Normatives de seguretat dels servidors

 

Les normatives de seguretat apliquen a diferents àmbits:

Les contrasenyes dels usuaris administradors dels sistemes operatius s’han de renovar amb una periodicitat mensual.

  • Han de complir els següents requeriments de format:
    • longitud de 12 caràcters com a mínim,
    • ha d’incloure majúscules, minúscules, números i caràcters especials,
    • no han de contenir els següents tipus de paraules: de diccionari, noms propis, dates, llocs o dades de tipus personal, o que estiguin formades per caràcters propers en el teclat.
  • No es poden reutilitzar o reaprofitar pel mateix o per diferents servidors.
  • En el cas de que s’hagin de compartir, mai es farà per mitjans no xifrats. Es farà servir un servei de gestor de contrasenyes amb accés auditat i segon factor d’autenticació per poder visualitzar-les.

  • Als sistemes operatius Windows Server caldrà aplicar pegats recomanats, de seguretat i crítics tant de sistema operatiu com de productes un cop al mes.
  • Als sistemes operatius Linux caldrà aplicar pegats de seguretat i crítics mínim 3 cops a l’any.
  • Davant d’un avís urgent de vulnerabilitat, caldrà revisar de forma immediata si aplica i fer la correcció tan aviat com sigui possible.

  • Cal garantir que el sistema operatiu i els productes instal·lats estiguin dins del període de suport del fabricant.

  • Caldrà fer com a mínim una còpia diària del sistema operatiu.
  • La retenció serà mínim de 30 dies.
  • Per les dades d’aplicació caldrà fer un anàlisis amb el client per determinar la política concreta.
  • Caldrà tenir mecanismes de recuperació granular i completa.
  • Caldrà fer com a mínim una prova de recuperació un cop a l’any

  • Es requereix de la instal·lació de com a mínim un antivirus de reconeixement per signatures per qualsevol tipus de sistema operatiu.
  • Cal garantir que l’antivirus estigui actualitzat.
  • En cas de detecció d’un fitxer sospitós, caldrà posar-lo en quarantena i fer un avís al responsable del servei.

  • Caldrà tenir actiu i configurat el tallafocs local per garantir el control de les connectivitats necessàries pel servei i impedir la resta.

Definició d’abast:

  • Auditoria de vulnerabilitats autoritzada per l’Iaas, PaaS o SaaS de tercers.

 

Planificació:

  • Sistemes de categoria baixa
    • Informe de vulnerabilitats detectades classificades per risc
    • Periodicitat del informe: anual
    • Evidencies trobades
  • Sistemes de categoria mitja
    • Informe de vulnerabilitats detectades classificades per risc
    • Periodicitat del informe: semestral
    • Evidencies trobades
  • Sistemes de categoria alta
    • Informe de vulnerabilitats detectades classificades per risc
    • Periodicitat del informe: trimestral
    • Evidencies trobades

 

Informe

En base a la categoria del sistema auditat (BÁSICA, MITJA o ALTA) y ordenades las vulnerabilitats per risc i quantitat.

Es considerarà que els sistemes passen l’auditoria si:

  • Un sistema de categoria bàsica no te vulnerabilitats de risc baix
  • Un sistema de categoria mitja no te vulnerabilitats de risc mig i baix
  • Un sistema de categoria alta no te vulnerabilitats de risc baix, mig i alt

 

Propostes de millora de la seguretat segon riscos que impedeixen passar la auditoria.