Comentarios en: Nueva encuesta http://www.securityartwork.es/2009/06/29/nueva-encuesta/ Blog de Seguridad de la Información de S2 Grupo Sat, 11 Feb 2012 01:33:51 +0100 http://wordpress.org/?v=2.8.4 hourly 1 Por: eduardo http://www.securityartwork.es/2009/06/29/nueva-encuesta/comment-page-1/#comment-1083 eduardo Mon, 29 Jun 2009 20:08:15 +0000 http://www.securityartwork.es/?p=1483#comment-1083 Hola, Son dos cosas distintas ... Una es que las contraseñas, por ejemplo claves criptográficas, se "repartan" entre varias personas y otra es que haya un responsable último de que se sigan todas las políticas de seguridad. Por ejemplo, en el caso de los admins del dominio, ¿exáctamente quién de ellos es responsable de meter los parches de seguridad? Si un día hay una intrusión y es por un exploit público no parcheado, ¿a quién le cortan la cabeza? Creo que debería haber un responsable último, y que debe depender direcamente del director (junta directiva o lo que sea), con poder absoluto para para exigir las cosas y con la responsabilidad de que todo se cumpla. Y sí, las claves del gpg tienen que estar compartidas siguiendo un protocolo, pero esto es otro tema, a mi entender. Saludos, Eduardo. Hola,

Son dos cosas distintas … Una es que las contraseñas, por ejemplo claves criptográficas, se “repartan” entre varias personas y otra es que haya un responsable último de que se sigan todas las políticas de seguridad.

Por ejemplo, en el caso de los admins del dominio, ¿exáctamente quién de ellos es responsable de meter los parches de seguridad? Si un día hay una intrusión y es por un exploit público no parcheado, ¿a quién le cortan la cabeza? Creo que debería haber un responsable último, y que debe depender direcamente del director (junta directiva o lo que sea), con poder absoluto para para exigir las cosas y con la responsabilidad de que todo se cumpla.

Y sí, las claves del gpg tienen que estar compartidas siguiendo un protocolo, pero esto es otro tema, a mi entender.

Saludos,
Eduardo.

]]> Por: Dani Martin http://www.securityartwork.es/2009/06/29/nueva-encuesta/comment-page-1/#comment-1082 Dani Martin Mon, 29 Jun 2009 16:10:50 +0000 http://www.securityartwork.es/?p=1483#comment-1082 Lo más importante en seguridad es que la responsabilidad no recaiga sobre una única persona ni departamento. Por ejemplo en un entorno Windows con Active Directory, deberíamos de crear una cuenta con derechos de administrador de dominio a cada uno de los administradores de dominio (de esta forma siempre quedara registrado cualquier acceso). Asimismo, los detalles de la cuenta Administrador deberían de ser ubicados en un sitio donde se necesite de una persona ajena al grupo de administradores para acceder a ellos. Por supuesto, cualquier acceso debería de ser registrado, no solo electrónicamente, sino también mediante la rotura de algún sello de cera o similar. Además, se debería de restringir el acceso de los administradores a ciertas ubicaciones sensibles. Por supuesto, si un administrador no tiene acceso, podrá obtenerlo, pero para hacerlo deberá de coger la propiedad del objeto para poder darse permisos. En Windows es imposible dar la propiedad de un objeto, tan solo puede ser cogida, por lo que el acceso del administrador a la zona restringida, quedaría registrado. En fin, solo cuando no existe una persona única responsable de la seguridad, podemos hablar de un entorno "seguro". Por supuesto y por suerte, hay múltiples políticas de seguridad validas para cada entorno y mi comentario es solo eso, un comentario. Lo más importante en seguridad es que la responsabilidad no recaiga sobre una única persona ni departamento.
Por ejemplo en un entorno Windows con Active Directory, deberíamos de crear una cuenta con derechos de administrador de dominio a cada uno de los administradores de dominio (de esta forma siempre quedara registrado cualquier acceso). Asimismo, los detalles de la cuenta Administrador deberían de ser ubicados en un sitio donde se necesite de una persona ajena al grupo de administradores para acceder a ellos. Por supuesto, cualquier acceso debería de ser registrado, no solo electrónicamente, sino también mediante la rotura de algún sello de cera o similar. Además, se debería de restringir el acceso de los administradores a ciertas ubicaciones sensibles. Por supuesto, si un administrador no tiene acceso, podrá obtenerlo, pero para hacerlo deberá de coger la propiedad del objeto para poder darse permisos. En Windows es imposible dar la propiedad de un objeto, tan solo puede ser cogida, por lo que el acceso del administrador a la zona restringida, quedaría registrado. En fin, solo cuando no existe una persona única responsable de la seguridad, podemos hablar de un entorno “seguro”. Por supuesto y por suerte, hay múltiples políticas de seguridad validas para cada entorno y mi comentario es solo eso, un comentario.

]]>