{"id":3630,"date":"2018-04-05T20:00:47","date_gmt":"2018-04-05T23:00:47","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3630"},"modified":"2018-04-05T20:00:47","modified_gmt":"2018-04-05T23:00:47","slug":"10-leyes-inmutables-de-la-administracion-de-seguridad","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3630","title":{"rendered":"10 leyes inmutables de la administracion de seguridad"},"content":{"rendered":"<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images2018\/10-leyes-inmutables-de-la-administracin-_C8B6\/KnowTheRules.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"www.radians.com.ar\" style=\"margin: 5px; float: left; display: inline; background-image: none;\" border=\"0\" alt=\"www.radians.com.ar\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images2018\/10-leyes-inmutables-de-la-administracin-_C8B6\/KnowTheRules_thumb.jpg\" width=\"340\" align=\"left\" height=\"220\" \/><\/a>Hace unos a\u00f1os Microsoft y <em>Scott Culp (administrador de programa de seguridad en el Centro de respuesta de seguridad de Microsoft), <\/em>publicaron<em> una serie de leyes de seguridad en donde detallaba varios de los errores comunes o los temas donde puntualmente hay que tener cuidado y verificar que no realicemos los errores comunes. Hoy vamos a revisarla y darla a conocer ya que muchos no tenian idea de estas recomendaciones.<\/em><\/p>\n<p align=\"justify\">Generalmente los administradores tienen su propio conjunto de leyes inmutables, una que est\u00e1 completamente separada de la lista para los usuarios. Entonces, analizamos a los administradores de redes, gur\u00fas de seguridad y otras personas aqu\u00ed en Microsoft, y desarrollamos la lista que sigue, que encapsula literalmente cientos de a\u00f1os de experiencia ganada con esfuerzo.<\/p>\n<p align=\"justify\">Como en el caso de las leyes inmutables para los usuarios, las leyes en esta lista reflejan la naturaleza b\u00e1sica de la seguridad, en lugar de cualquier problema espec\u00edfico del producto. No busquemos un parche de un proveedor, ya que estas leyes no son el resultado de un defecto tecnol\u00f3gico. En su lugar, debemos usar el sentido com\u00fan y una planificaci\u00f3n exhaustiva para convertirlos en su ventaja.<\/p>\n<h4>Ley # 1: Nadie cree que algo malo pueda sucederles, hasta que lo haga<\/h4>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images2018\/10-leyes-inmutables-de-la-administracin-_C8B6\/petya.png\"><img loading=\"lazy\" decoding=\"async\" title=\"www.radians.com.ar\" style=\"margin: 5px; border: 0px currentcolor; border-image: none; float: left; display: inline; background-image: none;\" border=\"0\" alt=\"www.radians.com.ar\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images2018\/10-leyes-inmutables-de-la-administracin-_C8B6\/petya_thumb.png\" width=\"350\" align=\"left\" height=\"223\" \/><\/a>Muchas personas son socios involuntarios en seguridad inform\u00e1tica. Esto no se debe a que est\u00e9n deliberadamente tratando de poner en peligro la red; simplemente tienen una agenda diferente a la suya. La raz\u00f3n por la que su empresa tiene una red es porque le permite a su compa\u00f1\u00eda hacer negocios, y sus usuarios se enfocan en los negocios de su compa\u00f1\u00eda m\u00e1s que en los caprichos de la seguridad inform\u00e1tica. Muchos usuarios no pueden concebir por qu\u00e9 alguien se puede tomar la molestia de enviarles un correo electr\u00f3nico malicioso o de intentar descifrar su contrase\u00f1a, pero un atacante solo necesita encontrar un enlace d\u00e9bil para penetrar en su red.