Componentes Técnicos

6.1.3.1. Nivel de Sistemas Operativos 6.1.3.1.1. Check List

6.1.3.1.2. Descripción del Nivel

6.1.3.1.2.1. Medios de instalación

Este componente puede afectar a la velocidad de instalación y recuperación de un equipo. También afectaran la seguridad. Se deben revisar el uso de protocolos: FTP, HTTP, NFS, entre otros.

6.1.3.1.2.2. Actualización del sistema

Las actualizaciones solucionan errores del sistema, también es importante para poder mantener la garantía y el soporte por ser tecnologías nuevas, con esto se previenen las vulnerabilidades de seguridad.

6.1.3.1.2.3. Seguridad de contraseñas

Este punto está relacionado con la seguridad de usuarios en cuanto a sistema operativo y no de aplicación. El administrador debe tener este punto controlado con el fin de limitar los accesos al servidor solo al personal autorizado con sur respectivos permisos asignados.

6.1.3.1.2.4. Políticas de acceso

Se deben revisar cada uno de los permisos asignados a los usuarios creados a nivel de sistema operativo con el fin de tener control sobre las ejecuciones en la máquina. Cada uno de estos permisos deberá estar respaldado por un acta autorizada por el gerente de departamento.

6.1.3.1.2.5. Métodos de conexión

Se debe revisar cada uno de los métodos de conexión y especificar el por qué se tienen activos. Si no existe alguna justificación, el único autorizado es el método por SSH.

6.1.3.1.2.6. Herramientas contra-fuego

Debe existir el uso de una herramienta contra-fuego con el fin de controlar las instalaciones de servicios y que no puedan ser accesibles a todos los usuarios creados o para usuarios que entren sin los protocolos correctos.

6.1.3.1.2.7. Restricción de accesos externos

Se debe validar que el acceso desde servidores externos se ejecute solo por los protocolos correspondientes y con su respectiva justificación. La forma de poder restringir este punto es editando el archivo etc/hosts.

6.1.3.1.2.8. Uso de comandos remotos

Se debe revisar que se encuentre restringido el uso de comandos “R”, ya que estos comandos estos comandos son inseguros y fáciles de

interceptar por canales de red desconocidos para el usuario ejecutor. 6.1.3.1.2.9. Seguridad en configuración del sistema

Es necesario validar la configuración del sistema con el fin de tener el servidor asegurado. Los archivos a los cuales se le deben revisar la configuración son: /etc/passwd, /etc/shadow, /etc/groups, /etc/gshadow, /etc/login.defs, /etc/shells, /etc/securetty.

6.1.3.1.2.10. Auditorias

Las auditorias son indispensables con el fin de controlar diferentes aspectos de los servidores, servicios y ejecuciones de usuarios. Se deben realizar cada 3 meses de por medio.

6.1.3.1.2.11. Prevención de intrusos

Se debe revisar el uso de programas que permitan la detección de intrusos o usuarios extraños con el fin de estar prevenido y evitar vulnerabilidades en el sistema.

6.1.3.1.2.12. Actualización kernel

El kernel suministra todos los servicios necesitados por otras piezas del sistema operativo y las aplicaciones. Se encarga de la administración de la memoria, los procesos y los discos, por eso es indispensable que se mantenga actualizado con el fin de contar con el soporte en caso de algún incidente.

6.1.3.2. Nivel de Dase de Datos 6.1.3.2.1. Check List

6.1.3.2.2. Descripción del Nivel

6.1.3.2.2.1. Optimización de consultas

Más que una revisión, este punto se convierte en una recomendación a nivel de DB, con el fin de que las consultas sean más eficientes, para esto se recomienda habilitar el uso de consultas en cache.

6.1.3.2.2.2. Uso de ID en tablas

Al igual que en el punto anterior, se recomienda manejar un campo ID por tabla con el fin de que las consultas sean más eficientes y más rápidas, ya que los campos que tengan con valores no enteros harán las consultas más lentas.

6.1.3.2.2.3. Uso de longitudes fijas

Las tablas de longitud fija mejoran notablemente el desempeño de las consultas ya que es más eficiente cuando el motor de MySQL busca a través de registros estáticos, por esto se recomienda tener en cuenta este ítem como buena práctica.

6.1.3.2.2.4. Uso de ORM

Se debe revisar el uso de un mapeador de objetos relacionales con el fin de que se puedan obtener beneficios de desempeño de la DB y así hacer más fáciles las revisiones en el momento que sean necesarias.

6.1.3.2.2.5. Control de conexiones al Motor

Se debe realizar monitoreo constante de las conexiones que se presenten al motor de la DB, esto para lograr predecir y actuar antes de que la cantidad de conexiones presentadas puedan llegar a tumbar la DB.

6.1.3.2.2.6. Indexación

Es necesario que se realice indexación de la DB con el fin de hacer que el tiempo de respuesta es mucho más rápido ya que dejara valores almacenados en cache y cuando se realice la consulta los traerá de allí.

6.1.3.3. Nivel de Gestión de usuarios 6.1.3.3.1. Check List

6.1.3.3.2. Descripción del Nivel

6.1.3.3.2.1. Administración de usuarios

Se debe revisar que se mantengan clasificadas las cuentas de usuarios con el fin de mantener segura la información del sistema, para esto es necesario verificar la identidad de cada una de las personas acceden desde cualquier dispositivo a los sistemas.

6.1.3.3.2.2. Gestión de contraseñas

Se debe validar cada uno de los parámetros y políticas de seguridad de las contraseñas, en cuanto a privacidad, seguridad y robustez.

6.1.3.3.2.3. Caducidad de contraseñas

Se debe verificar que las políticas de caducidad de las contraseñas tanto de aplicación como de sistemas Operativos estén en uso correctamente, con el fin de validar periódicamente la autenticidad del usuario.

6.1.3.3.2.4. Controles de acceso a aplicaciones

Debe existir Logs de accesos a la aplicación y al sistema operativo, con el fin de rastrear todo lo que los usuarios ejecuten en caso de que se presente algún incidente.

6.1.3.3.2.5. Administración diaria de cuantas

Debe existir un grupo que administre las cuentas del sistema, debe estar en la capacidad de llevar esta tarea con sumo cuidado, ya que es una de las tareas diarias que pone en riesgo la data del sistema. Deberá existir un log de altas, bajas y modificaciones del sistema.