Elementos de La Politicas de Seguridad
13
UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS PURAS Y NATURALES CARRERA DE INFORMATICA Elementos de las políticas de Seguridad Integrantes - Baltazar Ortiz Sandra - Berazaín Mallea Adrián Marcelo - Carballo Mamani Lina Judit - Flores Calle Charles Jhonny - Nina Conde Nayra - Ticona Alcon José Luis INF 315
Transcript of Elementos de La Politicas de Seguridad
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS PURAS Y NATURALES
CARRERA DE INFORMATICA
Elementos de las políticas de Seguridad
Integrantes
- Baltazar Ortiz Sandra
- Berazaín Mallea Adrián Marcelo
- Carballo Mamani Lina Judit
- Flores Calle Charles Jhonny
- Nina Conde Nayra
- Ticona Alcon José Luis
INF 315
1
INDICE
Contenido SEGURIDAD FRENTE AL PERSONAL ......................................................................................................... 2
FUNCIONES, OBLIGACIONES Y DERECHOS DE LOS USUARIOS ................................................................ 2
FORMACIÓN Y SENSIBILIZACIÓN DE LOS USUARIOS ............................................................................... 2
ADQUISICIÓN DE PRODUCTOS ................................................................................................................ 3
RELACIÓN CON LOS PROVEEDORES ........................................................................................................ 3
SEGURIDAD FÍSICA DE LAS INSTALACIONES ............................................................................................ 3
SISTEMAS DE PROTECCION ELECTRICA ................................................................................................... 4
CONTROL DE NIVEL DE EMISIONES ELECTROMAGNETICAS .................................................................... 4
VIGILANCIA DE LA RED Y DE LOS ELEMENTOS DE CONECTIVIDAD ......................................................... 5
PROTECCION EN EL ACCESO Y CONFIGURACION DE LOS SERVIDORES .................................................. 5
PROTECCION DE LOS EQUIPOS YESTACIONES DE TRABAJO.................................................................... 5
CONTROL DE LOS EQUIPOS QUE PUEDEN SALIR DE LA ORGANIZACIÓN ................................................ 5
COPIAS DE SEGURIDAD ........................................................................................................................... 6
CONTROL DE LA SEGURIDAD DE IMPRESORAS Y OTROS SISTEMAS PERIFÉRICOS ................................. 6
GESTION DE SOPORTES INFORMATICOS ................................................................................................. 6
GESTION DE CUENTAS DE USUARIO........................................................................................................ 7
IDENTIFICACION Y AUTENTIFICACION DE USUARIOS ............................................................................. 8
AUTORIZACION Y CONTROL DE ACCESO (SEGURIDAD LOGICA) ............................................................. 8
CONTROLES DE ACCESO .......................................................................................................................... 9
MONITORIZACION DE SERVIDORES Y DISPOSITIVOS DE LA RED .......................................................... 10
SEGURIDAD EN LAS CONEXIONES REMOTAS ........................................................................................ 10
DETECCIÓN Y RESPUESTA ANTE INCIDENTES DE SEGURIDAD .............................................................. 11
OTROS ASPECTOS A CONSIDERAR ......................................................................................................... 11
BIBLIOGRAFIA ........................................................................................................................................ 12
COMENTARIO ........................................................................................................................................ 12
2
DESARROLLO
SEGURIDAD FRENTE AL PERSONAL La política de seguridad del sistema informático frente al personal de la organización requiere
contemplar los siguientes aspectos:
Alta De Empleados
El procedimiento de alta de nuevos empleados requiere prestar atención a aspectos como:
La incorporación de determinadas cláusulas de confidencialidad en los contratos.
Sobre todo si la persona en cuestión va a tener acceso a datos sensibles y/o a manejar
aplicaciones críticas dentro del sistema informático.
Definir el procedimiento para la creación de nuevas cuentas de usuario dentro del
sistema.
Una adecuada formación de estos nuevos empleados, trasladando claramente cuáles
son sus obligaciones y responsabilidades en relación con la seguridad de los datos y
las aplicaciones del sistema informático de la organización.
Baja De Empleados
El procedimiento ante una baja de empleados debería quedar claramente definido:
los responsables del sistema informático puedan proceder a la cancelación o bloqueo
inmediato de las cuentas de usuario.
A la revocación de los permisos y privilegios que tenían concedidos.
