Última modificación: 19 de marzo de 2025

Norma nº 4204 Procedimiento de seguridad de los servidores

• Descargar el documento sobre el procedimiento de seguridad del servidor

Visión general

Los servidores inseguros y vulnerables siguen siendo un importante punto de entrada para los actores de amenazas maliciosas. Las políticas coherentes de instalación de servidores, propiedad y gestión de la configuración consisten en hacer bien lo básico.

Propósito

El propósito de este procedimiento es establecer estándares para la configuración de base del equipo interno del servidor que es poseído y/o operado por PCSD. La implementación efectiva de este procedimiento minimizará el acceso no autorizado a la información y tecnología propiedad de PCSD.

Alcance

Todos los empleados, contratistas y consultores deben adherirse a este procedimiento. Este procedimiento se aplica al equipo del servidor que es poseído, operado o registrado bajo el dominio de la red interna de PCSD. Este procedimiento especifica los requisitos para los equipos de la red interna.

Procedimiento

Requisitos generales

• Todos los servidores internos desplegados en el PCSD deben ser propiedad de un grupo operativo responsable de la administración del sistema. Cada grupo operativo debe establecer y mantener guías de configuración de servidores aprobadas, basadas en las necesidades del negocio y aprobadas por el Equipo InfoSec. Los grupos operativos deben supervisar el cumplimiento de la configuración e implantar un procedimiento de excepciones adaptado a su entorno. Cada grupo operativo debe establecer un proceso para modificar las guías de configuración, que incluya la revisión y aprobación por parte del Equipo InfoSec.
• Los servidores deben registrarse en el sistema de gestión de inventario y debe crearse un documento CSI (Critical System Information). Como mínimo, se requiere la siguiente información:
  • Contacto(s) y ubicación del servidor, y un contacto y ubicación de reserva
  • Hardware y sistema operativo/versión
  • Principales funciones y aplicaciones, si procede
  • Número de serie
  • Dirección HW
  • Información de compra
  • Información de apoyo
  • Información sobre proveedores
• La información del sistema de gestión de inventarios y del CSI debe mantenerse actualizada.
• A efectos de seguridad, cumplimiento y mantenimiento, el personal autorizado puede supervisar y auditar equipos, sistemas, procesos y tráfico de red de acuerdo con el Procedimiento de Auditoría.

Requisitos de configuración

• La configuración del sistema operativo debe ajustarse a las directrices aprobadas de InfoSec.
• Los servicios y aplicaciones que no se vayan a utilizar deben desactivarse siempre que sea posible.
• El acceso a los servicios debe registrarse y/o protegerse mediante métodos de control de acceso como un cortafuegos de aplicaciones web, si es posible.
• Los parches de seguridad más recientes deben instalarse en el sistema tan pronto como sea posible, con la única excepción de que su aplicación inmediata interfiera con la enseñanza y la instrucción.
• Las relaciones de confianza entre sistemas son un riesgo para la seguridad y deben evitarse. No utilices una relación de confianza cuando otro método de comunicación sea suficiente.
• Utilice siempre los principios de seguridad estándar de acceso mínimo necesario para realizar una función. No utilices root cuando una cuenta sin privilegios sea suficiente.
• Si se dispone de una metodología para la conexión de canales seguros (es decir, técnicamente viable), el acceso privilegiado debe realizarse a través de canales seguros (por ejemplo, conexiones de red cifradas mediante SSH o IPSec).
• Los servidores deben estar ubicados físicamente en un entorno de acceso controlado.
• Se prohíbe específicamente que los servidores funcionen desde dispositivos y redes no autorizados.

Supervisión

• Todos los eventos relacionados con la seguridad en sistemas críticos o sensibles deben registrarse.
• Los sucesos relacionados con la seguridad se comunicarán al equipo InfoSec, que revisará los registros e informará de los incidentes a la dirección de TI. Se prescribirán las medidas correctoras necesarias.
• Los eventos relacionados con la seguridad incluyen, entre otros:
  • Ataques de escaneo de puertos
  • Pruebas de acceso no autorizado a cuentas privilegiadas
  • Incidencias anómalas no relacionadas con aplicaciones específicas del host

Último estado de actualización:

Actualizado en enero de 2015

Políticas y procedimientos relacionados

• 4204 Uso de la tecnología
• 4204 Uso aceptable
• 4204 Auditoría
• 4204 Escritorio limpio
• 4204 Plan de recuperación en caso de catástrofe
• 4204 Correo electrónico
• 4204 Formación para la concienciación sobre seguridad de los empleados
• Cifrado 4204
• 4204 Contraseña
• 4204 Acceso remoto
• 4204 Seguridad de routers y conmutadores
• 4204 Seguridad para puestos de trabajo sensibles
• 4204 Plan de respuesta de seguridad
• 4204 Seguridad del servidor
• 4204 Instalación del software
• 4204 Seguridad de los servicios del sitio web
• 4204 Comunicación de dispositivos inalámbricos
• 4204 Comunicación de infraestructuras inalámbricas