captulo

10

Firewall

gestin Despus

proyectos

de leer este captulo y completar los

ejercicios, usted ser capaz de: Diseo

cortafuegos

comn Describir,

proxy Describir

planificar

instalar

la

configuraciones

configurar

configuracin

de

un

un

del

servidor

bastin

de

host Describir y plan de la configuracin de un honeypot Describir y

configurar la traduccin de direcciones de red Realizar la configuracin

bsica de un servidor de seguridad Cisco ASA 343

Usted puede incorporar los cortafuegos en su infraestructura de seguridad de
muchas maneras diferentes

Usted puede utilizar uno o ms servidores de seguridad para dar proteccin a los
servidores Web o FTP de acceso pblico, proteger a los servidores de archivos
contra ataques externos al tiempo que permite el acceso hosts internos, y ms. De
hecho, usted puede disear su arquitectura de seguridad para adaptarse a
cualquier requerimiento que tenga. En este captulo, aprender acerca de las
configuraciones de servidor de seguridad comunes y aprender a seleccionar uno
que mejor se adapte a sus necesidades
Usted tambin aprender sobre las funciones de los dispositivos tales como los
servidores proxy, los hosts de baluarte, honeypots, y firewalls. Al implementar un
entorno de defensa en profundidad, los dispositivos que las funciones de
seguridad de acogida deben ser lo ms seguro posible s

Disear Firewall Configuraciones Hasta ahora, en este libro, que

ha aprendido sobre el enrutamiento, la seguridad del router y cortafuegos.En este
captulo, se ve cmo se combinan estos componentes en el permetro de la red
para proteger la red interna y proteger los servicios en la zona desmilitarizada
(DMZ). Las empresas tienen una gran variedad de servicios en sus redes y en
Internet. Tambin tienen un rea de red donde el acceso de recursos es ms
flexible, lo que permite hosts internos y sistemas externos para obtener acceso. El
problema es que proporciona un acceso adecuado y sin poner en peligro las reas
confidenciales o de misin crtica. Para lograr este objetivo, el permetro de redes
de servidores de alojamiento web, servidores de comercio electrnico, servidores
FTP, servicios de acceso remoto, bases de datos, servidores DNS, y ms. Para
mantener esos sistemas requiere firewalls, pero los cortafuegos no puede hacer el
trabajo solos
Para disear una red perimetral productiva pero seguro, usted debe entender
cmo se combinan los cortafuegos y otras medidas de seguridad con los hosts de
baluarte, traduccin de direcciones de red (NAT), servidores proxy y los mtodos
de autenticacin. En las siguientes secciones, aprender cmo implementar
firewalls de diferentes maneras en la red: como parte de un router de seleccin,
una serie dualhomed, un host seleccionados, una DMZ subred filtrada, mltiples
DMZ, mltiples firewalls, y una configuracin de firewall inverso. Una red de
permetro de seguridad tambin puede incluir Internet Protocol Security (IPsec),
redes privadas virtuales (VPNs), y deteccin de intrusos y sistemas de prevencin
(IDPSS). La red tambin puede disponer de acceso inalmbrico

Screening Routers El

firewall simple es un solo router en el permetro de la

red configurado para filtrar los paquetes

Este router de screening determina si se debe permitir o denegar los paquetes

basados en su fuente y las direcciones IP de destino o cualquier otra informacin
en sus cabeceras (ver Figura 10-1)
Sin embargo, este dispositivo por s sola no impide que muchos ataques,
especialmente los que utilizan la informacin de direccin IP falsificada o
manipulada. Este tipo de router se debe combinar con un firewall o servidor proxy
para mayor proteccin

Con base dual Hosts Un acuerdo de seguridad comn consiste en instalar un

firewall u otro software de seguridad (como un servidor proxy) sobre unabase dual
de acogida , un equipo configurado con ms de una interfaz de red. La capacidad
para enviar paquetes est deshabilitada en el equipo, por lo que slo el servidor
de seguridad 344 Captulo 10 Firewall proyectos y gestin

10 software puede reenviar el trfico de una interfaz a otra (ver Figura 10-2). Los
usuarios que estn conectados a Internet tambin utilizan este tipo de
configuracin. Se establecen normas para que el servidor de seguridad se mueve
el trfico entre Internet y una computadora en casa o en la red
Internet o router de la red que no se confa en el permetro de la red procesa el trfico en
funcin de su base de reglas (Access Control List) Externas red interna de
comunicaciones de enlace troncal Ethernet de subred 192.168.0.1 255.255.255.0
Cambie 2014 Cengage Learning Figura 10-1 Un router de seleccin de Internet o una red no
confiable Interfaz interna: 192.168.0.1 Interfaz externo: 201.200.19.1 controles de
software del servidor de seguridad de manejo de paquetes de todo a travs de interfaces
de ordenador del host de alojamiento capacidades de trfico y paquetes de manejo de
cortafuegos desactivados externa troncal enlace de comunicaciones Ethernet de la red
interna de subred 192.168.0.1 255.255.255.0 Cambie Cengage Aprendiendo 2014 Figura 102 Un host-dual homed Disear Firewall Configuraciones 345

Originalmente, el trmino con base dual de host se utiliza para un ordenador

equipado con dos tarjetas de interfaz de red (NIC) independientes, con una tarjeta
de red para cada interfaz. Ahora bien, este trmino se utiliza para describir la
configuracin en la Figura 10-2, en el que se coloca un cortafuegos entre la red y
la Internet. Un host de base dual proporciona slo seguridad limitada debido a que
el servidor de seguridad depende del mismo equipo utilizado para la comunicacin
del da a da
Por lo tanto, cualquier problema con el ordenador host debilita el firewall. La gran
desventaja es que el anfitrin sirve como un nico punto de entrada a la red, por lo
que los atacantes tienen que romper a travs de una sola capa de proteccin para
infiltrarse en la red. Por lo tanto, a (DiD) disposicin de varias capas de defensa en
profundidad es an ms importante, con una gran cantidad de base dual

El equipo que aloja el software de servidor de seguridad puede tener ms de

dos interfaces de red. Puede estar conectado a la zona de distensin, la
Internet, y la red interna, por ejemplo. En ese caso, se llama un host mltiple

Proyectado Hosts Un anfitrin

apantallado de instalacin es similar a un host

de base dual, pero la principal diferencia es que un router se aade con frecuencia
entre el host y la Internet para llevar a cabo el filtrado de paquetes IP
Un anfitrin filtrado es esencialmente una combinacin de una serie de base dual
y configuracin del router de cribado; los dos se mezclan para una capa adicional
de la funcionalidad, la seguridad y el rendimiento (ver Figura 10-3). Usted puede
optar por esta configuracin de seguridad perimetral en una red
corporativa, Internet o la red no confiable Interfaz interna: 192.168.0.1 Ethernet backbone
de la red interna de subred 192.168.0.1 255.255.255.0 Cambie interfaz externa:
201.200.19.1 pantallas enrutador de filtrado de paquetes de acogida de alojamiento dual
sede de las comunicaciones externas enlazan 2014 Cengage Learning Figura 10-3 A
proyect anfitrin 346 Captulo 10 Firewall proyectos y gestin

10 por ejemplo. Una mejora comn es tener una funcin de acogida proyectado
como una puerta de enlace de aplicaciones o servidor proxy. Los nicos servicios
de red que pueden pasar a travs del servidor proxy son aquellos cuyas
solicitudes de proxy ya estn disponibles

Proyectado subred DMZ Una DMZ es una subred

de servidores de acceso

pblico ubicados fuera de la red interna

Debido a esta subred contiene informacin importante, un filtro de paquetes u otro
software de seguridad debe detectar la zona de distensin. Una solucin comn
es hacer que los servidores de la subred del servidor de seguridad (ver Figura 104)
Debido a que el servidor de seguridad que protege la zona de distensin tambin
est conectado a Internet y puede ser conectado a la red interna, a menudo se
llama un servidor de seguridad de tres puntas . Usted puede optar por este
programa de instalacin cuando se necesita para prestar servicios al pblico,
como un servidor FTP, un Web de Internet o una red no confiable Interfaz interna:
192.168.0.1 Interfaz externo: 201.200.19.1 Tres homed-backbone Ethernet de host
Subred red interna 192.168. servidor Web del servidor de correo electrnico del servidor
FTP enlace de comunicaciones del servidor de comercio electrnico de subred
255.255.255.0 0.1 Interruptor apantallado DMZ Externa 2014 Cengage Learning Figura 104 A proyect subred DMZ Disear Firewall Configuraciones 347

servidor, o un servidor de correo electrnico, pero desea asegurarse de que los

atacantes no puede acceder a su sitio web o FTP recursos

La subred que est conectado al servidor de seguridad y el contenido en la

DMZ a veces se llama una red de servicio o red perimetral por aquellos que no
les gusta la connotacin militar del trmino DMZ

Varias configuraciones DMZ / Firewall

Una DMZ no proporciona

suficiente seguridad para muchas grandes empresas que estn conectados a
Internet o hacen negocios en lnea. Para hacer frente a la demanda de Internet y
mantener el tiempo de respuesta de los servidores pblicos lo ms rpido que sea
posible, debe configurar varias DMZ. Cada DMZ es una granja de servidores , un
grupo de servidores conectados en una subred que trabajan juntos para recibir las
solicitudes con la ayuda de software de balanceo de carga . Este software prioriza
y horarios de las solicitudes y luego los distribuye a los servidores basados en
cada servidor ' s carga de corriente y potencia de procesamiento
Instalacin de clsteres de servidores en DMZ fuera de la red interna ayuda a
proteger la red interna se sobrecargue. La colocacin de la empresa ' s servidor
Web en la subred externa significa que est mejor equipado para manejar el
trfico pesado porque hay menos filtrado de paquetes. Si un servidor Web detrs
del firewall se pone hasta 20.000 visitas en un minuto, esa cantidad de trfico
puede bloquear el servidor o seriamente retrasar el firewall ' s de rendimiento, as
como otro tipo de trfico que tiene que pasar a travs. Si el servidor Web se
encuentra fuera de la red protegida, pero en la DMZ, el firewall ' s de rendimiento
no se vea comprometida. Para proteger la red local, conectividad de entrada
desde el servidor Web a la red interna debe ser bloqueado, y los intentos de
acceso se debe registrar cuidadosamente
Cada servidor de la granja / DMZ debe ser protegida por su propio firewall o router
de filtrado de paquetes
Una posible configuracin se muestra en la Figura 10-5. Las redes de servicios no
necesariamente tienen que ser protegidos unos de otros; en cambio, se alimentan
en un solo router, que enva el trfico a la red interna. Las subredes de servicio no
estn conectados directamente a Internet; pantallas de un enrutador de filtrado de
paquetes cada uno
Una red de servicios tambin se ha establecido para permitir compartir recursos
con un socio de negocios
Esta configuracin de la red debe ser manejado con cuidado, sin embargo, ya que
cierta informacin podra ser sensible; en esta situacin, colocando un firewall
entre el router de filtrado de paquetes y acceso socio de negocios de subred
podra ser prudente. Una DMZ proyectado tambin es adecuado, siempre y
cuando el router est configurado el cribado con cuidado, se utilizan mtodos de
autenticacin estricta, y los controles de acceso se colocan en la informacin a
nivel de archivos y carpetas. Cifrar los datos sensibles agrega otra capa de
proteccin

Por ltimo, un servidor de seguridad adicional se coloca dentro de la red interna

para proteger los sistemas de gestin de red. La ventaja de la localizacin de
software de gestin fuera de banda - fuera de la red interna en una subred
protegida de su propia - es que los servidores de administracin obtienen un nivel
adicional de proteccin contra intrusos. Si un intruso gana el control del software
de servidor de seguridad o gestin de la red, que podra ser capaz de acceder a
los hosts de la red
348 Captulo 10 Firewall proyectos y gestin

10 Una subred protegida en una red interna ya protegida podra ser utilizado
como una capa adicional de proteccin de la informacin confidencial, como
cliente o los datos del personal. La capa adicional podra proteger los
servidores de empleados descontentos dentro de la organizacin, as como los
atacantes a travs de Internet
Internet o la red no de confianza del servidor FTP del servidor Web del servidor de correo
electrnico del servidor de Medios de Comunicacin Servicio servidor servidor de
directorio Servidor de archivos de subred pareja 2 de negocios Acceso subred subred
Servicio 1 de red 10/100 interno de administracin de conmutadores de red de subred
Firewall restringe el acceso a la subred protegida gestin de servicios en el trfico en
Router y fuera de la red interna y la subred de gestin Cengage Learning 2014Figura 105 DMZ Mltiples protegidos por mltiples firewalls Disear Firewall Configuraciones 349

Mltiples configuraciones de firewall hizo significa que varios dispositivos

de seguridad estn configurados para trabajar juntos para proporcionar una
proteccin
DiD hace uso de muchas capas diferentes de seguridad de la red. Para lograr este
nivel de proteccin, muchas organizaciones encuentran que necesitan ms de un
servidor de seguridad, ya sea a lo largo de la red o en una subred. Las secciones
siguientes describen cmo utilizar dos o ms servidores de seguridad para
proteger una red interna, una DMZ, dos DMZ, y sucursales que necesitan
conectarse a la oficina principal " red interna s. Adems, varios servidores de
seguridad pueden ayudar a alcanzar la distribucin de carga que mantiene el
trfico pesado que circula a travs de la puerta de entrada sin problemas

Proteccin de una DMZ con mltiples firewalls Cuando varios servidores

de seguridad estn desplegados en todo el permetro de la red, se puede trabajar
en conjunto para equilibrar la red de ' carga de trfico s
Cuando se utilizan varios servidores de seguridad en conjunto, deben ser
configurados de manera idntica y utilizan el mismo software de firewall. De esta
forma, el trfico procedente de Internet puede ser equilibrada entre los servidores
de seguridad mediante el uso de routers o switches en cada lado (ver Figura 10-6)

Los dos servidores de seguridad en la Figura 10-6 tienen una interfaz externa en
Internet. Usted tambin puede tener un servidor de seguridad con una interfaz en
Internet y un segundo servidor de seguridad con una interfaz en la red interna; la
DMZ protegida est situada entre ellos. El uso de dos servidores de seguridad
ayuda de las siguientes maneras: Un firewall puede controlar el trfico entre la
zona de distensin y de Internet, y el otro puede controlar el trfico entre la red
protegida y la zona de distensin
El segundo servidor de seguridad puede servir como un servidor de seguridad de
conmutacin por error , que es una copia de seguridad que se puede configurar
para activar si el primero falla, lo que garantiza la continuidad del servicio

Una ventaja importante de la creacin de una zona desmilitarizada con mltiples

firewalls es que se puede controlar el trfico en las tres redes que est tratando: la
red externa fuera de la zona de distensin, la red externa dentro de la DMZ y la
red interna detrs del DMZ. Puede identificar ciertos protocolos, como de salida de
puerto HTTP 80, que debe ir a la red externa dentro de la zona de distensin, y se
puede permitir que otros protocolos que pasan a travs de la red interna
El uso de mltiples routers interiores para conectar su subred DMZ a partes de
las subredes internas puede causar problemas. Por ejemplo, utilizando el
protocolo de informacin de enrutamiento (RIP) en un sistema interno podra
determinar que la ruta ms directa a otro sistema interno es a travs de la
zona desmilitarizada. Como resultado, el trfico interno confidencial fluye a
travs de su DMZ, donde puede ser interceptado si un atacante logra entrar en
un ordenador central. Tener mltiples routers interiores tambin hace que la
configuracin general de la red ms difcil

La proteccin de las sucursales con mltiples firewalls Una corporacin

multinacional que necesita compartir informacin entre las sucursales en
diferentes lugares se puede comunicar de forma segura mediante el uso de una
nica poltica de seguridad implementada por varios cortafuegos. La oficina
principal tiene su propio firewall centralizado, que dirige el trfico para las
sucursales y sus firewalls. La oficina principal se desarrolla la poltica de seguridad
y la despliega a travs del servidor de seguridad centralizado en un equipo
dedicado denominada estacin de trabajo de seguridad (ver Figura 10-7). Cada
sucursal tiene su propio firewall, pero la oficina principal se desarrolla y controla la
poltica de seguridad. La poltica se copia a otros servidores de seguridad en la
empresa
350 Captulo 10 Firewall proyectos y gestin

10 Un

aspecto notable de la configuracin en la Figura 10-7 es que los dos

servidores de seguridad tienen una ruta de acceso para comunicarse unos con
otros y un router para dirigir el trfico a cada servidor de seguridad. Sin embargo,
el trfico de Internet o de la red corporativa no viaja entre los dos servidores de

seguridad; Slo el trfico desde la estacin de trabajo de seguridad se desplaza

sobre la conexin entre la DMZ, llevando la informacin de configuracin de los
servidores de seguridad y recepcin de datos de archivos de registro de los
mismos

Invierta Firewalls empresas

con visin de futuro Algunas instalar un firewall

inversa , un dispositivo que monitoriza las conexiones de salida en lugar de tratar
de bloquear el trfico entrante. A veces, las mayores amenazas para la red interna
provienen de sus propios usuarios. Por ejemplo, una universidad puede hacer que
ciertas aplicaciones disponibles slo para los investigadores y cientficos que los
necesitan. Equipo Clever Internet o no sea de confianza del servidor FTP de red de
servidor de medios del servidor de comunicaciones servidor del Servicio de servidor Web
E-mail subred subred 2 Servicio 1 de red 10/100 interno subred de gestin de red del
interruptor Firewall restringir el acceso a la gestin de subred protegida manejar el trfico
en Router y fuera de la red interna y subred de gestin de las interfaces externas
Cengage Learning 2014 Figura 6.10 Dos servidores de seguridad utilizados para el equilibrio de
carga Diseo de Firewall Configuraciones 351

los estudiantes de ciencias podran tratar de entrar en el servidor que almacena

estas aplicaciones para que puedan descargar las aplicaciones y el uso de
ellos. Un firewall inversa ayudara al monitorear los intentos de conexin salientes
que se originan de los usuarios internos y luego filtrando intentos no
autorizados. Firewalls inversas tienen otros propsitos tambin. Por ejemplo, una
empresa que se preocupa por cmo sus empleados utilizan la Web y otros
servicios de Internet puede configurar un firewall inverso para iniciar conexiones
con sitios Web. Se puede entonces bloquear sitios que se accede en varias
ocasiones, pero se consideran inadecuados para los empleados a visitar durante
las horas de trabajo
En un DoS o denegacin de servicio distribuido (DDoS), informacin inundaciones
de una red de ordenadores comprometidos (comnmente llamados zombis),
sobrecargas as la red. Un firewall inversa inspecciona los paquetes salientes y
rastrea su origen en la red
Si el firewall detecta muchos paquetes inesperados dejando la red, enva una
notificacin al administrador de la red. Esta caracterstica, sin embargo, puede ser
programado en cualquier hardware o software de firewall; que no requiere un
servidor de seguridad inversa especializada
Estacin de trabajo de oficina de Internet o red de oficinas de la red no de confianza del
servidor Web del servidor de E-mail Oficina principal DMZ principal red de oficinas
servidor Rama servidor Web E-mail DMZ Seguridad 2014 Cengage Learning Figura 107 mltiples firewalls que protegen a las sucursales 352 Captulo 10 Firewall proyectos y
gestin

10 La eleccin de una configuracin del cortafuegos Qu

configuracin de firewall es la mejor opcin para sus necesidades? Muchos de los
productos modernos tienen una ventaja en la cantidad de personalizacin
disponibles y su capacidad de realizar mltiples funciones, tales como firewall y
servicios de los desplazados internos. Recuerde que las configuraciones de
servidor de seguridad no son un bien / o decisin. Puede combinar una serie
apantallado con una configuracin de servidor de seguridad mltiple, por ejemplo,
Usted tambin puede tener un firewall inversa, adems de un firewall
convencional. Tabla 10-1 resume las ventajas y desventajas de cada configuracin

Examinar servidores proxy Su organizacin ' poltica de seguridad s

podra requerir la instalacin de un servidor proxy - software que enva paquetes
hacia y desde la red protegida y almacena en cach las pginas Web para
acelerar el rendimiento de la red. Para muchas organizaciones, un servidor proxy
es el nico tipo de servidor de seguridad se han instalado, a excepcin de la
empresa ' s enrutador. Las siguientes secciones describen los objetivos de la
creacin de un servidor proxy y explican cmo funciona, cmo elegir uno, y cmo
los servidores proxy puede filtrar el contenido para la red
Ventajas Desventajas de configuracin del router Screening simple, de bajo costo; bueno para
aplicaciones en el hogar, si se utiliza un filtro de estado de paquetes proporciona una proteccin
mnima; virus, troyanos y algunos paquetes mal formados pueden obtener a travs de base dual de
acogida simple, econmico; puede proporcionar una proteccin efectiva si est configurado
correctamente Proporciona un nico punto de entrada (y la culpa); el servidor de seguridad
depende totalmente de la computadora host Proyectado anfitrin proporciona dos capas de
proteccin para el hogar y las redes de pequeas empresas ofrece un nico punto de entrada (y la
culpa); el servidor de seguridad depende del equipo host y el router protege Proyectado DMZ
subred Protege servidores pblicos aislndolas de los servidores de la red interna de la DMZ son
altamente vulnerables y necesitan ser endurecido DMZ Mltiples / firewalls Proporcionar capas de
proteccin para una red empresarial Caro Soltero DMZ / dos carga de trfico de cortafuegos
equilibrio en situaciones de alto trfico Sucursales Caro / mltiples firewalls proporcionan
proteccin para todas las oficinas en una red corporativa, as como servidores de seguridad de la
administracin central deben adquirirse, instalarse y configurarse en cada ubicacin de la oficina
inversa firewall ataques Monitores desde el interior de la red; permite a las organizaciones para
monitorear la actividad del usuario puede ralentizar el acceso de usuarios a las redes externas u
otras partes de la red interna 2014 Cengage Learning Tabla 10-1 Ventajas y desventajas de las
configuraciones de firewall Examinar servidores proxy 353

Los servidores proxy proporcionan una proteccin eficaz, ya que trabajan en la

capa de aplicacin del modelo OSI. Ellos pueden interpretar lo que la aplicacin
se utiliza para hacer una solicitud y enviar la solicitud en nombre de esa
aplicacin. Por el contrario, los cortafuegos interpretan principalmente IP y la
informacin de encabezado TCP en los niveles inferiores del modelo OSI

Objetivos de servidores proxy Originalmente,

la aceleracin de las
comunicaciones de red fue el objetivo principal de los servidores proxy
El proceso, como se muestra en la Figura 10-8, funciona as: Como se pide a las
pginas Web de una compaa ' s servidor web, el servidor proxy recibe las
pginas web y las enva a la computadora que hace la solicitud. Al mismo tiempo,
el servidor proxy almacena en cach las pginas Web ' archivos de texto e
imgenes - en otras palabras, que almacena los archivos en el disco para su
posterior recuperacin, si es necesario
Los equipos que solicitan la misma pgina web ms de una vez tienen sus
solicitudes recibidas por el servidor proxy en lugar del servidor Web. El servidor
proxy comprueba su cach para la Web DMZ del servidor de puerta de enlace Web
Router LAN 4. archivos no almacenado en cach por poder se toman desde un servidor
Web 3. servidor proxy devuelve archivos si est disponible el servidor Proxy 2. recibe la
solicitud y la memoria cach comprueba el disco 1. las solicitudes del equipo remoto la
pgina Web desde un servidor Web del servidor proxy cach de Internet 2014 Cengage
Learning Figura 10-8 servidores proxy cach de pginas Web y otros archivos 354 Captulo 10
Firewall proyectos y gestin

10 La pgina se est solicitando y compara la pgina ' s contra los contenidos de

la pgina publicada actualmente en el servidor Web. Si no se encuentran los
cambios, los archivos se recuperan de la cach en lugar de desde el servidor Web
original. Almacenamiento de documentos en cach de disco reduce la carga en el
servidor Web y acelera el trfico de red
El objetivo principal de los servidores proxy modernos es proporcionar seguridad
en la capa de aplicaciones y hosts de escudo en la red interna. Un objetivo
secundario es controlar qu usuarios pueden acceder a los sitios Web. Los
servidores proxy pueden utilizar las direcciones IP o los nombres de dominio para
bloquear el acceso a sitios web especficos o dominios completos de nivel
superior. Por ejemplo, un administrador puede permitir el acceso al gobierno de
dominio de nivel superior. Para que los empleados pudieran ver las formas de
gobierno en lnea
Muchos servidores proxy vienen con configuraciones predeterminadas que
permiten a los usuarios acceder a Internet a travs de mltiples servicios. Sin
embargo, estas configuraciones por defecto pueden abrir agujeros de
seguridad. Pueden ser configurados para permitir el acceso Telnet, por ejemplo,
o para permitir el acceso Web durante todo el da, lo que la mayora de los
usuarios no necesitan. Para mayor seguridad, considere deshabilitar los
servicios que la mayora de los usuarios no necesitan

Cmo Servidores proxy funcionan los filtros de paquetes de capa de red y

de transporte slo se fijan en la parte cabecera de un paquete TCP / IP

Su objetivo es bloquear los paquetes no autorizados y permitir que solamente los

paquetes autorizados a llegar a su destino. Si se autorizan los paquetes, el filtro de
paquetes permite a los equipos cliente y host que se comunican entre s
directamente
En contraste, el objetivo de los servidores proxy es para evitar una conexin
directa entre un ordenador externo y un ordenador interno. Una forma de
servidores proxy lograr este objetivo es trabajar en la capa de aplicacin. Cuando
se recibe una solicitud de un equipo interno, el servidor proxy abre el paquete y
examina los datos. Por ejemplo, si la solicitud es para una pgina Web y que
utiliza el mtodo GET estndar, el servidor proxy reconstruye el paquete y lo
reenva al servidor Web solicitado, actuando como un navegador web proxy. Al
actuar en la capa de aplicacin, el servidor proxy puede interpretar qu aplicacin
se utiliz originalmente para hacer una solicitud y la aplicacin que se necesita
para trasladar dicha solicitud
Qu significa para " reconstruir " un paquete? Cuando un servidor proxy recibe
una solicitud, se abre el paquete, examina el contenido, y sustituye a la cabecera
original con una nueva cabecera que contiene el servidor proxy ' s propia direccin
IP en lugar del cliente original ' s. Un ejemplo se muestra en la Figura 10-9
Como se puede ver en la Figura 10-9, el servidor proxy est en la DMZ. El
procedimiento siguiente se produce:. 1 Usuario 1 solicita la pgina Web en la
direccin IP 188.92.101.5
2. El servidor proxy recibe una solicitud del usuario 1 ' s navegador Web en la LAN
interna, examina la solicitud y elimina el encabezado de paquetes. El servidor
proxy reemplaza a la cabecera con su propia direccin IP pblica de cdigo antes
de enviar el paquete a su paso
3. El servidor Web que recibe la solicitud lo interpreta como que viene del servidor
proxy ' s direccin IP en lugar de desde el usuario 1 ' equipo s. De hecho, el
servidor Web (o un atacante que intercepta la solicitud) no tiene ninguna manera
de saber que el Usuario 1 ' existe computadora s
Comprobacin de servidores proxy 355

4. El servidor Web enva su respuesta con la pgina Web al servidor proxy

5. La respuesta pasa por el servidor proxy para su procesamiento, y la cabecera
IP que se enva por el servidor Web se sustituye
6. El servidor proxy enva la pgina Web solicitada al usuario 1 ' s equipo, en el
que el navegador lo muestra
El servidor proxy est configurado para recibir el trfico antes de que vaya a la
Internet; programas cliente, como navegadores web y aplicaciones de correo
electrnico, estn configurados para conectarse al servidor proxy en lugar de

Internet. Una configuracin tpica del navegador de Microsoft Internet Explorer se

muestra en la figura 10-10
En la figura 10-10, el servidor proxy " direccin IP de 172.168.1.1 s se ha
introducido como direccin proxy para usar. Tambin se especifica el puerto 8080,
que se utiliza normalmente para servicios de proxy,. Esta configuracin resulta en
el proxy de reenvo de peticiones del servidor a los servidores externos a travs
del puerto 8080, mientras que utilizando una direccin IP de origen
172.168.1.1. Los servidores proxy requieren que todos los usuarios de una red
para configurar los programas cliente en consecuencia. Dependiendo del nmero
de usuarios de la red, la configuracin puede llevar mucho tiempo. En la mayora
de las redes, la configuracin del cliente, tales como direcciones de servidor proxy
estn configurados automticamente a travs de la gestin de redes
Tabla 10-2 resume las ventajas y desventajas de usar un servidor proxy

La eleccin de un servidor proxy de

diferentes servidores proxy realizan

diferentes funciones para fortalecer la configuracin del cortafuegos existente. El
tipo de servidor proxy de instalar depende de su red ' s necesidades. Por ejemplo,
puede instalar un sencillo servidor proxy gratuito si est satisfecho con el nivel
de ... servidor proxy DMZ 5 Proxy recibe la pgina Web 2 Proxy recibe solicitar 211.24.120.5
10.0.20.11 LAN pgina Web 1 solicitado Src IP: 10.0. 20.28 Dest IP:. pgina Web 188.92.101.5 6
regres Src IP: 10.0.20.11 Dest IP:. 10.0.20.28 4 Page regres Src IP: 188.92.101.5 Dest IP:
211.24.120.5 usuario 1 10.0.20.28 servidor Web 188.92.101.5 . 3 Solicitud recibida Src IP:
211.24.120.5 Dest IP: 188.92.101.5 Internet Cengage Learning 2014 Figura 10-9 Los servidores
proxy reemplazan direcciones IP de origen con sus propias direcciones 356 Captulo 10 Firewall
proyectos y gestin

10 de proteccin de su cortafuegos existente proporciona y usted simplemente

quiere aadir funciones del servidor de seguridad no puede realizar, como el
filtrado de anuncios pop-up, el cdigo ejecutable, u otros tipos de contenido
Por otro lado, si usted quiere reforzar la proteccin de firewall existente, un
servidor proxy comercial puede realizar muchas funciones que mejoran la
seguridad de su red global, incluyendo un nico punto de registro y ocultar las
direcciones IP internas. Si usted necesita para ahorrar tiempo de instalacin y
quiere tener slo un programa para la gestin, un servidor de seguridad de nivel
empresarial con un servidor proxy, filtrado de paquetes, y otras funciones es una
buena opcin. Los tipos bsicos de servidores proxy que puede elegir - servidores
de software gratuito de proxy, servidores proxy comerciales, o un firewall que
incluye funciones de servidor proxy - se describen en las siguientes secciones

Servidores Proxy Freeware servidores proxy Freeware tienden a ofrecer una

funcin especfica en lugar de toda la gama de funciones de servidor proxy, lo que
a menudo son descritas por nombres tales como " filtro de contenido. " Una

bsqueda en Internet para los servidores proxy de software gratuito devuelve

decenas de enlaces, pero tenga consciente de que la mayora de estos productos
no tienen las caractersticas necesarias para los negocios Usado con permiso de Microsoft
Figura 10-10 Configuracin de programas cliente para conectarse al servidor proxy en
lugar de los de Internet Desventajas Ventajas Examina contenido de los paquetes y los filtros en los
contenidos de seguridad puede ser dbil dependiendo de la configuracin escudos direcciones IP
de host internos pueden ralentizar Caches acceso a la red de pginas Web para un acceso ms
rpido podra requerir la configuracin de los programas cliente para utilizar el servidor proxy
proporciona un nico punto de registro proporciona un nico punto de fallo Cengage Learning
2014 Cuadro 10 - 2 ventajas y desventajas del servidor proxy Examinar servidores proxy 357
Corporation

aplicaciones. Un servidor proxy gratuito notable es Squid para Linux ( www.squidcache.org )

Es un producto de cdigo abierto, por lo que un montn de documentacin y
apoyo estn disponibles

Servidores proxy Comercial Los muchos beneficios de los servidores proxy

comerciales se hacen evidentes cuando se instala un programa como Microsoft
Forefront Threat Management Gateway (TMG). Este programa comercial combina
las capacidades para almacenar en cach las pginas Web y traducir las
direcciones IP de origen y destino, con funciones de cortafuegos tradicionales,
como el filtrado de paquetes y NAT y filtrado de contenido. TMG incluye
caractersticas avanzadas tales como la inspeccin de HTTPS, lo que permite que
el servidor proxy para descifrar e inspeccionar el trfico que ha sido protegida con
una clave asimtrica y simtrica. Para competir con otros programas de seguridad,
la mayora de los servidores proxy no se anuncian como tener estas
caractersticas. En lugar de ello, que se describen como parte de un paquete de
servidor de seguridad ms amplio. Un servidor proxy comercial es una buena
opcin para una red de negocios si tiene previsto actualizar el software como
nuevas versiones disponibles. Cualquier programa comercial debe ofrecer
asistencia tcnica para ayudar con los problemas de instalacin y configuracin

Servidores proxy que puede incluir funciones de Firewall Algunos

servidores proxy, tales como TMG, se puede configurar para actuar como
cortafuegos, adems de realizar otras tareas. Tener un programa todo-en-uno que
simplifica la instalacin, la actualizacin del producto, y la gestin del da a da
Por otra parte, todas sus necesidades de seguridad de red estn siendo
manejados por un solo programa
Si algo va mal con su servidor proxy, el servidor de seguridad tambin se pone. Si
es factible, mediante varios programas y programas de hardware en una capa de
defensa de la red coordinada es preferible. Por ejemplo, podra utilizar TMG para
sus necesidades de servidor proxy y Cisco ASA como cortafuegos

Filtrado de Contenido Una

caracterstica til de los servidores proxy es su

capacidad para abrir los paquetes TCP / IP, inspeccione la parte de datos, y tomar
medidas basadas en el contenido. Esta capacidad permite a los servidores proxy
para filtrar el contenido que de otra manera aparecen en un usuario ' s navegador
Web. En un entorno empresarial, los servidores proxy puede ser configurado para
bloquear los sitios web que contengan contenidos empleados no se les debera
permitir ver. Tambin podrn descubrir todos los programas ejecutables, como los
applets de Java y los controles ActiveX, incrustados en pginas web que
potencialmente pueden daar los archivos o reproducir archivos cuando se
ejecutan en un usuario ' s equipo

Eleccin de un alojamiento Bastion El software de seguridad no

funciona por s solo. Se instala en un equipo que se ejecuta en un sistema
operativo (OS); este equipo debe ser lo ms seguro posible, debido a que el
software importante que contiene y su posicin en el permetro de la red. A
menudo, este equipo tambin funciona como un servidor que proporciona las
pginas Web, correo electrnico y otros servicios a los usuarios dentro y fuera de
la red. Esta prctica no se recomienda debido a vulnerabilidades causadas por la
complejidad de la configuracin de un sistema de servicios mltiples; Sin embargo,
las pequeas empresas pueden no tener los recursos para organizar estos
servicios por separado. En esta situacin, una empresa debe considerar la
contratacin de un especialista en seguridad
358 Captulo 10 Firewall proyectos y gestin

10 Para proteger el software de seguridad, as como la red, el ordenador debe

convertirse en un host de baluarte , un ordenador en el permetro de la red que ha
sido especialmente protegida con parches del sistema operativo, la autenticacin y
el cifrado. Un equipo que aloja un servidor de seguridad que est plagado de
vulnerabilidades del sistema operativo da a los atacantes una forma de poner en
peligro toda la red. Podran incluso ser capaz de desactivar el software de servidor
de seguridad si pueden obtener privilegios administrativos o descifrar contraseas
en el servidor. Las secciones siguientes describen cmo elegir y configurar un host
de baluarte que con seguridad puede albergar software de seguridad

Requisitos generales En general, un host de baluarte deberan ser un equipo

que ejecuta un sistema operativo que ya est seguro o ha estado en libertad el
tiempo suficiente que los parches para las vulnerabilidades de seguridad ms
recientes. Cuando el sistema operativo se hace lo ms seguro posible mediante la

eliminacin de software y servicios innecesarios, cerrando aberturas potenciales, y

la proteccin de la informacin con el cifrado y la autenticacin, se dice que el
equipo sea endurecido
Los siguientes pasos describen el proceso general de creacin de un host de
baluarte. Estos pasos estn cubiertos en ms detalle en las siguientes secciones
1. Seleccione una mquina con la velocidad de la memoria y el procesador
adecuado
2. Elegir e instalar el sistema operativo y los parches o actualizaciones
3. Determine donde el anfitrin bastin cabe en la configuracin de la
red. Asegrese de que est en un entorno fsico seguro y controlado
4. Instale los servicios que desea proporcionar o modificar los servicios existentes
5. Retire los servicios y cuentas que no son necesarios
6. Haga copias de seguridad del sistema y sus datos, incluyendo archivos de
registro
7. Llevar a cabo una auditora de seguridad
8. Conectar el sistema a la red

Seleccin de la mquina host bastin

No es necesario seleccionar la
ltima combinacin de hardware y software para configurar un host baluarte. En
cambio, elegir una combinacin de tipo de mquina y el software que est
familiarizado con, y puede trabajar con facilidad. Usted no quiere ser la reparacin
o reconstruccin de una mquina a presin y aprender a operar al mismo tiempo
En una situacin ideal, se puede designar a un host para cada servicio que desea
ofrecer: host de un servidor FTP / bastin, el anfitrin de un servidor Web / bastin,
uno de host del servidor SMTP / bastin, y as sucesivamente. Sin embargo, las
restricciones presupuestarias podran obligarte a combinar los servicios de un host
baluarte. En este caso, un anlisis global de los riesgos de los servicios y el
hardware que necesita para proteger la mayora puede ser til. Las secciones
siguientes describen los componentes esenciales de un host de baluarte seguro

La eleccin de un sistema operativo

Los requisitos ms importantes para

un host de baluarte es su nivel de comodidad con el sistema operativo y su
seguridad y fiabilidad inherente. Gestin probablemente no se preocupa por lo
que elegir un anfitrin bastin 359

