FASE 2 Objetivo

En esta semana estudiaremos con ms profundidad las polticas de seguridad informtica, el significado de un manual de procedimientos para nuestra organizacin, y diversos mtodos para evaluar el valor de la informacin de la misma.

POLTICAS GENERALES DE SEGURIDAD Objetivos del tema

Conocer mecanismos de definicin de polticas de seguridad informtica Conocer modelos para dar valor a los datos de las organizaciones Aprender el concepto de "procedimiento". Usar los conceptos de procedimiento y checklist para aprender a crear un manual de procedimientos.

POLTICAS GENERALES DE SEGURIDAD

Qu son entonces las polticas de seguridad informtica (PSI)?

Como hemos dicho anteriormente en repetidas ocasiones, el principio y final de toda red es el usuario. Esto hace que las polticas de seguridad deban, principalmente, enfocarse a los usuarios: una poltica de seguridad informtica es una forma de comunicarse con los usuarios y los gerentes. Indican a las personas cmo actuar frente a los recursos informticos de la empresa, y sobre

Curso de redes y seguridad Fase 2

todo, no son un conjunto de sanciones, sino ms bien una descripcin de aquello valioso que deseamos proteger y por qu.

Cules son los elementos de una poltica de seguridad informtica?

Si las decisiones tomadas en relacin a la seguridad, dependen de las PSI, cada persona debe estar en disposicin de aportar lo necesario para poder llegar a una conclusin correcta de las cosas que son importantes en la empresa y que deben ser protegidas. Es por esto que una PSI debe tener los siguientes elementos:

Rango de accin de las polticas. Esto se refiere a las personas sobre las cuales se posa la ley, as como los sistemas a los que afecta. Reconocimiento de la informacin como uno de los principales activos de la empresa. Objetivo principal de la poltica y objetivos secundarios de la misma. Si se hace referencia a un elemento particular, hacer una descripcin de dicho elemento.

Responsabilidades generales de los miembros y sistemas de la empresa. Como la poltica cubre ciertos dispositivos y sistemas, estos deben tener un mnimo nivel de seguridad. Se debe definir este umbral mnimo. Explicacin de lo que se considera una violacin y sus repercusiones ante el no cumplimiento de las leyes. Responsabilidad que tienen los usuarios frente a la informacin a la que tienen acceso.

Curso de redes y seguridad Fase 2

Ahora, aunque las PSI deben poseer estos elementos expuestos, tambin debe llevar, implcitos en cada tem, algunas caractersticas:

Siempre se debe tener en cuenta cuales son las expectativas de la organizacin frente a las PSI, qu es lo que espera de ellas en cuanto a seguridad y eficacia.

Siempre que se redacten, las PSI deben permanecer libre de tecnicismos que dificulten su comprensin por parte de cualquier persona de la organizacin.

Cada poltica redactada, debe explicar el porqu se toma dicha decisin y por qu se protegen esos servicios o conocimientos particulares. Toda PSI debe ser vigilada por un ente, una autoridad, que la haga cumplir y apique los correctivos necesarios. Sin embargo, no debe confundirse una PSI con una ley, y no debe verse como tal.

As como las caractersticas y elementos de una empresa cambian, tambin deben hacerlo las PSI, por lo que debe tenerse en cuenta, al redactarlas, que deben establecer un esquema de actualizacin constante, que dependa de las caractersticas de la organizacin.

No hay nada obvio. Se debe ser explcito y concreto en cuanto a los alcances y propuestas de seguridad. Esto evita gran cantidad de malos entendidos, y abre el camino para el establecimiento de la poltica de seguridad especfica.

Cmo se establecen las polticas de seguridad? Recomendaciones.

