Você está na página 1de 31

. . . . . . . . . .

Universidad del Cauca


Politicas de Seguridad
Computacional
Material de referencia
Siler Amador Donado
Cuefry L. Agredo Mndez
Carolina A. Carrascal Reyes
PRIMERA EDICION
FACUL1AD DE IACEAIERIA ELEC1RAICA Y 1ELECOMUAICACIOAES
DEPARTAMENTO DE INGENIERIA DE SISTEMAS
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
2
MATERIAL DE REFERENCIA
SEGURIDAD FISICA
PCs, servidores, routers, hubs,
switches, mantenimientos... etc.
SEGURIDAD LOGICA
Software, virus, backups,
licencias, mantenimient os...etc.
SEGURIDAD LOCATIVA
Puntos de acceso, bodegas,
areas restringidas, oficinas,
...etc.
Autores
SILER AMADOR DONADO
GUEFRY L. AGREDO MNDEZ
CAROLINA A. CARRASCAL REYES
Ereeware literario: Prohibido el uso comercial. Ninguna parte de este libro puede ser reproducida o
transmitida de ninguna manera y por ningun medio, electronico o mecanico, incluyendo la fotocopia, la
grabacion, o cualquier otro sistema de almacenamiento y recuperacion de informacion, sin permiso escrito de
los autores o de la Universidad del Cauca. Para mayor informacion, dirijase a samadorucauca.edu.co.
Copyright (c) 2002 Siler Amador Donado
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
3
TABLA DE CONTENIDO
AGRADECIMIENTOS...................................................................................................................................... 5
PROLOGO ......................................................................................................................................................... 6
1 INTRODUCCION................................................................................................................................ 7
1.1 Seguridad logica.................................................................................................................................. 8
1.1.1 Disponibilidad de la informacion................................................................................................ 8
1.1.2 Confidencialidad de la informacion............................................................................................ 8
1.1.3 Integridad de la informacion....................................................................................................... 8
1.1.4 Consistencia del sistema............................................................................................................. 8
1.1.5 Autenticacion.............................................................................................................................. 8
1.1.6 Control de acceso al sistema....................................................................................................... 8
1.1.7 Auditoria de programas............................................................................................................... 8
1.2 Seguridad fisica................................................................................................................................... 9
1.2.1 Disponibilidad del equipo computacional................................................................................... 9
1.2.2 Confidencialidad del equipo computacional............................................................................... 9
1.2.3 Integridad del equipo.................................................................................................................. 9
1.2.4 Consistencia del equipo.............................................................................................................. 9
1.2.5 Autenticacion del equipo ............................................................................................................ 9
1.2.6 Control de acceso al equipo........................................................................................................ 9
1.2.7 Auditoria del equipo ................................................................................................................. 10
1.3 Seguridad locativa............................................................................................................................. 10
1.3.1 Disponibilidad del espacio fisico.............................................................................................. 10
1.3.2 Confidencialidad del espacio fisico.......................................................................................... 10
1.3.3 Integridad del espacio fisico..................................................................................................... 10
1.3.4 Consistencia del espacio fisico................................................................................................. 10
1.3.5 Autenticacion del espacio fisico................................................................................................ 10
1.3.6 Control de acceso a las areas de la entidad ............................................................................... 10
1.3.7 Auditoria del espacio fisico....................................................................................................... 11
2 CONCEPTOS SOBRE SEGURIDAD COMPUTACIONAL............................................... 12
2.1 Conceptos basicos............................................................................................................................. 12
2.2 Organizacion de la seguridad............................................................................................................ 13
2.3 Politicas y procedimientos de seguridad........................................................................................... 13
3 EUNCIONES DE LA ADMINISTRACION DE UNA RED DE DATOS ....................... 19
3.1 Administracion de Servidores y Servicios........................................................................................ 19
3.1.1 Eunciones Administrativas........................................................................................................ 19
3.1.2 Eunciones Tecnicas................................................................................................................... 19
3.2 Administracion de Infraestructura de Red........................................................................................ 20
3.2.1 Eunciones Administrativas........................................................................................................ 20
3.2.2 Eunciones Tecnicas................................................................................................................... 20
3.3 Atencion a Usuarios.......................................................................................................................... 20
3.3.1 Eunciones Tecnicas................................................................................................................... 20
4 LINEAMIENTOS PARA LA CREACION DE POLITICAS DE SEGURIDAD .......... 21
4.1 Politicas de configuracion................................................................................................................. 22
4.2 Politicas de mantenimiento............................................................................................................... 22
4.3 Politicas de reaccion o contingencia................................................................................................. 22
4.4 Establecer las reglas.......................................................................................................................... 22
4.5 Velar por el estricto cumplimiento.................................................................................................... 23
4.6 Como tratar las infracciones ............................................................................................................. 24
4.7 Anular una cuenta............................................................................................................................. 24
4.8 Restringir las horas de acceso........................................................................................................... 24
4.9 Limitar los recursos........................................................................................................................... 24
4.10 Limitar el espacio en el sistema de archivos..................................................................................... 24
4.11 Limitar el acceso a los dispositivos................................................................................................... 24
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
4
4.12 Limitar el acceso a programas .......................................................................................................... 24
5 POLITICAS PARA EL USO DE CUENTAS DE CORREO ELECTRONICO............. 25
5.1 Normas para el uso de las cuentas de correo electronico.................................................................. 25
5.2 Recomendaciones para el uso de las cuentas de correo electronico.................................................. 25
5.3 Recomendaciones sobre la utilizacion de las listas de interes........................................................... 26
5.4 Utilizacion correcta de las cuentas de correo electronico................................................................. 26
5.5 Ataque y proteccion a las cuentas de correo electronico................................................................... 27
5.6 Sanciones por faltas sobre el uso de las cuentas de correo electronico............................................. 27
6 GLOSARIO.......................................................................................................................................... 28
7 BIBLIOGRAEIA................................................................................................................................. 31
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
5
AGRADECIMIENTOS
De Siler.
Primero que todo a Dios, por brindarnos la salud y la oportunidad de culminar este texto.
A los estudiantes de la ELECTIJA DE SEGURIDAD COMPUTACIONAL, quienes
colaboraron con sus talleres y practicas en la elaboracion de este texto.
A los integrantes del grupo de investigacion GTI (Grupo en Tecnologias de la Informacion)
del Departamento de Ingenieria de Sistemas de la UNIJERSIDAD DEL CAUCA en la linea
de SEGURIDAD COMPUTACIONAL, quienes a traves de sus investigaciones en materia
de seguridad computacional colaboraron con mucha de la teoria de este texto.
A los profesores del Departamento de Ingenieria de Sistemas, quienes brindaron el apoyo
logistico y la infraestructura necesaria para la culminacion de este texto.
A mi esposa Claudia y mi hija Yuliana, quienes sin su apoyo este texto no hubiese sido
posible terminarlo al fin.
Y a todos aquellos que me colaboraron directa o indirectamente en el desarrollo de este
texto.
De Guefrv.
Al igual que Siler primero que todo a Dios, por darnos los medios para culminar este texto.
A Luisa, por su paciencia mientras realizaba esta labor.
A los monitores de la RED DE DATOS, quienes colaboraron al facilitar informacion
obtenida de la experiencia y la practica.
De Carolina.
A Dios por todo lo que nos da.
A mi familia por su apoyo incondicional.
A Siler y Guefry por hacerme participe de este proyecto.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
6
PROLOGO
Este texto tiene como objetivos dar conocer las politicas de seguridad ademas de aprender a
disear, desarrollar, controlar y auditar las politicas que se requieran, sujetas a los servicios,
obligaciones e infraestructura organizacional y computacional.
El proposito de este material es servir como guia de referencia en la asignatura de la
electiva de Seguridad Computacional y texto de consulta para el grupo de investigacion
GTI en la EIET (Eacultad de Ingenieria Electronica) del Departamento de Ingenieria de
Sistemas de la Universidad del Cauca y la Administracion de la Red de Datos de la
Universidad del Cauca
Aunque no es requisito, es importante tener claro los conceptos de sistemas operativos y
redes de computo. Por ello se deja que sea el lector quien investigue sobre estos temas y el
trabajo se centrara exclusivamente en el diseo y desarrollo de politicas en seguridad
computacional.
Las politicas en las empresas no deben ser vistas como ordenes o leyes autoritarias, sino
como mecanismos de control que facilitan la auditoria de los procedimientos, equipos,
funcionarios y sus funciones.
"La ignorancia siempre nos hace ser unos irresponsables muy
atrevidos"
(Relis)
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
7
1 INTRODUCCION
eguridad, viene del latin Securitate, que significa calidad de seguro y
computacional del griego Computare, que significa usar el calculo
numerico para medir algo. Las politicas de seguridad computacional
son normas materializadas en documentos que describen la forma
correcta y adecuada del uso de los recursos computacionales, las
responsabilidades y derechos que administradores y usuarios tienen,
ademas de las medidas de contingencia para cada inconveniente
computacional en caso de catastrofes, donde prima salvaguardar la integridad de las
personas y le sigue en jerarquia salvaguardar la integridad de la informacion antes que
cualquier maquinaria y equipo, claro esta sin dejar de lado la importancia que el hardware
requiere, pero como ultima prioridad. Las politicas no deben limitarse unicamente al
hardware y software, tambien le concierne el uso adecuado de las instalaciones donde se
aplican, es decir, que regulen el acceso del personal, tanto de forma logica como fisica. Las
politicas de seguridad computacional ayudan a que la educacion de cada una de las
personas que tienen a cargo la responsabilidad de mantener la integridad, confidencialidad,
consistencia, disponibilidad, autenticacion, control v auditoria de la informacion de los
demas empleados sea muy importante para la entidad. Desde el funcionario de mas bajo
cargo de la entidad en cuestion hasta el de mas alto, juegan un papel importante en el
diseo, desarrollo y aplicacion de las politicas de seguridad computacional . Las politicas
de seguridad computacional deben dividirse segun tres aspectos basicos: Seguridad logica,
fisica y locativa. Ademas se deben tener en cuenta los manuales de funciones y
procedimientos de cada cargo, para que se diseen las politicas de acuerdo al rol que
desempea cada empleado. Es muy importante conocer detalladamente los servicios
computacionales para que se desarrollen las politicas por servicios correspondientes.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
8
1.1 Seguridad lgica
La seguridad logica se define como todos aquellos recursos computacionales logicos
o programas (Sistemas operativos, programas de desarrollo, bases de datos, editores,
entre otros.) que intervienen en el manejo de la informacion, ademas de los
procedimientos realizados en el manejo y administracion de programas. La educacion
de los usuarios en el manejo correcto de los programas y la informacion que estos
procesan, es fundamental a la hora de medir los diferentes aspectos de la seguridad
logica, como son:
1.1.1 Disponibilidad de la informacion
La informacion debe estar siempre disponible a la mano del usuario que necesite de
la misma.
1.1.2 Confidencialidad de la informacion
El usuario que dispone de la informacion debe estar previamente autori:ado por el
administrador del sistema, es decir que el usuario debe tener los privilegios
adecuados para el acceso de la informacion
1.1.3 Integridad de la informacion
No se debe realizar ningun tipo de operacion sobre la informacion por personal que
no este autorizado.
1.1.4 Consistencia del sistema
Los objetivos y procedimientos del sistema deben cumplirse como se planteo en el
manual del sistema, cualquier cambio debe ser realizado por personal autorizado.
1.1.5 Autenticacion
El ingreso al sistema debe ser unicamente por usuarios debidamente autori:ados
con los accesos y privilegios respectivos al sistema.
1.1.6 Control de acceso al sistema
Deben existir procedimientos o sistemas de control automatizados que le permitan
al administrador conocer en cualquier momento los accesos al sistema por usuarios
autorizados o no.
1.1.7 Auditoria de programas
Deben existir procedimientos o sistemas de control automatizados que le permitan
al administrador conocer en cualquier momento las actividades reali:adas durante
los accesos a los programas por usuarios autorizados o no. Ademas se debe
controlar la instalacion o desinstalacion de programas licenciados o no.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
9
1.2 Seguridad fsica
La seguridad fisica se define como los mecanismos para asegurar el correcto
funcionamiento de aquellos recursos fisicos o equipos computacionales (Servidores,
estaciones de trabafo, video camaras, unidades de backup, routers, switches, hubs,
backbone, entre otros.) que intervienen en el manejo de los datos o informacion,
ademas de los procedimientos realizados en el manejo y administracion de los
equipos computacionales.
La educacion de los usuarios en el manejo correcto de la infraestructura
computacional que estos utilizan, es fundamental a la hora de medir los diferentes
aspectos de la seguridad fisica, como son:
1.2.1 Disponibilidad del equipo computacional
El equipo debe estar siempre disponible 'a la mano` del usuario que necesite del
mismo y siempre y cuando este se encuentre debidamente autorizado para usarlo.
1.2.2 Confidencialidad del equipo computacional
El usuario que dispone del equipo debe estar previamente autori:ado por el personal
encargado de administrar los equipos computacionales, en caso contrario deben
existir los mecanismos de control adecuados.
1.2.3 Integridad del equipo
No se debe realizar ningun tipo de operacion sobre el equipo computacional por
personal que no este autorizado, en caso contrario deben existir los mecanismos de
control adecuados.
1.2.4 Consistencia del equipo
El objetivo y funcionamiento del equipo debe desarrollarse como se planteo en el
manual del equipo computacional , cualquier cambio debe ser realizado por personal
autorizado.
1.2.5 Autenticacion del equipo
El acceso al equipo computacional debe ser unicamente por personal debidamente
autorizado con los medios de acceso y privilegios respectivos al equipo, en caso
contrario deben existir los mecanismos de control adecuados.
1.2.6 Control de acceso al equipo
Deben existir procedimientos o sistemas de control, ya sean manuales o
preferiblemente automatizados, que le permitan al administrador de los equipos
computacionales conocer en cualquier momento los accesos al equipo por personal
autorizado o no.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
10
1.2.7 Auditoria del equipo
Deben existir procedimientos o sistemas de control automatizados que le permitan
al administrador del equipo computacional conocer en cualquier momento las
actividades reali:adas durante los accesos al equipo por personal autorizado o no.
Ademas se debe controlar la instalacion o desinstalacion de componentes fisicos al
equipo.
1.3 Seguridad locativa
La seguridad locativa se define como aquella que cubre todos los recursos de area
local o de espacio fisico (Oficinas, bodegas, parqueaderos, centros de computo,
areas restringidas, entre otros.) que pertenezcan a la entidad y que intervienen en el
manejo de los usuarios, datos y de la informacion; ademas de los procedimientos que
se realizan en la administracion de las areas locales. La educacion de los usuarios en
el correcto manejo de los espacios fisicos que los usuarios utilizan es fundamental a
la hora de medir los diferentes aspectos de la seguridad locativa, como son:
1.3.1 Disponibilidad del espacio fisico
Las areas de espacio fisico deben estar siempre disponibles 'a la mano del usuario
que necesite de las mismas.
1.3.2 Confidencialidad del espacio fisico
El usuario que dispone del espacio fisico debe estar previamente autorizado por el
administrador del espacio fisico.
1.3.3 Integridad del espacio fisico
No se debe realizar ningun tipo de operacion sobre el espacio fisico por personal
que no este autorizado.
1.3.4 Consistencia del espacio fisico
El objetivo y ocupacion del espacio fisico debe desarrollarse como se planteo en la
distribucion del plano arquitectonico del espacio fisico, cualquier cambio debe ser
realizado por personal autorizado.
1.3.5 Autenticacion del espacio fisico
El acceso al espacio fisico debe ser unicamente por personal debidamente
autori:ado con los medios de acceso y privilegios respectivos al area.
1.3.6 Control de acceso a las areas de la entidad
Deben existir procedimientos o sistemas de control automatizados que le permitan
al administrador del espacio fisico conocer en cualquier momento los accesos al
area respectiva por personal autorizado o no.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
11
1.3.7 Auditoria del espacio fisico
Deben existir procedimientos o sistemas de control automatizados que le permitan
al administrador del espacio fisico conocer en cualquier momento las actividades
reali:adas durante los accesos a una area respectiva por personal autorizado o no.
Ademas se deben controlar las adecuaciones o eliminacion de espacios fisicos en la
entidad.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
12
2 CONCEPTOS SOBRE SEGURIDAD COMPUTACIONAL
2.1 Conceptos bsicos
YY Que es un sitio web?
Cualquier organizacion (militar, gubernamental, comercial, academica, etc.) que
posea recursos relativos a redes y computadoras.
YY Que es un usuario?
Cualquier persona que hace uso de alguno de los recursos de computo con los que
cuenta una organizacion.
YY Que es un administrador?
El responsable de mantener en operacion continua los recursos de computo con los
que cuenta un sitio
YY Que es seguridad en computo?
Un conjunto de recursos destinados a lograr que los activos de una organizacion
sean confidenciales, integros, consistentes y disponibles a sus usuarios,
autentificados por mecanismos de control de acceso y sujetos a auditoria.
NN Confidencial: La informacion debe ser leida por su propietario o por alguien
explicitamente autorizado para hacerlo.
NN Integro: La informacion no debe ser borrada ni modificada por alguien que
carezca de autorizacion para hacerlo.
NN Consistente: el sistema, al igual que los datos, debe comportarse como uno
espera que lo haga.
NN Disponible: La informacion debe estar siempre disponible en el lugar y cantidad
de tiempo requeridos.
NN Autentificado: Unicamente deben ingresar al sistema personas autorizadas,
siempre y cuando comprueben que son usuarios legitimos.
NN Control de acceso: Debe conocerse en todo momento quien entra al sistema y de
donde procede.
NN Auditoria: Deben conocerse en cada momento las actividades de los usuarios
dentro del sistema.
YY Que es un incidente?
Un evento que pone en riesgo la seguridad de un sistema de computo.
YY Que es un ataque?
Un incidente cuyo objetivo es causar dao a un sistema, robar informacion del
mismo, o utilizar sus recursos de forma no autorizada.
YY Que es un Eirewall?
Un dispositivo de hardware y software que actua como una barrera protectora entre
una red privada y el mundo exterior; se usa para proteger el acceso a los recursos
internos desde el exterior, asi como para controlar los recursos externos que son
accedidos desde la red privada.
YY Que son las herramientas de seguridad?
Programas que permiten incrementar la fiabilidad de un sistema de computo. Existe
una gran variedad de ellas, casi todas de libre distribucion. Algunos ejemplos de
herramientas a considerar para implementar un esquema de seguridad son:
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
13
NN Para el manejo de contraseas: Anipasswd, passwd, crack, John The
Ripper, S/Key
NN Para el manejo de autenticacion: Kerberos, SecureRPC
NN Para monitorear redes: Satan, ISS
NN Para auditoria interna: COPS, Tiger, Tripwire
NN Para control de acceso: TCP-Wrapper, PortSentry
2.2 Organizacin de la seguridad
Como primer punto, es necesario hacer enfasis en que el apoyo por parte de la gente
con el poder de decision (cuerpo directivo, dueos de los recursos, gerencia, etc.) es
fundamental para el exito de un esquema de seguridad, ya que sin el, algunos
elementos de dicho esquema no tendrian validez (p.e., politicas y procedimientos).
