Serguridad informática: Algunos consejos básicos a tener en cuenta

Como en anteriores post, desde IPaudita seguimos insistiendo en la importancia de la seguridad informática y por ello os dejamos unos cuantos consejos básicos a tener en cuenta:

Conceptos generales

  • Utiliza contraseñas con al menos 8 caracteres.
  • Utiliza contraseñas complejas que incluyen números, símbolos y signos de puntuación.
  • Usa diferentes contraseñas para diferentes cuentas o roles.
  • Prueba las contraseñas en una herramienta de contraseñas seguras.
  • No utilices palabras de diccionario como contraseñas, por ejemplo, “libreta”.
  • No repitas secuencias de caracteres, por ejemplo, 3333, abcdabcd.
  • No utilices información personal en las contraseñas, por ejemplo, tu fecha de nacimiento.
  • No guardes las contraseñas en equipos portátiles, smartphones o tabletas, que pueden perderse.
  • Utiliza un gestor de contraseñas para poder controlar todas tus contraseñas.
  • Establece una autenticación de dos factores cuando sea posible.
  • Utiliza un generador de contraseñas seguras.

Comunicaciones seguras

  • Usa Secure FTP en lugar de FTP normal.
  • Utiliza SSH en lugar de telnet.
  • Utiliza conexiones de correo electrónico seguro (POP3S/IMAPS/SMTPS)
  • Asegura todas las áreas de administración de web con SSL (HTTPS).
  • Asegura tus formularios web con SSL (HTTPS).
  • Utiliza VPN cuando esté disponible.
  • Utiliza firewalls en todas las terminales, incluyendo servidores y ordenadores personales.
  • Utilizar sistemas de cortafuegos/IPS.
  • Encripta los mensajes de correo electrónico muy sensibles.
  • No utilices computadoras públicas para acceder a información sensible.

Seguridad de aplicaciones web

  • Regístrate para recibir avisos acerca de actualizaciones de la aplicación web.
  • Actualiza rápidamente tus aplicaciones web.
  • Analiza las aplicaciones web mediante herramientas de seguridad como Nessus.
  • Utiliza un firewall de aplicaciones web.
  • Comprueba los campos de subida de a chivos para verificar que ficheros con código no puedan ser cargados.
  • Utiliza frameworks de programación con un buen historial de seguridad.
  • Asegura las áreas de administración de las aplicaciones web con restricciones basadas en IP.
  • Sanea las entradas de datos de los usuarios.
  • Colocar los archivos sensibles fuera del documento raíz o restringir el acceso.
  • Evitar el uso de comandos de shell en scripts.
  • No confíes en campos HTTP Referrer ya que son fácilmente manipulables.
  • Utiliza POST en vez de GET para enviar datos, de ese modo información confidencial no está en la dirección URL.
  • Valida los datos en el lado del servidor y no sólo en el lado del cliente.
  • No confíes en nombres de archivo y rutas de acceso realtivas. Establece siempre directorios base<./li>
  • Especifica permisos a la hora de crear archivos.
  • Limita la carga de archivos.
  • Crear mensajes de error seguros por no divulgar información sensible en dichos errores.
  • Ten cuidado con los datos que facilitas a las cookies; pueden ser manipuladas.
  • Encripta los ficheros de configuración que contienen login sensibles
  • Protégete contra los ataques DOS a nivel de aplicación mediante la limitación de la longitud de entrada de los campos.
  • Si es posible desactiva fopen.
  • Activar el modo seguro, incluye directorios y abre restricciones base si es posible.
  • Deshabilita las funciones PHP peligrosas si es posible.
  • Ten cuidado de nombrar archivos *.bak, *.txt o *.inc dentro de la raíz del documento web.
  • Ten cuidado al utilizar herramientas de control de versiones en la raíz del documento web.
  • Usa sistemas de control de versiones.
  • Utiliza un sistema de “bug tracking” y cambia los log de sistema.

Seguridad de servidor

  • Actualiza el sistema operativo regularmente -sobre todo con las actualizaciones críticas.
  • Actualiza regularmente el panel de control.
  • Reduce la información que se muestra acerca del servidor, por ejemplo, cambiando la directiva ServerTokens de Apache. erverTokens delimita qué información muestra el servidor sobre los componentes que está ejecutando.
  • No instales software que no se va a utilizar.
  • No almacenes backups o versiones antiguas de software en el entorno de producción.
  • Restringe el acceso a directorios con los permisos adecuados.
  • Asegúrate de que los logs están funcionando correctamente.
  • Asegúrate de registrar todos los accesos al entorno de administración con fecha, hora y nombre de usuario.
  • Asegúrese de usar un firewall.
  • Elimina las cuentas predeterminadas de MySQL.
  • Desactiva el inicio de sesión de raíz directa en SSH.
  • Deshazte de las contraseñas con SSH keys.
  • Deshabilita servicios no utilizados.
  • Mantén copias de seguridad.
  • Prueba las copias de seguridad.
  • No desarrolles en entornos de producción.
  • Mantente actualizado con las suscripciones a servicios de notificación de seguridad.
  • Monitoriza el tráfico web para encontrar actividad inusual.
  • Realiza análisis de seguridad regulares, de forma remota.
  • Realiza análisis de seguridad regulares, de forma local.
  • Endurece la configuración predeterminada de Apache, SSH y otros servicios.
  • Usa la cuenta root sólo cuando sea necesario.
  • Utiliza sudo para conceder otros acceso a nivel de la raíz.
  • Habilita SELinux si es posible.
  • Utiliza redes privadas para el tráfico interno del servidor.
  • Utiliza el cifrado cuando sea necesario.
  • Realiza auditorías de contraseñas.
  • Exige contraseñas seguras.

Entra en IPaudita y analiza gratuitamente la vulnerabilidad de tu sistema.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: