Post on 17-Mar-2018
Universidad Latina de PanamáSede Santiago
Maestría en Seguridad Informática
Modulo Seguridad en Base de datos y redes
Políticas de Seguridad Esquípulas Café
Profesor:Itzel de Juárez
Estudiantes:Jorge Jaramillo 2-713-2134Arnold Suárez 2-718-674
31 de marzo de 2012
Índice General
Índice…………………………………………………………………….…………..
Agradecimiento...……………………………………………………………….
Prologo...……………………………………………………………………………
Introducción...…………………………………………………………………..
Capítulo I – Marco Conceptual……………………………………….……..
Aspectos generales…………………………………………………………………………….
Estado o situación actual del problema………………………………………………
Objetivos……………………………………………………………………………………………
Justificación………………………………………………………………………………………..
Capítulo II – Marco Institucional……………………………………….………………………………….
Descripción………………..………………………………………………………………………..
Misión y Visión……………………………………………………………………………………
Objetivo Generales.……..….………………………………………………………………..
Objetivos Específicos………………………………………………………………………….
Capital de La Empresa……………………………………………………………………….
Estudio del Mercado ………………………………………………………………………...
Capítulo II – Marco Teórico
Seguridad con que cuenta el Local
En la actualidad……………………………………….……………………………………….
Responsabilidades Personales…………………………….………………………….
Uso Apropiado de los recursos.…...………………………………………………..
Recursos red………..………………………………………………………………………..
Beneficios……………………………………………………………………………………...
Conclusiones
Bibliografía
ii
iii
iv
v
6
6
6
7
8
8
9
9
9
9
13
14
20
21
22
23
AGRADECIMIENTO
Agradezco a la Universidad Latina de Panamá, sede Santiago, por haberme
abierto las puertas de este prestigioso templo del saber, cuna de buenos
profesionales. A la Profesora Itzel de Juarez por brindarnos Tan sabios
conocimientos, al entregar a la sociedad buenos profesionales capaces para el
desarrollo de la tecnología de nuestro país. Y a todos mis compañeros.
PROLOGO
Es importante tener una política de seguridad de red bien concebida y efectiva
que pueda proteger la inversión y los recursos de información de la compañía.
Vale la pena implementar una política de seguridad si los recursos y la
información que la organización tiene en sus redes merecen protegerse. La
mayoría de las organizaciones tienen en sus redes información delicada y
secretos importantes; esto debe protegerse del acceso indebido del mismo
modo que otros bienes valiosos como la propiedad corporativa y los edificios de
oficinas.
Una organización puede tener muchos sitios, y cada uno contar con sus
propias redes. Sí la organización es grande, es muy probable que los sitios
tengan diferente administración de red, con metas y objetivos diferentes. Si
esos sitios no están conectados a través de una red interna, cada uno de ellos
puede tener sus propias políticas de seguridad de red. Sin embargo, si los
sitios están conectados mediante una red interna, la política de red debe
abarcar todos los objetivos de los sitios interconectados.
En general, un sitio es cualquier parte de una organización que posee
computadoras y recursos relacionados con redes. Algunos, no todos, de esos
Un aspecto importante de la política de seguridad de red es asegurar que todos
conozcan su propia responsabilidad para mantener la seguridad. Es difícil que
una política de seguridad se anticipe a todas las amenazas posibles. Sin
embargo, las políticas s pueden asegurar que para cada tipo de problema haya
alguien que lo pueda manejar de manera responsable. Puede haber muchos
niveles de seguridad relacionados con la política de seguridad.
Introducción
A la crea una política de seguridad, es importante que comprender la razón
para crear una política es, en primer lugar, asegurar que los esfuerzos
dedicados a la seguridad impliquen un costo razonable. Esto significa que
debemos conocer cuales recursos vale la pena proteger, y cuales son más
importantes que otros. Por lo tanto en el siguiente trabajo presentamos la
seguridad de la empresa Esquípulas Café la cual consideramos, la
infraestructura, los software, hardware, red y el compromiso que deben poseer
los colaboradores al cumplir con la política de seguridad que se han
establecido.
También identificamos la fuente de amenazas de la cual la empresa se
enfrenta protegiendo los recursos de la empresa. A pesar de toda la publicidad
acerca de los intrusos que irrumpen en una red, muchos estudios indican que,
en el caso de la mayoría de las organizaciones, las verdaderas pérdidas
causadas por los usuarios internos son mucho mayores.
Aspectos Generales
Una vez que internet comenzó a captar una cantidad considerable de
usuarios, quedó claro, para el sector comercial, el potencial para sus negocios.
Es aquí donde es necesario analizar cómo las pequeñas empresas pueden
mejorar su política de seguridad informática.
Estado o situación actual del problema
Actualmente, existen muchas empresas en que cuentan con unos
equipos informáticos mas sin embargo no cuentan con las políticas de
seguridad para asegurar la información y el equipo informático. El ciber café
Esquípulas de comienza a brindar sus servicios de internet como medio de
comunicación orientando a una vasta cantidad de cibernautas desde el año
2007. Con esto nace la idea de crear políticas de seguridad.
Objetivos del trabajo
Objetivo General
Implementar políticas de seguridad informática que vayan en beneficio
de la empresa y de los usuarios.
Objetivos específicos
Garantizar que los datos sean los que se supone que son.
Asegurar que sólo los individuos autorizados tengan acceso a los
recursos que se intercambian.
Certificar el correcto funcionamiento de los sistemas de información.
Afirmar que sólo los individuos autorizados tengan acceso a los recursos.
Justificación
Al utilizar herramientas las políticas de seguridad en el ciber café
Esquípulas, se pretende aumentando de esta manera la credibilidad,
popularidad y seguridad de los equipos y servicios informáticos.
La contribución de nuestro trabajo radica en establecer mejores niveles
seguridad que vayan en beneficio de la empresa y de los usuarios del ciber
café Esquípulas, que pueda ser utilizado como marco documentado en
aquellas que están por crear nuevas políticas de seguridad informática
además, debe ser una fuente de referencia para profesionales y estudiantes.
Descripción
Nombre de la empresa: Esquípulas Café
Generalidades:
La creación de un ciber café, cuya característica es: la contribución al
desarrollo tecnológico y la mejora en las comunicaciones de la zona.
Servicio de renta de computadoras, impresiones, escaneo, quemado de cds y
dvds, captura de datos, diseños por computadora, diseños de páginas web,
sistemas, redes de computadoras, reparación de computadoras, mantenimiento
de computadoras, y mas.
Visión
Nuestra vision es: internet en tus manos
1. - soluciones de acceso al mundo del internet
2. - llegar lo más cercas posible al público en general
3. - cumplir con los requerimientos que nuestros clientes exijan.
Misión
Nuestra misión es: enfoque al cliente
1. - facilitamos su trabajo
2. - brindamos una amplia y duradera amistad, dando toda nuestra confianza
en cada trabajo.
3. - ponemos en sus manos los beneficios tecnológicos para que su producción
sea con mayor rapidez y calidad.
Objetivos generales:
Colaboración con el desarrollo tecnológico y mejorar la comunicación en
la zona.
Objetivos Específicos:
Entregar un servicio expedito de fácil acceso en el horario más
conveniente para cada persona.
Establecer una mejora en la educación de niños, jóvenes y adultos de la
zona, permitiéndoles tener acceso a esta herramienta tan potente en el
mundo de hoy.
Entregar una alternativa a la escasa oferta existente en la zona.
Crear una empresa rentable.
Capital de la empresa
Para la creación de ciber café, es por medio de una sociedad Los
inversionistas cuentan con el 27% de la inversión inicial y el 73% de la
inversión restante será aportado por un crédito de una entidad
financiera.
Estudio de Mercado
Para poder consolidar esta empresa se realizo el siguiente estudio de mercado
el cual tiene como objetivo establecer la existencia de mercado para la
elaboración de un ciber café; además de conocer aspectos tales como:
Características de los consumidores.
Evolución en la producción.
Sistemas actuales de comercialización, entre otros aspectos.
Estudio de Mercado
Encuesta al Mercado
¿Tienen acceso a una computadora o a tenido acceso a Internet?
Objetivo a establecer: cuantos adultos están Familiarizados con la computación
o Internet.
¿Considera usted la computación e Internet una herramienta necesaria para el
mundo de hoy?
Objetivo a establecer: determinar cuantos de ellos utilizarían nuestro servicio.
Acceso a los Servicios
No55%
Si45%No
Si
Utilizacion del servicio
No19%
Si81%
No
Si
Está dispuesto a probar un nivel de educación básico en el área para el
progreso propio y el de sus hijos?
Objetivos a establecer: cuantos de ellos se inscribirían en una capacitación o
permitirían a sus hijos hacerlo.
¿Te interesa aprender computación y tener acceso a Internet?
Objetivos a establecer: Analizar el interés de los Adultos, jóvenes y niños para
involucrarse con el área.
Segmentación de Mercado
Dispuestos a Capacitacion
No23%
Si77%
No
Si
Interes de los Jovenes y niños
No8%
Si92%
No
Si
El segmento de los interesados en los cursos y en la utilización del
servicio esta diversificado de forma tal que hay niños, jóvenes y adultos de
clase social media, medio-alto y alto. Siendo éstos los más dispuestos a pagar
por un desarrollo tecnológico basada en la computación e Internet que
complementaría y facilitaría la educación regular de los colegios o escuelas y
les permitiría aspirar a un mayor desarrollo laboral según sea el caso.
Mercado Objetivo
El mercado de consumo estará dirigido hacia los niños, jóvenes y
adultos de clase media, media-alta y alta, desde los 8 hasta los 75 años de
edad, es decir desde que comienzan primero básico.