<\/p>\n<p align=\"justify\">Como resultado, depender de medidas voluntarias para mantener su red segura es probable que no sea un comienzo. Necesita la autoridad para <em>exigir<\/em> seguridad en la red. Trabaje con el equipo de administraci\u00f3n de su empresa para desarrollar una pol\u00edtica de seguridad que describa espec\u00edficamente el valor de la informaci\u00f3n en su red y los pasos que la compa\u00f1\u00eda est\u00e1 dispuesta a tomar para protegerla. Luego desarrolle e implemente medidas de seguridad en la red que reflejen esta pol\u00edtica.<\/p>\n<h4>Ley # 2: La seguridad solo funciona si la forma segura tambi\u00e9n es la manera m\u00e1s f\u00e1cil<\/h4>\n<p align=\"justify\">Como discutimos en la Ley n. \u00b0 1, necesita la autoridad para exigir seguridad en la red. Sin embargo, la otra cara de la moneda es que si conviertes la red en un estado policial, es probable que enfrentes un levantamiento. Si sus medidas de seguridad obstaculizan los procesos comerciales de su empresa, sus usuarios pueden incumplirlas. De nuevo, esto no se debe a que sean maliciosos, es porque tienen trabajos que hacer. El resultado podr\u00eda ser que la seguridad general de su red ser\u00eda en realidad menor despu\u00e9s de implementar pol\u00edticas m\u00e1s estrictas.<\/p>\n<p align=\"justify\">Hay tres cosas clave que puede hacer para evitar que sus usuarios se conviertan en c\u00f3mplices involuntarios de los hackers.<\/p>\n<ul>\n<li>\n<div align=\"justify\">Aseg\u00farese de que la pol\u00edtica de seguridad de su empresa sea razonable y logre un equilibrio entre seguridad y productividad. La seguridad es importante, pero si su red es tan segura que nadie puede realizar ning\u00fan trabajo, realmente no ha realizado un servicio para su empresa.<\/div>\n<\/li>\n<li>\n<div align=\"justify\">Busque maneras de hacer que sus procesos de seguridad tengan valor para sus usuarios. Por ejemplo, si tiene una pol\u00edtica de seguridad que exige que las firmas de virus se actualicen una vez por semana, no espere que los usuarios hagan las actualizaciones manualmente. En cambio, considere usar un mecanismo de &quot;empuje&quot; para hacerlo autom\u00e1ticamente. A los usuarios les gustar\u00e1 la idea de tener esc\u00e1neres de virus actualizados, y el hecho de que no tengan que hacer nada hace que sea doblemente popular.<\/div>\n<\/li>\n<li>\n<div align=\"justify\">En los casos en que debe imponer una medida de seguridad restrictiva, explique a sus usuarios por qu\u00e9 es necesario. Es incre\u00edble lo que la gente aguantar\u00e1 cuando saben que es por una buena causa.<\/div>\n<\/li>\n<\/ul>\n<h4>Ley n. \u00b0 3: si no se mantiene al d\u00eda con las soluciones de seguridad, su red no ser\u00e1 suya por mucho tiempo<\/h4>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images2018\/10-leyes-inmutables-de-la-administracin-_C8B6\/Security-001.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"www.radians.com.ar\" style=\"margin: 5px; border: 0px currentcolor; border-image: none; float: left; display: inline; background-image: none;\" border=\"0\" alt=\"www.radians.com.ar\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images2018\/10-leyes-inmutables-de-la-administracin-_C8B6\/Security-001_thumb.jpg\" width=\"340\" align=\"left\" height=\"227\" \/><\/a>Es una realidad: el software contiene errores. Algunos de estos errores involucran seguridad, y hay una gran cantidad de personas de mala reputaci\u00f3n busc\u00e1ndolos activamente con la esperanza de usarlos en su contra. No importa cu\u00e1n segura sea su red hoy en d\u00eda, podr\u00eda cambiar de la noche a la ma\u00f1ana si se descubre una vulnerabilidad particularmente grave. Incluso podr\u00eda ocurrir si se descubren una serie de vulnerabilidades menos serias que se pueden usar en t\u00e1ndem, en un ataque que es mayor que la suma de sus partes. Es vital que te mantengas al tanto del mundo t\u00e1ctico de la seguridad y que bloquees los agujeros en tu armadura cada vez que encuentres una.