El procedimiento debe contemplar a la devolución de los equipos, tarjetas de acceso
y otros dispositivos
FUNCIONES, OBLIGACIONES Y DERECHOS DE LOS USUARIOS En función de las distintas atribuciones de los usuarios y del personal de la organización, se
tendrá que establecer quien está autorizado para realizar una serie de actividades y
operaciones dentro del sistema informático.
En relación con el aspecto de seguridad, la organización debe prestar atención a la creación
de cuentas de usuarios y la asignación de permisos de acceso para personal ajeno a esta,
que pueda estar desempeñando con carácter excepcional determinados trabajos o
actividades que requieran de su acceso a algunos recursos del sistema informático de la
organización.
Será necesario establecer qué datos y documentos podrá poseer o gestionar cada empleado.
Todas estas medidas deberían contemplarse con la preparación de una serie de manuales de
normas y procedimientos que incluyesen las medidas de carácter administrativo y organizativo
adoptadas para garantizar la adecuada utilización de los recursos informáticos por parte del
personal de la organización.
FORMACIÓN Y SENSIBILIZACIÓN DE LOS USUARIOS La organización deberá informar puntualmente a sus empleados con acceso al sistema de
información de cuáles son sus obligaciones en materia de seguridad. Asimismo debería llevar
a cabo acciones de formación de forma periódica para mejorar los conocimientos informáticos
y en materia de seguridad de estos empleados.
3
Las personas que se incorporen a la organización tendrán que ser informadas y entrenadas
de forma adecuada
ADQUISICIÓN DE PRODUCTOS La política de seguridad relacionada con la adquisición de productos tecnológicos necesarios
para el desarrollo y mantenimiento del sistema informático de la organización debe contemplar
toda una serie de actividades ligadas al proceso de compra
Evaluación de productos de acuerdo con las necesidades y requisitos del sistema
informático de la organización: características técnicas características específicas de
seguridad.
Evaluación de proveedores y del nivel de servicio que ofrecen: garantías,
mantenimiento, asistencia postventa…
Análisis comparativo de oferta.
Definición de los términos y condiciones de la compra, que deberían estar reflejados
en un contrato previamente establecido por la organización.
Instalación y configuración de los productos.
Formación y soporte a usuarios y a personal técnico.
Actualización de los productos con nuevas versiones y parches de seguridad.
Todas estas actividades deberían ser incluidas en una guía de compras y evaluación de
productos TIC, para garantizar que estos satisfacen las características de seguridad definidas
por la organización.
RELACIÓN CON LOS PROVEEDORES La política de seguridad relacionada con la subcontratación de determinados trabajos y
actividades a proveedores externos requiere contemplar aspectos como la negociación de los
mínimos niveles de servicio y calidad en especial con aquellos proveedores relacionados con
la informática.
Asimismo, debería exigir el cumplimiento de ciertas medidas de seguridad que puedan afectar
al sistema informático de la organización.
En la política de relación con proveedores se deberían estipular las clausulas y exigencias
habituales en la firma de contratos con los proveedores a fin de delimitar las responsabilidades
y los requisitos del servicio contratado.
SEGURIDAD FÍSICA DE LAS INSTALACIONES Las medidas relacionadas con la seguridad física deberían contemplar, las características de
construcción de los edificios o instalaciones donde se vayan a ubicar los recursos informáticos
y del sistema de información, analizando aspectos como los siguientes:
Protección frente a daños por fuego, inundación, explosiones, accesos no autorizados
Selección de elementos constructivos internos más adecuados puertas, paredes,
suelos falsos, etc.
Definición de distintas áreas o zonas de seguridad dentro del edificio: áreas públicas,
áreas internas, áreas de acceso restringido.
Disponibilidad de zonas destinadas a la carga, descarga y almacenamiento de
suministros.
4
Implantación de sistemas de vigilancia basados en cámaras en circuito cerrado de
televisión y en alarmas y detectores de movimiento.
Control de las condiciones ambientales en las instalaciones mediante un sistema
independiente de ventilación, calefacción, aire acondicionado, etc.
En lo que se refiere al control de acceso y protección física de los equipos informáticos más
sensibles, como los servidores y estaciones de trabajo, estos deberían estar ubicados en salas
especiales acondicionadas con puertas dotadas de cerraduras de seguridad habilitando un
control de acceso mediante llaves, tarjetas electrónicas u otros.