Estructura
Tamaño de la infraestructura
Es necesario una dependencia de 30 mt2, más 2 baños.
Diseño de instalaciones
Cubículo de 1,70 mts x 1,40 mts. Para la ubicación de cada computador.
Además de un sector para el administrador del sistema, donde se ubique la
impresora y el PC para control de costos.
Ubicación
Avenida 1 Transito, #2717 el bajo Esto se ubica en un sector transitado, puesto
que está a un costado de la catedral san Juan bautista de Antón.
Seguridad con que cuenta el local
La seguridad informática ha tomado gran auge, debido a las cambiantes
condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad
de interconectarse a través de redes, ha abierto nuevos horizontes a las
empresas para mejorar su productividad y poder explorar más allá de las
fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de
nuevas amenazas para los sistemas de información. Estos riesgos que se
enfrentan han llevado a que se desarrolle un documento de directrices que
orientan en el uso adecuado de estas destrezas tecnológicas y
recomendaciones para obtener el mayor provecho de estas ventajas, y
evitar el uso indebido de la mismas, lo cual puede ocasionar serios
problemas a los bienes, servicios y operaciones de la empresa Esquípulas
café S.A.
Al Desarrollar un sistema de seguridad deseamos plasmar las actividades
de "planear, organizar, dirigir y controlar para mantener y garantizar la
integridad física de los recursos informáticos, así como resguardar los
activos de la empresa"¹.
¹Gallego Carlos (2009) http://dominandoadword.com. Estrategias de seguridad en internet
En la actualidad la empresa Esquípulas café S.A. cuenta con las siguientes medidas de seguridad:
Para la adquisición de Hardware se observará lo siguiente:
El equipo que se desee adquirir deberá estar dentro de las listas de
Ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro
de los estándares de Esquípulas Café.
Los equipos complementarios deberán tener una garantía mínima de
un año y deberán contar con el servicio técnico correspondiente en el
país.
Deberán ser equipos integrados de fábrica o ensamblados con
Componentes previamente evaluados por el Comité.
La marca de los equipos o componentes deberá contar con presencia
y permanencia demostrada en el mercado nacional e internacional, así
como con asistencia técnica y refaccionaria local. Tratándose de
microcomputadores, a fin de mantener actualizada la arquitectura
informática de Esquípulas Café, el Comité emitirá periódicamente las
especificaciones técnicas mínimas para su adquisición.
Los dispositivos de almacenamiento, así como las interfaces de
entrada / salida, deberán estar acordes con la tecnología de punta
vigente, tanto en velocidad de transferencia de datos, como en
procesamiento.
Las impresoras deberán apegarse a los estándares de Hardware y
Software vigentes en el mercado y en Esquípulas Café, corroborando
que los suministros (cintas, papel, etc.) se consigan fácilmente en el
mercado y no estén sujetas a un solo proveedor.
Conjuntamente con los equipos, se deberá adquirir el equipo
complementario adecuado para su correcto funcionamiento de acuerdo
con las especificaciones de los fabricantes, y que esta adquisición se
manifieste en el costo de la partida inicial.
Sin embargo consideramos que estos puntos se pueden fortalecer incluyéndole las siguientes recomendaciones:
Si la computadora misma no está físicamente segura, pueden ignorarse
fácilmente los mecanismos de seguridad del software. En el caso de las
estaciones de trabajo DOS(Windows ni siquiera existe un nivel de contraseña
de protección. Si se deja desatendida una estación de trabajo Unix, sus discos
pueden ser cambiados o si se deja en modo privilegiado, la estación estar por
completo abierta. Asimismo, el intruso puede parar la máquina y regresarla a
modo privilegiado, y después plantar programas tipo caballo de Troya, o tomar
cualquier medida para dejar al sistema abierto para ataques futuros.¹
Los equipos adquiridos deben contar, de preferencia con asistencia
técnica durante la instalación de los mismos.
En lo que se refiere a los servidores, equipos de comunicaciones,
concentradores de medios (HUBS) y otros equipos que se justifiquen por
ser de operación crítica y/o de alto costo, deben de contar con un
programa de mantenimiento preventivo y correctivo que incluya el
suministro de refacciones al vencer su período de garantía.
En lo que se refiere a los computadores denominados personales, al
vencer su garantía por adquisición, deben de contar por lo menos con un
programa de servicio de mantenimiento correctivo que incluya el
suministro de refacciones.
Para la operación del software de red en caso de manejar los datos empresariales mediante sistemas de información, se deberá tener en consideración lo siguiente:
Toda la información institucional deberá invariablemente ser operada a
través de un mismo tipo de sistema manejador de base de datos para
beneficiarse de los mecanismos de integridad, seguridad y recuperación
de información en caso de presentarse alguna falla.
El acceso a los sistemas de información, deberá contar con los
privilegios ó niveles de seguridad de acceso suficientes para garantizar
la seguridad total de la información institucional. Los niveles de
seguridad de acceso deberán controlarse por un administrador único y
poder ser manipulado por software.