Es vital mantener en constante capacitacion tanto al personal antiguo como al nuevo
mediante cursos, seminarios, congresos, etc. - La mejor defensa es el conocimiento.
Los usuarios deben conocer el uso adecuado de los sistemas de computo y saber
como protegerse a si mismos de accesos no autorizados. Debe crearse una cultura de
seguridad, haciendo ver a la gente involucrada los peligros a los que se esta expuesto
en un ambiente tan hostil como el que ha generado la evolucion de las actuales redes
de computadores.
El primer paso a considerar en un esquema de seguridad, que muchas veces no recibe
suficiente atencion, es la seguridad fisica - las medidas que se usan para proteger las
instalaciones en las que reside un sistema de computo: llaves, candados, tarjetas de
acceso, puertas, ventanas, alarmas, vigilancia, etc. Recomendaciones respecto a la
seguridad fisica incluyen:
NN Mantener los computadores alejados del fuego, humo, polvo y temperaturas
extremas.
NN Colocarlos fuera del alcance de rayos, vibraciones, insectos, ruido electrico
(balastras, equipo industrial, etc.), agua, etc.
NN Mantener los computadores alejados de comida y bebida.
NN No desatender las sesiones de trabajo activas.
2.3 Polticas y procedimientos de seguridad
Politicas de seguridad son los documentos que describen, principalmente, la forma
adecuada de uso de los recursos de un sistema de computo, las responsabilidades y
derechos que tanto usuarios como administradores tienen y que hacer ante un
incidente de seguridad.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
14
Mientras las politicas indican el 'que, los procedimientos indican el 'como. Los
procedimientos son los que nos permiten llevar a cabo las politicas. Ejemplos que
requieren la creacion de un procedimiento son:
NN Otorgar una cuenta
NN Dar de alta a un usuario
NN Conectar un equipo computacional a la red
NN Localizar un equipo computacional
NN Actualizar el sistema operativo
NN Instalar software localmente o via red
NN Actualizar software critico
NN Exportar sistemas de archivos
NN Respaldar y restaurar informacion
NN Manejar un incidente de seguridad
Para que esto sirva de algo, las politicas deben ser:
NN Apoyadas por la directiva de la entidad
NN Unicas
NN Claras y explicitas
NN Concisas y breves
NN Bien estructuradas
NN Servir de referencia
NN Escritas y digitalizadas
NN Revisadas por abogados
NN Dadas a conocer por la mayor cantidad de medios y servicios al interior de la
entidad
NN Entendidas por los usuarios
NN Eirmadas por los usuarios
NN Mantenerse actualizadas
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
15
Las politicas son parte fundamental de cualquier esquema de seguridad eficiente.
Para los administradores, aminoran los riesgos, y permiten actuar de manera rapida y
acertada en caso de haber una emergencia de computo. Para los usuarios, indican la
manera adecuada de usar un sistema, indicando lo que puede hacerse y lo que debe
evitarse en un sistema de computo, contribuyendo a que no existan 'malos vecinos
en la red sin saberlo. El tener un esquema de politicas facilita enormemente la
introduccion de nuevo personal, teniendo ya una base escrita y clara para
capacitacion; dan una imagen profesional a la organizacion y facilitan la auditoria.
Los principales puntos que deben contener las politicas de seguridad son:
NN Ambito de aplicacion
NN Analisis de riesgos
NN Enunciados de politicas
NN Sanciones
NN Seccion de uso etico de los recursos de computo
NN Seccion de procedimientos para el manejo de incidentes
Al disear un esquema de politicas de seguridad, conviene dividir el trabajo en varias
politicas diferentes especificas a un campo - cuentas, contraseas, control de acceso,
uso adecuado, respaldos, correo electronico, contabilidad del sistema, seguridad fisica,
personal, etc.
NN Politicas de cuentas: Establecen que es una cuenta de usuario de un sistema de
computo, como esta conformada, a quien puede serle otorgada, quien es el
encargado de asignarlas, como deben ser creadas y comunicadas. Ejemplos:
EE Las cuentas deben ser otorgadas exclusivamente a usuarios legitimos
EE Una cuenta debera estar conformada por un nombre de usuario y su respectiva
contrasea.
EE El nombre de usuario de una cuenta debera estar conformado por la primera
letra de su nombre y su apellido paterno.
NN Politicas de contraseas: Son una de las politicas mas importantes, ya que por lo
general, las contraseas constituyen la primera y tal vez unica manera de
autenticacion y, por tanto, la unica linea de defensa contra ataques. Estas establecen
quien asignara la contrasea, que longitud debe tener, a que formato debera
apegarse, como sera comunicada, etc. Ejemplos:
E La longitud de una contrasea debera siempre ser verificada de manera
automatica al ser construida por el usuario. Todas las contraseas deberan contar
con al menos ocho caracteres.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
16
E Todas las contraseas elegidas por los usuarios deben ser dificiles de adivinar.
No deben ser utilizadas palabras que aparezcan en el diccionario, secuencias
conocidas de caracteres, datos personales ni acronimos.
E Esta prohibido que los usuarios construyan contraseas compuestas de algunos
caracteres constantes y otros que cambien de manera predecible y sean faciles de
adivinar.
E Los usuarios no deben construir contraseas identicas o muy parecidas a
contraseas anteriores.
NN Politicas de control de acceso: Especifican como deben los usuarios acceder al
sistema, desde donde y de que manera deben autenticarse. Ejemplos:
E Todos los usuarios deberan acceder al sistema utilizando algun programa que
permita una comunicacion segura y cifrada.
E Esta prohibido acceder al sistema con una cuenta diferente de la propia, aun con
la autorizacion del dueo de dicha cuenta.
E Si un usuario esta fuera del sitio de trabajo, debe conectarse a una maquina
publica del sitio y unicamente desde esta, hacer la conexion al computador
deseado.
E Al momento de ingresar al sistema, cada usuario debera ser notificado de la
fecha, hora y direccion desde la que se conecto al sistema por ultima vez, lo cual
permitira detectar facilmente el uso no autorizado del sistema.
NN Politicas de uso adecuado: Especifican lo que se considera un uso adecuado o
inadecuado del sistema por parte de los usuarios, asi como lo que esta permitido y lo
que esta prohibido dentro del sistema de computo.
Antes de disear el esquema de politicas de uso adecuado, conviene hacer las
siguientes preguntas:
E Se permite irrumpir en cuentas ajenas?
E Se permite adivinar contraseas?
E Se permite interrumpir el servicio?
E Puede leerse un archivo ajeno cuyos permisos ante el sistema incluyen el de
lectura para todos?
