Esta es una gran pregunta
Le daré algunas recomendaciones, pero de inmediato, le recomendaría que obtenga un profesional de seguridad de la información calificado para que realmente lo configure. Están sucediendo tantas cosas en una red que contar con un profesional es invaluable … Bueno, habrá una etiqueta de precio adjunta, pero al final vale la pena.
Empecemos desde el principio:
- Cómo validar Google Recaptcha V2 en el lado del servidor ASP.NET
- ¿Cuál es el mejor título para obtener si desea ingresar al campo de la seguridad cibernética?
- ¿Cómo se puede hackear un correo electrónico?
- En términos simples, ¿cuál es la tecnología de cifrado en iOS 8 que lo hace indescifrable, incluso para Apple?
- Cómo ser contratado como analista de seguridad de la información cuando tengo antecedentes penales
Seguridad física
Si alguien puede poner sus manos en una computadora, estás comprometido. No hay nada que puedas hacer para detenerlos.
- Asegúrese de que su oficina esté cerrada y / o que haya seguridad capacitada disponible y que la persona en la puerta pueda y evitará que las personas simplemente entren.
- Asegúrese de tener políticas establecidas para cuidar a los profesionales de mantenimiento para asegurarse de que no vagan por donde deben estar.
- Asegúrese de que su servidor esté bloqueado en un entorno adecuado.
Seguridad de la cuenta
Con mucho, el vector de ataque más grande y fácil son sus usuarios. Asegúrese de educar a sus usuarios sobre cómo proteger adecuadamente sus datos.
El DoD tiene algunas clases divertidas que puedes usar si quieres que estén disponibles públicamente:
Conciencia de ciberseguridad. Incluso hay un certificado en el que puedes imprimir para probar que lo tomaron.
Cada oficina federal requiere que las personas tomen esta y varias otras clases anualmente.
Además de esto, debe elaborar algunas políticas de contraseña sensatas. Mis recomendaciones son:
- Longitud de contraseña mayor de 8 caracteres
- Al menos un personaje 3 de los 4 siguientes:
- Carácter mayúscula
- Minúscula
- Símbolo
- Número
- La contraseña caduca al menos cada año. Puntos de bonificación por cada 6 meses. Deméritos por menos de 6 meses.
- Historial de contraseñas de al menos 10 contraseñas que no pueden reutilizar
- Edad mínima de contraseña de 1 día (para evitar que cambien la contraseña 10 veces seguidas y reutilicen su misma contraseña)
- Bloqueo de contraseña después de 10 intentos fallidos (la mayoría de los lugares usan 3, creo que 10 es más práctico y no aumentará mucho la facilidad de pirateo).
- Tiempo de bloqueo de 45 minutos y / o permitir a los usuarios llamar para restablecer
- Tenga un sistema para identificar a los usuarios para restablecer cuentas que sus profesionales de TI DEBEN cumplir. Una de las formas más fáciles de piratear una red es llamar al servicio de asistencia y exigir que restablezcan una contraseña de administrador. Una oficina gubernamental hace que los usuarios ingresen una palabra clave cuando comienzan a trabajar y se almacenan con su cuenta. Deben poder repetir la palabra clave al encargado de TI o proporcionar alguna otra forma de identificación (como el EDIPI en su tarjeta inteligente) para demostrar que son quienes son.
Seguridad de la red
Identifica tus requisitos.
¿Necesita recibir correo externo?
Suena como una pregunta estúpida, pero puede cambiar tus planes dramáticamente.
Para una red súper segura, coloque un servidor cuya responsabilidad sea recibir solo correo en una red de bastión donde solo el puerto 25 (SMTP) está abierto a Internet a través de una IP de acceso público. El firewall interno debe tener una abertura solo para la NIC interna de ese servidor solo para los puertos necesarios para comunicarse con el servidor de correo electrónico.
Como mínimo, solo debe abrir el puerto 25 para el tráfico de correo electrónico entrante.
Si tiene un servidor de intercambio, el único puerto externo que debe exponerse para que las personas se conecten con Outlook es el puerto 443.
En pocas palabras, comprenda la arquitectura de su servidor y qué puertos necesita abrir. Y SOLO ABRE LOS PUERTOS. No deje nada abierto que no sea necesario. Manténgalo en una red interna segura junto con sus servidores LDAP, si no es su propia red con solo suficientes puertos abiertos para que ambos funcionen.
Endurecimiento del servidor
Hay un montón que necesita entrar en esto.
Aquí están las pautas públicas del DoD (Pautas de implementación técnica de seguridad o STIG): Página de inicio de STIG
Su servidor de correo electrónico se ajustará a varias pautas, el servidor en sí, un servidor de aplicaciones y, a menudo, un servidor web.
No todo esto es necesario, pero es una lista de verificación profunda de cómo asegurar su servidor hasta el punto de que es prácticamente inutilizable si desea llegar tan lejos. Juega con estos en un sandbox de prueba para ver qué lo rompe y qué funciona.
Como mínimo, me aseguraría de que, si es posible, se observe la ENCRIPTACIÓN DE DATOS EN REPOSO, asegúrese de que la base de datos que almacena los correos electrónicos esté encriptada y que las claves estén respaldadas y ubicadas en un lugar externo seguro.
MANTÉNGALO AL DÍA
Instale actualizaciones, generalmente una o dos semanas después de que salgan (para verificar que no rompan nada). Lea sobre cada actualización. Si es posible, tenga una red de prueba idéntica para validar que los parches no rompan nada.
COPIA DE SEGURIDAD DE SU SERVIDOR
Mierda pasa.
Asegúrese de hacer una copia de seguridad de sus datos. Pruebe las copias de seguridad para ver cuánto tiempo lleva restaurar los datos. Asegúrese de que sus partes interesadas comprendan cuán grande puede ser una brecha desde una falla total hasta la recuperación total y cuántos datos se pueden perder mientras tanto.
Asegúrese de mantener una copia de las copias de seguridad fuera del sitio en caso de que la oficina explote. (preferiblemente en cajas fuertes a prueba de fuego)
Asegúrese de tener un plan en caso de que la oficina explote (¿cómo obtendrá el servidor de correo electrónico si el servidor de correo electrónico se ha ido?).
Asegúrese de que todo lo relacionado con esto sea seguro.
LEER NOTICIAS DE SEGURIDAD
Verifique si hay problemas recientemente reportados. Los problemas de seguridad de “día cero” son problemas que se lanzan y que no se pueden o no se pueden reparar. Por lo general, pueden mitigarse, así que asegúrese de comprender a qué se enfrenta. ¡Mitigar esos días cero!
Hay mucho que saber y tengo un poco de técnica allí. Es una visión general de lo que debe tener en cuenta. Recomiendo contratar a alguien, ya sea a tiempo completo o un contratista para asegurar su red y garantizar que realmente sea segura. Esto no significa piratería de sombrero blanco, significa hacer todo lo posible para mantener las cosas tan seguras como sea razonable y posible.