Politicas de Seguridad Computacional Material de referencia Siler Amador Donado Cuefry L. Agredo Mndez Carolina A. Carrascal Reyes PRIMERA EDICION FACUL1AD DE IACEAIERIA ELEC1RAICA Y 1ELECOMUAICACIOAES DEPARTAMENTO DE INGENIERIA DE SISTEMAS POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 2 MATERIAL DE REFERENCIA SEGURIDAD FISICA PCs, servidores, routers, hubs, switches, mantenimientos... etc. SEGURIDAD LOGICA Software, virus, backups, licencias, mantenimient os...etc. SEGURIDAD LOCATIVA Puntos de acceso, bodegas, areas restringidas, oficinas, ...etc. Autores SILER AMADOR DONADO GUEFRY L. AGREDO MNDEZ CAROLINA A. CARRASCAL REYES Ereeware literario: Prohibido el uso comercial. Ninguna parte de este libro puede ser reproducida o transmitida de ninguna manera y por ningun medio, electronico o mecanico, incluyendo la fotocopia, la grabacion, o cualquier otro sistema de almacenamiento y recuperacion de informacion, sin permiso escrito de los autores o de la Universidad del Cauca. Para mayor informacion, dirijase a samadorucauca.edu.co. Copyright (c) 2002 Siler Amador Donado POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 3 TABLA DE CONTENIDO AGRADECIMIENTOS...................................................................................................................................... 5 PROLOGO ......................................................................................................................................................... 6 1 INTRODUCCION................................................................................................................................ 7 1.1 Seguridad logica.................................................................................................................................. 8 1.1.1 Disponibilidad de la informacion................................................................................................ 8 1.1.2 Confidencialidad de la informacion............................................................................................ 8 1.1.3 Integridad de la informacion....................................................................................................... 8 1.1.4 Consistencia del sistema............................................................................................................. 8 1.1.5 Autenticacion.............................................................................................................................. 8 1.1.6 Control de acceso al sistema....................................................................................................... 8 1.1.7 Auditoria de programas............................................................................................................... 8 1.2 Seguridad fisica................................................................................................................................... 9 1.2.1 Disponibilidad del equipo computacional................................................................................... 9 1.2.2 Confidencialidad del equipo computacional............................................................................... 9 1.2.3 Integridad del equipo.................................................................................................................. 9 1.2.4 Consistencia del equipo.............................................................................................................. 9 1.2.5 Autenticacion del equipo ............................................................................................................ 9 1.2.6 Control de acceso al equipo........................................................................................................ 9 1.2.7 Auditoria del equipo ................................................................................................................. 10 1.3 Seguridad locativa............................................................................................................................. 10 1.3.1 Disponibilidad del espacio fisico.............................................................................................. 10 1.3.2 Confidencialidad del espacio fisico.......................................................................................... 10 1.3.3 Integridad del espacio fisico..................................................................................................... 10 1.3.4 Consistencia del espacio fisico................................................................................................. 10 1.3.5 Autenticacion del espacio fisico................................................................................................ 10 1.3.6 Control de acceso a las areas de la entidad ............................................................................... 10 1.3.7 Auditoria del espacio fisico....................................................................................................... 11 2 CONCEPTOS SOBRE SEGURIDAD COMPUTACIONAL............................................... 12 2.1 Conceptos basicos............................................................................................................................. 12 2.2 Organizacion de la seguridad............................................................................................................ 13 2.3 Politicas y procedimientos de seguridad........................................................................................... 13 3 EUNCIONES DE LA ADMINISTRACION DE UNA RED DE DATOS ....................... 19 3.1 Administracion de Servidores y Servicios........................................................................................ 19 3.1.1 Eunciones Administrativas........................................................................................................ 19 3.1.2 Eunciones Tecnicas................................................................................................................... 19 3.2 Administracion de Infraestructura de Red........................................................................................ 20 3.2.1 Eunciones Administrativas........................................................................................................ 20 3.2.2 Eunciones Tecnicas................................................................................................................... 20 3.3 Atencion a Usuarios.......................................................................................................................... 20 3.3.1 Eunciones Tecnicas................................................................................................................... 20 4 LINEAMIENTOS PARA LA CREACION DE POLITICAS DE SEGURIDAD .......... 21 4.1 Politicas de configuracion................................................................................................................. 22 4.2 Politicas de mantenimiento............................................................................................................... 22 4.3 Politicas de reaccion o contingencia................................................................................................. 