SISTEMAS DE PROTECCION ELECTRICA Las directrices de seguridad relacionadas con la protección eléctrica de los equipos
informáticos deberían definir aspectos como lo que se indica a continuación:
Adecuada conexión de los equipos a la toma de tierra
Revisión de la instalación eléctrica específica para el sistema informático.
Eliminación de la instalación eléctrica estática de las salas donde se ubiquen los
equipos más importantes, como los servidores.
Filtrado de ruidos e interferencias electromagnéticas que pueden afectar el normal
funcionamiento de los equipos.
Utilización de Sistemas de Alimentación Ininterrumpida (SAI).
Por lo tanto, para proteger la seguridad de los servidores más importantes frente a fallos en
el suministro eléctrico o sobretensiones, la empresa podría disponer de un SAI conectado a
cada una de esas máquinas, configurado de tal modo que, atreves de una conexión vía puerto
serie o USB, se pueda facilitar el cierre ordenado de las bases de datos y el apagado
automático del servidor en caso de un corte prolongado del suministro eléctrico.
CONTROL DE NIVEL DE EMISIONES ELECTROMAGNETICAS
El estándar TEMPEST fue desarrollado por el gobierno de los Estados Unidos en los años
cincuenta para poder controlar el nivel de emisiones electromagnéticas de todo tipo de
equipos informáticos y electrónicos.
Para poder cumplir con los requisitos de esta norma, se deberían adoptar medidas como las
siguientes:
Diseño cuidadoso de los componentes, de los circuitos y de las fuentes de
alimentación de los equipos informáticos y electrónicos.
Utilización de diversos tipos de filtros para atenuar al nivel de las emisiones
electromagnéticas.
Aislamiento de los equipos informáticos que puedan procesar datos sensibles.
Utilización de cables de fibra óptica o cables apantallados (STP3) en sustitución de los
convencionales de cobre sin aislar.
Apantallamiento eléctrico de los equipos para reducir al máximo la emisión de
radiaciones (inclusión en una “jaula de Faraday “).
Por otra parte, la organización también debe preocuparse de estudiar la ubicación de la sala
donde se encuentran los servidores y equipos informáticos más importantes, para minimizar
5
las interferencias electromagnéticas provenientes de distintas fuentes internas y externas:
motores, transformadores eléctricos, emisoras de radio, sistemas de radar, etc.
VIGILANCIA DE LA RED Y DE LOS ELEMENTOS DE CONECTIVIDAD
Los dispositivos de red, como los hubs, switches, routers o puntos de acceso inalámbricos,
podrían facilitar el acceso a la red a usuarios no autorizados si no se encuentran protegidos
de forma adecuada.
Por este motivo, en las políticas de seguridad se deberían contemplar las medidas previstas
para reforzar la seguridad de estos equipos y de toda la infraestructura de red.
PROTECCION EN EL ACCESO Y CONFIGURACION DE LOS SERVIDORES
Los servidores, debido a su importancia para el correcto funcionamiento de muchas
aplicaciones y servicios de la red de la organización y a que suelen incorporar información
sensible, tendrían que estar sometidos a mayores medidas de seguridad en comparación con
los equipos de los usuarios.
Estas medidas, que deberían estar definidas en las políticas de seguridad, podrían contemplar
aspectos como los que se citan a continuación:
Utilización de una contraseña a nivel de BIOS para proteger el acceso a este elemento
que registra la configuración básica del servidor.
Utilización de contraseñas de encendido del equipo.
Inicio de sesión con tarjetas inteligentes (“Smart cards”) y/o técnicas biométricas
Ubicación de los servidores en salas con acceso restringido y otras medidas de
seguridad físicas.
Separación de los servicios críticos: se deberían procurar que los servicios más
importantes para la organización dispongan de una o varias máquinas en exclusiva.
Configuración más robusta y segura de los servidores.
PROTECCION DE LOS EQUIPOS YESTACIONES DE TRABAJO Los equipos de los usuarios y estaciones de trabajo también deben estar sometidos a las
directrices establecidas en las Políticas de Seguridad de la organización.