Sistema operativo que instale; sus prioridades son garantizar que la mquina
protege la red interna y tener la certeza de que pueden hacerlo funcionar y
mantener con facilidad
Otra prioridad superior es el nivel de seguridad del sistema operativo. Asegrese
de seleccionar una versin que es estable y seguro, y compruebe el sistema
operativo ' sitio Web s o sitios de seguridad bien conocidos para los parches y
actualizaciones para nuevas vulnerabilidades. Algunos sitios populares de
seguridad se indican en la siguiente lista: Windows Server 2008
( www.microsoft.com / en-us / servidor en la nube / windows-server /
default.aspx ) Red
Hat
Linux
( www.redhat.com ) Proyecto
FreeBSD
( www.freebsd.org ) Instituto SANS ' s lista de los Top Riesgos de Seguridad
Ciberntica, que incluye un apartado sobre la Aplicacin del Sistema Operativo vs
parches; el sitio Web de SANS es al www.sans.org Departamento de Energa de
EE.UU. ' s Joint Ciberseguridad Centro de Coordinacin sitio (JC3)
( www.doecirc.energy.gov ), que enumera recin descubierto avisos de
seguridad de la memoria y el procesador de velocidad anfitriones
Bastion no necesita tener las combinaciones ms recientes o caros de memoria en
el procesador
La memoria es siempre importante cuando se opera un servidor, pero debido a
que el host de baluarte podra proporcionando slo un servicio, no es probable que
se necesiten muchos gigabytes de RAM
Sin embargo, puede que tenga que ajustarse a la potencia de procesamiento de la
carga del servidor, lo que podra significar simplemente la actualizacin del
procesador o tal vez aadiendo procesadores

Ubicacin en la red los hosts de baluarte se encuentran por lo general fuera

de la red interna y, a menudo se combinan con dispositivos de filtrado de
paquetes, tales como routers y dispositivos firewall, a cada lado (ver Figura 1011). Esta combinacin protege an ms el host de baluarte del ataque, ya que
puede impedir manipulado con paquetes de alcanzar nunca el host
bastin. Adems, un servidor de filtrado de paquetes (servidor proxy) puede filtrar
los paquetes sospechosos que vienen desde el interior de la red como resultado
de programas o virus troyanos
Ms a menudo, mltiples hosts de baluarte se instalan en la zona de distensin,
con cada mquina que proporciona un nico servicio al pblico (ver Figura 1012). Esta configuracin es ms segura, ya que puede permitir el acceso general al
servidor Web todava limitar el acceso al servidor de correo a los empleados, por
ejemplo,

Endurecimiento del Bastin Alojar Un

host de baluarte puede ser

cualquier servidor que aloja los servicios Web, correo electrnico, FTP, y otra red

Sin embargo, cuantos ms servicios de instalar en el host bastin, mayor es la

posibilidad de introducir una vulnerabilidad de seguridad en el sistema. Por lo
tanto, una manera de endurecer un anfitrin bastin es mediante la eliminacin de
todos los programas innecesarios, los servicios y las cuentas de usuario.Cuanto
ms simple sea su anfitrin bastin es, ms fcil es para asegurar. Adems, los
servicios podran tener errores de software o errores de configuracin, lo que
podra dar lugar a problemas de seguridad. Para dar a los intrusos menos
oportunidades para explotar el sistema, slo el nmero mnimo de servicios y
puertos abiertos deben estar disponibles
360 Captulo 10 Firewall proyectos y gestin

10 Servicios de Seleccin para proporcionar una

configuracin

escueto reduce el riesgo de ataques y tiene el beneficio adicional de aumentar la

eficiencia. Si cierra los puertos innecesarios y cuentas y servicios al usuario
desactivar las que no va a utilizar, los atacantes tienen menos formas de acceder
al sistema. Algunos de los servicios crticos que usted debe desactivar son los que
realizan el enrutamiento o reenvo IP - a menos que, por supuesto, el anfitrin
bastin est destinado a funcionar como un router. Deshabilitar el reenvo de IP
hace que sea ms difcil para los atacantes para comunicarse con los ordenadores
de la red interna
Cuando ests parando o eliminar los servicios, no se debe deshabilitar los
servicios de dependencia - servicios el sistema necesita para funcionar
correctamente. Por ejemplo, Telnet est desactivado por lo general debido a que
otros servicios normalmente no requieren. Llamadas a procedimiento remoto
(RPC), sin embargo, no deben ser desactivados porque casi todo depende de l
para funcionar correctamente. Adems, debe detener los servicios de uno en uno
para ver qu efecto tiene cada uno en el sistema. Adquiera el hbito de
documentar todos los cambios que usted hace y cmo reacciona el sistema a los
cambios; Este registro ayuda si necesita solucionar ms adelante
Este proceso de documentacin, denominada gestin del cambio, podra aadirse
como un requisito de su poltica de seguridad. Copia de seguridad del sistema
antes de realizar cambios importantes a los servicios tambin es una buena
medida de precaucin
Puerta de entrada de la red de Internet del servidor de filtrado de paquetes del router de
filtrado de paquetes hosts de la red de acogida Firewall / bastin protegido Cengage
Learning 2014 Figura 10-11 anfitriones Bastion se combinan a menudo con los routers de filtrado
de paquetes eleccin de un alojamiento Bastion 361

El uso de Honeypots Un honeypot es un ordenador colocado en el permetro

de la red para atraer a los atacantes para que se mantenga alejado de los

servidores crticos de la red (ver Figura 10-13); que puede o no puede ser un
anfitrin bastin. Este ordenador est equipado con el software y tal vez los
archivos de datos que parecen ser importantes para la empresa. Un honeypot
tambin puede configurarse con los agujeros de seguridad de modo que parece
vulnerable a ataques conocidos. Un sistema trampa puede estar situado entre el
host bastin y la red interna; si un atacante logra superar el filtro de paquetes
externos a la zona de distensin y luego escanear puertos abiertos, el atacante
podra conseguir " pegado " en el honeypot - en otras palabras, desviados de sus
archivos reales por estar mal dirigido a los archivos sin valor
Los expertos en seguridad de red estn divididos sobre el uso de
honeypots. Algunos piensan que tienen valor, algunos piensan que son anticuadas
y no vale la pena utilizar, y algunos piensan que son innecesarias e incluso
potencialmente peligroso si contienen informacin acerca de su empresa y de sus
hosts de baluarte. La ley concerniente al uso de honeypots son confusos en el
mejor, as que consulte con su departamento legal antes de instalar
uno. Honeypots son dignos de estudio, no slo porque son susceptibles de ser
cubiertos en los exmenes de certificacin, pero debido a que todava se discuten
como opciones en seguridad perimetral
Otro de los objetivos de un honeypot est registrando. Debido a que los intrusos
que no puede decir la diferencia entre el honeypot y un objetivo legtimo se puede
esperar para atacar el honeypot, puede configurarlo para registrar cada intento de
acceso como una forma de identificar a los atacantes. Debido a que su red externa
de correo electrnico del servidor / bastion host DMZ FTP / servidor bastin de
alojamiento web servidor / host bastin de puerta de enlace de red de red del router de
filtrado de paquetes del router de filtrado de paquetes Interna Internet 2014 Cengage
Learning Figura 10-12 anfitriones bastin en la DMZ 362 Captulo 10 Firewall proyectos y
gestin

10 empleados no tienen acceso a los recursos en el honeypot, cualquier intento

de acceso es, probablemente, de un atacante. Un honeypot tambin puede
proporcionar indicaciones de cmo podran ser atacados los equipos de red
reales. Mediante la revisin de lo que las fallas del sistema operativo, los puertos
abiertos u otras vulnerabilidades se explotan en el honeypot, usted puede tomar
medidas para hacer frente a estas vulnerabilidades en otros sistemas

Desactivacin de cuentas de usuario de

cuentas predeterminadas se
crean a veces durante la instalacin de sistemas operativos y otro software, y
algunas de estas cuentas tienen contraseas en blanco o por defecto. Usted debe
eliminar o desactivar todas las cuentas de usuario del host de baluarte. No son
necesarios porque los usuarios no deben poder conectarse al host bastin desde
sus computadoras. Las cuentas de usuario en el host bastin aumentan las
posibilidades de un fallo de seguridad

Tambin debe cambiar el nombre de la cuenta de administrador como otra manera

de frustrar los intrusos
Muchos atacantes pueden acceder a los ordenadores a travs de las cuentas de
gestin que utilizan el nombre por defecto " Administrador " y nunca se les asigna
una contrasea. Cambiar el nombre de estas cuentas y usar contraseas largas y
complejas puede ayudar a prevenir los ataques
Usted debe asumir que el host de baluarte se ver comprometida de alguna
manera y, a continuacin, tomar medidas proactivas para asegurarla y
prepararse para incidentes de seguridad asociados. El host de baluarte es el
sistema ms propensos a ser atacados debido a su disponibilidad a los usuarios
externos
Externo de la red E-Mail Servidor / bastion host DMZ FTP / servidor bastin de host del
servidor Web / bastion host de red de la red interna de puerta de enlace a Internet
Honeypot servidor enrutador de filtrado de paquetes del router de filtrado de paquetes
2014 Cengage Learning Figura 10-13 Un honeypot en la DMZ La eleccin de un Bastion
Host363

Manejo de Copias de Seguridad y Auditora de

Configuracin de un
host de baluarte requiere un enfoque sistemtico y exhaustivo; copias de
seguridad, mantenimiento de registros detallados, y la auditora son pasos
esenciales en el endurecimiento de un ordenador
Hosts Bastion pueden generar una gran cantidad de archivos de registro y otros
datos, como los mensajes de alerta. Tienes que copiar esta informacin en otros
equipos de la red con regularidad. Al realizar registros detallados, la informacin
pasa a travs de capas de defensa de la red ya ha configurado. Debido a su
configuracin de alta seguridad, el host bastin, probablemente ser en un lugar
vulnerable en la DMZ y fuera de la red interna. Los archivos de registro y datos del
sistema, que deben ser respaldados con regularidad, deben pasar por el firewall
que protege la red interna a la pantalla en busca de virus y otras vulnerabilidades,
como los paquetes manipulados. Los atacantes pueden insertar informacin
falsificada en paquetes como una forma de acceder a los ordenadores de la red
interna
La inspeccin se configura para todos los intentos fallidos y exitosos para iniciar
sesin en el host bastin y de cualquier intento de acceder o modificar los
archivos. Los administradores rara vez tienen tiempo suficiente para revisar los
archivos de registro, pero usted debe tomar tiempo cada da para revisar los
registros de todos los dispositivos en la zona de distensin, as como routers y
servidores de filtrado de paquetes. Estos registros pueden darle aviso previo de
intentos de intrusin
Para evitar el uso de recursos de red, asegrese de que los sistemas utilizados
como anfitriones bastin tienen unidades de DVD-RW, discos extrables o
unidades de cinta de modo que usted puede hacer copias de seguridad

Network

Address

Translation Originalmente, traduccin

de

direcciones de red (NAT) fue diseado para ayudar a conservar la tienda de

direcciones IP pblicas. Las redes privadas, internas no tenan que utilizar
direcciones IP pblicas, siempre y cuando los clientes internos pueden acceder
fuera de hosts de la red a travs de una direccin IP pblica en un dispositivo NAT
en su red. Ver Figura 10-14
Esta tecnologa permite a los administradores asignar rangos de direcciones IP
privadas en la red interna
Debido a que estas direcciones no son enrutables en Internet, NAT proporcionado
seguridad y conserva el espacio de direcciones IP pblica. Al proteger las
direcciones IP de los hosts internos, un dispositivo NAT hace que sea ms difcil
para los atacantes para encontrar ordenadores para explotar. Muchos de los
ataques comienzan con un intruso la localizacin de un ordenador con una
direccin IP pblica esttica; el intruso puede entonces analizar el ordenador para
los puertos abiertos para explotar. Si el intruso no puede encontrar el equipo ' s
direccin IP, un ataque podra no ser posible
El proceso NAT comienza con un cliente interno enva un paquete destinado a un
host externo al dispositivo NAT. El dispositivo NAT vuelve a empaquetar el cliente
interno ' s paquete y lo enva al host de destino en Internet. Cuando el host de
Internet responde, el dispositivo NAT recibe los paquetes, y luego se refiere a una
tabla en su memoria para determinar qu cliente interno debe recibir el paquete
Este proceso de asignacin de direccin se produce normalmente en dos
formas; la terminologa asociada a estos dos tipos de traduccin de direcciones ha
sido durante mucho tiempo una fuente de confusin. A los efectos de 364 Captulo
10 Diseo de Cortafuegos y Gestin

10 claridad, Network Address Translation es el trmino que se usa en este libro

para aplicar a los dos tipos de traduccin de direcciones principales: uno a uno,
NAT y muchos-a-uno NAT

One-to-One NAT One-to-one

NAT es el proceso de asignacin de una

direccin IP interna a una direccin IP externa. Este proceso se resume en la
siguiente lista y se muestra en la figura 10-15
1. El cliente interno al 172.16.25.12 enva los paquetes destinados para el servidor
Web de Internet: 206.188.95.117 a su puerta de enlace predeterminada en el
dispositivo NAT en 172.16.25.1

2. El dispositivo NAT vuelve a empaquetar el paquete de modo que su interfaz

pblica, 97.205.16.211, parece ser la fuente del paquete, y luego enva el paquete
en el servidor Web
3. El servidor Web responde al dispositivo NAT
4. El dispositivo NAT vuelve a empaquetar el servidor Web ' s respuesta y lo enva
al cliente interno
Asignacin esttica es una versin de uno-a-uno NAT que se utiliza a menudo
cuando se utiliza direccionamiento privado en una DMZ y todo el trfico de un
servidor DMZ ocupado, tal como un servidor Web, tiene que tener una interfaz IP
pblica dedicada. En este caso, el servidor Web ' direccin de s sea asignada, y
todo el trfico enviado a la direccin pblica especificada NAT IP se enva a la
direccin IP esttica del servidor Web

Muchos a Uno NAT Si

uno-a-uno NAT fuera el nico tipo de traduccin de

direcciones, tendra que ser una direccin IP pblica en un dispositivo NAT para
cada cliente interno que quera tener acceso simultneo a Internet. Obviamente,
esto sera muy costoso y no conservar las direcciones IP pblicas. Many-to-one
NAT , a veces llamado Port Address Translation, utiliza TCP o UDP de red interna
del dispositivo NAT red externa IInntteernrneett

2014 Cengage Learning

Figura 10-14Los

clientes internos comunicarse con hosts externos a travs de un dispositivo de NAT Network
Address Translation 365

las direcciones de puerto para distinguir entre clientes internos, lo que permite a
muchos clientes internos a utilizar la misma interfaz nica NAT pblica
simultneamente. Al igual que en uno-a-uno NAT, los ordenadores en Internet slo
ven el dispositivo NAT ' direccin IP s; paquetes de hosts internos parecen venir
desde el dispositivo NAT. Este modo tiene desventajas, sin embargo. En primer
lugar, puede ocultar slo tantos clientes detrs de una nica direccin IP.Para la
mayora de redes, esta limitacin no es un gran problema; para una red grande,
sin embargo, el rendimiento puede degradarse como el nmero de conexiones
aumenta. Adems, muchos-a-uno NAT no funcionar con algunos tipos de VPN
porque los dos puntos finales deben tener nica direccionamiento.Por ltimo,
muchos-a-uno NAT utiliza una nica direccin IP pblica, por lo que no puede
ofrecer otros servicios, como un servidor Web, a menos que tenga otra direccin
IP para ellos
En la figura 10-16, la traduccin de direcciones tambin incluye Port Address
Translation como sigue:. 1 El cliente interno en 172.16.25.12:2250 enva los
paquetes destinados para el servidor Web Internet en 206.188.95.117:80 a su
puerta de enlace predeterminada en el dispositivo NAT en 172.16.25.1. (Tenga en
cuenta que estas direcciones utilizan el formato de zcalo IP: puerto .). 2 El
dispositivo NAT vuelve a empaquetar el paquete de modo que su interfaz pblica,
97.205.16.211:1788, parece ser la fuente del paquete, y luego enva el paquete a

el servidor Web. El dispositivo NAT recibe el paquete en su puerto 1788 y

mantiene un registro de qu host interno debe recibir el paquete
Red interna 172.16.25.1 172.16.25.12 97.205.16.211 4 Fuente: 172.16.25.1 Destino:
172.16.25.12 dispositivo NAT red externa que en n t t e e rn rn et et 2 Fuente: 97.205.16.211
Destino: 206.188.95.117 1 Fuente : 172.16.25.12 Destino: 206.188.95.117 206.188.95.117 3
Fuente: 206.188.95.117 Destino: 97.205.16.211 2014 Cengage Learning Figura 10-15 One-to-one
NAT 366 Captulo 10 Firewall proyectos y gestin

10 3. El servidor Web responde al dispositivo NAT

4. El dispositivo NAT consulta su tabla, determina qu host debe recibir el paquete,
vuelve a empaquetar el servidor Web ' s la respuesta y la enva al cliente interno
Un nico dispositivo NAT esencialmente establece un servidor de seguridad
para una red interna. De hecho, cualquier sistema de seguridad que protege
los ordenadores de ataques externos se considera un servidor de seguridad,
independientemente de si el dispositivo de hardware o software est
etiquetado como uno

Debido a que los dispositivos NAT funcionan como un intermediario entre los
equipos internos y externos, que pueden ser confundidos con los servidores
proxy. Ambos dispositivos protegen a los hosts internos mediante el envo de
peticiones a Internet a las computadoras ya la inversa. Sin embargo, los
servidores proxy a reconstruir los paquetes antes de enviarlos, y NAT simplemente
vuelve a empaquetar los paquetes

Ejemplo de configuracin del Firewall Diferentes productos de

firewall de hardware existen para satisfacer una amplia gama de necesidades de
los clientes, desde pequeas redes domsticas a las redes masivas de decenas
de miles de conexiones. La mayora de los dispositivos de la empresa se puede
configurar ya sea desde una lnea de comandos o desde una interfaz grfica de
usuario basada en la Web, aunque por regla general una interfaz de lnea de
comandos se utiliza para la configuracin del sistema
Red interna 172.16.25.1 172.16.25.12 97.205.16.211 4 Fuente: 172.16.25.1:2314 Destino:
172.16.25.12:2250 dispositivo NAT red externa que en n t t e e rn rn et et 2 Fuente:
97.205.16.211:1788 Destino : 206.188.95.117:80 1 Fuente: 172.16.25.12:2250 Destino:
206.188.95.117:80 206.188.95.117 3 Fuente: 206.188.95.117:80 Destino: 97.205.16.211:1788
2014 Cengage Learning Figura 10-16 Many-to uno NAT Ejemplo de configuracin del
Firewall 367

En esta seccin, usted aprender los conceptos bsicos de la configuracin de un

Cisco ASA (Adaptive Security Appliance) 5505 firewall, como se muestra en las
figuras 10-17 y 10-18. Este producto es adecuado para las pequeas empresas y
sucursales. Es compatible con SSL y IPsec VPNs y contiene PoE (Power over

Ethernet) puertos para soportar VoIP (Voz sobre IP) mviles. El ASA 5505 incluye
un interruptor incorporado
Conexin con el ASA 5505 es la misma que se conecta a un router Cisco, como se
discuti en el Captulo 4. Un cable de consola est conectada a la gestin de
PC ' COM 1 puerto s ya los firewall ' s puerto de consola. Un emulador de terminal
como PuTTY se utiliza para realizar la conexin de lnea de comandos
El smbolo del sistema es " ciscoasa " por defecto, y la contrasea de activacin
est en blanco. As, al escribir " permitir " y pulsando Intro cuando se le solicite la
contrasea, se le colocar en modo privilegiado. El comando show vlan interruptor
demuestra que los ocho puertos de conmutacin se colocan en VLAN 1 por
defecto: # ciscoasa espectculo interruptor vlan puertos VLAN Name Status
---------------------- ---------------------------------------- - - 1 abajo ET0 / 0, ET0 / 1, ET0 /
2, ET0 / 3 ET0 / 4, ET0 / 5, ET0 / 6, ET0 / 7 Cortesa de Cisco Systems, Inc. El uso no
autorizado no permitido

Figura 10-17 Vista frontal del ASA 5505 Cortesa de Cisco Systems, Inc . Uso no
Figura 10-18 Vista trasera del ASA 5505 368 Captulo 10 Firewall

autorizado no permitido

proyectos y gestin

10 Al

cambiar a modo de configuracin global, puede nombrar el servidor de

seguridad: ciscoasa
# configure
terminal ciscoasa
(config)
# hostname
SanFrancisco SanFrancisco (config) # En este punto, sera conveniente asignar
una contrasea segura para proteger el mandato enable: SanFrancisco (config)
# enable password T% imPwa0) gi Si queras hacer Ethernet 0 la conexin a la
Internet y un puerto Ethernet 1 de la DMZ, dejando los dems puertos Ethernet
para la LAN interna, deber proceder de la siguiente manera: SanFrancisco
(config) # interface ethernet 0/0 SanFrancisco (config-if) # no switchport access
vlan 1 SanFrancisco (config-if) # switchport access vlan 2 SanFrancisco (config-if)
# exit SanFrancisco (config) # interface ethernet 0/1 SanFrancisco (config -if) # no
switchport access vlan 1 SanFrancisco (config-if) # switchport access vlan
3 SanFrancisco
(config-if)
# exit Sanfrancisco
(config)
# exit #
SanFrancisco espectculo interruptor de VLAN VLAN Name Estado Puertos -------------------------------------------------------- ----- - - 1 - down ET0 / 2, ET0 / 3, ET0 / 4,
ET0 / 5 ET0 / 6, ET0 / 7 2 - down ET0 / 0 3 - abajo ET0 / 1 En estos comandos,
usted tiene eliminado puertos Ethernet 0 y 1 de la VLAN 1 (la LAN) e incluirlos en
VLAN 2 y 3 (Internet y la zona de distensin, respectivamente). El comando show
vlan interruptor verifica la configuracin
Ahora usted puede nombrar a las VLAN y asignarles los niveles de seguridad y las
direcciones IP: SanFrancisco # configure terminal SanFrancisco (config) #interface
vlan 1 SanFrancisco (config-if) # nameif LAN INFO: Nivel de seguridad de "LAN"
se establece en 0 por defecto

SanFrancisco (config-if) # de niveles de seguridad 100 SanFrancisco (config-if)

# ip
address
192.168.1.205
255.255.255.0 SanFrancisco
(config-if)
# exitSanFrancisco (config) # interface vlan 2 SanFrancisco (config-if) # nameif
INTERNET INFO: Nivel de seguridad de "INTERNET" pone a 0 por defecto
SanFrancisco (config-if) # ip address 209.57.12.126 255.255.255.0 SanFrancisco
(config-if) # exit SanFrancisco (config) # int vlan 3 SanFrancisco (config-if) #no
vlan interfaz hacia adelante 1 Ejemplo de configuracin del Firewall 369
SanFrancisco (config-if) # nameif DMZ INFO: Nivel de seguridad de "DMZ"
ajustado a 0 por defecto
SanFrancisco (config-if) # seguridad de nivel 50 SanFrancisco (config-if) # ip
address 10.0.0.1 255.255.255.0 SanFrancisco (config-if) # exit SanFrancisco
(config) # exit En estos comandos, usted ha llamado las tres zonas LAN,
INTERNET, y DMZ. Los niveles de seguridad se ajustan automticamente y van
desde menos segura en el 0 a ms seguro en 100. Por lo tanto, la LAN (la red
interna) necesario para tener una mayor seguridad y se fij en 100, mientras que
la seguridad de la zona de Internet se fij en 0. Tenga en cuenta que la DMZ se
configura para que no reenviar el trfico a la LAN interna. Utilice el comando show
ip direccin para mostrar la configuracin actual: SanFrancisco # demostracin de
la direccin IP de direcciones IP del sistema: manual Interface Name IP Mscara
de subred Mtodo Vlan1 LAN 192.168.1.205 255.255.255.0 255.255.255.0 Manual
Vlan2
209.57.12.126
INTERNET
VLAN3
DMZ
10.0.
0.1
Manual
255.255.255.0 Ahora sera un buen momento para guardar la configuracin en la
memoria RAM no voltil para que el sistema le " recuerde " su configuracin si se
enciende accidentalmente. Escriba el siguiente comando: Sanfrancisco # copy
running-config startup-config Nombre del archivo origen [running-config]?
[Pulse Intro ] Cryptochecksum: 667668f0 e75003da 64fd6d58 aaa178f4 1539
bytes copiados en 1.560 segundos (1.539 bytes / seg) SanFrancisco # Si tiene un
servidor TFTP, debe guardar la configuracin de all tambin por lo que si todo el
ruteador
falla,
puede
restaurar
la
configuracin
a
uno
nuevo
rpidamente:Sanfrancisco # copy startup-config tftp Direccin o nombre de host
remoto
[]? 192.168.1.201 Destino
nombre
de
archivo
[startupconfig]? SanFran ! 1539 bytes copiados en 2.700 segundos (769 bytes / seg)
SanFrancisco # Tambin se pueden verificar las interfaces IP: SanFrancisco
# show ip interface brief Interface IP-Address bien? Estado del mtodo de
Protocolo Interno Data0 / 0 SI no asignado desactvala up up Interna-Data0 / 1 SI
no asignado unset administrativamente abajo loopback0 127.0.0.1 S unset up up
Vlan1 192.168.1.205 S Manual up up Vlan2 209.57.12.126 S Manual up up
VLAN3 10.0. 0.1 S Manual up up ethernet0 / 0 SI no asignado unset up
up 370 Captulo 10 Firewall proyectos y gestin

10 ethernet0 / 1 SI no asignado desactvala up up ethernet0 / 2 SI no asignado

desarmar up up ethernet0 / 3 sin asignar S unset administrativamente abajo abajo
ethernet0 / 4 sin asignar S unset administrativamente abajo abajo ethernet0 / 5 sin

asignar S unset administrativamente abajo abajo ethernet0 / 6 sin asignar S

unset administrativamente abajo abajo ethernet0 / 7 SI no asignado unset
administrativamente abajo abajo Tenga en cuenta que las interfaces Ethernet de 3
a 7, que se asignan a la LAN, no tienen hosts conectados. El nico husped LAN
est conectado a la interfaz Ethernet 2
Para permitir que el servidor de seguridad para la ruta entre las interfaces, debe
habilitar el enrutamiento. En este caso, utilizar RIP como en el captulo 4 de los
siguientes comandos implementar y verificar RIP:. SanFrancisco # configure
terminal SanFrancisco (config) # router de rasgar SanFrancisco (config-router)
# red 10.0.0.0 SanFrancisco (config-router) # red 209.57.12.0 SanFrancisco
(config-router)
# red
192.168.1.0 SanFrancisco
(config-router)
# version
2SanFrancisco (config-router) # exit SanFrancisco (config) # salida Sanfrancisco
# Mostrar ruta Cdigos: C - conectados, S - esttica, I - IGRP, R - RIP, M - mvil, B
- BGP D - EIGRP, EX - EIGRP externa, O - OSPF, IA - OSPF rea entre N1 OSPF NSSA tipo externo 1, N2 - OSPF NSSA tipo externo 2 E1 - OSPF tipo
externo 1, E2 - OSPF tipo externo 2, E - EGP i - IS-IS, L1 - Nivel-1 IS-IS, L2 Nivel-2 IS-IS, IA - IS-IS inter zona * - default candidato, U - ruta esttica por
usuario, o - ODR P - peridico descargado ruta esttica gateway de ltimo recurso
no se establece C 127.0.0.0 255.255.255.0 est conectado directamente,
_internal_loopback C 192.168.1.0 255.255.255.0 est conectado directamente,
LAN C 10.0.0.0 255.255.255.0 est conectado directamente, DMZ C 209.57.12.0
255.255.255.0 est conectado directamente, INTERNET listas de control de
acceso de mucho trabajo como lo hacen en los routers de Cisco, como se discuti
en el Captulo 4
Dependiendo de los servicios que su red necesita para apoyar, usted necesita
estar seguro de que usted permite que el trfico requerido. En los siguientes
comandos, se evita que los clientes de LAN se conecten a un rango de
direcciones IP a las que usted ha trazado una serie de ataques (67.35.166.0/24),
pero usted permite que todas las dems conexiones. La lista de control de acceso,
el nombre HackSource, podra ser creado y aplicado de la siguiente
manera:SanFrancisco # configure terminal SanFrancisco (config) # access-list
HackSource extendi negar tcp 192.168.1.0 255.255.255.0 255.255.255.0
67.35.166.0Ejemplo de configuracin del Firewall 371
SanFrancisco (config) # access-list permiso HackSource extendida IP cualquie
cualquiera SanFrancisco (config) # interface eth 0/0 SanFrancisco (config-if)
#access-group HackSource en la interfaz LAN son posibles otros tipos de
filtrado. Por ejemplo, si desea eliminar los applets de Java en el trfico de un
servidor Web en 198.55.164.79 y el puerto 80 a la LAN, se puede usar el siguiente
comando: SanFrancisco (config) # java filtro 80 192.168.1.0 255.255.255.0 198.55.
164.79 255.255.255.0 Otra caracterstica de control de trfico es la normalizacin
TCP. Aunque esta caracterstica le permite ser muy granular en la eleccin de los
que el trfico TCP para permitir o denegar, por defecto se cae o borra paquetes

que se consideran anormales. Puede utilizar esta funcin para verificar las sumas
de comprobacin, permitir o rechazar paquetes que no excedan el tamao mximo
de segmento TCP, y permitir o dejar caer las banderas ACK no vlidas, entre otras
cosas

Resumen del captulo diseo

Firewall incluye la planificacin de la

ubicacin ms efectiva para la colocacin del firewall

Esta ubicacin depende de la cantidad de trfico que debe ser filtrada, el nivel de
seguridad necesario, y los tipos de activos protegida
Puede

utilizar varios servidores de seguridad cuando necesita mltiples DMZ o

para proporcionar equilibrio de carga
Mltiples servidores de seguridad tambin son tiles para la tolerancia a fallos y
cuando una organizacin tiene sucursales
Un

servidor proxy fue originalmente diseado para mejorar el rendimiento del

acceso Web al guardar pginas web para varios clientes. Se utiliza ahora para
realizar cortafuegos y traduccin de direcciones de red (NAT) tareas, as como el
almacenamiento en cach Web
anfitriones

bastin son los ordenadores, como servidores web, servidores de

correo electrnico, y servidores proxy que sean accesibles a los clientes que no se
confa. Hosts Bastion deben configurarse para una mxima seguridad
NAT

se utiliza para proteger a los clientes internos de acceso directo de los

servidores externos no son de confianza, y para reducir la necesidad de
direcciones IP pblicas. Mediante el uso de los rangos de direcciones IP privadas
tal como se especifica en el RFC 1918, las organizaciones pueden comprar slo la
interfaz pblica necesaria para soportar un gran nmero de direcciones IP
privadas de libre uso. Los dos tipos principales de NAT son uno-a-uno, que tiene
una correspondencia directa entre una interfaz interna y externa, y muchos-a-uno,
en el que un gran nmero de direcciones privadas se asignan a una sola interfaz
externa
Esta ltima se realiza mediante TCP cartografa y direcciones de puerto UDP en
los campos de origen y destino en las cabeceras de los paquetes
Muchos

de los comandos que se utilizan para configurar los routers de Cisco y

switches son tambin aplicables en los firewalls de Cisco. Por ejemplo, en el Cisco
ASA 5505 firewall, redes VLAN se crean para distinguir redes internas, externas y
DMZ
372 Captulo 10 Firewall proyectos y gestin

10

Trminos clave anfitriones

bastin Los

equipos que sean accesibles a los

hosts no confiables
con base dual de acogida Un

equipo configurado con ms de una interfaz de red

de copia de seguridad Un servidor de seguridad que

est configurado para encender si el servidor de seguridad actual no
firewall de conmutacin por error

de software que prioriza y horarios de las solicitudes y

luego los distribuye a los servidores en un clster de servidores basado en cada
servidor ' s carga de corriente y potencia de procesamiento
software de equilibrio de carga

muchos-a-uno NAT Un

proceso que utiliza el origen y destino los puertos TCP y UDP

se dirige para mapear el trfico entre hosts internos y externos. Many-to-one NAT
tambin se llama Port Address Translation
La nueva presentacin de los paquetes para
que las direcciones IP internas se eliminan de las solicitudes a una red insegura
como es Internet
La traduccin de direcciones de red (NAT)

uno-a-uno NAT El

proceso de asignacin de una direccin IP interna a una direccin

IP externa
servidor proxy Software

que enva paquetes hacia y desde la red protegida y

almacena en cach las pginas Web para acelerar el rendimiento de la red
revertir firewall Un

dispositivo que filtra las conexiones salientes

anfitrin apantallado Un

host-homed dual en el que uno de interfaz est conectado a

una red interna y la otra interfaz est conectado a un router de una red no fiable
enrutador screening Un

router colocado entre una red no confiable y una red interna

la seguridad de estaciones de trabajo

Un equipo dedicado a ofrecer polticas de

cortafuegos
granja de servidores de un

grupo de servidores conectados en una subred que

trabajan juntos para recibir solicitudes
firewall triple Un

cortafuegos con interfaces separadas conectadas a una red

insegura, una red semitrusted, y una red de confianza

Preguntas de repaso 1. Una DMZ es

una. una red b confianza. una red semitrusted c. una red insegura d. No en
realidad una red 2. Un router screening sera una opcin apropiada para satisfacer
las necesidades de seguridad de un

una. pequea red de oficina

anteriores Preguntas de repaso 373

b. casa

red

c. DMZ

d. ninguna

de

las

3. Cul de los siguientes equipos es probable que se encuentre en una zona de

distensin? (Seleccione todas las que apliquen.) A. servidor de correo electrnico
b. controlador de dominio c. Servidor Web d. base de datos de la informacin del
cliente 4. Cul de las siguientes cuestiones debera usted considerar en el diseo
de firewall? (Seleccione todas las que apliquen.) A. tolerancia a fallos b. al tamao
del registro c. autorizacin d. equilibrio de carga 5. Un servidor proxy. (Seleccione
todas las que apliquen.) A. est diseado para mejorar el acceso Web b. es el
mismo que un servidor de seguridad inversa C.utiliza menos recursos del sistema
que un servidor de seguridad de software d. puede filtrar el contenido de la capa
de aplicacin 6. Cul es el principal problema con el uso de un router de
deteccin? una. El router puede ser configurado de forma incorrecta
b. El router no puede proporcionar una pantalla adecuada
c. El router no se puede utilizar con un servidor de seguridad
d. El router solo no puede dejar de muchos tipos de ataques
7. Qu permite a los servidores de una granja de servidores a trabajar juntos
para manejar las solicitudes? una. un router b. un interruptor de c. un concentrador
de red d. de equilibrio de carga de software 8. Por cul de las siguientes razones
le considere la creacin de una subred protegida dentro de una red interna ya
protegida? (Seleccione todas las que apliquen.) A. para proteger la informacin del
cliente b. para proteger los servidores de gestin c. para proteger a la empresa ' s
reputacin d. para proteger los servidores Web 374 Captulo 10 Firewall proyectos y
gestin

10 9.

Una empresa con varias sucursales ha decidido mantener varios

servidores de seguridad, uno para proteger a cada sucursal ' red de s. Cul es la
forma ms eficiente de mantener estos servidores de seguridad? una. Utilice una
estacin de trabajo de seguridad centralizada
b. Enviar informacin sobre la poltica de seguridad a cada administrador de la red
c. Configure el software de gestin de escritorio remoto
d. Difunda instrucciones de configuracin peridicamente por e-mail
10. Cul de las siguientes funciones puede realizar un host de
baluarte? (Seleccione todas las que apliquen.) A. Servidor FTP b. correo
electrnico del servidor c. servidor de gestin de la seguridad d. controlador de
dominio 11. Cul de los siguientes factores pueden ocultar las direcciones IP

internas a travs de Internet? (Seleccione todas las que apliquen.) A. Filtros de

paquetes b. C NAT. servidores proxy d. tablas de estado 12. Endurecimiento un
host de baluarte implica cul de las siguientes medidas? (Seleccione todas las que
apliquen.) A. Desactivar los servicios innecesarios b. eliminar cuentas innecesarias
c. la instalacin actual parches d. todas las anteriores 13. Para aislar todas las
peticiones web externos a un servidor web especfico en la zona de distensin,
sera mejor usar muchos-a-uno NAT. Verdadero o Falso? 14. Un host de baluarte
se encuentra normalmente en la red interna. Verdadero o Falso? 15. En un
servidor de seguridad Cisco ASA 5505, el nivel de seguridad 100 es el nivel menos
seguro. ?

Verdadero

Falso proyectos

prcticos Hands-On

Proyecto 10-1: Instalacin Threat Management

2010 Tiempo requerido : 45 minutos Objetivo : Instalar Threat

Gateway
Management

Gateway 2010
Proyectos prcticos 375

Descripcin: Microsoft Forefront contiene capas de funcionalidad de seguridad,

uno de los cuales es el servidor proxy / firewall llamado Threat Management
Gateway 2010 (TMG). En este proyecto, se instala TMG como un dispositivo de
borde. Luego, en posteriores proyectos con manos, configurar TMG para separar
la red interna de un entorno de Internet simulado
El sistema de TMG debe contener dos tarjetas de red y apoyar la versin de 64
bits de Windows Server 2008 R2
Los proyectos en este captulo estn diseados para cuatro equipos: el
controlador de dominio de Windows Server 2008 instalado previamente, TMG
se ejecuta en otro sistema de Windows Server 2008, el sistema de Windows 7
instalado, y el sistema Linux ya instalada
Direcciones IP utilizadas en estos proyectos prcticos sobre estn diseados
para un grupo de cuatro equipos. El instructor le asigne a cada grupo un
conjunto de primeros octetos que son diferentes de los que se muestran en
estos proyectos con manos. Por ejemplo, en los proyectos, los rangos de
direcciones IP son 192. xyz y 10. xyz . El siguiente grupo de cuatro ordenadores
se podra asignar intervalos de direcciones IP de 193. XYZ y 11. XYZ , y as
sucesivamente

1. Inicie el controlador de dominio de Windows Server 2008. Establezca su

direccin IP como 10.0.0.125 y su mscara de subred que 255.0.0.0. Establezca
su puerta de enlace predeterminada a 10.0.0.111 y su servidor DNS para
10.0.0.125

2. Inicie el sistema cliente de Windows 7. Establezca la direccin IP de 10.0.0.110

y su mscara de subred que 255.0.0.0. Configure su servidor DNS para 10.0.0.125
. 3 Instalar Windows Server 2008 R2 en el sistema de TMG y configurarlo de la
siguiente manera: Nombre de host: Team x TMG Miembro de un dominio:
Equipo de x . net Instalar todos los parches y actualizaciones a travs de
Windows Update Local Area Connection name: Inside Conexin de rea local 2
nombre: Fuera Dentro direccin IP: 10.0.0.111 Dentro de la mscara de subred:
255.0.0.0 Fuera direccin IP: 192.168.1.110 Fuera de mscara de subred:. 255
255 255,0 4 Inicie el asistente de instalacin Threat Management Gateway.. . Haga
clic en Ejecutar la herramienta de preparacin . Haga clic enSiguiente
5. En la ventana Contrato de licencia, haga clic en Acepto los trminos del acuerdo
de licencia y haga clic en Siguiente . En la ventana Tipo de instalacin, verificar
que los servicios de Forefront TMG y Gestin est seleccionada y haga clic
en Siguiente . En la ventana de completar la preparacin, haga clic en
Finalizar . Los Forefront TMG inicia el Asistente de instalacin
376 Captulo 10 Firewall proyectos y gestin

10 6.