Hemos revisado las caractersticas generales de las PSI y los elementos implcitos en cada observacin, pero tenemos un esquema de cmo

Curso de redes y seguridad Fase 2

formularlas o establecerlas? He ac entonces varias recomendaciones de cmo idearlas y llevarlas a cabo:

Antes que nada, se debe hacer una evaluacin de riesgos informticos, para valorar los elementos sobre los cuales sern aplicadas las PSI.

Luego, deben involucrarse, en cada elemento valorado, la entidad que maneja o posee el recurso, ya que ellos son los que tienen el conocimiento y la experiencia manejando ese elemento particular.

Despus de valorar los elementos e involucrar al personal, debe explicarles cuales son las ventajas de establecer PSI sobre los elementos valorados, as como los riesgos a los cuales estn expuestos y las responsabilidades que les sern otorgadas.

El siguiente paso es determinar quines son las personas que dan las rdenes sobre los elementos valorados en la empresa. Ellos deben conocer el proceso de las PSI, ya que sobre ellos recae la responsabilidad de los activos crticos.

Finalmente, deben crearse mecanismos para monitorear a los elementos valorados, las personas involucradas y los altos mandos directores de los elementos. Esto con el objetivo de actualizar fcilmente las PSI cuando sea necesario.

Curso de redes y seguridad Fase 2

Proposicin de una forma de realizar el anlisis para llevar a cabo un sistema de seguridad informtica

Antes que nada, se crea una base de anlisis para el sistema de seguridad, que est basada en varios elementos: Factor humano de la empresa Mecanismos y procedimientos con que cuenta la empresa Ambiente en que se desenvuelve la organizacin Consecuencias posibles si falla la seguridad de la empresa Amenazas posibles de la empresa.

Luego de evaluado todo este conjunto de elementos, que conforman la base del anlisis del sistema de seguridad se procede a realizar el programa de seguridad, El cual contiene todos los pasos a tomar para asegurar la seguridad deseada. Luego de realizado este programa, se pasa al plan de accin, que posee todas las acciones a llevar a cabo para implantar el programa de seguridad. El paso siguiente es crear un manual de procedimientos y normativas, que sern en suma la forma en la que cada

Curso de redes y seguridad Fase 2

elemento del programa debe ser aplicado en el elemento correspondiente, y las acciones a llevar a cabo luego de violada una norma.

Mientras los programas de seguridad, plan de accin y procedimientos son llevados a cabo, se debe ejercer un control y vigilancia de cada uno de ellos, para asegurar su realizacin. Este control debe ser auditado, con el propsito de generar los logfiles o archivos de evidencias, que pueden ser revisados en cualquier momento para analizar la forma en la que fue llevado a cabo el control y poder generar cualquier cambio. La auditada realizada tambin sirve para generar simulaciones que permitan probar el sistema. Estas

simulaciones pasan por una revisin que da fe del desempeo de las polticas de seguridad, y que ayuda a modificar las bases del anlisis, as como el programa, plan y las normativas de seguridad.

El establecimiento de las polticas de seguridad es un proceso dinmico.

Razones por las que las polticas de seguridad informtica generalmente no se implantan.

Aunque no todas las empresas son conscientes de los riesgos que corren al no tener PSI en su organizacin, algunas gastan gran cantidad de tiempo y esfuerzo definindolas, convenciendo a los altos mandos (labor

extremadamente ardua, ya que estas polticas no aumentan el rendimiento del sistema y a veces lo vuelven ms complicado), para que finalmente sean escritas y archivadas para nunca ser usadas. Qu pasa en esos casos? Por qu ocurre esto?

Muchos factores concurren en la no implantacin de las polticas. Uno de ellos, ya tocado anteriormente, es el vocabulario tcnico que los expertos de

Curso de redes y seguridad Fase 2

seguridad manejan. Hacen poco entendible las normas, por la que los empleados las ignoran y siguen actuando de manera convencional.