Se deben delimitar las responsabilidades en cuanto a quién está
autorizado a consultar y/o modificar en cada caso la información,
tomando las medidas de seguridad pertinentes.
Sin embargo consideramos que estos puntos se pueden fortalecer incluyéndole las siguientes recomendaciones:
“Al aumentar la complejidad del software, también aumenta el número y la
complejidad de los problemas de un sistema determinado”². A menos que se
encuentren formas revolucionarias de crear software, éste nunca estar por
completo libre de errores. Las fallas de seguridad conocidas públicamente se
vuelven métodos comunes de acceso no autorizado. Si la implementación de
un sistema es abierta y muy conocida (como es la de Unix), el intruso puede
usar los puntos débiles del código de software que se ejecuta en modo
privilegiado para tener acceso privilegiado al sistema. Los administradores de
sistemas deben estar conscientes de los puntos débiles de sus sistemas
operativos y tienen la responsabilidad de obtener las actualizaciones y de
implementar las correcciones cuando se descubran esos problemas. También
usted debe tener la política de reportar al proveedor los problemas cuando se
encuentren, de modo que pueda implementarse y distribuirse la solución.
Los datos de los sistemas de información, deben ser respaldados de
acuerdo a la frecuencia de actualización de sus datos, rotando los
dispositivos de respaldo y guardando respaldos históricos
periódicamente. Es indispensable llevar una bitácora oficial de los
respaldos realizados, asimismo, los CDs de respaldo deberán guardarse
en un lugar de acceso restringido con condiciones ambientales
suficientes para garantizar su conservación. En cuanto a la información
de los equipos de cómputo personales, la Unidad de Informática
recomienda a los usuarios que realicen sus propios respaldos en la red o
en medios de almacenamiento alternos.
² GALLEGO CARLOS (2009) http://www.carlosgallego.com/como-inver-menos-en-adwords.html. Como Invertir
Menos y Vender más con seguridad en la Web
Todos los sistemas de información que se tengan en operación,
deben
contar con sus respectivos manuales actualizados. Un técnico que
describa la estructura interna del sistema así como los programas,
catálogos y archivos que lo conforman y otro que describa a los usuarios
del sistema y los procedimientos para su utilización.
Los sistemas de información, deben contemplar el registro histórico
de
las transacciones sobre datos relevantes, así como la clave del usuario y
fecha en que se realizó (Normas Básicas de Auditoria y Control).
Se deben implantar rutinas periódicas de auditoria a la integridad de
los datos y de los programas de cómputo, para garantizar su
confiabilidad.
IDENTIFICADORES DE USUARIO Y CONTRASEÑAS
-Todos los usuarios con acceso a un sistema de información o a una red
informática, dispondrán de una única autorización de acceso compuesta de
identificador de usuario y contraseña.
-Ningún usuario recibirá un identificador de acceso a la Red de
Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no
acepte formalmente la Política de Seguridad vigente.
- Los usuarios tendrán acceso autorizado únicamente a aquellos datos y
recursos que precisen para el desarrollo de sus funciones, conforme a los
criterios establecidos por el responsable de la información.
Sin embargo consideramos que estos puntos se pueden fortalecer incluyéndole las siguientes recomendaciones:
- La longitud mínima de las contraseñas será igual o superior a ocho
caracteres, y estarán constituidas por combinación de caracteres
alfabéticos, numéricos y especiales.
- Los identificadores para usuarios temporales se configurarán para un corto
período de tiempo. Una vez expirado dicho período, se desactivarán de los
sistemas.
Adicional a estos puntos mencionados, la empresa carece ciertos aspectos de seguridad como:
LINEAMIENTOS EN INFORMÁTICA: INFORMACIÓN
-La información almacenada en medios magnéticos se deberá inventariar,
anexando la descripción y las especificaciones de la misma, clasificándola
en tres categorías:
Información histórica para auditorias.
Información de interés de la Empresa
Información de interés exclusivo de alguna área en particular.
- Los jefes de área responsables de la información contenida en los
departamentos a su cargo, delimitarán las responsabilidades de sus
subordinados y determinarán quien está autorizado a efectuar operaciones
emergentes con dicha información tomando las medidas de seguridad
pertinentes.
- Se establecen tres tipos de prioridad para la información:
Información vital para el funcionamiento del área;
Información necesaria, pero no indispensable en el área.
Información ocasional o eventual.
- En caso de información vital para el funcionamiento del área, se deberán
tener procesos colaborativos, así como tener el respaldo diario de las
modificaciones efectuadas, rotando los dispositivos de respaldo y
guardando respaldos históricos semanalmente.
- La información necesaria pero no indispensable, deberá ser respaldada
con una frecuencia mínima de una semana, rotando los dispositivos de
respaldo y guardando respaldos históricos mensualmente.
- El respaldo de la información ocasional o eventual queda a criterio del
área.
