Proyecto Final

2012
Sistema de Polticas de Seguridad Informtica: En-Core
Daniel Santiago Mora Ortega SENA Redes y Seguridad 30/03/2012
INTRODUCCIN
Para nadie es un secreto que en el mundo de las redes y la informtica, no importa cuntos controles, claves, seguros o certificaciones electrnicas se utilicen, NUNCA se tendr seguridad total. Cuando se establecen polticas de seguridad lo que se pretende es que se disminuya lo mejor posible la probabilidad de ocurrencia de fallos, daos o ataques en proporcin a las medidas tomadas. El grado de proteccin necesaria est relacionado directamente con el valor de la informacin y de los procesos que se desean proteger: para la Informacin ms relevante se debe destinar ms recursos. Pero, Cules son las medidas de seguridad mnimas que debe tener un usuario?, cules programas debe tener un computador para proteger la informacin?, cul es la mejor clave de acceso?, etc. Es as que este manual pretende describir de manera general un conjunto de protocolos o reglas bsicas que se deben tener en cuenta al momento de hacer uso de equipos computacionales dentro de la organizacin.
2 Sistema de Polticas de Seguridad Informtica

Daniel Santiago Mora Ortega
JUSTIFICACION
Las razones que motivan a la creacin de este documento es bsicamente por la existencia de personas ajenas a la informacin, tambin conocidas como piratas informticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos. Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compaa; de acuerdo con expertos en el rea, ms del 70 por ciento de las violaciones e intrusiones a los recursos informticos se realiza por el personal interno, debido a que ste conoce los procesos, metodologas y tiene acceso a la informacin sensible de su empresa, es decir, a todos aquellos datos cuya prdida puede afectar el buen funcionamiento de la organizacin. Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimiento relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos informticos de las actuales amenazas combinadas. El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo que puede representar un dao con valor de miles o millones de dlares.

OBJETIVOS
General: Implementar un manual en el que se establezcan las polticas de seguridad informtica que deben acatar todo el personal vinculado a la empresa En-Core.
Especficos:

Evidenciar la necesidad de implementar procedimientos de seguridad informtica. Dar a conocer todos los posibles ataques informticos al personal de la empresa. Cmo proteger la informacin valiosa de la empresa mediante el uso de buenos passwords.

Tabla de contenido
Introduccin ................................................................................................... 3 Justificacin .................................................................................................... 4 Objetivos ........................................................................................................ 5 General ........................................................................................................ 5 Especficos .................................................................................................... 5
1. Conceptos Generales .............................................................................. 6 Cul puede ser el valor de los datos? .................................................... 6 Definiciones ............................................................................................ 7 Seguridad global...................................................................................... 8 Impacto de las PSI en la organizacin ...................................................... 9 Visibilidad del proceso ............................................................................ 9 Implementacin de las polticas ............................................................ 11
2. PSI (Polticas de Seguridad Informtica)............................................... 12 Qu son? ............................................................................................. 12 Por qu? .............................................................................................. 13 Ventajas de las PSI ................................................................................. 13 Procedimientos generales ..................................................................... 14 3. Tipos de ataques y vulnerabilidades .................................................... 18 4. Anexos .................................................................................................. 19

1. Conceptos preliminares
La seguridad informtica se ha convertido en un tema de especial importancia en las organizaciones de la actualidad. El avance tecnolgico no solo se ha visto aplicado en aparatos de ltima generacin, sino que tambin ha impactado la productividad de las empresas actuales, al permitirles interconectar todos los sistemas de la organizacin, para una mayor eficacia en la comunicacin y velocidad de respuesta ante los cambios externos. Esta interconexin, aunque abre grandes posibilidades (como el control ubicuo, o desde cualquier lugar, el teletrabajo o trabajo desde casa, y las comunicaciones unificadas), tambin plantea nuevos retos y amenazas en la manipulacin de la informacin y, en suma, en los fines de la organizacin. Estas amenazas han hecho que las empresas creen documentos y normativas para regular el nivel de seguridad de su estructura interna, protegindolas as de ataques externos o de negligencia por parte de los propios empleados. Estos documentos y directrices, no son ms que las Polticas de seguridad informtica, o procedimientos que se llevan a cabo para crear y reforzar la seguridad de las redes. 1.1. Cul puede ser el valor de los datos? El valor de los datos es un tema muy relativo. Debido a que son intangibles, su valor no puede determinarse fcilmente, cosa que no pasa con los enseres de la organizacin, como computadores, escritorios, entre otras cosas. Y aparte de todo, cuando se aplican medidas de seguridad en las redes, estas no generan mayor productividad en la organizacin. Debido a esta razn, las organizaciones son muy negativas a la hora de asignar presupuesto a la seguridad. Un ejemplo del valor de seguridad puede verse en una compra por internet. En esta compra, debemos ingresar nuestro nmero de tarjeta de crdito y nuestra contrasea. Esta informacin, debe viajar por la red, pasando por gran cantidad de zonas no seguras, y compartiendo el mismo espacio que documentos, msica, imgenes, entre otros datos. Sin embargo, el momento ms crtico en cuanto a la seguridad se ve en el momento en que mi informacin de la tarjeta de crdito, junto con los datos de otros miles de usuarios, llega a
una base de datos y es almacenada. Si un usuario malintencionado accediera a esta base de datos, no solo accedera a mis datos, sino a la de miles de usuarios ms. Y los accesos no autorizados a una red no son los nicos riesgos que se pueden tener. Tambin se encuentran los virus, el spam, entre otros. Estos ataques, aunque pueden parecer leves, no lo son en absoluto. Hace una dcada, los costos asociados a los ataques informticos ascendan a 100 millones de dlares, con un mximo de 800 millones de dlares. Si a eso sumamos la digitalizacin actual en las empresas, el comercio electrnico, las empresas basadas en informacin y las estadsticas que indican que solo 1 de 500 ataques son detectados y reportados, podemos dimensionar entonces el verdadero valor de estos delitos. Es entonces indispensable, casi exigible, que toda empresa que maneje redes de informacin y tenga sistemas computarizados, cree una normativa y una serie de polticas que garanticen la seguridad de sus datos y su informacin valiosa. Ese es, entonces el propsito de este curso, dar un acercamiento a los aprendices en cuanto a la creacin de polticas de seguridad para las organizaciones. 1.2.Definiciones Debido a que algunos conceptos tratados aqu pueden tener mltiples interpretaciones, se considera necesario establecer ciertos significados:
-
Seguridad: es calidad de seguro, y, seguro se define como libre de riesgo. Informacin: es accin y efecto de informar. Informar: dar noticia de una cosa Redes: conjunto sistemtico de caos e hilos conductores en vas de comunicacin o de agencias y servicios o recursos para determinado fin.

