Publicación especial de NIST: Guía de seguridad general de servidores

Hola,

Aunque está en fase de borrador, los contenidos del documento final de la publicación especial de NIST » Special Publication 800-123 – Guide to General Server Security» no deberían ser muy distintos a los que hay ahora.

La guía tiene como objetivo ofrecer las directrices elementales para poder gestionar la seguridad de sistemas operativos de servidor, así como el software que corra sobre él, en términos de configuración segura, parches y actualizaciones, pruebas de seguridad, monitorización de eventos y copia de seguridad de datos y sistema. Contiene dos secciones que normalmente pasan por alto muchos administradores de seguridad: la planificación de la seguridad (es decir, cómo se organiza el proceso de fortificación de un servidor) y el mantenimiento de la misma.

He visto muchos informes de auditoría y guías de fortificación donde no aparece dato alguno relacionado ni con la planificación de la seguridad, ni con su mantenimiento. Estos documentos deben ser considerados como insuficientes y mejorables, y deben contener referencias a estos dos aspectos.

Gran parte de los contenidos de esta nueva guía derivan de otras publicaciones especiales de NIST: SP 800-44 Version 2, “Guidelines on Securing Public Web Servers” y SP 800-45 Version 2, “Guidelines on Electronic Mail Security.” , si bien esta nueva guía no sólo los aglutina, sino que los extiende.

El documento se puede descargar en http://csrc.nist.gov/publications/drafts/800-123/Draft-SP800-123.pdf

Un saludo,