En estos equipos solo se deberían utilizar las herramientas corporativas, quedando totalmente
prohibida la instalación de otras aplicaciones software en los ordenadores PC de la empresa
por parte de sus usuarios. En cualquier caso, el usuario del equipo debería solicitar la
aprobación del Departamento de Informática antes de proceder a instalar un nuevo programa
o componente software en su equipo (controles ActiveX y plugins descargados desde internet,
barras de ayuda para el navegador Web, etc.).
CONTROL DE LOS EQUIPOS QUE PUEDEN SALIR DE LA ORGANIZACIÓN Las políticas de seguridad también deberían presentar atención al control de los equipos que
pueden salir de la organización como los ordenadores portátiles agendas electrónicas… como
norma general los equipos y medios informáticos de la organización no podrán ser sacados
fuera de sus instalaciones por los empleados sin la correspondiente autorización. Para ello se
establecen medidas, procedimientos y controles de seguridad para los equipos que deban
usarse fuera de los locales de la empresa de forma que estén sujetos a una protección
equivalente a la de los equipos interno
6
COPIAS DE SEGURIDAD Para garantizar la plena seguridad de los datos y de los ficheros de una organización no solo
es necesario contemplarla protección de la confidencialidad sino que también se hace
imprescindible salvaguardar su integridad y disponibilidad. Para garantizar estos dos aspectos
fundamentales de la seguridad es necesario que existan unos procedimientos de realización
de copias de seguridad y de recuperación que en caso de fallo del sistema informático permita
recuperar y en su caso reconstruir los datos y los ficheros deñados o eliminados
Por copia de respaldo o de seguridad backup se entiende una copia de los datos de un fichero
automatizado en un soporte que posibilite su recuperación
La política de copias de seguridad debería establecer la planificación de las copias que se
deberían realizar en función del volumen y tipo de información generada por el sistema
informático, especificando el tipo de copias (completa incremental o diferencial) y el ciclo de
esta operación (diario semanal)
Las copias de seguridad de los datos y ficheros de los servicios deberían ser realizadas y
supervisadas por personal debidamente autorizado. No obstante si existen datos o ficheros
ubicados en equipos de usuarios sin conexión a la red podría ser el propio usuario el
responsable de realizar las copias de seguridad en los soportes correspondientes.
CONTROL DE LA SEGURIDAD DE IMPRESORAS Y OTROS SISTEMAS
PERIFÉRICOS Las impresoras y otros periféricos también pueden manejar información sensible de la
organización, por lo que su seguridad deberá ser contemplada a la hora de definir e
implementar las políticas de seguridad.
En lo que se refiere a la protección física de las impresoras y otros periféricos, estas no
deberán estar situadas en áreas públicas. Además a la hora de controlas las salidas impresas,
la organización debería insistir en la necesidad de que sea el propio usuario del sistema
informático que envié un documento a la impresora el que asuma su responsabilidad para
evitar que dicho documento pueda caer en manos de personas no autorizadas.
Por otra parte, la definición e implementación de las medidas de protección lógica permitirán
limitar el acceso de los usuarios a cada impresora o periférico compartido a través de la red
de la organización.
GESTION DE SOPORTES INFORMATICOS La organización debería disponer de un inventario actualizado de los soportes donde se
guarden datos y documentos sensibles: disquetes, CD’s, DVD´s, pen drives, etc.
Estos soportes, cuando contienen datos o ficheros especialmente sensibles, deberían estar
almacenados en un lugar con acceso restringido al personal autorizado (la propia sala de
servidores por ejemplo) para evitar que otras personas pudieran obtener información de
dichos soportes.
- Códigos de identificación del soporte
- Etiqueta lógica del soporte
- Tipo de soporte
- Fecha de registro del soporte
- Tipo de información que va a contener
7
- Formato de la información contenida
La salida de soportes que contengan datos sensibles o de carácter de personal fuera de los
locales y equipos informáticos de la organización solo podrá ocurrir si se cuenta con la debida
autorización solo podrá ocurrir si se cuenta con la debida autorización de un responsable del
sistema informático. En algunos casos, esta autorización se dará por escrito, registrando en
ella los datos identificativos del soporte en cuestión, la fecha de salida y el organismo o
institución a la que se envía el soporte.