E Puede modificarse un archivo ajeno cuyos permisos ante el sistema incluyen el
de escritura para todos?
E Pueden los usuarios compartir sus cuentas?
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
17
E Puede copiarse el software que no lo permita en su licencia?
E Puede obtenerse una "licencia para hackear"?
La respuesta a todas estas preguntas debe ser negativa.
Existen dos enfoques: permisivo (todo lo que no este explicitamente prohibido esta
permitido) y paranoico (todo lo que no este explicitamente permitido esta
prohibido). Cual de estas elegir, dependera del tipo de organizacion y el nivel de
seguridad que esta requiera.
Tras haber aclarado estos ultimos puntos, se puede proceder a algunos ejemplos:
E Esta terminantemente prohibido ejecutar programas que intenten adivinar las
contraseas alojadas en las tablas de usuarios de maquinas locales o remotas.
E La cuenta de un usuario es personal e intransferible, por lo cual no se permite
que se comparta ni cuenta ni contrasea con persona alguna, aun si acredita la
confianza del usuario.
E Esta estrictamente prohibido hacer uso de herramientas propias de delincuentes
informaticos, tales como programas que rastrean vulnerabilidades en sistemas de
computo propios o ajenos.
E Esta estrictamente prohibido hacer uso de programas que explotan alguna
vulnerabilidad de un sistema para proporcionar privilegios no otorgados
explicitamente por el administrador.
E No se permite bajo ninguna circunstancia el uso de cualquiera de las
computadoras con propositos de ocio o lucro.
NN Politicas de respaldos: Especifican que informacion debe respaldarse, con que
periodicidad, que medios de respaldo utilizar, como debera ser restaurada la
informacion, donde deberan almacenarse los respaldos, etc. Ejemplos:
E El administrador del sistema es el responsable de realizar respaldos de la
informacion periodicamente Cada treinta dias debera efectuarse un respaldo
completo del sistema y cada dia deberan ser respaldados todos los archivos que
fueron modificados o creados.
E La informacion respaldada debera ser almacenada en un lugar seguro y distante
del sitio de trabajo.
E Debera mantenerse siempre una version reciente impresa de los archivos mas
importantes del sistema.
E En el momento en que la informacion respaldada deje de ser util a la
organizacion, dicha informacion debera ser borrada antes de deshacerse del
medio.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
18
NN Politicas de correo electronico. Establece tanto el uso adecuado como inadecuado
del servicio de correo electronico, los derechos y obligaciones que el usuario debe
hacer valer y cumplir al respecto. Ejemplos:
E El usuario es la unica persona autorizada para leer su propio correo, a menos que
el mismo autorice explicitamente a otra persona para hacerlo, o bien, que su
cuenta este involucrada en un incidente de seguridad de computo.
E Esta estrictamente prohibido usar la cuenta de correo electronico proporcionada
por la organizacion para propositos ajenos a sus actividades laborales.
E No se permite el uso de la cuenta de correo electronico para subscribirse a listas
electronicas de discusion de interes personal El usuario debera limitarse a estar
subscrito a las listas indicadas y aprobadas por la organizacion.
N Politicas de contabilidad del sistema: Establecen los lineamientos bajo los cuales
pueden ser monitoreadas las actividades de los usuarios del sistema de computo, asi
como la manera en que debe manejarse la contabilidad del sistema y el proposito de
la misma. Ejemplos:
4 Deberan ser registrados en bitacoras todos los comandos emitidos por todos
los usuarios del sistema, para propositos de contabilidad
4 Cada semana debera hacerse el corte de contabilidad del sistema, cifrandose
y respaldandose la informacion generada en un dispositivo de
almacenamiento permanente
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
19
3 FUNCIONES DE LA ADMINISTRACION DE UNA RED DE DATOS
Una administracion de Red de Datos, fundamentalmente se compone de dos areas, la
encargada de la Administracion de Servidores y Servicios y la de la Infraestructura de Red.
A continuacion se especificacan las funciones de cada una, discriminando entre tareas
administrativas y tecnicas. Por ultimo al ser un ente que pone un abanico de servicios
telematicos a disposicion de usuarios, entendiendo a estos como las personas debidamente
autorizadas para hacer uso de cualquier servicio prestado, se debe ofrecer la posibilidad de
realimentacion, normalmente conocido como Help Desk, por esa razon tambien se exponen
sus funciones.
3.1 Administracin de Servidores y Servicios
3.1.1 Funciones Administrativas
N Determinar politicas de mantenimiento de los servidores, servicios, seguridad y
planes de contingencia.
N Establecer estrategias de optimizacion para la prestacion de los servicios.
N Instalacion del sistema operativo de los servidores
N Instalacion y configuracion de los servicios que se soportan.
N Actualizar de software de los servidores o servicios y aplicar parches, especialmente
los de seguridad.
N Generar reportes del estado de los servidores y sus servicios.
N Administracion de las zonas de dominios de Internet.
N Propender por el desempeo de los equipos y los servicios que se soportan en ellos.
N Detectar y atender problemas de seguridad y corregirlos
N Gestion del direccionamiento IP
N Gestion de tecnologia.
N Generar y mantener documentacion y manuales de procedimiento.
3.1.2 Funciones Tcnicas
N Llevar a cabo las actividades correspondientes a las politicas definidas.
N Mantener el correcto funcionamiento de los servidores y servicios de Internet que se
soportan.
N Mantenimiento de equipos
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
20
3.2 Administracin de Infraestructura de Red
3.2.1 Funciones Administrativas
N Determinar politicas de mantenimiento de la red, respaldo de la conectividad y
seguridad
N Diseo de las soluciones de Cableado Estructurado
N Administracion del Cableado Estructurado
N Gestion de las atenciones a usuarios de red
N Manejo del inventario de equipos de red
N Instalacion y configuracion de equipos activos
N Manejo de planos
N Gestion de red
N Generacion de informes del estado de la red
N Gestion de tecnologia
N Proteccion electrica
N Generar y mantener documentacion y manuales de procedimiento.
3.2.2 Funciones Tcnicas
N Llevar a cabo las actividades correspondientes a las politicas definidas.
N Desarrollo de obras de cableado estructurado para extensiones o expansiones en las
dependencias.
N Configuracion de la Red de los PCs.
N Instalacion de Tarjetas de Red.
N Mantenimiento de la Red (centros de cableado, dispositivos de red, cables).
N Elaboracion de cables de UTP.
N Mantenimiento de la infraestructura de Cableado Estructurado.
