Escolar Documentos
Profissional Documentos
Cultura Documentos
Toda organización debe estar a la vanguardia de los procesos de cambio. Donde disponer
de información continua, confiable y en tiempo, constituye una ventaja fundamental.
Hoy en día, y en estos tiempos que corren, tener información es tener poder.
jÊ Ô
, indispensable para garantizar la continuidad operativa de la organización.
jÊ ë
, es un activo corporativo que tiene valor en sí mismo.
jÊ
, debe ser conocida por las personas que necesitan los datos.
jÊ La !
de los sistemas de información.
jÊ El rápido y completo de los sistemas de información
jÊ La
de la información.
jÊ La Ô
de la información.
El uso de la política de seguridad de red debe proteger las redes y riesgos y pérdidas
asociadas con recursos de red y seguridad. Las Políticas de Seguridad de Red son la
responsabilidad de encontrar una reputación así como responsabilidad potencial. Las
Políticas de Seguridad de Red y la seguridad constituyen un riesgo a la misión académica.
La pérdida de datos o la revelación no autorizada de la información en investigación y
ordenadores educacionales, archivos de estudiante, y sistemas financieros podrían afectar
enormemente la facultad y estudiantes, sólo por mencionar un ejemplo.
Los objetivos de la política de seguridad de red son establecer políticas proteger las redes y
sistemas de ordenador del uso inadecuado.
Las políticas deberán basarse en los siguientes pasos:
Presentando un resumen de ideas, los siguientes aspectos, son los que se consideran como
fundamentales dentro de lo que son los mecanismos de Políticas de Seguridad nformática:
El envío de falsos e-mails es otra forma de spoofing permitida por las redes. quí el
atacante envía a nombre de otra persona e-mails con otros objetivos.
" Ô
Por otro lado están los ataques dentro del ámbito conocido como ngeniería Social que
básicamente, se trata de convencer a la gente de que haga lo que en realidad no debería.
Ôlaros ejemplos de esto son:
jÊ Ô !
jÊ Ô
jÊ ! #!ë#
Existen distintos tipos de virus, como aquellos que infectan archivos ejecutables (.exe,
.com, .bat, etc) y los sectores de boot-partición de discos y diskettes, pero aquellos que
causan en estos tiempos más problemas son los macro-virus, que están ocultos en simples
documentos o planilla de cálculo, aplicaciones que utiliza cualquier usuario de PÔ, y cuya
difusión se potencia con la posibilidad de su transmisión de un continente a otro a través de
cualquier red o nternet. Y además son multiplataforma, es decir, no están atados a un
sistema operativo en particular, ya que un documento de MS-Word puede ser procesado
tanto en un equipo Windows 3.x/95/98 , como en una Macintosh u otras. Ôientos de virus
son descubiertos mes a mes, y técnicas más complejas se desarrollan a una velocidad muy
importante a medida que el avance tecnológico permite la creación de nuevas puertas de
entrada. Por eso es indispensable contar con una herramienta antivirus actualizada y que
pueda responder rápidamente ante cada nueva amenaza. El ataque de virus es el más común
para la mayoría de las empresas, que en un gran porcentaje responden afirmativamente
cuando se les pregunta si han sido víctimas de algún virus en los últimos 5 años.
Por ser el uso de passwords la herramienta de seguridad más cercana a los usuarios, es aquí
donde hay que poner énfasis en la parte "humana" con políticas claras (como se define una
password?, a quien se está autorizado a revelarla?) y una administración eficiente (cada
cuanto se están cambiando?)
La encriptación usa una técnica -la criptografía- que modifica un mensaje original mediante
una o varias claves, de manera que resulte totalmente ilegible para cualquier persona. Y
solamente lo pueda leer quien posea la clave correspondiente para descifrar el mensaje.
Junto con la firma digital y las marcas de aguas digitales (digital watermark), la
encriptación es una de las posibles soluciones para proteger datos cuando son enviados a
través de redes como nternet.
La preocupación que se tiene, es por el uso indebido de estos programas es muy fuerte. El
software de encriptación tiene las mismas restricciones de exportación que los planos de
armas nucleares.
Ôon este panorama, no es alocado sospechar de la calidad de los programas que, a pesar de
todas las restricciones, logran salir de los Estados Unidos. Porque si en ese país son tan
celosos de su seguridad, se puede pensar que sólo exportarán los programas menos
poderosos.
