Consejos de Seguridad Informática

seguridad informatica


En www.rackaid.com han publicado una serie de consejos de seguridad muy importantes y que debemos tener en cuenta siempre. Aquí les dejo una traducción.

Seguridad de las contraseñas

Utiliza contraseñas con al menos 8 caracteres.
Utiliza contraseñas complejas que incluyen números, símbolos y signos de puntuación.
Usa diferentes contraseñas para diferentes cuentas o roles.
Prueba las contraseñas en una herramienta de contraseñas seguras.
No utilices palabras de diccionario como contraseñas, por ejemplo, "libreta".
No repitas secuencias de caracteres, por ejemplo, 3333, abcdabcd.
No utilices información personal en las contraseñas, por ejemplo, tu fecha de nacimiento.
No guardes las contraseñas en equipos portátiles, smartphones o tabletas, que pueden perderse.
Utiliza un gestor de contraseñas para poder controlar todas tus contraseñas.
Establece una autenticación de dos factores cuando sea posible.
Utiliza un generador de contraseñas seguras.

Comunicaciones seguras

Usa Secure FTP en lugar de FTP normal.
Utiliza SSH en lugar de telnet.
Utiliza conexiones de correo electrónico seguro (POP3S/IMAPS/SMTPS)
Asegurq todas las áreas de administración de web con SSL (HTTPS).
Asegura tus formularios web con SSL (HTTPS).
Utiliza VPN cuando esté disponible.
Utiliza firewalls en todas las terminales, incluyendo servidores y ordenadores personales.
Utilizar sistemas de cortafuegos/IPS.
Encripta los mensajes de correo electrónico muy sensibles.
No utilices computadoras públicas para acceder a información sensible.

Seguridad de aplicaciones web

Regístrate para recibir avisos acerca de actualizaciones de la aplicación web.
Actualiza rápidamente tus aplicaciones web.
Analiza las aplicaciones web mediante herramientas de seguridad como Nessus.
Utiliza un firewall de aplicaciones web.
Comprueba los campos de subida de archivos para verificar que ficheros con código no puedan ser cargados.
Utiliza frameworks de programación con un buen historial de seguridad.
Asegura las áreas de administración de las aplicaciones web con restricciones basadas en IP.
Sanea las entradas de datos de los usuarios.
Colocar los archivos sensibles fuera del documento raíz o restringir el acceso.
Evitar el uso de comandos de shell en scripts.
No confíes en campos HTTP Referrer ya que son fácilmente manipulables.
Utiliza POST en vez de GET para enviar datos, de ese modo información confidencial no está en la dirección URL.
Valida los datos en el lado del servidor y no sólo en el lado del cliente.
No confíes en nombres de archivo y rutas de acceso realtivas. Establece siempre directorios base<./li>
Especifica permisos a la hora de crear archivos.
Limita la carga de archivos.
Crear mensajes de error seguros por no divulgar información sensible en dichos errores.
Ten cuidado con los datos que facilitas a las cookies; pueden ser manipuladas.
Encripta los ficheros de configuración que contienen login sensibles
Protégete contra los ataques DOS a nivel de aplicación mediante la limitación de la longitud de entrada de los campos.
Si es posible desactiva fopen.
Activar el modo seguro, incluye directorios y abre restricciones base si es posible.
Deshabilita las funciones PHP peligrosas si es posible.
Ten cuidado de nombrar archivos *.bak, *.txt o *.inc dentro de la raíz del documento web.
Ten cuidado al utilizar herramientas de control de versiones en la raíz del documento web.
Usa sistemas de control de versiones.
Utiliza un sistema de "bug tracking" y cambia los log de sistema.

Seguridad de servidor

Actualiza el sistema operativo regularmente -sobre todo con las actualizaciones críticas.
Actualiza regularmente el panel de control.
Reduce la información que se muestra acerca del servidor, por ejemplo, cambiando la directiva ServerTokens de Apache. ServerTokens delimita qué información muestra el servidor sobre los componentes que está ejecutando.
No instales software que no se va a utilizar.
No almacenes backups o versiones antiguas de software en el entorno de producción.
Restringe el acceso a directorios con los permisos adecuados.
Asegúrate de que los logs están funcionando correctamente.
Asegúrate deregistrar todos los accesos al entorno de administración con fecha, hora y nombre de usuario.
Asegúrese de usar un firewall.
Elimina las cuentas predeterminadas de MySQL.
Desactiva el inicio de sesión de raíz directa en SSH.
Deshazte de las contraseñas con SSH keys.
Deshabilita servicios no utilizados.
Manten copias de seguridad.
Prueba las copias de seguridad.
No desarrolles en entornos de producción.
Manténte actualizado con las suscripciones a servicios de notificación de seguridad.
Monitoriza el tráfico web para encontrar actividad inusual.
Realiza análisis de seguridad regulares, de forma remota.
Realiza análisis de seguridad regulares, de forma local.
Endurece la configuración predeterminada de Apache, SSH y otros servicios.
Usa la cuenta root sólo cuando sea necesario.
Utiliza sudo para conceder otros acceso a nivel de la raíz.
Habilita SELinux si es posible.
Utiliza redes privadas para el tráfico interno del servidor.
Utiliza el cifrado cuando sea necesario.
Realiza auditorías de contraseñas.
Exije contraseñas seguras.


Visto en: www.rackaid.com
Publicar un comentario

Entradas populares de este blog

Java - Ejemplo de como consumir un Web Service

Java - Ejemplo de como crear un Web Service

Java: Primera aplicación web con Eclipse