Endurecimiento del sistema: ¿Subcontrata a un experto en seguridad o pídale al administrador del sistema que lo haga? [cerrado]

3

¿Puede alguno de sus expertos en seguridad ayudarme a tomar una decisión sobre cómo tratar con la dotación de personal para un fortalecimiento inicial para un servidor Apache que ejecuta MySQL y PHP?

Estamos trabajando en un nuevo sitio para hacer un endurecimiento inicial y no sé si deberíamos hacer que el administrador del sistema lo haga o si deberíamos conseguir que un experto en seguridad lo haga. Sé que nuestro administrador de sistemas puede hacerlo, pero es "un experto en seguridad" , definitivamente no. Encontré este viejo post en cómo fortalecer un servidor Apache y creo que podría seguir el instrucciones. También leí la publicación en externalización de seguridad y quiero aclarar que la mayor parte no fue relevante porque Contrataríamos a alguien local para esto.

Así que mis preguntas:

¿Existen ventajas y desventajas para que un experto en seguridad haga un endurecimiento inicial para un servidor MySQL? Si el experto en seguridad hace el refuerzo inicial, ¿tendré que volver a tener que tratar con el experto en seguridad para realizar cambios de rutina?

Podemos pagar más por un mejor trabajo, simplemente no sé si es una buena idea a largo plazo y puedo utilizar su consejo experto.

    
pregunta SuziG 04.05.2014 - 12:18
fuente

3 respuestas

6

Lo que generalmente se hace es contratar a un experto en seguridad que crea un estándar y una línea de base de fortalecimiento del servidor web personalizados, ajustados a las necesidades de su empresa. La norma define qué controles de seguridad deben existir, tecnología independiente. Luego, la línea de base puede ser específica de la tecnología, por ejemplo, IIS o Apache, ...

La línea de base puede ser implementada por los administradores de su sistema, sin embargo, debe realizar auditorías de rutina (puede realizarlas el experto u otro auditor independiente) en las máquinas (una vez cada año o medio año) para confirmar que la línea de base está implementada correctamente. Cualquier defecto en la línea de base debe documentarse durante la auditoría y presentarse a los administradores y una respuesta sobre por qué el servidor web en particular no se adhirió a la línea de base.

    
respondido por el Lucas Kauffman 04.05.2014 - 12:24
fuente
2

Haga el endurecimiento inicial usted mismo, para que tenga una idea de las posibilidades. Luego, contrate a un profesional de la seguridad para hacer una auditoría de seguridad más profunda. De esta manera, más ojos lo miraron, lo que generalmente aumenta la calidad del trabajo (y la seguridad).

    
respondido por el mboelen 04.05.2014 - 14:14
fuente
2

La redacción de la pregunta parece implicar, al menos para mí, que es un enfoque muy binario. Personalmente, no me importa mucho ese nivel de siloísmo y creo que el proceso debería ser mucho más colaborativo.

  1. El punto de referencia inicial debe ser determinado principalmente por la persona de seguridad, con la entrada de la persona de sistemas.
  2. La persona de sistemas debe determinar los métodos técnicos mediante los cuales implementar el punto de referencia, con la información de la persona de seguridad.
  3. La persona de seguridad debe validar el plan y aprobarlo o recomendar cambios cuando sea apropiado. (repita 2 y 3 hasta que sea aprobado)
  4. La persona de sistemas implementa el plan.
  5. La persona de seguridad valida la implementación para verificar que se implementó de acuerdo con el plan y realmente aborda el punto de referencia.

También es muy importante validar periódicamente la implementación técnica con el punto de referencia para asegurarse de que el sistema no se desvíe con el tiempo y, lo que es igual de importante, que el punto de referencia todavía tenga sentido.

Con el tiempo, debemos asumir que los parches se aplican, el software se actualiza e incluso la forma en que la gente usa la aplicación cambia. Todo esto y más afecta el perfil de amenaza y posiblemente puede cambiar las protecciones que incluso tienen sentido para el sistema. Puede significar que el sistema ya no sigue el punto de referencia, el punto de referencia es demasiado estricto o no lo suficientemente estricto. La seguridad del sistema es no un punto en el tiempo, razón por la cual a menudo verá que se usa la frase "Programa de seguridad".

    
respondido por el Scott Pack 04.05.2014 - 17:02
fuente

Lea otras preguntas en las etiquetas