Los 10 principales errores de seguridad que cometen los departamentos informaticos

Hola como estan, a continuacion les comentare sobre un tema que afecta a varias y empresas y me imagino que se la mayoria se vera identificada, saludos :

Demasiada carga de trabajo, poco tiempo para acometerla y la presión para ajustarse a estrictos plazos de entrega, así como de mantener contentos a los superiores, lleva a los administradores informáticos a cometer errores de diagnóstico que en algunas ocasiones pueden resultar fatales. Para evitarlos, GFI detalla los diez principales errores o descuidos que cometen los administradores de red:

1. 
   Conectar sistemas TI a Internet antes de protegerlos. Este es un error clásico. Los ordenadores no están diseñados para conectarse a Internet nada más salir de la caja de embalaje. Antes de adquirir una línea de teléfono, un cable Ethernet o una tarjeta inalámbrica para un puesto de trabajo, es recomendable instalar al menos una solución de protección contra virus y detección de spyware, así como un programa para prevenir la instalación de software malicioso.
2. Conectar a Internet sistemas de prueba con cuentas y contraseñas por defecto. Es el sueño de un hacker, ya que dejar las claves y cuentas por defecto facilita enormemente su acceso a la red informática de la empresa. La solución a este error, ciertamente habitual, es cambiar las contraseñas y borrar o renombrar las cuentas por defecto inmediatamente.
3. No actualizar los sistemas operativos de los equipos corporativos. Existen múltiples agujeros de seguridad en los sistemas operativos. Ningún software es perfecto y, una vez que se encuentra una vulnerabilidad, ésta se explota en muy poco tiempo, por lo que es conveniente instalar los parches de seguridad disponibles lo antes posible.
4. Falta de una adecuada autentificación de los usuarios que solicitan servicios técnicos por teléfono. Facilitar a los usuarios contraseñas por teléfono o cambiárselas en respuesta a una solicitud telefónica o personal cuando el usuario no se ha identificado debidamente puede ser la mejor manera de reducir las solicitudes de soporte al área TI, pero facilita enormemente la labor de los hackers involucrados en tareas de ingeniería social. Lo mejor es aplicar las normas de autenticación adecuadas, incluso cuando la voz del interlocutor resulta familiar.
5. No mantener ni probar las copias de seguridad. La pereza es una de las mayores amenazas de seguridad; sin embargo, la creación de copias de seguridad adecuadas es mucho más fácil que recopilar los datos desde cero. Por ello, es conveniente realizar a menudo copias de seguridad y mantenerlas incluso fuera de las instalaciones de la compañía (no en la caja fuerte del jefe).
6. No confirmar que el plan de recuperación ante desastres realmente funciona. Una vez que se tienen las copias de seguridad, hay que verificar si funcionan, si son buenas y si se tiene un plan de recuperación ante desastres. Si las tres respuestas son negativas, nos encontramos ante un problema.
7. No implantar o actualizar programas de detección de virus. ¿Qué sentido tiene tener soluciones anti-virus y anti-spyware si no se actualizan? Las soluciones actualizadas aseguran que las últimas modalidades de software malicioso serán detectadas inmediatamente.
8. Ø No formar a los usuarios en materia de seguridad. Los usuarios necesitan conocer las amenazas a las que deben enfrentarse. Los empleados no formados en temas de seguridad, son aquellos que suelen ser víctimas de virus, spyware y ataques de phising, diseñados para corromper sistemas o filtrar información personal a terceros sin el consentimiento del usuario. No hay que dar por sentados los conocimientos de los usuarios, ni confiar demasiado en ellos.
9. Hacerlo todo uno mismo. Las grandes compañías cuentan con departamentos informáticos específicos, pero los administradores TI de las PYMEs muchas veces se encuentran solos ante el peligro. Estos últimos deben pedir consejo y ayuda en caso de necesidad y si se topan con cualquier problema, ya que la ayuda externa, aunque a veces costosa, asegura un trabajo bien hecho a la primera.
10. Fallos a la hora de reconocer las amenazas internas. Demasiada confianza puede aniquilar la seguridad informática de la empresa. Los empleados descontentos pueden causar grandes problemas si no se les monitoriza adecuadamente. Los responsables TI deberían monitorizar la actividad de la red, especialmente el uso de dispositivos portátiles como iPods, memorias USB, etc. Seguramente ninguna empresa querrá que sus datos se vendan a la competencia por un empleado airado.

