Hola,
respecto a las dos vertientes, se usan dependiendo del sistema atacado y
la gravedad de la intrusión, cosa que tenéis que decidir vosotros.
Depende si vale la pena dejar que continúen usando vuestro sistema, para
después ver que es una ip de corea de quien ni vosotros ni las
autoridades vais a sacar nada en claro.

No se que decirte con respecto a las autoridades, ya que no se como
responden en estos casos, pero si están tan organizadas como con el
resto de cosas yo no perdería el tiempo.

Lo que si que tenéis que tener es algún responsable dentro de la empresa
a quien los usuarios o administradores que detecten el incidente de
seguridad puedan avisar, que tengan claro el canal de comunicación y por
supuesto que entendéis por incidente de seguridad.
Por ejemplo, que llegue un correo con virus es un incidente de
seguridad?
En mi empresa si, ya que tenemos AV en los servidores de correo y si
llegan correos infectados a los usuarios es que algo falla.
Que haya malware en un equipo?
Que alguien se ponga un acceso wifi sin que se avise a los departamentos
pertinentes?
O solo cuando alguien penetre en un servidor?
Son cosas que tenéis que definir para que la gente sepa cuando avisaros,
si no os pasarán dos cosas, habrá gente que os avisará sin motivo y
gente que no os avisará nunca.

Yo consideraría lo de tener políticas con un nivel tan alto,
ya que la seguridad debe ser una herramienta para mejorar el trabajo, no
un fin en si misma.
Una de las cosas más dificiles de la políticas es que se cumplan, si
ponéis muchas trabas a los usuarios se saltaran las que puedan.
Debéis ajustar la seguridad al nivel de riesgo que haya para cada
sistema o aplicación.
Para que la seguridad no se vuelva contra vosotros.

Un saludo

El lun, 18-09-2006 a las 10:30 +0200, .:: b3r2c0 ::. escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hola amig@s!
>
> Actualmente estoy desarrollando, junto con el equipo completo de
> sistemas, la política de seguridad para mi empresa. Nos ha quedado un
> documento bastante majo, pero ha llegado un punto "crítico", en el que
> ninguno tenemos experiencia real: La intrusión en nuestros sistemas.
>
> Según lo que hemos preparado tanto los sistemas cómo la red van
a estar
> "blindados", el nivel de paranoia empleado en nuestra política de
> seguridad es bastante alto, aún así, nos gustaría conocer la opinión
de
> expertos para ver cómo actuar ante una intrusión.
>
> De todo lo que he leído por ahí, lo que más me llama la atención
es las
> dos vertientes frente al caos: desconexión inmediata, copia a bajo
> nivel, etc... y la del seguimiento en tiempo real para intentar dar
con
> el atacante; supongo, aunque no siempre lo he visto así, que lo ideal
es
> que con cualquiera de las dos prácticas, las autoridades sean avisadas
> en el momento.
>
> Espero vuestras sugerencias.
>
> Gracias por todo de antemano.
> - --
> Salud0S!
>
> |_|0|_| .:: bertuco a.k.a b3r2c0 ::.
> |_|_|0| http://www.lostintheshell.net
> |0|0|0| http://metabolik.hacklabs.org
> - -------------------------------------
> 0x57BD758D bertucoAlostintheshell.net
>
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.5 (GNU/Linux)
>
> iD4DBQFFDllArVtBcFe9dY0RAtRsAJi6cYOuJij2Ip+q51MewzAMpIp6AJ9WeCrc
> WdqxSup1nxIU8okuUNxApg==
> =I/vZ
> -----END PGP SIGNATURE-----

[ reply ]