La Guía de buenas prácticas 13 (gpg13) recomienda una serie de controles para las medidas de seguridad de información y monitoreo de línea de base. Vea también el enlace que aparece a continuación para ver algunas pautas de buenas prácticas de seguridad de la red.
Esto debería proporcionar una línea de base para apuntar. Deberán adaptarse a su entorno y a sus necesidades de cumplimiento. Es posible que también desee consultar las guías de fortalecimiento para servidores y clientes.
Echa un vistazo a estos enlaces. Ambos ofrecen cebadores generales e indicadores sobre cómo proteger su red y la información que fluye a través de ella. Espero que esto se adapte mejor a tus necesidades.
Directrices sobre seguridad de la información general;
10 pautas de mejores prácticas de seguridad para empresas
Un artículo sobre la segmentación de la red;
Mejora de la seguridad mediante la segmentación adecuada de la red
Orientación normativa y mejores prácticas
Estándares como PCI-DSS proporcionan una guía para crear una separación clara de datos dentro de la red; en el caso de PCI, los datos de los titulares de las tarjetas deben estar aislados del resto de la red, que contiene información menos confidencial. Un ejemplo sería garantizar que los sistemas y bases de datos de puntos de venta (PoS) estén completamente separados de las áreas de la red a las que los terceros tienen acceso. En este ejemplo, se crearía una zona PCI con restricciones estrictas que permitirían la conectividad para la menor cantidad posible de servidores y aplicaciones.
Rutas para lograr una segmentación adecuada
El cortafuegos y las VLAN proporcionan una ruta para particionar la red en zonas más pequeñas, suponiendo que usted haya definido y esté aplicando un conjunto de reglas que controla las rutas de comunicación. Una política de seguridad sólida implica segmentar la red en múltiples zonas con diferentes requisitos de seguridad y aplicar una política rigurosa de lo que se permite moverse de una zona a otra. Cualquier cosa designada en la zona PCI, por ejemplo, debe estar aislada del resto de la red tanto como sea posible, sin afectar el negocio en general.
Aquí hay algunos, pero no una lista exhaustiva de consejos a tener en cuenta:
• Implemente controles en múltiples capas dentro de la arquitectura de red. Cuantas más capas pueda agregar en cada nivel (por ejemplo, datos, aplicación, etc.), más difícil será que un ciberdelincuente obtenga acceso no autorizado a información confidencial. Por supuesto, esto debe ser manejable desde el punto de vista de las operaciones y no puede ser hasta el punto en que los procesos de negocios se detengan.
• Aplicar la regla de los menos privilegiados. Por ejemplo, un proveedor externo puede necesitar acceso a su red, pero lo más probable es que no necesiten acceso a cierta información. El acceso solo debe proporcionarse al usuario o al sistema que sea absolutamente necesario y nada más.
• Segmentar el acceso a la información en función de sus requisitos de seguridad. Defina sus diferentes zonas en función de dónde reside su información confidencial. Por ejemplo, desea asegurarse de que un tercero que no necesita este acceso no pueda acceder fácilmente a la información confidencial. Retroceda un paso al mirar la arquitectura de su red y determine si hay acceso innecesario o acceso demasiado restrictivo en diferentes lugares. Puede que te sorprenda lo que ves.
• Aproveche un enfoque de lista blanca o híbrida. En lugar de tratar de bloquear todas las cosas malas que existen, lo que te lleva a un juego interminable de gatos y ratones, define lo que sabes que son rutas de comunicación aceptables y bloquea todo lo demás.
Por Nimmy Reichenberg de securityweek.com