Otro de los factores que generalmente se olvida en el establecimiento de las polticas es algo, que aunque ajeno al conocimiento general de los expertos, es muy importante: estrategia de mercadeo. Las polticas de seguridad deben ser presentadas a los altos mandos, y ellos deben ver una retribucin en esa inversin, ya que si no se muestra de manera explcita y obvia, podrn pensar que la inversin solo es un juguete para ingenieros. Los gerentes deben conocer de manera clara las consecuencias de sus decisiones, lo mejor y lo peor que puede pasar. Las polticas deben integrarse a las estrategias de negocio, misin y visin todo esto para que se conozca el efecto de las PSI sobre las utilidades de la compaa. MERCADEO!

Un tercer elemento es la ausencia de conexin entre las acciones diarias de los empleados y las PSI. Estas deben ir acompaadas de una visin de negocio que promueva las actividades diarias de los empleados, actividades donde se identifican las necesidades y acciones que hacen existir a las polticas.

Para evitar que las polticas no sean implantadas en la compaa, se dejan algunas recomendaciones tiles a la hora de presentarlas a los miembros de la organizacin.

Cree ejemplos donde se den fallas de seguridad que capten la atencin de las personas. Haga que estos ejemplos se conecten a las estrategias de la organizacin Muestre una valoracin costo-beneficio ante posibles fallas de seguridad

Curso de redes y seguridad Fase 2

Justifique la importancia de las PSI en funcin de hechos y situaciones CONCRETAS, que muestren el impacto, limitaciones y beneficios de estas sobre los activos de la poblacin.

Las polticas de seguridad informtica como base de la administracin de la seguridad integral.

Las PSI se definen como el conjunto de lineamientos que una organizacin debe seguir para garantizar la seguridad de sus sistemas, lineamientos que constituyen un compromiso de la organizacin para actuar de manera apropiada en situaciones que vulneren la seguridad de la misma. Es por esta razn que se agrupan en el conjunto de acciones usadas por la empresa para proteger sus activos. Sin embargo, siendo lineamientos, estas polticas no constituyen una garanta para la seguridad de la organizacin.

Teniendo en cuenta estas premisas, podemos estratificar la seguridad en varios niveles:

Estrato de marco jurdico Estrato de medidas tcnico-administrativas (procedimientos para la creacin de funciones, administracin de la seguridad, auditora de sistemas de informacin interna)

Esta estratificacin es muy importante porque define los lmites de las personas encargadas de cada uno de los temas concernientes a la seguridad. Ambos estratos deben ser independientes y nunca una persona encargada de un estrato puede intervenir o administrar el otro. En cada estrato debe haber una definicin de funciones y una separacin suficiente de tareas. En este caso, en el estrato tcnico - administrativo por ejemplo, pueden existir coordinadores en

Curso de redes y seguridad Fase 2

cada rea funcional y geogrfica de la organizacin, dependiendo de la complejidad de la misma. No tiene lgica que un coordinador autorice una transaccin de informacin del sistema al exterior, y luego l mismo la revise. Esto da pie a fraudes o a encubrimientos de anomalas. Deben intervenir siempre personas diferentes en cada elemento del sistema de seguridad.

Esto es llamado seguridad integral: varios usuarios responsables de la poltica de seguridad informtica, engranados en un sistema de seguridad global de la organizacin (como o es la seguridad fsica de las instalaciones, los planes de contingencia ante situaciones financieras graves, etc).

Riesgos en la organizacin

Las entidades nunca estarn exentas de riesgos inherentes a su naturaleza. Siempre existir la posibilidad de que se d una violacin a la seguridad o un error respecto a la transferencia de informacin. Lo ideal sera que cualquier error que vulnere la seguridad del sistema sea suprimido, pero dichas supresiones tienen un costo asociado. Veamos un ejemplo:

Supongamos que un usuario va a acceder a informacin especfica de la empresa. Una de las polticas de seguridad ms usadas es la consistente en que el usuario se identifique y se autentique su identidad (poltica de login y password). Y ahora, supongamos que este usuario tomar la informacin de la empresa para llevarlas, fsicamente, a otra empresa. En este caso, se usa otra poltica de seguridad basada en el cifrado o encriptado de datos (generacin de un cdigo que encripte y desencripte la informacin dependiendo del usuario), para que, si el dispositivo que contiene la informacin cae en otras manos, estos no puedan ver la informacin. Si quisiramos asegurarnos de que la informacin es obtenida por ese usuario autorizado y solo ese usuario,

Curso de redes y seguridad Fase 2

podramos incluir en la autenticacin, medidas biomtricas como la deteccin de la huella digital, el iris, firma con reconocimiento automtico, etc. Pero cada uno de estos elementos, como se indic anteriormente, posee un costo econmico.

Es entonces necesario saber hasta qu nivel deseamos exponer nuestra organizacin a riesgos (detectar los riesgos y tomar decisiones a partir de esta deteccin), o ciertos elementos de nuestra organizacin a vulnerabilidades den pro del costo econmico asociado. El riesgo mximo que puede soportar la organizacin es una decisin primordial para la definicin de PSI, y debe contemplar, entre muchos elementos, algunos muy comunes. Expondremos ac algunos de estos elementos:

Accesos indebidos a datos (generalmente a travs de las redes) Perdida de dispositivos magnticos o slidos con informacin crtica de la organizacin. Daos fsicos a los elementos que guardan la informacin (incendios, inundaciones, terremotos) Variacin o copia indebida de programas para beneficio personal o para causar un dao. Los Hackers y crackers. Los primeros, acceden a los sistemas para detectar vulnerabilidades y los segundos acceden a los sistemas para generar estragos y daos a la organizacin.

Los virus. Esta amenaza, aunque latente, es de menor importancia ahora que antes, ya que la configuracin de los sistemas actuales permite mayor seguridad y flexibilidad en estos temas.

En definitiva, las amenazas pueden llegar a afectar los datos, las personas, los equipos, los programas, o en un caso extremo, a todos de ellos (desastres

10

Curso de redes y seguridad Fase 2

naturales, por ejemplo). Qu es lo ms crtico que debe protegerse? Sin dudarlo, y como respuesta inicial, las personas resultan el punto ms crtico de proteccin. Nada vale ms que una vida humana, y la organizacin puede reiniciar sus operaciones con un buen factor humano. En segundo caso, los datos son el elemento ms crtico de la organizacin luego de los empleados.

Ahora, aunque el umbral de riesgo es escogido por los altos mandos para la configuracin de las PSI, existen unos niveles de trabajo con la informacin que no pueden ser ignorados, y que deben aplicarse en todo momento para proteger la informacin. Estos niveles de ri se vern a continuacin.

Niveles de trabajo con los datos.

Los niveles de datos son los siguientes:

Confidencialidad: se refiere a la proteccin de la informacin respecto al acceso no autorizado, sea en los elementos computarizados del sistema o en elementos de almacenamiento.

Integridad: Proteccin de la informacin respecto a modificaciones no autorizadas, tanto a la almacenada en los elementos computarizados de la organizacin como la usada como soporte. Estas modificaciones pueden llevarse a cabo de manera accidental, intencional, o por errores de hardware-software.

Autenticidad: Garanta de que el usuario autorizado para usar un recurso no sea suplantado por otro usuario. No Repudio: Al ser transferida un conjunto de datos, el receptor no puede rechazar la transferencia, y el emisor debe poder demostrar que envi los datos correspondientes.

11

Curso de redes y seguridad Fase 2

Disponibilidad de los recursos y de la informacin: proteccin de los elementos que poseen la informacin de manera que en cualquier momento, cualquier usuario autorizado pueda acceder a ella, sin importar el problema que ocurra.

Consistencia: capacidad del sistema de actuar de manera constante y consistente, sin variaciones que alteren el acceso a la informacin Control de Acceso: posibilidad de controlar los permisos a cualquier usuario para acceder a servicios o datos de la organizacin Auditora: capacidad para determinar todos los movimientos del sistema, como accesos, transferencias, modificaciones, etc, en el momento en que fueron llevados a cabo (fecha y hora).

En que basar la estrategia de seguridad?

Si yo como responsable de la estrategia de seguridad de mi empresa fuera a realizarla, en qu me debo basar? Afortunadamente para nosotros, existe un procedimiento o algoritmo muy conocido y usado para dirigir las estrategias de seguridad de una organizacin. Es conocido como el algoritmo Productor/ consumidor.

Qu es este algoritmo? No es ms que un modelo que permite observar las diversas vulnerabilidades de un sistema (niveles de trabajo), y a partid de ellos, permite hacer un anlisis de los posibles pasos a seguir.

El algoritmo est compuesto por 2 entidades: El productor y el consumidor. El productor es el encargado de crear la informacin, y el consumidor es el encargado de recibir y usar la informacin. Existe una tercera entidad llamada los otros, que son aquellos que no estn autorizados a recibir la informacin. Si se establece una comunicacin directa entre productor y consumidor, sin

12

Curso de redes y seguridad Fase 2

trabas, por un largo perodo de tiempo, diremos que hemos creado un sistema seguro.

Existen eventos o usuarios que pueden provocar alteraciones en esta comunicacin. El estudio de la seguridad, en pocas palabras, se basa en la determinacin, anlisis y soluciones de las alteraciones del algoritmo

Ahora, con este modelo, podemos definir 4 tipos de alteraciones principales a este modelo, mostradas a continuacin:

Hasta ac hemos usado de manera genrica el vocablo recurso, pero debemos definirlo de una manera correcta para poder seguir entendiendo el algoritmo productor/consumido (o algoritmo P-C).

Los recursos se pueden definir como todos aquellos bienes, de cualquier ndole, que permiten el correcto funcionamiento y existencia de la organizacin.
Curso de redes y seguridad Fase 2

13

De manera que podemos definir 3 tipos de recursos: Fsicos: compuestos por todo elemento fsico que sostenga la informacin de la red, como computadores, impresoras, routers, servidores, suiches, etc. Lgicos: Todos aquellos recursos que contienen la informacin de la organizacin, como bases de datos, listados, documentos, etc. Servicios: son principalmente programas o aplicaciones que nos permiten realizar algn tipo de trabajo, como el correo electrnico, los procesadores de texto, etc.

Con este trmino claramente definido, procedemos a explicar cada una de las vulnerabilidades, teniendo en cuenta que cualquier accin que se lleve a cabo para mantener estable el modelo, tiene como objetivo atacar uno de los 4 casos.

Todas las acciones correctivas que se lleven a cabo con el fin de respetar el modelo estarn orientadas a atacar uno de los cuatro casos. Explicaremos y daremos ejemplos de cada uno de ellos.

El caso nmero uno es el de Interrupcin. Este caso afecta la disponibilidad del recurso (tener en cuenta la definicin de recurso: fsico, lgico y servicio).

Por ejemplo:

14

Curso de redes y seguridad Fase 2

El segundo caso es el de Intercepcin, en el cual se pone en riesgo la privacidad de los datos.

El tercer caso, Modificacin afecta directamente la integridad de los datos que le llegan al consumidor

15

Curso de redes y seguridad Fase 2

El cuarto y ltimo caso es el de la produccin impropia de informacin. En ste, la informacin que recibe el consumidor es directamente falaz.

Una vez que estamos enterados de que hay slo cuatro posibles casos de causas posibles de problemas, Qu se hace? Hay que identificar los recursos dentro de la organizacin.