N Pruebas y certificacion de cableado
N Configurar las herramientas software de Internet (navegador, cliente de correo, etc)
N Mantenimiento de equipos.
3.3 Atencin a Usuarios
3.3.1 Funciones Tcnicas
N Gestion de las comunicaciones de los usuarios sobre los servicios.
N Soporte a problemas tecnicos de los usuarios, por diferentes medios (telefonico, e-
mail, online-web, presencial).
N Generacion de reportes estadisticos.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
21
4 LINEAMIENTOS PARA LA CREACION DE POLITICAS DE SEGURIDAD
El Administrador de la Red de datos junto con la cupula administrativa, son quienes deben
decidir el nivel de seguridad que desea para su red y computadores. Cuando se decida la
politica de seguridad a seguir, se debera buscar el equilibrio entre seguridad, conveniencia
v disponibilidad.
Estos son algunos de los interrogantes que deben plantearse cuando se disean las politicas
de seguridad:
YY Quien debe tener acceso? Si se trata de un negocio, son todos los empleados o
solamente algunos?
YY Quien debe tener acceso fisico? Los sistemas se encuentran cerrados o de libre
acceso?
YY Cuando se debe tener acceso? Se permite a los usuarios acceder de 9 am a 5 pm los
dias laborales o 24 horas siete dias a la semana?
YY De que clase de acceso se debe disponer? Todos necesitan acceder a Internet o solo a
las impresoras de la red?
YY Que servicios deben usar? Debe alguno acceder a ftp? Que ocurre con telnet, finger
y los demas servicios?
YY Que clases de programas deben ejecutar? Necesitan acceso a sencillas herramientas
de oficina o a sofisticados programas de graficos y de CAD?
YY Con que otros computadores de la red deben conectarse? Cuantos servidores deben
ver? El servidor web? Que pasa con la contabilidad y las nominas?
YY De cuanto espacio deben disponer los usuarios dentro del sistema de archivos?
Necesitan 100 Megas o 10 Gigas?
YY De cuanto espacio del kernel disponen los usuarios? Necesitaran mas de 5
megabytes?
YY Que restricciones se deben implantar al uso de contraseas? Una longitud minima?
Cambios semanales? Tal vez mensuales?
YY Que clase de ataques son posibles? Hay modems o ras en alguno de los sistemas?
Hace falta que los usuarios accedan desde el exterior a traves del Firewall?
YY Que ataques son mas probables? Se ha despedido recientemente a empleados con
conocimiento del sistema? Se han producido recientemente intentos que hayan tenido
exito?
YY De cuanto tiempo se dispone para recuperarse despues de un ataque? Es posible
permitirse una semana de baja? Un dia? Una hora?
YY Cuanto va a costar? Considerese sobre la base hora/trabajador, para volver a la
normalidad.
YY Que valor deben tener los datos protegidos para alguien de afuera? Son secretos
corporativos? Informacion financiera? Lista de clientes?
YY Que dao pueden causar a la reputacion de la empresa la publicacion de la intrusion?
Que ocurre si se trata de una institucion financiera y se ven comprometidos los
expedientes de los clientes?
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
22
YY Que perjuicio para las ventas de la entidad supondria la publicacion de la intrusion?
Se especula con el buen nombre y el historial de seguridad? Que ocurre si se estan
facilitando servicios de seguridad y los sistemas se ven comprometidos?
4.1 Polticas de configuracin
Hay que decidir la manera de configurar las computadoras para conseguir la calidad
conveniente del sistema. El tener sistemas configurados de manera similar ayudara
inicialmente y sera de utilidad para detectar una configuracion que no es igual a las otras.
4.2 Polticas de mantenimiento
Deberia fijarse un calendario para la auditoria de los sistemas de seguridad. En el deberia
fijarse la ejecucion del software de auditoria de la red y el software de auditoria de la
configuracion. Generalmente se usa cron, en sistemas Linux / Unix, para ejecutar estos
paquetes y los registros de salida son escaneados o enviados por correo electronico al
administrador diariamente.
Tambien deberia comprobarse la aparicion del parches del fabricante para el software que
se ejecuta en el sistema. Para ello son utiles los anuncios de CERT. Vease
http://www.cert.org. Deben aplicarse esas actualizaciones tan pronto como se tiene
conocimiento de ellas para estar prevenidos contra los ataques mas recientes.
4.3 Polticas de reaccin o contingencia
Debe prepararse un plan de reaccion a las intrusiones predecibles. Identificar los pasos
necesarios para recuperarse de una intrusion, incluyendo la conectividad, la recuperacion a
partir de las copias de seguridad y la prevencion de futuras intrusiones. El conocimiento de
lo que debe hacerse para minimizar los daos de un ataque en curso o ante hechos
consumados evitara confusiones y lo que es mas importante, tiempo.
4.4 Establecer las reglas
Ademas de la politica de seguridad, debe existir un conjunto de normas que los usuarios
deben seguir cuando usan el sistema. Estas reglas deben sealar lo que se espera de los
usuarios y las consecuencias de un mal uso del sistema. Tener unas normas claramente
establecidas dara un soporte legal si alguien se convierte en un problema para el sistema.
Lo peor que puede ocurrir es que, despues de una violacion de las reglas, no se pueda
demostrar lo que el usuario ha hecho en contra de ellas, porque no esta sealado en ningun
sitio y peor aun, que lo ocurrido quede impune.
Una buena politica de normas deja poco campo a la interpretacion. Es muy importante que
lo usuarios y todos los demas que intenten usar el computador o sus servicios conozcan y
entiendan las reglas del sistema.
Algunos puntos a considerar para su inclusionen un conjunto de normas de utilizacion son:
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
23
YY Quien es el propietario del sistema? Generalmente sera la empresa o la entidad que lo
paga?
YY Quien debe usar el sistema? Deberian incluirse los terminos 'usuarios autorizados y
consistirian en los empleados de la entidad o los estudiantes y facultades de una
institucion de enseanza?
YY Horario de utilizacion. Podria ser de 9 am a 5 pm para un banco o entidad financiera y
24 horas, todos los dias del ao en una Universidad?
YY Servicios que deben usarse. Seran los servicios que el usuario debe utilizar y no son
necesariamente todos los programas instalados.
YY Servicios estrictamente prohibidos. Que incluiria el almacenamiento de archivos no
autorizados, como pornografia, software pirata o el trafico con ellos.
YY Software prohibido en el sistema. Ademas de lo anterior, puede ser software legal, pero
no aprobado por el servicio de soporte tecnico del equipo computacional.
YY Sanciones por uso indebido. Debe ser la revocacion del acceso o sanciones penales.