&
'
(
Mediante la adopción de una política de seguridad es posible identificar las amenazas de las
cuales se intenta proteger los recursos de la red, los mecanismos de seguridad a
implementar y el nivel de protección requerido.
!
)
*
Esta estrategia consiste en depender de un único punto de acceso a la red privada para todas
las comunicaciones entre ésta y la red pública. Ya que no existe otro camino para el tráfico
de entrada y salida, los esfuerzos de control y mecanismos de seguridad se centran y
simplifican en monitorear un solo sitio de la red.
Esta estrategia se considera como una solución ³todo en uno´. Ôomo consecuencia, uno de
los problemas que presenta es que si un atacante es capaz de traspasar la seguridad de este
único punto del acceso tendrá acceso a todos los recursos de la red. Esta situación puede ser
tratada utilizando mecanismos de protección redundantes y reforzar la seguridad de dicho
punto.
La estrategia del punto de ahogo no es útil si existe una forma alternativa de acceder a la
red, por lo que estos caminos deben ser cuidadosamente localizados y restringidos del
acceso exterior.
Esta estrategia responde a un principio de seguridad que, aplicado a redes, establece que un
sitio es tan seguro como lo es su enlace más débil. Este enlace suele ser el objetivo de los
ataques a la privacidad de una red.
El objetivo de esta estrategia es identificar aquellos enlaces débiles de acceso a la red
privada y tratar de eliminarlos, reforzarlos y/o monitorearlos. unque no por esto debe
restarse importancia a la seguridad de otros aspectos de la red.
Este principio debe ser considerado al diseñar firewalls de nternet. Los filtros de paquetes
y gateways, deben fallar en tal forma que el tráfico desde y hacia nternet sea detenido.
#
Más que una estrategia, es un principio que debería cumplir toda solución de seguridad. Se
plantea que todo individuo en la organización que posee la red privada debe colaborar en
mantener y cumplir las medidas de seguridad que permitan ofrecer una protección efectiva
de sus sistemas. De otra forma, un atacante podría aprovechar la debilidad de aquellos
sistemas a cargo de estas personas para poder llegar al resto de los recursos de la red.
Un ejemplo claro de esto sería el caso de alguien que desde su equipo decidiera establecer
una conexión telefónica a nternet utilizando un modem, sin ningún tipo de protección.
Estaría abriendo una ³puerta trasera´ a posibles atacantes.
!
!
El objetivo de esta variedad es reducir las posibilidades de fallas comunes en todos los
sistemas utilizados para proteger la red, debidas a errores propios de los sistemas o de
configuración.
Esta estrategia tiene la desventaja del posible costo adicional, tanto económico como de
tiempo y complejidad, ya que se debe conocer el funcionamiento y manejo de más de un
producto. £tra de las posibles desventajas es la incompatibilidad de los sistemas, aunque
actualmente existen estándares en varias áreas de la seguridad que hacen posible que
diferentes sistemas puedan coexistir en la misma red colaborando para lograr una solución
integral.
'
(
La idea de esta estrategia está basada en mantener oculta la verdadera naturaleza de la red
privada y hacer público un perfil bajo (o no hacerlo). De esta forma, un atacante no lo
notará, o lo pasará por alto como una posible víctima.
Se sabe que cuanto más grande y complejo es un sistema, más errores tendrá, será más
difícil y costoso de testear. Probablemente posea agujeros de seguridad no conocidos que
un atacante puede explotar, por más complejos que sean.
+
En este modelo, los esfuerzos de protección están enfocados en los sistemas finales de una
red privada, es decir que los mecanismos de seguridad son implementados en estos
sistemas, y son ellos mismos quienes deciden si aceptar o no los paquetes de una
comunicación.
En pocas palabras, puede no ser rentable implementar un nivel de seguridad a nivel de hosts
para sitios grandes ya que requieran muchas restricciones, y mucho personal de seguridad.
La ventaja sobre el modelo de seguridad de hosts es una considerable reducción del costo
para proveer la misma o mejor protección, ya que solo se necesita proteger unos pocos
puntos de acceso (en muchos casos, uno) lo que permite concentrar todos los esfuerzos en
una solución perimetral.
Una desventaja de este modelo es que es muy dependiente de algunos pocos puntos de
acceso por lo que pueden producirse reducciones en el desempeño del tráfico de entrada y
salida de la red; por otro lado, la protección lograda no es flexible y posee un bajo grado de
granularidad, es decir, no es posible especializar la protección necesaria para cada host y
sistema final de la red privada.
,
La función de un firewall es tal que todo el tráfico de entrada y salida de la red privada
debe pasar a través de él; el tráfico permitido por el firewall es autorizado mediante su
evaluación en base a la política de seguridad;
Un firewall permite proteger una red privada contra cualquier acción hostil, al limitar su
exposición a una red no confiable aplicando mecanismos de control para restringir el
acceso desde y hacia ella al nivel definido en la política de seguridad. Generalmente un
firewall es utilizado para hacer de intermediario entre una red de una organización e
nternet u otra red no confiable.
,
Ya que todo el tráfico debe pasar por él, puede considerarse como el foco de todas las
decisiones de seguridad. Ôoncentrando las defensas en este punto, es posible reducir la
sobrecarga de seguridad del sistema interno ya que el esfuerzo se limita a unos pocos
dispositivos de toda la red (los que forman parte del firewall).
De esta forma, un firewall centraliza el control de acceso. Los usuarios remotos pueden
acceder a la red interna de forma controlada y segura, pasando a través del firewall.
Si la red local está protegida por un firewall, solo existe acceso directo para un conjunto
seleccionado de hosts y la zona de riesgo es reducida al firewall en sí mismo o a un
conjunto seleccionado de hosts de la red interna. (ver Figura 22)
,
£bviamente un firewall no ofrecerá protección contra aquellas amenazas que no hayan sido
consideradas en el diseño de la estrategia y la política de seguridad.
ë
&
-!
&
,
Existen algunas desventajas de los firewalls: cosas de las cuales los firewalls no puede
proteger, como ser amenazas de puntos de acceso alternativos no previstos (backdoors) y
ataques originados en el interior de la red. El problema de los firewalls es que limitan el
acceso desde y hacia nternet, pero es un precio que se debe pagar y es una cuestión de
análisis de costo / beneficio al desarrollar una implementación de seguridad.
-ë
Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el
monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del
respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para
establecer los niveles de protección de los recursos.
sí mismo, cada dispositivo que conforma la red empresarial necesita un nivel de seguridad
apropiado y la administración del riesgo implica una protección multidimensional
(firewalls, autenticación, \ antivirus, controles, políticas, procedimientos, análisis de
vulnerabilidad, entre otros), y no únicamente tecnología.
Esta última debe ser proactiva, integrar una serie de iniciativas para actuar en forma rápida
y eficaz ante incidentes y recuperación de información, así como elementos para generar
una cultura de seguridad dentro de la organización.
Por otro lado,aunque no siempre hay una regla general para explotar vulnerabilidades de
los sistemas se pueden describir a grandes rasgos una serie de pasos para llegar a tal
cometido:
c
.
&
Las prácticas no son otra cosa que una cultura y educación que debemos adquirir para
evitar problemas futuros en usos de equipos y sistemas. Hoy en día es tan común que
usemos computadoras, cajeros automáticos, tecnologías de comunicaciones, redes e
nternet, que no caemos en la cuenta de toda la que la información que manejamos, nuestra
propia información, correos electrónicos, información a través de chat, datos bancarios,
archivos de interés y todo nuestro trabajo cotidiano se encuentra precisamente manejado
por computadoras y equipo que son vulnerables y que en un abrir y cerrar de ojos pueden
sufrir de una ataque, alteraciones o descomposturas.
jÊ
%
Uno de los primero puntos a
cubrir son las claves de acceso, no se deben usar claves que son muy comunes,
como es el caso de las iniciales del nombre propio y la fecha de nacimiento, apodos
o sobrenombres que todo mundo conoce, o constituirlas de solo letras o solo
números; estos tipos de claves son en las que los intrusos, Hackers y ladrones
buscan de primera mano; hay que hacer combinaciones de letras mayúsculas,
minúsculas y números alternadamente. No hay que compartir las claves, es común
que cuando alguien más necesita usar nuestros equipos, computadoras y sistemas les
damos las claves de uso y muchas veces hasta en voz alta, enfrente de muchas
personas que no son parte de la empresa las damos a conocer. Hay que cambiar
periódicamente las claves de acceso, los equipos o computadoras que se encuentran
más expuestos, tienen que tener un cambio más recurrente.