Uniendo estas definiciones, podemos establecer qu se entiende por Seguridad en redes. Seguridad en Redes: es mantener la provisin de informacin libre de riesgo y brindar servicios para un determinado fin. Si trabajamos en definir Seguridad en Redes con los elementos que conocemos podemos llegar a una definicin ms acertada: Seguridad en Redes: Seguridad en redes es mantener bajo proteccin los recursos y la informacin con que se cuenta en la red, a travs de procedimientos basados en una poltica de seguridad tales que permitan el control de lo actuado. 1.3. Seguridad Global
El concepto de red global incluye todos los recursos informticos de una organizacin, an cuando estos no estn interconectados: Redes de rea local (LAN) Redes de rea metropolitana (MAN) Redes nacionales y supranacionales (WAN) Computadoras personales, minis y grandes sistemas
Entonces, seguridad global es mantener bajo proteccin todos los componentes de una red global. A fin de cuentas, los usuarios de un sistema son una parte a la que no hay que olvidar ni menospreciar. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas. Obtener de los usuarios la concientizacin de los conceptos, usos y costumbres referentes a la seguridad, requiere tiempo y esfuerzo. Que los usuarios se concienticen de la necesidad y, ms que nada, de las ganancias que se obtienen implementando planes de seguridad, exige trabajar directamente con ellos, de tal manera que se apoderen de los beneficios de tener un buen plan de seguridad. (Por ejemplo: permite que se determine exactamente lo que debe hacer cada uno y cmo debe hacerlo, y, tambin las desviaciones que se pueden producir). De esta forma, ante
cualquier problema, es muy fcil determinar dnde se produjo o de dnde proviene. Para realizar esto, lo ms usado, y que da muy buenos resultados es hacer grupos de trabajo en los cuales se informen los fines, objetivos y ganancias de establecer medidas de seguridad, de tal manera que los destinatarios finales se sientan informados y tomen para s los conceptos. Este tipo de acciones favorece, la adhesin a estas medidas. 1.4. Impacto de las PSI en la organizacin La implementacin de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como administrativa. Por ejemplo, la disminucin de la funcionalidad o el decremento de la operatividad tal vez sea uno de los mayores problemas. Esto se puede aclarar de la siguiente manera: en un primer momento, el usuario, para acceder a tal recurso, deba realizar un solo login. Ahora, con la implementacin del nuevo esquema de seguridad, debe realizar dos logines: uno para ingresar al sistema y otro para acceder al recurso. El usuario visualiza esto como un nuevo impedimento en su tarea, en lugar de verlo como una razn de seguridad para l, pues de esta manera, se puede controlar ms el uso del recurso y, ante algn problema, ser mucho ms fcil establecer responsabilidades. Por otro lado, al poner en funcionamiento una nueva norma de seguridad, sta traer una nueva tarea para la parte tcnica (por ejemplo, cambiar los derechos a algo de algunos usuarios) y administrativamente, se les deber avisar por medio de una nota de los cambios realizados y en qu les afectar. 1.5. Visibilidad del proceso En un reciente estudio de Datapro Research Corp. se resuma que los problemas de seguridad en sistemas basados en redes responden a la siguiente distribucin: o Errores de los empleados 50% o Empleados deshonestos 15% o Empleados descuidados 15%
10
o Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad fsica de instalaciones 10% ) Se puede ver que el 80% de los problemas, son generados por los empleados de la organizacin, y, stos se podran tipificar en tres grandes grupos: o Problemas por ignorancia o Problemas por haraganera o Problemas por malicia De estos 3 problemas, el de la ignorancia es el ms fcil de atacar. Se deben llevar capacitaciones y entrenamientos peridicos a los usuarios en las reas digitales, y, aunque obvio para algunas personas, recordar de tanto en tanto, cosas que todos deben conocer. La haraganera, ms que un problema, es una tentacin, tanto para los usuarios, como para el administrador de las polticas. Sin embargo, cuando las personas ven las metas de los sistemas de seguridad y ven en la organizacin un ambiente no de censura sino de focalizacin de soluciones, tienden a evitar la haraganera o pereza, descargando gran cantidad de trabajo en la administracin y en la gerencia, entes responsables por la productividad de los empleados. Finalmente, la malicia se debe combatir con el desarrollo de lealtad en los trabajadores por su trabajo. Como vimos anteriormente, el 80% de los problemas de seguridad de una organizacin surgen de los empleados. Es por esto que ellos deben estar comprometidos con el desarrollo de las polticas. No nos cansaremos de enfatizar que el primer y ltimo elemento de la comunicacin son las personas. De este apartado surge el concepto de visibilidad, cuya idea principal es la de permitir que los usuarios puedan aportar en el desarrollo de dichas polticas y sean siempre conocidas las acciones tomadas, evitando as la unilateralidad de las decisiones y pudiendo llegar a obtener soluciones ms efectivas de las que se iban a tomar en un principio, al sopesar perspectivas diferentes a las planteadas por los expertos.
11
Igualmente, es necesario comunicar lo ms pronto posible cualquier cambio en las polticas de seguridad, comentar posibles modificaciones en los grupos de trabajo anteriormente sugeridos, recibir asesora en la parte legal para poder definir sanciones adecuadas a la norma impartida y hacer que los usuarios acepten las polticas, remarcando los beneficios de las mismas. 1.6. Implementacin de las Polticas Antes que nada, debe entenderse que la implementacin de dichas polticas es un proceso que une la parte tcnica con la parte administrativa. Si la gerencia no colabora de manera activa y fuerte en la implantacin de estas normas, la implementacin en toda la organizacin de estas puede verse truncada o limitada. De igual manera, si la parte tcnica genera gran cantidad de complicaciones en el acceso a la informacin, el costo comparativo entre complejidad y ganancias en seguridad puede ser disparejo y pueden, finalmente, dejarse de lado las estrategias de seguridad planteadas. Si no existe compromiso entre la parte gerencial y la parte tcnica de la organizacin, cualquier documento de seguridad que sea creado caer por su propio peso.

12
2. Polticas generales de Seguridad

2.1. Qu son? Las polticas de seguridad Informtica son un conjunto de protocolos o procedimientos que indican a las personas la manera de actuar frente a los recursos informticos de la empresa. Qu hacer frente a un ataque informtico? Cmo evitar intrusos en nuestro sistema?
Es necesario para la compaa, mtodos que permitan impedir estos ataques o cualquier fallo en nuestro sistema. Estos mtodos se indican en un conjunto de polticas de seguridad informtica que son vitales para la organizacin. Disminuyen la probabilidad de que estas fallas ocurran.

13
2.2. Por qu?
Los datos que se manejan dentro de la compaa son muy importantes. Estos pueden ser vctima de personas que intentan apoderarse de esos datos, datos tales como nmeros de cuenta, contraseas, documentos privados, etc., de tal forma que si tenemos un mal sistema de seguridad, estamos expuestos a estos daos. Es mejor prevenir que curar
2.3. Ventajas de las PSI Las PSI no generan un sistema ms ptimo, ni ms rpido, ni ms eficiente a la hora de procesar informacin, pero son vitales para la organizacin Correcta interaccin entre los sistemas y el usuario. Gestin de la informacin Permite realizar una adecuada accin frente a un suceso no deseado Reducir la probabilidad de ocurrencia de fallas

14
2.4. Procedimientos generales Los procedimientos que se designarn a continuacin son una sucesin cronolgica de operaciones concatenadas entre s, que se deben seguir al pie de la letra por todos y cada uno de los integrantes de la empresa.
2.4.1. Todos los usuarios del sistema deben llenar un formulario tal como el presentado en el anexo 1. 2.4.2. Si por algn motivo alguno de los trabajadores del sistema se debe retirar sea parcial o totalmente de la organizacin se debe llenar el formulario que se indica en el anexo 2. 2.4.3. Utilice la informacin y los sistemas slo para propsitos que apoyen el trabajo de la Institucin. 2.4.4. Se debe evitar utilizar los equipos institucionales para tareas como: bajar videos, msica, juegos, etc. Ya que estos, son la principal fuente de malware para los computadores (virus, spywares, adwares, etc.). 2.4.5. Se debe evitar el uso de dispositivos de almacenamiento porttiles externos a la Institucin como pendrives, CDs o DVDs que no hayan sido revisados y protegidos por la Unidad de Informtica. 2.4.6. Reporte los eventos no usuales que usted observe, ante las personas responsables de Informtica: 2.4.6.1. Informe cualquier cambio extrao encontrado en la informacin que usted tenga a cargo. 2.4.6.2. Reporte cualquier archivo que resulte en su disco duro que usted no haya copiado o creado. 2.4.6.3. Comunique inmediatamente a su jefe y a Informtica cualquier prdida de datos o programas (deje constancia escrita del caso). 2.4.7. Utilice medidas que reduzcan el riesgo de prdida, dao e intrusin de informacin: 2.4.7.1. Proteja su equipo contra humedad, fuego, dao, etc.

15
2.4.7.2. Asegrese que NADIE coma, beba o fume junto al computador. Los restos de comida, lquidos y cenizas daan las piezas electrnicas. 2.4.7.3. Mantenga a las personas no autorizadas y desconocidas lejos de su equipo. 2.4.7.4. No comparta para la red (en espacio pblicos) directorios o archivos de manera innecesaria, especialmente aquellos que contienen informacin confidencial. 2.4.7.5. No cuente sus claves a terceros y cmbielas a menudo. 2.4.7.6. NUNCA deje su equipo desatendido con su clave activada. Utilice a lo menos el bloqueo de usuario o de salvapantallas con clave. 2.4.7.7. No utilice software "pirata" (software sin licencia de uso). La Institucin cuenta con licencias para diversos productos y recomendaciones de software gratuitos tiles para tareas diversas. 2.4.8.Sobre passwords: A continuacin se enumeran cuatro importantes caractersticas que un buen password debe tener: 1. Tiene ocho o ms caracteres. 2. Mezcla minsculas y maysculas. 3. Mezcla letras con nmeros, signos de puntuacin y smbolos especiales como $ % & ". 4. Es fcil de recordar. Complicado?, S, pero hay varias tcnicas que se pueden utilizar para satisfacer esas cinco caractersticas. Por ejemplo, puede utilizar las letras iniciales de frases o de un verso: Eec%NsPT Cumple con las cuatro caractersticas: a. Es fcil de recordar (aunque no lo parece). Son las primeras letras de las palabras de "En estas condiciones, No se Puede Trabajar " y la coma se cambia por el signo de porcentaje (%). b. Tiene ocho caracteres. c. Mezcla minsculas y maysculas. d. Mezcla un smbolo especial: %.
16
Un Password Jams Debe Anotarse y Guardarse en el Sistema. Puede ocurrir que usted deba cambiar el password del sistema a su cargo cada mes y los primeros das no lo pueda recordar con facilidad y, por lo tanto, se vea "obligado" a apuntar en papel alguna cosa que le recuerde el password. Para el ejemplo anterior, un buen recordatorio podra ser: El Maestro. Otra medida importante de considerar con respecto a las passwords importantes, es nunca permitir al sistema, navegador de internet u otro programa que guarde las claves en memoria (normalmente en los navegadores de Internet aparece un mensaje como: Desea que guarde la clave para la prxima vez?), ya que esto permite que sean capturadas por otra persona que tenga acceso al computador tanto local como remotamente. Recuerde que una Password es como la Ropa Interior: Se debe cambiar a menudo. No se deja por ah, pues puede verla cualquiera. Cuanto ms grande ms protege. Es de uso personal y no se comparte ni con el mejor amigo. Observacin Adicional: Una forma de comprender por qu una contrasea con ms de ocho caracteres y que mezcle maysculas, minsculas, nmeros y signos especiales es ms difcil de descubrir, es calculando las posibles combinaciones que se pueden obtener. Ejemplo: Una contrasea de cuatro letras, donde no se tenga en cuenta las maysculas y las minsculas: 531.441 posibilidades aproximadamente. Si se utilizan ocho letras, teniendo en cuenta maysculas y minsculas, se tendran 72.301.961.339.136 posibilidades. Contraseas con diez caracteres donde se incluyan letras maysculas y minsculas y nmeros tendran 1.152.921.504.606.846.976 posibilidades.
17
Con contraseas elaboradas con 12 caracteres y que incluya letras maysculas, minsculas, nmeros y signos de puntuacin ofrecera 693.842.360.995.438.000.295.041 posibilidades. 2.4.9. Sobre los virus: Los siguientes son los procedimientos recomendados para prevenir problemas con virus informticos (para entender y realizar algunos de ellos siempre puede contar con el apoyo de la Unidad de Informtica): 1. Siempre ejecute el software de antivirus aprobado por la Unidad Informtica (no instale otros que no sean aprobados por esta) 2. No instale programas sin antes consultar a la Unidad de Informtica. 3. Actualmente, el correo electrnico es el mecanismo ms comn de transporte de virus informticos. Por esta razn: NUNCA abra archivos extraos anexados a los mensajes de correo electrnico que lleguen de un origen desconocido, sospechoso o poco confiable. Borre estos mensajes inmediatamente, sin abrirlos; luego brrelos nuevamente de la carpeta "Elementos eliminados" de su programa de correo electrnico. No enve y borre los correos tipo spam, cadenas, y cualquier otro correo que no est relacionado con las actividades propias de la institucin y que usted no haya solicitado. De la misma forma, evite almacenar correos electrnicos de esta especie, revise su bandeja de entrada peridicamente y elimine este tipo de emails peligrosos. Esta medida adems, permite utilizar mejor el costoso y valioso espacio en servidores. 4. No cambie la configuracin de su navegador de Internet bajo ninguna circunstancia, ya que la Unidad de Informtica se encarga de que funcione bajo los estndares seguros requeridos. 5. Siempre revise si hay virus en pendrives, DVDs, CDs o disquetes que vaya utilizar en su equipo.