En la ventana de bienvenida, haga clic en Siguiente . En la ventana

Contrato de licencia, haga clic en Acepto los trminos del contrato de licencia y
haga clic en Siguiente . En la ventana Informacin del cliente, el tipo de
equipo x usuario en el cuadro de texto Nombre de usuario, donde x es el nmero
de equipo asignado por su instructor. En el cuadro de texto Organizacin, el
tipo de equipo x . Introduzca el nmero de serie del producto, si es necesario, y
haga clic en Siguiente
7. En la ventana Ruta de instalacin, tenga en cuenta la ruta de instalacin, y haga
clic en Siguiente
8. En la ventana Definir red interna, haga clic en Agregar . En la ventana de
direcciones, haga clic en Agregar adaptador . Haga clic en el interior de la caja, y
haga clic en Aceptar . (Vase la Figura 10-19.) En la ventana de direcciones, haga
clic en Aceptar . En la ventana Definir red interna, haga clic en Siguiente
Lea la ventana Servicios de Atencin y haga clic en Siguiente . En la pgina
Preparado para instalar la ventana del programa, haga clic en Instalar
9. En la ventana Instalacin del Asistente de instalacin completado, haga clic en
Finalizar
10. Haga clic en Inicio , haga clic en Todos los programas , haga clic en Microsoft
Forefront TMG y haga clic en Administracin de Forefront TMG

11. En la ventana Asistente de introduccin, haga clic en Configurar los ajustes de

red . En la ventana de bienvenida, haga clic en Siguiente . En la ventana Seleccin
de plantilla de red, compruebe que el servidor de seguridad perimetral est
seleccionada y haga clic en Siguiente
12. En la ventana Configuracin de red de rea local (LAN), seleccione el
interior del adaptador de red conectado a la caja de lista de LAN. Esta seleccin
debe rellenar la direccin IP y la mscara de subred cuadros de texto. Haga clic
en Siguiente
13. En la ventana de configuracin de Internet, los ajustes deben ser rellenan
automticamente
Haga clic en Siguiente y haga clic en Finalizar
14. En la ventana Asistente de introduccin, haga clic en Configuracin de los
ajustes del sistema . En la ventana de bienvenida, haga clic en Siguiente . La
ventana de identificacin de host debe ser rellena automticamente. Haga clic
en Siguiente . Haga clic en Finalizar
Usado con permiso de Microsoft Corporation

Figura 10-19 Seleccin del adaptador de interior

Proyectos prcticos 377

15. Haga clic en Definir opciones de implementacin . En la ventana de

bienvenida, haga clic en Siguiente . En la ventana de instalacin de Microsoft
Update, haga clic en Usar el servicio Microsoft Update para buscar actualizaciones
(recomendado) y haga clic en Siguiente
16. En el Forefront Protection TMG Caractersticas ventana Configuracin,
compruebe que Activar licencia complementaria y permitir NIS se selecciona en el
cuadro de Licencia Sistema de inspeccin de red (NIS). Verifique que la Licencia
de Proteccin Web se establece en Activar la licencia de evaluacin , y quepermita
la proteccin Web est seleccionado. Verifique que Habilitar inspeccin de
malware est marcada, y haga clic en Siguiente
17. En la ventana de Configuracin de la Actualizacin de firmas de NIS, haga clic
en Siguiente . En la ventana de retroalimentacin del cliente, haga clic enNo, yo
no ' t quiere participar , y haga clic en Siguiente . En la ventana de Microsoft
Telemetry Reporting Service, haga clic en el Ninguno botn de opcin. No se enva
informacin a Microsoft. Haga clic en Siguiente y, a continuacin, haga clic en
Finalizar . En la ventana del Asistente de introduccin, desmarqueEjecutar el
asistente de acceso web , y haga clic en Cerrar
18. Deje sus sistemas funcionando para futuros proyectos

Hands-On Proyecto 10-2: Instalar el servidor Web Apache

requerido: 10 minutos Objetivo: Instalar Apache

Tiempo

Descripcin: El programa de cdigo abierto Apache es el servidor web ms

popular del mundo
De hecho, la instalacin del servidor Web actual ms popular es el programa
Apache se ejecuta en un sistema operativo Linux. En este proyecto, instalar
Apache en el sistema Linux que ha creado en un proyecto anterior
Para instalar Apache, el sistema Linux debe estar conectado a Internet

1. Comience e iniciar sesin en el sistema Linux que ha instalado en Hands-On

Proyecto 8-1
2. Haga clic en el hogar Dash icono en la parte izquierda del escritorio
3. En el cuadro de bsqueda, escriba el terminal y pulse Enter
4. En el smbolo del sistema, escriba sudo apt-get install apache2 , y pulse Enter
5. Introduzca el administrador ' s password en el prompt
6. Si se le pregunta si desea continuar, escriba Y y presione Enter
7. Cuando la instalacin se haya completado, haga clic en el Firefox Web
Browser icono en la parte izquierda de la pantalla, el tipo http://127.0.0.1 en el
cuadro de direccin URL y pulse Enter
Si la instalacin se ha realizado correctamente, debera ver una pgina Web que
dice " Funciona! Esta es la pgina web predeterminado para este servidor.El
software de servidor web est funcionando pero no contenido se ha aadido, sin
embargo,
378 Captulo 10 Firewall proyectos y gestin

10 8.

Haga clic en la Configuracin del sistema icono en el lado izquierdo del

escritorio. Haga clic en la red icono

Haga clic en Configurar y haga clic en la configuracin de IPv4 pestaa. Configure
el cuadro de lista Mtodo de Manual . Haga clic en Agregar y, a continuacin,
configurar la direccin IP como 192.168.1.100 , la mscara de red
como 255.255.255.0 y
la
puerta
de
enlace
predeterminada
como192.168.1.110 . Haga clic en Guardar . En la parte superior derecha de la
ventana de conexin de cable, mueva el control deslizante para apagar y volver a
el.Esta accin reinicia la tarjeta de interfaz de red y muestra la nueva direccin
IP. Cierre todas las ventanas
9. Deje su sistema durante la siguiente actividad

Hands-On Proyecto 10-3: Configuracin de un Web Access

Poltica Tiempo requerido: 20 minutos Objetivo: Configurar las funciones del
servidor proxy bsicos de TMG
Descripcin: Despus de la instalacin, TMG bloquea todo el trfico por
defecto. Para permitir que los clientes internos para acceder a Internet, se requiere
una modificacin de la poltica de acceso a la Web. (En estos proyectos, las
funciones del servidor Web Linux como Internet.) En este proyecto, se realizan las
configuraciones iniciales para que el cliente Web interno, Windows 7, puede
acceder al servidor Web Linux
1. Compruebe que los cuatro equipos estn configurados como se muestra en la
Tabla 10-3. Figura 10-20 demuestra la topologa de la red de laboratorio
2. Prueba de acceso a la Web, abra un explorador Web, tanto en el controlador de
dominio de Windows Server 2008 y el sistema de Windows 7 y luego intentar
acceder http://192.168.1.100. Ambos intentos deben ser infructuosa porque los
sistemas estn en un segmento IP diferente y el TMG servidor proxy / firewall no
est configurado para pasar el trfico. Repita esta prueba desde el sistema de
TMG. Este intento debe ser exitoso porque TMG tiene una interfaz en el mismo
segmento IP que el servidor Web Linux
3. Verifique la conectividad haciendo ping a Windows 7 desde Windows Server
2008 y haciendo ping TMG ' direccin de s en el interior de ambos sistemas.Estos
pings deben tener xito
4. En TMG, haga clic en Inicio , haga clic en Todos los programas , haga clic
en Microsoft Forefront TMG y haga clic en Administracin de Forefront TMG
Direccin IP del ordenador Mscara de subred Puerta de enlace predeterminada DNS de Windows
7 10.0.0.110 255.0.0.0 10.0.0.111 10.0.0.125 Windows Server 2008 10.0.0.125 255.0.0.0 10.0.0.111
10.0.0.125 TMG Dentro 10.0.0.111 255.0.0.0 Ninguno 10.0.0.125 exterior 192.168.1.110
255.255.255.0 Ninguno 10.0.0.125 Linux 192.168.1.100 255.255.255.0 192.168.1.110 Ninguno
2014 Cengage Learning Tabla 10-3 Configuracin de la red 2014 Cengage Learning
Proyectos prcticos 379

5. En la ventana de administracin de Forefront TMG, haga clic en el signo ms al

lado de Forefront TMG (Team x TMG). Haga clic en Directiva de acceso
web. Tenga en cuenta que la poltica de acceso a la web por defecto es bloquear
todo el acceso a sitios Web para clientes internos. Ver Figura 10-21
6. Haga clic en Configure Web Access Policy . Lea la informacin en la ventana de
bienvenida, y luego haga clic en Siguiente
7. En la ventana Web Access Rules Poltica, compruebe que S, crear una regla de
bloqueo de los mnimos recomendados categoras de URL est seleccionada y
haga clic en Siguiente

8. Haga doble clic en cada una de las entradas de la " Bloquear el acceso a estos
destinos Web " cuadro para ver una definicin de los tipos de sitios Web que
bloquear. Luego
haga
clic
en Agregar . Expandir URL
Categoras ,
seleccione Uso compartido de multimedia , haga clic en Agregar y haga clic
en Cerrar. Haga clic en Siguiente
Figura 10-21 Forefront TMG default poltica de
acceso Web Threat Management Gateway Linux servidor web servidor proxy / firewall de
Utilizado con el permiso de Microsoft Corporation

Windows 7 cliente Web de Windows Server 2008 controlador de dominio de Internet

2014 Cengage Learning Figura 10-20 Topologa de red 2014 Cengage Learning 380 Captulo 10
Firewall proyectos y gestin

10 9. En la ventana bloqueados destinos Web excepciones, puede

especificar

los usuarios que no iban a impedir el acceso a los sitios que bloquean en la
ventana anterior
Haga clic en Siguiente
10. En la ventana Configuracin de Inspeccin de malware, compruebe que S,
inspeccione
el
contenido
Web
solicitada
a
la
Internet se
ha
seleccionado.Compruebe que Bloqueo cifrado de archivos (por ejemplo,. zip
archivos) est marcada, y haga clic en Siguiente
11. En la ventana Configuracin de HTTPS Inspection, verifique que Permitir a los
usuarios establecer conexiones HTTPS a sitios Web que se ha
seleccionado. Haga clic en No inspeccionar el trfico HTTPS y no validar
certificados de sitios HTTPS. Permitir todo el trfico HTTPS . Haga clic
en Siguiente
12. En la ventana Configuracin de la cach Web, desactive la casilla Activar la
regla de cach Web predeterminado y haga clic en Siguiente . Haga clic en
Finalizar
13. Haga clic en el Aplicar botn. En el cuadro de texto Descripcin Cambio,
tipo de referencia de polticas de acceso Web , haga clic en Aplicar y, a
continuacin, haga clic en Aceptar . En Grupo de Directiva de acceso web, se
puede ver las tres reglas que estn actualmente en vigor. Estas reglas se aplican
en orden, de arriba abajo, para determinar si un cliente ' s Web de destino se le
niega o se deja
14. Desde Windows 7, abra el navegador Web e intente acceder a
http://192.168.1.100
Este intento debe trabajar porque el servidor Web Linux no coincide con las
categoras de contenido bloqueados por la primera regla de acceso Web TMG. La
segunda regla, que se aplica a este trfico, permite la comunicacin

15. Deje los sistemas que se ejecutan para el prximo proyecto

Hands-On Proyecto 10-4: Examen de

caractersticas de TMG Tiempo requerido: 15

Registro

otras

minutos Objetivo: ver las

entradas del archivo de registro y las funciones de inspeccin de malware
Descripcin: En este proyecto, se examinan las funciones de inspeccin de
malware y las entradas del registro en TMG. Para obtener una funcionalidad
completa, tenga en cuenta que es necesaria una suscripcin para mantener la
deteccin de intrusiones, malware, y HTTPS definiciones al da
1. En TMG, haga clic en Directiva de firewall en el marco de la izquierda. Usted
debe ver a los mismos tres reglas que ha creado como parte de la poltica de
acceso a la Web en el proyecto anterior
2. Haga clic en Registros e informes en el marco izquierdo. Haga clic en Editar
filtro en el panel derecho. Seleccione Record Log Type . En el cuadro de lista
Valor, seleccione Filtro de Proxy Web y, a continuacin, haga clic en Update
3. En el cuadro Filtro por lista, seleccione IP del cliente . Seleccione Igual el
cuadro de lista Condiciones. En el cuadro de texto Valor, escriba la direccin IP del
sistema Windows 7. Haga clic en Aadir a la lista
4. Haga clic en Iniciar consulta . La ficha Registro en el recuadro central muestra el
progreso
5. Desde el sistema Windows 7, abra un navegador Web y conctese al servidor
Web Linux, como lo hizo en el paso 15 del proyecto anterior con manos
Proyectos prcticos 381

6. En el recuadro central de TMG, que pronto ver la entrada del registro para la
conexin permitida. Su resultado debe ser similar a la figura 10-22. Tenga en
cuenta que se puede determinar la regla utilizada para permitir que las direcciones
IP y puertos de trnsito, origen y destino, y otra informacin
7. Haga clic en Directiva de acceso web en el marco de la izquierda. Haga clic
en Configurar inspeccin de malware
Tenga en cuenta que la casilla de verificacin Habilitar inspeccin de malware est
seleccionada. Seleccione Bloquear el trfico en las reglas pertinentes
8. Haga clic en la entrega de contenido de tabulacin. Tenga en cuenta que la
opcin de goteo estndar est seleccionada por defecto. Esta opcin est
diseada para evitar que los tiempos de espera de conexin para el cliente,
mientras que el trfico se est escaneando. Como pequeas cantidades de trfico
se borran mediante el escaneo, que se transfieren al cliente, mientras que el resto
del contenido se escanea

9. Haga clic en los tipos de contenido para la notificacin de Progreso botn y, a

continuacin, haga clic en Tipos de contenido para ver los diferentes tipos de
trfico Web que se pueden configurar para la notificacin de progreso. Haga clic
en Cancelar . Haga clic en la actualizaciones de definiciones de pestaa, y
examinar la configuracin predeterminada. Esta funcin no est implementada en
este proyecto ya que se requiere de una suscripcin
10. Haga clic en la Configuracin de Inspeccin de pestaa. Examine las opciones
disponibles
11. Haga clic en el Excepciones de destino ficha y haga doble clic en Sitios
exentas de inspeccin de malware . Aqu usted puede agregar dominios que
pueden comunicarse con los clientes internos sin la sobrecarga de la inspeccin
de malware. Haga clic en Cancelar y, a continuacin, haga clic en Cancelarpara
cerrar la ventana de inspeccin de malware
12. Mantenga sus sistemas funcionando para el prximo proyecto
Usado

con

permiso

de

Microsoft

Corporation

Figura 10-22 entrada mascotas registro de

conexin 382 Captulo 10 Firewall proyectos y gestin

10 Hands-On Proyecto 10-5: Denegacin del acceso a sitios

especficos

usuarios

especficos

Tiempo

requerido: 15

minutosObjetivo: Configurar parmetros de la regla para limitar el acceso de los

usuarios a las funciones de la Web
Descripcin: Aunque el acceso a Internet se ha convertido en una necesidad para
muchas organizaciones, este acceso tambin presenta problemas. Los empleados
pueden abusar de su acceso a Internet y la productividad dolor mediante el uso de
sitios de redes sociales, o que incluso podra poner en peligro a la organizacin
mediante la realizacin de actos ilegales a travs del acceso a Internet. TMG
permite restricciones muy especficas que se deben configurar.En este proyecto,
se crean restricciones detalladas para un solo usuario
. 1 En el controlador de dominio de Windows Server 2008, crear un usuario con los
siguientes atributos: Primer nombre: Capitn Apellido: Jack de usuario Nombre de inicio de
sesin: Contrasea cjack: Pa $ $ palabra 2. En TMG, haga clic en Directiva de acceso
web en el marco de la izquierda. Haga clic en Crear regla de accesoen el marco
de la derecha
3. En la ventana de bienvenida, tipo de abusadores Web en el cuadro de texto
nombre de regla de acceso, y haga clic en Siguiente
4. En la ventana de Accin de la regla, compruebe que Deny est seleccionado y
haga clic en Siguiente

5. En la ventana Protocolos, ya se seleccionan HTTP y HTTPS. Haga clic

en Agregar , expanda Todos los protocolos , seleccione FTP y haga clic
en Agregar .Haga clic en Cerrar y haga clic en Siguiente
6. En la ventana de acceso Orgenes de regla, haga clic en Agregar ,
expanda Redes , seleccione Interna y haga clic en Agregar . Haga clic en Cerrar y
haga clic en Siguiente
7. En la ventana de regla de acceso Destinos, haga clic en Agregar , haga clic en
el nuevo men, y haga clic en Domain Name Set . En el cuadro de texto Nombre,
escriba sitios de redes sociales . Haga clic en Agregar , cambiar el nombre del
nuevo dominio como facebook.com , y haga clic en Aceptar . Desde la lista de
nombres de dominio Establece, seleccione Sitios de redes sociales , y haga clic
en Agregar . Desde el nuevo men, haga clic en Intervalo de direcciones . En el
cuadro de texto Nombre, escriba Servidor Linux Web . Tanto en el cuadro de texto
Direccin de inicio y el cuadro de texto Direccin End, escriba la direccin IP del
servidor Web Linux. Haga clic en Aceptar . En la lista Rangos de direcciones,
seleccione Linux Servidor Web y haga clic en Agregar. Haga clic en Cerrar . Haga
clic en Siguiente
8. En la ventana Conjuntos de usuarios, seleccione Todos los usuarios y haga clic
en Eliminar . Haga clic en Agregar y haga clic en el nuevo men. En la ventana de
bienvenida, tipo abusadores Web del usuario Nombre del juego de cuadro de texto
y haga clic en Siguiente . En la ventana Usuarios, haga clic enAgregar y haga clic
en usuarios y grupos de Windows
En las ventana Seleccionar usuarios o grupos, haga clic en el Locations botn. Si
aparece la ventana Seguridad de Windows, escriba Administrador como nombre
de usuario y Pa $ $ palabra como los proyectos prcticos 383
contrasea, y haga clic en Aceptar . En la ventana Ubicaciones, expanda Todo el
directorio , seleccione Equipo x . red y haga clic en Aceptar . En el cuadro Escriba
los nombres de objeto para seleccionar cuadro de texto, escriba cjack , y haga
clic en Comprobar nombres . Capitn Jack ' s nombre debera aparecer subrayada
Haga clic en Aceptar , haga clic en Siguiente y haga clic en Finalizar . En la
ventana Agregar usuarios, seleccione abusadores Web , haga clic en Agregar ,
haga clic en Cerrar y haga clic en Siguiente . Haga clic en Finalizar . Haga clic
en Aplicar . En el cuadro de texto Descripcin Cambio, tipo abusadores web
creadas y activadas . Haga clic en Aplicar y haga clic en Aceptar
9. Desde el sistema Windows 7, inicie sesin en el dominio como el Capitn
Jack. Abra un navegador Web e intente acceder al servidor Web Linux, como lo
hizo en el paso 15 de Hands-On Proyecto 10-3. Su intento falle. Si sus sistemas
estaban conectados a Internet, el acceso a los sitios de Facebook y FTP tambin
se neg

10. Cierre la sesin en el sistema Windows 7, e iniciar sesin como otro usuario de
dominio. Intente acceder al servidor Web Linux nuevo. Este intento tuviera xito
11. Cierre la sesin en todos los equipos

Proyectos Casos de Proyecto Caso 10-1: Firewall parmetros

de seleccin que usted trabaja para una empresa de consultora de red y se le
ha pedido para crear una gua para la seleccin del servidor de seguridad. Crear
un esquema de una seccin que enumera y define los parmetros ms
importantes de las funciones de servidor de seguridad, tales como el rendimiento

Caso Proyecto 10-2: Parmetros del servidor proxy Usted

todava
est trabajando en su gua para la seleccin de servidor de seguridad del proyecto
caso anterior
Crear un esquema para una seccin que enumera y define los parmetros
funcionales ms importantes de los servidores proxy
384 Captulo 10 Firewall proyectos y gestin

captulo

13

Seguridad Diseo e

Implementacin
Polticas

Despus de leer este captulo y completar

los ejercicios, usted ser capaz de:

sistema de ciclo de vida

anlisis de riesgos

de

Describir el desarrollo del

Explicar los conceptos fundamentales del

Describir los diferentes enfoques para el anlisis de

riesgos

Explicar el proceso de riesgo anlisis Describir las tcnicas

para minimizar el riesgo

polticas de seguridad

seguridad

Explicar los conceptos importantes en las

Identificar las categoras de una poltica de

Definir procedimientos de manejo de incidentes 475

Antes de emprender cualquier proyecto, ya sea que usted est pintando

o una habitacin en su casa la creacin de una empresa, tiene sentido
imaginar el resultado que desea. La mayor claridad y detalle que usted
tiene para su visin del producto terminado, el ms eficiente y
econmica que pueden completar el proyecto. En una organizacin, las
tareas se llevan a cabo por los empleados que llevan a cabo los procesos
de negocio. Normalmente, estos empleados trabajan en departamentos
que son responsables de funciones especficas, tales como ventas,
marketing, investigacin y produccin. A un alto nivel, la gestin es
responsable de asegurar que los departamentos estn cumpliendo con
la organizacin ' objetivos s
Para gestionar los procesos de negocio de manera efectiva, los
departamentos y las organizaciones deben definir sus objetivos con
claridad. Una declaracin de misin es una descripcin de alto nivel de
los objetivos que la organizacin quiere lograr. Por ejemplo, el siguiente
extracto de la declaracin de la misin de Amazon, la compaa de
ventas por Internet: Para continuar ofreciendo productos y servicios de
calidad utilizando la mejor tecnologa disponible ya un precio
razonable. Esto se traduce en clientes altamente leales, mientras que el
mantenimiento de los accionistas ' intereses y beneficios de las
empresas en mente. Tambin queremos expandir geogrficamente, lo
que aumenta el nmero de clientes y seguir mejorando nuestra principal
ventaja competitiva - la infraestructura

Las organizaciones a menudo crean declaraciones de valores para

definir las directrices para el cumplimiento de su misin. Por ejemplo,
aqu es Microsoft ' s declaracin de valor: Como compaa y como
individuos, valoramos la integridad, la honestidad, la transparencia, la
excelencia personal, autocrtica constructiva, la auto-mejora continua y
el respeto mutuo. Estamos comprometidos con nuestros clientes y socios
y tienen una pasin por la tecnologa.Tomamos grandes retos, y estamos
orgullosos de verlos pasar. Somos responsables de nuestros clientes,
accionistas, socios y empleados por honrar nuestros compromisos, con
resultados, y la lucha por la ms alta calidad
Si bien estas declaraciones incluyen valores especficos y son tiles
como guas, no definen la forma de llevar a cabo operaciones o la forma
de medir el grado en que una empresa est cumpliendo con los trminos
de sus declaraciones de misin y valores
Las polticas son documentos detallados que describen las condiciones,
las tareas y las mediciones dentro de una organizacin; polticas
tambin definen las condiciones y acciones que no estn permitidas. Un
ejemplo de una poltica simple sera el requisito de que todos los
usuarios que acceden a una base de datos deben ser
autenticados. Otros detalles especficos para llevar a cabo la poltica se
definen por un documento de procedimiento. Por ejemplo, la poltica de
autenticacin hara referencia a documentos de procedimiento que
definen los protocolos aceptables de autenticacin, protocolos
inaceptables, y el tipo de autenticacin utilizado, tales como nombres de
usuario y contraseas, biometra o tarjetas inteligentes
Como se pueden imaginar, las organizaciones grandes y eficientes
tienen miles de documentos que definen las polticas y los
procedimientos. Estos documentos no son creados exclusivamente para
validar las declaraciones de misin
Muchas organizaciones tienen normas legales y reglamentarias que
exigen cmo deben llevarse a cabo y cabo varios procesos. La
organizacin debe cumplir con estos estndares y documentar el
cumplimiento. En muchas organizaciones, el cumplimiento de estas
normas a menudo requiere de la participacin de la tecnologa de la
informacin (TI), en particular en el mbito de la seguridad de la
informacin
476 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13 Comprender la Poltica de Ciclo de Vida de

Seguridad El desarrollo de una poltica de seguridad sigue un ciclo
de vida similar a la de muchos otros proyectos importantes a largo plazo

de desarrollo de software y. Un ejemplo paralelo es un pas ' la poltica

exterior s. Una nacin 's gobierno podra tener un enfoque exhaustivo
para hacer frente a situaciones polticas, sociales y econmicas en los
pases extranjeros, pero cualquier nmero de los cambios bruscos puede
desafiar ese enfoque muy rpidamente. La eleccin de un nuevo primer
ministro, la aprobacin de una nueva ley, una huelga laboral, el estallido
inminente de las hostilidades, o la captura de un espa puede
desencadenar la necesidad de un cambio inmediato en la poltica
exterior. Del mismo modo, algunos productos de software parecen estar
en un estado de cambio constante. Actualizaciones, parches, service
packs y nuevas versiones se liberan de forma regular
Lo mismo puede decirse de una poltica de seguridad. El paisaje siempre
cambiante de las amenazas a la seguridad de la informacin hace que
sea prudente pensar que una poltica de seguridad es siempre verdad
completa. Sobre una base diaria, el personal de TI intentan proteger sus
empresas contra la aparicin de nuevos ataques y amenazas
En un sentido general, el ciclo de vida del desarrollo de una poltica de
seguridad, el software o la poltica exterior sigue el ciclo de vida de
desarrollo del sistema que se muestra en la Figura 13-1. Ms adelante en
este captulo, usted aprender ms acerca de cada una de estas cuatro
fases, pero primero usted aprender acerca de los objetivos de cada
fase

Evaluacin de Necesidades

En el desarrollo de un sistema o de
comenzar un proyecto, la primera pregunta importante para una
organizacin es determinar lo que necesita. El propsito de la instalacin
o proyecto debe quedar claro. Inherente a esta pregunta es la cuestin
de cmo medir el proyecto ' s xito. No todos los proyectos de desarrollo
de sistemas se prestan a evaluaciones objetivas, pero algunas normas
para el xito se deben establecer
La supervisin del rendimiento de las necesidades de aplicacin del Sistema El
diseo del sistema de evaluacin 2014 Cengage Learning Figura 13-1 El ciclo de vida
de desarrollo del sistema de Comprensin del ciclo de vida Poltica de Seguridad 477

Diseo del Sistema

Una vez que el objetivo es claro, una

organizacin puede comenzar a crear un sistema que permita abordar
sus necesidades. Esta fase incluye la planificacin. Es de importancia
crtica para incorporar elementos esenciales del sistema al comienzo de
un proyecto en lugar de tener que aadir ms tarde. Por ejemplo, es
muy difcil aadir los componentes de seguridad al software despus de

que el cdigo ha sido escrito; es mucho ms fcil de incorporar la

seguridad como est escrito el cdigo. Del mismo modo, es mucho ms
fcil construir el cumplimiento legal y normativo estndares en las
polticas de seguridad de volver a trabajar las polticas despus. De este
modo, todas las partes interesadas en un proyecto deben tener
injerencia en la fase de planificacin
Una vez que se ha completado la planificacin, la construccin puede
comenzar. Si el proyecto requiere escribir cdigo o crear polticas de
seguridad, un sistema de frenos y contrapesos se debe poner en su
lugar. Por ejemplo, los miembros del equipo que no estn directamente
involucrados en ciertas partes de un proyecto deben revisar el trabajo
de sus colegas en esas reas

Implementacin del Sistema

Antes de que un sistema se

implementa, a menudo se requiere la formacin de usuarios. La
formacin puede realizarse en etapas y el uso de diferentes
procesos. Por ejemplo, la formacin para ejecutivos de alto nivel podra
llevarse a cabo antes de la capacitacin para los empleados de primera
lnea. Del mismo modo, la profundidad y el tipo de entrenamiento
necesario puede depender de la funcin de trabajo. Normalmente, el
tiempo empleado en la formacin y la profundidad de esa formacin es
inversamente proporcional a un empleado ' posicin de s en la
organizacin. Gerentes de nivel superior reciben menos formacin que
los administradores de nivel medio; supervisores a nivel de
departamento reciben ms formacin que los administradores de nivel
medio, pero menos que los trabajadores de primera lnea
Dependiendo del proyecto, un sistema puede ser implementado en una
fase piloto y se activa slo con un alcance limitado, o un sistema puede
ser desplegado por completo y al mismo tiempo. Los nuevos sistemas,
incluidas las polticas de seguridad, a menudo se han ido extendiendo
por etapas, de un departamento a la vez, por lo que el seguimiento y
evaluacin de las necesidades puede proceder sin afectar a toda la
organizacin
Departamento por departamento, el sistema se implementa

Supervisin del rendimiento

La fase de seguimiento puede

perderse en la prensa de otros deberes. Una vez que el sistema est en
su lugar, es fcil olvidarse de l y pasar a la siguiente reto si el sistema
no est causando ningn problema obvio. En el caso de las polticas de
seguridad, este enfoque puede ser muy peligroso. Es posible que haya
creado una poltica de copias de seguridad de datos que funciona bien,

pero si usted no es consciente de que los parches de software en los

sistemas de la empresa han provocado conflictos con el software de
copia de seguridad automtica, usted puede estar decepcionado cuando
intenta restaurar un archivo importante que ha sido corrompido. Si no
son conscientes de un cambio en un requisito reglamentario o te
perdiste la noticia de que el departamento de contabilidad modificado
un proceso de negocio y por lo tanto subvertido un control de seguridad
sin darse cuenta, su prxima auditora externa puede ser una
experiencia impactante
Es extremadamente importante para el xito de un proyecto para
monitorear continuamente el rendimiento del sistema
En el caso de una poltica de seguridad, es necesario hacer varias
preguntas: Alguno de los supuestos hechos, mientras que el desarrollo
de la poltica ya no es cierto? Haga que los nuevos desarrollos se
requiere modificaciones a la poltica? Son los empleados que cumplen
con la poltica? Son gerentes acatando?478 Captulo 13 Diseo y Aplicacin de
la Poltica de Seguridad

13

Despus de responder a las preguntas anteriores y otros, es posible

que las nuevas necesidades deben abordarse en la pliza. Por lo tanto,

se vuelve a la fase de evaluacin de las necesidades y el ciclo comienza
de nuevo. Desarrollo de sistemas, incluyendo el desarrollo de la poltica
de seguridad, es un proceso iterativo y continuo: se gira a travs de la
evaluacin de necesidades, diseo de sistemas, implementacin de
sistemas, y la supervisin del rendimiento

El examen de los conceptos de anlisis de

riesgos Antes de aprender sobre el anlisis de riesgos, usted debe
saber algo de su terminologa. Por ejemplo, un activo es una persona,
cosa o idea que apoya la empresa ' s misin. Los empleados, los
servidores, los datos y la propiedad intelectual son todos ejemplos de
activos. Una amenaza es una persona o suceso que pueda daar un
activo. Ejemplos de amenazas incluyen hackers, errores de los usuarios,
y los actos de la naturaleza. Una vulnerabilidad es una debilidad o una
exposicin que puede hacer que un activo ms susceptibles al riesgo.Un
servidor Web es sin parchear una vulnerabilidad porque es una debilidad
conocida que puede ser explotado, pero incluso un servidor Web

parcheado puede crear una vulnerabilidad en una organizacin, ya que

un activo est expuesto a los sistemas que no se confa en Internet
El riesgo se asocia a cada situacin. Usted toma un riesgo al cruzar una
calle y la apertura de un negocio. Por otro lado, es posible tomar un
riesgo por nocruzar la calle o la creacin de un negocio. Por ejemplo, su
idea de negocio puede ser aplicado con xito por alguien que acta
antes de hacerlo. Riesgo es la probabilidad de que una amenaza puede
causar daos a un activo
Debido a todas las situaciones conllevan un riesgo, no existe una
situacin en la que la seguridad es perfecto
Su primera tarea en el desarrollo de una poltica de seguridad es evaluar
el riesgo para sus empleados, su red y sus bases de datos de clientes,
profesin, e informacin personal. Su objetivo final no es reducir los
riesgos a cero, pero para idear formas de gestionar los riesgos de una
manera razonable. Este proceso, llamado anlisis de riesgo , determina
las amenazas se enfrenta una organizacin, los recursos que estn en
situacin de riesgo, y la prioridad que se debe dar a cada recurso. El
anlisis de riesgos es el primer paso en la formulacin de una poltica de
seguridad , una declaracin que especifica lo que las defensas se debe
configurar para bloquear el acceso no autorizado a una organizacin ' s
activos, cmo la organizacin responde a los ataques, y cmo los
empleados deben manejar con seguridad la organizacin ' s recursos
para prevenir la prdida de datos o daos en los archivos
El anlisis de riesgos es un proceso iterativo con un ciclo de vida similar
a la mostrada en la Figura 13-1
La Figura 13-2 muestra el ciclo de vida de anlisis de riesgos. Durante la
fase de ejecucin y seguimiento, es comn el uso de los conocimientos
adquiridos para modificar la poltica de seguridad incluso cuando el
anlisis de riesgo sigue
Muchas empresas, especialmente las ms pequeas, pasan por alto las
polticas de seguridad y evaluaciones de riesgo en el proceso de
desarrollo de defensas de la red y las contramedidas. Cuando se le
pregunta si la poltica de seguridad est en su lugar en una empresa
ms
pequea,
es
posible
que
escuche
respuestas
tales como, " Qu poltica de seguridad? " o " Comenzamos a trabajar
en uno de hace tres aos, pero nunca se lleg a ninguna parte. "En la
carrera por hacer frente a las demandas diarias de la empresa, las
polticas de seguridad pueden ser fcilmente pasados por alto. Una de
sus primeras tareas como nuevo gerente de seguridad podra ser la de
convencer a otros directivos y empleados que necesitan para desarrollar

un anlisis de riesgos y el ciclo de la poltica de seguridad de la

organizacin
Las siguientes secciones establecen las bases para la comprensin de
anlisis de riesgo, que es el primer paso para desarrollar una poltica de
seguridad de la red. Usted aprender los conceptos fundamentales de
riesgo Examinar los conceptos de Anlisis de Riesgos 479
anlisis, diferentes enfoques para la realizacin de anlisis de riesgos,
los principios para la toma de anlisis de riesgo de un proceso continuo y
no un hecho aislado, y formas de analizar el efecto econmico de las
amenazas

Factores de anlisis de riesgos

en trminos de una red conectada

al anlisis de Internet, el riesgo deben abarcar el hardware, el software y
los almacenes de datos - depsitos de clientes valiosos, trabajo, y la
informacin personal que una empresa necesita para proteger
Las siguientes secciones describen los seis factores necesarios para
crear
un
anlisis
de
riesgos: Activo Amenazas Las
probabilidades Vulnerabilidades Consecuencias Controles
de
seguridad Activos Activos en una organizacin desempear un papel
central en el anlisis de riesgo - despus de todo, ellos son el hardware,
software, y los recursos de informacin que necesitan para protegerse a
travs del desarrollo e implementacin de una poltica de seguridad
integral. Usted es probable encontrar cuatro tipos de activos: Activos
Fsicos - equipos y edificios en la organizacin activos de datos - Bases
de datos, registros de personal, informacin de clientes o cliente y otros
datos
de
los
almacenes
de
la
organizacin
y transmite
electrnicamente Aplicacin y modificacin Poltica de evaluacin de
monitoreo de riesgos La poltica de seguridad la creacin de Aplicacin de
polticas 2014 Cengage Learning Figura 13-2 El ciclo de vida de anlisis de
riesgos 480 Captulo 13 Seguridad Diseo y Aplicacin de Polticas

13

Activos de software - programas de servidor, programas de

seguridad y otras aplicaciones que se utilizan para comunicarse y llevar

a cabo la organizacin ' s actividades tpicas activos Personal - Las
personas que trabajan en la organizacin, as como clientes, socios
comerciales, contratistas y empleados independientes Algunos activos
son objetos tangibles, como las computadoras. Otros activos son
intangibles, como una empresa ' s reputacin y el nivel de confianza que
inspira en sus clientes. Usted podra considerar otros activos a ser
conceptos esenciales de la empresa, tales como la confidencialidad, la

integridad de la informacin y la disponibilidad de recursos. La

informacin ms valiosa, como el contenido de bases de datos que
deben ser confidenciales y exactos, es lo que usted debe centrarse en
primer lugar. Los datos podran ser el activo ms importante para
continuar las operaciones de negocios, pero tambin es el activo ms
difcil de evaluar. De hecho, la lista de todos los activos que tenga
relaciones puede ser difcil. Usted puede ser capaz de analizar slo los
activos ms importantes en detalle

Amenazas Las

amenazas
son
eventos
y
condiciones
que
potencialmente podran ocurrir, y su presencia aumenta el
riesgo. Algunos peligros son universales, como los desastres
relacionados con el clima. Otros son ms especficos a su sistema, como
por ejemplo un servidor de almacenamiento de una base de datos de
clientes; un atacante podra aprovechar el servidor para obtener acceso
al sistema. Otros ejemplos de amenazas incluyen los siguientes: Fuente
de alimentacin - La fuente de alimentacin en su rea podra ser poco
confiable, por lo que su empresa sujeta a las cadas de tensin,
apagones y subidas repentinas llamados picos de voltaje
Criminalidad - Si usted trabaja en una zona de alta criminalidad u otras
oficinas en su rea se han robado, su riesgo aumenta

Instalacin - Si el edificio tiene cableado de edad que es propenso a las

fluctuaciones o tiene la supresin de incendios insuficiente, el riesgo de
dao de fuego aumenta

Industria - Si su empresa opera en una industria altamente

competitiva, o uno que requiere de alta seguridad, un fallo de seguridad
podra dar lugar a un litigio o una prdida importante de ingresos o
incluso obligar a la empresa a cerrar