- Tipo de soporte
- Fecha y hora de entrada y salida del soporte
- Emitir destinatario del soporte
- Numero de soportes
- Tipo de información que contienen los soportes
- Formato de la información que contienen los soportes
- Forma de envió de los soportes
- Persona que se encarga del envió/recepción del paquete
Registro de entradas y de salidas de soportes
La política de gestión de soportes también debería contemplar las medidas necesarias para
garantizar una adecuada protección de estos soportes durante un traslado y su
almacenamiento, tanto en lo que se refiere a la protección física (para que no puedan ser
robados, sustituidos por otros falsos o dañados) como a la protección lógica (para que los
datos almacenados en los soportes no puedan ser leídos, copiados o modificados). Asimismo,
es necesario definir cuál va a ser el papel de la persona o transportista que actué de custodio
de los soportes.
Estos dispositivos de almacenamiento externo representan nuevas amenazas para la
seguridad de los sistemas informáticos, ya que permiten extraer de forma rápida y sencilla
grandes cantidades de datos y ficheros. Además, estos dispositivos también podrían facilitar
la introducción de programas dañinos dentro del sistema informático de la organización
saltándose las protecciones de la red cortafuegos perimetrales, antivirus. Incluso algunos de
estos dispositivos podrían ser utilizados para arrancar directamente un equipo informático
desde la BIOS. Evitando la carga del sistema operativo y la consiguiente aplicación de las
políticas de seguridad que haya sido establecidas por la organización.
GESTION DE CUENTAS DE USUARIO
En esta dependerá el correcto funcionamiento de otras medidas de seguridad, es necesario
definir la potestad de autorizar la creación de cuentas de usuario y los privilegios
administrativos que se le da, y se debe especificar hasta qué punto se dará permisos de
administración de la cuenta.
Las políticas de seguridad deberían establecer revisiones periódicas de administración de
cuentas, y los permisos de acceso permitidos como: Revalidación anual de usuarios y grupos
dentro del sistema, Asignación de permisos y privilegios teniendo en cuenta las necesidades
operativas de cada usuario con función de su puesto de trabajo, Modificaciones de permisos
derivadas de cambios en la asignación de funciones d4 un empleado procediendo al registro
de dichas modificaciones , Detección de actividades no autorizadas, como podrían ser las
conexiones a horas extrañas o desde equipos que no se habían contemplado inicialmente y
8
Detección y bloqueo de cuentas inactivas, entendiendo como tales aquellas que no hayan
sido utilizadas en los últimos meses.
La organización debe actuar en el caso de bajas del sistema, procedimiento a la renovación
de permisos y cancelación de cuentas afectadas.
También debe tener en cuenta la eliminación de documentación e información personal de los
usuarios que hayan causado baja en el sistema.
IDENTIFICACION Y AUTENTIFICACION DE USUARIOS
Constituye como un elemento de seguridad conocido como “AAA” (Authetication, Autorization
& Accounting), este modelo se usa para identificar a los usuarios y controlar su acceso a los
distintos recursos del sistema informático, registrando además como se usan dichos recursos.
- Identificación y autenticación de los usuarios: La identificación determina la
identidad para el acceso y la autenticación valida la identidad del usuario.
- Control de acceso-Se da Mediante la autorización en función a los permisos y
privilegios de usuarios.
- Registro de uso de los recursos del sistema por parte de usuarios mediante registros
de actividades.
Con respecto al proceso de identificación del usuario, puede basarse mediante: contraseñas,
PIN’s, tarjeta de crédito, teléfono móvil, llave USB, huella digital(Biométrico),firma manuscrita,
dirección IP(que determina la ubicación del usuario), Mayormente es usado el identificador de
usuario y el password, para verificar autenticación, de tal modo que la contraseña debería
tener un mínimo de 6 caracteres, un periodo de validez, estar en un registro relacionada con
el DNI del usuario para que no ser repetida, debe ser bloqueada después de intentos fallidos,
etc.
Los usuarios deben aplicar las mínimas normas de seguridad que deberían ser definidas en
la política de gestión de contraseñas del sistema: Cambiar la contraseña después de una vez
iniciar sesión por primera vez, la contraseña no debe ser escrita en papeles, archivos o
documentos sin encriptar, se debe cambiar la contraseña después de situaciones de
emergencia y en caso de sospecha, y el usuario no debe emplear la misma contraseña para
acceso a distintos sistemas.
La política de seguridad debería de establecer procesos de autenticación única y eliminación
de contraseñas guardadas en caso de programas espías o snniffers
AUTORIZACION Y CONTROL DE ACCESO (SEGURIDAD LOGICA) La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y
no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el
procedimiento correcto.
9
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos. 7. Que se disponga de pasos alternativos de emergencia para la transmisión de
información.
CONTROLES DE ACCESO Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información y para resguardar la información confidencial de accesos no autorizados. Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica. Identificación y autentificación Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios. Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación. Modalidad de acceso Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:
Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa.
Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.
Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema El borrado es considerado una forma de modificación.
Creación: permite al usuario crear nuevos archivos, registros o campos.
Búsqueda: permite listar los archivos de un directorio determinado. Control de acceso interno
Palabras claves (passwords).
Encriptación.
Listas de control de accesos.
Limites sobre la interface de usuario.
Etiquetas de seguridad. Control de acceso externo
Dispositivos de control de puertos.
Firewalls o puertas de seguridad.
Acceso de personal contratado o consultores.
Acceso público.
10
MONITORIZACION DE SERVIDORES Y DISPOSITIVOS DE LA RED No basta con instalar una herramienta de monitoreo de red. Para conseguir una monitorización efectiva tenemos que configurar el software de modo que supervise los signos vitales de la red: disponibilidad, velocidad y actividad. El monitoreo de la disponibilidad de red comprueba si los servicios ofrecidos están en funcionamiento y si tantos los usuarios internos como externos (si apropiado) pueden acceder a ellos. Incluye el monitoreo de páginas web, servidores de correo electrónico, y conexiones de Internet. El monitoreo del ancho de banda y de la velocidad de red evita que nuestros páginas web y servicios de red pierden visitantes debido a páginas, ficheros o imágenes que tardan mucho en cargar. El monitoreo de la actividad de red nos sirve para evaluar las cargas que los equipos de red tienen que sostener y para ver las tendencias de utilización. Mientras que un sistema de detección de intrusiones monitoriza una red de amenazas del exterior, un sistema de monitorización de red monitoriza la red buscando problemas causados por servidores sobrecargados y/o caídos, conexiones de red, u otros dispositivos. Por ejemplo, para determinar el status de un web server, un software de monitorización puede enviar periódicamente un pedido de HTTP para buscar una página. Para servidores email, un mensaje de prueba puede ser enviado a través de SMTP y recuperado por IMAP] o POP3. Normalmente las únicas métricas de medición son tiempo de respuesta, disponibilidad y tiempo de funcionamiento, aunque las métricas de consistencia y fiabilidad están empezando a ganar popularidad. PROTECCION DE DATOS Y DOCUMENTOS SENSIBLES El acceso no autorizado a la información en tu computadora o dispositivo de almacenamiento portátil puede llevarse a cabo de manera remota, si el 'intruso' es capaz de leer o modificar tus datos a través de la Internet, o físicamente, si logra apoderarse tu hardware. Puedes protegerte de estos tipos de amenaza mejorando la seguridad física y de la red de tus datos.
1. Proteger tu computadora de software malicioso (malware) y de piratas informáticos (hackers)
2. proteger tu información de amenazas físicas. 3. No herede sus datos a desconocidos. 4. Uso de contraseñas y cifrado a diario 5. Aprenda a manejar su información sensible 6. Las políticas de seguridad
SEGURIDAD EN LAS CONEXIONES REMOTAS Las políticas relacionadas con las conexiones remotas en una organización deben estar orientadas principalmente a delegaciones y otras dependencias de la misma desde un punto de vista geográfico, como ser sucursales, edificios anexos, etc. Como segundo objetivo, estas políticas deben contemplar los equipos de clientes fuera de la organización que acceden a los servicios informáticos de la organización. Esto con el fin de evitar ataque externos e internos a la institución. El tema de la seguridad en los clientes remotos requiere de cuidado especial, porque si bien se puede tener control del tráfico dentro de las dependencias dentro de la organización, los equipos de los clientes son más vulnerables ya que están expuestos a la introducción de virus y códigos dañinos. La mejor forma de mejorar la seguridad en este caso es mediante medidas de seguridad en la plataforma de software que está destinado a los mismos con el fin de
11
proteger la información dentro de la organización y no así el equipo del usuario. Las medidas impuestas deben verse desde un punto de vista del cuidado de la información que se envía y a la que el usuario puede acceder, por esto se debe buscar aislar los equipos remotos mediante la limitación de los permisos a los que tienen acceso y el registro de la actividad de los mismos, no se debe enviar más información de la que sea necesaria para cumplir con los requerimientos a los que están orientados. Las políticas de seguridad en la organización son muy importantes a la hora de permitir conexiones remotas y las mismas deben ser específicas, claras y concretas; las mismas deben orientarse principalmente en las solicitudes y situaciones en las que se permite la conexión remota, la configuración del equipo remoto y la documentación que se debería entregar al usuario remoto referente a la seguridad del mismo. La configuración del equipo remoto debe contemplar principalmente el software instalado y la configuración de seguridad del equipo entre otros, esto con el fin de tener cierto control del equipo remoto y protegerlo de alguna forma de instalaciones de virus u otro código perjudicial al equipo y últimamente a la información de la organización. La documentación a entregarse al usuario remoto es de vital importancia pues no sólo da una guía de procedimientos de seguridad básicos, sino que además enmarca las condiciones de uso de la conexión remota, da referencias de personas para notificar cualquier incidencia y en general encuadra un marco de trabajo para su equipo dando recomendación y normas del mismo.