<\/p>\n<p align=\"justify\">La buena noticia es que hay muchas herramientas para ayudarlo a hacer esto. Las listas de correo de seguridad como <a href=\"http:\/\/www.ntbugtraq.com\/wjUDKXe0h1Pbv-MiNA\">NTBugTraq<\/a> , <a href=\"http:\/\/www.securityfocus.com\/\">BugTraq<\/a> y <a href=\"http:\/\/www.itsecurity.com\/\">Win2kSecAdvice<\/a> son una excelente forma de conocer los \u00faltimos ataques. Adem\u00e1s, muchos proveedores de software (incluido <a href=\"https:\/\/www.microsoft.com\/security\/msrc\/default.mspx\">Microsoft<\/a> ) han desarrollado procesos de respuesta de seguridad para investigar y corregir vulnerabilidades. Aseg\u00farese de verificar nuevos boletines con frecuencia. (Microsoft proporciona un <a href=\"https:\/\/www.microsoft.com\/technet\/security\/bulletin\/notify.mspx\">servicio de notificaci\u00f3n<\/a> que permite a los suscriptores recibir todos los boletines de seguridad por correo electr\u00f3nico minutos despu\u00e9s de la publicaci\u00f3n, y tambi\u00e9n ha desarrollado una <a href=\"https:\/\/www.microsoft.com\/technet\/scriptcenter\/tools\/default.mspx\">herramienta<\/a> que permite a los servidores de IIS 5.0 verificar constantemente que se instalen los \u00faltimos parches). Y no olvide <a href=\"https:\/\/technet.microsoft.com\/en-us\/library\/cc723731.aspx\">los paquetes de servicios,<\/a> son una de las mejores maneras de asegurarse de que est\u00e9 lo m\u00e1s seguro posible.<\/p>\n<h4>Ley n. \u00b0 4: no hace mucho bien instalar arreglos de seguridad en una computadora que nunca se asegur\u00f3 para empezar<\/h4>\n<p align=\"justify\">Imagina que eres un visigodo y est\u00e1s explorando un castillo que t\u00fa y el resto de la horda planean saquear y saquear. Desde tu escondite en el bosque, ves que hay un verdadero ej\u00e9rcito de siervos que realizan tareas de mantenimiento en las defensas del castillo: est\u00e1n reparando grietas en el mortero, afilando los puntos en el chevaux de frise y rellenando las cubas de aceite hirviendo . Ahora te escabulles hacia la parte trasera del castillo y descubres que \u00a1no hay parte trasera del castillo! \u00a1Nunca lo construyeron! \u00bfCu\u00e1nto va a hacer todo el mantenimiento en el frente del castillo cuando t\u00fa y la horda atacan por la retaguardia?<\/p>\n<p align=\"justify\">Del mismo modo, \u00bfde qu\u00e9 sirven los parches de seguridad si tiene una contrase\u00f1a de administrador d\u00e9bil en su controlador de dominio? \u00bfO si has compartido el disco duro de tu servidor web con el mundo? \u00bfO si ha habilitado la cuenta de Invitado en el servidor de n\u00f3mina de su compa\u00f1\u00eda? El momento de bloquear una m\u00e1quina es antes de que est\u00e9 conectada a la red. Si esto parece demasiado trabajo, considere que, si un malo pasa por la m\u00e1quina, tendr\u00e1 que reconstruirlo de todos modos. Microsoft proporciona <a href=\"https:\/\/www.microsoft.com\/technet\/security\/chklist\/default.mspx\">listas de verificaci\u00f3n de seguridad<\/a> que facilitan el bloqueo de sus m\u00e1quinas, as\u00ed como una herramienta de bloqueo de seguridad que puede usar para proteger autom\u00e1ticamente los servidores web de IIS 5.0. No es mucho m\u00e1s f\u00e1cil que eso.<\/p>\n<h4>Ley # 5: La vigilancia eterna es el precio de la seguridad<\/h4>\n<p align=\"justify\">De acuerdo, entonces lee las Leyes 3 y 4 y te da palmadas en la espalda. Has hecho todo bien: aseguraste tus m\u00e1quinas antes de ponerlas en producci\u00f3n, tienes instalado el \u00faltimo Service Pack y has estado aplicando diligentemente parches de seguridad. Debes estar seguro, \u00bfverdad? Bueno, tal vez, pero tal vez no. Incluso en estas condiciones, un usuario malintencionado podr\u00eda atacar su red. Por ejemplo, podr\u00eda montar ataques de inundaci\u00f3n y simplemente enviar un gran n\u00famero de solicitudes leg\u00edtimas a un servidor para utilizar todos sus recursos. O podr\u00eda llevar a cabo ataques de adivinaci\u00f3n de contrase\u00f1as con fuerza bruta. Ni los parches de seguridad ni las configuraciones de m\u00e1quina pueden evitar totalmente ataques como estos, porque las actividades del tipo malo, aunque son maliciosas, no son inv\u00e1lidas.<\/p>\n<p align=\"justify\">Sin embargo, tienes un arma: los registros de eventos. Le dar\u00e1n informaci\u00f3n sobre qui\u00e9n est\u00e1 utilizando los recursos del sistema, qu\u00e9 est\u00e1n haciendo y si la operaci\u00f3n tuvo \u00e9xito o fall\u00f3. Una vez que sepa qui\u00e9n hace qu\u00e9, puede tomar las medidas adecuadas. Si alguien est\u00e1 inundando su sistema, puede bloquear las solicitudes desde sus direcciones IP. Si alguien est\u00e1 tratando de usar fuerza bruta en sus cuentas, puede deshabilitar las que est\u00e1n en riesgo, configurar &quot;trampas de miel&quot; para atraparlo, o aumentar el intervalo de bloqueo en las cuentas. En resumen, el registro de eventos le permite medir el estado de sus sistemas y determinar el curso de acci\u00f3n correcto para mantenerlos seguros.<\/p>\n<p align=\"justify\">Tenga cuidado al configurar los registros de eventos: puede auditar f\u00e1cilmente tantos eventos que exceder\u00e1 su capacidad de analizar los datos. Planifique cuidadosamente los eventos que necesita para iniciar sesi\u00f3n y si necesita auditar solo \u00e9xitos, fracasos o ambos. Las <a href=\"https:\/\/www.microsoft.com\/technet\/security\/chklist\/default.mspx\">listas de verificaci\u00f3n de seguridad<\/a> incluyen configuraciones sugeridas a este respecto. Finalmente, tenga en cuenta que los datos no servir\u00e1n de nada a menos que lo use. Establezca procedimientos para verificar regularmente los registros. Si tiene demasiadas m\u00e1quinas para verificarlas todas usted mismo, considere comprar una herramienta de miner\u00eda de datos de terceros que analizar\u00e1 autom\u00e1ticamente los registros de los indicadores conocidos de que su sistema est\u00e1 siendo atacado.<\/p>\n<h4>Ley n. \u00b0 6: realmente hay alguien tratando de adivinar sus contrase\u00f1as<\/h4>\n<p align=\"justify\">Las contrase\u00f1as son un ejemplo cl\u00e1sico de que su sistema es tan seguro como la parte m\u00e1s d\u00e9bil de sus defensas. Una de las primeras cosas que un atacante puede probar es la solidez de sus contrase\u00f1as, por dos razones:<\/p>\n<ul>\n<li>\n<div align=\"justify\">Son extraordinariamente valiosos. Independientemente de las otras pr\u00e1cticas de seguridad que sigas, si un chico malo puede aprender solo la contrase\u00f1a de un usuario, puede obtener acceso a tu red. Desde all\u00ed, tiene una posici\u00f3n perfecta desde la cual montar ataques adicionales.<\/div>\n<\/li>\n<li>\n<div align=\"justify\">Las contrase\u00f1as son &quot;frutas bajas&quot;. La mayor\u00eda de las personas eligen contrase\u00f1as p\u00e9simas. Escoger\u00e1n una palabra f\u00e1cil de adivinar y nunca la cambiar\u00e1n. Si se ve obligado a elegir una contrase\u00f1a m\u00e1s dif\u00edcil, muchos usuarios la escribir\u00e1n. (Esto tambi\u00e9n se conoce como la vulnerabilidad &quot;almohadilla adhesiva amarilla&quot;). No es necesario ser un genio t\u00e9cnico para descifrar la cuenta de alguien si ya conoce su contrase\u00f1a.