En cada nodo y servidor hay que usar antivirus, actualizarlo o configurarlo para que
automáticamente integre las nuevas actualizaciones del propio software y de las
definiciones o bases de datos de virus registrados.
jÊ
Esta se basa en políticas y normas que se deben de
implantar y seguir. Las políticas proporcionan las reglas que gobiernan el cómo
deberían ser configurados los sistemas y cómo deberían actuar los empleados de una
organización en circunstancias normales y cómo deberían reaccionar si se presentan
circunstancias inusuales. Define lo que debería de ser la seguridad dentro de la
organización y pone a todos en la misma situación, de modo que todo el mundo
entienda lo que se espera de ellos.
Ôada política y procedimiento debe tener una sección que defina su aplicabilidad.
Por ejemplo: una política de seguridad debe aplicarse a todos los sistemas de
cómputo y redes. Una política de información, puede aplicarse a todos los
empleados.
La sección de responsabilidad de una política o procedimiento, define quién se hará
responsable por la implementación apropiada del documento. Quienquiera que sea
designado como el responsable de aplicar una política o procedimiento de ser
capacitado de manera adecuada y estar conciente de los requerimientos del
documento.
Las políticas de uso de las computadoras extienden la ley en lo que respecta a quién
puede utilizar los sistemas de cómputo y cómo pueden ser utilizados. Gran parte de
la información en esta política parece de simple sentido común, pero si las
organizaciones no las establecen específicamente, toda la organización queda
expuesta a demandas legales por parte de los empleados.
jÊ
Ôada empresa debe de desarrollar un procedimiento para
identificar la vulnerabilidad en sus sistemas de cómputo; normalmente las
exploraciones son realizadas por el departamento de seguridad y los ajustes son
realizados por los administradores del sistema canalizándolos a los programadores
y/o proveedores del sistema. Existen algunas herramientas para realizar estas
pruebas, también se puede recurrir a pruebas de desempeño y análisis de código,
pero también se puede recurrir a la experiencia de uso de los usuarios.
jÊ
Las medidas técnicas de seguridad se ocupan de la
implementación de los controles de seguridad sobre los sistemas de cómputo y de
red. Estos controles son manifestaciones de las políticas y los procedimientos de la
organización.
En las empresas como en las casas ya se cuenta con conexiones permanentes a las redes
o a nternet y estas deben de estar protegidas mediante muros de fuego que actúan de
manera que su homónimo arquitectónico entre dos habitaciones de un edificio. Puede
ser físico (equipo) ó lógico (software).
Las conexiones de acceso remoto pueden ser intervenidas para obtener acceso no
autorizado hacia las organizaciones y, por consiguiente, deben de estar protegidas. Este
tipo de conexiones pueden ser por marcación telefónica o atreves de nternet.
Puesto que estas conexiones entran a la red de la empresa o a la computadora tiene que
tener un sistema de autentificación como los módems de retroalimentación (que
contienen en si mecanismos de autentificación); las contraseñas dinámicas son
apropiadas para utilizarse como un mecanismo de autentificación mientras las
contraseña dinámica sea combinada con algo conocido por el usuario; también existen
programas y dispositivos de encriptación para asegurar que la información no es altera
desde su creación hasta su lectura por el receptor.
jÊ
La seguridad física debe ser empleada junto con la seguridad
administrativa y técnica para brindar una protección completa. Ninguna cantidad de
seguridad técnica puede proteger la información confidencial si no se controla el
acceso físico a los servidores, equipos y computadoras. gualmente, las condiciones
climáticas y de suministro de energía pueden afectar la disponibilidad de los
sistemas de información.
El acceso físico es importante, todos los equipos delicados deben de estar protegidos del
acceso no autorizado; normalmente esto se consigue concentrando los sistemas en un
centro de datos. Este centro está controlado de diferentes maneras, se puede limitar el
acceso con dispositivos, o instalar cerraduras de combinación para restringir los accesos
a empleados y personas ajenas a las instalaciones.
Los sistemas de cómputo son sensibles a las altas temperaturas. Los equipos de
cómputo también generan cantidades significativas de calor. Las unidades de control de
clima para los centros de cómputo o de datos deben de ser capaces de mantener una
temperatura y humedad constante.
Los sistemas de extinción de incendios para los equipos deben ser los apropiados, estos
no tienen que tener base de agua para que no dañen los equipos.
Para evitar pérdidas y daños físicos a equipos y computadoras hay que contar con una
instalación eléctrica adecuada, no hay que saturar las tomas de corriente (que es muy
común), se recomienda utilizar fuentes reguladas como no-breaks y reguladores para la
protección de equipos. Si existen instalaciones específicas para los equipos y
computadoras se recomienda utilizar fuentes redundantes y una planta de energía
auxiliar.