Se utiliza una lista de verificación de auditoría de seguridad de la red para evaluar proactivamente la seguridad e integridad de las redes de la organización. Los administradores de TI y los equipos de seguridad de la red pueden utilizar esta lista de verificación digitalizada para ayudar a descubrir las amenazas comprobando los siguientes elementos: firewall, computadoras y dispositivos de red, cuentas de usuario, software malintencionado, software y otros protocolos de seguridad de la red.
La organización debe tener un cortafuegos o equivalente para proteger su red interna y sus dispositivos contra el acceso no autorizado.
La contraseña del dispositivo de firewall debe cambiarse de la predeterminada a una contraseña fuerte alternativa
La contraseña del cortafuegos es:
- de al menos 8 caracteres de largo
- no es lo mismo que el nombre de usuario
- no contiene ningún carácter idéntico, uno al lado del otro.
- no es una palabra del diccionario
- incluye letras mayúsculas y minúsculas, números y caracteres especiales
- no se ha reutilizado dentro de un período de tiempo predeterminado
- no se ha utilizado para otra cuenta
Cada regla establecida en el cortafuegos debe ser aprobada por un individuo autorizado y documentada incluyendo una explicación de la necesidad comercial de esta regla.
Los servicios no aprobados o vulnerables deben ser bloqueados en el cortafuegos de la puerta de enlace
Cualquier regla de cortafuegos permisiva que ya no sea necesaria debe ser desactivada lo antes posible
La configuración de administración de límites del cortafuegos no debería ser accesible desde Internet
Computadoras y dispositivos de red (incluyendo puntos de acceso inalámbrico y enrutadores)
IMPORTANTE: Todos los ordenadores y dispositivos de la red deben cumplir con lo siguiente para dar una respuesta afirmativa.
Todas las cuentas de usuario innecesarias, cuentas de invitados o de administración deben ser eliminadas o desactivadas
Todas las contraseñas de las cuentas de los usuarios cumplen los siguientes requisitos:
- ha sido cambiado de la contraseña predeterminada
- de al menos 8 caracteres de largo
- no es lo mismo que el nombre de usuario
- no contiene ningún carácter idéntico, uno al lado del otro.
- no es una palabra del diccionario
- incluye letras mayúsculas y minúsculas, números y caracteres especiales
- no se ha reutilizado dentro de un período de tiempo predeterminado
- no se ha utilizado para otra cuenta
Todas las aplicaciones y utilidades de software innecesarias deben ser eliminadas o desactivadas
Todas las funciones de ejecución automática deben ser desactivadas, incluso para los medios de almacenamiento extraíbles y para las carpetas de red
En los ordenadores de sobremesa y portátiles debe utilizarse un sistema operativo con un cortafuegos integrado y configurado para bloquear las conexiones no aprobadas de forma predeterminada. En los últimos sistemas operativos, activos y configurados.
Cuentas de usuario
Todas las cuentas de los usuarios y sus privilegios deben ser objeto de un proceso de aprobación y deben ser documentados
Los privilegios de administración y cualquier otro privilegio de acceso especial deben estar restringidos a personas autorizadas y documentados
Las cuentas de administración sólo deben usarse para realizar tareas de administración y no para el acceso diario.
Las cuentas de administración deben estar configuradas para requerir un cambio de contraseña cada 60 días o menos.
Cada usuario debe tener un nombre de usuario y una cuenta de usuario únicos
Cada contraseña de usuario debe cumplir los siguientes requisitos:
- de al menos 8 caracteres de largo
- no es lo mismo que el nombre de usuario
- no contiene ningún carácter idéntico, uno al lado del otro.
- no es una palabra del diccionario
- incluye letras mayúsculas y minúsculas, números y caracteres especiales
- no se ha reutilizado dentro de un período de tiempo predeterminado
- no se ha utilizado para otra cuenta
Cualquier cuenta de usuario con privilegios especiales o derechos de administrador debe ser eliminada o desactivada cuando ya no sea necesaria o si el individuo cambia de rol o deja la organización o después de un tiempo de inactividad predefinido (por ejemplo, si la cuenta no se utiliza durante 90 días, entonces se desactiva)
Protección contra el malware
El software de protección contra el malware debe instalarse en todas las computadoras que puedan acceder a Internet o que sean capaces de acceder a Internet
El software de protección contra el malware debe ser actualizado diariamente
El software de protección contra el malware debe estar configurado para escanear los archivos automáticamente al acceder a ellos y para escanear las páginas web cuando se accede a ellas a través de un navegador web
El software de protección contra el malware debe estar configurado para realizar escaneos regulares de todos los archivos
El software de protección contra el malware debería impedir las conexiones a sitios web maliciosos en Internet (por ejemplo, mediante el uso de listas negras de sitios web).
Gestión de parches de software
El software de cualquier dispositivo que esté conectado o sea capaz de conectarse a Internet debe tener licencia y apoyo para asegurar que se investiguen las vulnerabilidades y se pongan a disposición los parches.
Todas las actualizaciones de software y los parches de seguridad que se pongan a disposición deben instalarse de manera oportuna
Cualquier software no soportado debe ser eliminado de cualquier computadora o dispositivo capaz de conectarse a Internet
Otros
La configuración inalámbrica protegida (WPS) se desactivará en todos los dispositivos inalámbricos
Se desactivará el Plug n Play Universal (UPnP)
El acceso WiFi de los huéspedes se implementará para los visitantes y los dispositivos propiedad de los empleados
Los dispositivos propiedad de los empleados que pueden acceder al correo electrónico o a la información de la empresa requerirán un software de malware
Todos los servidores de la red deben tener una solución de respaldo automatizada diaria con datos de respaldo almacenados de manera segura fuera del sitio (encriptados)
Cifrado de todos los datos sensibles almacenados en dispositivos móviles y dispositivos de almacenamiento extraíbles
No permita que el personal utilice servicios de intercambio de archivos o de almacenamiento en la nube para los datos de la empresa, como DropBox, OneDrive, Google Drive, iCloud, a menos que estén autorizados y sean seguros para su organización.
No debe permitirse al personal utilizar cuentas personales de medios sociales en dispositivos propiedad de la organización o en cualquier dispositivo conectado a la red, a menos que esté específicamente autorizado para ello.
Please note that this checklist template is a hypothetical appuses-hero example and provides only standard information. The template does not aim to replace, among other things, workplace, health and safety advice, medical advice, diagnosis or treatment, or any other applicable law. You should seek your professional advice to determine whether the use of such a checklist is appropriate in your workplace or jurisdiction.
Por favor, finaliza el registro para acceder al contenido de la lista de control.