<\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\">A menos que pueda aplicar una pol\u00edtica de contrase\u00f1a segura, nunca podr\u00e1 proteger su red. Establezca la longitud m\u00ednima de la contrase\u00f1a, la complejidad de la contrase\u00f1a y las pol\u00edticas de caducidad de la contrase\u00f1a en su red. (Windows 2000, por ejemplo, le permitir\u00e1 configurar estos como parte de la Pol\u00edtica de grupo). Adem\u00e1s, use el bloqueo de la cuenta y aseg\u00farese de auditar los intentos fallidos de inicio de sesi\u00f3n. Finalmente, aseg\u00farese de que sus usuarios comprendan por qu\u00e9 es una mala pr\u00e1ctica escribir sus contrase\u00f1as. Si necesita una demostraci\u00f3n, obtenga la aprobaci\u00f3n de la administraci\u00f3n para recorrer peri\u00f3dicamente las oficinas de sus usuarios y verifique la temida nota adhesiva con una contrase\u00f1a escrita en ella. No haga una b\u00fasqueda intrusiva, solo revise el caj\u00f3n superior del escritorio, la parte inferior del teclado y la mesa de escritura extra\u00edble que se encuentra en muchos escritorios. Si su empresa es como la mayor\u00eda, se sorprender\u00e1 de la cantidad que encontrar\u00e1.<\/p>\n<p align=\"justify\">Adem\u00e1s de fortalecer las contrase\u00f1as en su sistema, tambi\u00e9n puede considerar el uso de una forma m\u00e1s s\u00f3lida de autenticaci\u00f3n que las contrase\u00f1as. Por ejemplo, <a href=\"https:\/\/www.microsoft.com\/windows2000\/techinfo\/howitworks\/security\/sclogonwp.asp\">las tarjetas inteligentes<\/a> pueden mejorar significativamente la seguridad de su red, ya que la persona debe tener tanto un PIN como la posesi\u00f3n f\u00edsica de la tarjeta para poder iniciar sesi\u00f3n. La autenticaci\u00f3n biom\u00e9trica lleva esta seguridad a un nivel a\u00fan m\u00e1s alto, ya que el elemento que se usa para iniciar sesi\u00f3n (huella digital, retina, voz, etc.) es parte de usted y nunca se puede perder. Elija lo que elija, aseg\u00farese de que su proceso de autenticaci\u00f3n proporcione un nivel de seguridad acorde con el resto de las medidas de seguridad de su red.<\/p>\n<h4>Ley # 7: la red m\u00e1s segura es una bien administrada<\/h4>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images2018\/10-leyes-inmutables-de-la-administracin-_C8B6\/th08ASJY4N.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"www.radians.com.ar\" style=\"margin: 5px; border: 0px currentcolor; border-image: none; float: left; display: inline; background-image: none;\" border=\"0\" alt=\"www.radians.com.ar\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images2018\/10-leyes-inmutables-de-la-administracin-_C8B6\/th08ASJY4N_thumb.jpg\" width=\"340\" align=\"left\" height=\"143\" \/><\/a>La mayor\u00eda de los ataques exitosos no implican un defecto en el software. En cambio, explotan configuraciones err\u00f3neas, por ejemplo, permisos que se redujeron durante la resoluci\u00f3n de problemas pero nunca se restablecieron, una cuenta que se cre\u00f3 para un empleado temporal pero nunca se deshabilit\u00f3 cuando sali\u00f3, una conexi\u00f3n directa a Internet que alguien configur\u00f3 sin aprobaci\u00f3n, y as\u00ed sucesivamente. Si sus procedimientos son descuidados, puede ser dif\u00edcil o imposible hacer un seguimiento de estos detalles, y el resultado ser\u00e1 m\u00e1s agujeros para que un chico malo se deslice.