UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERIA ESCUELA CIENCIAS FISICAS Y MATEMATICAS

Tema: Polticas de seguridad de la informacin Integrantes:

Las polticas de seguridad deben ser dinmicas, actualizarse constantemente para alinearse con la cultura organizacional, reflejar nuevas tendencias, considerar cambios en las prioridades del negocio, y confirmar que los controles establecidos siguen siendo efectivos. A continuacin se presentan diferentes aspectos que se deben considerar como polticas de seguridad.

Polticas de seguridad de claves

1. 2. 3. 4. Se deben utilizar al menos 8 caracteres para crear la clave se recomienda utilizar en una misma contrasea dgitos, letras y caracteres especiales Es recomendable que las letras alternen aleatoriamente maysculas y minsculas. Elegir una contrasea que pueda recordarse fcilmente y es deseable que pueda rpidamente, preferiblemente, sin que sea necesario mirar el teclado. 5. Las contraseas hay que cambiarlas con una cierta regularidad Acciones que deben evitarse en la gestin de contraseas seguras: 1. 2. 3. 4. 5. 6. 7. 8. 9. Se debe evitar utilizar la misma contrasea siempre en todos los sistemas o servicios No utilizar informacin personal en la contrasea Hay que evitar utilizar secuencias bsicas de teclado No repetir los mismos caracteres en la misma contrasea Hay que evitar tambin utilizar solamente nmeros, letras maysculas o minsculas en la contrasea No se debe utilizar como contrasea, ni contener, el nombre de usuario asociado a la contrasea No utilizar datos relacionados con el usuario que sean fcilmente deducibles, o derivados de estos No escribir ni reflejar la contrasea en un papel o documento donde quede constancia de la misma No se deben utilizar palabras que se contengan en diccionarios en ningn idioma ataque por diccionario 10. No enviar nunca la contrasea por correo electrnico o en un sms 11. Si se trata de una contrasea para acceder a un sistema delicado hay que procurar limitar el nmero de intentos de acceso, como sucede en una tarjeta de crdito y cajeros, y que el sistema se bloquee si se excede el nmero de intentos fallidos permitidos. En este caso debe existir un sistema de recarga de la contrasea o vuelta atrs 12. No utilizar en ningn caso contraseas que se ofrezcan en los ejemplos explicativos de construccin de contraseas robustas.

escribirse

13. No escribir las contraseas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso pblico (bibliotecas, cibercafs, telecentros, etc.) 14. Cambiar las contraseas por defecto proporcionadas por desarrolladores/fabricantes

Seguridad organizacional
Administrar la seguridad de la informacin dentro de la organizacin Se debe designar a un grupo de funcionarios la tarea de garantizar que el proceso de seguridad de la informacin se ejecute correctamente. Definir las responsabilidades de todos los funcionarios con respecto a la seguridad de la informacin. Se requiere autorizacin para utilizar informacin de la empresa fuera de las instalaciones. Los dispositivos de procesamiento de informacin personales dentro de las instalaciones de la empresa e podrn utilizar slo con autorizacin previa. El acceso de terceros a la infraestructura de la empresa (lgica y fsica) debe ser autorizado y documentado, con un compromiso de no causar dao al sistema.

Control de Recursos Brindar una proteccin apropiada a los recursos de la organizacin Cada recurso de la organizacin deber estar identificado y registrado. Cada recurso de la organizacin deber tener asignado un responsable. Seguridad del Personal
Asegurar que los usuarios estn al tanto de los riesgos de la seguridad de la informacin y sus consecuencias, controlando el riesgo de fallas humanas, fraude, o mal uso de los recursos Se considerarn las responsabilidades de cada funcionario en la fase de contratacin del personal, se considerar para ello el uso de acuerdos de confidencialidad como parte de los trminos y condiciones de empleo. Todos los empleados deben recibir capacitacin en los requisitos de seguridad de la organizacin, en sus responsabilidades legales y en el correcto uso de las instalaciones de procesamiento de informacin. Los incidentes (o aparentes incidentes) de seguridad debern ser reportados a travs de un proceso formalmente establecido tan pronto como sea detectado. Se establecer un proceso disciplinario formal para funcionarios que han comprometido intencionalmente la seguridad de la organizacin o que han violado los procedimientos o las polticas de seguridad.

Seguridad Fsica Prevenir el acceso no autorizado, dao e interferencia a las premisas del negocio y a la informacin.

 Las instalaciones de procesamiento o almacenamiento de informacin crtica o sensible del negocio deben estar en reas seguras bajo controles de entrada. Protegindolas de acceso no autorizado, dao e interferencia. Los visitantes de reas seguras deben ser registrados y supervisados; y, contar con autorizacin para un propsito especfico. El acceso a informacin sensible de la organizacin, y a las instalaciones de procesamiento de informacin debe ser controlado, y llevado a cabo con autorizacin. Se implementar un sistema confiable de deteccin de intrusos en zonas seguras. La informacin de respaldo ser almacenada en otra localidad para limitar el dao causado por un desastre en el sitio principal. El personal no debe conocer los procesos que se realizan dentro de las zonas seguras, a menos que cuenten con una autorizacin basada en la necesidad de dicho conocimiento. Los equipos crticos deben estar protegidos fsicamente de amenazas de seguridad y riesgos ambientales, incluyendo controles para robo y fuego. Los equipos crticos deben estar protegidos de fallas de energa, para ello se consideran los siguientes controles:

Mltiples circuitos para evitar un apagado masivo en caso de sobrecarga de dicho circuito. Sistema de Suministro de energa ininterrumpido Conmutadores de emergencia Se debe almacenar los registros de los mantenimientos realizados Administracin de operaciones y comunicaciones Asegurar la operacin segura y correcta de las instalaciones de procesamiento de informacin Los procesos operativos importantes deben estar debidamente documentados y tratarse como informacin formal cuya edicin requiere autorizacin. Debe tomarse precauciones para evitar que los funcionarios, abusando de sus privilegios, puedan perpetrar fraudes o ataques sin ser detectados. Las demandas de capacidad deben ser monitoreadas, y los requerimientos futuros proyectados, para evitar la saturacin de los recursos y por tanto garantizar la continuidad normal de las operaciones. En caso de requerirse, la contratacin de mayor capacidad debe ser justificada con documentacin tcnica que demuestre que no afectar adversamente el funcionamiento de los sistemas existentes, y que demuestre que sea considerado su efecto en la seguridad global de la organizacin.
Se debe implementar controles para prevencin y deteccin de software malicioso, considerando los siguientes controles: Todo archivo obtenidos de fuentes externas debe ser revisado por el personal de sistemas. Uso de un sistema antivirus Revisin de archivos en correos electrnicos Se deben realizar copias de respaldo de informacin esencial de forma regular para lo que se ha considerado los siguientes controles: Identificar la informacin crtica. Almacenar esta informacin en un sitio remoto junto con procedimientos de restauracin.

Los administradores de red deben implementar controles para garantizar la seguridad en las redes de datos y la proteccin de los servicios de accesos no autorizados, para lo que se debe generar una poltica en relacin al uso de servicios de red incluyendo las redes y servicios de red permitidos, los procesos de autorizacin, y administracin de controles para proteger el acceso a las conexiones de red y a los servicios de red.

Control de Acceso Controlar el acceso a la informacin Se debe establecer reglas para el control de acceso Debe haber un mtodo de registro para obtener acceso a los recursos de la red, el cual establezca seguridades acordes a la aplicacin. Los usuarios deben acceder solamente a los servicios para los que han sido autorizados. Se requiere el desarrollo de polticas de control de acceso para redes compartidas que restringa la capacidad de conexin de los usuarios, para ello se consideran controles basados en firewall, uso del canal y enrutamiento de la red.

Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica

A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el xito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informtica. Otros inconvenientes lo representan los tecnicismos informticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informtica o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "ms dinero para juguetes del Departamento de Sistemas". Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen informacin sensitiva y por ende su imagen corporativa. Ante esta situacin, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos.

Las principales dificultades a la hora de implementar la Gestin de la Seguridad se resumen en:

No existe el suficiente compromiso de todos los miembros de la organizacin TI con el proceso. Se establecen polticas de seguridad excesivamente restrictivas que afectan negativamente al negocio. No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, ...). El personal no recibe una formacin adecuada para la aplicacin de los protocolos de seguridad. Falta de coordinacin entre los diferentes procesos lo que impide una correcta evaluacin de los riesgos.

Medidas De Seguridad Para Base De Datos

Fsicas: Controlar el acceso al equipo. Tarjetas de acceso, etc Personal: Acceso slo del personal autorizado. Evitar sobornos, etc. SO: Seguridad a nivel de SO SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc.