- La información almacenada en medios magnéticos, de carácter histórico,
quedará documentada como activos del área y estará debidamente
resguardada en su lugar de almacenamiento.
-Es obligación del responsable del área, la entrega conveniente de la
información, a quien le suceda en el cargo.
- Los sistemas de información en operación, como los que se desarrollen
deberán contar con sus respectivos manuales. Un manual del usuario que
describa los procedimientos de operación y el manual técnico que describa
su estructura interna, programas, catálogos y archivos.
- Ningún colaborador en proyectos de software y/o trabajos específicos,
deberá poseer, para usos no propios de su responsabilidad, ningún material
o información confidencial de Esquípulas Café tanto ahora como en el
futuro.
RESPONSABILIDADES PERSONALES
- Los usuarios son responsables de toda actividad relacionada con el uso de
su acceso autorizado.
- Los usuarios no deben revelar bajo ningún concepto su identificador y/o
contraseña a otra persona ni mantenerla por escrito a la vista, ni al alcance
de terceros.
- Los usuarios no deben utilizar ningún acceso autorizado de otro usuario,
aunque dispongan de la autorización del propietario.
- Si un usuario tiene sospechas de que su acceso autorizado (identificador
de usuario y contraseña) está siendo utilizado por otra persona, debe
proceder al cambio de su contraseña e informar a su jefe inmediato y éste
reportar al responsable de la administración de la red.
- El Usuario debe utilizar una contraseña compuesta por un mínimo de ocho
caracteres constituida por una combinación de caracteres alfabéticos,
numéricos y especiales.
- La contraseña no debe hacer referencia a ningún concepto, objeto o idea
reconocible. Por tanto, se debe evitar utilizar en las contraseñas fechas
significativas, días de la semana, meses del año, nombres de personas,
teléfonos.
- En caso que el sistema no lo solicite automáticamente, el usuario debe
cambiar la contraseña provisional asignada la primera vez que realiza un
acceso válido al sistema.
- En el caso que el sistema no lo solicite automáticamente, el usuario debe
cambiar su contraseña como mínimo una vez cada 30 días. En caso
contrario, se le podrá denegar el acceso y se deberá contactar con el jefe
inmediato para solicitar al administrador de la red una nueva clave.
- Proteger, en la medida de sus posibilidades, los datos de carácter
personal a los que tienen acceso, contra revelaciones no autorizadas o
accidentales, modificación, destrucción o mal uso, cualquiera que sea el
soporte en que se encuentren contenidos los datos.
USO APROPIADO DE LOS RECURSOS
Queda Prohibido
- El uso de estos recursos para actividades no relacionadas con el propósito
del negocio, o bien con la extralimitación en su uso.
- Las actividades, equipos o aplicaciones que no estén directamente
especificados como parte del Software o de los Estándares de los Recursos
Informáticos propios de Esquípulas Café.
- Introducir en los Sistemas de Información o la Red Corporativa
contenidos obscenos, amenazadores, inmorales u ofensivos.
Queda prohibido
- Introducir voluntariamente programas, virus, macros, applets, controles
ActiveX o cualquier otro dispositivo lógico o secuencia de caracteres que
causen o sean susceptibles de causar cualquier tipo de alteración o daño en
los Recursos Informáticos. El personal contratado por Esquípulas Café
tendrá la obligación de utilizar los programas antivirus y sus actualizaciones
para prevenir la entrada en los Sistemas de cualquier elemento destinado a
destruir o corromper los datos informáticos.
- Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los
datos, programas o documentos electrónicos.
- Albergar datos de carácter personal en las unidades locales de disco de
los computadores de trabajo.
- Cualquier fichero introducido en la red corporativa o en el puesto de
trabajo del usuario a través de soportes automatizados, Internet, correo
electrónico o cualquier otro medio, deberá cumplir los requisitos
establecidos en estas normas y, en especial, las referidas a propiedad
intelectual y control de virus.
RECURSOS DE RED
De forma rigurosa, ninguna persona debe:
- Conectar a ninguno de los Recursos, ningún tipo de equipo de
comunicaciones (Ej. módem) que posibilite la conexión a la Red
Corporativa.
- Conectarse a la Red Corporativa a través de otros medios que no sean
los definidos.
- Intentar obtener otros derechos o accesos distintos a aquellos que les
hayan sido asignados.
- Intentar acceder a áreas restringidas de los Sistemas de Información o
de la Red Corporativa.
- Intentar distorsionar o falsear los registros “log” de los Sistemas de
Información.
- Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier
otro elemento de seguridad que intervenga en los procesos telemáticos.
- Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el
trabajo de otros Usuarios, ni dañar o alterar los Recursos Informáticos.
BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA
Los beneficios de un sistema de seguridad con políticas claramente
concebidas bien elaboradas son inmediatos, ya que Esquípulas Café
trabajará sobre una plataforma confiable, que se refleja en los siguientes
puntos:
Aumento de la productividad.
