta forma ser posible ultimar los detalles pendientes. Luego de que la entidad evale la situacin, ser necesario tomar una decisin considerando la devolucin correspondiente. Si todo sale bien, recibir la concesin del certificado luego de que la empresa haya pasado satisfactoriamente la evaluacin.
www.redusers.com 93

3. SEGURIDAD CORPORATIVA

Figura 11. Nos ponemos de acuerdo con la entidad certificadora para realizar la primera auditora. El da indicado, realizamos la auditora de la mejor manera posible.

Podran incluirse dos pasos ms, que seran la auditora de seguimiento anual y la renovacin cada tres aos, pero eso estara fuera del proceso.

ANTIVIRUS CORPORATIVOS
Las mquinas de escritorio podran ser las primeras en infectarse con un virus y podran originar un ataque masivo a nuestra red. Entonces, los servidores y la continuidad del negocio sin duda se veran afectados. Los antivirus corporativos son una evolucin de los comunes, usados fuera de una red empresarial. Tienen una configuracin centralizada y varios mdulos que detallaremos a continuacin.

Caractersticas de los antivirus corporativos

Sin dudas, la evolucin de los antivirus naci con el estudio de los de escritorio. Es por eso que los de servidores son mucho ms potentes, tienen ms opciones, ms configuraciones, y abarcan la seguridad de la empresa como un todo. Adems, centralizan informacin de toda la red y las descargas de actualizaciones, muy importante para unificar la seguridad. Incorporan todo un grupo de elementos, por ejemplo: antivirus, firewall, antispyware, antispam, analizadores de trfico de red, etc. Las
94 www.redusers.com

Antivirus corporativos

empresas dedicadas al desarrollo de los antivirus de ms renombre en este rubro, y que abarcan gran parte del mercado, son Symantec (www.symantec.com/es), Trend Micro (http://es.trendmicro.com) y McAfee (www.mcafee.com/es). Todas ellas ofrecen varias versiones de sus productos e infraestructuras, y dividen sus herramientas en usuarios domsticos (de 1 a 10 usuarios), empresas chicas (de 10 a 100 usuarios), medianas (de 100 a 1000) y grandes (ms de 1000). Dependiendo del tamao de la nuestra, elegiremos el que mejor se adapte a nuestro caso.

Figura 12. El sitio nos permite ver todas las opciones de productos y elegir el que mejor se adapte a nuestra empresa, segn su tamao.

Estos antivirus nos aseguran tener una administracin centralizada. Habr un servidor central, que administre los clientes instalados en servidores y mquinas de escritorio. Los clientes, al querer actualizarse, buscarn las actualizaciones adecuadas en el servidor central de la empresa antes de hacerlo en Internet. Es posible dar acceso a Internet tambin, pero si slo permitimos que se actualicen mediante nuestro servidor, nos aseguraremos de que todas las mquinas tengan las mismas versiones de defensa, y podremos analizar un problema o una intrusin con ms facilidad. Los clientes reportarn todos sus detalles al servidor central, tendremos informes de posibles ataques, informes de programas instalados que puedan poner en riesgo el accionar de la compaa y de programas inseguros que debern ser desinstalados. Si la seguridad de la empresa depende de nosotros, es fundamental estar muy
www.redusers.com 95

3. SEGURIDAD CORPORATIVA

atentos ante cualquier ataque. Para hacerlo, es ms que importante informarse a diario y suscribirse a los avisos de los principales sistemas antivirus y a Microsoft Security Advisory (www.microsoft.com/technet/security/advisory). Ante cualquier aparicin de una vulnerabilidad, seremos conscientes de que si no realizamos las acciones necesarias para protegernos, podremos ser infectados o estafados. Otra caracterstica importante de los antivirus corporativos es que podemos sacar de nuestra red las mquinas infectadas, ponerlas en cuarentena y bloquearles el acceso a la red. As, podramos detener un ataque fcilmente.

Figura 13. Smart Protection Network es el caballito de batalla de Trend. Se encuentra en el primer lugar de evaluacin de malware en tiempo real.

Infraestructura de los antivirus

Las soluciones de antivirus corporativos tienen varios servicios que debemos instalar. Es preciso proteger toda la infraestructura: servidores, mquinas de escritorio, accesos y egresos. Los servidores y las mquinas de escritorio tendrn instalados clientes, que reportarn a un servidor central, el cual ser exclusivo de la aplicacin de seguridad. Desde all vamos a administrar y realizar reportes con la informacin que nos ofrecen los clientes, as como tambin con las otras aplicaciones de seguridad. Siempre nuestras instalaciones se dividirn en grandes o chicas, dependiendo del tamao de la organizacin. A continuacin, veremos algunos grficos extraidos de los manuales de Symantec para instalar ambientes grandes y chicos. Esta solucin de antivirus necesita, por lo menos, un servidor de Symantec y uno de base de datos para funcionar.
96 www.redusers.com

Antivirus corporativos

Symantec Security Response

Internet

Router

Firewall

Conmutador/Hub

Cliente A

Cliente B

Cliente C

Symantec Endpoint Security Manager con base de datos integrada

Figura 14. Este grfico muestra cmo se vera nuestra infraestructura de antivirus en un ambiente chico, sin divisin de servicios, sin replicacin.

En el grfico de la Figura 14 vemos que el servidor de base de datos y el Symantec Endpoint Security Manager pueden instalarse en un nico servidor para que cumpla los dos roles: controlador antivirus y almacenamiento de datos. El servidor es parte de nuestra red y est de frente a los clientes, sin ningn tipo de firewall en el medio. Si nuestra empresa es ms grande, tendremos el grfico de la Figura 15.
Conmutacin por error y balanceo de carga
Clientes Clientes

Symantec Endpoint Protection Manager

Switch

Switch

Symantec Endpoint Protection Manager

1
Switch

Microsoft SQL Server

Figura 15. Si nuestra empresa es ms grande, la instalacin requerir de dos o ms servidores para controlar la gran cantidad de clientes en la red, y otro ms para almacenar los datos.

Al instalar Symantec en la forma que muestra la Figura 15, podremos tener balanceo de carga y control de errores, por si uno de los servidores falla.
www.redusers.com 97

3. SEGURIDAD CORPORATIVA

Crear un reporte programado con Symantec

PASO A PASO

En el servidor de Symantec Endpoint Security Manager dirjase a Inicio/ Programas, y abra la consola de administracin de Symantec.

Para continuar, ser necesario que oprima sobre el icono correspondiente a la opcin denominada Reports, ubicado en la barra de herramientas del lado izquierdo, y elija la solapa Scheduled Reports.

98

www.redusers.com

Antivirus corporativos

Haga clic en Add para programar un nuevo reporte. Complete el nombre, una breve descripcin, elija cada cunto se va a repetir, e indique una fecha de inicio y un filtro en la lista desplegable Use a saved filter.

En este paso deber seleccionar el tipo de reporte deseado en el men desplegable llamado Report Type. En este caso, es Computer Status Report, para crear un reporte de estado de clientes.

www.redusers.com

99

3. SEGURIDAD CORPORATIVA

A continuacin, cree un reporte de definicin de actualizacin. Para hacerlo, del men desplegable Select a Report seleccione el reporte de estado Virus Definition Distribution.

Por ltimo, complete un e-mail y oprima OK para guardar el reporte creado.

FIREWALLS CORPORATIVOS
Segn estadsticas del IDC (International Data Corporation), el FBI (Federal Bureau of Investigation), la CIA (Central Intelligence Agency) y de varios organismos ms, el 98% de las empresas cuenta con algn sistema de firewall. Los firewalls son las puertas de entrada a nuestra empresa, por lo que debemos controlar el acceso de la manera adecuada, como controlamos el ingreso a nuestra casa. A continuacin, conoceremos detalles de los firewalls lgicos y los fsicos. Ms adelante veremos cmo definir reglas de administracin en ellos.