Un SMBD cuenta con un subsistema de seguridad y autorizacin que se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado.
Identificar y autorizar a los usuarios: uso de cdigos de acceso y palabras claves, exmenes, impresiones digitales, reconocimiento de voz, barrido de la retina, etc Autorizacin: Usar derechos de acceso dados por el terminal, por la operacin que puede realizar o por la hora del da. Uso de tcnicas de cifrado: para proteger datos en Base de Datos distribuidas o con acceso por red o internet. Diferentes tipos de cuentas: En especial del ABD con permisos para: creacin de cuentas, concesin y revocacin de privilegios y asignacin de los niveles de seguridad. Manejo de la tabla de usuarios con cdigo y contrasea, control de las operaciones efectuadas en cada sesin de trabajo por cada usuario y anotadas en la bitcora, lo cual facilita la auditora de la Base de Datos.

Los siguientes siete requisitos son esenciales para la seguridad de la base de datos:

La base de datos debe ser protegida contra el fuego, el robo y otras formas de destruccin. Los datos deben ser re construibles, porque por muchas precauciones que se tomen, siempre ocurren accidentes. Los datos deben poder ser sometidos a procesos de auditora. La falta de auditora en los sistemas de computacin ha permitido la comisin de grandes delitos. El sistema debe disearse a prueba de intromisiones. Los programadores, por ingeniosos que sean, no deben poder pasar por alto los controles. Ningn sistema puede evitar de manera absoluta las intromisiones malintencionadas, pero es posible hacer que resulte muy difcil eludir los controles. El sistema debe tener capacidad para verificar que sus acciones han sido autorizadas. Las acciones de los usuarios deben ser supervisadas, de modo tal que pueda descubrirse cualquier accin indebida o errnea

Medidas De Seguridad Para Sistemas Operativos

Los sistemas operativos proveen algunos mecanismos de proteccin para poder implementar polticas de seguridad. Las polticas definen qu hay que hacer (qu datos y recursos deben protegerse de quin; es un problema de administracin), y los mecanismos determinan cmo hay que hacerlo. Esta separacin es importante en trminos de flexibilidad, puesto que las polticas pueden variar en el tiempo y de una organizacin a otra. Los mismos mecanismos, si son flexibles, pueden usarse para implementar distintas polticas.

Un aspecto importante de la seguridad es el de impedir la prdida de informacin, la cual puede producirse por diversas causas: fenmenos naturales, guerras, errores de hardware o de software, o errores humanos. La solucin es una sola: mantener la informacin respaldada, de preferencia en un lugar lejano. Otro aspecto importante de la seguridad, es el que tiene que ver con el uso no autorizado de los recursos:

Lectura de datos.
Modificacin de datos. Destruccin de datos. Uso de recursos: ciclos de CPU, impresora, almacenamiento.

Fallos lgicos o fsicos que destruyan los datos.

Evitar prdidas de datos por fallos hardware o software (fallo disco, etc.). Normalmente suelen ser fallos de disco o prdida de memoria RAM. Aparte del punto de vista de los SGBD, intervienen otros niveles (ej: discos replicados, etc.) A pesar de estos posibles fallos la base de datos debe quedar siempre en un estado consistente.

Las Tres Principales Caractersticas De La Seguridad

Lo que se debe mantener en una base de datos son la confidencialidad, la integridad y la disponibilidad de la informacin. - Los datos contenidos en una Base de Datos pueden ser individuales o de una Organizacin. Sean de un tipo o de otro, a no ser que su propietario lo autorice, no deben ser desvelados. Si esta revelacin es autorizada por dicho propietario la confidencialidad se mantiene. Es decir, asegurar la confidencialidad significa prevenir/ detectar/ impedir la revelacin impropia de la informacin.

La Seguridad (Fiabilidad ) Del Sistema

El concepto de Seguridad lo medimos en: La proteccin del sistema frente a ataques externos. La proteccin frente a cadas o fallos en el software o en el equipo. La proteccin frente a manipulacin por parte del administrador. El analista de sistemas que se hace responsable de la seguridad debe estar familiarizado con todas las particularidades del sistema, porque este puede ser atacado con fines ilcitos desde muchos ngulos. A veces se presta mucha atencin a alguno de los aspectos del problema mientras se descuidan otros.