YY Contacto para preguntas o informacion de uso indebido. Normalmente debe ser alguien
en los servicios de seguridad computacional o en el soporte tecnico del equipo
computacional.
YY Donde debe obtenerse mas informacion. Pueden ser archivos almacenados o incluso
enviados por Internet.
YY Debe colocarse el conjunto de normas de utilizacion donde todos los usuarios deban
verlo o en su defecto difundirlo a traves de los mismos servicios de la entidad, como
son ftp, correo electronico o web.
4.5 Velar por el estricto cumplimiento
La forma menos conflictiva de aplicar el cumplimento estricto de las politicas de seguridad
es que, siempre que sea posible, sea el propio sistema el que informe automaticamente.
Esto ayudara a evitar la confrontacion directa con los usuarios que violen las politicas. Si es
el sistema el que les dice que estan cometiendo una infraccion, la cosa resulta mas
impersonal y no lo veran como algo represivo o un ataque personal. Las contraseas, los
horarios de inicio, los permisos de acceso a dispositivos y la limitacion del uso de recursos
deben ser controlados y su cumplimiento implantado por el sistema segun lo tratado
anteriormente en este documento. Ademas, ello ayudara a reducir la carga de trabajo como
Administrador de una Red de Datos.
Debe ejercerse una estrecha vigilancia sobre el sistema y los usuarios. No hay que permitir
que queden impunes las violaciones de las politicas de utilizacion. Hay que reaccionar con
prontitud y de acuerdo con las medidas que se establecieron en los terminos de la politica
de utilizacion. No hay que aplicar a nadie excepciones que no este dispuesto a aplicar a los
demas. Hay que controlar diariamente los registros del sistema en busca de violaciones. El
conocimiento de la forma que los usuarios utilizan el sistema es una parte importante de la
administracion de sistemas computacionales seguros.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
24
4.6 Cmo tratar las infracciones
Hay que tratar con cautela a quienes violen la politica de seguridad. Cuando la infraccion
ha sido leve y no llega a constituir una amenaza (el usuario ha sobrepasado largamente los
limites de utilizacion del disco, por ejemplo), el envio de advertencias documentadas suele
ser un buen primer paso. Se puede limitar el acceso del usuario a los recursos. Si el
usuario reincide, se puede aumentar la penalizacion anulando su cuenta durante un tiempo
prudente, por ejemplo.
4.7 Anular una cuenta
Anular una cuenta es una forma de llamar rapidamente la atencion del usuario. Le obligara
a ponerse en contacto con el administrador de la red de datos para que se la restablezca y se
podra aprovechar la ocasion para comentarle las infracciones cometidas.
4.8 Restringir las horas de acceso
Se puede limitar las horas a las que un usuario debe conectarse al sistema. Puede que desee
limitar las horas de acceso de un usuario a aquellas en las que el administrador del sistema
computacional pueda vigilar directamente su actividad.
4.9 Limitar los recursos
Cuando un usuario escribe o ejecuta frecuentemente programas que ocupan recursos del
sistema tales como tiempo de CPU, memoria o espacio en la tabla de procesos, pueden
cambiarse ciertos parametros con el fin de mantenerles por debajo de ciertos umbrales.
4.10 Limitar el espacio en el sistema de archivos
Si se nota que algun usuario esta ocupando espacio en disco, puede considerarse la
posibilidad de instalar cuotas para fijar un limite maximo que cada usuario tiene derecho a
utilizar.
4.11 Limitar el acceso a los dispositivos
Si un usuario abusa de los dispositivos, como, por ejemplo, quemar demasiados CDs o
ejecutar sonidos con volumen molesto para otros usuarios que estan trabajando, es posible
configurar el sistema para restringir el acceso a estos dispositivos mientras el usuario esta
conectado a una consola.
4.12 Limitar el acceso a programas
Cuando un usuario abusa de sus privilegios, ejecutando programas que no debe, o a horas
indebidas, se pueden usar grupos para limitarle el acceso.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
25
5 POLITICAS PARA EL USO DE CUENTAS DE CORREO ELECTRONICO
5.1 Normas para el uso de las cuentas de correo electrnico
E El contenido de los mensajes no debe ser NUNCA insultante, injurioso, ofensivo u
obsceno. Explicitamente son considerados ofensivos los de caracter sexista o
racista. Sera considerado como FALTA GRAVE el incumplimiento de esta norma.
E Queda prohibido enviar mensajes a un grupo, o a un usuario que no los quiera
recibir.
E Queda prohibido el uso de seudonimos u otros sistemas de ocultamiento de
identidad. Debe quedar claro al receptor de los mensajes el nombre de quien los
envia.
E No es aceptable la utilizacion de firmas excesivamente largas. Deben ser escuetas y
nunca superar los 100 caracteres, a menos que sean firmas digitales generadas por
GnuPG o PGP.
E No deben usarse sistemas de transferencia de archivos mediante correo, por ejemplo
ftpmail, debido al peligro de saturacion del sistema que esto provoca.
E Cuando en una respuesta se incluye el mensaje original, se debe eliminar toda la
informacion accesoria, que no este relacionada con el contenido de la respuesta
(cabeceras, apartados irrelevantes del mensafe, firmas, despedidas, etc.) .
E El usuario se hace responsable de mantener espacio disponible en su cuenta para
permitir la correcta recepcion de mensajes. Se aconseja leer diariamente su correo.
E Cualquier queja, referente al usuario, recibida de administradores de correo de redes
externas sera considerada una FALTA MUY GRAVE.
E No se permite enviar repetidamente, de manera sistematica, un mismo mensaje a
una o varias listas (aliases).
E Se prohibe expresamente el envio de mensajes publicitarios a las listas (aliases), a
menos que este previamente autorizado por el administrador de correo.
5.2 Recomendaciones para el uso de las cuentas de correo electrnico
E No reenviar correspondencia privada sin permiso del autor. No leer el correo de
otra persona sin su permiso.
E Si se recibe un mensaje por accidente, devolverlo al remitente o realizar un
"forward" a la persona a la que iba dirigido.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
26
E No enviar informacion falsa y no pretender ser alguien que no se es, para conseguir
las ventajas de ese alguien.
E Daar un sistema implica daar a mucha gente.
E Los usuarios que eligen claves obvias (conocido como aguferos), estan aumentando
la probabilidad de estropear no solo sus propios correos sino los de los demas
tambien.
E A todos los efectos, emplear un "agufero" de seguridad para provocar daos en un
sistema de forma voluntaria es equivalente a forzar ese sistema con cualquier
metodo para realizar los mismos daos.