Aumento de la motivación del personal.
Compromiso con la misión de la compañía.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales para los Recursos Humanos.
Debido a las pocas medidas de seguridad que se cuentan en la actualidad
consideramos como un material adicional y de ayuda para la empresa
Esquípulas Café y otras empresa las siguientes sugerencias.
Al realizar el análisis de riesgo, se debe identificar todos los recursos que
corran el riesgo de sufrir una violación de seguridad. Los recursos como el
hardware son bastante obvios para incluirlos en este cálculo, pero en muchas
ocasiones se ignoran recursos tales como las personas que en realidad utilizan
los sistemas. Es importante identificar a todos los recursos de la red que
puedan ser afectados por un problema de seguridad.
Una vez identificado los recursos que requieren protección, usted debe
identificar las amenazas a las que están expuestos. Pueden examinarse las
amenazas para determinar que posibilidad de perdida existe. También debe
identificar que amenazas esta usted tratando de proteger a sus recursos.
La revelación de información, ya sea voluntaria o involuntaria, es otro tipo de
amenaza. Usted debe determinar el valor y delicadeza de la información
guardada en sus computadoras. En el caso de vendedores de hardware y
software, el código fuente, los detalles de diseño, los diagramas y la
información específica de un producto representan una ventaja competitiva.
Existen numerosas cuestiones que deben abordarse al elaborar una política de
seguridad:
¿Quién está autorizado para usar los recursos?
¿Cuál es el uso adecuado de los recursos?
¿Quién está autorizado para conceder acceso y aprobar el uso?
¿Quién puede tener privilegios de administración del sistema?
¿Cuáles son los derechos y las responsabilidades del usuario?
¿Cuáles son los derechos y las responsabilidades del administrador del
sistema, en Comparación con los de los usuarios!
¿Qué hace usted con la información delicada?
Muchas veces, el administrador del sistema necesita recabar información del
directorio privado de un usuario para diagnosticar problemas del sistema. Los
usuarios, por otra parte, tienen el derecho de conservar su privacidad. Existe,
por lo tanto, una contradicción entre el derecho del usuario a la privacidad y las
necesidades del administrador del sistema. Cuando se presentan amenazas a
la seguridad de la red, el administrador del sistema tendrá mayor necesidad de
recabar información de los archivos, incluidos los del directorio base de los
usuarios.
La política de seguridad de la red debe especificar el grado al que el
administrador del sistema pueda examinar los directorios y archivos privados
de los usuarios para diagnosticar problemas del sistema e investigar
violaciones de la seguridad. Si la seguridad de la red esta en riesgo, la política
debe permitir mayor flexibilidad para que el administrador corrija los problemas
de seguridad.
Es necesario contar con un plan de contingencia, cuando la política de
seguridad ha sido vulnerada.
Cada vez que se viola la política de seguridad, el sistema está sujeto a
amenazas. Si no se producen cambios en la seguridad de la red cuando esta
sea violada, entonces debe modificarse la política de seguridad para eliminar
aquellos elementos que no sean seguros.
La política de seguridad y su implementación deben ser lo menos obstructivas
posible. Si la política de seguridad es demasiado restrictiva, o esta explicada
inadecuadamente, es muy probable que sea violada o desactivada.
Al margen del tipo de política que se implemente, algunos usuarios tienen la
tendencia a violarla. En ocasiones las violaciones a la política son evidentes;
otras veces estas infracciones no son detectadas. Los procedimientos de
seguridad que usted establezca deben reducir al mínimo la posibilidad de que
no se detecte una infracción de seguridad.
Cuando usted detecte una violación a la política de seguridad, debe determinar
si esta ocurrió debido a la negligencia de un individuo, a un accidente o error,
por ignorancia de la política vigente o si deliberadamente la política fue pasada
por alto. En este último caso, la violación quizás haya sido efectuada no solo
por una persona, sino por un grupo que a sabiendas realiza un acto en
violación directa de la política de seguridad. En cada una de estas
circunstancias, la política de seguridad debe contar con lineamientos acerca de
las medidas que se deben tomar.
Cuando ocurre una violación, la respuesta puede depender del tipo de usuario
responsable del acto. Las violaciones a la política pueden ser cometidas por
gran variedad de usuarios; algunos pueden ser locales y otros externos. Los
usuarios locales son llamados usuarios internos y los externos, usuarios
foráneos. Por lo general, la distinción entre ambos tipos están basada en los
límites de red, administrativos, legales o políticos. El tipo de limite determina
cual debe ser la respuesta a la violación de la seguridad. Los ejemplos de
respuestas pueden ir desde una reprimenda o advertencia verbal, una carta
formal o la presentación de cargos judiciales.
Usted necesita definir la acción según el tipo de violación. Estas acciones
requieren ser definidas con claridad, con base en el tipo de usuario que haya
violado la política de seguridad de computo. Los usuarios internos y externos
de su red deben estar conscientes de la política de seguridad.