La gravedad de una amenaza depende de su probabilidad de ocurrir,

como se explica en la siguiente seccin

Probabilidades geogrfica o ubicacin fsica, factores habituales, y

otros factores afectan a la probabilidad de que una amenaza se

producir. Un factor geogrfico podra incluir los terremotos, que son
amenazas comunes en algunas regiones. Ubicacin fsica podra tambin
influir en la probabilidad de amenazas; un ejemplo sera un problema
elctrico en el edificio que alberga sus sistemas
Factores habituales podran ser las prcticas de seguridad pobres, como
los empleados de mantenimiento de contraseas escritas expuestas

cerca de sus ordenadores, que aumentan la probabilidad de un fallo de

seguridad
Estos factores son una gran parte de lo que la evaluacin de riesgos
trata de descubrir. El anlisis de riesgos evala cada factor y clasifica su
potencial impacto o exposicin
Su exposicin al riesgo aumenta si su organizacin tiene uno o ms
factores que aumentan las probabilidades de amenaza. Por ejemplo, si
usted vive en una parte del pas con tormentas o inundaciones
frecuentes, la amenaza de dao aumenta relacionados con el clima. Si
varios empleados descontentos tenan acceso a la informacin sensible
y acaban de ser despedidos, la probabilidad de perder esa informacin
aumenta menos que tome medidas para protegerlo antes de que
salgan. Si su oficina tiene un sistema de alarma conectado a un servicio
de seguridad, la probabilidad de robo es el examen de los Conceptos de
Anlisis de Riesgos 481

reducida. La probabilidad de amenazas que ocurren con frecuencia se

evala y se registra en trminos generales, como se muestra en la Tabla
13-1

Vulnerabilidades Las

vulnerabilidades son las situaciones o

condiciones que aumentan la probabilidad de que una amenaza, que a
su vez aumenta el riesgo. Los ejemplos incluyen la conexin de
ordenadores a Internet, mantener los equipos en zonas abiertas donde
cualquier persona puede usarlos, y la instalacin de servidores Web
fuera de la red corporativa en la zona desmilitarizada vulnerables (DMZ)
Usted puede fcilmente pensar en ejemplos de situaciones de
vulnerabilidad que afectan a hardware y software de red. Algunos
defectos comunes incluyen el software del sistema operativo, pero en
los ltimos aos, el software de aplicacin tambin se ha convertido en
el blanco principal de los atacantes. Incluso el servidor Web libre Apache
ha sido vctima de compromisos de seguridad como resultado de fallas
de software
Aunque algunos sistemas tienen ms fallos de seguridad que otros,
recuerde que cada sistema tiene fallas. Apertura de una red para los
usuarios remotos cuyos ordenadores estn protegidas por antivirus o
software de firewall puede exponer la red a las intrusiones y las
infecciones de virus. Firewalls configurados mal o filtros de paquetes, las
contraseas sin proteccin, los archivos que no se revisan con
regularidad cerca o registro, las nuevas amenazas de intrusin que
afectan a las redes inalmbricas y la complejidad de las redes de
computadoras modernas, todo ello contribuye a las vulnerabilidades que
pueden dar a los atacantes una abertura

Consecuencias consecuencias adversas sustanciales pueden ser el

resultado de un virus que te obliga a tomar el sitio Web corporativo
desconectado durante una semana o un incendio que destruye los
equipos informticos

Puede ampliar la identificacin temprana de amenazas para incluir

clasificaciones que evalan las consecuencias de esas amenazas, como
se muestra en la Tabla 13-2
En la tabla 13-2, la probabilidad de que las amenazas se ha ampliado
para incluir una calificacin de su impacto. Clasificacin estos artculos
puede ser difcil debido a la gravedad depende a menudo de un virus
especfico o de su ubicacin fsica, por ejemplo. Una inundacin puede
suponer una grave amenaza para los equipos de la planta baja de una
oficina, pero no a las computadoras en el dcimo piso
Adems de las consecuencias de la obtencin de un sistema de nuevo
en lnea despus de un ataque, los impactos de costos y otros efectos
pueden ser ms difciles de anticipar, incluyendo las reclamaciones de
seguros, informes policiales, el envo o los gastos de envo, y el tiempo y
el esfuerzo necesarios para obtener y reinstalar el software Amenaza
Probabilidad Terremoto Medium Low Fire Flood alto Ataque de Internet de infeccin muy
alta Virus muy altos empleados dar informacin Low 2014 Cengage Learning Tabla 131 amenaza Muestra de probabilidades 482 Captulo 13 Seguridad Diseo e
Implementacin de Polticas

13

o hardware. El costo real de un incidente suele ser mucho mayor

que el costo de la sustitucin de equipos y la restauracin de

datos. Cuando vas a la administracin para justificar las inversiones en
seguridad, la estimacin del costo de la inversin y su beneficio para la
empresa es vital. Esta estimacin se conoce comnmente como
un anlisis de costo-beneficio . Los nmeros ms importantes que usted
desee gestin de entender son los costes reales pagados por ao por la
empresa a causa de los incidentes de seguridad. El beneficio es la
cantidad por ao ahorrado al evitar estos incidentes

Controles de seguridad Los controles de seguridad son medidas que

puede tomar para reducir las amenazas, como la instalacin de firewalls
y IDPSS, bloqueo de las puertas, y el uso de contraseas y cifrado

Estas medidas interactan entre s para ayudar a gestionar el riesgo. Al

decidir la forma de gestionar el riesgo, primero debe identificar y
clasificar los riesgos.A continuacin, a determinar las prioridades de los

bienes amenazados, y luego a determinar si aceptar, transferir o mitigar

el riesgo
Un activo tiene un importe asociado de riesgo. Amenazas y
vulnerabilidades aumentan el riesgo; contramedidas trabajan para
reducir el riesgo. Riesgo residual es la cantidad que queda despus se
implementan contramedidas; un riesgo en realidad nunca es igual a
cero. La figura 13-3 ilustra este proceso
Amenazas Los riesgos para activos 0 riesgos aumentan junto con las
amenazas a menos que se apliquen las contramedidas reducir el riesgo
residual de riesgo (nunca llega a cero) Cengage Learning 2014 Figura 133 Contramedidas reducir pero nunca eliminar el riesgo de consecuencias Amenaza
Probabilidad Terremoto Media Significativa Fuego Inundacin baja significativa Alto
Menor Ataque desde Internet muy alta de infeccin de virus graves muy altos
empleados serios dar informacin bajo Significativo 2014 Cengage LearningTabla 132 probabilidades y consecuencias de las amenazas que examinan los conceptos de
Anlisis de Riesgos 483

Mtodos de Anlisis de Riesgos

Despus de haber estudiado

todos los factores de anlisis de riesgos que afectan a su organizacin,
usted tiene los bloques de construccin necesarios para preparar un
anlisis de riesgo. Se pueden utilizar diferentes mtodos de anlisis de
riesgos para crear una poltica de seguridad y luego evaluar qu tan bien
est funcionando la poltica de modo que usted puede actualizar y
mejorarlo. Las siguientes secciones describen los dos mtodos que
tienen ms probabilidades de usar

Anlisis

de

Redes

de

supervivencia Anlisis de Redes de

supervivencia (SNA) es un proceso de seguridad desarrollado por el

Centro de Coordinacin CERT. SNA comienza con la suposicin de que un
sistema informtico o red sern atacados. Te lleva a travs de un
proceso de cuatro pasos diseado para asegurar la supervivencia de una
red si se produce un ataque. supervivencia es la capacidad de seguir
funcionando durante los ataques, los fallos del sistema, accidentes o
desastres

La supervivencia se centra en una red ' s servicios esenciales, activos y

capacidades crticas y depende de cuatro propiedades clave de una
red: Resistencia- La capacidad de un sistema para repeler los
ataques Reconocimiento - La capacidad de detectar ataques cuando se
producen
y
para
evaluar
la
extensin
del
dao
y
el
compromiso Recuperacin - La capacidad para mantener los servicios
esenciales durante una crisis y restaurar todos los servicios
despus adaptacin y evolucin - La capacidad para mejorar la
supervivencia de un sistema basado en los conocimientos adquiridos a
partir de los ataques El estudio de una red ' s capacidad de

supervivencia se basa en otros conceptos relacionados con el anlisis de

riesgos, incluyendo la tolerancia a fallos , que es la capacidad de un
objeto o un sistema para continuar con sus operaciones a pesar de un
fracaso, como el apagado del sistema. Procedimientos de seguridad,
sistemas de seguridad, y las pruebas en curso son tambin importantes
para la supervivencia. La mayora de los productos de software no estn
diseados con capacidad de supervivencia en mente, por lo que los
estudios de supervivencia pueden ser valiosos. En cambio, el software
es a menudo diseados para trabajar durante un determinado nmero
de usuarios o para una cierta cantidad de informacin hasta que sea
sustituido por un software nuevo y mejorado
Los pasos en el SCN son los siguientes: Definicin del sistema - En
primer lugar, se crea una visin general del sistema ' requisitos de
organizacin s. Usted analiza la arquitectura del sistema, mientras que
la contabilidad de sus componentes de hardware, instalaciones de
software, bases de datos, servidores y otros ordenadores que almacenan
informacin
Definicin capacidad esencial - Identifican un sistema de " servicios
esenciales s y activos que son crticos para el cumplimiento de su
organizacin 'misiones y objetivos s

Definicin capacidad Compromisable - Usted disea las situaciones en

las que se producen intrusiones en el sistema y luego trazar la intrusin
a travs de su arquitectura de sistema para identificar lo que se puede
acceder y qu tipo de daos puede ocurrir

El anlisis de supervivencia - A identificar potenciales puntos de fallos

en
el
sistema - componentes
integrales
que
pueden
ser
comprometidos. A continuacin, hacer recomendaciones para corregir
los puntos de falla y para mejorar el sistema de ' s la resistencia a las
intrusiones y la capacidad de recuperarse de los ataques, accidentes y
otros desastres

484 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13

El nfasis est en la creacin de un proceso continuo en lugar de

tratar de crear una postura definitiva de seguridad esttica. Podra

empezar con una mejor gestin de contraseas, a continuacin,
actualizar el sistema para cifrar los datos crticos, y luego instalar
software que filtra potencialmente dainos e-mail para que el sistema
de ' s la capacidad para sobrevivir realiza mejoras constantes

Amenaza y el Riesgo de Evaluacin de Amenazas y Evaluacin de

Riesgos (TRA) enfoques de anlisis de riesgos desde el punto de vista de

las amenazas y riesgos para la organizacin ' s activos y las
consecuencias si se producen esas amenazas y riesgos. Al igual que el
SCN, TRA tiene cuatro pasos: Definicin de activos - A identificar el
software, el hardware y la informacin que necesita para defender
Evaluacin de amenazas - a identificar el tipo de amenazas que ponen
los activos en riesgo, incluyendo vandalismo, incendios, desastres
naturales y ataques desde Internet. Evaluacin de amenazas tambin
incluye una evaluacin de la probabilidad y las consecuencias de cada
amenaza

Evaluacin de riesgos - Usted evala cada activo para cualquier

salvaguardias existentes, la gravedad de las amenazas y riesgos para
cada activo, y las consecuencias de la amenaza o el riesgo que tienen
lugar. La combinacin de estos factores crea una evaluacin del riesgo
real de cada activo

Recomendaciones - En base a los riesgos y las garantas actuales, que

hacen recomendaciones para reducir los riesgos. Estas recomendaciones
deben entonces a formar parte de una poltica de seguridad

Tabla 13-3 enumera las clasificaciones que se pueden asignar para

describir la probabilidad de que se produzcan amenazas
Despus de la calificacin de la gravedad de una amenaza o riesgo,
evaluar las consecuencias en caso de que ocurra realmente. Tabla 13-4
muestra un mtodo de describir consecuencias
Despus de evaluar el nivel de las amenazas a los activos y descripcin
de las consecuencias de las amenazas que se producen, se pueden
combinar estas dos clasificaciones para desarrollar un anlisis de riesgo
de cada activo, tal como se describe en la siguiente seccin
Clasificacin Qu significa Insignificante Poco probable que ocurra Muy baja Probable
que ocurra slo dos o tres veces cada cinco aos bajos probable que se produzca
dentro de un ao o menos media Probabilidad de que ocurra cada seis meses o menos
alta Probable que ocurra despus de un mes o menos de Muy Alta Probabilidad de que
ocurra varias veces al mes o menos Extreme Probable que ocurra muchas veces cada
da 2014 Cengage Learning Tabla 13-3 describir la probabilidad de amenazas Examinar
los conceptos de riesgo Anlisis 485

El Proceso de Anlisis de Riesgos

Anlisis de riesgos no es una

actividad puntual se utiliza para crear una poltica de seguridad. Ms
bien, el anlisis de riesgo evoluciona para dar cuenta de una
organizacin ' s tamao cambiante y actividades, la progresin en los

sistemas informticos ms grandes y complejas, y las nuevas amenazas

desde dentro y fuera de la red corporativa
El anlisis inicial de riesgos se utiliza para formular una poltica de
seguridad; la directiva se aplica a continuacin, y la seguridad es
monitoreado. Las nuevas amenazas y los intentos de intrusin crean la
necesidad de volver a evaluar el riesgo que enfrenta un organizacin

Actividades generales a seguir El anlisis de riesgos es un grupo de

actividades relacionadas que suelen seguir esta secuencia: Realizacin

de sesiones iniciales del equipo - En primer lugar, realizar reuniones de
conseguir grupos de trabajadores en un solo lugar. Realizar entrevistas o
entregar
cuestionarios
para
reunir
informacin
pertinente. Es
especialmente importante que hable con todos los gerentes para
establecer los objetivos y el alcance para el anlisis de riesgos,
programar cunto tiempo debe tomar el proyecto, e identificar a las
personas importantes que usted necesita para entrevistar
Llevar a cabo la valoracin de activos - Despus de determinar el
alcance del anlisis de riesgos, es necesario identificar los activos para
proteger y determinar su valor. Esta actividad puede ser clasificado
como subjetiva o especulativa. Si la actividad es subjetiva, se est
evaluando el impacto de la prdida de activos que podran no ser
tangible, y usted debe utilizar su mejor juicio o pedir opiniones de otros
empleados calificados. Si la actividad es especulativo, usted est
tratando de determinar si la informacin pueda caer en manos de
personas no autorizadas y estimar el costo de la recuperacin de la
informacin. Entrevistas personales con gerentes pueden ayudar a
determinar una evaluacin realista

Evaluacin de la vulnerabilidad - Usted investiga los niveles de

amenaza y vulnerabilidad en relacin con el valor de la organizacin ' s
activos. Pregunte al personal de TI para evaluar la amenaza de ataques
de virus o de otras intrusiones en una escala de uno a cinco, por
ejemplo,

El clculo de riesgo - Despus de haber determinado los valores de los

activos y las vulnerabilidades que amenazan a esos activos, se puede
calcular el riesgo. Por lo general, se le asigna un valor numrico

Descripcin consecuencias catastrfica amenaza a la continuacin del programa, y es

causa de importantes problemas para los clientes mayor amenaza a la continuacin de
las funciones bsicas del programa y requiere la intervencin de gestin de alto nivel
moderada no amenaza el programa; Sin embargo, el programa podra ser objeto de
mayor revisin y modificacin de los procedimientos de operacin menor podra poner
en peligro el programa ' s eficiencia o eficacia, pero se puede manejar internamente
insignificantes pueden ser manejados por las operaciones normales 2014 Cengage

Tabla
13-4 consecuencias
Describiendo 486 Captulo
Implementacin de Polticas de Seguridad
Learning

13

13

Diseo

Por ejemplo, 1 podra representar una necesidad de seguridad de

lnea de base de bajo nivel y 7 podran representar una prioridad alta

seguridad
Recuerde que el primer paso en la gestin de riesgos y el diseo y la
implementacin de una poltica de seguridad es obtener el respaldo de la alta
direccin, como el consejo de administracin, el director general, y el CIO. Este
apoyo hace que sea ms fcil de conseguir la cooperacin de sus colegas,
otros departamentos, y otros empleados. Convencer a los gerentes que la
organizacin necesita una poltica de seguridad no es difcil si usted se centra
en cmo la seguridad afecta a la rentabilidad
Usted debe ser capaz de soportar los datos que usted proporciona, y no hay
que exagerar los costos potenciales de un incidente de seguridad

El anlisis de impactos econmicos

Una parte importante de la

realizacin de un anlisis de riesgos est preparando estimaciones de
los efectos financieros de las prdidas. Si est familiarizado con las
estadsticas, puede utilizar varios modelos diferentes para la estimacin
de los impactos. Tambin puede utilizar un programa de software para
ayudarle a preparar los informes que sustenten sus estimaciones y
producir tablas y grficos para apoyar sus figuras. Anlisis de Riesgos de
Proyectos por Katmar Software, por ejemplo, le da una estructura para la
inclusin de los activos de hardware y software en su organizacin
(vase la Figura 13-4). Que va a utilizar este programa en Hands-On
Proyecto 13-1
Katmar Software Figura 13-4 Anlisis de Riesgos de Proyectos ofrece una
estructura para hacer estimaciones de costos Examinar los conceptos de Anlisis de
Riesgos 487
Fuente:

Con este programa, usted puede hacer estimaciones de costos mediante

el uso de una variedad de modelos estadsticos. Si no est familiarizado
con las estadsticas, puede probar el modelo ms simple, que utiliza las
siguientes estimaciones: costo probable - La estimacin ms realista
del dinero necesario para sustituir el elemento Bajo costo - La menor
cantidad de dlares para reemplazar el elemento Alto costo - La mayor
cantidad de dlares para reemplazar el elemento Cuando se crea un
registro de un activo en el Anlisis de los Riesgos del Proyecto y podr
valorar su costo de reposicin, se introducen los valores anteriores que
utilizan la configuracin de distribucin normal, como se muestra en la
Figura 13-5

Una ventaja de utilizar un programa de anlisis de riesgos es que puede

analizar las estimaciones de costos y presentarlos en un formato de
informe (ver Figura 13-6). Adems, estos programas pueden calcular
rpidamente el coste medio de la sustitucin de hardware, software, u
otros artculos
Anlisis de Riesgos de Proyectos realiza los clculos utilizando una
frmula estadstica denominada simulacin Monte Carlo - un mtodo
analtico que simula un sistema de la vida real al generar aleatoriamente
valores para las variables. Las cartas y los informes de estos programas
crean son de valiosa documentacin para la preparacin de un anlisis
de riesgos; los elementos visuales pueden tener un impacto significativo
cuando se les presenta a los gestores
Katmar
Software Figura
13-5 valores para los costos de
Introduccin 488 Captulo 13 Diseo Poltica de Seguridad y Aplicacin
Fuente:

reemplazo

13 Las tcnicas para minimizar el riesgo Despus de analizar

el nivel de riesgo para los activos de hardware y software en su red,
puede recomendar salvaguardas para minimizar el riesgo. Gestin del
riesgo es el proceso de identificacin, la eleccin y el establecimiento de
contramedidas para los riesgos identificados. Las contramedidas que
usted describe son declaraciones que usted debe incorporar en su
poltica de seguridad. En las siguientes secciones, aprender acerca de
los puntos importantes para decidir la forma de conseguir el hardware,
cmo proteger las bases de datos de informacin en la red, cmo llevar
a cabo el anlisis de rutina, y la forma de responder a los incidentes de
seguridad

Asegurando Hardware Su empresa ' activos informticos fsica s - los

dispositivos de hardware que mantienen los datos que fluyen a travs de

la red - son los objetos ms evidentes que hay que identificar. Usted
debe decidir cmo proteger su hardware. En primer lugar, piense en los
tipos evidentes de proteccin fsica, tales como los controles
ambientales para mantener las mquinas de seguro en altas
temperaturas y sistemas de proteccin contra incendios. Entonces
considere si usted necesita para encerrar a todo el hardware en su
organizacin o utilizar proteccin contra el robo slo para
servidores. Coloque sus servidores en una habitacin cerrada con un
sistema de alarma para que los empleados no autorizados no puedan
tener acceso a ellos; este equipo no debe dejarse a la intemperie

Asegrese de prestar especial atencin a los ordenadores porttiles y

dispositivos de mano en su organizacin
Estas mquinas pueden ser perdidos o robados fcilmente, y cualquier
informacin de propiedad sobre ellos podra verse comprometida. Este
tipo de incidentes ocurren con regularidad y frecuencia de graves
consecuencias. Para aliviar Fuente: Katmar Software Figura 13-6 Grfica reporta en el
software de anlisis de riesgoExaminar los conceptos de Anlisis de Riesgos 489

este problema, asegrese de instalar las contraseas de inicio, as como

las contraseas de protector de pantalla en todos los dispositivos
mviles. Ladrones experimentados pueden eludir estas contraseas, por
supuesto, pero al menos que sea ms difcil el acceso a los
archivos. Adems, puede utilizar el cifrado para proteger los datos

La realizacin de un inventario de hardware Haga una lista de los

servidores, routers, cables, computadoras, impresoras y otro hardware
de la compaa posee. Asegrese de incluir su empresa ' s activos de
red - el hardware y software que permiten a los empleados a
comunicarse unos con otros y otras computadoras en Internet. Crear un
mapa de topologa que muestra cmo se conectan los dispositivos e
incluye un registro de asignacin de IP, tales como el de la figura 13-7

Clasificacin de Recursos Para estar protegido Al enumerar,, la

red y los activos del sistema electrnico fsico, asignando un valor a
cada objeto es til. El valor puede ser un nmero arbitrario; el objeto es
clasificar los recursos en orden de importancia para que pueda enfocar
sus esfuerzos de seguridad en los recursos ms crticos primero. El
equipo que le ayuda a preparar su poltica de seguridad, probablemente
determinar que los datos son ms importantes que los dispositivos que
almacenan los datos
Aunque su posicionamiento puede parecer arbitraria, que se derivan de ellos
con la colaboracin de su organizacin ' alta direccin s es til
El desarrollo de una larga lista de recursos y la clasificacin por su cuenta sin la
participacin de los directivos es probable que resulte en una extensa revisin
Obtendr mejores resultados si enva una lista de recursos para los
administradores y pedirles que desarrollen sus propios rankings. Adems,
pdales que consideren el costo de reemplazar el software y las computadoras
que usted ha enumerado. Sugiera que clasifican los activos en una escala del 1
al 10
192.168.23.2 192.168.23.3 192.168.23.1 192.168.23.4 proveedor Sucursal de
servicios de Internet VPN (ISP) 67.199.23.6 Firewall interfaz externa
199.34.151.9 interfaz interna Firewall 10.20.34.1 10.20.34.2 servidor Web del
servidor 10.20.34.3 servidor FTP E-mail 10.20.34.4 10.20.34.9 10.20.34.8

10.20.34.7 10.20.34.6 10.20.34.5

2014 Cengage Learning Figura 13-7 Un mapa de

topologa puede complementar un inventario de hardware 490 Captulo 13 Diseo de
Polticas de Seguridad y Aplicacin

13

Utilizacin del cifrado Una de las mejores y menos costosos

mtodos de seguridad de los datos es aplicar encriptacin que bloquea

hacia abajo. El cifrado no impide que los intrusos acceder o visualizar los
datos cifrados o incluso prevenir su robo. Sin embargo, el cifrado se
puede evitar que los datos sean explotados. Las siguientes secciones
describen varias reas en las que el uso de cifrado podra ser til para
minimizar el riesgo de que los datos confidenciales sean comprometidos
Terminales mviles - ladrones y atacantes se dirigen a las
computadoras porttiles, computadoras porttiles y telfonos
inteligentes con ms frecuencia como fuentes de datos sensibles, por lo
que deben ser considerados dispositivos de alta seguridad. Robo de
equipo mvil puede dar lugar a un acceso no autorizado a gran escala a
los datos corporativos y personales sensibles. Este dao se puede evitar
fcilmente mediante el uso de la seguridad fsica, proteccin de
contrasea y cifrado de datos en los dispositivos mviles

Los medios extrables - Cuando usted est considerando la

vulnerabilidad de datos, recuerda que los discos de almacenamiento,
cintas, CD, unidades flash y chips de memoria son muy parecidos a los
equipos mviles. Los medios extrables son fciles de transportar y de
ocultar, y pueden contener grandes cantidades de datos. Al igual que
con las computadoras mviles, el uso de la seguridad fsica, proteccin
de contrasea y cifrado de datos puede proteger los datos sensibles no
se vean comprometidas

La transferencia de datos - Traslado de datos a travs de los medios de

comunicacin por cable e inalmbrico es comn. Los dispositivos que
comparten datos a menudo usan mtodos de autenticacin cifrados
para establecer un enlace de comunicacin. Sin embargo, una vez que
se han establecido vas de comunicacin, los datos pueden ser
transferidos en texto plano, por lo que es vulnerable al robo y la
explotacin

Asegurar

la informacin Despus de haber decidido sobre

salvaguardias para su hardware, es necesario determinar cmo proteger
su empresa ' sactivos electrnicos - documentos de procesamiento de
texto, hojas de clculo, pginas web y otros documentos en los
ordenadores de la red. Activos lgicos incluyen correo electrnico,
registros de conversaciones de mensajera instantnea y los archivos
recopilados por los cortafuegos y IDPSS identifcate. Los activos de datos

incluyen el personal, los clientes y la informacin financiera que su

empresa necesita para proteger
Muchas compaas ahora llevan a cabo todas o parte de sus operaciones
de negocio en Internet. Si su organizacin lleva a cabo el comercio
electrnico, es necesario encontrar un equilibrio entre hacer
transacciones fcil para los clientes y mantener la informacin
confidencial
Una forma de proteger la informacin de los clientes envan a travs de
Internet es aislar la informacin para que los atacantes no puedan
acceder a l. En su poltica de seguridad, es posible que desee
establecer que para reducir al mnimo el riesgo de que los atacantes
robar informacin de tarjetas de crdito y otros datos crticos de los
clientes, su empresa necesita para mover la informacin a un ordenador
que est aislada fsicamente del Internet. Puedes configurar el software
de copia de seguridad para guardar los archivos crticos en lugares
aislados de forma automtica todas las noches o semanal. Tambin
puede
utilizar
las
siguientes
medidas
para
proteger
la
informacin: Cifrado - Mediante la encriptacin de datos, puede
protegerla al pasar de una red a otra. Datos cifrados no se pueden leer si
se intercepta o capturados
Filtrado de mensajes - Esta medida mantiene potencialmente mensajes
dainos entren en la red desde el exterior

El examen de los conceptos de anlisis de riesgos 491

encapsulacin de datos - Los datos en paquetes pueden ser codificadas

de manera que los paquetes se encapsulan (o " envolver " ) para una
proteccin extra

Redundancia - Al proporcionar redundancia a travs de los sistemas de

copia de seguridad, asegrese de que las bases de datos y otras tiendas
de la informacin siguen siendo accesibles si los sistemas primarios se
desconectan

Las copias de seguridad - Hacer copias de seguridad sistemticas y

peridicas de la informacin en la red es una de las formas ms bsicas
e importantes para proteger la informacin

Los empleados de su organizacin maneja la informacin confidencial,

de propiedad o privado? Si es as, tiene que estar cubierto en la poltica
de seguridad de esta informacin. Se necesitan salvaguardias para
informar a los empleados sobre sus responsabilidades para proteger la
informacin sensible. Para minimizar los riesgos, puede especificar las
siguientes medidas en una poltica de seguridad: Nunca deje a los

ordenadores porttiles propiedad de la empresa o dispositivos de mano

sin vigilancia
Proteja siempre informacin sobre los dispositivos corporativos con
contraseas

Cifrar la informacin confidencial

Utilice contraseas para proteger a todos los registros de trabajo y la

informacin del cliente

Restringir el acceso a la informacin personal que el personal de

recursos humanos y de la alta direccin

Usted necesita asegurarse de que todos los empleados lean y entiendan

la poltica. Usted podra considerar la distribucin de la poltica en la
forma de un manual publicado para todos los nuevos empleados. Puede
publicar la poltica en el sitio web de la empresa para los empleados
actuales para su revisin.Tambin puede exigir a los empleados a firmar
una declaracin de que han ledo la poltica y comprender sus
responsabilidades

La realizacin de anlisis de riesgos en curso de anlisis de

riesgos
es
una
operacin
en
curso. Una
empresa
cambia
constantemente en funcin de la informacin que maneja, el nmero de
clientes y empleados, y el nmero de computadoras en su red. El
anlisis de riesgos debe llevarse a cabo de forma regular a pesar de los
obstculos comunes, tales como la indiferencia del personal de TI y los
empleados, volumen de trabajo en las reas crticas y la falta de
personal disponible para hacer la evaluacin
Decidir cmo su organizacin debera realizar un anlisis de riesgos de
rutina comienza con las siguientes preguntas: Con qu frecuencia se
arriesgan a llevar a cabo anlisis? Un enfoque comn es programar el
anlisis todos los aos en el momento del presupuesto. Sin embargo,
usted puede mantenerse al da con las nuevas amenazas de manera
ms eficaz mediante la realizacin de un anlisis de riesgo, cada seis
meses
Quin va a realizar el anlisis de riesgo? Los mismos profesionales que
gestionan la seguridad de la organizacin son los que deben participar,
junto con el personal de contabilidad o cuenta

Necesitan los recursos de hardware y software para ser revisados

cada vez? Puede que no necesite para llevar a cabo un nuevo anlisis de
riesgo para cada activo que tiene; usted puede decidir que usted

necesita examinar slo los activos que han aumentado o cambiado

sustancialmente desde la ltima revisin
492 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13

Los clculos y evaluaciones en el anlisis de riesgos requieren

evaluaciones subjetivas de cunto vale un activo y lo valioso que es. Las

emociones humanas pueden influir en las valoraciones, por lo que
muchas empresas no permiten a los empleados para llevar a cabo estos
clculos manualmente. Debido a que los clculos son a menudo
complejas, utilizando el software de anlisis de riesgos puede hacer el
proceso ms fcil y ms objetiva

Examinar los conceptos de Polticas de

Seguridad Usted a veces puede or a la gente se preguntan si su
organizacin realmente necesita una poltica de seguridad. Usted debe
recordar a sus compaeros de trabajo escpticos de que una poltica de
seguridad es de hecho necesario, sobre todo si la organizacin cae en
una de las siguientes categoras: Los empleados trabajan con
informacin confidencial o reservada
Daos, robo o corrupcin de los sistemas o datos podran resultar en
prdidas financieras graves que ponen en peligro la continuidad del
negocio

La organizacin cuenta con los secretos

importantes para sus bienes o servicios

comerciales

que

son

Los empleados acceden regularmente a Internet y utilizar el correo

electrnico u otro medio de comunicacin electrnica que puedan ser
atacado o infectado

La compaa es parte de una industria que est sujeto a las

regulaciones estatales y federales para la seguridad de la informacin y
la privacidad

La compaa utiliza las conexiones de Internet con empresas asociadas

o proveedores de servicios de aplicaciones (ASP) - empresas que ofrecen
servicios basados en la Web para un honorario

Para ayudar a su caso para el establecimiento de una poltica de

seguridad, tambin puede proporcionar ejemplos de problemas que
pueden ocurrir si una poltica claramente definida no est en su

lugar: Un editor de copia pasado mucho tiempo en su puesto de trabajo

navegando por Internet por razones personales y de trabajo
investigacin relacionada con el. La administracin no poda disciplinar a
este empleado, ya que no tena una poltica de lo que constitua el uso
personal excesivo. El empleado ' supervisor de s tarde se descubri que
la editora haba descargado pornografa; por este motivo, el empleado
fue despedido. Sin embargo, el empleado posteriormente apel el
sobreseimiento ante la Junta de Administracin Pblica, alegando que
nunca se le haba dicho que no poda descargar pornografa. Despus de
una audiencia, el tribunal le orden su reincorporacin con pago
retroactivo
Un empleado que fue despedido debido a la reduccin de personal en
una compaa de seguros fue contratado por una empresa de la
competencia. La compaa de seguros descubri que muchos de sus
archivos de clientes haban sido visitada y copiado, y que varios de sus
clientes haba cambiado a la competencia despus de haber sido
ofrecido tasas de seguro ms bajas. La empresa no tiene una poltica
para la proteccin de sus contraseas o cambiar contraseas despus
empleados dejaron. El empleado despedido fue capaz de acceder a su
antiguo empresario ' s de la red y robar archivos, de manera que su
nuevo empleador podra promocionarse agresivamente a los clientes
potenciales

Los beneficios de una poltica de seguridad son muy variados. En

general, sin embargo, una poltica de seguridad proporciona una base
para una organizacin ' la postura de seguridad global s. Una poltica de
seguridad da a los empleados pautas para el manejo de informacin
sensible, proporciona al personal de TI con las instrucciones para la
configuracin de los sistemas defensivos, y reduce el riesgo de
responsabilidad legal para la empresa y examinar los conceptos de Polticas de
Seguridad 493

sus empleados. Los empleados que son despedidos o despedidos a

menudo demandar a sus empleadores anteriores o presentar una
queja; en estos casos, una poltica de seguridad bien definida puede
hacer la diferencia entre la empresa de tener que pagar daos y
perjuicios y no sujecin
Para proteger la seguridad, es importante formular una poltica clara que
establece los derechos de los empleados y cmo se deben manejar los
recursos de la empresa responsable. Todos los empleados deben firmar
la pliza cuando se les contrata. En algunos casos, un empleado que
trabaja con informacin confidencial o reservada que se debe exigir a
firmar un acuerdo de confidencialidad o de no divulgacin

Una buena poltica de seguridad es integral y flexible; a menudo, se

trata de un grupo de documentos, cada uno con un nfasis especfico. La
siguiente seccin trata sobre las mejores prcticas generales para las
polticas de seguridad
A continuacin se examinan las principales consideraciones que pueden
ayudar
a
desarrollar
un
conjunto
efectivo
de
normas
y
procedimientos: La decisin de comprar una cobertura de seguro de
riesgo ciberntico La necesidad de basar la poltica en una evaluacin
exhaustiva de los riesgos La necesidad de ensear a los empleados
sobre el uso aceptable de la red recursos La necesidad de especificar
un empleado ' s derecho a la privacidad, mientras que en la propiedad
de la empresa y el uso de equipos de la empresa La necesidad de que
la direccin pueda establecer prioridades La necesidad de ayudar a los
administradores a hacer su trabajo La necesidad de ver una poltica de
seguridad como un vehculo para buen anlisis de riesgo Mejores
prcticas generales para una poltica de seguridad de una
poltica de seguridad para una gran empresa puede competir con el
tamao de un directorio telefnico metropolitano y abarca todos los
aspectos posibles de la empresa, o puede ser un simple documento que
describe
algunas
reglas
fundamentales
para
una
pequea
empresa. Independientemente de su organizacin ' tamao de s, el
medio ambiente y las necesidades, es necesario entender algunos
conceptos bsicos acerca de la construccin de una poltica de
seguridad eficaz: Si es demasiado complejo, nadie lo sigue. De hecho,
los usuarios podran obviarlo

Si le duele la productividad, se producir un error

Se debe indicar claramente lo que los empleados pueden y no pueden

hacer en la propiedad de la empresa y con los equipos de la
empresa. Evite la jerga o descripciones complejas, pero sea lo ms
completa posible

Incluir clusulas generales para resumir las declaraciones, como " Los
empleados no se les permite descargar juegos, protectores de pantalla,
fondos de escritorio, imgenes, clips de vdeo, el arte, o cualquier otra
forma de aplicaciones multimedia o archivos . " El abogado corporativo
que tenga que afinar el redaccin, pero la clusula cursiva cubre todo lo
que no se menciona especficamente

Una frase similar se " incluyendo, pero sin limitarse necesariamente a

La gente tiene que saber por qu una poltica es importante. Ellos son
ms propensos a aceptar como necesario si lo entienden

En el desarrollo de la poltica, la participacin de representantes de

todos los departamentos, incluidos los empleados comunes y corrientes
de archivos. Los beneficios son dobles: en primer lugar, usted disear
un ms 494 Design Poltica de Seguridad Captulo 13 e Implementacin

13

poltica precisa y adecuada si usted adaptar para que se ajuste a las

necesidades de las personas que realmente utilizan los sistemas. En

segundo lugar, mediante la participacin de todos los niveles de la
empresa, le da a los empleados una participacin personal en el
proceso. Este sentido de la propiedad conduce a una actitud ms
implicado y mejor estado de nimo, lo que equivale a una poltica de
seguridad ms eficaz y aplicable
La poltica debe contener una clusula que describe las consecuencias
de un empleado podra enfrentar por violar la poltica de

La poltica debe tener el apoyo de los ms altos niveles de la empresa,

y que el apoyo debe fluir a travs de las filas. Si la administracin no
respalda ni obedecen la poltica, por qu los empleados? Todos los
empleados firmar un documento reconociendo su comprensin de la
poltica y el acuerdo para cumplir con l. Algunos podran pensar que
esta prctica conlleva una falta de confianza, pero es una precaucin
sensata que sirve como una pista de auditora

Mantenga su poltica de seguridad al da con las tecnologas

actuales. Por ejemplo, incluir directrices para los dispositivos mviles y
regular el uso de dispositivos de almacenamiento porttil

El punto no es para cubrir los dispositivos especficos, sino para cubrir

las categoras de tecnologa. Por ejemplo, en lugar de describir las
polticas de los telfonos mviles o unidades USB, especifique las
polticas para los dispositivos inalmbricos o dispositivos de
almacenamiento porttil. Retire el material obsoleto que ya no se aplica
o que se ha integrado en otra rea. Por ejemplo, si la poltica se ha
actualizado para incluir una seccin especial en los ordenadores
porttiles y dispositivos informticos porttiles, debe quitar
declaraciones acerca de estos dispositivos en otras reas de la poltica
Asegrese de que sus directrices de poltica sean consistentes con las
leyes aplicables. Retencin de un asesor legal para revisar su proyecto
de poltica podra ser prudente asegurarse de que todas las bases estn
cubiertas y que la poltica no viola los derechos civiles u otras leyes. Por
ejemplo, en los Estados Unidos, es ilegal para prohibir a los empleados
de protestar pblicamente la empresa ' s acciones a menos que acepten
dicha disposicin. An as, esta clusula podra ser impugnada sobre la

base de la Primera Enmienda de la Constitucin de los EE.UU.. Adems,

asegrese de que la poltica de seguridad no entra en conflicto con otras
polticas corporativas
Aunque esta tarea puede parecer abrumador al principio, tener en
cuenta que las plantillas y otros recursos gratuitos disponibles. Puede
personalizar estos recursos para satisfacer sus necesidades

Desarrollo de polticas de seguridad de la Evaluacin de

Riesgos para comenzar a desarrollar una poltica de seguridad, a
identificar los activos que necesitan ser protegidos. A continuacin,
defina las amenazas de los rostros de la red, la probabilidad de que se
produzcan esas amenazas, y las consecuencias que plantea cada
amenaza. Por ltimo, se propone salvaguardias y definir la forma de
responder a los incidentes
La informacin que se renen durante el anlisis de riesgo pertenece a
la poltica de seguridad, junto con una declaracin de la poltica de ' s
objetivos generales y la importancia de los empleados que leen la
poltica y sus directrices siguientes. Las sanciones por violar la poltica
deben establecerse cerca del principio del documento. En el pleito, el
abogado de la compaa puede entonces afirmar que el empleado no
podra haber pasado por alto la seccin de penalti y tuvo que saber que
la violacin de la poltica podra resultar en una accin disciplinaria. Lista
mayora de las plizas de terminacin como una posible sancin, sobre
todo para proteger a la empresa de las demandas de despido
injustificado o quejas similares. Como puede ver, una funcin importante
de una poltica de seguridad es reducir la responsabilidad legal
Examinar los conceptos de Polticas de Seguridad 495

Despus de que se implement la poltica de seguridad, su eficacia debe

ser monitoreado. Algunas ideas que sonaban bien en teora podran no
funcionar bien en la prctica. Como cualquier gran sistema con
interdependencias, una poltica de seguridad en toda la organizacin
requiere una revisin peridica. A veces se requiere un cambio
inmediato en respuesta a un problema, pero otras revisiones se pueden
hacer en un ciclo regular
Recuerda que una poltica de seguridad es un documento de lquido que
debe adaptarse a las nuevas circunstancias para mantener su
eficacia. Cuando se producen problemas, intrusiones o incidentes, se
puede actualizar la poltica segn sea necesario; la secuencia de diseo
de polticas, implementacin, monitoreo y reevaluacin es un ciclo
continuo

Ensear a los empleados sobre el Uso Aceptable

El tema de
la confianza es una parte integral de una poltica de seguridad. La
poltica tiene que definir que los empleados a confiar y los niveles de
confianza que todos los empleados deben recibir
En realidad, las organizaciones deben lograr un equilibrio entre los
empleados de confianza y las rdenes de emisin. Los empleados deben
ser capaces de usar sus computadoras para comunicarse y ser
productivos
Mediante la colocacin de demasiado poca confianza en las personas y
la regulacin de todo lo que hacen de una manera excesivamente rgida,
que dificultan sus tareas, dao moral, y aumentar las probabilidades de
que los empleados eludir medidas de seguridad

Esbozando Sanciones por Violacines

la piedra angular de
muchas de las polticas de seguridad es la poltica de uso aceptable, que
define cmo los empleados deben utilizar la organizacin ' s recursos,
incluida la Internet, correo electrnico y programas de software. Ms
importante, la poltica debe explicar en qu consiste el uso inaceptable,
como la descarga o visualizacin de contenido objetable u ofensiva,
utilizando equipos de la empresa para asuntos personales, y la
eliminacin de la propiedad de la empresa (incluyendo cualquier
informacin digitalizada) sin autorizacin expresa
Existen declaraciones de poltica para orientar la gestin y los
empleados en el uso apropiado de los recursos de la empresa. Existen
clusulas de penalizacin por lo que las empresas pueden disciplinar a
los empleados cuyas actividades ordenador interferir con la
productividad. La poltica tambin debera contener directrices de pena
para que los empleados no pueden alegar ignorancia. Por ejemplo, la
primera infraccin podra dar lugar a una advertencia, la segunda
infraccin podra requerir un aviso en un archivo de empleado o un
perodo de prueba, y la tercera ofensa podra resultar en la terminacin
del empleado. En circunstancias atenuantes, un empleado podra darse
otra oportunidad. La idea es establecer mtodos flexibles de castigos
que se pueden aplicar a la gestin ' s discrecin, sino que protege a la
empresa de un litigio. Demandas despido injustificado son comunes y
pueden resultar en altos costos para una empresa. Clusulas de
penalizacin, si redactado correctamente, pueden proteger a las
empresas de dichos procesos
Una vez ms, el asesor legal debe revisar la poltica de seguridad

Criminales Delitos informticos

Si la violacin poltica de
seguridad es un delito penal, como la posesin de pornografa infantil,
los funcionarios encargados de hacer cumplir la ley deben ser
notificados y la investigacin, sean entregados a ellos
En esta situacin, usted necesita estar consciente de algunos
peligros. Despus de una investigacin se entreg a la polica, la
Constitucin de los EE.UU. ' sde la Cuarta Enmienda se aplican las
protecciones de registro y embargo. Sus responsabilidades como el
cambio de administrador cuando las entidades pblicas como la polica
y 496 Captulo 13 Diseo de Poltica de Seguridad y Aplicacin

13

el gobierno se involucre y informacin de la compaa se convierte

en la evidencia. Usted se enfrenta a una tremenda carga de la

responsabilidad si usted ayuda a la polica sin que se sirve con
una orden de comparecencia o de cateo . Una citacin es una orden
judicial exigiendo que una persona aparece en el tribunal o producir
algn tipo de evidencia. Una citacin especifica lo que sea necesario
presentar pruebas, como testimonio, los documentos en papel o
archivos de datos del sospechoso ' equipo s. Una orden de registro es
similar a una citacin judicial, en la que ha sido expedido por un tribunal
y que te obliga a cooperar con los agentes del orden. Tambin se
describe la ubicacin que desea buscar y especifica la evidencia de que
los oficiales estn autorizados a tomar
rdenes de allanamiento y citaciones fueron desarrollados en respuesta
a la Cuarta Enmienda, que protege a los residentes de los Estados
Unidos contra registros e incautaciones ilegales. Usted puede ser
demandado por violar una persona ' derechos constitucionales s si
proporciona evidencia sin ser servido con una orden judicial o
citacin. La prestacin de asistencia sin ser servido se conoce como ser
un " agente de facto de la aplicacin de la ley. " Ests actuando bajo su
direccin y ayudndoles en una investigacin, por lo que estn obligados
por los mismos procedimientos y leyes que se unen los
investigadores. Al girar sobre un caso a los agentes de polica, puede
presentar todas las pruebas que se han reunido hasta ese momento,
pero no se puede continuar investigando desde ese momento, a menos
que se le orden hacerlo. Si usted ha sido servido con una citacin u
oficiales de llegar para llevar a cabo una orden de registro, usted debe
cumplir para eliminar cualquier posible responsabilidad

Adems, los empleados tienen el derecho a la privacidad esperada. Las

lneas entre la Cuarta Enmienda y expectativas de privacidad frente a
bienes de propiedad de la empresa puede llegar a ser borrosa a menos
que la poltica de seguridad explica que un empleado ' s expectativas de
privacidad al usar los equipos de la empresa en el trabajo. La poltica de
seguridad debe establecer claramente que los equipos de la empresa y
toda la informacin digital en l o accedida a travs de l son propiedad
exclusiva de la empresa, y que la empresa se reserva el derecho de
revisar e inspeccionar su propiedad en cualquier momento
La poltica tambin debe indicar que un empleado no tiene ninguna
expectativa de privacidad al usar los recursos de la empresa. A menos
que esta expectativa se establece especficamente en la poltica, la
empresa y las partes en una investigacin podra ser responsable si se
prueba revel que incrimina a un empleado. Por ejemplo, si un empleado
es despedido por las declaraciones hechas en un e-mail, se podra
argumentar con xito que no se dio cuenta que la compaa leer lo que
l consideraba correo electrnico privado, y que no debe ser
considerado responsable de lo que dijo . Algunas compaas podran
querer tener los empleados firmen un reconocimiento por separado de
esta clusula

Activacin
prioridades

de

la

gestin

para

establecer

las

polticas de seguridad dar a los empleados pautas que

pueden seguir durante las actividades diarias de trabajo, sino que
tambin son tiles para la gestin. Protegen a la gestin de los litigios
con los empleados o si los empleados se quejan de las medidas de
seguridad de los usos de la organizacin
Las polticas de seguridad hacen ms que ayudar con la resolucin de
conflictos, sin embargo. Ofrecen a la administracin una manera de
identificar las prioridades de seguridad para la empresa. Una poltica de
seguridad enumera los recursos de la red que los administradores
consideran ms valioso en la organizacin y que son los ms
necesitados de proteccin. Explica si la organizacin permite a los
empleados acceder a Internet y la red corporativa interna.Adems, se
describen las medidas de la empresa se lleva a si los recursos son mal
utilizados o informacin se vea comprometida por la gente fuera o
dentro de la empresa
Al preparar una propuesta de proyecto para el desarrollo de las polticas
de seguridad de pleno derecho o la compra de costosos hardware y
software relacionado con la seguridad, la gestin probablemente le pida
que examinar los conceptos de Polticas de Seguridad 497

estimar el retorno de la inversin (ROI) que la sociedad se d

cuenta. ROI indica el tiempo que toma para que una inversin se pague
por s mismo. Asesorar a la administracin para pensar sobre el tema y
su relacin con el ROI, sino en trminos del costo de no hacer nada. Las
grandes organizaciones suelen tener empleados que se conectan de
forma remota, por lo que son mucho ms vulnerables a las violaciones
de la seguridad de otros negocios. Estas organizaciones deben tener en
cuenta tres factores: El valor de los sistemas de informacin y los datos
en ellos Amenazas que la organizacin ha encontrado y
encontrar Las posibilidades de que las amenazas de seguridad se
traducir en prdida de tiempo y dinero Las amenazas de seguridad
pueden provenir de muchas fuentes y tener una amplia variedad de
firmas, y hay una solucin nica puede bloquear todos ellos. Un plan
integral de seguridad no debe ser evaluada estrictamente en trminos
de retorno de la inversin, sino como un vehculo para los sistemas de
informacin de los clientes y la proteccin de
Recuerde a la Direccin que la empresa podra perder importantes
ingresos si los atacantes roban clientes ' nmeros de tarjetas de crdito
y publicarlos en Internet. Tal incidente podra destruir la empresa ' s
credibilidad y exponerla a posibles litigios penales y civiles. Adems,
solicitar a la administracin para estimar el coste para la empresa si la
informacin no est disponible por semanas o meses
Usted debe presentar estos escenarios diplomtica y contar con
estadsticas para respaldar sus puntos

Tratar con el Proceso de Aprobacin de

desarrollo de una
poltica de seguridad puede tardar varias semanas, meses o incluso
ms, dependiendo de la organizacin. No se apresure el proceso; tomar
el tiempo para hacer las cosas bien y cubrir todas las bases. Una poltica
de seguridad mal escrito podra ser rechazada por la direccin
Como parte del desarrollo, la alta direccin, ejecutivos, y otras partes
interesadas deben revisar y aprobar la poltica de seguridad. Este
proceso puede tardar varias semanas o meses. No desmayes si el
proceso toma ms tiempo de lo esperado. Para una poltica de seguridad
para trabajar, los empleados deben aceptarlo. La poltica podra
encontrar resistencia, que es natural para cualquier poltica que afecte a
toda una organizacin. Para ayudar a lograr la aceptacin de la poltica,
se puede establecer un programa de sensibilizacin de los usuarios la
seguridad, en la que los empleados son instruidos formalmente acerca
de la organizacin ' s estrategia de seguridad

Alimentar Seguridad de la Informacin para el Equipo de

Poltica de Seguridad Cualquier cambio en una organizacin ' s la

configuracin de seguridad se deben transmitir al equipo de poltica de

seguridad. Este equipo puede sugerir cambios en la poltica y determinar
si las nuevas herramientas de seguridad deben ser comprados o nuevas
medidas de seguridad deben tomarse
Gestin de " participacin y respaldo de s pueden ayudar en la
modificacin de la poltica de seguridad. Anime a los administradores
para informar a los empleados que la proteccin de activos de la
empresa es de todos ' s responsabilidad
Capacitar a los usuarios para que sean conscientes de los problemas de
seguridad, y explicar por qu los datos deben ser recogidos y
gestionados de forma segura. Instruya a los usuarios para realizar su
trabajo de una manera segura
Escuchar a los empleados ' preocupaciones. Desarrollar soluciones de
seguridad razonables que permitan el diario de negocios a realizarse
todava proporcionar un nivel aceptable de proteccin contra los riesgos

Cmo ayudar a los administradores de red realizar su

trabajo Los administradores de red pueden obtener asistencia
considerable de las polticas de seguridad si son responsables por
mostrar a los empleados cmo acceder a los recursos compartidos,
cambiar contraseas, tipo 498 Captulo 13 Diseo y Aplicacin de la Poltica de
Seguridad

13

a travs de correo electrnico, y realizar otras funciones. Una

poltica de seguridad puede explicar la informacin simple pero

importante que un administrador lo contrario tendra que transportar
personalmente
Por ejemplo, la poltica podra contener las siguientes reglas: Los
usuarios no se les permite compartir cuentas con otros empleados,
visitantes o familiares

El software no puede descargarse sin la aprobacin previa

Los usuarios no estn autorizados a hacer copias de software de

propiedad de la empresa

Los usuarios deben utilizar protectores de pantalla protegidos por

contrasea durante el da y apagar sus computadoras cada noche

Slo los miembros del personal de TI pueden aadir unidades de disco

duro o instalar dispositivos de red en los equipos de oficina

El administrador de red debe asignar un nombre de usuario y

contrasea a cualquier persona que se conecta a la red de la oficina
desde una ubicacin remota. Adems, todos los equipos remotos
utilizados para conectarse a la red deben ser protegidos con el software
de firewall y antivirus

Derechos de administrador pueden ser cubiertos por una porcin

especfica de una poltica de seguridad denominada poltica de acceso
privilegiado . Esta poltica cubre el acceso que los administradores
pueden tener para los recursos de red y especifica si se les permite
ejecutar herramientas de escaneo de red, ejecute el software de
contrasea de comprobacin, y tener acceso de administrador raz o
dominio

Uso de directivas de seguridad para llevar a cabo anlisis

de riesgos Despus de una poltica de seguridad se ha elaborado, el
trabajo no termina ah. Los empleados y los gerentes son educados
acerca de las polticas ' requisitos y disposiciones s, y luego las
salvaguardias se ponen en marcha.Adems de la informacin recogida
por los sistemas de seguridad existentes, como los archivos de registro,
firmas de trfico de red, y las cargas de trfico pico, la poltica puede
especificar con mayor supervisin de la red con la instalacin de
firewalls y IDPSS. Puede usar esta informacin para determinar cmo la
red est funcionando y aplicar los datos en las futuras rondas de anlisis
de riesgos
Depende de usted decidir con qu frecuencia realizar rondas de anlisis
de riesgos. Despus de realizar los ajustes necesarios en la
configuracin de seguridad en respuesta a las amenazas que se han
producido, podra decidir llevar a cabo anlisis de riesgos en curso, cada
tres o seis meses; hay ' s ninguna regla firme. La realizacin de anlisis
de riesgos es importante despus de un cambio importante, como por
ejemplo cuando el nuevo equipo se encuentra instalado o un gran
nmero de personal de dejar la empresa. Cada anlisis de riesgos
implica los mismos pasos que en la primera ronda de anlisis de
riesgos. Con cada anlisis posterior, usted tiene ms datos del mundo
real para la evaluacin de riesgos y sus consecuencias

El desarrollo de una poltica de seguridad de

las

siguientes secciones se describen los pasos de la creacin de una

poltica de seguridad y ofrecen consejos y ejemplos de los tipos de
polticas que se pueden crear. Estos diferentes tipos de polticas se
combinan para formar una poltica de seguridad completa

El desarrollo de una Poltica de Seguridad 499

Pasos para la Creacin de una directiva de

seguridad Despus de realizar un anlisis de riesgo, se deben resumir
sus conclusiones en un informe que seala los riesgos ms urgentes que
la empresa necesita para hacer frente a. Es posible resumir estos riesgos
en un prrafo o una seccin de introduccin y, a continuacin, presentar
una cuadrcula que muestra los activos ms importantes de la empresa
y el nivel de riesgo que haya determinado para ellos. Tabla 13-5 muestra
un ejemplo de esta cuadrcula
Recuerde que debe incluir las definiciones de tipos de activos y para
describir su mtodo de evaluacin
Asimismo, explique la evaluacin del riesgo que haya asignado a cada
categora de activos. Por ejemplo, en la Tabla 13-5, el riesgo para el
hardware puede ser alto porque los servidores se quedan en las reas de
trabajo de acceso abierto que no estn protegidas por las cerraduras o
los controles ambientales especiales
Despus de tener la aprobacin de la gestin, siga estos pasos para
crear la poltica de seguridad: 1. Formar un grupo que se rene para
desarrollar la poltica de seguridad. Debido a la naturaleza poltica de las
polticas de seguridad y su efecto en los empleados, asegrese de incluir
un administrador de alto nivel, un miembro del departamento legal,
personal de TI, y un representante de los empleados de base y archivo
2. Determinar si la organizacin ' s enfoque global de la seguridad debe
ser restrictiva o permisiva. Un enfoque restrictivo limita la actividad de la
red para algunas tareas autorizadas. Un enfoque permisivo permite que
el trfico fluya libremente y restringe slo los puertos vulnerables,
servicios o equipos
3. Identificar los activos que necesita proteger. Ya debe haber sentado
las bases de este paso en el anlisis de riesgos
4. Determine qu informacin necesita estar conectado y que las
comunicaciones de red tienen que ser auditados. Entonces deciden con
qu frecuencia se deben revisar los resultados. Auditora es el proceso
de revisin de los registros de actividad de la computadora de la
red; estos registros se identifican que se conecta a un ordenador, lo que
se pide a los recursos, y si se concede o se bloquea el acceso. Esta
informacin se registra normalmente en un archivo de registro
5. Enumerar los riesgos de seguridad que deben abordarse

6. Definir el uso aceptable de las computadoras a Internet, oficina,

contraseas y otros recursos de la red
Consecuencias de evaluacin de probabilidad de amenaza de Activos de Riesgo Los
activos fsicos de baja Los datos de baja significativa Medio Medio Medio Alto dainos
activos Software Insignificante Menor Menor Menor Personales Bajo Bajo Hardware
Medium Significativo Alto Medio Alto Daar 2014 Cengage Learning Tabla 13-5 ejemplo
de anlisis de riesgos 500 Captulo 13 Seguridad Diseo Poltica e Implementacin

13

7. Definir los controles de seguridad que deben aplicarse

8. Crear la poltica. Los riesgos especificados en la pliza pueden ser

secciones separadas de un documento o polticas separadas que juntas
conforman la organizacin ' poltica de seguridad global s

Identificar Poltica de seguridad Categoras

Despus el grupo
de polticas de seguridad ha determinado lo que debe ir en la poltica,
los contenidos tienen que ser por escrito. Los miembros del grupo
pueden ser asignados a preparar diferentes partes de la poltica. Un
enfoque de equipo se asegura de que todos los puntos importantes
estn cubiertos. Las secciones siguientes describen brevemente las
categoras comunes que es probable que necesite

Uso Aceptable Una poltica de uso aceptable establece cmo se deben

utilizar los recursos de la empresa. Una poltica de uso aceptable podra
indicar lo siguiente: La siguiente poltica de uso aceptable cubre el uso
de la compaa ' s computadoras, componentes de red, aplicaciones de
software y otro hardware. El trmino " otros equipos " incluye, pero no
est limitado a, los ordenadores personales, ordenadores porttiles,
telfonos celulares, unidades flash, discos extrables, unidades de CDROM/DVD y discos, servidores, cables, routers y sistemas de backup en
cinta. El trmino " usuario " se define como una persona que tiene una
cuenta para usar la compaa ' s recursos de la red. Todos los usuarios
de la empresa " se espera que la red s que se comporten de una manera
responsable, legal, no amenazante en todo momento, a saber: Los
usuarios no estn autorizados a hacer copias no autorizadas de software
con derechos de autor sin el permiso del titular de los derechos de autor
Los usuarios son responsables de almacenar los datos personales de
sus ordenadores. Si necesitan ayuda para el almacenamiento de datos,
se debe consultar al administrador de red

Los usuarios no estn autorizados a participar en una actividad, en

lnea o fuera de lnea, que acosa, amenaza, o abusos de otros usuarios

Las cuentas de correo electrnico son nicamente para uso

comercial; mensajes personales de correo electrnico y los mensajes
que pueden ser juzgados obsceno, de acoso u ofensivo no sern
enviados desde o almacenados en la empresa ' s sistemas

Los usuarios que violen estas polticas sern reportados al personal de

seguridad. Las ofensas pueden resultar en la prdida de privilegios de la
red o el despido. Si las rdenes de delito, la empresa puede presentar
cargos civiles o criminales contra el usuario
He ledo y entendido la empresa ' s poltica de uso aceptable y estoy de
acuerdo con lo
El usuario ' s firma sigue; algunas empresas incluyen la firma de un
testigo y la fecha en que se firm la pliza. Estas disposiciones
proporcionan algunos ejemplos de lo que puede incluirse en una poltica
de uso aceptable. Su propia poltica puede entrar en ms detalles sobre
el uso de los recursos de red
La poltica de uso aceptable se incluye generalmente en el comienzo de
una poltica de seguridad, ya que afecta a la mayora de los empleados
en una organizacin y que puede generar ms controversia. Debido a
que las rutinas de trabajo de todos los das podra tener que cambiar
para cumplir con la nueva poltica, ganando Desarrollo de una Poltica de
Seguridad 501

la cooperacin de todos los empleados puede ser difcil. La transicin es

ms fcil si la alta gerencia y los supervisores directos comienzan una
campaa de sensibilizacin temprana. Adems, tener un representante
de los empleados comunes y corrientes de archivos en el grupo de
desarrollo de polticas es conveniente por varias razones. En primer
lugar, los trabajadores ' estn representados los intereses. En segundo
lugar, su opinin acerca de las decisiones puede ayudar a evitar hacer
cambios que perjudican a la productividad de los empleados. Por ltimo,
tener un representante de los trabajadores en el comit hace que los
gerentes y supervisores ms probabilidades de hablar con otros
empleados acerca de la poltica, por qu es importante, y por qu los
empleados deben apoyarlo. Estos debates suelen llamarse un programa
de concientizacin de usuario de seguridad, y deben formar parte del
plan de ejecucin. Los esfuerzos deben comenzar tan pronto como sea
posible para conseguir que los empleados involucrados en la poltica
El primer paso en un esfuerzo de la conciencia podra publicando notas
en los tablones de anuncios. Entonces supervisores podran convocar
reuniones departamentales para hablar con los empleados sobre las
nuevas cuestiones de poltica y de respuesta. Una empresa tambin
puede publicar informacin sobre la poltica en su sitio web interno,

crear breves cuestionarios acerca de la poltica de seguridad, o de dar a

los empleados situaciones hipotticas a considerar. Una empresa
tambin
puede
crear
juegos
basados
en
los
cuestionarios. Departamentos podan conceder puntos para las
respuestas correctas, y el departamento con el mayor nmero de puntos
posible ganar un partido o bonificaciones
El punto es asegurarse de que la poltica no ha brotado en los
empleados incautos. Ese enfoque sera prcticamente asegurar el fallo
porque la poltica depende de los empleados que le sigue. Un programa
de sensibilizacin tambin debe explicar cmo la poltica beneficia a los
empleados. Por ejemplo, las polticas podran llevar a un aumento de los
ingresos por el uso de las nuevas tecnologas, lo que podra dar lugar a
mejores salarios o mejores condiciones de trabajo

Extranets y acceso de terceros a permitir el acceso de terceros a la

red de la empresa es a menudo un requisito cuando la externalizacin
de puestos de trabajo o trabajar con contratistas

Una extranet es una red privada que una empresa establece como una
extensin de su intranet corporativa para permitir a los contratistas,
proveedores y socios externos el acceso a una parte limitada de la
infraestructura de red. Partes que tienen acceso a la extranet deben ser
incluidos en la poltica de seguridad
Esta poltica de acceso de terceros debe incluir los siguientes puntos
como mnimo: El acceso debe concederse solamente para los negocios
de la compaa

Los terceros deben estar sujetos a un proceso de control de seguridad

mtodos precisos para permitir y denegar la conectividad deben

definirse

La duracin de acceso permitido y los detalles de acceso de

terminacin se debe definir

Las sanciones y consecuencias por violar los trminos de acceso deben

ser definidos porque son diferentes de las de los empleados

Cuentas de usuario, proteccin de contrasea, y los controles

de acceso lgico al crear una poltica que define cmo se utilizan las

cuentas de usuario, se gana flexibilidad en el desarrollo y aplicacin de

la poltica de seguridad, ya que no se limite a los empleados que
trabajan en el lugar. Las cuentas de usuario son los empleados y
contratistas que trabajan en el pas y los proveedores que se conectan a
la red desde sus propias instalaciones. La poltica de seguridad puede

incluir las siguientes especificaciones de las directivas de cuentas de

usuario: Los usuarios no estn autorizados a tener acceso a un recurso
no autorizado
Los usuarios no pueden bloquear a un usuario autorizado tenga acceso
a un recurso autorizado

502 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13

Los usuarios no pueden dar sus nombres de usuario y contraseas

de cuentas a otras personas por cualquier motivo

Si una contrasea se pierde o es una cuenta de usuario est
desactivado, pngase en contacto con el administrador o el servicio de
asistencia para obtener ayuda
Los usuarios deben proteger sus nombres de usuario y las contraseas
en un lugar seguro que no es visible en sus escritorios

Los usuarios deben cumplir con la directiva de contraseas de la

empresa, en particular: _ Las contraseas deben cumplir los
requerimientos de complejidad.Las contraseas seguras utilizan una
combinacin aleatoria de letras, nmeros y smbolos, y el uso de ambos
caracteres en maysculas y minsculas

_ Las contraseas deben tener al menos ocho caracteres

_ Las contraseas no deben ser palabras del diccionario, nombres,
fechas, o cualquier otra informacin que pueda asociarse con el usuario
o empresa
_ Las contraseas deben cambiarse cada 90 das
Los usuarios no pueden volver a utilizar contraseas antiguas, por un
perodo de un ao

Las contraseas constituyen una primera lnea de defensa para muchas

organizaciones. Permiten a los usuarios acceder al correo electrnico,
control de acceso a la red desde fuera, controlar el acceso a los
directorios compartidos en los servidores, y ms. Las empresas a
menudo requieren que los usuarios proteger sus ordenadores o
navegadores web con contraseas para que el resto del personal o los
visitantes no pueden utilizar los recursos despus de las horas. En
cualquier caso, la poltica de seguridad debe incluir una poltica de
contraseas que se hace cumplir por el software del sistema siempre
que sea posible

Las empresas deben asegurarse de que los empleados puedan acceder

fcilmente a la informacin necesaria para realizar su trabajo, sino que
el acceso a la informacin confidencial es limitada. Por ejemplo, muchos
empleados tienen acceso a leer cierta informacin pero no para
cambiarla o eliminarla. Acceso ilimitado a esta informacin puede ser
concedida slo a unos pocos empleados. Controles de acceso lgico son
componentes de software utilizados como un mecanismo de proteccin
para limitar el acceso a la informacin

Acceso remoto y conexiones inalmbricas Las organizaciones a

menudo utilizan los trabajadores independientes y consultores que

trabajan a travs de conexiones de banda ancha, correo electrnico,
redes privadas virtuales (VPN) y conexiones inalmbricas. Adems, los
trabajadores mviles a menudo necesitan conectarse a la oficina,
mientras que en la carretera o en casa, y socios de negocios quieren
actualizar sus rdenes o ver la informacin de la cuenta mediante la
conexin a la red de la empresa
Este tipo de trabajadores representan una oportunidad para aumentar la
productividad, sino que tambin aumentan las vulnerabilidades de
seguridad. Si un usuario se conecta a la red corporativa desde un equipo
que est infectado con un virus o ha sido comprometido por un
atacante, toda la red de la empresa se ve amenazada. Como otro
ejemplo, los dispositivos mviles pueden ser robados, y los ladrones
pueden entonces intentar obtener acceso a la red
Un acceso remoto y la poltica de conexin inalmbrica especifica el uso
de la autenticacin basada en roles , que ofrece a los usuarios un acceso
limitado en funcin de su papel asignado en la empresa y los recursos y
aplicaciones se permite la funcin de su uso. La sensibilidad de estas
aplicaciones determina el tipo de autenticacin utilizado. Por ejemplo, el
acceso a las aplicaciones o fuentes de datos que no son confidenciales
puede ser concedida con una simple contrasea. El acceso a recursos
confidenciales puede ser efectuada con una tarjeta inteligente o token,
que es una pieza de hardware que se utiliza Desarrollar una Poltica de
Seguridad 503

con una contrasea para proporcionar autenticacin de dos

factores . Este tipo de autenticacin requiere una combinacin de la
identificacin de una propiedad fsica del usuario, como las huellas
digitales, una firma o un escner de la retina; identificacin de un
elemento fsico, como una tarjeta o ficha; o el uso de la informacin
conocida, como una contrasea o PIN. Cualquier dos de estos factores
combinados califican como la autenticacin de dos factores. La idea es
agregar una capa adicional de autenticacin de proteccin para duplicar
la seguridad. Por ejemplo, si usted puede obtener dinero de un cajero

automtico o pagar una cuenta, simplemente mediante la presentacin

de su tarjeta bancaria, un ladrn slo necesitara la tarjeta a utilizar su
cuenta bancaria.Porque tambin hay que introducir un cdigo PIN o
firmar un recibo, un ladrn tiene un tiempo ms difcil el uso de su
tarjeta
VPN y conectividad inalmbrica ofrecen opciones adicionales para
acceso a la red; que son populares porque son eficaces y de bajo
costo. Las VPN crean un tnel para transportar informacin a travs de
los medios de comunicacin pblicos, tales como lneas telefnicas
regulares. Los datos se mantienen seguros por protocolos de tnel y
cifrado. Las conexiones inalmbricas ofrecen la misma gama de
herramientas que estn disponibles en conexiones por cable sin la carga
de cableado
Sin embargo, la conectividad inalmbrica tiene sus propios problemas de
seguridad. La poltica de seguridad debe especificar quin puede utilizar
la conectividad inalmbrica, cmo se utiliza y dnde. Un fenmeno
relativamente nuevo en las organizaciones empresariales se llama BYOD
(trae tu propio dispositivo). Debido a que muchos trabajadores utilizan
sus propios dispositivos inalmbricos digitales, tales como telfonos
inteligentes y tabletas, las empresas han encontrado que ellos necesitan
polticas para controlar estos dispositivos cuando se utiliza para los
negocios
Estas polticas son relativamente nuevos en las empresas, pero los
departamentos de TI la universidad han apoyado durante mucho tiempo
los dispositivos de propiedad de los usuarios en las aulas, bibliotecas y
residencias

Uso

seguro

de

Internet

E-mail Una poltica

de uso de
Internet puede ser integrado con una poltica de uso aceptable o la
poltica de seguridad global.Sin embargo, como el uso de Internet se ha
vuelto tan parte integral del trabajo del da a da, vale la pena crear una
seccin separada de la poltica de seguridad que cubre cmo los
empleados pueden acceder y utilizar el Internet
Una poltica clara que regula el uso del correo electrnico es esencial
para evitar problemas como los servidores de correo estn inundados
por mensajes molestos. Un ejemplo comn es una falsa alarma de virus,
que establece que un e-mail est circulando con una engaosa
encabezamiento como " Usted ' eres un ganador! " El mensaje hoax
advierte a los usuarios de no leer el e-mail ya que borra todos los
archivos de el usuario ' s disco duro. Un empleado que recibe tal
mensaje podra enviarlo a todos los dems empleados, pensando que les
est haciendo un favor. Si no existe una poltica definida para los
empleados cmo deben manejar los correos electrnicos molestos, la

compaa ' s servidores de correo podran llegar a ser inundadas y los

empleados de TI podran tener que diagnosticar el problema, que una
prdida de tiempo del personal y recursos
Una poltica de uso de Internet prohbe mensajes de correo electrnico
de radiodifusin. En lugar de ello, los usuarios deben ponerse en
contacto con el administrador de la red acerca de correo electrnico
sospechoso. La poltica tambin debe especificar si los usuarios pueden
descargar el software o los medios de transmisin a travs de
Internet; si se permiten las descargas, los lmites deben establecerse
para el tamao de las descargas de archivos. La poltica puede prohibir a
los usuarios abrir archivos adjuntos de correo electrnico ejecutables
que puedan contener virus. Tambin podra especificar si la empresa ha
bloqueado sitios web censurables e informar a los usuarios sobre cmo
la compaa protege su privacidad con respecto a la direccin de correo

Seguridad de la red Una poltica de seguridad de la red debe definir

con claridad y establecer responsabilidades por el uso de la red y para la

proteccin de la informacin que se procesa, almacena y transmite en la
red. La responsabilidad principal de la red se puede asignar a 504 Captulo
13 Diseo y Aplicacin de la Poltica de Seguridad

13

el titular de los datos - el director de la organizacin que crea y

procesa los datos

Responsabilidad secundaria se asigna a los usuarios que tienen acceso a
la informacin. Una persona con la responsabilidad principal debe
asegurar que las polticas y los procedimientos se siguen para proteger
los datos
Una poltica de seguridad de la red debe definir claramente las funciones
de las personas que son responsables de mantener la red
de ' disponibilidad s. Esta poltica debe cubrir los siguientes
puntos: Aplicabilidad - Lo que constituye el entorno de red y qu
partes, si las hubiere, estn exentos de las polticas Las
evaluaciones - El valor de la informacin almacenada en la
red Responsabilidades - Quin es responsable de la proteccin de la
informacin sobre la red Compromiso - La organizacin ' s compromiso
con la proteccin de la informacin y de la red La siguiente poltica de
seguridad de la red de ejemplo define las responsabilidades de estos
empleados: Los gerentes funcionales - Los empleados que tienen la
responsabilidad principal Los administradores locales -Los empleados
que son responsables de garantizar que los usuarios finales tienen el
acceso a los recursos de red en sus servidores Los usuarios finales Cualquier empleados que tienen acceso a la organizacin ' s de la
red; estos empleados son responsables por el uso de la red de acuerdo

con la poltica de seguridad de la red Todos los usuarios de datos son

responsables de cumplir con la poltica de seguridad de la red y para
reportar cualquier violacin de seguridad sospechosos de gestin
El siguiente es un extracto de una poltica de seguridad de red de
ejemplo desarrollado por el Instituto Nacional de Estndares y
Tecnologa: Un incidente de seguridad informtica es cualquier evento
adverso por el que algn aspecto de la seguridad del equipo podra
verse amenazada: la prdida de la confidencialidad de los datos, prdida
de datos o la integridad del sistema , o la interrupcin o la negacin de
la disponibilidad. En un entorno LAN, el concepto de un incidente de
seguridad informtica se puede extender a todos los mbitos de la LAN
(hardware, software, datos, transmisiones, etc), incluyendo la propia LAN
Dentro de esta poltica de la muestra, los planes de contingencia en un
entorno LAN se deben desarrollar para que cualquier incidente de
seguridad LAN puede ser manejado de una manera oportuna, con un
impacto mnimo sobre la organizacin ' s la capacidad de procesar y
transmitir datos. Un plan de contingencia debe considerar la respuesta a
incidentes, las operaciones de copia de seguridad y recuperacin
El propsito de la respuesta a incidentes es mitigar los efectos
potencialmente graves de un problema de seguridad LAN grave. Una
respuesta requiere la capacidad de reaccionar a los incidentes y
recursos
para
alertar
e
informar
a
los
usuarios,
si
es
necesario. Respuesta a incidentes requiere la cooperacin de todos los
usuarios para garantizar que los incidentes son reportados y resueltos, y
se impide que los futuros incidentes
Planes de operaciones de copia de seguridad se preparan para asegurar
que las tareas esenciales se pueden completar despus el entorno LAN
se interrumpe y contina hasta la LAN est suficientemente restaurada
Estas tareas esenciales estn identificados en un anlisis de riesgos
Los planes de recuperacin se realizan para permitir la rpida
restauracin lisa, del entorno de LAN despus de la interrupcin del uso
de LAN. Documentos justificativos deben ser desarrollados y Desarrollo de
una Poltica de Seguridad 505

mantenido para reducir al mnimo el tiempo necesario para la

recuperacin. Se debe dar prioridad a las aplicaciones y servicios que
son crticos para la organizacin ' s funcin. Los procedimientos de
operacin de copia de seguridad deben asegurarse de que estn
disponibles para los usuarios de los servicios y aplicaciones crticas

Servidor de seguridad Una poltica de seguridad del servidor no

cubre por lo general los empleados de base y archivo

Su finalidad es la de regular el personal de TI que tienen acceso

privilegiado a los servidores de la compaa. Esta poltica debe cubrir
todos los servidores, incluyendo servidores Web y bases de datos. Como
mnimo, la poltica debe abarcar las siguientes reas: Identidad y
funciones del personal de TI que son responsables de la operacin y
mantenimiento de servidores La identificacin especfica para todos los
servidores, incluidos los nmeros de serie y nmeros de
pieza Requisitos de seguridad de contraseas de usuario y Los
detalles
de
configuracin,
incluyendo
hardware
y
software
versiones Requisitos de control y horarios, as como los requisitos de
registro Datos y requisitos de copia de seguridad del sistema, el
almacenamiento, horarios y responsabilidades requisitos de auditora
del sistema y horarios Poltica de cumplimiento y de aplicacin
de fsica y de las instalaciones de seguridad fsica y proteccin de
la instalacin abarca una amplia gama de cuestiones relacionadas con el
bloqueo por componentes de hardware de una red corporativa
Proteccin de la instalacin de computadoras debe integrarse en la
poltica de seguridad global para toda la instalacin de la empresa. El
sentido comn juega un papel importante en el diseo de la seguridad
fsica adecuada y la formulacin de una poltica de seguridad fsica del
sonido: Un espacio cerrado separado debe dejarse de lado a los
servidores de la casa y otros componentes esenciales de redes
informticas
La instalacin del equipo debe estar ubicado en el edificio ' s planta
baja. Si el edificio se encuentra en una zona propensa a las inundaciones
u otras formas de riesgos ambientales, la instalacin debe estar en un
piso ms alto

La instalacin deber contar sin ventanas y con un nmero limitado de

puertas - preferiblemente una puerta, si los permisos del cdigo de
incendios. Si es posible, la instalacin debe estar ubicado lejos de las
paredes exteriores del edificio

Todos los puntos de acceso, incluidos los pozos de ventilacin, debern

contar con revestimientos irrompibles y ser doble llave. Los cdigos de
acceso se celebren por el menor nmero de personas posible. No todo el
mundo que trabaja en la instalacin requiere de cdigos de acceso

El acceso debe limitarse a las personas que trabajan en dicha

instalacin. Si los trabajadores de limpieza o mantenimiento tienen

acceso a las instalaciones, deben ser supervisados en todo momento por

un miembro del personal de la institucin
los sistemas de alarma de supresin de incendios y de intrusin deben
estar en su lugar

Un sistema de vigilancia por vdeo las 24 horas debe mantenerse y

verse con regularidad

Asegure el almacenamiento fuera del sitio debe ser arreglado por los
datos de copia de seguridad

506 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13 Procedimiento para el manejo de incidentes

Definir la hora de formular una poltica de seguridad, se deben
describir en detalle que responde a los incidentes de seguridad, lo que
hay que hacer en la respuesta, y por qu estos procedimientos son
necesarios. Esta parte de una poltica de seguridad se llama la seccin
de respuesta a incidentes. Usted debe comenzar con la descripcin de la
necesidad de un manejo cuidadoso y rpido de una intrusin en caso de
producirse. Tambin podra describir los tipos de incidentes que deben
ser abordados, tales como las siguientes: Las alarmas enviadas por los
sistemas de prevencin y deteccin de intrusiones repetidos intentos
de inicio de sesin fallidos Las nuevas cuentas de usuario que aparecen
de repente y sin explicacin Nuevos archivos con nombres
desconocidos que aparecen en los servidores del sistema Cambios
inexplicables en los datos o la eliminacin de registros Sistema se
bloquea Bajo rendimiento del sistema El proceso de gestin de
incidentes se esbozar en la poltica de seguridad. Diga a los empleados
cmo identificar si se ha producido realmente una intrusin. Por ejemplo,
los empleados pueden realizar esta comprobacin al auditar el sistema
para ver si se han aadido nuevos archivos. Si es as, tienen que
determinar qu recursos han sido comprometidos. Los recursos
afectados deberan entonces ser contenidos, virus u otros archivos
introducidos en el sistema deben ser erradicados, y los recursos deben
ser recuperados

Montaje de un Equipo de Respuesta

Si ocurre un incidente, la
poltica de seguridad debe identificar exactamente qu debe notificar a

los miembros del personal de seguridad. Incluya la direccin de correo

electrnico y nmeros de telfono. Adems, especifique una ubicacin
donde los miembros del equipo deben reunirse en caso de no poder
acceder a la facilidad o comunicar
El trabajo en equipo es esencial para responder a la red con xito los
incidentes de seguridad. Las organizaciones suelen designar a un equipo
de respuesta a incidentes de seguridad (SIRT) - un grupo de empleados
que tiene contramedidas cuando se informa de un incidente
A SIRT tambin puede ser referido como un equipo de respuesta a emergencias
informticas (CERT), que puede responder a cualquier tipo de falla en el
sistema, no slo una intrusin relacionada con la seguridad

A SIRT responde a las infracciones relacionadas con la seguridad y por lo

general incluye funciones como las siguientes en su declaracin de la
misin: En reaccin a las brechas de seguridad que se originan fuera o
dentro de la organizacin Aislamiento, revisin e interpretacin de la
informacin sobre los incidentes de seguridad La evaluacin de la
magnitud
de
los
daos
causada
por
un
incidente
de
seguridad Determinar las causas de las intrusiones y otros incidentes y
recomendar medidas para evitar que se repitan Control de la integridad
de la organizacin ' s de la red de forma continua Definir procedimientos de
manejo de incidentes 507

Tpicamente, un SIRT contiene las operaciones de TI y el personal

tcnico de apoyo, personal de aplicacin informtica, un jefe de
seguridad, y otros especialistas en seguridad de la informacin. Algunas
organizaciones grandes tienen una posicin especial llamado gestor de
respuesta a incidentes; esta persona es designada para responder a
incidentes, realizar una evaluacin inicial, y convocar a los SIRT y otros
empleados, segn sea necesario. A SIRT tambin puede incluir a
miembros de otras reas de la organizacin, tales como la gestin de
departamentos, las relaciones pblicas y asesora legal. Todos los
miembros del SIRT se deben identificar en la poltica de seguridad; si la
persona de contacto principal no se encuentra, otra persona en la lista
puede ser convocado

Especificacin
de
escalabilidad Un procedimiento

Procedimientos

de

de escalamiento es un conjunto de
funciones, responsabilidades, y las medidas adoptadas en respuesta a
un incidente de seguridad. En l se describe cmo una organizacin
aumenta su estado de alerta cuando se produzca un incidente o
amenaza de seguridad. Los incidentes se suelen dividir en tres niveles
de escalamiento: Nivel Uno (menores a moderadas) - Estos incidentes

son los menos graves y por lo general deben ser manejados dentro de
un da de trabajo de su ocurrencia
Nivel Dos (mayor) - Estos incidentes son moderadamente grave. Ellos
deben gestionarse en el mismo da que ocurran - idealmente, dentro de
cuatro horas

Nivel Tres (catastrficos) - Estos incidentes son los ms graves; que se

deben manejar de inmediato

Procedimientos de escalamiento tambin especifican los empleados que

manejan cada nivel. Una organizacin grande puede tener un
departamento de pleno derecho, cuyos miembros son asignados
solamente para mantener la seguridad
A menudo tienen ttulos como analista de seguridad, arquitecto de
seguridad, y el jefe de seguridad
Muchas organizaciones asignan personal tcnico para estas
funciones; estos miembros del personal son responsables de manejar la
escalada, adems de sus otras responsabilidades. En cualquier caso, los
procedimientos de escalada en una poltica de seguridad debe
especificar quin debe responder
Adems, el nivel dos o nivel tres incidentes pueden requerir la
participacin de los grupos de seguridad externos, como Capability
Asesor incidentes informticos (CIAC). Esta organizacin de gran
prestigio lleva un registro de los ataques graves de seguridad; si su
organizacin es golpeado por un nuevo virus o un ataque distribuido de
denegacin inusualmente fuerte del servicio (DDoS), se debe informar a
los dems sobre el ataque
Si una intrusin se produce y el dao es ms grave que se pensaba - o si
la intrusin en curso y los archivos se est accediendo - la poltica de
seguridad debe describir las etapas de la respuesta que escalar junto
con el incidente ' s consecuencias. Para determinar cmo una respuesta
puede escalar, se puede desarrollar un sistema para la calificacin de un
incidente ' severidad s utilizando la clasificacin que figuran en la Tabla
13-6. Cada clasificacin podra entonces ser asignada a una cadena de
escalada - una jerarqua de empleados que deben responder a los
incidentes y tomar decisiones. Tabla 13-6 muestra una posible
cartografa
Tabla 13-6 se podra extender a la lista las acciones a tomar en
respuesta a incidentes, en funcin de su gravedad. Los incidentes de
menor a moderada gravedad podran requerir una exploracin de virus o
iniciar sesin revisin del expediente; incidentes mayores pueden llamar

para la desconexin de la red local desde Internet o de otros segmentos

de red durante la respuesta
508 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13 Respuesta a Incidentes de Seguridad Para

determinar

cmo se deben aumentaron los incidentes, la poltica de seguridad ' s

seccin sobre manejo de incidentes debe definir claramente los tipos de
incidentes y el nivel de escalada cada uno representa. Observe los
siguientes ejemplos: Prdida de contrasea (Nivel Uno incidente) - El
supervisor de turno debe ser notificado dentro de las 24 horas. El
supervisor determina si es necesario un cambio de contrasea
Robo u otro acceso ilegal edificio (Nivel Dos incidentes) - Si una
persona no autorizada se descubre en las instalaciones, notifique a su
supervisor inmediato, quien determina si la polica tiene que ser
notificado y si el incidente debe ser escalado a la siguiente persona en la
cadena . Si el incidente es lo suficientemente grave, el supervisor
notifica a las personas apropiadas en la cadena de la escalada, como el
PEP, IT manager o administrador de seguridad (SA). La persona
autorizada debe ser acompaado fuera del edificio, ya sea por la
persona adecuada de la cadena o de la polica. El responsable se
especifica en la poltica de seguridad a continuacin, escribe un informe
de incidente

la prdida o robo de la propiedad (nivel dos o nivel tres incidentes) - Si

propiedad de la compaa ha sido robado, el director de recursos
humanos o el supervisor de guardia deben ser notificados
inmediatamente. Este oficial se intensifica el incidente a la aplicacin de
la ley y de las OSC locales, si es necesario

Incluyendo

los

peores

escenarios

peores escenarios son

descripciones de las peores consecuencias que pueden acontecer una
organizacin si una amenaza pasa. Estos escenarios podran ser poco
probable, pero pueden ayudar a determinar el valor de un recurso en
peligro. Los valores se derivan de las consecuencias razonables de
archivos, computadoras y bases de datos no estn disponibles durante
perodos especficos. Es posible preparar escenarios que dan cuenta de
varios perodos de tiempo que van desde unos pocos minutos hasta
varios meses
Otra forma de cuantificar el impacto de la prdida financiera o la
interrupcin de las actividades comerciales es asignar un valor numrico
a un activo basado en un rango de montos en dlares. Si la prdida se

estima en $ 100 o menos, por ejemplo, un 1 podra ser asignado a la

prdida; si la prdida es de entre $ 100 y $ 1000, se le asigna un 2, y as
sucesivamente
Incidentes cadena Escalation gravedad catastrfica (Nivel Tres) Propietario de la
empresa o el gerente, director de seguridad, el personal de administracin de la red de
alto nivel, todos los jefes de departamento, oficial de relaciones pblicas Major (Nivel
Dos) Gestor de Turno, el personal de administracin de la red de servicio, arquitecto de
seguridad moderada (Nivel Uno) Jefe inmediato, analista de guardia de seguridad,
mesa de ayuda Menor o supervisor inmediato insignificante 2014 Cengage Learning Tabla
13-6 Asignacin de una cadena de escalada a la clasificacin de gravedad de
incidentes Definicin de Procedimientos de Manejo de Incidentes 509

Actualizacin de la Poltica de Seguridad

Usted debe actualizar

la poltica de seguridad basada sobre los casos notificados como
resultado de la supervisin de seguridad en curso y los nuevos riesgos
que enfrenta su compaa. Cualquier cambio en la poltica deberan
poner a disposicin de todos los empleados, ya sea por correo
electrnico o mediante la publicacin de los cambios en la empresa ' s
sitio Web o intranet
El objetivo de cambiar la poltica de seguridad es cambiar
empleados ' hbitos para que se comporten de manera ms
responsable. En ltima instancia, una poltica de seguridad debe dar
lugar a cambios fsicos en la organizacin ' s la configuracin de
seguridad. Por ejemplo, una llamada para sistemas redundantes en la
poltica de seguridad puede dar lugar a importantes gastos para un
nuevo servidor de seguridad o un servidor que acta como un
dispositivo de conmutacin por error. La necesidad de revisar los
registros de seguridad a diario, segn lo estipulado en la poltica de
seguridad, podra significar la inversin en software de anlisis de
archivo de registro para hacer los comentarios ms fcil. Mejor
proteccin significa menor nmero de incidentes internos o externos,
que permite a la compaa centrarse en su misin principal

La realizacin de rutina Seguridad

Despus de una poltica de

seguridad ha estado en vigor durante un tiempo, el grupo de polticas de
seguridad debe decidir cmo llevar a cabo una nueva evaluacin de
rutina de los riesgos para la empresa y sus activos. Puede que no
necesite para examinar todos los activos de la empresa en cada
reevaluacin; por ejemplo, puede decidir centrarse en los riesgos de
seguridad ms urgentes o nuevos riesgos que han surgido debido a los
cambios en la empresa
Al reevaluar la organizacin ' poltica de seguridad s, mantenga los
siguientes requisitos en mente: Los comentarios deben ser rutina

La alta gerencia debe autorizar el programa de reevaluacin

La organizacin debe responder a los incidentes de seguridad que se

producen

La organizacin debe revisar la poltica de seguridad a causa de

incidentes y otros riesgos identificados

Una poltica de seguridad eficaz se describen los pasos inmediatos a

seguir cuando se detecta una intrusin, y especifica con qu frecuencia
los anlisis de riesgos debe efectuarse. Una seccin de la poltica debe
identificar a las personas que llevan a cabo anlisis de riesgos y, a
continuacin describen las circunstancias en las que se requiere un
nuevo anlisis de riesgos. Por ejemplo, cuando se compra un equipo
nuevo, el grupo de anlisis de riesgos debe determinar si las nuevas
declaraciones deben ser por escrito y se aade a la poltica de
seguridad, y si son necesarias nuevas medidas de seguridad
A pesar de que la poltica de seguridad puede especificar un anlisis de
riesgo de cada seis o 12 meses, la poltica debe ser lo suficientemente
flexible como para permitir reevaluaciones de emergencia cuando sea
necesario. Por ejemplo, cualquier ataque a las empresas asociadas u
oficinas remotas deben solicitar al grupo de polticas de seguridad de
volver a evaluar los riesgos para la organizacin. Adems, las noticias de
los principales ataques a la seguridad de los servidores de Internet o los
virus que circulan por Internet debe impulsar una reevaluacin del riesgo
510 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13 Resumen del captulo

El anlisis de riesgos tiene un

papel central en la formulacin de una poltica de seguridad. Los riesgos

deben ser calculadas y las polticas de seguridad deben modificarse de
manera continua ya que los cambios de configuracin de la red y las
nuevas amenazas
El anlisis de riesgos cubre una empresa ' s hardware informtico,
software y activos de informacin. Debe realizarse antes y despus de
crear una poltica de seguridad. El objetivo no es reducir los riesgos a
cero, pero para gestionar el riesgo a niveles razonables de manera
continua

La primera tarea en el anlisis de riesgos es identificar los activos que

necesita proteger. A continuacin, evaluar las amenazas a su red, como
los ataques, cortes de energa y los desastres ambientales. A
continuacin, se determina la probabilidad de que ocurran las amenazas

Despus de evaluar el nivel de riesgo de los activos, es necesario

determinar las contramedidas y salvaguardas para minimizar el
riesgo. Decida cmo proteger los activos informticos; activos lgicos,
como los registros de mensajera instantnea, correo electrnico, y
registrar los registros de archivos; datos almacenados en las bases de
datos; software de aplicacin; y los activos personales de los
empleados. A continuacin, desarrollar un plan para la realizacin de
anlisis de riesgo de rutina y un plan para el manejo de incidentes de
seguridad

Para realizar un anlisis de riesgo, se puede utilizar un enfoque como

el anlisis de supervivencia de red (SNA) o de amenazas y Evaluacin de
Riesgos (TRA). Un anlisis de riesgos se describe el nivel de riesgo para
cada activo de la organizacin, as como el impacto econmico si el
activo se pierde o se daa

Una poltica de seguridad proporciona

organizacin ' la postura de seguridad global s

una

base

para

una

La poltica da a los empleados pautas para el manejo de informacin

sensible y proporciona al personal de TI con las instrucciones para la
configuracin de los sistemas defensivos. Una poltica de seguridad
tambin reduce el riesgo de responsabilidad legal para una empresa y
sus empleados
Para proteger la seguridad global, es importante formular una poltica
clara que explica empleados ' derechos y cmo se deben manejar los
recursos de la empresa

Dado que el riesgo no puede ser eliminado, las empresas a veces

compran un seguro de riesgo ciberntico para compensar las prdidas
potenciales. Una poltica de seguridad puede ayudar a una organizacin
solicitar este seguro mediante la identificacin de los bienes que deben
ser asegurados y las amenazas que requieren proteccin

Una buena poltica de seguridad se basa en la evaluacin de riesgos,

cubre el uso aceptable de los recursos del sistema, establece prioridades
para los recursos crticos que necesitan ser protegidos, y especifica el
uso de recursos de red por los administradores y el personal de
seguridad

pasivos jurdicas deben ser cubiertos en una poltica de

seguridad. Declaraciones de uso aceptable e inaceptable deben
incluirse, y las directrices para violacines y los castigos deben ser
cubiertos. Esta informacin ayuda a evitar el litigio empresa de los
empleados que son despedidos por el mal uso de los sistemas de

Si un incidente de seguridad se debe a un delito penal, es importante

entender sus obligaciones legales y la manera de protegerse de los
litigios. Despus de una investigacin se entreg a la polica, la Cuarta
Enmienda de registro y embargo se aplican; incumplimiento de estas
protecciones puede dar lugar a demandas judiciales. Usted debe
entender las implicaciones de una investigacin penal y cumplir con las
citaciones amparos y rdenes de registro

Resumen del captulo 511

Una poltica de seguridad es a menudo formulada como una serie de

polticas concretas, en lugar de un documento largo. Creacin de una
poltica de seguridad requiere la formacin de un grupo para desarrollar
la poltica; determinar el enfoque global de la seguridad; identificacin
de los activos a proteger;especificando los procedimientos de
auditora; listado de los riesgos de seguridad; la definicin del uso
aceptable; y la creacin de las polticas especficas, como las de cuentas
de usuario, proteccin de contrasea, el uso de Internet y acceso remoto

Es necesario presentar una propuesta para la gestin y obtener la

aprobacin antes de crear la poltica de seguridad. Este proceso consiste
en explicar el ROI esperado y llamar la atencin sobre otros costos
asociados con los incidentes de seguridad, tales como la prdida de
productividad, prdida de la moral o de la confianza del cliente, y los
posibles costos legales

Una poltica de seguridad debe describir en detalle que responde a los

incidentes de seguridad, lo que hay que hacer en la respuesta, y por qu
los procedimientos necesarios. En conjunto, esta informacin se llama la
seccin de respuesta a incidentes de la poltica de seguridad. Define la
respuesta y la escalada de incidentes de diversa gravedad y contiene
informacin de contacto de las personas que deben ser notificadas. Las
organizaciones a menudo tienen un equipo de respuesta a incidentes de
seguridad (SIRT) para adoptar contramedidas cuando se informa de un
incidente

Un procedimiento de escalamiento debe definirse para determinar

quin se notific durante cada tipo de incidente. Se pueden definir
diferentes niveles de incidentes, tales como leves, moderadas,
importante, y catastrfico. A medida que el nivel de severidad se
incrementa, los directivos de ms alto nivel en la organizacin deben
responder

Las polticas de seguridad deben ser revisados y actualizados

regularmente. Tambin deben ser modificadas para dar cuenta de los
intentos de intrusin, intrusiones reales, cambios de personal, y las
principales compras de equipo

Trminos clave

poltica de uso aceptable

poltica A que define los

usos de recursos de la empresa aceptables e inaceptables

de hardware, software y recursos de informacin que necesita
para proteger al desarrollar e implementar una poltica de seguridad
integral
los activos

el proceso de revisin de los registros de actividad de la

computadora de la red; estos registros se identifican que se conecta a
un ordenador, se solicitan los recursos, y si se le otorga ni bloquearon el
acceso
auditar

tcnica A para comparar los costos de una

inversin con los beneficios que se propone volver
anlisis de costo-beneficio

documentos de tratamiento de textos, hojas de clculo,

pginas web y otros documentos sobre los equipos de red
activos electrnicos

un conjunto de roles, responsabilidades, y las

medidas adoptadas en respuesta a un incidente de seguridad
procedimiento de comunicacin

de la vulnerabilidad a la prdida resultante de la ocurrencia

de una amenaza, como la divulgacin, la destruccin o modificacin de
los recursos de informacin. La exposicin aumenta con la presencia de
mltiples amenazas
la exposicin

512 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13

extranet

Red

privada

que

una

empresa

establece

como

una

extensin de su intranet corporativa para los contratistas, proveedores y

socios externos pueden acceder a una parte limitada de la
infraestructura de red
La capacidad de un objeto o un sistema para seguir
funcionando a pesar de un fallo
tolerancia a fallos

Una enmienda a la Constitucin de EE.UU.

proporciona proteccin contra registros e incautaciones ilegales
Cuarta

Enmienda

que

Una poltica que define cmo los usuarios pueden

acceder y utilizar el Internet y que especifica qu reglas se aplican al
correo electrnico y otras comunicaciones, como la mensajera
instantnea
Poltica de uso de Internet

con un mtodo analtico que simula un sistema de

la vida real al generar aleatoriamente los valores de las variables
Simulacin de Monte Carlo

Routers, cables, los hosts de baluarte, servidores y

componentes de servidor de seguridad que permiten a los empleados a
comunicarse entre s y otros equipos en Internet
activos de

red

Una poltica que define y establece las

responsabilidades para la proteccin de la red y la informacin
procesada, almacenada y transmitida en la red
poltica de seguridad de la red

la poltica A que detalla las opciones y

responsabilidades de los usuarios con acceso privilegiado a los recursos
de acceso adicionales
poltica de acceso privilegiado

la posibilidad de que en realidad se producir una

amenaza, ya que la influencia de los factores geogrficos, fsicos,
habituales u otros que aumentan o disminuyen la probabilidad de
ocurrencia
probabilidad de

Una poltica que define las

medidas de seguridad necesarias antes de un escritorio remoto o una
conexin inalmbrica, se aade a una organizacin ' s red
acceso remoto y la poltica de conexin inalmbrica

El riesgo que permanece despus de las contramedidas y

las defensas se implementan
riesgo residual

arriesgarse a

la posibilidad de incurrir en daos o prdidas

Un proceso de anlisis de las amenazas que enfrenta una

organizacin, la determinacin de qu recursos se encuentran en riesgo,
y determinar la prioridad de cada activo
anlisis de riesgo

El proceso de identificacin, la eleccin y el

establecimiento de medidas justificadas por los riesgos que identifique
la

gestin

de

riesgos

Un mtodo de autenticacin que otorga a los

usuarios el acceso al sistema limitado en funcin de su papel asignado
en la empresa y que define los recursos se permite que el papel de usar
autenticacin basada en roles

un documento legal emitido por un tribunal que permite a

las autoridades para buscar un lugar en particular para pruebas
especficas. La orden debe detallar lo que la bsqueda se est buscando
y donde se permiten las autoridades que buscarlo
buscar garantiza

Un grupo de personas
designadas para adoptar contramedidas cuando se informa de un
incidente
equipo de respuesta a incidentes de seguridad (SIRT)

Una declaracin que defina las defensas configurados

para bloquear el acceso no autorizado a una red, el uso aceptable de los
poltica de seguridad

recursos de red, una organizacin ' s la respuesta a los ataques, y cmo

los empleados deben manejar la organizacin ' s recursos para evitar la
prdida de datos o daos en los archivos
un documento legal que requiere una persona para comparecer ante
el tribunal, prestar testimonio, o cooperar con la polica
citar

supervivencia

La capacidad de seguir funcionando en presencia de ataques

o desastres
Trminos clave 513

Un proceso de seguridad que supone

un sistema informtico ser atacado y sigue una serie de pasos para
construir un sistema que puede sobrevivir al ataque
Anlisis de Redes de supervivencia (SNA)

Una aproximacin al anlisis de riesgos

desde el punto de vista de las amenazas y riesgos a la organizacin ' s
activos y las consecuencias si se producen esas amenazas y riesgos
Amenaza y Evaluacin de Riesgos (TRA)

eventos y condiciones que potencialmente podran ocurrir; su

presencia aumenta el riesgo
amenazas

Los protocolos de red que encapsulan (wrap) un

protocolo o una sesin dentro de otro
protocolos de tnel

de autenticacin que requiere por lo menos dos

formas de verificacin de un usuario que se conceda el acceso
autenticacin de dos factores

Situaciones o condiciones que aumentan las amenazas, lo

que a su vez aumentar el riesgo
vulnerabilidades

Descripciones de las peores consecuencias que pueden

acontecer una organizacin si se produce una amenaza
peores escenarios

Preguntas de repaso

1. Anlisis de Redes de supervivencia

comienza con lo supuesto? una. que ha sentado las bases para un

anlisis de riesgos b. que la red ser atacado c. que la probabilidad de
amenazas est aumentando constantemente d. que una poltica de
seguridad eficaz puede reducir los riesgos a cero 2. Para determinar el
valor del hardware y el software que necesita para proteger, cul de los
siguientes mtodos es ms fcil de usar? una.conseguir los precios ms
recientes en lnea b. mantener registros de compra Costes c. el uso de
su experiencia y conocimientos d. entrevistas con el personal de apoyo
3. Cuando una organizacin debe llevar a cabo una nueva ronda de

anlisis de riesgos? una. cada mes b. Cada tres meses c. la mayor

frecuencia posible d. cuando el equipo o el personal de cambio de
manera significativa 4. Un informe de anlisis de riesgos debe llamar la
atencin sobre
una. todos identificados riesgos b. Los riesgos ms urgentes c. los
riesgos ms nuevos d. los riesgos que son ms fciles de
manejar 514 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13

5. El objetivo final de una poltica de seguridad es cul de los

siguientes? una. reducir los riesgos a cero b. hacer las cosas bien la
primera vez por lo que la poltica no tiene que ser reescrita
constantemente c. gestin de convencer de que el presupuesto de TI se
debe aumentar d. ninguna de las anteriores 6. Cules son el hardware,
el software y los recursos de informacin que necesita para
protegerse? una. amenazas b. tangibles c. activos d. participaciones
empresariales 7. Asegurar que las bases de datos siguen siendo
accesibles si los sistemas primarios se desconectan se conoce como
una. tolerancia a fallos b. failover c. redundancia d. resiliencia 8. Cul
de las siguientes tecnologas ayuda a proteger los datos confidenciales,
incluso
despus
de
que
ha
sido
robado
de
un
medio
seguro? una. proteccin contra virus b. autenticacin c. cifrado d. Spybot
9. Cul de las siguientes secciones de una poltica de seguridad afecta
a la mayora de las personas en una organizacin? una. manejo de
incidentes poltica b. poltica de acceso privilegiado c.poltica de uso
aceptable d. directiva de acceso remoto 10. Qu es un procedimiento
de escalamiento? (Seleccione todas las que apliquen.) A. En l se
describe cmo la seguridad de la red se puede mejorar en las etapas
b. En l se describe cmo un virus puede multiplicarse y afectar ms
activos
c. En l se describen diferentes niveles de respuesta segn la gravedad
del incidente
d. Identifica los empleados que deberan estar involucrados en la
respuesta
Preguntas de repaso 515

11. Cul de los siguientes, si redactado correctamente, puede proteger

a las empresas contra demandas de despido injustificado? una. clusulas

de confidencialidad b. polticas de uso aceptable c. clusulas de

penalizacin d. clusulas punitivas 12. Una poltica de contraseas
puede especificar cul de los siguientes atributos para la seleccin de la
contrasea? una. requisitos de longitud b. requisitos de complejidad
c. frecuencia para el cambio de contraseas d.todas las anteriores 13.
Cul de los siguientes proporciona a los empleados instrucciones
formales acerca de la organizacin ' s estrategia de seguridad?
una. poltica de uso aceptable b. evaluacin de riesgos c. reunin de
estrategia d. programa de sensibilizacin de los usuarios de seguridad
14. Si las organizaciones tienen empleados que se conectan
remotamente, cul de los siguientes problemas de seguridad deben ser
considerados? una. la posibilidad de que los dispositivos mviles estn
robando b. infecciones por virus de propagacin de casa y los sistemas
mviles a los sistemas corporativos c. el uso de antivirus actualizados,
eficaces y software de servidor de seguridad en los dispositivos mviles
o sistemas para el hogar que se conectan a la red d. todas las anteriores
15. Una poltica de contraseas deberan establecerse en el e impuesta
por siempre que sea posible
una. proceso de evaluacin de riesgos, gestin de b. El sitio web de la
empresa, los administradores de red c. la poltica de seguridad, software
d. compaa manual del empleado, los guardias de seguridad

de

proyectos prcticos Hands-On Proyecto 13-1: Clculo

de costos de reemplazo

Tiempo requerido : 15 minutos Objetivo :

Utilizar una herramienta de anlisis de riesgos para calcular los costos

de reposicin de los equipos
516 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13

Descripcin : Una herramienta de software puede ayudarle a

realizar el anlisis de riesgos con la coherencia y la objetividad. En este

proyecto, se descarga una versin de prueba de una herramienta de
Windows llamada Anlisis de los Riesgos del Proyecto (PRA) por Katmar
Software. A continuacin, introduzca la informacin sobre los recursos de
red en su escuela ' s de laboratorio y calcular los fondos de contingencia
necesarios para reemplazar los equipos de laboratorio en caso de
desastre. Usted necesitar una utilidad de archivos de archivado, como
WinZip
Escriba valores para equipo de cmputo en su laboratorio y estimar la
cantidad de datos est contenida en cada pieza de equipo. Es posible

que tenga que investigar el costo de los recursos de la red. El proyecto

especifica los nombres y los costos de los dispositivos de la muestra,
pero se puede sustituir los nombres y los costes de su equipo de
laboratorio. Si usted no est en su laboratorio, se puede utilizar la
informacin que se muestra en los pasos del proyecto
1. Inicie sesin en Windows Server 2008 o Windows 7
2. Inicie el explorador Web y vaya a www.katmarsoftware.com / pra.htm
3. Lea la descripcin del programa y, a continuacin, haga clic
en Download Now!
4. Cuando se le pregunte si desea abrir o guardar el archivo Projrisk.zip,
haga clic en Guardar y guarde el archivo en una carpeta en el sistema
de archivos
5. Cuando haya terminado la descarga, haga clic en Cerrar en la ventana
Descarga completa
Salga de su explorador web y, a continuacin, haga doble clic en el
archivo para abrirlo con WinZip
Extraiga los archivos a la carpeta donde guard el archivo zip. Descarg
6. Haga doble clic en el ProjRisk_Setup.exe archivo y siga los pasos del
programa de instalacin para instalar el archivo en su ordenador
7. Haga clic en Inicio , seleccione Todos los programas , elija Anlisis de
Riesgos , y haga clic en ProjRisk para iniciar el programa. La primera vez
que ejecute el programa, ver una ventana que se enuncien las
condiciones en las que el programa se puede ejecutar. (Se ejecuta 30
veces como una evaluacin.) Haga clic en Aceptar y, a continuacin,
haga clic en Aceptar de nuevo cuando se ve un segundo recordatorio
shareware
8. Haga clic en Agregar para abrir el Agregar un registro en la ventana
End. En el cuadro de texto Descripcin, escriba Computadoras
9. En la seccin de distribucin, haga clic en el normal botn de opcin
10. En el cuadro de texto costo probable, escriba 15000 . No utilice
comas cuando se introducen nmeros. En el cuadro de texto de Bajo
Costo, escriba 10000
11. Haga clic en Aceptar para volver a la ventana principal del Anlisis
de Riesgos de Proyectos. Su estimacin se introduce en la primera fila

12. Repita los pasos 8 a 11. Recuerda hacer clic en normal en el paso 9
cada vez
Si usted no est entrando en su propia informacin, ingrese las
siguientes
descripciones
y
costos:
Descripcin: Software Costo
probable: 5000 Bajo
Costo:3500 Descripcin: Impresoras Costo
probable: 500 Bajo
Costo: 400 Descripcin: Interruptores Costo
probable: 150 Bajo
Costo: 100 Descripcin
: CablesCosto
probable: 100 Bajo
Costo: 75 Descripcin: Monitores Costo
probable: 5000 Bajo Costo: 4000
Proyectos prcticos 517

13. En la ventana principal de anlisis de riesgos del proyecto, haga clic

en el Analice botn para ver la grfica general Distribucin de
costes. Qu son el costo ms bajo, ms alto costo, y coste medio? 14.
Haga clic en la Estadstica botn. Cul es el coste medio de la ventana
de simulacin Statistics Report?15. Cierre la ventana Estadsticas de
simulacin de informes, y salir de Anlisis de Riesgo del Proyecto. Deje
que su sistema funcione para el prximo proyecto

Hands-On Proyecto 13-2: La realizacin de la Poltica de

Seguridad Anlisis Tiempo requerido : 20 minutos Objetivo : Evaluar
las clusulas de la poltica de seguridad, identificar las deficiencias y
actualizar las polticas en respuesta a los eventos o cambios
Descripcin : Las polticas de seguridad deben revisarse para hacer
frente a las violaciones de seguridad o nuevas amenazas. En este
proyecto, se evala el robo de informacin de propiedad e identificar
algunas deficiencias obvias en una poltica de seguridad. Entonces me
recomienda cambios a la poltica de seguridad para evitar incidentes
similares vuelvan a ocurrir
Una sucursal local de una importante corredora de bolsa nacional no
tena una poltica que requiere la terminacin de los privilegios de ID de
usuario y contrasea despus de los empleados se van. Un operador
senior dej la bolsa y fue contratado por una firma de corretaje de la
competencia. Poco despus, la primera corredura perdi dos clientes
que dijeron que se movan a una empresa de la competencia; sus
archivos de datos personales desaparecieron misteriosamente de la
empresa ' s bases de datos. Adems, una serie de recomendaciones a
fin de ao reportan que el operador senior haba estado preparando fue
lanzado dos semanas antes de la firma de corretaje de la
competencia. Una investigacin de la compaa " registros de acceso s
revel que el archivo de registros de empleados haba sido visitada por
alguien fuera de la empresa. Los registros de empleo, sin embargo, no

revel si el informe haba sido robado, ya que no se haban creado para

registrar objetos de accesos en un registro
La poltica de seguridad vigente establece lo siguiente: " En caso de
cese, los empleados debern entregar cualquier ordenadores porttiles,
discos o manuales de computadora que tienen en su posesin. Ellos ya
no estn autorizados a acceder a la red, y no tendrn ningn tipo de
hardware o software, cuando salen de la oficina
1. Qu cambios hara usted a la poltica de seguridad existente, de
modo que se mejore la seguridad despus que los empleados se
terminan? 2. Lluvia de ideas para las ideas para desarrollar una clusula
de la poltica de seguridad que cubre el acceso de los registros de la
empresa y ayuda a la pista cuando se accede a los archivos

Hands-On Proyecto 13-3: La toma de una de hardware y

software de inventario Tiempo Requerido : 15 minutos Objetivo :
Crear un inventario de hardware y software de su red y guardarlo en un
archivo
518 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

13

Descripcin : Creacin de un hardware o software del inventario

completo de la red puede ser una tarea desalentadora. Existen varios

mtodos, desde VBScripts simples a los programas de software de gama
alta, puede automatizar esta tarea. En este proyecto, se utiliza la red
Asset Tracker de MIS Utilidades para recopilar datos de hardware y
software sobre el ordenador y guardarlo en un archivo
1. Inicie el navegador yourweb. Ir a www.misutilities.com / networkactivo-tracker / index.html
2. Haga clic en el DESCARGAR pestaa. Guarde el archivo natracker.exe
a su escritorio
3. Haga clic derecho natracker.exe , y haga clic en Ejecutar como
administrador . En la ventana Control de cuentas de usuario, haga clic
en S.
4. En la ventana de seleccin de idioma, haga clic en Siguiente
5. En la ventana de bienvenida, haga clic en Siguiente
6. En la ventana de informacin del archivo Lame, haga clic
en Siguiente

7. En la ventana Contrato de licencia, haga clic S, estoy de acuerdo con

todos los trminos de este acuerdo de licencia , y haga clic en Siguiente
8. En la ventana Carpeta de destino, haga clic en Siguiente
9. En la ventana Seleccionar componentes, haga clic en Siguiente . En la
ventana de Grupo de programas, haga clic en Siguiente
10. En la pgina Preparado para instalar la ventana del programa, haga
clic en Siguiente
11. En la ventana Instalacin completa, haga clic en Finalizar
12. Haga clic en Inicio , haga clic en Todos los programas , haga clic
en Red Asset Tracker y haga clic en Red Asset Tracker para iniciar el
programa. Si aparece una ventana de control de cuentas de usuario,
haga clic en S . Haga clic en Cerrar para cerrar el Consejo del da
13. Haga clic con el LOCALHOST icono del equipo y haga clic
en Obtener / Actualizar informacin . Aparecer una ventana como la
que se muestra en la Figura 13-8 muestra los detalles acerca de su
sistema
14. Haga clic en el Reporte de men, y haga clic en Informacin del
sistema . En Tipo de informe, haga clic en la lista de botn de opcin y
haga clic en Ok
15. Haga clic en Exportar y guarde el archivo de informacin del sistema
en el escritorio. Haga clic en OK en la ventana de informacin, y haga
clic en Cerrar
16.
Desde
el
escritorio,
haga
doble
clic
en
el Sistema
information.html archivo. Lea el archivo para examinar la informacin
que se recopil. Cuando haya terminado, cierre el archivo
17. Haga clic en el Reporte de men, y haga clic en Informacin de
Software . Haga clic en Aceptar
18. Haga clic en Exportar y guarde el archivo de informacin de software
en el escritorio. Haga clic en OK en la ventana de informacin, y haga
clic en Cerrar
19. Desde el escritorio, haga doble clic en el information.html
Software archivo. Lea el archivo para examinar la informacin que se
recopil. Cuando haya terminado, cierre el archivo
20. Haga clic en el archivo de men y, a continuacin, haga clic en
Salir para cerrar el programa

Proyectos prcticos 519

Hands-On Proyecto 13-4: Realizacin de Identificacin de

Activos,
Anlisis
de
Amenazas
y
Seguridad
Controles Tiempo requerido : 45 minutos Objetivo : Aprender a aplicar
los conceptos de evaluacin de riesgos
Descripcin : Un primer paso en el anlisis de riesgos es la identificacin
de los activos que necesita proteger. En este proyecto, se identifican los
activos y realizar un anlisis de las amenazas de su entorno. Su
instructor fijar los lmites del medio ambiente. Su tarea es llevar a cabo
una evaluacin completa y objetiva de los activos en el aula, y luego de
dar prioridad a los activos y proponer ideas para salvaguardias. Esta
actividad se puede hacer individualmente o en grupos
1. Crear una tabla con cuatro columnas. Etiquete las columnas de
activos , las amenazas , las probabilidades , y los controles de
seguridad . Asegrese de dejar suficiente espacio para sus notas
2. A partir de la puerta de la clase, comience a escribir activos. Escriba
una breve descripcin de cada activo en la columna de activos, tales
como "computadora del estudiante
3. Una vez que haya una lista de los activos en su saln de clases,
evaluar las amenazas. Comenzando con el primer activo en la lista,
escriba amenazas que podran daar o destruir cada activo
Ejemplos de amenazas incluyen un techo con goteras, cables expuestos,
y los alimentos o bebidas que pudieran Fuente: MIS Utilidades Figura 13-8 Red
Asset Tracker host local detalla 520 Captulo 13 Seguridad Diseo e Implementacin de
Polticas

13

derrame. Asegrese de mirar en todas las direcciones, incluyendo el

techo. Asegrese de anotar falsos techos o pisos falsos, ya que son un

posible punto de acceso para los intrusos
4. A continuacin, examinar las probabilidades de una amenaza que se
produzcan. Utilice la informacin de la Tabla 13-2 como gua. Por
ejemplo, si usted escribi un techo que gotea como una amenaza y
usted vive en una zona con frecuentes lluvias, la probabilidad de que
una amenaza se producen y causando dao es alto. Si usted vive en un
clima rido del desierto, que la probabilidad no es tan alto
5. A continuacin, determinar los controles de seguridad para reducir las
amenazas. Comenzando con su primer activo, buscar la manera de
gestionar los riesgos a la misma, y anote las salvaguardias. Si el techo

tiene goteras encima de un equipo caro, el costo de la reparacin del

techo podra estar justificado, sino simplemente trasladar el sistema
reduce el riesgo y es ms rentable. Por otro lado, si la fuente de
alimentacin a la sala de servidores es propenso a las fluctuaciones que
podran daar la electrnica delicada, la inversin en sistemas de
alimentacin ininterrumpida (UPS) o un generador puede ser menos
costosa que la sustitucin de equipo daado. Recuerde que el nivel de
prioridad determina la inversin en seguridad
6. Si el tiempo lo permite, compartir sus hallazgos con la clase. Discutir
los resultados y justificar sus evaluaciones y recomendaciones. Los
resultados fueron similares? Discuta las similitudes y diferencias en los
resultados

Caso Proyectos Caso 13-1 Proyecto: Realizacin de la

Evaluacin de Riesgos y Anlisis de

la evaluacin del riesgo

puede ser tan simple como sealando una puerta abierta o una
contrasea escrita en un trozo de papel, o puede ser un proceso
complicado que requiere varios miembros del equipo y meses para
completar . Un entorno empresarial de gran tamao probablemente
tiene varias ubicaciones, diversas actividades y una amplia gama de
recursos para evaluar
Usted no necesita una red tan complicado, sin embargo, para trabajar a
travs de este proyecto de caso
La idea principal es aprender cmo aplicar sus conocimientos de forma
metdica para producir resultados tiles y precisos. Acercarse a una
tarea como la evaluacin de riesgos sin una estrategia en su lugar por lo
general se traduce en medidas repetidas, el desperdicio de recursos, y
los resultados mediocres en el mejor. Peor an, es posible que se pierda
informacin crtica
En un anlisis de riesgo real, uno de los primeros pasos consiste en
cumplir con todos los jefes de departamento, la alta direccin, los
representantes de los empleados, los trabajadores en el entorno de
produccin, el personal de recursos humanos, y otros miembros del
personal para recibir sus aportes. Esa reunin no es posible en esta
situacin, por lo que cualquier pregunta a su instructor o hacer
investigacin independiente para encontrar sus respuestas
En este proyecto, lleva a cabo una evaluacin de riesgos y el anlisis de
una pequea empresa de comercio electrnico

Usted decide qu producto o servicio se vende el negocio a travs de

Internet. Utilice los siguientes archivos proporcionados por su
instructor: Instalaciones diagrama Diagrama de red Activos hoja de
identificacin
Caso Proyectos 521

hoja de identificacin del proceso de negocios identificacin de

amenazas y hoja de trabajo de evaluacin hoja de trabajo de
mitigacin de amenazas 1. D a su empresa un nombre

Nombre de la empresa: Productos o servicios: 2 Identificar los procesos

de negocio que deben seguir para la organizacin para seguir
funcionando. - por ejemplo, la recogida de dinero de los clientes, la
recepcin y procesamiento de ventas, y el desarrollo de nuevos
productos. Enumerar los principales procesos de negocio que impulsan
su empresa en la columna de la Business Process de la hoja de
identificacin de procesos de negocio. (Use su imaginacin y sentido
comn para completar este paso.) Asignar un nivel de prioridad a cada
proceso que utiliza las clasificaciones de prioridades en la siguiente
lista.Anote el departamento que realiza el proceso. Deje en blanco la
columna de activos utilizados por ahora
Crtico - Absolutamente necesario para las operaciones de negocio a
seguir. Prdida de un proceso crtico detiene actividades empresariales

Necesario - Contribuye a alisar, operaciones eficientes. Prdida de un

proceso necesario doesn ' t detener las operaciones de negocio, pero
degrada las condiciones de trabajo, disminuye la produccin, o
contribuye a los errores

Deseable - Contribuye a mejorar el rendimiento y la productividad y

ayuda a crear un entorno de trabajo ms cmodo, pero la prdida de un
proceso deseable doesn ' t detenga o las operaciones de dao

3. Identificar la organizacin ' s activos. Usando la hoja de identificacin

de activos, la lista de cada activo, su ubicacin y su valor aproximado, si
se conoce.Para mltiples activos idnticos, describa el activo y hacer
una lista de la cantidad en vez de enumerar cada activo. En las
evaluaciones de riesgos en toda la organizacin, debe enumerar todos
los activos, incluido el mobiliario de oficina, equipo industrial, personal y
otros activos. Para este proyecto, se adhieren a los activos de TI, tales
como computadoras, servidores y equipos de red
Lista de todos los equipos necesarios para construir su red, as como
todos los cables de la instalacin. Supongamos que la instalacin ya est
cableado para una red informtica y tiene conexiones de red para cada

equipo. Recuerde que debe mostrar los elementos como la electricidad y

la conexin a Internet
4. A continuacin, determinar qu activos apoyan cada proceso de
negocio. En la hoja de trabajo de identificacin de procesos de negocio,
una lista de los activos necesarios para cada proceso de negocio en la
columna de activos utilizados
5. Documentar cada proceso y asignar una prioridad para l. A
continuacin, transfiera el ranking de prioridad a la hoja de trabajo de
identificacin de activos.Ahora ya sabes qu activos son los ms crticos
para restaurar y garantizar la mayor gasto y el esfuerzo para
asegurar. Usted tambin tiene la documentacin para justificar sus
acciones de seguridad para cada elemento
6. A continuacin, evaluar las amenazas existentes. Tabla 13-7 muestra
ejemplos de la evaluacin de los tipos de amenazas y sugiere maneras
de cuantificar ellos. En la identificacin de amenazas y 522 Captulo 13
Diseo de Polticas de Seguridad y Aplicacin

13

hoja

de

trabajo

de

evaluacin,

la

lista

de

cada

posible

amenaza. Asegrese de considerar amenazas debido a factores

geogrficos y fsicos, de personal, los ataques maliciosos o sabotaje, y
los accidentes. Adems, examine el diagrama de las instalaciones de las
fallas en la distribucin de las instalaciones o la estructura que pueden
representar una amenaza, como una falla de aire acondicionado o de la
prdida del servicio elctrico. Para cada amenaza, evaluar la
probabilidad de ocurrencia (POC) en una escala de 1 a 10, donde 10
representa la probabilidad ms alta. Introduzca las votaciones en la
columna de la POC para cada amenaza
7. Uso de la hoja de trabajo de identificacin, determinar qu activos se
veran afectados por cada amenaza. Enumerar los activos en la columna
Activos Afectados de la identificacin de amenazas y hoja de trabajo de
evaluacin. Para un corte de electricidad, por ejemplo, una lista de todos
los activos que requieren electricidad para funcionar. Para un fallo de
hardware, la lista de todos los activos que un fallo de hardware podra
alterar, daar o destruir
8. En la columna de la Consecuencia, introduzca las consecuencias de la
amenaza
que
se
produzcan. Utilice
las
siguientes
designaciones: Catastrfico (C) -Prdida total de los procesos de
negocio o funciones durante una semana o ms; potencial completo
fracaso de los negocios grave (S) - Empresas no podra seguir

funcionando durante 24 a 48 horas; prdida de ingresos, daos a la

reputacin o la confianza, la reduccin de la productividad, la prdida
total de los datos crticos o sistemas Tipo de amenaza Cmo
cuantificar tormenta severa, tornado, huracn, terremoto, incendio desierto, o una
inundacin Recoger datos sobre la frecuencia, la gravedad y la proximidad a las
instalaciones
Evaluar el pasado la calidad y velocidad de los sistemas de respuesta a emergencias
locales y regionales para determinar si ellos ayudaron a minimizar la prdida de
Descarrilamiento de tren, accidente de trfico, la contaminacin txica del aire causada
por accidente o accidente de aviacin recopilar datos sobre la proximidad de vas
frreas, carreteras y aeropuertos a las instalaciones. Evaluar la calidad de la
construccin de sistemas de transporte y la tasa de accidentes graves en cada sistema
Explosin o incendio Edificio Recoger datos sobre la frecuencia y la gravedad de los
incidentes del pasado. Evaluar la respuesta de emergencia local para determinar su
eficacia
Instalaciones militantes de ataque del grupo, motines o disturbios civiles recopilar
datos sobre la estabilidad poltica de la regin donde se encuentran las
instalaciones. Compilar y evaluar una lista de grupos que podran tener problemas
polticos o sociales especficos con la organizacin
La piratera informtica (externa) o el fraude informtico (interno) Examinar los datos
sobre la frecuencia y la gravedad de los incidentes del pasado
Evaluar la eficacia de las medidas de seguridad informtica

Cengage

Learning

2014

Tabla 13-7 mtodos de evaluacin de amenazas y de

cuantificacin
Caso Proyectos 523

Moderado (M) - Negocios pudo continuar despus de una interrupcin

de ms de cuatro horas; cierta prdida de productividad y daos o
destruccin de informacin o sistemas importantes Insignificante
(I) - Negocios podra seguir funcionando sin interrupcin; algunos costos
incurridos por las reparaciones o recuperacin; equipos menores o daos
instalacin; prdida de productividad menor y poca o ninguna prdida de
datos importantes 9. Califica la gravedad de cada amenaza en la
columna de la Gravedad. Utilice las mismas denominaciones que en el
paso 8 (C, S, M o I). Usted obtener estas calificaciones mediante la
combinacin de la probabilidad de ocurrencia, el activo ' orden de
prioridad s, y las posibles consecuencias de una amenaza que se
produzcan. Por ejemplo, si un activo tiene un crtico (C) la clasificacin
de prioridades y una catastrfica (C) Valoracin consecuencia, tiene una
catastrfica (C) Clasificacin de gravedad. Si ha mezclado calificaciones
o contradictoria, es necesario reevaluar el activo y utilizar el sentido
comn para determinar el nivel de gravedad.Un ataque terrorista que

destruye la instalacin podra tener un POC de 1, dependiendo de su

ubicacin, pero las consecuencias sin duda sera catastrfico.Aun as,
debido a la baja POC, que wouldn ' t necesariamente clasificar su
gravedad tan catastrfico
10. En la hoja de mitigacin de amenazas, los activos de la lista que se
clasifican como los ms crticos y son amenazados con la mayor
severidad. En la columna de las tcnicas de mitigacin, la lista de
recomendaciones para la mitigacin de las amenazas a esos bienes. Por
ejemplo, para mitigar la amenaza de una interrupcin elctrica daando
un servidor crtico, puede sugerir un SAI de alta gama
11. Revise su trabajo, y lo presentar a su instructor
524 Captulo 13 Diseo y Aplicacin de la Poltica de Seguridad

captulo

14

curso

de Seguridad

de

Gestin

Despus de leer este captulo y

completar los ejercicios, usted ser capaz de:

Fortalecer el

control de la red mediante la gestin de eventos de seguridad

el

anlisis

de

los

procedimientos

de

seguridad

de

la

Mejorar

red

de

auditora

Fortalecer la deteccin mediante la gestin de un sistema de

deteccin de intrusiones y prevencin Mejorar la red defensa al cambiar

una configuracin de defensa en profundidad

de

la

red,

cambiantes

manteniendo

el

ritmo

Fortalecer el desempeo

de

las

necesidades

Aumente sus conocimientos al mantener en la cima de las

tendencias del sector 525

En los captulos anteriores, aprendiste sobre el diseo y la configuracin
de un sistema de deteccin de intrusos y sistemas de prevencin
(IDP). En este captulo se explica cmo administrar la informacin de un
PDI y otros sistemas de seguridad en su defensa de la red. A travs de
una gestin eficiente, puede maximizar el rendimiento de sus
desplazados internos y otras reas de su red de ' configuracin de
seguridad global s
Muchas organizaciones crean posiciones, como gerente de seguridad
informtica (CSM), para supervisar la gestin continua de los sistemas
de seguridad de red. Las responsabilidades de un CSM deben
especificarse claramente en la organizacin ' poltica de seguridad s. En
este captulo, aprender acerca de estas responsabilidades de gestin,
incluida la gestin de eventos de seguridad, auditora de seguridad, la

gestin de un PDI, la mejora de una configuracin de defensa en

profundidad, a la par con las necesidades de la red, y el mantenimiento
de sus conocimientos para mantenerse al da con los acontecimientos
que cambian rpidamente en seguridad de la red

Fortalecimiento de Control: Gestin de Eventos

de Seguridad Si usted es contratado por una gran empresa para
gestionar la seguridad, las tareas iniciales sern probablemente incluir
la catalogacin de los diferentes dispositivos de seguridad que necesita
para administrar. Usted podra descubrir que la organizacin ya cuenta
con
una
amplia
gama
de
dispositivos,
tales
como
los
siguientes: routers de filtrado de paquetes dispositivos VPN Un PDI
en cada sucursal Uno o ms servidores de seguridad en cada
oficina Los registros de eventos o logs de sistema (logs del sistema)
para los sistemas seleccionados en cada oficina se muestra el flujo de
informacin procedente de estos dispositivos en la Figura 14-1
Desde aqu se puede tener 10, 20, o ms dispositivos para el envo de
datos de archivos de registro que usted necesita para administrar
Cmo se puede realizar un seguimiento de toda la informacin y
responder a las preocupaciones legtimas de seguridad sin llegar a ser
abrumado? Es necesario crear y gestionar un equipo de respuesta a
incidentes de seguridad (SIRT), tal como se describe en el Captulo 13.
Tambin es necesario establecer un programa de gestin de eventos de
seguridad para la recoleccin y consolidacin de eventos desde
mltiples fuentes para que pueda analizar la informacin para mejorar la
seguridad de la red . Las siguientes secciones tratan diferentes aspectos
de este programa para mejorar los procedimientos y reforzar la
seguridad,
mientras
que
el
mantenimiento
de
la
productividad: Monitoreo de Eventos Gestin de datos de mltiples
sensores Gestin de firmas PDI La gestin del cambio eventos de
supervisin es necesaria la proteccin de red en forma continua para
mantenerse al da con la nueva amenazas y vulnerabilidades
Es necesario establecer un procedimiento para la obtencin,
seguimiento, comprobacin y fortalecer continuamente su red de ' nivel
de proteccin s. Una forma de mejorar las defensas de la red es a travs
de continua supervisin de eventos - la revisin de los registros de
alertas y eventos que los dispositivos de seguridad 526 Captulo 14 Gestin
de la Seguridad Vigentes

14

y sistemas operativos producir y probar la red peridicamente para

identificar los puntos dbiles

El objetivo es fortalecer las defensas mediante la recopilacin de
informacin, el cambio de los procedimientos, y la mejora de la red. Es
necesario monitorear los siguientes eventos: Conexiones Creacin de
cuentas de usuario y grupos La correcta manipulacin de los archivos
adjuntos de correo electrnico Las copias de seguridad y otras maneras
de mantener y proteger la informacin sensible Anlisis antivirus y de
control Procedimientos para conceder el acceso remoto seguro a mvil
usuarios Por ejemplo, suponga que su red ' los contactos del servidor de
base de datos s un host remoto a travs de Internet. El PDI enva una
alarma, ya que han configurado las notificaciones para este tipo de
eventos; el servidor de base de datos debe recibir slo conexiones
entrantes, no iniciar sus propias conexiones salientes. El puerto que el
servidor de base de datos utiliza para conectarse al host remoto, 40449,
indica que la conexin es sospechoso porque el puerto est
normalmente cerrado
Para comprobar esta conexin, puede ejecutar la utilidad Netstat
abriendo un smbolo del sistema y entrar en el netstat - un comando en
el servidor de base de datos. Netstat revisa las conexiones y los
informes de que el servidor est a la escucha de conexiones en los
puertos previstos, como el puerto 1028 para conexiones NetBIOS
actuales. Netstat tambin informa de que el servidor est a la escucha
de Sucursal 1 Firewall IDPS sucesos registra Sucursal 2 VPN Firewall

IDPS Event Management System Sucursal Oficina principal 3 oficina Firewall

VPN Branch 4 de sucesos registra IDPS Firewall IDPS aparato 2014 Cengage
Learning Figura 14-1 Flujo de informacin de mltiples fuentes Fortalecimiento de
Control: Gestin de Eventos de Seguridad 527

conexiones en el puerto 40449, que indica que un programa troyano

podra haber sido instalado en el servidor de base de datos y se inicia
una conexin con el host remoto a travs de este puerto. Si es as, un
atacante podra haber sido capaz de iniciar sesin en el servidor de base
de datos con una contrasea legtimo que l " agrietado " u obtenida a
travs de otros medios fraudulentos. Su respuesta tiene que incorporar
varios pasos: Bloquear la conexin

Localizar y eliminar el troyano

Determinar cmo se produjo la intrusin

Cambie las contraseas de red

Es posible cambiar la forma de los usuarios a proteger sus contraseas

Para ser eficaz, la respuesta debe ser lo ms rpido posible. Un ataque

de la informacin no se tarda mucho en ejecutarse, y el dao puede
ocurrir en un instante. Usted necesita desarrollar un enfoque de equipo
para seguridad de la red y hacer uso de respuestas automticas, tales
como los sistemas de alarma que se construyen en un PDI. Tambin es
necesario coordinar los datos de mltiples fuentes y estar al tanto de las
nuevas amenazas a la seguridad de la red

Gestin de datos de mltiples sensores

Considere una
organizacin que cuenta con oficinas en varios pases o una
organizacin nacional con sucursales en Estados separados. Cada red de
oficinas tiene su propio firewall y desplazados internos. Cada PDI tiene
sensores que recogen datos que pasan a travs de la puerta de
enlace. Algunos de los datos que contiene los mensajes de alerta que
deben ser revisados en el momento oportuno. Cmo se procesa todos
los eventos en estas oficinas? Es necesario instalar el software de base
de datos que clasifica a travs de los acontecimientos y le permite ver
de forma sistemtica. Como administrador de seguridad, es necesario
responder a las siguientes preguntas: Debera consolidar todos los
datos y el flujo a travs de una ubicacin central de seguridad Si los
datos de los sensores de ir a los administradores de seguridad en cada
oficina? Estas cuestiones se abordan con ms detalle en las siguientes
secciones

Centralizado de recopilacin de datos en la recogida de datos

centralizada , una organizacin " de eventos y seguridad de los datos s
se canaliza a una consola de gestin centralizada en la oficina
principal. Dependiendo del nmero de redes de sucursales y los
dispositivos de seguridad que tiene el sistema, una extraordinaria
cantidad de datos puede atravesar pasarelas de red y pasar a travs del
servidor de seguridad en la oficina principal
Al configurar un servidor de seguridad o desplazados internos, que
suelen ser necesarios para identificar la ubicacin de un equipo host que
ejecuta una aplicacin de consola de administracin. Los datos de los
dispositivos de seguridad de su empresa ' s de la red y sus redes
remotas se pueden transmitir a la consola a travs de su direccin IP. La
figura 14-2 muestra esta disposicin, en la que los datos de eventos de
oficinas separadas se enva a una consola de administracin en la
organizacin ' s oficina principal
La recopilacin de datos centralizada ofrece los siguientes
beneficios: Reduccin de costos porque usted tiene menos sistemas
para
mantener Menos
tiempo
administrativo Mejora
de
la
eficiencia 528 Captulo 14 Gestin de la Seguridad Vigentes

14

Una desventaja de este enfoque es que se debe encontrar una

manera de transmitir los datos de cada punto de recogida a la consola

de administracin centralizada. El trfico tambin debe estar protegida
por encriptacin y encapsulacin; una conexin VPN es ideal para una
situacin de este tipo, como aprendi en el captulo 11. Sin embargo, la
mayora de los dispositivos de seguridad pueden comunicarse entre s
utilizando sus propios cifrados " apretn de manos " mecanismo, y
muchas empresas dependen de esta funcin en lugar de la creacin de
una VPN. Desafortunadamente, la mayora de IDPSS y otros dispositivos
de seguridad utilizan puertos estndar por defecto que los atacantes
pueden explotar

Distributed Data Collection La segunda opcin cuando la gestin de

datos de mltiples sensores es utilizar la recopilacin de datos
distribuido, que reduce la cantidad de trfico de la red (vase la Figura
14-3). En la recopilacin de datos distribuida , los datos de los
dispositivos de seguridad tales como firewalls Sucursal Sucursal Oficina
principal Firewall
sensor
IDPS
equipo
Host
IDPS
sensor
IDPS
sensor Internet Firewall sensor de la consola de administracin del equipo
Host IDPS Sucursal Firewall Firewall equipo Host Host ordenador Cengage
Learning 2014 Figura 14 - 2 de recogida de datos centralizada de control de
Fortalecimiento: Gestin de Eventos de Seguridad 529

y IDPSS va a una consola de administracin en su propia red local. Los

directores de seguridad de cada red revisan los datos por separado y
luego se analizan y responden a los sucesos cuando sea necesario. La
recopilacin de datos distribuida requiere la organizacin para mantener
los gerentes de seguridad independientes en cada sucursal, as como
software de la consola de administracin independiente. Este arreglo
ahorra ancho de banda, pero las oficinas an debe comunicarse entre s
acerca de los incidentes de seguridad. Por ejemplo, si un evento en la
oficina de Miami podra afectar a otras oficinas, el gerente de seguridad
en Miami debe notificar a los dems directores de oficina para ayudar a
prevenir el acontecimiento se produzca en sus oficinas

La evaluacin de los desplazados internos Firmas

No
supervisar y evaluar el trfico de red para crear una gran cantidad de
datos para analizar.En su lugar, desea reunir evidencia que indica si sus
firmas los desplazados internos estn funcionando bien o necesitan ser
actualizados. Una variedad de vendedores de los desplazados internos
estn disponibles, cada uno con sensor Consola de Administracin
IDPS Sucursal Principal oficina Internet Firewall consola Administracin del

equipo Host sensor IDPS Sucursal Firewall Firewall ordenador host de la

consola de administracin de equipos Host sensor IDPS Sucursalconsola
Administracin del equipo Host Firewall IDPS sensor Cengage Learning 2014 Figura
14-3 recopilacin de datos distribuida 530 Captulo 14 Gestin de la Seguridad
Vigentes

14

su propio conjunto de firmas para eventos sospechosos. Cmo

evala las firmas de cada uno? Varios intentos se han hecho para
estandarizar la evaluacin y comparacin de conjuntos de firmas, pero
ninguna ha sido adoptado ampliamente suficiente para ser eficaz
Por lo tanto, el proceso de actualizacin de firmas de los desplazados
internos vara dependiendo del vendedor. Compruebe el vendedor ' sitio
Web s para obtener instrucciones completas y visita a menudo para
descargar nuevas firmas
Su organizacin tambin puede contratar a una empresa de gestin de
la seguridad sobre una base contractual para manejar estas tareas
rutinarias

La gestin del cambio

El proceso de cambio de un procedimiento,

un componente de defensa de la red, u otra cuestin administrativa no
requiere un largo compleja cadena de eventos,. Sin embargo, puede
tener problemas graves si usted hace un cambio abrupto que tiene un
impacto en la forma en que trabajan los empleados. El impacto podra
incluso resultar ms perjudicial que el problema original. Por ejemplo,
supongamos que usted recibe una alerta de un PDI y determina que
necesita para restringir el acceso a un servidor de base de datos para el
personal administrativo seleccionado porque un intruso casi tuvo acceso
a la misma. Si realiza el cambio sin evaluar su impacto o sin notificar a
todos los empleados afectados por el cambio, es probable que se inund
con una corriente de protestas porque los empleados no podrn tener
acceso a archivos
En un sentido administrativo, lo mejor es asegurarse de que los cambios
significativos se llevan a cabo de manera sistemtica y sin
problemas. La gestin del cambio consiste en la modificacin de
equipos, sistemas, software, o procedimientos de una manera
secuencial, planificado. El proceso debe incluir una evaluacin de los
cambios ' s impacto y una decisin sobre si se debe realizar el cambio en
base a que el impacto
Considere el uso de la gestin del cambio para los siguientes tipos de
cambios: Cambios significativos a las reglas de firewall o desplazados

internos que afectan a los usuarios Nueva VPN Gateways Cambios

para acceder a las listas de control Nuevos sistemas o procedimientos
de contrasea El proceso completo de evaluacin y realizar un cambio
se muestra en Figura 14-4
El proceso puede parecer complejo, pero un carcter sistemtico y
exhaustivo ayuda a una organizacin funcione sin problemas. Usted se
asegura de que todo el mundo est informado, se obtiene la aprobacin
de los directivos, y 1. Identificar el cambio a realizar 2. Hacer un registro de cambio
sugerido 3. Evaluar el impacto del cambio 4. Es aceptable el impacto? S No Reevaluar y
modificar el cambio 5 Asegrese de que el cambio es aprobado 6 Notificar al personal de la
inminencia de un cambio 7 Realice el cambio... 2014 Cengage Learning Figura 14-4 Los

cambios significativos se deben evaluar y comunicar sistemticamente Control de

Fortalecimiento: Gestin de Eventos de Seguridad 531

se asegura de que el cambio debe tener lugar. La lista siguiente describe

el proceso en la Figura 14-4 con ms detalle: 1. Identificar los cambios a
realizar.Por ejemplo, usted puede decidir hacer un cambio despus de
revisar los archivos de registro, despus de una intrusin, o despus de
un mensaje de alerta
2. Crear un registro escrito de la modificacin propuesta. Describa las
circunstancias que llevaron a considerar el cambio para que pueda
comunicarse a gerencia y el personal ms tarde
3. Evaluar el impacto del cambio. Los empleados de cambio
inconvenientes por lo que es ms difcil acceder a los recursos que
necesitan? El cambio de ralentizar el trfico de la red mediante la
creacin de una nueva capa de seguridad? Piense en todas las posibles
implicaciones del cambio
4. Decidir si el impacto del cambio es aceptable. Discutir esta cuestin
con el jefe de su departamento o sus colegas. Usted tambin puede
consultar al personal financiero para determinar si el cambio tiene
implicaciones monetarias. Si el impacto no es aceptable, reevaluar el
cambio y determinar si una modificacin adicional reducir el impacto. Si
el impacto es aceptable, contine con el siguiente paso
5. Asegrese de que los administradores apropiados aprueban el
cambio. El proceso de aprobacin puede agregar una cantidad
considerable de tiempo para el cambio. Si hace circular un memo
describe el cambio y se necesita una reunin para hablar de ello, es
posible que no sea capaz de hacer el cambio por una semana o ms. Si
el cambio parece urgente y usted piensa que una demora podra crear
un riesgo de seguridad, trate de hablar con los administradores de ti
mismo y conseguir la aprobacin inmediata

6. Notificar al personal del cambio inminente. Despus de su aprobacin,

informe a todos los empleados afectados cuando el cambio entrar en
vigor. Dale a la gente varios das o incluso una semana para prepararse
para el cambio. Sin embargo, si el cambio es necesario con urgencia,
que sea inmediatamente despus de recibir la aprobacin y decirle a la
gente despus de los hechos
7. Despus de notificar a los empleados afectados y responder cualquier
pregunta, hacer el cambio
Usted no necesariamente tiene que seguir todos los pasos anteriores
antes de hacer cualquier cambio
Por ejemplo, para hacer una pequea modificacin en un firewall o una
regla de desplazados internos, que no es necesario decirle a todo el
personal. Se necesita el procedimiento anterior solamente para los
cambios significativos que afectan a la forma los empleados realizan su
trabajo diario

Fortalecimiento de Anlisis: auditora de

seguridad La auditora de seguridad es el proceso de poner a
prueba un sistema de defensa de la red. Puede intentar allanamiento
para comprobar la eficacia de las defensas de la red, por
ejemplo. Grabacin y anlisis de eventos como los inicios de sesin,
cierres de sesin, y accesos a ficheros tambin puede suministrar
informacin til. Usted tambin debe examinar los procedimientos de
seguridad de su organizacin, como por ejemplo las formas con un
trfico de informacin confidencial
Grupos conocidos como equipos tigre se ensamblan para probar
activamente una red. Los miembros del equipo Tiger suelen tener
experiencia en uno o ms mbitos de la seguridad, y cada uno
contribuye a la eficacia global del equipo. Estos equipos pruebas de
penetracin se puede utilizar sobre una base contractual,
pero 532 Captulo 14 Gestin de la Seguridad Vigentes

14

tambin se puede hacer la prueba a ti mismo. Puede que tenga que

acumular datos de varias fuentes, tales como las siguientes: Los filtros
de paquetes Informes de aplicacin registros del router registros del
cortafuegos Los supervisores de sucesos basada en host IDPS (HIDPS)
registra basada en la red IDPS (NIDPS) registra Ida para consolidar los
datos de estos dispositivos es para transferir (o " empujar " ) la

informacin a una base de datos central. La mayora de IDPSS tienen

una funcin de transferencia de datos; incluso el programa de
desplazados internos del freeware Snort permite transmitir datos a una
base de datos directamente. Como mnimo, debe almacenar el tiempo
de cada incidente, los datos referentes a cada incidente, la aplicacin
afectada, el sistema operativo en uso, la ID de usuario, el ID del proceso,
y la entrada de registro de ID
Cuando se utilizan varios dispositivos de seguridad, puede acumular tal
cantidad de datos a partir de archivos de registro que usted necesita
para su gestin antes de que consuma el espacio de almacenamiento
disponible. Elija un periodo de tiempo para retener la informacin
detallada de los registros de los desplazados internos. Noventa das es
una opcin comn. Cuando los datos son ms de 90 das de edad, usted
puede archivar para el almacenamiento a largo plazo, como una cinta,
DVD, o CD. Ten en cuenta tambin comparando los datos a la
informacin ms esencial antes de guardarla

Auditora operativa

En una auditora operativa , una empresa ' s

personal de TI examinar los registros del sistema para confirmar si son
de auditora necesaria informacin y no empantanarse con datos
innecesarios. La auditora de gestin debe buscar lo siguiente: Las
cuentas que tienen contraseas dbiles o sin contraseas cuentas
asignadas a los empleados que han dejado la empresa o grupo de
usuarios Las nuevas cuentas que deben cotejarse con una lista de
usuarios Las instituciones financieras autorizadas debern someterse a
la seguridad audita regularmente debido a las regulaciones
gubernamentales. Estas auditoras pueden incluir intentos de ingeniera
social - que intentan engaar a los empleados para que divulguen
contraseas u otra informacin. Los auditores que trabajan in situ en las
entidades financieras, incluso se ven en los botes de basura para ver si
impresiones de computadora de la informacin confidencial que se han
descartado sin ser triturado. Otra estrategia de la auditora es
un programa de Tinkerbell , en el que las conexiones de red se escanean
y se generan alertas cuando los intentos de conexin se hacen de sitios
sospechosos o inicios de sesin se trat de un PDI sospechoso
Tinkerbell es un programa de seguimiento que analiza las llamadas de red
entrantes y genera alertas cuando se reciben las llamadas de los sitios o inicios
de sesin particulares se trat con cierta PDI. El programa lleva el nombre de
Proyecto de Tinkerbell, un programa de escuchas telefnicas experimental que
British Telecom desarroll a principios de 1980
Anlisis Fortalecimiento: Auditora de Seguridad 533

Debido a su naturaleza altamente sensible, la informacin recogida en

una auditora de seguridad deben ser protegidos de forma
rigurosa. (Esta informacin puede incluir contraseas, por ejemplo.) Si
un empleado o un intruso no autorizado obtuvieron acceso a los
archivos, los recursos de red podra verse comprometida
Su organizacin debe tener un plan claramente definido para el manejo
y la proteccin de los datos de auditora y debe seguir en consecuencia

Auditora Independiente

En una auditora independiente , una

empresa externa inspecciona una empresa ' s registros de auditora para
asegurar que la organizacin est recopilando la informacin que
necesita y no recabar informacin innecesaria que consume del sistema
y recursos de red. La empresa externa intenta detectar fallas o
vulnerabilidades en todo el sistema - no slo en los desplazados internos
sino tambin en otros lugares, como los archivos o aplicaciones. La firma
de auditora podra examinar donde se encuentra el equipo de
seguridad, lo bien que est protegido contra usuarios no autorizados o
los desastres ambientales, y cmo se borra completamente los datos
despus de su eliminacin. Debido a que la empresa externa requiere el
acceso a datos confidenciales, los auditores deben firmar un acuerdo de
no divulgacin (NDA) en el que se comprometen a no divulgar
informacin a ninguna persona ajena a la firma de auditora
Auditora podra descubrir informacin acerca de una organizacin ' s
empleados que consideran confidencial. La empresa ' s personal legal
debe revisar la informacin de auditora y determinar si la bsqueda
constituye una invasin de la privacidad. En las agencias del gobierno, la
preocupacin por los aumentos de privacidad: La Ley de Privacidad de
1974 requiere que los ciudadanos sern notificados cuando el Gobierno
recopila informacin sobre ellos

Fortalecimiento de la deteccin: Gestin de una

IDPS medida que su red crece, la cantidad de trfico y la informacin
sobre sus desplazados internos y otros dispositivos de seguridad
aumenta tambin. Para mantener a los desplazados internos
funcionando sin problemas, es posible que tenga que modificar la base
de reglas desplazados internos y la cantidad de espacio de
almacenamiento disponible para los desplazados internos. En esta
seccin se examina brevemente cmo fortalecer un PDI por el
mantenimiento del sistema actual y cambiando o aadiendo software o
hardware

Mantenimiento del sistema actual

Usted no necesariamente
tiene que agregar nuevos sistemas o componentes para hacer una IDPS
fuerte
Usted puede aumentar la eficiencia y fortalecer la deteccin al hacer sus
recursos actuales funcionan de manera ms eficiente. Las secciones
siguientes describen cmo mantener su sistema a travs de copias de
seguridad y por la gestin de cuentas, reglas de los desplazados internos
y los usuarios

Las copias de seguridad Usted necesita hacer copias de seguridad

de su firewall y IDPSS como medida de precaucin. Guarde la copia de
seguridad en un lugar seguro para que pueda restaurar los sistemas en
caso de que resulten daados o intrusos tengan acceso a ellos. Usted
tambin debe mantener copias de seguridad de otros componentes de
seguridad: Los routers Bastion alberga Servidores dispositivos para
usos especiales 534 Captulo 14 Gestin de la Seguridad Vigentes

14

Uso

de

software

de

copia

de

seguridad

automtica

es

recomendable, especialmente para una red a gran escala, ya

incorporado en el software de copia de seguridad a menudo no tiene las
caractersticas suficientes para realizar las tareas que usted necesita

Administracin de cuentas La administracin de cuentas es otro

aspecto del mantenimiento de la seguridad en curso

Esta tarea a menudo descuidado implica la adicin de nuevas cuentas,

la recuperacin de los antiguos, y el cambio de contraseas. Asegrese
de que las cuentas de usuario se revisan cada pocos meses. Usted debe
asegurarse de que los atacantes no han agregado las cuentas y que los
empleados que sean despedidos ya no tienen cuentas activas. La
poltica de seguridad debe incluir procedimientos que requieren que el
Departamento de Recursos Humanos para que le notifique cada vez que
alguien sale de la organizacin para que pueda desactivar o eliminar la
cuenta inmediatamente

Administracin de reglas PDI Eliminar cualquier regla desplazados

internos innecesarios para reducir la cantidad de extraas

procesamiento de los desplazados internos debe realizar. Los
desplazados internos pueden entonces mantenerse al da con la
informacin que pasa a travs de redes de alta capacidad, como las que
utilizan interfaces gigabit de velocidad

Mantenga sus registros de auditora de los desplazados internos en un

lugar seguro, de forma que los atacantes no podrn entrometerse con
ellos o borrar la evidencia de sus intrusiones

Gestin de usuarios del programa de usuario-la conciencia de

seguridad A se compone de los procedimientos de formacin que
aseguren los empleados, contratistas y socios de negocios a entender la
empresa " la poltica de seguridad s y cmo debe influir en su
comportamiento. Este programa puede mejorar la seguridad mediante la
enseanza de los empleados cmo utilizar el sistema de forma ms
segura

Puede aumentar la concienciacin de los empleados en una variedad de

maneras. Por ejemplo, se puede dar una conferencia sobre la seguridad
dentro de la organizacin y demostrar la facilidad con que un intruso
puede descifrar contraseas dbiles. Tambin debe preparar folletos
para que los empleados lean y firmen. Con la firma de los folletos, los
empleados indican que han ledo la poltica de seguridad y entender sus
procedimientos y reglamentos

Cambio o Adicin de software

Una o dos veces al ao, los

proveedores de software desplazados internos suelen liberar software
actualizado. Cuando un proveedor publica una versin actualizada de su
software de la consola de comandos, averiguar qu tipo de ruta de
actualizacin que se necesita. Averige si la nueva versin requiere
trabajar con los nuevos formatos de datos y la instalacin de nuevo
software de soporte

Cambio o Adicin de Hardware

Adicin de hardware para su

sistema puede ser costoso, pero el costo es probablemente mnimo en
comparacin con el costo de la prdida de datos, la confianza del cliente
erosionado, y el tiempo de inactividad de la red que puede ocurrir
despus de una intrusin. Usted puede ser capaz de hacer frente a su
empresa ' s necesidades de hardware simplemente aadiendo una
segunda tarjeta de red para supervisar la red, o puede que tenga que
considerar las opciones ms caras. Usted debe considerar la adicin de
consolas para reducir el ratio de targetto-consola - el nmero de equipos
de destino en la red gestionada por una nica consola de
comandos. Tambin es posible que desee volver a evaluar la colocacin
de sensores en la red
Si no se captura todo el trfico en un segmento de red, considere la
posibilidad de mover un sensor a una nueva ubicacin o aadir un
sensor. Tambin puede convertir su sistema basado en host en una
configuracin hbrida mediante la adicin de un sensor de red