Establecimiento de riesgos de los recursos de la organizacin

Es claro hasta ahora que el principal objetivo de una PSI es asegurar los elementos de una organizacin, y que el estudio de la seguridad consiste en

16

Curso de redes y seguridad Fase 2

permanecer constante el algoritmo P-C. Ahora incluiremos otro elemento importante a la hora de definir nuestras polticas, y es el concepto de valor de riesgo.

El umbral de riesgo que puede aceptar una organizacin debe tener una forma cuantificable para ser medida, que permita identificar de quien se protege el recurso, cual es el recurso a proteger, y cmo debe protegerse. Nunca ser igual de prioritario proteger una impresora de la empresa, que la base de datos de clientes de la misma. Cmo generamos una valoracin apropiada entonces de estos elementos? Usando 2 criterios:

Nivel de importancia del recurso. (Llamado Ri) Severidad de la prdida del recurso. (Llamado Wi)

Recordemos que en unidades anteriores coincidimos en que debamos integrar a los dueos y administradores de los recursos en las PSI ya que ellos tenan el conocimiento para manejarlo. Este es el caso en que ellos deben intervenir para generar la valoracin de sus elementos.

Para generar una cuantificacin del riesgo asociado a los recursos de la organizacin, los expertos en cuada uno de los recursos asignar un valor numrico, entre 1 y 10 (los umbrales son subjetivos. As como puede ser entre 1y 10, puede ser entre 1 y 20, 1 y 100, etc) a Ri y a Wi. Si e valor es de 10, es porque el recurso es muy importante o la severidad de su prdida es muy alta, lo mismo ocurre en sentido contrario.

A partir de esto, podemos definir la valoracin de riesgo como el producto entre Ri y Wi, as:

17

Curso de redes y seguridad Fase 2

WRi = Ri * Wi

Ejemplo prctico

Supongase una red simplificada con un router, un servidor y un bridge.

Despus de que los expertos generan las valoraciones de los elementos de la red, se obtienen los siguientes datos:

Router: R1 = 6, W1 = 7

Bridge: R2 = 6, W2 = 3

18

Curso de redes y seguridad Fase 2

Servidor: R3 = 10, W3 = 10

El clculo de los riesgos evaluados, ser, para cada dispositivo:

Router: WR1 = R1 * W1 = 6 * 7 = 42

Bridge: WR2 = R2 * W2 = 6 * 3 = 1.8

Servidor: WR3 = R3 * W3 = 10 * 10 = 100

En la siguiente tabla podemos observar cmo tabular estos datos de manera organizada para poder determinar el riesgo de los elementos de la organizacin:

Por los puntajes es evidente que el servidor es aquel elemento con mayor riesgo, y el que debe protegerse de manera prioritaria. Con este dato procederamos a buscar soluciones para proteger nuestro servidor de amenazas externas.

19

Curso de redes y seguridad Fase 2

Este anlisis debe hacerse para todos los elementos de la organizacin, sin importar que tan superficial u obvio sea, que pueda incidir en la seguridad de la organizacin y que pueda ser vulnerado. Cules son estos recursos? Podemos reunirlos en 6 grupos principales:

Personas: los usuarios y las personas que operan los sistemas. Las personas siempre sern el primer bloque de importancia de una organizacin.

Hardware: Todo elemento externo que pueda procesar, contener, mostrar o transportar datos.

Software: herramientas tecnolgicas para procesar los datos. Datos: Aquellos que se almacenan, se transportan, se almacenan fuera de los elementos de hardware, backups, etc.

Documentacin:

toda

la

informacin

usada

para

aprender

el

funcionamiento de los sistemas de la organizacin. Accesorios: Elementos usados para soportar el trabajo en la organizacin.

Anteriormente dijimos que la mayor parte de los problemas de seguridad provenan de los miembros internos de la organizacin (80%), y el restante de personas fuera de la organizacin. Es por esto que debemos basar nuestra poltica en el control de los empleados internos, sabiendo quines usarn los recursos y qu van a hacer con ellos.