<\/p>\n<p align=\"justify\">La herramienta m\u00e1s importante aqu\u00ed no es una herramienta de software, son los procedimientos. Tener procedimientos espec\u00edficos y documentados es una necesidad absoluta. Como de costumbre, comienza con la pol\u00edtica de seguridad corporativa, que debe detallar, en un nivel amplio, qui\u00e9n es responsable de cada parte de la red y la filosof\u00eda general que rige el despliegue, la gesti\u00f3n y el funcionamiento de la red. Pero no se detenga con la pol\u00edtica corporativa de alto nivel. Cada grupo debe refinar la pol\u00edtica y desarrollar procedimientos operativos para su \u00e1rea de responsabilidad. Cuanto m\u00e1s espec\u00edficos sean estos procedimientos, mejor. \u00a1Y escr\u00edbelos! Si sus procedimientos existen solo como tradici\u00f3n oral, se perder\u00e1n a medida que cambie su personal de TI.<\/p>\n<p align=\"justify\">A continuaci\u00f3n, considere configurar un &quot;Equipo rojo&quot;, cuyo \u00fanico trabajo es buscar en la red posibles problemas de seguridad. Los Equipos Rojos pueden mejorar inmediatamente la seguridad aportando una nueva mirada al problema. Pero tambi\u00e9n puede haber un beneficio secundario. Es mucho m\u00e1s probable que los operadores de red piensen en seguridad en primer lugar si hay un Equipo Rojo al acecho, aunque solo sea porque nadie quiere que el Equipo Rojo se presente en su oficina para hablar sobre el \u00faltimo problema de seguridad que encontraron.<\/p>\n<h4>Ley # 8: la dificultad de defender una red es directamente proporcional a su complejidad<\/h4>\n<p align=\"justify\">Esta ley est\u00e1 relacionada con la Ley # 7 -las redes m\u00e1s complejas son ciertamente m\u00e1s dif\u00edciles de administrar- pero va m\u00e1s all\u00e1 de solo administrarla. El punto crucial aqu\u00ed es la arquitectura misma. Aqu\u00ed hay algunas preguntas que debe hacerse:<\/p>\n<ul>\n<li>\n<div align=\"justify\">\u00bfC\u00f3mo son las relaciones de confianza entre los dominios de su red? \u00bfSon directos y f\u00e1ciles de entender, o se parecen a los espaguetis? Si es el \u00faltimo, hay muchas posibilidades de que alguien pueda abusar de ellos para obtener privilegios que usted no pretende que tengan.<\/div>\n<\/li>\n<li>\n<div align=\"justify\">\u00bfConoces todos los puntos de acceso a tu red? Si uno de los grupos en su empresa tiene, por ejemplo, configurar un FTP p\u00fablico o un servidor web, podr\u00eda proporcionar una puerta trasera a su red.<\/div>\n<\/li>\n<li>\n<div align=\"justify\">\u00bfTiene un acuerdo de asociaci\u00f3n con otra empresa que permita que los usuarios de su red entren en su red? Si es as\u00ed, la seguridad de su red es efectivamente la misma que la de la red asociada.<\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\">Adopte la frase &quot;pocos y bien controlados&quot; como su mantra para la administraci\u00f3n de la red. Relaciones de confianza? Pocos y bien controlados. Puntos de acceso de red? Pocos y bien controlados. Usuarios? Pocos y bien controlados, \u00a1es broma! El punto es que no puedes defender una red que no entiendes.<\/p>\n<h4>Ley # 9: La seguridad no se trata de evitar riesgos; se trata de la gesti\u00f3n de riesgos<\/h4>\n<p align=\"justify\">Uno de los t\u00f3picos m\u00e1s citados con m\u00e1s frecuencia en seguridad inform\u00e1tica es que la \u00fanica computadora verdaderamente segura es una que est\u00e1 enterrada en concreto, con la energ\u00eda apagada y el cable de red cortado. Es verdad, cualquier cosa menos es un compromiso. Sin embargo, una computadora as\u00ed, aunque segura, no ayuda a su empresa a hacer negocios. Inevitablemente, la seguridad de cualquier red \u00fatil ser\u00e1 menos que perfecta, y debe tener esto en cuenta en su planificaci\u00f3n.<\/p>\n<p align=\"justify\">Su objetivo no puede ser evitar todos los riesgos para la red; eso es simplemente irreal. En cambio, acepta y acepta estas dos verdades innegables:<\/p>\n<ul>\n<li>\n<div align=\"justify\"><strong><em>Habr\u00e1 ocasiones en que los imperativos comerciales entren en conflicto con la seguridad.