Si tienes en mente pasarte a Windows 7 de Microsoft, este es un buen momento para revisar las políticas de seguridad.

El crecimiento de Windows 7 está siendo enorme. Su cuota ya es del 6%, según la empresa de estudios de mercado Net Applications. Está cifra se ve promovida por los usuarios que piden una seguridad reforzada, mayor velocidad de arranque, más estabilidad y sencillez de uso.

Durante los próximos días Sophos publicará un White Paper con los 7 consejos para sacar un mayor partido a W7, aquí os dejo un extracto.

1.- Amenazas bloqueadas

Un paso obvio, pero importante, es utilizar un antivirus para evitar, detectar y eliminar todos los tipos de programas maliciosos que pueden provocar unos daños considerables en nuestros sistemas y datos.

Un método muy común para detectar virus es buscar firmas o patrones conocidos en el código ejecutable. Sin embrago dado el gran número de amenazas y variantes “de día cero”, es necesario proteger nuestras plataformas con una solución antivirus que ofrezca una defensa proactiva que identifique virus nuevos analizando su comportamiento y evite que se ejecuten.

Otra forma muy sencilla de evitar que las amenazas reduzcan nuestro ritmo de trabajo es estar informado. Suscribirse a una lista de correo de algún proveedor de antivirus y visitar blogs sobre seguridad para conseguir información actualizada sobre amenazas de virus, soporte, información técnica y lanzamientos de productos nuevos, es muy aconsejable.

Consejo:

El Data Execute Prevention (DEP) evita que el código se ejecute en zonas de la memoria destinadas al almacenamiento de datos. Es recomendable comprobar la configuración del BIOS para habilitar el soporte DEP (habilitar NX) y el DEO para todas las aplicaciones.

El Address Space Layout Randomization (ASLR) hace aleatorias las ubicaciones de la memoria del equipo donde Windows carga las librerías esenciales del sistema. Cuando se utiliza con el DEP, el ASLR complica aún más que el malware se aproveche de las vulnerabilidades de seguridad de nuestro servidor, nuestras barras de herramientas y nuestras aplicaciones.

Además debería combinarse con el uso de una solución antimalware que ofrezca un sistema para la prevención de intrusiones (HIPS) que supervisa el funcionamiento de las aplicaciones en tiempo de ejecución.

2.- Seguridad del navegador

Internet ya es en una herramienta esencial para muchas empresas.Como resultado de ello, hay sitios web inofensivos que han pasado a ser objetivo de hackers y creadores de malware que buscan infectar a los visitantes con el objetivo de robar información confidencial de empresas, difundir códigos maliciosos o incluso crear botnets para seguir distribuyendo malware o spam.

Miles de sistemas se infectan cada día a través de usuarios que, inocentemente, navegan por sitios de confianza que han sido objeto de ataques de inyección de código SQL.

Hay que tener en cuenta que, cuando se abren las puertas a Internet, no es fácil conseguir el equilibrio entre la productividad de la plantilla y la protección contra todas las posibles amenazas que hay sueltas, pero existen ciertas medidas muy sencillas que se pueden tomar para conseguirlo.

Consejo:

Windows 7 incluye Internet Explorer 8 por defecto, y está protegido por DEP y ASLR. Además, presenta una nueva característica de seguridad que previene la navegación en sitios maliciosos y se denomina SmartScreen. SmartScreen advierte de ataques de secuencia de comandos, suplantación de identidad y otros destinos maliciosos conocidos. Esta función, combinada con el modo protegido IE8 hace que navegar por la red sea mucho más seguro.

Sophos refuerza esta seguridad con un objeto de ayuda a la navegación (BHO) que se conecta a Internet Explorer para analizar el contenido dinámico de los sitios web, en busca de código malicioso y brechas de seguridad.

 

3.- Parches para los equipos

Los Hackers se están concentrando, más que nunca, en aprovechar las brechas de las barras de herramientas y de cualquier otro elemento que extraiga contenido de Internet.

Es recomendable visitar los sitios web de nuestros proveedores de aplicaciones para enterarnos de las actualizaciones que publican. Muchos fabricantes de software también emiten avisos de seguridad. Por ejemplo, Microsoft cuenta con una lista de correo para informar de los fallos de seguridad y otros problemas que se producen.

Cuando se detecta una nueva brecha de seguridad en una aplicación o en un sistema operativo y existe un parche para ella, las empresas deben contar con una infraestructura preparada para probar si el parche funciona correctamente y desplegarlo por toda la base de usuarios con la mayor rapidez posible.

Consejo:

Windows Update ayuda a mantener los equipos seguros (y el software en buen funcionamiento), recopilando las últimas actualizaciones de seguridad y funcionalidad de Microsoft a través de Internet. En Windows 7, esta característica forma parte del Action Center, que facilita las actualizaciones.

Para asegurarse de que Windows Update se activa cuando los equipos se conectan a su red, verifique que su solución de protección del puesto (o antimalware) cuenta con funciones de control de acceso a la red. Éstas evalúan los equipos administrados y no administrados y también puede comprobar si el resto de programas claves de seguridad están habilitados y al día.