La Auditoría Centralizada está aquí y ¡es Gratis!

Discutiendo la Auditoría Centralizada, enfocado en los requerimientos fundamentales y principales ventajas.

Introducción

"¿Cómo centralizo los registros generados en el Visor de Sucesos de las distintas computadoras?". Con el lanzamiento de Windows 2008 y Windows Vista, es posible el registro centralizado de eventos. Antes que deje de leer este artículo porque no tiene Windows 2008 o Vista instalado, por favor ¡siga leyendo!

Microsoft ha diseñado el registro centralizado para reportar a un equipo con Windows 2008 o Windows Vista pero también lo ha hecho compatible con versiones anteriores para Windows 2003 o clientes Windows XP.

Es así, en tanto uno tenga un equipo con Windows 2008 Server ó Windows Vista, uno puede tener registro centralizado de sus computadoras Windows.

Requisitos y Configuración para el Equipo de Registro Centralizado

Cualquier equipo con Windows 2008 Server o Windows Vista puede convertirse en su equipo de registro centralizado. Esto quiere decir que todos los registros que configure en sus equipos con Windows 2008 Server, Windows 2003 Server, Windows Vista o Windows XP serán enviados a este equipo centralizado de registros donde queden registrados todos los eventos clave.
Si quiere que su equipo Windows 2008 Server o Vista contengan el registro centralizado, no es mucho lo que se necesita hacer. Sin embargo, necesita configurar el equipo para que soporte el registro; puede hacerlo ejecutando unos pocos comandos desde una linea de comandos con los privilegios elevados.

Nota:La linea de comandos debe elevarse cuando está habilitado el UAC (User Account Control).
El primer comando que debe ejecutar configurará la Administración Remota (Remote Management) en el equipo. Es el comando siguiente:

winrm qc

Este comando generará una respuesta informándole que se deben realizar ciertas tareas en el sistema, sólo debe confirmar con “Yes” que uno desea que se realicen.

Nota:Si utiliza el parámetro –q al final de su comando, el comando y las acciones se realizarán automáticamente y de forma silenciosa.

Configurando la administración remota en un equipo Windows Vista

Después de ingresar Y para realizar los cambios, aparecerán instantáneamente los resultados indicando que las acciones fueron exitosas.

El segundo comando configurará el servicio Recolector de Eventos (Event Collector service):
wecutil qc /q

Nuevamente, recibirá confirmación que la acción fue exitosa.

Requisitos y Configuración para el Equipo de Registro Centralizado

Si usa Windows 2008 Server o Windows Vista como su equipo origen, entonces sólo necesita ejecutar un comando para tener preparado el equipo para reenviar al equipo de registro centralizado. Es el mismo comando que usó para conseguir que el equipo centralizado tenga la administración remota configurada correctamente:

winrm qc –q

Si está usando Windows Server 2003 o XP, necesitará descargar e instalar la parte de Reenvío de la administración remota para estos sistemas operativos.

Nota:Debe tener SP1 para Windows Server 2003 y SP2 para Windows XP instalados antes de configurar correctamente el reenvío.

Puede descargarlo aquí. Después de la instalación, ejecute la el mismo comando e configuración de administración remota:
winrm qc –q
Nota:Debe tener credenciales administrativas para realizar esta configuración.
Puede verificar que la configuración funcionó abriendo el Visor de Eventos. Cuando este está abierto, verá un nuevo nodo llamado Microsoft-Windows-Forwarding/Operational

Configurando una Suscripción

La configuración de suscripciones se realiza en equipo de registros centralizados. Para estos pasos, necesitará configurar lo siguiente:

• 
  Nombre de equipo del cual quiere recolectar información
  Tipo de Evento (crítico, error, advertencia, etc.)
  Por registro (Sistema, aplicación, etc)
  Por orígen (Lista enorme de opciones!)
  ID(s) de Evento/s (típicamente no querrá recolectarlos todos, así que lístelos separando los números con coma)
  Palabras clave
  Usuario o Equipo

Nota:No se requieren todos los mencionados, ¡son todas las opciones disponibles!
Su primer paso es determinar de que equipo quiere recolectar información. Esto se hace con clic derecho sobre el nodo de Suscripciones en el Visor de Eventos, luego seleccionando Crear Suscripción. En el cuadro de Propiedades de la Suscripción, seleccione el botón Seleccionar equipos.

Dentro del cuadro de selección de equipo, se pueden "Agregar Computadoras del Dominio" a la lista de equipos de los que se desean recolectar eventos. Esto es útil, ya que así uno puede crear una suscripción para recolectar eventos similares de muchos equipos definiendo sólo un conjunto de eventos. También tiene una opción de Prueba, para asegurarse que el equipo centralizado pueda ver a los equipos remotos de donde recolectaran los eventos.

Después de configurar los equipos de los cuales se desea recolectar eventos, solo se necesita configurar los eventos y detalles de lo que se quiere recolectar.

Cada suscripción le permite ser muy detallado en lo que se desea recolectar

Después de configurar cuales eventos desea recolectar, basado en la miríada de opciones que tiene disponibles, solo necesita esperar a que recolecten los eventos en los equipos de origen y se envíen al equipo de registro centralizado.

Ver los Eventos Recolectados

Para ver los eventos recolectados en su equipo centralizado, solo necesita ir al Visor de Eventos. Allí verá un nodo debajo de los registros de Windows denominado Eventos reenviados. El equipo origen está configurado para enviar todos los eventos a esta ubicación. Por supuesto uno puede configurar Vistas Personalizadas para separar u organizar sus eventos en otros registros personalizados (lo cual podría ser beneficioso si está recolectando de muchos equipos y distintos tipos de eventos). La figura 6 ilustra un conjunto ejemplo de eventos que están siendo recolectados desde un equipo Windows XP en un equipo Windows 2008 Server.
Figura 6: Eventos recolectados por un Windows XP y enviados a un equipos de registro centralizado Windows Server 2008

Resúmen

Microsoft vino al rescate si usted es responsable por administrar y revisar los registros de eventos. Hay una nueva tecnología en Windows 2008 Server y Windows Vista que le permite crear un equipo de registros centralizados. Una vez configurado ese equipo, solo necesita iniciar el componente de Administración Remota en su equipo origen. El equipo origen puede ser Windows XP SP2, Windows Server 2003 SP1, Windows Vista, o Windows Server 2008.Las suscripciones son configuradas en el el equipo de registros centralizados. Todo lo que debe hacer es establecer de cuales equipos desea recolectar, y que tipo de eventos desea obtener. Con respecto a los demás equipos, solo revise en el Visor de Eventos del equipo de registros centralizados para ver eventos de la red mientras que les presta servicio.

Autor: Derek Melber

Mas informacion :

http://blog.segu-info.com.ar/2009/06/la-auditoria-centralizada-esta-aqui-y.html

Ser un auditor de seguridad y no morir en el intento

Ser un auditor de seguridad y no morir en el intento!!

Adjunto información en base a los Webcast realizados en noviembre y diciembre sobre las auditorias de seguridad o de como verificar el nivel de seguridad de la plataforma Windows.

Cada artículo posee la URL que los lleva al sitio de Microsoft donde están alojadas las grabaciones:
1) Hágalo Usted mismo: Auditorias de Seguridad. Parte1.
2) Hágalo Usted mismo: Auditorias de Seguridad. Parte2.
3) Descubre lo nuevo de MSAT 4.0.
4) Analiza la seguridad de tu red
5) Plataforma actualizada, plataforma segura
6) Conversa con el Auditor

Fuente: http://seguridadit.blogspot.com/2009/01/ser-un-auditor-de-seguridad-y-no-morir.html