<\/em><\/strong> La seguridad es una actividad de apoyo para su negocio en lugar de un fin en s\u00ed mismo. Tome los riesgos considerados y luego mit\u00edtelos en la mayor medida posible.<\/div>\n<\/li>\n<li>\n<div align=\"justify\"><strong><em>La seguridad de su red se ver\u00e1 comprometida.<\/em><\/strong> Puede ser un error menor o un desastre de buena fe, puede ser debido a un atacante humano o un acto de Dios, pero tarde o temprano su red se ver\u00e1 comprometida de alguna manera. Aseg\u00farese de haber realizado planes de contingencia para detectar, investigar y recuperarse del compromiso.<\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\">El lugar para tratar estos dos problemas est\u00e1 en su pol\u00edtica de seguridad. Trabaje con la administraci\u00f3n corporativa para establecer las pautas generales con respecto a los riesgos que est\u00e1 dispuesto a asumir y c\u00f3mo pretende gestionarlos. Desarrollar la pol\u00edtica lo obligar\u00e1 a usted y a su gerencia corporativa a considerar escenarios en los que la mayor\u00eda de la gente preferir\u00eda no pensar, pero el beneficio es que cuando ocurre uno de estos escenarios, ya tendr\u00e1 una respuesta.<\/p>\n<h4>Ley # 10: La tecnolog\u00eda no es una panacea<\/h4>\n<p align=\"justify\">Si ha le\u00eddo <a href=\"https:\/\/technet.microsoft.com\/en-us\/library\/cc722487.aspx\">Las 10 leyes inmutables de la seguridad<\/a> , reconocer\u00e1 esta ley: es la \u00faltima ley en esa lista tambi\u00e9n. La raz\u00f3n por la que est\u00e1 en ambas listas es porque se aplica igualmente bien a los usuarios de la red y a los administradores, y es igualmente importante que ambos tengan en cuenta.<\/p>\n<p align=\"justify\">La tecnolog\u00eda en s\u00ed misma no es suficiente para garantizar la seguridad. Es decir, nunca habr\u00e1 un producto que simplemente pueda desempaquetar, instalar en su red y obtener una seguridad perfecta al instante. En cambio, la seguridad es el resultado tanto de la tecnolog\u00eda como de la pol\u00edtica, es decir, es la forma en que se utiliza la tecnolog\u00eda que, en \u00faltima instancia, determina si su red es segura. Microsoft ofrece la tecnolog\u00eda, pero solo usted y su administraci\u00f3n corporativa pueden determinar las pol\u00edticas correctas para su empresa. Plan de seguridad temprano. Comprenda qu\u00e9 quiere proteger y qu\u00e9 est\u00e1 dispuesto a hacer para protegerlo. Finalmente, desarrolle planes de contingencia para emergencias antes de que sucedan. Planifique minuciosamente con tecnolog\u00eda s\u00f3lida y tendr\u00e1 una gran seguridad.<\/p>\n<p align=\"justify\">Espero les sea de interes y utilidad. Saludos, Roberto Di Lello<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hace unos a\u00f1os Microsoft y Scott Culp (administrador de programa de seguridad en el Centro&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[158,281,342,333],"tags":[230,290,343],"class_list":["post-3630","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-windows-server-2012","category-281","category-342","category-seguridad","tag-seguridad","tag-windows-server-2016","tag-windows-server-2019"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3630","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3630"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3630\/revisions"}],"predecessor-version":[{"id":3631,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3630\/revisions\/3631"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3630"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3630"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3630"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}