Firewalls fsicos y lgicos

Estos sistemas estn diseados para bloquear el acceso no autorizado por ciertos canales de comunicacin en nuestra red. Pueden limitar el trfico y tambin cifrarlo, para ocultar datos hasta el destino. Otra funcin importante es que se los
100 www.redusers.com

Firewalls corporativos

puede utilizar como gateways (puertas de enlace) entre distintas redes. Los gateways interconectan redes con protocolos y arquitecturas diferentes. Traducen la informacin utilizada en un protocolo de red al usado en otra. Los protocolos emplean puertos que habilitaremos y deshabilitaremos dependiendo de lo que permitamos que se haga en la red. Cada aplicacin utiliza determinados protocolos. Por ejemplo, Internet usa el HTTP y los puertos 80 y 8080, las aplicaciones de FTP utilizan el puerto 21, el servicio de correo electrnico que trabaja con el protocolo POP3 usa el puerto 110, etc. Veamos un ejemplo que nos permitir entender mejor todos estos conceptos. Hagamos una analoga entre la comunicacin entre dos mquinas y una terminal de mnibus. En la terminal (computadora) vemos 65.535 andenes numerados (puertos de la computadora), cada uno perteneciente a una empresa distinta de viajes (protocolo de comunicacin). Si nosotros (en la analoga seramos un dato que quiere viajar de una mquina a otra) utilizamos para viajar una empresa X (Internet, por ejemplo), sabemos que sta tiene el andn 80, que es el que debemos utilizar. Nuestros destinos sern otras terminales de mnibus (otras mquinas). Entonces, nuestro viaje saldr por el andn 80 y llegar a la otra estacin, tambin al andn 80. All esperamos a ser transportados (sos son los puertos que el administrador debe dejar abiertos para esa aplicacin). Ahora, si uno de los mnibus de la empresa X quiere entrar por el andn 4593, el oficial de seguridad de la terminal (firewall) no se lo permitir (este puerto estar deshabilitado para ese protocolo), porque lo utilizar otra empresa o no tendr uso. El firewall es ese oficial de nuestra terminal de ejemplo. Sin la seguridad del firewall, el trfico sera un caos, y cualquier paquete de informacin podra llegar a cualquier puerto de nuestro servidor y, as, entrar sin permiso a la red. Este tipo de firewalls son fsicos (hardware). Pueden bloquear conexiones por puertos o direcciones de IP o MAC, pero no, una mquina que cambia de direccin IP constantemente. Entonces, si dentro de un protocolo HTTP queremos bloquear todas las conexiones a los sitios que contengan la palabra virus, los firewalls fsicos podrn bloquear slo direcciones de IP, por lo que tendremos que cargar continuamente direcciones por ser bloqueadas segn una bsqueda previa. Es all donde nos encontramos con los firewalls lgicos, que trabajan a nivel de aplicacin, dentro de

GENERACIONES DE FIREWALLS
Debemos saber que los firewalls fsicos son considerados de primera generacin, y los lgicos, de segunda generacin. Los primeros son ms especializados en el filtrado de paquetes, pero los segundos tambin pueden realizar esta tarea en forma correcta. En la actualidad, las empresas utilizan ambas soluciones en forma combinada.

www.redusers.com

101

3. SEGURIDAD CORPORATIVA

cada protocolo. Entonces, para bloquear estos sitios, precisamos configurar una regla que nos diga que se cierren todas las conexiones en donde el nombre del sitio por conectar contenga la palabra virus. Tengamos en cuenta que, hoy en da, tambin los firewalls fsicos pueden cumplir funciones avanzadas y actuar como lgicos. Un gran ejemplo de firewall lgico es el ISA Server (Internet Security and Acceleration Server), de Microsoft. Actualmente, pertenece a la solucin integral de seguridad de Microsoft llamada Forefront, por lo que el producto cambi de nombre y se conoce como Forefront TMG. ste, como tantos otros firewalls lgicos, es utilizado como proxy para la red de la empresa. Los proxys son programas o dispositivos que realizan una accin en nombre de otro. Son intermediarios de comunicacin, y es ah donde acta el firewall. Los dispositivos de nuestra red no se conectan directamente a Internet, sino que lo hacen a travs del proxy. ste, a su vez, estar conectado a un firewall fsico para blindar el acceso a la empresa. No slo da control a la red, sino que tambin brinda velocidad, ya que funciona con una memoria cach para el trfico.
Desired Internet Connectivity