22 4.4 Establecer las reglas.......................................................................................................................... 22 4.5 Velar por el estricto cumplimiento.................................................................................................... 23 4.6 Como tratar las infracciones ............................................................................................................. 24 4.7 Anular una cuenta............................................................................................................................. 24 4.8 Restringir las horas de acceso........................................................................................................... 24 4.9 Limitar los recursos........................................................................................................................... 24 4.10 Limitar el espacio en el sistema de archivos..................................................................................... 24 4.11 Limitar el acceso a los dispositivos................................................................................................... 24 POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 4 4.12 Limitar el acceso a programas .......................................................................................................... 24 5 POLITICAS PARA EL USO DE CUENTAS DE CORREO ELECTRONICO............. 25 5.1 Normas para el uso de las cuentas de correo electronico.................................................................. 25 5.2 Recomendaciones para el uso de las cuentas de correo electronico.................................................. 25 5.3 Recomendaciones sobre la utilizacion de las listas de interes........................................................... 26 5.4 Utilizacion correcta de las cuentas de correo electronico................................................................. 26 5.5 Ataque y proteccion a las cuentas de correo electronico................................................................... 27 5.6 Sanciones por faltas sobre el uso de las cuentas de correo electronico............................................. 27 6 GLOSARIO.......................................................................................................................................... 28 7 BIBLIOGRAEIA................................................................................................................................. 31 POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 5 AGRADECIMIENTOS De Siler. Primero que todo a Dios, por brindarnos la salud y la oportunidad de culminar este texto. A los estudiantes de la ELECTIJA DE SEGURIDAD COMPUTACIONAL, quienes colaboraron con sus talleres y practicas en la elaboracion de este texto. A los integrantes del grupo de investigacion GTI (Grupo en Tecnologias de la Informacion) del Departamento de Ingenieria de Sistemas de la UNIJERSIDAD DEL CAUCA en la linea de SEGURIDAD COMPUTACIONAL, quienes a traves de sus investigaciones en materia de seguridad computacional colaboraron con mucha de la teoria de este texto. A los profesores del Departamento de Ingenieria de Sistemas, quienes brindaron el apoyo logistico y la infraestructura necesaria para la culminacion de este texto. A mi esposa Claudia y mi hija Yuliana, quienes sin su apoyo este texto no hubiese sido posible terminarlo al fin. Y a todos aquellos que me colaboraron directa o indirectamente en el desarrollo de este texto. De Guefrv. Al igual que Siler primero que todo a Dios, por darnos los medios para culminar este texto. A Luisa, por su paciencia mientras realizaba esta labor. A los monitores de la RED DE DATOS, quienes colaboraron al facilitar informacion obtenida de la experiencia y la practica. De Carolina. A Dios por todo lo que nos da. A mi familia por su apoyo incondicional. A Siler y Guefry por hacerme participe de este proyecto. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 6 PROLOGO Este texto tiene como objetivos dar conocer las politicas de seguridad ademas de aprender a disear, desarrollar, controlar y auditar las politicas que se requieran, sujetas a los servicios, obligaciones e infraestructura organizacional y computacional. El proposito de este material es servir como guia de referencia en la asignatura de la electiva de Seguridad Computacional y texto de consulta para el grupo de investigacion GTI en la EIET (Eacultad de Ingenieria Electronica) del Departamento de Ingenieria de Sistemas de la Universidad del Cauca y la Administracion de la Red de Datos de la Universidad del Cauca Aunque no es requisito, es importante tener claro los conceptos de sistemas operativos y redes de computo. Por ello se deja que sea el lector quien investigue sobre estos temas y el trabajo se centrara exclusivamente en el diseo y desarrollo de politicas en seguridad computacional. Las politicas en las empresas no deben ser vistas como ordenes o leyes autoritarias, sino como mecanismos de control que facilitan la auditoria de los procedimientos, equipos, funcionarios y sus funciones. "La ignorancia siempre nos hace ser unos irresponsables muy atrevidos" (Relis) POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 7 1 INTRODUCCION eguridad, viene del latin Securitate, que significa calidad de seguro y computacional del griego Computare, que significa usar el calculo numerico para medir algo. Las politicas de seguridad computacional son normas materializadas en documentos que describen la forma correcta y adecuada del uso de los recursos computacionales, las responsabilidades y derechos que administradores y usuarios tienen, ademas de las medidas de contingencia para cada inconveniente computacional en caso de catastrofes, donde prima salvaguardar la integridad de las personas y le sigue en jerarquia salvaguardar la integridad de la informacion antes que cualquier maquinaria y equipo, claro esta sin dejar de lado la importancia que el hardware requiere, pero como ultima prioridad. Las politicas no deben limitarse unicamente al hardware y software, tambien le concierne el uso adecuado de las instalaciones donde se aplican, es decir, que regulen el acceso del personal, tanto de forma logica como fisica. Las politicas de seguridad computacional ayudan a que la educacion de cada una de las personas que tienen a cargo la responsabilidad de mantener la integridad, confidencialidad, consistencia, disponibilidad, autenticacion, control v auditoria de la informacion de los demas empleados sea muy importante para la entidad. Desde el funcionario de mas bajo cargo de la entidad en cuestion hasta el de mas alto, juegan un papel importante en el diseo, desarrollo y aplicacion de las politicas de seguridad computacional . Las politicas de seguridad computacional deben dividirse segun tres aspectos basicos: Seguridad logica, fisica y locativa. Ademas se deben tener en cuenta los manuales de funciones y procedimientos de cada cargo, para que se diseen las politicas de acuerdo al rol que desempea cada empleado. Es muy importante conocer detalladamente los servicios computacionales para que se desarrollen las politicas por servicios correspondientes. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 8 1.1 Seguridad lgica La seguridad logica se define como todos aquellos recursos computacionales logicos o programas (Sistemas operativos, programas de desarrollo, bases de datos, editores, entre otros.) que intervienen en el manejo de la informacion, ademas de los procedimientos realizados en el manejo y administracion de programas. La educacion de los usuarios en el manejo correcto de los programas y la informacion que estos procesan, es fundamental a la hora de medir los diferentes aspectos de la seguridad logica, como son: 1.1.1 Disponibilidad de la informacion La informacion debe estar siempre disponible a la mano del usuario que necesite de la misma. 1.1.2 Confidencialidad de la informacion El usuario que dispone de la informacion debe estar previamente autori:ado por el administrador del sistema, es decir que el usuario debe tener los privilegios adecuados para el acceso de la informacion 1.1.3 Integridad de la informacion No se debe realizar ningun tipo de operacion sobre la informacion por personal que no este autorizado. 1.1.4 Consistencia del sistema Los objetivos y procedimientos del sistema deben cumplirse como se planteo en el manual del sistema, cualquier cambio debe ser realizado por personal autorizado. 1.1.5 Autenticacion El ingreso al sistema debe ser unicamente por usuarios debidamente autori:ados con los accesos y privilegios respectivos al sistema. 1.1.6 Control de acceso al sistema Deben existir procedimientos o sistemas de control automatizados que le permitan al administrador conocer en cualquier momento los accesos al sistema por usuarios autorizados o no. 1.1.7 Auditoria de programas Deben existir procedimientos o sistemas de control automatizados que le permitan al administrador conocer en cualquier momento las actividades reali:adas durante los accesos a los programas por usuarios autorizados o no. Ademas se debe controlar la instalacion o desinstalacion de programas licenciados o no. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 9 1.2 Seguridad fsica La seguridad fisica se define como los mecanismos para asegurar el correcto funcionamiento de aquellos recursos fisicos o equipos computacionales (Servidores, estaciones de trabafo, video camaras, unidades de backup, routers, switches, hubs, backbone, entre otros.) que intervienen en el manejo de los datos o informacion, ademas de los procedimientos realizados en el manejo y administracion de los equipos computacionales. La educacion de los usuarios en el manejo correcto de la infraestructura computacional que estos utilizan, es fundamental a la hora de medir los diferentes aspectos de la seguridad fisica, como son: 1.2.1 Disponibilidad del equipo computacional El equipo debe estar siempre disponible 'a la mano` del usuario que necesite del mismo y siempre y cuando este se encuentre debidamente autorizado para usarlo. 1.2.2 Confidencialidad del equipo computacional El usuario que dispone del equipo debe estar previamente autori:ado por el personal encargado de administrar los equipos computacionales, en caso contrario deben existir los mecanismos de control adecuados. 1.2.3 Integridad del equipo No se debe realizar ningun tipo de operacion sobre el equipo computacional por personal que no este autorizado, en caso contrario deben existir los mecanismos de control adecuados. 1.2.4 Consistencia del equipo El objetivo y funcionamiento del equipo debe desarrollarse como se planteo en el manual del equipo computacional , cualquier cambio debe ser realizado por personal autorizado. 1.2.5 Autenticacion del equipo El acceso al equipo computacional debe ser unicamente por personal debidamente autorizado con los medios de acceso y privilegios respectivos al equipo, en caso contrario deben existir los mecanismos de control adecuados. 1.2.6 Control de acceso al equipo Deben existir procedimientos o sistemas de control, ya sean manuales o preferiblemente automatizados, que le permitan al administrador de los equipos computacionales conocer en cualquier momento los accesos al equipo por personal autorizado o no. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 10 1.2.7 Auditoria del equipo Deben existir procedimientos o sistemas de control automatizados que le permitan al administrador del equipo computacional conocer en cualquier momento las actividades reali:adas durante los accesos al equipo por personal autorizado o no. Ademas se debe controlar la instalacion o desinstalacion de componentes fisicos al equipo. 1.3 Seguridad locativa La seguridad locativa se define como aquella que cubre todos los recursos de area local o de espacio fisico (Oficinas, bodegas, parqueaderos, centros de computo, areas restringidas, entre otros.) que pertenezcan a la entidad y que intervienen en el manejo de los usuarios, datos y de la informacion; ademas de los procedimientos que se realizan en la administracion de las areas locales. La educacion de los usuarios en el correcto manejo de los espacios fisicos que los usuarios utilizan es fundamental a la hora de medir los diferentes aspectos de la seguridad locativa, como son: 1.3.1 Disponibilidad del espacio fisico Las areas de espacio fisico deben estar siempre disponibles 'a la mano del usuario que necesite de las mismas. 1.3.2 Confidencialidad del espacio fisico El usuario que dispone del espacio fisico debe estar previamente autorizado por el administrador del espacio fisico. 1.3.3 Integridad del espacio fisico No se debe realizar ningun tipo de operacion sobre el espacio fisico por personal que no este autorizado. 1.3.4 Consistencia del espacio fisico El objetivo y ocupacion del espacio fisico debe desarrollarse como se planteo en la distribucion del plano arquitectonico del espacio fisico, cualquier cambio debe ser realizado por personal autorizado. 1.3.5 Autenticacion del espacio fisico El acceso al espacio fisico debe ser unicamente por personal debidamente autori:ado con los medios de acceso y privilegios respectivos al area. 1.3.6 Control de acceso a las areas de la entidad Deben existir procedimientos o sistemas de control automatizados que le permitan al administrador del espacio fisico conocer en cualquier momento los accesos al area respectiva por personal autorizado o no. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 11 1.3.7 Auditoria del espacio fisico Deben existir procedimientos o sistemas de control automatizados que le permitan al administrador del espacio fisico conocer en cualquier momento las actividades reali:adas durante los accesos a una area respectiva por personal autorizado o no. Ademas se deben controlar las adecuaciones o eliminacion de espacios fisicos en la entidad. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 12 2 CONCEPTOS SOBRE SEGURIDAD COMPUTACIONAL 2.1 Conceptos bsicos YY Que es un sitio web? Cualquier organizacion (militar, gubernamental, comercial, academica, etc.) que posea recursos relativos a redes y computadoras. YY Que es un usuario? Cualquier persona que hace uso de alguno de los recursos de computo con los que cuenta una organizacion. YY Que es un administrador? El responsable de mantener en operacion continua los recursos de computo con los que cuenta un sitio YY Que es seguridad en computo? Un conjunto de recursos destinados a lograr que los activos de una organizacion sean confidenciales, integros, consistentes y disponibles a sus usuarios, autentificados por mecanismos de control de acceso y sujetos a auditoria. NN Confidencial: La informacion debe ser leida por su propietario o por alguien explicitamente autorizado para hacerlo. NN Integro: La informacion no debe ser borrada ni modificada por alguien que carezca de autorizacion para hacerlo. NN Consistente: el sistema, al igual que los datos, debe comportarse como uno espera que lo haga. NN Disponible: La informacion debe estar siempre disponible en el lugar y cantidad de tiempo requeridos. NN Autentificado: Unicamente deben ingresar al sistema personas autorizadas, siempre y cuando comprueben que son usuarios legitimos. NN Control de acceso: Debe conocerse en todo momento quien entra al sistema y de donde procede. NN Auditoria: Deben conocerse en cada momento las actividades de los usuarios dentro del sistema. YY Que es un incidente? Un evento que pone en riesgo la seguridad de un sistema de computo. YY Que es un ataque? Un incidente cuyo objetivo es causar dao a un sistema, robar informacion del mismo, o utilizar sus recursos de forma no autorizada. YY Que es un Eirewall? Un dispositivo de hardware y software que actua como una barrera protectora entre una red privada y el mundo exterior; se usa para proteger el acceso a los recursos internos desde el exterior, asi como para controlar los recursos externos que son accedidos desde la red privada. YY Que son las herramientas de seguridad? Programas que permiten incrementar la fiabilidad de un sistema de computo. Existe una gran variedad de ellas, casi todas de libre distribucion. Algunos ejemplos de herramientas a considerar para implementar un esquema de seguridad son: POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 13 NN Para el manejo de contraseas: Anipasswd, passwd, crack, John The Ripper, S/Key NN Para el manejo de autenticacion: Kerberos, SecureRPC NN Para monitorear redes: Satan, ISS NN Para auditoria interna: COPS, Tiger, Tripwire NN Para control de acceso: TCP-Wrapper, PortSentry 2.2 Organizacin de la seguridad Como primer punto, es necesario hacer enfasis en que el apoyo por parte de la gente con el poder de decision (cuerpo directivo, dueos de los recursos, gerencia, etc.) es fundamental para el exito de un esquema de seguridad, ya que sin el, algunos elementos de dicho esquema no tendrian validez (p.e., politicas y procedimientos). Es vital mantener en constante capacitacion tanto al personal antiguo como al nuevo mediante cursos, seminarios, congresos, etc. - La mejor defensa es el conocimiento. Los usuarios deben conocer el uso adecuado de los sistemas de computo y saber como protegerse a si mismos de accesos no autorizados. Debe crearse una cultura de seguridad, haciendo ver a la gente involucrada los peligros a los que se esta expuesto en un ambiente tan hostil como el que ha generado la evolucion de las actuales redes de computadores. El primer paso a considerar en un esquema de seguridad, que muchas veces no recibe suficiente atencion, es la seguridad fisica - las medidas que se usan para proteger las instalaciones en las que reside un sistema de computo: llaves, candados, tarjetas de acceso, puertas, ventanas, alarmas, vigilancia, etc. Recomendaciones respecto a la seguridad fisica incluyen: NN Mantener los computadores alejados del fuego, humo, polvo y temperaturas extremas. NN Colocarlos fuera del alcance de rayos, vibraciones, insectos, ruido electrico (balastras, equipo industrial, etc.), agua, etc. NN Mantener los computadores alejados de comida y bebida. NN No desatender las sesiones de trabajo activas. 2.3 Polticas y procedimientos de seguridad Politicas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de computo, las responsabilidades y derechos que tanto usuarios como administradores tienen y que hacer ante un incidente de seguridad. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 14 Mientras las politicas indican el 'que, los procedimientos indican el 'como. Los procedimientos son los que nos permiten llevar a cabo las politicas. Ejemplos que requieren la creacion de un procedimiento son: NN Otorgar una cuenta NN Dar de alta a un usuario NN Conectar un equipo computacional a la red NN Localizar un equipo computacional NN Actualizar el sistema operativo NN Instalar software localmente o via red NN Actualizar software critico NN Exportar sistemas de archivos NN Respaldar y restaurar informacion NN Manejar un incidente de seguridad Para que esto sirva de algo, las politicas deben ser: NN Apoyadas por la directiva de la entidad NN Unicas NN Claras y explicitas NN Concisas y breves NN Bien estructuradas NN Servir de referencia NN Escritas y digitalizadas NN Revisadas por abogados NN Dadas a conocer por la mayor cantidad de medios y servicios al interior de la entidad NN Entendidas por los usuarios NN Eirmadas por los usuarios NN Mantenerse actualizadas POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 15 Las politicas son parte fundamental de cualquier esquema de seguridad eficiente. Para los administradores, aminoran los riesgos, y permiten actuar de manera rapida y acertada en caso de haber una emergencia de computo. Para los usuarios, indican la manera adecuada de usar un sistema, indicando lo que puede hacerse y lo que debe evitarse en un sistema de computo, contribuyendo a que no existan 'malos vecinos en la red sin saberlo. El tener un esquema de politicas facilita enormemente la introduccion de nuevo personal, teniendo ya una base escrita y clara para capacitacion; dan una imagen profesional a la organizacion y facilitan la auditoria. Los principales puntos que deben contener las politicas de seguridad son: NN Ambito de aplicacion NN Analisis de riesgos NN Enunciados de politicas NN Sanciones NN Seccion de uso etico de los recursos de computo NN Seccion de procedimientos para el manejo de incidentes Al disear un esquema de politicas de seguridad, conviene dividir el trabajo en varias politicas diferentes especificas a un campo - cuentas, contraseas, control de acceso, uso adecuado, respaldos, correo electronico, contabilidad del sistema, seguridad fisica, personal, etc. NN Politicas de cuentas: Establecen que es una cuenta de usuario de un sistema de computo, como esta conformada, a quien puede serle otorgada, quien es el encargado de asignarlas, como deben ser creadas y comunicadas. Ejemplos: EE Las cuentas deben ser otorgadas exclusivamente a usuarios legitimos EE Una cuenta debera estar conformada por un nombre de usuario y su respectiva contrasea. EE El nombre de usuario de una cuenta debera estar conformado por la primera letra de su nombre y su apellido paterno. NN Politicas de contraseas: Son una de las politicas mas importantes, ya que por lo general, las contraseas constituyen la primera y tal vez unica manera de autenticacion y, por tanto, la unica linea de defensa contra ataques. Estas establecen quien asignara la contrasea, que longitud debe tener, a que formato debera apegarse, como sera comunicada, etc. Ejemplos: E La longitud de una contrasea debera siempre ser verificada de manera automatica al ser construida por el usuario. Todas las contraseas deberan contar con al menos ocho caracteres. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 16 E Todas las contraseas elegidas por los usuarios deben ser dificiles de adivinar. No deben ser utilizadas palabras que aparezcan en el diccionario, secuencias conocidas de caracteres, datos personales ni acronimos. E Esta prohibido que los usuarios construyan contraseas compuestas de algunos caracteres constantes y otros que cambien de manera predecible y sean faciles de adivinar. E Los usuarios no deben construir contraseas identicas o muy parecidas a contraseas anteriores. NN Politicas de control de acceso: Especifican como deben los usuarios acceder al sistema, desde donde y de que manera deben autenticarse. Ejemplos: E Todos los usuarios deberan acceder al sistema utilizando algun programa que permita una comunicacion segura y cifrada. E Esta prohibido acceder al sistema con una cuenta diferente de la propia, aun con la autorizacion del dueo de dicha cuenta. E Si un usuario esta fuera del sitio de trabajo, debe conectarse a una maquina publica del sitio y unicamente desde esta, hacer la conexion al computador deseado. E Al momento de ingresar al sistema, cada usuario debera ser notificado de la fecha, hora y direccion desde la que se conecto al sistema por ultima vez, lo cual permitira detectar facilmente el uso no autorizado del sistema. NN Politicas de uso adecuado: Especifican lo que se considera un uso adecuado o inadecuado del sistema por parte de los usuarios, asi como lo que esta permitido y lo que esta prohibido dentro del sistema de computo. Antes de disear el esquema de politicas de uso adecuado, conviene hacer las siguientes preguntas: E Se permite irrumpir en cuentas ajenas? E Se permite adivinar contraseas? E Se permite interrumpir el servicio? E Puede leerse un archivo ajeno cuyos permisos ante el sistema incluyen el de lectura para todos? E Puede modificarse un archivo ajeno cuyos permisos ante el sistema incluyen el de escritura para todos? E Pueden los usuarios compartir sus cuentas? POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 17 E Puede copiarse el software que no lo permita en su licencia? E Puede obtenerse una "licencia para hackear"? La respuesta a todas estas preguntas debe ser negativa. Existen dos enfoques: permisivo (todo lo que no este explicitamente prohibido esta permitido) y paranoico (todo lo que no este explicitamente permitido esta prohibido). Cual de estas elegir, dependera del tipo de organizacion y el nivel de seguridad que esta requiera. Tras haber aclarado estos ultimos puntos, se puede proceder a algunos ejemplos: E Esta terminantemente prohibido ejecutar programas que intenten adivinar las contraseas alojadas en las tablas de usuarios de maquinas locales o remotas. E La cuenta de un usuario es personal e intransferible, por lo cual no se permite que se comparta ni cuenta ni contrasea con persona alguna, aun si acredita la confianza del usuario. E Esta estrictamente prohibido hacer uso de herramientas propias de delincuentes informaticos, tales como programas que rastrean vulnerabilidades en sistemas de computo propios o ajenos. E Esta estrictamente prohibido hacer uso de programas que explotan alguna vulnerabilidad de un sistema para proporcionar privilegios no otorgados explicitamente por el administrador. E No se permite bajo ninguna circunstancia el uso de cualquiera de las computadoras con propositos de ocio o lucro. NN Politicas de respaldos: Especifican que informacion debe respaldarse, con que periodicidad, que medios de respaldo utilizar, como debera ser restaurada la informacion, donde deberan almacenarse los respaldos, etc. Ejemplos: E El administrador del sistema es el responsable de realizar respaldos de la informacion periodicamente Cada treinta dias debera efectuarse un respaldo completo del sistema y cada dia deberan ser respaldados todos los archivos que fueron modificados o creados. E La informacion respaldada debera ser almacenada en un lugar seguro y distante del sitio de trabajo. E Debera mantenerse siempre una version reciente impresa de los archivos mas importantes del sistema. E En el momento en que la informacion respaldada deje de ser util a la organizacion, dicha informacion debera ser borrada antes de deshacerse del medio. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 18 NN Politicas de correo electronico. Establece tanto el uso adecuado como inadecuado del servicio de correo electronico, los derechos y obligaciones que el usuario debe hacer valer y cumplir al respecto. Ejemplos: E El usuario es la unica persona autorizada para leer su propio correo, a menos que el mismo autorice explicitamente a otra persona para hacerlo, o bien, que su cuenta este involucrada en un incidente de seguridad de computo. E Esta estrictamente prohibido usar la cuenta de correo electronico proporcionada por la organizacion para propositos ajenos a sus actividades laborales. E No se permite el uso de la cuenta de correo electronico para subscribirse a listas electronicas de discusion de interes personal El usuario debera limitarse a estar subscrito a las listas indicadas y aprobadas por la organizacion. N Politicas de contabilidad del sistema: Establecen los lineamientos bajo los cuales pueden ser monitoreadas las actividades de los usuarios del sistema de computo, asi como la manera en que debe manejarse la contabilidad del sistema y el proposito de la misma. Ejemplos: 4 Deberan ser registrados en bitacoras todos los comandos emitidos por todos los usuarios del sistema, para propositos de contabilidad 4 Cada semana debera hacerse el corte de contabilidad del sistema, cifrandose y respaldandose la informacion generada en un dispositivo de almacenamiento permanente POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 19 3 FUNCIONES DE LA ADMINISTRACION DE UNA RED DE DATOS Una administracion de Red de Datos, fundamentalmente se compone de dos areas, la encargada de la Administracion de Servidores y Servicios y la de la Infraestructura de Red. A continuacion se especificacan las funciones de cada una, discriminando entre tareas administrativas y tecnicas. Por ultimo al ser un ente que pone un abanico de servicios telematicos a disposicion de usuarios, entendiendo a estos como las personas debidamente autorizadas para hacer uso de cualquier servicio prestado, se debe ofrecer la posibilidad de realimentacion, normalmente conocido como Help Desk, por esa razon tambien se exponen sus funciones. 3.1 Administracin de Servidores y Servicios 3.1.1 Funciones Administrativas N Determinar politicas de mantenimiento de los servidores, servicios, seguridad y planes de contingencia. N Establecer estrategias de optimizacion para la prestacion de los servicios. N Instalacion del sistema operativo de los servidores N Instalacion y configuracion de los servicios que se soportan. N Actualizar de software de los servidores o servicios y aplicar parches, especialmente los de seguridad. N Generar reportes del estado de los servidores y sus servicios. N Administracion de las zonas de dominios de Internet. N Propender por el desempeo de los equipos y los servicios que se soportan en ellos. N Detectar y atender problemas de seguridad y corregirlos N Gestion del direccionamiento IP N Gestion de tecnologia. N Generar y mantener documentacion y manuales de procedimiento. 3.1.2 Funciones Tcnicas N Llevar a cabo las actividades correspondientes a las politicas definidas. N Mantener el correcto funcionamiento de los servidores y servicios de Internet que se soportan. N Mantenimiento de equipos POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 20 3.2 Administracin de Infraestructura de Red 3.2.1 Funciones Administrativas N Determinar politicas de mantenimiento de la red, respaldo de la conectividad y seguridad N Diseo de las soluciones de Cableado Estructurado N Administracion del Cableado Estructurado N Gestion de las atenciones a usuarios de red N Manejo del inventario de equipos de red N Instalacion y configuracion de equipos activos N Manejo de planos N Gestion de red N Generacion de informes del estado de la red N Gestion de tecnologia N Proteccion electrica N Generar y mantener documentacion y manuales de procedimiento. 3.2.2 Funciones Tcnicas N Llevar a cabo las actividades correspondientes a las politicas definidas. N Desarrollo de obras de cableado estructurado para extensiones o expansiones en las dependencias. N Configuracion de la Red de los PCs. N Instalacion de Tarjetas de Red. N Mantenimiento de la Red (centros de cableado, dispositivos de red, cables). N Elaboracion de cables de UTP. N Mantenimiento de la infraestructura de Cableado Estructurado. N Pruebas y certificacion de cableado N Configurar las herramientas software de Internet (navegador, cliente de correo, etc) N Mantenimiento de equipos. 3.3 Atencin a Usuarios 3.3.1 Funciones Tcnicas N Gestion de las comunicaciones de los usuarios sobre los servicios. N Soporte a problemas tecnicos de los usuarios, por diferentes medios (telefonico, e- mail, online-web, presencial). N Generacion de reportes estadisticos. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 21 4 LINEAMIENTOS PARA LA CREACION DE POLITICAS DE SEGURIDAD El Administrador de la Red de datos junto con la cupula administrativa, son quienes deben decidir el nivel de seguridad que desea para su red y computadores. Cuando se decida la politica de seguridad a seguir, se debera buscar el equilibrio entre seguridad, conveniencia v disponibilidad. Estos son algunos de los interrogantes que deben plantearse cuando se disean las politicas de seguridad: YY Quien debe tener acceso? Si se trata de un negocio, son todos los empleados o solamente algunos? YY Quien debe tener acceso fisico? Los sistemas se encuentran cerrados o de libre acceso? YY Cuando se debe tener acceso? Se permite a los usuarios acceder de 9 am a 5 pm los dias laborales o 24 horas siete dias a la semana? YY De que clase de acceso se debe disponer? Todos necesitan acceder a Internet o solo a las impresoras de la red? YY Que servicios deben usar? Debe alguno acceder a ftp? Que ocurre con telnet, finger y los demas servicios? YY Que clases de programas deben ejecutar? Necesitan acceso a sencillas herramientas de oficina o a sofisticados programas de graficos y de CAD? YY Con que otros computadores de la red deben conectarse? Cuantos servidores deben ver? El servidor web? Que pasa con la contabilidad y las nominas? YY De cuanto espacio deben disponer los usuarios dentro del sistema de archivos? Necesitan 100 Megas o 10 Gigas? YY De cuanto espacio del kernel disponen los usuarios? Necesitaran mas de 5 megabytes? YY Que restricciones se deben implantar al uso de contraseas? Una longitud minima? Cambios semanales? Tal vez mensuales? YY Que clase de ataques son posibles? Hay modems o ras en alguno de los sistemas? Hace falta que los usuarios accedan desde el exterior a traves del Firewall? YY Que ataques son mas probables? Se ha despedido recientemente a empleados con conocimiento del sistema? Se han producido recientemente intentos que hayan tenido exito? YY De cuanto tiempo se dispone para recuperarse despues de un ataque? Es posible permitirse una semana de baja? Un dia? Una hora? YY Cuanto va a costar? Considerese sobre la base hora/trabajador, para volver a la normalidad. YY Que valor deben tener los datos protegidos para alguien de afuera? Son secretos corporativos? Informacion financiera? Lista de clientes? YY Que dao pueden causar a la reputacion de la empresa la publicacion de la intrusion? Que ocurre si se trata de una institucion financiera y se ven comprometidos los expedientes de los clientes? POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 22 YY Que perjuicio para las ventas de la entidad supondria la publicacion de la intrusion? Se especula con el buen nombre y el historial de seguridad? Que ocurre si se estan facilitando servicios de seguridad y los sistemas se ven comprometidos? 4.1 Polticas de configuracin Hay que decidir la manera de configurar las computadoras para conseguir la calidad conveniente del sistema. El tener sistemas configurados de manera similar ayudara inicialmente y sera de utilidad para detectar una configuracion que no es igual a las otras. 4.2 Polticas de mantenimiento Deberia fijarse un calendario para la auditoria de los sistemas de seguridad. En el deberia fijarse la ejecucion del software de auditoria de la red y el software de auditoria de la configuracion. Generalmente se usa cron, en sistemas Linux / Unix, para ejecutar estos paquetes y los registros de salida son escaneados o enviados por correo electronico al administrador diariamente. Tambien deberia comprobarse la aparicion del parches del fabricante para el software que se ejecuta en el sistema. Para ello son utiles los anuncios de CERT. Vease http://www.cert.org. Deben aplicarse esas actualizaciones tan pronto como se tiene conocimiento de ellas para estar prevenidos contra los ataques mas recientes. 4.3 Polticas de reaccin o contingencia Debe prepararse un plan de reaccion a las intrusiones predecibles. Identificar los pasos necesarios para recuperarse de una intrusion, incluyendo la conectividad, la recuperacion a partir de las copias de seguridad y la prevencion de futuras intrusiones. El conocimiento de lo que debe hacerse para minimizar los daos de un ataque en curso o ante hechos consumados evitara confusiones y lo que es mas importante, tiempo. 