4.- Prevención de pérdida de datos (DLP) reforzada

Últimamente, la actividad delictiva está destinada a robar información personal. A la vista de los hechos, también es recomendable plantearse ciertas acciones para evitar que nuestros datos acaben por error en malas manos.

Consejo:

 Ya hemos hablado en este blog sobre qué vías proteger para evitar la fuga de datos:

El control de aplicaciones permite administrar las aplicaciones que pueden utilizar los usuarios.

El control de dispositivos es una forma de definir y aplicar una política exhaustiva en toda la empresa

El control de datos garantiza que los usuarios no transfieren datos confidenciales por error a sus dispositivos o aplicaciones.

El cifrado protege los datos de los ordenadores y memorias USB contra todo tipo de eventualidades

Windows 7 conserva las tecnologías de protección de datos que ya incluía Windows Vista, como el sistema de archivos de cifrado (EFS) y la tecnología integrada Active Directory Rights Management Services. Estas tecnologías constituyen una excelente plataforma para proteger los datos en reposo.

En lo que respecta a los datos en movimiento, una solución DLP integrada directamente en el software de los equipos de trabajo.

5.- Administración de los privilegios de usuario

Windows 7 ofrece más formas que nunca de garantizar un entorno informático seguro. Con la introducción de User Account Control (UAC), Cuando el UAC está habilitado, impide que los usuarios realicen cambios en el sistema sin el consentimiento de un administrador. Así se protegen mejor los equipos de escritorio de los ataques de malware que se aprovechan de los derechos administrativos de los usuarios.

Consejo:

Hay algunas modificaciones que podríamos realizar. Por ejemplo, Microsoft ha introducido una función para controlar mejor la rotación de contraseñas. Junto a la condición de cambiar la contraseña cada X días (90 es el plazo idóneo) y de no reutilizar hasta X contraseñas (5 según lo recomendado), ahora se puede configurar un GPO para impedir el cambio de la contraseña hasta su caducidad. Aunque el Credential Provider de Microsoft no sea demasiado segura Sophos recomienda aprovechar esta utilidad, ya que evita que las personas modifiquen continuamente su contraseña para trastocar las políticas y volver a sus contraseñas originales.

6.- Prevención de los fallos de seguridad

Los usuarios buscan cada vez más movilidad, esto aumenta las dificultades para garantizar que todos los equipos (ordenadores portátiles incluidos) cumplen los niveles de seguridad necesarios para proteger su negocio, como la actualización del antivirus y la activación permanente del cortafuegos.

Es importante aplicar políticas de seguridad integrales para verificar que todos los equipos que acceden a la red (incluso los que no son propiedad de la empresa) cumplen todas las normas.

Consejo:

Windows 7: la protección del acceso a la red (NAP) fue una novedad de Windows Vista y sigue siendo un componente clave de Windows 7. El NAP está diseñado para que los administradores puedan mantener el buen estado de los ordenadores de la red, lo que a su vez ayuda a conservar la integridad general de la red. Su objetivo no es proteger la red de usuarios con malas intenciones.

Es importante contar con una solución para ayudar a identificar ordenadores administrados y no administrados con posibles fallos de seguridad, que combinado con un buen control de aplicaciones garantiza que sólo se ejecutan las versiones aprobadas de las aplicaciones. Se puede especificar las versiones permitidas, como Internet Explorer 8 y Firefox 3, pero no las versiones anteriores. Así se ayuda a proteger el entorno contra programas obsoletos o menos seguros.

 

7.- Formación a los usuarios

Este es el punto donde la mayoría de las empresas  fallan, olvidando el más importante de todos los factores, el usuario.

Toda política de seguridad informática debería incluir normas que prohíban lo siguiente :

>Descargas de ejecutables y documentos directamente de Internet o del correo electrónico.

> Ejecución o apertura de ejecutables, hojas de cálculo u otros documentos no solicitados.

>Juegos de ordenador o uso de salvapantallas ajenos al sistema operativo.

Se ha de tener en cuenta que, inicialmente, una normativa escrita es igual de práctica que la tecnología que se utilice para proteger los sistemas y evitar que los empleados adopten comportamientos de riesgo.

Consejo:

Si aún no tiene esta normativa, establezca una política de seguridad informática y distribúyala por todo el personal. Asegúrese de que leen y comprenden la política, y de que saben a quién contactar si tiene preguntas o en caso de que sus equipos se vean atacados o infectados.

 

Conclusión

Windows 7 ha mejorado notablemente las medidas de seguridad con respecto a su predecesor, Windows Vista, estas nuevas funcionalidades combinadas con una solución completa de protección del puesto de trabajo, harán el trabajo más complicado a los hackers.

La migración a Windows 7 puede ser un gran momento para plantearse aplicar estas políticas de seguridad, sin olvidar al usuario, su educación y formación será determinante para un buen funcionamiento de las mismas.