18
3. Tipos de ataques y vulnerabilidades

19
ANEXO 1
En-core
PLANTILLA DE USUARIO
INFORMACIN DEL EMPLEADO
Nombre de empleado: Id. de empleado: Puesto: Superior: Fecha: Perodo de revisin: a Departamento:
1 DESCRIPCIN DEL EMPLEO Descripcin:
TRABAJOS A REALIZAR EN EL SISTEMA Descripcin:
Importancia:
Esencial
Importante
Deseable

20
ANEXO 2
En-core
PLANTILLA DE USUARIO
INFORMACIN DEL EMPLEADO
Nombre de empleado: Id. de empleado: Puesto: Superior: Fecha: Perodo de revisin: a Departamento:
1 DESCRIPCIN DEL EMPLEO Descripcin:
MOTIVOS DE RETIRO Descripcin:
Importancia:
Esencial
Importante
Deseable


Proyecto Final

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Proyecto Final

Caricato da

Copyright:

Formati disponibili

2012

Sistema de Polticas de Seguridad Informtica: En-Core

Daniel Santiago Mora Ortega SENA Redes y Seguridad 30/03/2012

2 Sistema de Polticas de Seguridad Informtica

3 Sistema de Polticas de Seguridad Informtica

4 Sistema de Polticas de Seguridad Informtica

5 Sistema de Polticas de Seguridad Informtica

7 Sistema de Polticas de Seguridad Informtica

11 Sistema de Polticas de Seguridad Informtica

2. Polticas generales de Seguridad

12 Sistema de Polticas de Seguridad Informtica

2.2. Por qu?

13 Sistema de Polticas de Seguridad Informtica

14 Sistema de Polticas de Seguridad Informtica

17 Sistema de Polticas de Seguridad Informtica

3. Tipos de ataques y vulnerabilidades

18 Sistema de Polticas de Seguridad Informtica

1 DESCRIPCIN DEL EMPLEO Descripcin:

TRABAJOS A REALIZAR EN EL SISTEMA Descripcin:

19 Sistema de Polticas de Seguridad Informtica

1 DESCRIPCIN DEL EMPLEO Descripcin:

MOTIVOS DE RETIRO Descripcin:

20 Sistema de Polticas de Seguridad Informtica

Potrebbero piacerti anche