Se podría tener una violación de la política de seguridad en la que el agresor
sea un usuario interno. Esto podrá ocurrir en las siguientes situaciones:
Un usuario local viola la política de seguridad de un sitio local.
Un usuario local viola la política de seguridad de un sitio remoto.
En el primer caso, debido a que se viola la política de seguridad interna, usted
tendrá más control sobre el tipo de respuesta ante esta violación de seguridad.
En el segundo caso, un usuario local ha violado la seguridad de la política de
seguridad de otra organización.
Estrategias que se surgieren
Existen dos tipos de estrategias de respuesta ante incidentes de seguridad:
Proteja y continúe
Persiga y demande
Si los administradores de la política de seguridad sienten que la compañía es
bastante vulnerable, quizás se decidan por la estrategia de proteger y
continuar. El objetivo de esta política es proteger de inmediato a la red y
restablecerla a su situación normal, para que los usuarios puedan seguir
usándola. Para hacer esto, usted tendrá que interferir activamente con las
acciones del intruso y evitar mayor acceso. A esto debe seguir el análisis del
daño causado.
En ocasiones no es posible restablecer la red de inmediato a su funcionamiento
normal; quizás tenga que aislar sus segmentos y apagar sistemas, con el
objeto de evitar más accesos no autorizados en el sistema.
La desventaja de este procedimiento es que los intrusos saben que ya fueron
detectados y tomaran medidas para evitar que sean rastreados. Asimismo, el
intruso puede reaccionar a su estrategia de protección atacando el sitio con
otro método; por lo menos, es probable que el intruso contiene su vandalismo
en otro sitio.
La política de seguridad define lo que necesita protegerse, pero no señala
explícitamente como deben protegerse los recursos y el enfoque general para
manejar los problemas de seguridad. En una sección separada de la política de
seguridad deben abordarse los procedimientos generales que deben
implementarse para evitar problemas de seguridad.
La política de seguridad debe remitirse a la guía del administrador de sistemas
del sitio respecto a detalles adicionales acerca de la implementación de los
procedimientos de seguridad.
Antes de establecer los procedimientos de seguridad, debe evaluar el nivel de
importancia de los recursos de la red y su grado de riesgo.
Establecer una política de seguridad eficaz requiere considerable esfuerzo. Se
necesita cierto esfuerzo para considerar todos los aspectos y cierta disposición
para establecer las políticas en papel y hacer lo necesario para que los
usuarios de la red la entiendan adecuadamente.
La confiabilidad en la política de seguridad
La confidencialidad puede definirse como el hecho de mantener las cosas
ocultas o secretas. Esta es una consideración muy importante para varios tipos
de datos delicados.
Las siguientes son algunas de las situaciones en las que la información es
vulnerable de ser divulgada:
Cuando la información está almacenada en un sistema de cómputo.
Cuando la información está en tránsito hacia otro sistema en la red.
Cuando la información está almacenada en cintas de respaldo.
Política de control
Los controles que usted seleccione serán la primera línea de defensa en la
protección de su red. Estos controles deben representar con precisión lo que
usted intenta proteger, tal como está definido en la política de seguridad. Si las
intrusiones externas son una gran amenaza contra su sistema, quizá no sea
económicamente emplear dispositivos biométricos para autentificar a los
usuarios internos. En cambio, si la amenaza mayor a sus sistemas es el uso no
autorizado de los recursos de computadora por los usuarios internos, usted
necesitar establecer buenos procedimientos de contabilidad automatizados.
Estrategias reservadas
Si el análisis de riesgo indica que proteger un recurso es vital para la seguridad
de la red, necesitará usar diversas estrategias para hacerlo, lo cual le da a
usted la seguridad de que, si una estrategia falla o es alterada, otra puede
entrar en acción y seguir protegiendo el recurso de la red.
Puede resultar más económico y sencillo usar varias estrategias, de fácil
implementación pero eficaces, que seguir una sola estrategia complicada y
sofisticada. Este último es el principio del todo o nada. Si el mecanismo
elaborado es vencido, no hay ninguno de reserva que proteja al recurso.
Ejemplos de controles sencillos son los módems de devolución de llamada, que
pueden usarse en combinación con mecanismos tradicionales de conexión.
Esto puede reforzarse con tarjetas inteligentes y autentificando manuales de un
paso.
La importancia del sistema en la política de seguridad
Si el análisis de riesgo indica que proteger un recurso es vital para la seguridad
de la red, necesitará usar diversas estrategias para hacerlo, lo cual le da a
usted la seguridad de que, si una estrategia falla o es alterada, otra puede
entrar en acción y seguir protegiendo el recurso de la red.
Puede resultar más económico y sencillo usar varias estrategias, de fácil
implementación pero eficaces, que seguir una sola estrategia complicada y
sofisticada. Este último es el principio del todo o nada. Si el mecanismo
elaborado es vencido, no hay ninguno de reserva que proteja al recurso.