Fortalecimiento de la deteccin: Gestin de una IDPS 535

Fortalecimiento de la Defensa:
defensa en profundidad El principio

Mejora
de

defensa

de
en

profundidad (DID) debe guiarle durante el mantenimiento de la

configuracin de seguridad perimetral. El planteamiento lo hizo, como
aprendi en los captulos anteriores, llama a la seguridad a travs de
una variedad de tcnicas de defensa que trabajan en conjunto para
bloquear ataques. En el nivel ms simple, saba que puede lograrse con
un firewall y software antivirus personal para proteger un nico
equipo. Cuando se aplica a los servicios de red, las llamadas para el
mantenimiento de las reas siguientes DiD: Disponibilidad - La
informacin se pondr a disposicin de los usuarios autorizados, segn
sea necesario
Integridad - La informacin intercambiada por los usuarios de la red es
correcta

Autenticacin - Los usuarios prueben su identidad a otros usuarios o

equipos para que puedan intercambiar informacin

Confidencialidad - La informacin puede ser ledo por los destinatarios

No repudio - Ni el beneficiario ni el remitente de la informacin se

puede negar la participacin en una transaccin comercial a travs de la
red

El ltimo elemento de esta lista - no repudio - requiere ms

explicacin. Repudio a veces se produce en las transacciones
comerciales, en particular los que implican las compras o entregas de
suministros. Muchas transacciones de hoy se inician por va
electrnica. Por ejemplo, la empresa A podra pedir 10.000 widgets de la
empresa B a travs de un mensaje de correo electrnico. El pedido se
realiza, los bienes se venden, y el pago se realiza electrnicamente. Sin
embargo, si la empresa A recibe la factura y luego niega que se hizo el
pedido, que se dice que ha rechazado la transaccin. Del mismo modo,
si la empresa B niega haber recibido el pago electrnico, que repudi la
transaccin
No rechazo es el uso de la autenticacin para garantizar que tanto el
remitente como el destinatario participaron en el mensaje. A travs de la
infraestructura de clave pblica, el emisor y el receptor se autentican a
travs del intercambio de certificados digitales. Ambos tienen registros

electrnicos que confirman la transaccin se ha efectuado realmente,

adems de los registros de la fecha y la hora en que ocurri la
transaccin

Activo Defense-in-Depth

activo de defensa en profundidad es una

particularmente fuerte implantacin del concepto de DiD. En lugar de
esperar pasivamente a los ataques ocurran y luego reaccionar, el
personal de seguridad esperan que los ataques ocurran y tratar de
anticiparse a ellos. Activo convocatorias de mltiples niveles o capas de
proteccin y enfoques de seguridad que se superponen unos a otros lo
hicieron. Tambin hace un llamado para la defensa contra amenazas de
red graves primero. Las capas adicionales de proteccin de direccin
amenazas menos graves
Activo hice requiere encuestados a pensar de forma creativa y
contrarrestar todas las posibles amenazas, ya sean familiares o no. En
un enfoque activo, el mtodo de los cambios de defensa basada en la
amenaza. El personal de seguridad tienen la capacidad de " doblar " en
base a la naturaleza de la amenaza y donde se produce
Una capa de seguridad es la formacin. El personal de seguridad debe
ser la formacin y el aprendizaje continuo para mantenerse al da con
los ataques y las contramedidas, y permitir a su organizacin para
mantenerse flexible cuando se trata de la red de defensa. Las
organizaciones pueden seguir los siguientes pasos para crear un ciclo de
capacitacin para el fortalecimiento de las defensas: 536 Captulo 14
Gestin de Seguridad Vigentes

14

. 1 Formacin - El personal de seguridad son entrenados en la

configuracin de defensa de la red

2. Defensa Perimetral - Despus de la capacitacin, el personal de
seguridad puede configurar una defensa del permetro de la red
3. Deteccin de Intrusin - Despus de las defensas estn dispuestas y
poner en lnea, personal de seguridad de alerta IDPSS a vulnerabilidades
potenciales mediante el envo de alertas
4. respuesta Intrusin - El personal de seguridad evalan las alertas y
responden a bloquear ataques
. 5 Nuevo de seguridad se acerca - se toman las medidas para reducir el
nmero de falsos positivos y verdaderos positivos (ataques reales) que
los encuentros los desplazados internos, lo cual fortalece el permetro de
defensa y ayuda al personal de seguridad a aprender ms acerca de las
vulnerabilidades de red y defensas

Mediante el uso de la formacin como un proceso continuo en lugar de

un evento que ocurre slo antes de contratar, una organizacin mejora
su postura de seguridad global, mientras que los empleados a mejorar
su capacidad para prevenir ataques

Adicin de capas de seguridad

una postura activa DiD explica el

hecho de que una sola red no puede ser protegido completamente a
menos que todas las redes de interconexin estn protegidos. Su
objetivo es establecer la confianza - para proporcionar el no repudio de
la red y garantizar la integridad y confidencialidad de la informacin que
pasa a travs de l. Para mejorar la seguridad, es posible que tenga que
agregar nuevas capas de las medidas de seguridad
Por ejemplo, puede agregar un PDI como complemento a su firewall y
VPN. Si ya tienes una NIDPS, es posible que desee agregar un HIDPS o
un hbrido de los desplazados internos para fortalecer la deteccin y
respuesta
Para ver cmo funciona esta estrategia, considere cmo la Armada de
EE.UU. implement. En un artculo titulado " Defensa en profundidad: La
seguridad de Network-Centric Guerra, " Capitn Dan Galik describe las
capas o " zonas " de defensa creado para proteger uno de la Marina de
EE.UU. ' s intranets: Un servidor de seguridad Encriptacin Virus
proteccin para filtrar los archivos adjuntos de correo potencialmente
dainos Autenticacin Deteccin
de
Intrusos Control
de
acceso Informacin de la integridad a travs de SSL y IPsec Auditora
Adems, cuatro zonas defensivas fueron creados para proteger a los
usuarios y la comunicacin entre las zonas
Las siguientes zonas permiten la proteccin se extienda desde el
permetro de la red a los usuarios ' escritorios: Zona 1 incluye
usuarios ' computadoras de escritorio, que estaban protegidos mediante
contraseas, listas de control de acceso, encriptacin VPN y proteccin
antivirus
Zona 2 fue descrito como una sola " comunidad de intereses " o grupo
de equipos unidos en una red. Los routers, firewalls, software de
proteccin antivirus y encriptacin VPN protegen esta zona

Defensa Fortalecimiento: Mejora de la Defensa a Fondo 537

Zona 3 abarc mltiples comunidades de inters a fin de que las

comunicaciones entre ellos estaban seguros. Los mtodos de proteccin
incluyen la deteccin de intrusiones de red, firewalls, encriptacin VPN y
proteccin antivirus

Zona 4 era la zona ms externa, que era el lmite entre un sistema de

informacin de la marina de guerra y una red pblica, tal como
Internet. Mecanismos defensivos en este nivel incluyen servidores DNS,
encriptacin VPN, cortafuegos y autenticacin para routers

Al dividir sus necesidades de comunicacin en sistemas separados y

depender de mltiples mtodos de seguridad, la Marina logr la
seguridad externa eficaz. Sin embargo, este sistema no siempre aporta
una fuerte defensa de las vulnerabilidades, como el mal uso accidental
de los recursos o los ataques maliciosos de informacin privilegiada. DiD
menudo se puede mejorar mediante la colocacin de un mayor nfasis
en el control de acceso, la educacin y la sensibilizacin de los usuarios,
y el aumento de los niveles de auditora

Fortalecimiento Rendimiento: adaptacin a las

necesidades de la red rendimiento IDPS se refiere a su
capacidad de capturar los paquetes y procesarlos de acuerdo a la base
de reglas. Idealmente, un PDI captura todos los paquetes que llegan a
ella, enva alarmas para todos los paquetes sospechosos, toma medidas
para proteger la red y permite que los paquetes legtimos pasen a travs
de la red interna. Este nivel de rendimiento, sin embargo, puede verse
obstaculizada por varios factores, a medida que aprende en las
siguientes secciones

Gestin de la memoria

el rendimiento IDPS depende en gran

medida el nmero de firmas que tiene que revisar al recibir un
paquete. Para las firmas de eventos que consisten en slo un nico
paquete, los requisitos de memoria son casi inexistentes. Sin embargo,
para las firmas que requieren una secuencia de paquetes para llegar a
los desplazados internos, el PDI tiene que mantener el estado de la
conexin en la memoria. Tambin se necesita la memoria para
almacenar informacin en la memoria cach y para las bases de datos
que contienen los valores de configuracin desplazados internos. La
primera consideracin es que los desplazados internos deben tener ms
de la cantidad mnima de memoria RAM para mantener informacin de
estado, lo que le permite a frustrar los ataques que se producen durante
perodos prolongados

La gestin de ancho de banda

Firewalls, analizadores de
paquetes y IDPSS debe ser capaz de procesar los datos lo ms rpido
que se mueve a travs de la red. Si su red tiene un gateway Ethernet
gigabit, pero su IDPS se ejecuta en una mquina con slo una conexin

de 100 MB Ethernet, los datos pasan a travs de ms lentamente de lo

que debera. Por ejemplo, un PDI debera ser capaz de manejar 50 por
ciento de la utilizacin de ancho de banda sin perder la capacidad para
detectar problemas. La deteccin de intrusos a menudo comienza a
romperse si el uso de ancho de banda es superior a 80 por ciento de la
capacidad de red
Puede ejecutar el Monitor de rendimiento de Windows o la utilidad Top
en UNIX o Linux para medir la cantidad de sobrecarga de su PDI est
consumiendo.Hacer equipos host seguros que proporcionan 538 Captulo
14 Gestin de la Seguridad Vigentes

14

sensores de red y consolas de gestin de los desplazados internos

corren tan rpido como sea posible. Si el rendimiento se retrasa,

actualizar de inmediato a un equipo ms rpido o tarjeta de red

Gestin del almacenamiento

Algunas intrusiones tienen lugar

durante perodos largos, por lo que el almacenamiento de una cantidad
considerable de datos histricos de los archivos de registro DI puede ser
esencial para el seguimiento de los ataques a largo plazo. Un aspecto
clave de la gestin de un PDI es asegurarse de que el espacio de
almacenamiento suficiente est disponible para los datos de los
desplazados internos actuales y asegurarse de que los datos se archivan
o se elimina de forma segura cuando ya no se necesita. Por lo general,
se necesita un gigabyte o ms de espacio para almacenar los datos de
los desplazados internos
Limpiar los medios de almacenamiento cuando estn llenos y ya no se
necesita la informacin sobre ellos; este es un elemento importante ya
menudo pasado por alto de seguridad de la red. Para asegurarse de que
los intrusos, criminales, o empleados maliciosos no pueden recuperar
estos datos, es necesario triturar los documentos y los archivos por
completo
Para los sistemas que almacenan informacin altamente sensible, es
posible que desee remover fsicamente y desmagnetizar las unidades
fsicas.desmagnetizacin es el proceso de magnticamente borrar un
dispositivo electrnico, como un monitor o un disco, para eliminar todos
los datos perdidos o campos magnticos. La simple supresin o borrado
de archivos no elimina por completo toda la informacin del
disco. Cuando se utiliza un comando de eliminar o borrar, slo tiene que
quitar punteros que indican a la computadora que las agrupaciones son
el almacenamiento de la informacin. De esta manera, el equipo puede

volver a usar esos sectores si es necesario. Sin embargo, hasta que se

sobrescriben los sectores, la informacin en ellos se puede recuperar

Mantenerse informado sobre las tendencias de

seguridad Para mantenerse al da con las ltimas tendencias en
seguridad de red, es necesario mantener una lista de contactos en el
sector, as como a mantener las configuraciones de software y
hardware. Visite los sitios web relacionados con la seguridad y mantener
conversaciones en lnea con otros profesionales en el campo. Hacer
gestin segura entiende que usted necesita para mantenerse informado
al participar en listas de correo y grupos de noticias, suscribirse a las
publicaciones comerciales, y tomando las pruebas de certificacin para
mantenerse al da con el campo en rpida evolucin de la seguridad de
la red

Sitios Web

que no tendr ningn problema para encontrar sitios web

que informan de las ltimas noticias sobre brotes de virus y brechas de
seguridad que afectan a las corporaciones prominentes. El desafo es
elegir uno o dos sitios de poder escanear todos los das o cada pocos
das para los problemas de seguridad que pueden afectar a su propia
red. Usted puede visitar sitios como el siguiente: Center for Internet
Security ( www.cisecurity.org ) Instituto SANS (www.sans.org ) Centro
de Coordinacin CERT ( www.cert.org ) Listas de correo y grupos
de noticias Listas de correo a menudo ofrecen ms informacin
actualizada sobre los temas de seguridad y vulnerabilidades que los
sitios Web o publicaciones peridicas. Estas listas proporcionan
informacin de primera mano de mantenerse informado acerca de la Seguridad
Tendencias de 539

profesionales de la seguridad acerca de los problemas que enfrentan,

sus opiniones sobre los problemas de seguridad, y soluciones propuestas
a estos problemas. Investigar las siguientes listas de correo como punto
de
partida: BugTraq
( www.securityfocus.com/archive/1 ) Firewalls
Lista de Correo (www.securityfocus.com/archive/129/description ) SANS
NewsBites ( www.sans.org/ boletines / NewsBites / ) Tenga cuidado con
los mensajes que publica en grupos de noticias o listas de correo. Por
ejemplo, no proporcionan detalles especficos de violaciones a la
seguridad de su compaa ha experimentado;atacantes podran estar
monitoreando el grupo de noticias o lista de correo y se enteran de que
su red ha sido vulnerable

No proporcione informacin especfica sobre la configuracin de red o

identificar a su empresa
Considere el uso de una direccin de correo electrnico que no sea su
direccin de la empresa para su publicacin en los grupos de noticias y
listas de correo

Certificaciones

Muchas
certificaciones
deben
renovarse
peridicamente a travs de un nuevo anlisis. Asegrese de que su
organizacin gestin s entiende que las certificaciones benefician a la
empresa. Visite los siguientes sitios Web de certificacin de estar al da
con las pruebas de que ha tomado y para aprender acerca de las
pruebas es posible adoptar en el futuro: Programa Certified Security
( www.securitycertified.net ) Consorcio de Certificacin de Sistemas de
Informacin Internacional de la Seguridad ( www.isc2.org ) CompTIA
( www.comptia.org ) GoCertify ( www.gocertify.com ) Sea consciente de
cuando se necesita para renovar sus certificaciones actuales. Pregunte a
su supervisor si la empresa va a ayudar a sufragar el costo de los
materiales de estudio y las pruebas, y si se puede tener tiempo libre
para estudiar y viajar cuando sea necesario

Resumen del captulo

gestin de eventos de seguridad

consiste en la acumulacin de datos de una amplia gama de dispositivos

de seguridad por medio de un programa coordinado. Este programa
incluye los registros de alertas y monitoreo de eventos producidos por
los dispositivos de seguridad y los sistemas operativos, y que recogen
datos de varios sensores a travs de un sistema centralizado o
distribuido. El programa tambin requiere la revisin de firmas de
ataques desplazados internos para asegurarse de que estn al da
Un aspecto a menudo pasado por alto de la gestin de eventos es la
necesidad de cambiar un procedimiento de una manera sistemtica. La
gestin del cambio describe la modificacin de los sistemas o
procedimientos utilizando un enfoque disciplinado que incluye la
aprobacin de la gestin y la notificacin personal de un cambio
inminente antes de que ocurra

La auditora de seguridad se utiliza para probar la eficacia de las

defensas de la red despus de que se han establecido. En una auditora
operativa, una compaa de ' personal de TI s examinar los registros del
sistema y buscar vulnerabilidades, tales como contraseas dbiles o
cuentas de usuario innecesarias

Una auditora independiente se lleva a cabo por una firma auditora

externa
540 Captulo 14 Gestin de la Seguridad Vigentes

14

Otro aspecto del mantenimiento continuo de seguridad es la

gestin de un PDI para que siga funcionando sin problemas. Usted debe
hacer copias de seguridad, administrar cuentas de usuario, eliminar
normas innecesarias PDI y agregar hardware o software segn sea
necesario. Instituir tambin un programa de concienciacin para
asegurarse de que los empleados, contratistas y socios de negocios a
entender y observar la poltica de seguridad
Mediante el fortalecimiento de una red de ' DiD configuracin s, a
mejorar la defensa general de la red, garantizar la disponibilidad y la
integridad de la informacin, y proporciona para el no repudio. Activo
convocatorias de tratar de anticipar y frustrar los intentos de ataque
antes de que ocurran hizo. Activo hizo tambin requiere entrenamiento o
aadiendo capas de seguridad

Mantener el ritmo de su red ' s necesidades de seguridad, asegurando

que su organizacin tiene suficiente memoria para un PDI para procesar
los ataques de largo plazo, lo suficiente velocidad de la red para
capturar y procesar todos los paquetes, y suficiente espacio de
almacenamiento para los registros y archivos de alerta

Asegrese de que los archivos se eliminan completamente

por " trituracin " electrnicamente - en otras palabras, sobrescribiendo
ellos para que todos los restos son retirados de los medios de
comunicacin donde se almacenan

Usted debe estar al da con las ltimas violaciones de seguridad y los

ataques de virus

Visitar los sitios Web relacionados con la seguridad, unindose a las

listas de correo, suscribirse a boletines de noticias, y la publicacin en
los grupos de noticias son buenas maneras de mantenerse
informado. Adems, mantener sus certificaciones de seguridad al da
para mantener su nivel de experiencia

Trminos clave

activa

de

defensa

en

profundidad

una

fuerte

implantacin del concepto DiD en el que el personal de seguridad

esperan que los ataques ocurran y tratar de anticiparse a ellos en vez de
esperar pasivamente a los ataques y despus hacer reaccionar

Un sistema en el que una

organizacin ' evento y la seguridad de datos s se canaliza a una consola
de gestin centralizada en la oficina principal
la

recopilacin

de

datos

centralizada

El proceso de magnticamente borrado de un dispositivo

electrnico, tal como un monitor o un disco, para eliminar todos los
datos perdidos o campos magnticos
desmagnetizacin

Un sistema en el cual los datos de los

dispositivos de seguridad va a una consola de administracin en su
propia red local
recopilacin de datos distribuidos

Revisin de los registros de alertas y eventos

producidos por los dispositivos de seguridad y sistemas operativos, y las
pruebas peridicas de la red para identificar los puntos dbiles
supervisin de eventos

una auditora en la que una empresa externa

inspecciona los registros de auditora para asegurar que una
organizacin est recopilando la informacin que necesita y no recabar
informacin innecesaria que consume del sistema y recursos de red
auditora independiente

Una auditora de una organizacin ' s propio personal

que examina el sistema de seguridad y los registros para analizar la
informacin sobre las intrusiones y accesos no autorizados otras
auditora operativa

el proceso de comprobacin de la eficacia de un sistema

de defensa de la red poniendo a prueba el sistema, el anlisis de los
registros de eventos, y la observacin de los procedimientos
seguridad auditar

Trminos clave 541

Un programa que recoge y

consolida los eventos a partir de mltiples fuentes, de manera que la
informacin pueda ser analizada para mejorar la seguridad de la red
programa de gestin de eventos de seguridad

social Una tcnica de engaar a los empleados en las

contraseas divulgativos u otra informacin
ingeniera

El nmero de equipos de destino en una red

administrada por una nica consola de comandos
relacin de objetivos a la consola

equipos tigre

Los equipos especiales se reunieron para probar una red

programa A en el que las conexiones de red se

escanean y se generan alertas cuando los inicios de sesin se intenta
desde un IDPS sospechosas o intentos de conexin estn hechos de
sitios sospechosos
Programa de Tinkerbell

Preguntas de repaso

1. Cul de los siguientes es un tipo de

auditora de seguridad? (Seleccione todas las que apliquen.) A. b

automatizado. c independiente. d centralizada. operacional 2. Por qu
es importante proteger la confidencialidad de la informacin que se
renen a travs de la auditora?(Seleccione todas las que apliquen.)
A. Empleado privacidad podra verse comprometida
b. La informacin podra daar cuando usted lo almacena
c. Los intrusos podran descubrir contraseas
d. Los virus podran infectarlo
3. Cundo se debe seguir el procedimiento para llevar a cabo el cambio
se muestra en la Figura 14-4? una. cuando muchos empleados se vern
afectados por el cambio b. cuando el cambio es necesario con urgencia
c. siempre que un cambio debe hacerse a las configuraciones de
seguridad d. cuando el cambio tenga un impacto sustancial 4. Qu es
un programa de auditoras en el que las conexiones actuales se
escanean y se generan alertas despus de los intentos de inicio de
sesin sospechosas? una. b ingeniera social. Port Scan c. supervisin de
eventos d. Programa de Tinkerbell 542 Captulo 14 Gestin de la Seguridad
Vigentes

14

5. Cul de los siguientes empleados tiene responsabilidades

primarias que incluyen el mantenimiento y el fortalecimiento de las

defensas de la red?una. incidente de seguridad lder del equipo de
respuesta b. seguridad informtica gerente c. director de informacin
d. auditor de seguridad 6. Qu es un objetivo realista de la gestin de la
seguridad en curso? (Seleccione todas las que apliquen.) A. bloquear
todos los paquetes sospechosos b. rastreo de todos los ataques c. el
rastreo como muchos intentos de intrusin como sea posible
d. fortalecer continuamente y modificar defensas 7. Cul de las
siguientes opciones describe la meta de un programa de gestin de
eventos de seguridad? (Seleccione todas las que apliquen.)
A. consolidacin de eventos de fuentes mltiples b. responder a eventos
tan pronto como sea posible c. la realizacin de anlisis forense para
rastrear y perseguir a los infractores d. la gestin de firmas desplazados
internos 8. Cmo se puede obtener informacin sobre una variedad de

eventos de seguridad y responder a ella de forma rpida? una.Rena un

equipo de respuesta grande
b. Uso distribuida de recopilacin de datos
c. Automatizar la recoleccin y anlisis de datos
d. Externalizar la gestin de la seguridad
9. Cul de las siguientes es una ventaja de la recopilacin de datos
centralizada? (Seleccione todas las que apliquen.) A. reducido el trfico a
travs de pasarelas de red b. Reduccin de los costes administrativos
c. reduccin de los costes de hardware y de software d. slo una persona
tena que revisar los datos 10. Por qu elegir la recopilacin de datos
distribuida en lugar de la recoleccin de datos centralizada? una. para
reducir el trfico a travs de puertas de enlace b. para reducir la carga
sobre seguridad gerentes c. para reducir los costos en general d. Para
reducir los costos de hardware y software Preguntas de repaso 543
11. Antes de la instalacin de nuevas firmas para un PDI, qu es lo que
tiene que hacer? una. Copia de seguridad de los desplazados
b. Detenga el PDI
c. Cambie las contraseas
d. Verifique dos veces para verificar si las nuevas firmas son necesarias
12. Qu puede suceder si se cambia una configuracin de seguridad
demasiado bruscamente y sin la debida autorizacin? (Seleccione todas
las que apliquen.) A. Los empleados pueden ignorar el cambio
b. El cambio podra sorprender a otros gestores de la seguridad
c. Usted puede ser inundado con las protestas de los empleados
d. Usted podra enfrentar una accin disciplinaria
13. El proceso de gestin de cambios podra aplicar al cul de las
siguientes situaciones? (Seleccione todas las que apliquen.) A. Se
necesitan nuevos procedimientos de inicio de sesin con contrasea
b. Es necesario bloquear el acceso a los servidores de DMZ
c. Se ha instalado un nuevo gateway VPN
d. Es necesario cambiar una regla de la fragmentacin en un filtro de
paquetes

14. La auditora de seguridad implica cul de los siguientes? (Seleccione

todas las que apliquen.) A. la revisin de los archivos de registro b. la
revisin de los costos de hardware y software c. defensas de pruebas
d. girando registros del cortafuegos 15. Cul es el no repudio? una. la
capacidad de un sistema para la autenticacin de usuarios b. la
capacidad de confiar en la informacin obtenida a travs de una
auditora de seguridad c. una defensa legal utilizado por los empleados
cuyos privacidad supuestamente ha sido violado d. la capacidad de
validar las transacciones a travs de la documentacin electrnica

proyectos

prcticos Hands-On

de

Proyecto
14-1:
Marcadores relacionados con la seguridad Montaje de
Pginas WebTiempo requerido : 20 minutos Objetivo : Crear una lista
de sitios Web para su uso como recursos para mantenerse al da en el
ltimos avances en seguridad
544 Captulo 14 Gestin de la Seguridad Vigentes

14

Descripcin : Como parte de su programa de gestin de la

seguridad en curso, es necesario que consulte los sitios Web dedicados y

otros recursos para mantenerse informados sobre temas de defensa de
la red
Una forma de asegurar que revise estos recursos regularmente es armar
una lista de favoritos que puede acceder rpidamente. A continuacin,
puede configurar un recordatorio por correo electrnico para comprobar
si hay actualizaciones de software y otras noticias relacionadas con la
seguridad. Para esta actividad, se necesita un ordenador con conexin a
Internet e Internet Explorer 9 instalado
1. Inicie su navegador y vaya a www.securityfocus.com
2. Haga clic en el Favoritos icono (vea la Figura 14-5), haga clic en
el Aadir a favoritos flecha, y haga clic en Organizar Favoritos
3. Haga clic en Nueva carpeta , reemplace " Nueva carpeta " con el
nombre de Seguridad y, a continuacin, pulse Intro
4. Haga clic en Nueva carpeta , reemplace " Nueva carpeta " con el
nombre de Noticias y presione Enter

5. Haga clic en Mover , haga clic en el Seguridad de carpeta, y luego

haga clic en Aceptar
6. Repita los pasos 4 y 5 para crear dos nuevas carpetas ms
nombradas Conversaciones y Otros Recursos
7. Haga clic en Cerrar
Fuente: Symantec Corp

Figura 14-5 favoritos de Internet Explorer

Proyectos prcticos 545

8. Aadir la pgina principal de Security Focus en la carpeta de

Noticias. Haga clic en el Favoritos icono, haga clic en Agregar a
Favoritos , haga clic en elCrear en la flecha, haga clic en Noticias , y
haga clic en Agregar
9. Cerca de la parte superior de la pgina principal de Security Focus,
haga clic en Unirse a la conversacin . Aadir esta pgina a la carpeta
Conversaciones utilizando los procedimientos de la Etapa 8
10. Desplcese por la pgina principal de Security Focus a la seccin de
listas de correo. Usted puede optar por suscribirse a listas de correo,
pero en esta etapa, se aade una lista de correo a sus
favoritos. Encuentra el ttulo Pruebas de Penetracin y haga clic
en Archivo Completo debajo de ella
11. Haga clic en el Favoritos icono, haga clic en Agregar a favoritos y
escriba Pruebas de Penetracin en el cuadro de texto Nombre sobre el
nombre por defecto. Compruebe que el cuadro de texto Crea en se
establece en Conversaciones, y haga clic en Agregar
12. Volver a la pgina principal de Security Focus, y repita los pasos 10 y
11 para sumar dos ms sitios de la lista de correo a la carpeta
Conversaciones
13. Como paso final opcional, agregue las URL que aparecen en este
captulo a las carpetas correspondientes en la carpeta de favoritos de
Seguridad. En concreto, agregue las URL que aparecen en
el " mantenerse
informado
acerca
de
las
tendencias
de
seguridad " seccin

Hands-On Proyecto 14-2: Marcadores relacionados con la

seguridad Montaje para RSS Feeds Tiempo requerido : 20
minutosObjetivo : Crear una lista de canales RSS para utilizar como

recursos para mantenerse al da sobre los ltimos acontecimientos en

materia de seguridad
Descripcin : Rich Site Summary (RSS) permitir a los editores sindicar
blogs, noticias y otros tipos de contenido que pueden cambiar con
frecuencia. Puede obtener clientes especficos y el software lector de
RSS o ver RSS en Internet Explorer y otros navegadores. Para esta
actividad, se necesita un ordenador con conexin a Internet e Internet
Explorer 9 instalado
1. Inicie su navegador y vaya a http://searchsecurity.techtarget.com/rss
2. En la pgina Web SearchSecurity bajo alambre de Seguridad Daily
News, haga clic en el icono de RSS se muestra en la Figura 14-6
3 En el SearchSecurity:. Cable de Seguridad ventana Daily News, haga
clic en Suscribirse ahora . En la siguiente ventana, haga clic
en Suscribirse
4. Ahora puede acceder a este feed RSS desde el icono de Favoritos en
la pestaa Feeds
5. Buscar en la Internet para los tres ms RSS alimenta asociado a
temas en este libro. Agregue las alimentaciones a su lista de alimentos
Figura 14-6 Icono RSS feed

Fuente: Fundacin Mozilla

546 Captulo 14 Gestin de la

Seguridad Vigentes

14 Proyectos de caso de caso de proyectos 14-1:

Certificaciones Seguridad de la Informacin

para que los

trabajadores de tecnologa de informacin mantienen hasta al da los

conocimientos sobre seguridad de la informacin, muchos empleadores
requieren la certificacin peridica
Una lista cada vez mayor de las certificaciones de seguridad de la
informacin es ofrecida por una variedad de proveedores. Algunas
certificaciones comnmente solicitados son administrados por ISC 2 ,
SANS y CompTIA. Departamento de Defensa de EE.UU. directiva DoD
8570 incluye requisitos de certificacin para los trabajadores y los
contratistas del Departamento de Defensa de apoyo. La Directiva define
los niveles de posicin de los empleados y certificaciones requeridas en
estos niveles. Al escribir estas lneas, la ltima versin de la Directiva es
8570.01-M ( corres/pdf/857001m.pdf www.dtic.mil/whs/directives/ )
Para este proyecto, un resumen de los requisitos del Departamento de
Defensa de 8570 en sus propias palabras. Incluir una definicin de los

tres IAT (Aseguramiento de la Informacin Tcnica) los niveles de

posicin. Describir las tareas tpicas realizadas por estos trabajadores,
una lista de los requisitos de certificacin para estos niveles, y debe
incluir un resumen de los objetivos de cada certificacin requerida en
estos niveles
Caso Proyectos 547

apndice

seguridad

Recursos

de

de deteccin de intrusos y seguridad de la red

estn cambiando constantemente los campos. Para mantenerse al da

con los ltimos avances, usted debe consultar a los sitios Web y otros

recursos que aparecen en este apndice. Muchos de los sitios ofrecen

libros blancos, artculos de investigacin, y otra informacin de

antecedentes sobre temas tales como firewalls, filtrado de paquetes, la

autenticacin y el cifrado
Usted puede encontrar consejos polticos y recursos, guas de desastre
planificacin y herramientas para ayudarle a hacer su trabajo. Tambin
debe comprobar estos sitios para aprender sobre las ltimas
amenazas. Informacin acerca de los errores, agujeros de seguridad y
parches para tapar ellos estar disponible en lnea antes de leer acerca
de ellos en un libro
Las nuevas amenazas emergen a diario, y que necesita para mantenerse
al da con ellos. Tabla A-1 muestra enlaces a sitios web tiles que
pueden mejorar sus habilidades y conocimientos
Usted tambin debe unirse a grupos de noticias y listas de correo para
los profesionales de TI como una forma de relacionarse con sus pares y
aprender de sus experiencias. A veces, usted podra encontrarse con un
problema que no puede resolver, a pesar de estudiar minuciosamente a
travs de manuales y libros de texto, bsqueda en Internet, y en
ejecucin de cada prueba que se pueda imaginar. Tabla A-2 enumera
lugares para comenzar la bsqueda de otros profesionales que podran
tener una solucin a su problema
Sitio
web
Descripcin Vulnerabilidades
y
Exposiciones
Comunes
(CVE), www.cve.mitre.org El estndar CVE permite a los dispositivos de seguridad para
compartir informacin acerca de las firmas de ataque y otras vulnerabilidades por lo
que los dispositivos pueden trabajar juntos
Symantec Security Response, www.symantec.com / security_response Symantec
mantiene una extensa base de datos de virus. El sitio incluye informacin acerca de los
incidentes de seguridad, pero el nfasis est en la proteccin frente a virus y otros
cdigos dainos y eliminarlos
Internet Storm Center, http://isc.sans.org Este sitio, que est afiliado con el Instituto
SANS (tambin se indica en esta tabla), se especializa en la explicacin de cmo
responder a las intrusiones, incidentes y alertas de seguridad. Un mapa del mundo
muestra las brechas de seguridad reportados por regin geogrfica. El sitio tambin
incluye una lista de las tendencias de los ataques actuales, como los puertos atacados
con frecuencia y software malintencionado inform recientemente

DShield, www.dshield.org Este sitio es el hogar del sistema de deteccin de intrusiones

distribuida, en la que los administradores de red de todo el mundo comparten firewall y
la informacin de registro de deteccin de intrusiones en un esfuerzo para rastrear los
patrones de ataque
2014 Cengage Learning

Tabla A-1 sitios tiles para profesionales de la seguridad

( contina ) 549
Sitio web Descripcin El Centro para la Seguridad en Internet, www.cisecurity.org Esta
organizacin sin fines de lucro se dedica a la elaboracin de normas de seguridad que
llama " puntos de referencia " . ndices de referencia estn disponibles para Linux, UNIX
y otros sistemas operativos
SysAdmin, Audit, Red, Seguridad (SANS) Instituto, www.sans.org Esta investigacin y la
educacin organizacin se centra en la seguridad de red
SANS lleva a cabo seminarios y talleres sobre seguridad
El Centro de Coordinacin CERT, www.cert.org Este grupo, que est afiliado con el
Instituto Carnegie-Mellon, enumera las alertas de seguridad, notas de incidentes y
vulnerabilidades en su pgina principal. CERT tambin ofrece consejos y artculos
acerca de la seguridad de la red y los cursos de formacin
Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST), www.first.org Este
grupo es una coalicin de grupos de respuesta a incidentes de seguridad del gobierno,
comerciales y acadmicas que buscan promover la reaccin rpida ante incidentes de
seguridad mediante la coordinacin de la comunicacin y el intercambio de
informacin
El Instituto Nacional de Estndares andTechnology (NIST), www.nist.gov NIST Divisin
de Seguridad Informtica, el Centro de Recursos de Seguridad Informtica
(CSRC), http://csrc.nist.govNIST es una agencia federal no regulado EE.UU. que
desarrolla y promueve medidas, normas, y la tecnologa para mejorar la productividad,
facilitar el comercio y mejorar la calidad de vida.La Divisin de Redes Tecnologas de
Seguridad Informtica y direcciones de seguridad de la informacin
Internet Assigned Numbers Authority (IANA), www.iana.org IANA asigna y mantiene la
asignacin de nmeros de Internet, incluyendo los nmeros de puerto y los nmeros de
protocolo.IANA tambin coordina DNS y direcciones IP
Internet Engineering Task Force (IETF), www.ietf.org / home.html El IETF es un
organismo internacional de diseadores de red, proveedores, operadores e
investigadores que trabaja para avanzar en la Internet ' s evolucin y el buen
funcionamiento
IEEE Computer Society, www.computer.org Esta organizacin es una importante
asociacin de membresa internacional para profesionales de la informtica. Se cobra
una cuota para ser miembro, pero la organizacin ofrece cursos en lnea, informacin y
oportunidades de establecer contactos profesionales para miembros
Centro de Investigacin de Seguridad de Red Mundo, www.networkworld.com/ temas /
security.html Esta publicacin de larga data para los iniciados de red incluye pestaas
para ciberdelincuencia, firewalls, sistemas de gestin de amenazas unificadas, IDPSS y
ms

Tabla A-1 sitios tiles para profesionales de la seguridad

( continuacin ) Sitio
Web
Descripcin SecurityFocus
listas
de
correo, http://online.securityfocus.com/archiveSecurity Focus mantiene listas de correo
relacionadas con la seguridad de temas que van desde la deteccin de intrusos para
firewalls a honeypots. Una de sus mejores caractersticas es la capacidad de buscar
mensajes archivados por tema sin tener que suscribirse. Sin embargo, al unirse a la
lista, puede obtener las noticias diarias
2014 Cengage Learning

SANS Computer Security Boletines y digiere, www.sans.org / newsletters El conjunto de

boletines publicados por el Instituto SANS incluye un semanario NewsBites publicacin
y un semanario de Seguridad Alerta Consenso que enumera las amenazas de
seguridad actuales y contramedidas
Cengage
Learning
2014 Tabla
A-2 fuentes
informativa 550 Recursos Apndice A de seguridad

de

noticias

Sitios de Certificacin de Seguridad

de

seguridad

Los siguientes

sitios ofrecen certificaciones que pueden ser de gran valor para la

bsqueda de empleo en seguridad de redes: Certificacin Global
Information Assurance (GIAC) - El sitio web de GIAC ( www.giac.org )
proporciona informacin acerca de los exmenes de certificacin de
SANS Institute. Los programas van desde el nivel de entrada de la
certificacin oficial de seguridad de la informacin bsica para las
certificaciones ms especializados, como GIAC Certified Firewall Analyst
(GCFW)
El Sistemas de Informacin Internacional de la Seguridad Certificacin
Consorcio (ISC 2 ) - Esta organizacin sin fines de lucro internacional
( www.isc2.org ) se dedica a mantener un cuerpo comn de
conocimientos en materia de seguridad. ISC 2 se prepara y administra
dos de las certificaciones ms comunes en la seguridad de la red:
Certified Information Security Systems Professional (CISSP) y Sistemas
de Seguridad Certified Practitioner (SSCP)
CompTIA Certificacin - La Computing Technology Industry Association
( home.aspx www.comptia.org/ ) es el ms conocido para el A + PC
series tcnico de certificaciones. El examen de certificacin CompTIA
Security + est disponible para establecer la competencia fundamental
de la seguridad en los servidores de seguridad, cifrado y deteccin de
intrusiones
El Programa de Certificacin de Seguridad - El Programa de Certificado
de Seguridad ( www.securitycertified.net ) es el administrador
independiente del proveedor del Certified Network Professional
Seguridad (SCNP) y Certified Network Seguridad Arquitecto (SCNA) los

exmenes. La certificacin de nivel inferior, SCNP, es comparable en su

contenido y nivel de habilidad para la certificacin SSCP del ISC 2
Certified Wireless Seguridad Profesional - Esta certificacin es
administrado por la organizacin profesional Certified Wireless Network,
que ofrece la empresa de proveedor neutral de certificacin Wi-Fi y la
formacin. La certificacin requiere que se pase dos exmenes: uno en
la administracin de red inalmbrica y uno en las habilidades de
seguridad inalmbrica. Los exmenes cubren las amenazas inalmbricas
de seguridad, la evaluacin, el diseo, la arquitectura y la poltica. Para
obtener ms informacin, vaya a www.cwnp.com / certificaciones / CWSP