Internet

Router / Firewall Fsico

Proxy Firewall Lgico Monitor

Switch

Servidor AV

PC AV

PC AV Estacin de trabajo

PC AV

Figura 16. ste es el esquema que debemos tener en nuestra empresa: un firewall fsico de cara a Internet y otro lgico detrs.
102 www.redusers.com

Firewalls corporativos

Definicin de reglas de seguridad

La definicin de reglas en los firewalls no es nada ms y nada menos que establecer un bloqueo o una habilitacin de cierto protocolo y puerto. Por ejemplo, podremos bloquear el protocolo HTTP para todos los puertos menos el 80 y el 8080. Pero bloqueamos todos los puertos o slo habilitamos esos dos para que exista comunicacin? Hay dos polticas bsicas y formas de realizar las configuraciones que tienen que ver con la filosofa de la seguridad dentro de la empresa: Poltica restrictiva Poltica permisiva Adoptando la primera, debemos denegar todo el trfico excepto el que est explcitamente permitido. Entonces, cerramos todos los puertos de comunicacin, y habilitamos los protocolos y los puertos que utilicemos. La segunda es un poco ms blanda, ya que con ella permitimos todo el trfico excepto el que est explcitamente denegado; es decir que dejamos todos los puertos abiertos y bloqueamos slo aquellos que nos parezcan una amenaza. Tanto los firewalls fsicos como los lgicos tienen una interfaz para configurarlos. Los fsicos poseen un minisistema operativo que publica una pgina web a la cual podemos acceder mediante su direccin IP, y all configurarlos. Antes slo se los poda configurar mediante una conexin Telnet o con un cable serial. Los lgicos cuentan con sus propias consolas o disponen de un acceso web.

RESUMEN
Al principio del captulo conocimos qu son las polticas y cmo configurarlas, y tambin vimos qu nos traen de nuevo las ltimas plataformas de Microsoft. Luego, vimos detalles sobre los centros de cmputos y entendimos cmo se vera afectada la continuidad del negocio si se produjera algn desastre. Por eso, aprendimos a estar preparados haciendo un plan de contingencias acorde. Conocimos tambin qu son las normas dentro de nuestra administracin, cules son las ms importantes y, para finalizar, detallamos la seguridad a nivel antivirus corporativo y aplicacin de firewalls.

www.redusers.com

103

ACTIVIDADES TEST DE AUTOEVALUACIN

1 Qu es una poltica de seguridad y con qu herramienta se administra? 2 Qu caractersticas nuevas incorporan Windows 2008 y Windows 7 con respecto a las polticas? 3 Detalle las caractersticas de los nueve 3 Describa los elementos que pueden encontrarse en los centros de cmputos. 4 Verifique la instalacin de firewalls en su 4 Cmo se realiza un chequeo diario? 5 Qu contingencias podran ocurrir en los centros de cmputos? 6 Qu son las normas ISO? 7 Qu ofrecen las normas ISO9001 y 27001? 8 Qu son las normas ITIL y cmo se relacionan con la norma ISO20000? 9 Cules son los principales proveedores del mercado de antivirus? 10 Describa los distintos tipos de firewalls que existen. empresa. 5 Investigue las ventajas y desventajas de tener una poltica restrictiva o permisiva en los firewalls. libros de ITIL.

EJERCICIOS PRCTICOS
1 Realice un plan de contingencias propio e implemntelo. 2 Analice qu polticas lo ayudaran a realizar una mejor administracin.

104

www.redusers.com