E En terminos absolutos, quien conociendo la existencia de un "agufero" de
seguridad, no hace lo posible para que se corrija, es cuando menos "complice
involuntario" o incluso co-responsable de los daos que puedan ser infringidos por
un tercero a traves de ese "agufero".
5.3 Recomendaciones sobre la utilizacin de las listas de inters
E Las listas, al ser un medio de amplia difusion (los mensafes son recibidos por
1ODOS los subscriptores), deben ser utilizadas con prudencia. Los mensajes a las
listas no deben enviarse antes de haber preparado el tema a tratar. En el caso de una
pregunta, deben agotarse primero otros medios de consulta disponibles (bibliotecas,
tutorias, libros, manuales, etc.).
E El envio masivo de mensajes a una lista provoca irremediablemente su
inoperatividad. Cuando una lista recibe mas de 30 mensajes diarios los usuarios
tienden a abandonarla, al verse incapaces de atender la avalancha. Por tanto, se
restringe el numero de mensajes a 15 por usuario, lista y dia.
E Cualquier duda o problema relacionado con el servicio de correo y listas de
distribucion en este servidor pueden ser comentados al administrador del servicio de
correo electronico.
E Es muy importante asegurarse de pertenecer a la lista adecuada.
5.4 Utilizacin correcta de las cuentas de correo electrnico
E Las cuentas son personales e intransferibles. Se considera falta MUY GRAVE el
uso de cuentas ajenas, asi como la cesion de la cuenta propia a terceros.
E El propietario de la cuenta es el UNICO responsable de la privacidad de su clave.
Cualquier accion efectuada desde esta sera atribuida a dicho propietario.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
27
E Al momento de la creacion de una Cuenta de correo electronico se asigna como
espacio disponible para la recepcion de correo electronico 7000kb para los usuarios
de la Universidad del Cauca, por ejemplo.
5.5 Ataque y proteccin a las cuentas de correo electrnico
E Uno de los posibles ataques a la cuenta de un usuario es el conocimiento de su clave
de acceso a traves de medios no autorizados como son: verla digitar, leerla de un
papel donde este escrita, oirla decir, etc. La medida de precaucion adecuada a este
caso es cambiar la clave periodicamente o cuando la privacidad de esta haya estado
en peligro. El cambio de clave se realiza por medio del administrador de la red o
por el mismo usuario.
E Otro posible ataque a una cuenta puede producirse al abandonar una terminal o PC
sin haber cerrado la sesion abierta. Al finalizar la sesion de trabajo se debe salir
siempre de la cuenta. Por ejemplo se debe cerrar el Secure Shell, Outlook Express o
el cliente de correo autorizado.
5.6 Sanciones por faltas sobre el uso de las cuentas de correo electrnico
Las posibles sanciones a aplicar, dependiendo de la gravedad de la falta cometida, son las
siguientes:
E Inhabilitacion temporal o definitiva de la cuenta de correo.
E Suspension indefinida de la cuenta.
E Si es estudiante de la Universidad se realizara un informe a la Jefatura de la
Eacultad correspondiente para que tome las medidas disciplinarias oportunas.
E Si es personal de la Universidad, se realiza un informe a la Vice-Rectoria
Administrativa o a la oficina encargada para la sancion correspondiente.
E La administracion de la red de datos o el comite encargado de estudiar las faltas,
tendra la potestad de aplicar estas sanciones.
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
28
6 GLOSARIO
ASCII
American Standard Code Information Interchange (Codigo estandar americano para
el intercambio de informacion.
BackOffice
Paquete de software para Windows NT que provee conectividad y servicios de Internet.
Bug
Eallo de un programa que afecta la seguridad de la informacion del PC.
CERT
Computer Emergency Response Team
Contrasea
Clave secreta de un usuario que da el acceso a un servidor.
Cracking
Se le llama a la accion de violar o romper la seguridad de un sistema operativo o
programa.
Demonio
Realmente se llaman Daemons y son aquellos programas que suben los servicios en los
sistemas operativos Unix.
FingerPrinting
Tecnica utilizada por Hackers y Crackers para obtener la mayor cantidad de
informacion sobre un determinado sistema operativo y servicios en ejecucion de una
computadora personal o un servidor.
Firewall
Programa que permite el filtrado de paquetes y servicios a una red.
FTP
File Transfer Protocol (Protocolo de transferencia de archivos)
GUI
Graphic User Interface (Interfaz de usuario grafica)
Hacking
Accion de llevar al limite del conocimiento alguna disciplina, ciencia o arte.
Popularmente se le llama asi a las la acciones de los Hackers.
Hexadecimal
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
29
Numero en un sistema con base en 16.
Ingeniera social
Se le llama a la accion de engaar a un usuario o administrador de una red para
conseguir su contrasea.
Intranet
Red interna o tambien llamada corporativa, separada de Internet pero con los mismos
servicios a los usuarios de la misma.
IP
Internet Protocol (Protocolo de internet)
IPCE
Intern Process Comunication Enviroment. Procesos internos de ambiente de
comunicacion.
ISN
Initial Sequence Number (Numero de secuencia inicial).
Son aquellos numeros que se generan en la secuencia inicial cuando el servidor
responde a solicitudes de conexion.
Login
Asi se le llama a la identificacion del usuario, previa a la exigencia de la contrasea,
para el posterior acceso a un servidor.
Proxy
Un servidor Proxy es el que comunica la estacion del usuario con internet y esta
asociado con el Gateway y en algunos casos con el Eirewall.
RFC
Request For Comment
Router
Enrutador que permite la conexion entre Internet y nuestra Intranet o entre 2 redes
cualesquiera.
SMTP
Simple Mail Transfer Protocol (Protocolo de Transferencia de correo Simple).
Troyano
Programa que aparenta dar un servicio confiable, pero que en realidad atenta contra la
seguridad de la informacion de quien lo utiliza.
UPS
Unit Power Suply (Unidad de fuente de poder).
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
30
Virus
Programas que tienen el comportamiento de los virus biologicos, se reproducen de
igual forma y atacan hasta el punto de dejar inutilizable un computador.
WAN
Wide Area Network (Red de area amplia).
POLITICAS DE SEGURIDAD COMPUTACIONAL
Universidad del Cauca
Siler Amador Donado
Guefrv Agredo
Carolina Carrascal
31
7 BIBLIOGRAFIA
1. Apuntes de Clase de Seguridad computacional y Regimen en
telecomunicaciones e informatica. Universidad del Cauca Siler Amador
Donado.