4.4 Establecer las reglas Ademas de la politica de seguridad, debe existir un conjunto de normas que los usuarios deben seguir cuando usan el sistema. Estas reglas deben sealar lo que se espera de los usuarios y las consecuencias de un mal uso del sistema. Tener unas normas claramente establecidas dara un soporte legal si alguien se convierte en un problema para el sistema. Lo peor que puede ocurrir es que, despues de una violacion de las reglas, no se pueda demostrar lo que el usuario ha hecho en contra de ellas, porque no esta sealado en ningun sitio y peor aun, que lo ocurrido quede impune. Una buena politica de normas deja poco campo a la interpretacion. Es muy importante que lo usuarios y todos los demas que intenten usar el computador o sus servicios conozcan y entiendan las reglas del sistema. Algunos puntos a considerar para su inclusionen un conjunto de normas de utilizacion son: POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 23 YY Quien es el propietario del sistema? Generalmente sera la empresa o la entidad que lo paga? YY Quien debe usar el sistema? Deberian incluirse los terminos 'usuarios autorizados y consistirian en los empleados de la entidad o los estudiantes y facultades de una institucion de enseanza? YY Horario de utilizacion. Podria ser de 9 am a 5 pm para un banco o entidad financiera y 24 horas, todos los dias del ao en una Universidad? YY Servicios que deben usarse. Seran los servicios que el usuario debe utilizar y no son necesariamente todos los programas instalados. YY Servicios estrictamente prohibidos. Que incluiria el almacenamiento de archivos no autorizados, como pornografia, software pirata o el trafico con ellos. YY Software prohibido en el sistema. Ademas de lo anterior, puede ser software legal, pero no aprobado por el servicio de soporte tecnico del equipo computacional. YY Sanciones por uso indebido. Debe ser la revocacion del acceso o sanciones penales. YY Contacto para preguntas o informacion de uso indebido. Normalmente debe ser alguien en los servicios de seguridad computacional o en el soporte tecnico del equipo computacional. YY Donde debe obtenerse mas informacion. Pueden ser archivos almacenados o incluso enviados por Internet. YY Debe colocarse el conjunto de normas de utilizacion donde todos los usuarios deban verlo o en su defecto difundirlo a traves de los mismos servicios de la entidad, como son ftp, correo electronico o web. 4.5 Velar por el estricto cumplimiento La forma menos conflictiva de aplicar el cumplimento estricto de las politicas de seguridad es que, siempre que sea posible, sea el propio sistema el que informe automaticamente. Esto ayudara a evitar la confrontacion directa con los usuarios que violen las politicas. Si es el sistema el que les dice que estan cometiendo una infraccion, la cosa resulta mas impersonal y no lo veran como algo represivo o un ataque personal. Las contraseas, los horarios de inicio, los permisos de acceso a dispositivos y la limitacion del uso de recursos deben ser controlados y su cumplimiento implantado por el sistema segun lo tratado anteriormente en este documento. Ademas, ello ayudara a reducir la carga de trabajo como Administrador de una Red de Datos. Debe ejercerse una estrecha vigilancia sobre el sistema y los usuarios. No hay que permitir que queden impunes las violaciones de las politicas de utilizacion. Hay que reaccionar con prontitud y de acuerdo con las medidas que se establecieron en los terminos de la politica de utilizacion. No hay que aplicar a nadie excepciones que no este dispuesto a aplicar a los demas. Hay que controlar diariamente los registros del sistema en busca de violaciones. El conocimiento de la forma que los usuarios utilizan el sistema es una parte importante de la administracion de sistemas computacionales seguros. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 24 4.6 Cmo tratar las infracciones Hay que tratar con cautela a quienes violen la politica de seguridad. Cuando la infraccion ha sido leve y no llega a constituir una amenaza (el usuario ha sobrepasado largamente los limites de utilizacion del disco, por ejemplo), el envio de advertencias documentadas suele ser un buen primer paso. Se puede limitar el acceso del usuario a los recursos. Si el usuario reincide, se puede aumentar la penalizacion anulando su cuenta durante un tiempo prudente, por ejemplo. 4.7 Anular una cuenta Anular una cuenta es una forma de llamar rapidamente la atencion del usuario. Le obligara a ponerse en contacto con el administrador de la red de datos para que se la restablezca y se podra aprovechar la ocasion para comentarle las infracciones cometidas. 4.8 Restringir las horas de acceso Se puede limitar las horas a las que un usuario debe conectarse al sistema. Puede que desee limitar las horas de acceso de un usuario a aquellas en las que el administrador del sistema computacional pueda vigilar directamente su actividad. 4.9 Limitar los recursos Cuando un usuario escribe o ejecuta frecuentemente programas que ocupan recursos del sistema tales como tiempo de CPU, memoria o espacio en la tabla de procesos, pueden cambiarse ciertos parametros con el fin de mantenerles por debajo de ciertos umbrales. 4.10 Limitar el espacio en el sistema de archivos Si se nota que algun usuario esta ocupando espacio en disco, puede considerarse la posibilidad de instalar cuotas para fijar un limite maximo que cada usuario tiene derecho a utilizar. 4.11 Limitar el acceso a los dispositivos Si un usuario abusa de los dispositivos, como, por ejemplo, quemar demasiados CDs o ejecutar sonidos con volumen molesto para otros usuarios que estan trabajando, es posible configurar el sistema para restringir el acceso a estos dispositivos mientras el usuario esta conectado a una consola. 4.12 Limitar el acceso a programas Cuando un usuario abusa de sus privilegios, ejecutando programas que no debe, o a horas indebidas, se pueden usar grupos para limitarle el acceso. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 25 5 POLITICAS PARA EL USO DE CUENTAS DE CORREO ELECTRONICO 5.1 Normas para el uso de las cuentas de correo electrnico E El contenido de los mensajes no debe ser NUNCA insultante, injurioso, ofensivo u obsceno. Explicitamente son considerados ofensivos los de caracter sexista o racista. Sera considerado como FALTA GRAVE el incumplimiento de esta norma. E Queda prohibido enviar mensajes a un grupo, o a un usuario que no los quiera recibir. E Queda prohibido el uso de seudonimos u otros sistemas de ocultamiento de identidad. Debe quedar claro al receptor de los mensajes el nombre de quien los envia. E No es aceptable la utilizacion de firmas excesivamente largas. Deben ser escuetas y nunca superar los 100 caracteres, a menos que sean firmas digitales generadas por GnuPG o PGP. E No deben usarse sistemas de transferencia de archivos mediante correo, por ejemplo ftpmail, debido al peligro de saturacion del sistema que esto provoca. E Cuando en una respuesta se incluye el mensaje original, se debe eliminar toda la informacion accesoria, que no este relacionada con el contenido de la respuesta (cabeceras, apartados irrelevantes del mensafe, firmas, despedidas, etc.) . E El usuario se hace responsable de mantener espacio disponible en su cuenta para permitir la correcta recepcion de mensajes. Se aconseja leer diariamente su correo. E Cualquier queja, referente al usuario, recibida de administradores de correo de redes externas sera considerada una FALTA MUY GRAVE. E No se permite enviar repetidamente, de manera sistematica, un mismo mensaje a una o varias listas (aliases). E Se prohibe expresamente el envio de mensajes publicitarios a las listas (aliases), a menos que este previamente autorizado por el administrador de correo. 5.2 Recomendaciones para el uso de las cuentas de correo electrnico E No reenviar correspondencia privada sin permiso del autor. No leer el correo de otra persona sin su permiso. E Si se recibe un mensaje por accidente, devolverlo al remitente o realizar un "forward" a la persona a la que iba dirigido. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 26 E No enviar informacion falsa y no pretender ser alguien que no se es, para conseguir las ventajas de ese alguien. E Daar un sistema implica daar a mucha gente. E Los usuarios que eligen claves obvias (conocido como aguferos), estan aumentando la probabilidad de estropear no solo sus propios correos sino los de los demas tambien. E A todos los efectos, emplear un "agufero" de seguridad para provocar daos en un sistema de forma voluntaria es equivalente a forzar ese sistema con cualquier metodo para realizar los mismos daos. E En terminos absolutos, quien conociendo la existencia de un "agufero" de seguridad, no hace lo posible para que se corrija, es cuando menos "complice involuntario" o incluso co-responsable de los daos que puedan ser infringidos por un tercero a traves de ese "agufero". 5.3 Recomendaciones sobre la utilizacin de las listas de inters E Las listas, al ser un medio de amplia difusion (los mensafes son recibidos por 1ODOS los subscriptores), deben ser utilizadas con prudencia. Los mensajes a las listas no deben enviarse antes de haber preparado el tema a tratar. En el caso de una pregunta, deben agotarse primero otros medios de consulta disponibles (bibliotecas, tutorias, libros, manuales, etc.). E El envio masivo de mensajes a una lista provoca irremediablemente su inoperatividad. Cuando una lista recibe mas de 30 mensajes diarios los usuarios tienden a abandonarla, al verse incapaces de atender la avalancha. Por tanto, se restringe el numero de mensajes a 15 por usuario, lista y dia. E Cualquier duda o problema relacionado con el servicio de correo y listas de distribucion en este servidor pueden ser comentados al administrador del servicio de correo electronico. E Es muy importante asegurarse de pertenecer a la lista adecuada. 5.4 Utilizacin correcta de las cuentas de correo electrnico E Las cuentas son personales e intransferibles. Se considera falta MUY GRAVE el uso de cuentas ajenas, asi como la cesion de la cuenta propia a terceros. E El propietario de la cuenta es el UNICO responsable de la privacidad de su clave. Cualquier accion efectuada desde esta sera atribuida a dicho propietario. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 27 E Al momento de la creacion de una Cuenta de correo electronico se asigna como espacio disponible para la recepcion de correo electronico 7000kb para los usuarios de la Universidad del Cauca, por ejemplo. 5.5 Ataque y proteccin a las cuentas de correo electrnico E Uno de los posibles ataques a la cuenta de un usuario es el conocimiento de su clave de acceso a traves de medios no autorizados como son: verla digitar, leerla de un papel donde este escrita, oirla decir, etc. La medida de precaucion adecuada a este caso es cambiar la clave periodicamente o cuando la privacidad de esta haya estado en peligro. El cambio de clave se realiza por medio del administrador de la red o por el mismo usuario. E Otro posible ataque a una cuenta puede producirse al abandonar una terminal o PC sin haber cerrado la sesion abierta. Al finalizar la sesion de trabajo se debe salir siempre de la cuenta. Por ejemplo se debe cerrar el Secure Shell, Outlook Express o el cliente de correo autorizado. 5.6 Sanciones por faltas sobre el uso de las cuentas de correo electrnico Las posibles sanciones a aplicar, dependiendo de la gravedad de la falta cometida, son las siguientes: E Inhabilitacion temporal o definitiva de la cuenta de correo. E Suspension indefinida de la cuenta. E Si es estudiante de la Universidad se realizara un informe a la Jefatura de la Eacultad correspondiente para que tome las medidas disciplinarias oportunas. E Si es personal de la Universidad, se realiza un informe a la Vice-Rectoria Administrativa o a la oficina encargada para la sancion correspondiente. E La administracion de la red de datos o el comite encargado de estudiar las faltas, tendra la potestad de aplicar estas sanciones. POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 28 6 GLOSARIO ASCII American Standard Code Information Interchange (Codigo estandar americano para el intercambio de informacion. BackOffice Paquete de software para Windows NT que provee conectividad y servicios de Internet. Bug Eallo de un programa que afecta la seguridad de la informacion del PC. CERT Computer Emergency Response Team Contrasea Clave secreta de un usuario que da el acceso a un servidor. Cracking Se le llama a la accion de violar o romper la seguridad de un sistema operativo o programa. Demonio Realmente se llaman Daemons y son aquellos programas que suben los servicios en los sistemas operativos Unix. FingerPrinting Tecnica utilizada por Hackers y Crackers para obtener la mayor cantidad de informacion sobre un determinado sistema operativo y servicios en ejecucion de una computadora personal o un servidor. Firewall Programa que permite el filtrado de paquetes y servicios a una red. FTP File Transfer Protocol (Protocolo de transferencia de archivos) GUI Graphic User Interface (Interfaz de usuario grafica) Hacking Accion de llevar al limite del conocimiento alguna disciplina, ciencia o arte. Popularmente se le llama asi a las la acciones de los Hackers. Hexadecimal POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 29 Numero en un sistema con base en 16. Ingeniera social Se le llama a la accion de engaar a un usuario o administrador de una red para conseguir su contrasea. Intranet Red interna o tambien llamada corporativa, separada de Internet pero con los mismos servicios a los usuarios de la misma. IP Internet Protocol (Protocolo de internet) IPCE Intern Process Comunication Enviroment. Procesos internos de ambiente de comunicacion. ISN Initial Sequence Number (Numero de secuencia inicial). Son aquellos numeros que se generan en la secuencia inicial cuando el servidor responde a solicitudes de conexion. Login Asi se le llama a la identificacion del usuario, previa a la exigencia de la contrasea, para el posterior acceso a un servidor. Proxy Un servidor Proxy es el que comunica la estacion del usuario con internet y esta asociado con el Gateway y en algunos casos con el Eirewall. RFC Request For Comment Router Enrutador que permite la conexion entre Internet y nuestra Intranet o entre 2 redes cualesquiera. SMTP Simple Mail Transfer Protocol (Protocolo de Transferencia de correo Simple). Troyano Programa que aparenta dar un servicio confiable, pero que en realidad atenta contra la seguridad de la informacion de quien lo utiliza. UPS Unit Power Suply (Unidad de fuente de poder). POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 30 Virus Programas que tienen el comportamiento de los virus biologicos, se reproducen de igual forma y atacan hasta el punto de dejar inutilizable un computador. WAN Wide Area Network (Red de area amplia). POLITICAS DE SEGURIDAD COMPUTACIONAL Universidad del Cauca Siler Amador Donado Guefrv Agredo Carolina Carrascal 31 7 BIBLIOGRAFIA 1. Apuntes de Clase de Seguridad computacional y Regimen en telecomunicaciones e informatica. Universidad del Cauca Siler Amador Donado.