Parte 4: Endurecimiento y Mejores Prácticas¶
Transforma una instalación funcional en una operación robusta de largo plazo.
1. Perfil de Seguridad Base¶
Baseline recomendado:
suspicious_js_level = balancedcritical_secrets_only_alerts = true- canales críticos de notificación activos
- auto-update activo en feeds
Para entornos más agresivos, probar strict en rollout controlado.
2. Gobierno de Whitelist¶
Cada entrada de whitelist es una excepción de seguridad.
Metadata mínima por entrada:
- dominio
- owner
- motivo
- fecha alta
- fecha revisión
Reglas:
- evitar permisos amplios
- limpieza periódica
- aprobación de negocio para excepciones persistentes
3. Higiene de Feeds¶
La calidad de protección depende de frescura de fuentes.
Prácticas:
- revisar timestamps semanalmente
- update manual antes de sesiones críticas
- investigar fallas repetidas de fuente
4. Protección de Datos Locales¶
Rutas locales sensibles:
data/settings.jsondata/url_monitor.db- archivos de filtros bajo
data/filters/
Medidas:
- restringir permisos filesystem
- backup antes de cambios grandes
- sanitizar exportes antes de compartir
5. Endurecimiento de Build/Release¶
Antes de publicar:
- suite de tests verde
- docs strict build verde
- validación monitor/proxy por SO
- validación de flujo certificado en entorno limpio
- checksums verificados
6. Programa de Simulacros¶
Ejecutar simulacros periódicos de:
- evento phishing
- fuga de secretos
- error de proxy
- caída de actualización de feeds
Métricas:
- tiempo de detección
- tiempo de triage
- tiempo de recuperación
7. Reglas para Contribuidores¶
Al tocar runtime:
- actualizar docs en el mismo PR
- agregar tests para cambios de acoplamiento
- mantener etiquetas de alerta no ambiguas
Al cambiar fuentes:
- actualizar
config.pyy referencia de feeds juntos
8. Cierre¶
Al completar esta parte ya tienes:
- instalación validada
- operación controlada de filtros
- playbooks de incidentes
- baseline de hardening
Sigue con: