Técnico en Seguridad de Redes y Sistemas © 2012, Juan ... · POLÍTICAS Y PRÁCTICAS DE SEGURIDAD...

POLÍTICAS Y PRÁCTICAS DE

SEGURIDAD DE REDES Y SISTEMAS

EN LAS ORGANIZACIONESTécnico en Seguridad de Redes y Sistemas

© 2012, Juan Pablo Quesada Nieves

POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE

REDES Y SISTEMAS EN LAS ORGANIZACIONES

� Tipos de Políticas

� Política de Contraseñas

� Política de Copias de Seguridad

� Recomendaciones para Usuarios Finales

� Monitorización de Nuevas Vulnerabilidades

Técn

ico en S

eguridad de R

edes y Sistem

as


� Planes de Contingencia

� Bibliografía y Recursos Web

2

Técn

ico en S

eguridad de R

edes y Sistem

as








Técn

ico en S

eguridad de R

edes y Sistem

as




3

Técn

ico en S

eguridad de R

edes y Sistem

as

TIPOS DE POLÍTICAS

� La RAE define el término política como “orientacioneso directrices que rigen la actuación de una persona oentidad en un asunto o campo determinado”

� En Seguridad Informática podríamos hablar de

Técn

ico en S

eguridad de R

edes y Sistem

as

� En Seguridad Informática podríamos hablar de“procedimientos y mecanismos a utilizar para llevar acabo la protección de los sistemas informáticos y de suinformación”

� A mencionar tres tipos:� Política de contraseñas� Política de cuentas� Política de copias de seguridad 4

Técn

ico en S

eguridad de R

edes y Sistem

as








Técn

ico en S

eguridad de R

edes y Sistem

as




5

Técn

ico en S

eguridad de R

edes y Sistem

as

POLÍTICA DE CONTRASEÑAS

� No deben estar formadas por palabras queencontremos en un diccionario

� No deben usarse sólo letras mayúsculas o minúsculas� No deben estar formadas exclusivamente por

Técn

ico en S

eguridad de R

edes y Sistem

as

� No deben estar formadas exclusivamente pornúmeros

� No debemos utilizar información personal� No debemos invertir palabras reconocibles� No debemos repetir los mismos caracteres en la

misma contraseña� No debemos escribir la contraseña en ningún sitio� No debemos enviarlas en ningún correo electrónico

que nos las solicite6

Técn

ico en S

eguridad de R

edes y Sistem

as

POLÍTICA DE CONTRASEÑAS

� No debemos comunicarlas a nadie por teléfono� Debemos limitar el número de intentos fallidos� Debemos cambiar las contraseñas de acceso dadas

por defecto

Técn

ico en S

eguridad de R

edes y Sistem

as

por defecto� No debemos utilizar la misma contraseña en las

distintas máquinas o sistemas� Las contraseñas deben caducar y exigir que se

cambien cada cierto tiempo� No debemos permitir que las aplicaciones recuerden

las contraseñas� La longitud de la contraseña debe ser superior a 8

caracteres, recomendable superior a 157

Técn

ico en S

eguridad de R

edes y Sistem

as








Técn

ico en S

eguridad de R

edes y Sistem

as




8

Técn

ico en S

eguridad de R

edes y Sistem

as

POLÍTICA DE COPIAS DE SEGURIDAD

� Una copia de seguridad es una copia de lainformación que se almacena en lugar diferente aloriginal

Técn

ico en S

eguridad de R

edes y Sistem

as

� Las copias de seguridad deben realizarse de todos losarchivos que sean difíciles o imposibles dereemplazar

� Garantizan dos objetivos de la seguridad informática:� Disponibilidad� Integridad

9

Técn

ico en S

eguridad de R

edes y Sistem

as


� Una política de copia de seguridad debe definir:� Tipo de copia

� Periodicidad

Técn

ico en S

eguridad de R

edes y Sistem

as

� Soporte

� Ubicación de los centros de respaldo

10

Técn

ico en S

eguridad de R

edes y Sistem

as


� Tipo de copia� Completa� Diferencial� Incremental

Técn

ico en S

eguridad de R

edes y Sistem

as

� Soporte� CDs, DVDs, Blu-rays regrabables� Cinta� Memorias flash� Discos duros mecánicos� SSDs� … 11

Técn

ico en S

eguridad de R

edes y Sistem

as








Técn

ico en S

eguridad de R

edes y Sistem

as




12

Técn

ico en S

eguridad de R

edes y Sistem

as

RECOMENDACIONES PARA USUARIOS

FINALES

� Evitar el acceso a la BIOS� Proteger el gestor de arranque GRUB� Controlar el acceso a los sistemas� Actualizar todos los parches de seguridad

Técn

ico en S

eguridad de R

edes y Sistem

as

� Actualizar todos los parches de seguridad� Instalar un antivirus y un cortafuegos� No instalar nada que no sea necesario� Cifrar las particiones� Asignar permisos y privilegios especiales� Mantener copias de seguridad

13

Técn

ico en S

eguridad de R

edes y Sistem

as


FINALES

� Monitorizar el sistema (auditoría)� Formar a los usuarios del sistema para que hagan

uso de buenas prácticas� Utilizar contraseñas fuertes

Técn

ico en S

eguridad de R

edes y Sistem

as

� Utilizar contraseñas fuertes� No confiar en correos SPAM con archivos adjuntos� Jamás enviar contraseñas, números de tarjetas de

crédito u otro tipo de información sensible a travésdel correo electrónico

� Hacer uso del sentido común

14

Técn

ico en S

eguridad de R

edes y Sistem

as


FINALES

� Control de acceso a los sistemas� Por algo que el usuario sabe

� Password� PIN� …

Técn

ico en S

eguridad de R

edes y Sistem

as

� Por algo que el usuario posee� Tarjeta de claves� Tarjeta ATM (tarjeta bancaria)� Certificado digital� …

� Por algo que el usuario es� Características biométricas (huella dactilar, iris,

pulsación de teclas, …) 15

Técn

ico en S

eguridad de R

edes y Sistem

as








Técn

ico en S

eguridad de R

edes y Sistem

as




16

Técn

ico en S

eguridad de R

edes y Sistem

as

MONITORIZACIÓN DE NUEVAS

VULNERABILIDADES

� El objetivo final de la seguridad es proteger lo que laempresa posee

� Todo aquello que es propiedad de la empresa se

Técn

ico en S

eguridad de R

edes y Sistem

as

� Todo aquello que es propiedad de la empresa sedenomina activo

� Cualquier daño que se produzca sobre el activotendrá un impacto en la empresa

� Una vulnerabilidad es cualquier fallo quecompromete la seguridad

17

Técn

ico en S

eguridad de R

edes y Sistem

as

MONITORIZACIÓN DE NUEVAS

VULNERABILIDADES

� Un riesgo es la posibilidad de que se produzca unimpacto negativo para la empresa aprovechandoalguna de sus vulnerabilidades

Técn

ico en S

eguridad de R

edes y Sistem

as

18

Técn

ico en S

eguridad de R

edes y Sistem

as








Técn

ico en S

eguridad de R

edes y Sistem

as




19

Técn

ico en S

eguridad de R

edes y Sistem

as

PLANES DE CONTINGENCIA

� El plan de contingencias es un sistema deprocedimientos que indican qué es lo que se debehacer en caso de ocurrir un desastre

Técn

ico en S

eguridad de R

edes y Sistem

as

� Se debe realizar previamente un análisis de riesgos ycontemplar unas medidas de seguridad

� El análisis de riesgos supone imaginarse lo que puedeir mal y, a continuación, estimar el coste quesupondría

20

Técn

ico en S

eguridad de R

edes y Sistem

as

PLANES DE CONTINGENCIA

� Las medidas de seguridad se basan en la definiciónde controles físicos, funciones, procedimientos yprogramas que conlleven no sólo a la protección de laintegridad de los datos, sino también a la seguridadfísica de los equipos y de los ambientes en los que

Técn

ico en S

eguridad de R

edes y Sistem

as

física de los equipos y de los ambientes en los queéstos se encuentran

� En caso de que se produzca un desastre, el primerpaso es que se reúna el comité de crisis para evaluarlos daños

� Habrá que poner en marcha el plan de contingencias 21

Técn

ico en S

eguridad de R

edes y Sistem

as








Técn

ico en S

eguridad de R

edes y Sistem

as




22

Técn

ico en S

eguridad de R

edes y Sistem

as

BIBLIOGRAFÍA Y RECURSOS WEB

� Quesada Nieves, J.P.: “Técnico en Seguridadde Redes y Sistemas”. [En línea]<http://tecnicoseguridadinformatica.blogspot.com>[Consulta 14/02/2012]

Técn

ico en S

eguridad de R

edes y Sistem

as

� Seoane Ruano, C.; Saiz Herrero, A.B.; FernándezÁlvarez, E.; Fernández Aranda, L.: “Seguridadinformática”. McGraw-Hill. 2010

23

Técn

ico en S

eguridad de R

edes y Sistem

as

Técnico en Seguridad de Redes y Sistemas © 2012, Juan ... · POLÍTICAS Y PRÁCTICAS DE SEGURIDAD...

Documents

Transcript of Técnico en Seguridad de Redes y Sistemas © 2012, Juan ... · POLÍTICAS Y PRÁCTICAS DE SEGURIDAD...