Ejemplos de controles sencillos son los módems de devolución de llamada, que
pueden usarse en combinación con mecanismos tradicionales de conexión.
Esto puede reforzarse con tarjetas inteligentes y autentificando manuales de un
paso.
Como proteger la conexión en la red.
Si es probable que el ataque del intruso se realice a través de una red de
conexión externa, como Internet, tal vez tenga que proteger las conexiones con
la red externa.
Puede usarse un dispositivo de firewall para ofrecer un punto de resistencia a
la entrada de intrusos en la red. Además de la firewall puede usarse routers de
selección.
Algunos sitios de la organización necesitan conectarse con otros sitios de la
misma organización, y está prohibido que se conecten a redes externas. Estas
redes son menos susceptibles de amenazas desde fuera de la red de la
organización. De todos modos, pueden ocurrir intrusiones inesperadas a través
de módems de acceso telefónico situados en las estaciones de trabajo de
escritorio de los usuarios.
Cuando se envían archivos o documentos a través de la red, usted debe tener
alguna forma de verificar que éstos no hayan sido alterados. Esto es lo que se
llama integridad de la información y se refiere al proceso de verificar que la
información enviada esté completa y sin cambios con respecto de la última vez
que se verificó. La integridad de la información es importante para instituciones
militares, de gobierno y financieras. También puede ser importante que no se
revele información clasificada, ya sea con o sin modificaciones. La información
que se modifica en forma maliciosa puede crear malas interpretaciones,
confusiones y conflictos.
Si la información se envía en forma electrónica a través de la red, una forma de
asegurar que no se modifique es mediante sumas de verificación. Cualquier
forma de encriptación también ofrece la integridad de la información, ya que el
interceptor tendría que descifrarla primero, antes de modificarla.
Como mantener una política de seguridad actualizada
“Su política de seguridad, además de identificar a las agencias con las que
debe hacer contacto en caso de incidentes de seguridad, debe también
designar a las personas que deban mantenerse actualizadas con las
cuestiones y problemas de seguridad”³.
Si su organización está conectada a Internet, quizá tenga que inscribirse en las
listas de correo o grupos de noticias en los que se discuten temas de seguridad
que son de interés para usted.
Recuerde que se requiere tiempo para mantenerse al día con la información de
las listas de correo y grupos de noticias. A menos que usted identifique a las
personas que deban mantener esta información, y que esta tarea sea parte de
su trabajo, el administrador del sistema probablemente no tendrá tiempo para
hacerlo.
³ Mendoza Alvaro (2009) http//www.programa.com/tutorial/sql/ La seguridad en redes
CONCLUSIONES
Si bien día a día aparecen nuevos y complejos tipos de incidentes, aún se
registran fallas de seguridad de fácil resolución técnica, las cuales ocurren en
muchos casos por falta de conocimientos sobre los riesgos que acarrean. Por
otro lado, los incidentes de seguridad impactan en forma cada vez más directa
sobre las personas. En consecuencia, se requieren efectivas acciones de
concientización, capacitación y difusión de mejores prácticas.
Como hemos visto la seguridad en las redes se ha convertido en un factor
importante en el diseño e implementación de las redes. El administrador de la
red debe estar constantemente implementando medidas de seguridad en la red
con el fin de tener una red confiable y estable.
Las redes inalámbricas están en constante crecimiento y esto representa un
reto para los administradores que tendrán que desarrollar medidas eficaces
para mantener seguras las redes.
Aun con las medidas de seguridad que se implanten, siempre habrá amenazas
en contra de las redes.
Toda empresa, pública o privada, que posean Sistemas de Información
medianamente complejos, deben de someterse a un control estricto de
evaluación de eficacia y eficiencia. Hoy en día, la mayoría de las empresas
tienen toda su información estructurada en Sistemas Informáticos, de aquí, la
vital importancia que los sistemas de información funcionen correctamente.. El
éxito de una empresa depende de la eficiencia de sus sistemas de información.
Una empresa puede contar con personal altamente capacitado, pero si tiene un
sistema informático propenso a errores, lento, frágil e inestable; la empresa
nunca saldrá a adelante.
Bibliografía
Libros
Cook David (2007) Inicie su negocio en Web. Editorial Prentice Hall
Hispanoamericana, S. A.
Sitios Web
GALLEGO CARLOS (2009) http://www.carlosgallego.com/como-inver-menos-
en-adwords.html. Como Invertir Menos y Vender más con seguridad en la Web
Gallego Carlos (2009) http://dominandoadword.com. Estrategias de seguridad
en internet
Rentería Carolina (2008)
http://mercadeoglobal.com/articulos/articles/781/1/Tu-Negocio-en-Internet-
Camino-a-la-Me/Pagina1.html. Tu Negocio en Internet: Seguro a la Meta
Mendoza Alvaro (2009) http//www.programa.com/tutorial/sql/ La seguridad en
redes