Este documento se encuentra disponible también en formato PDF

Recomendaciones Generales


Recomendaciones Generales

En esta sección trataremos aspectos generales organizativos que creemos pueden ayudar a la hora de aumentar la seguridad de las instituciones afiliadas.

El primero de estos aspectos, que creemos que se echa en falta en gran parte de las organizaciones afiliadas, es el relativo a las políticas de seguridad. Muchas organizaciones no tienen establecida una política de seguridad en la que se indiquen los derechos y obligaciones, o las sanciones en las que pueden incurrir los usuarios. En las páginas del CERT (http://www.rediris.es/cert/doc/docu_rediris/poliseg.es.html) se indican los aspectos que debería contemplar una política de seguridad.

En organizaciones pequeñas todavía es frecuente emplear el mismo equipo como servidor de Internet (DNS, FTP, WWW, correo, etc) y como equipo multiusuario. Sin embargo, los problemas que pudieran derivarse de un robo de claves de usuario o de las acciones de los propios usuarios de la organización serían fácilmente evitables si los mencionados servicios de Internet estuvieran instalados en un equipo al que sólo tuvieran acceso un grupo reducido de usuarios.

Otro aspecto en el que creemos que se debe hacer un énfasis especial es en la definición de los puntos de contacto de cada organización. NO EXISTE ahora mismo en muchas instituciones un responsable definido para el área de seguridad, o incluso una dirección de correo a la que se pudieran enviar los avisos y notificaciones de seguridad. Por lo tanto nos parece muy importante el que exista un alias de correo, redirigido después a cuentas de usuarios finales, para poder contactar con los responsables de seguridad de cada institución, al igual que debe existir el alias de correo postmaster para tratar los asuntos relacionados con el correo electrónico.

En aquellas organizaciones en las que por su complejidad interna existan varios responsables de ``área'', es evidente que también deberían contar con este tipo de dirección. Así se evitaría tener que contactar con el PER de una institución por teléfono para advertirle de un incidente, y que éste lo tenga que reenviar al responsable de un equipo, el cual despúes vuelve a notificarlo al PER, con lo que al final no existe un seguimiento real del incidente.

Si una organización delega en un grupo la gestión de los servicios de comunicaciones para una sección, es lógico pensar que el personal de RedIris tiene que conocer esta situación para poder contactar con los responsables de este departamento cuando sea preciso.

Por último hay que destacar las dificultades que están surgiendo en las instituciones que disponen de aulas o espacios de uso compartido, desde donde surgen ataques de denegación de servicio y barridos de puertos y redes hacía otras localizaciones, sin que muchas veces exista un control sobre quién ha sido el usuario que ha realizado la acción. Creemos que el acceso a estas instalaciones debe realizarse de una forma más controlada.



IRIS CERT