DETECCIÓN Y RESPUESTA ANTE INCIDENTES DE SEGURIDAD La organización debe definir procedimientos de notificación y tratamiento de los contratiempos en cuanto a la seguridad, esto se logra mediante software especializado en detección de intrusiones, creación de una base de datos en la que se guarde un registro de incidencias. El Registro de Incidencias debe almacenar datos como tipo de incidencia, fecha, descripción, efectos y consecuencias, etc. esto con el fin de tener un control detallado de las mismas y poder prevenir futuros contratiempos, ataques externos o perseguir a los responsables de los mismos. Una incidencia no siempre debe considerarse como una agresión al sistema, también pueden considerarse como incidencias casos como el malfuncionamiento de equipos o el olvido de la contraseña de un usuario.
OTROS ASPECTOS A CONSIDERAR Seguridad en el desarrollo, implantación y mantenimiento de aplicaciones informáticas Se deben tener normas claras en cada área de la organización concerniente a las aplicaciones informáticas. Las pruebas de nuevas aplicaciones deben ser siempre individualmente del sistema actual y no se deben poner datos reales hasta que se garantice su funcionamiento seguro. Seguridad en las operaciones de administración y mantenimiento de la red y de los equipos Los encargados de seguridad, deben crear planes de actualización de software de seguridad en los equipos para subsanar agujeros de seguridad conocidos, así como procedimientos para respetar los requisitos mínimos de seguridad. Creación, manejo y almacenamiento de documentos relacionados con la seguridad del sistema informático Es recomendable tener una base de documentación organizacional interna que los usuarios puedan consultar en caso de tener consultas respecto a su trabajo, así podría reducirse el uso de internet y de esta forma accesos indeseados. Cumplimiento de la legislación vigente Las políticas de seguridad deben ir siempre acorde a las normas de seguridad del país y hacer referencia a las mismas al momento de ser redactadas.
12
Actualización y revisión de las medidas de seguridad Se debe tener siempre un encargado de la actualización y revisión de las medidas de seguridad definidas ya que podrían existir nuevas formas de vulnerar la seguridad de la empresa, para ello se puede ayudar de boletines de seguridad que existen en diversos lugares de la web.
BIBLIOGRAFIA
Enciclopedia de la seguridad informática de Álvaro Gómez
https://info.securityinabox.org/es/chapter-4
Artículo: Seguridad informática. Control de acceso Disponible en: "www.mygnet.com" Consultado: 23 de enero de 2012.
Rodríguez Berzosa, Luís. Control de accesos: De la era mainframe a las PKI. Disponible en: "www.mygnet.com". Consultado: 23 de enero de 2012.
COMENTARIO Dentro de los elementos de las políticas de seguridad debe tomarse en cuenta cómo cifrar información en una computadora, los riesgos que podrían afrontarse por mantener los datos cifrados al igual que como proteger datos en memorias extraíbles USB, en caso de que estas se pierdan o sean robadas, por otra parte la seguridad de la organización depende en gran parte de las medidas y políticas preventivas que se tomen para prevenir ataques externos. Las conexiones remotas presentas varios puntos de vulnerabilidad y deben ser previstos antes de su implementación. Detectar incidentes menores de vulneración de seguridad o irregularidades ayuda a prevenir ataques y reaccionar rápidamente a los mismos.