Este punto de los usuarios es muy importante. Para definir lo que cada uno de los usuarios puede hacer en el sistema se realizan un conjunto de listas en las que se engloban, en grupos de trabajo, aquellos que pueden acceder a determinado recurso y los privilegios de acceso. Un ejemplo de esta tabla es la siguiente:

20

Curso de redes y seguridad Fase 2

Ahora, cmo protegernos de las intromisiones de usuarios no deseados? La respuesta a esto se encuentra en el uso de checklist para comprobar el funcionamiento de los sistemas de la organizacin. Estos checklist deben

hacer parte de una agenda, en la que se consignan las actividades que deben llevarse a cabo y con la regularidad que se requiera. La agenda de checklist, como veremos ms adelante, es un procedimiento.

Un ejemplo de este chequeo se ve a continuacin:

Chequeos:

Diarios: Extraccin de un logstico sobre el volumen de correo transportado y las conexiones de red creadas durante las 24 horas del da

Semanal Extraccin de un logstico del nmero de ingresos desde afuera de la red interna Logstico de el nmero de conexiones externas hechas desde el interior de la red

21

Curso de redes y seguridad Fase 2

Logstico sobre downloads y usuario que los hizo. Logstico sobre conexiones realizadas en horarios no convencionales Logstico grficos sobre el trfico de la red.

Mensual Comparacin de los logsticos de las semanas para detectar anomalas y cambios.

Todos estos logsticos pueden llevarse a cabo con software especializado, el cual informar de cualquier anomala en el sistema para tomar los correctivos convenientes.

Qu

es

para

que

deseamos

un

procedimiento

en

nuestra

organizacin?

Un procedimiento se define como una sucesin cronolgica de operaciones concatenadas entre s, con el objetivo de obtener un fin o meta. Como nuestra meta es mantener la seguridad de la organizacin, y mantener estable el algoritmo P-C, debemos contar con una serie de procedimientos que nos permitan responder de manera apropiada a las situaciones ms comunes. Todos estos procedimientos se deben almacenar en un manual de procedimientos que debe ser seguido al pie de la letra. En muchos casos, la norma ISO se otorga a aquellas organizaciones con un manual de procedimientos estructurado en cuanto a la seguridad informtica. Haremos un recuento de los procedimientos ms usados en los manuales de seguridad informtica, con una breve explicacin de su funcionamiento. Recordemos, antes que nada, que todo procedimiento debe tener indicado quin es el encargado del mismo, y que debe hacer en caso de variaciones.

22

Curso de redes y seguridad Fase 2

Procedimiento de alta de cuenta de usuario Este procedimiento se lleva a cabo para cuando se requiere una cuenta de operacin para cualquier usuario. Se debe llenar entonces un formulario en el que existan datos como: Nombre y apellido Puesto de trabajo Jefe que avala el pedido Trabajos a realizar en el sistema Tipo de cuenta Fecha de caducidad Permisos de trabajo Etc.

Procedimiento de baja de cuenta de usuario Si un empleado de la organizacin se debe retirar, sea parcial o totalmente de la organizacin, debe realizarse un formulario en el que se indiquen, aparte de los datos del mismo, el tipo de alejamiento del usuario (parcial o total) para saber si se inhabilita su cuenta totalmente, o de manera temporal.

Procedimiento para determinar los buenos passwords Se debe tener un procedimiento para indicarles a los usuarios cuales son las caractersticas de los passwords que deben asignar a sus cuentas, como el nmero de caracteres, las caractersticas de los caracteres usados, etc. Es conveniente usar un programa crackeador sobre el password del usuario para evaluar su seguridad.

Procedimiento de verificacin de accesos Como generamos logsticos de diferentes datos de los usuarios, estos logsticos deben ser auditados, para detectar anomalas en cuanto al comportamiento de los mismos y generar reportes de dichas auditoras, todo esto con el fin de verificar los accesos realizados por los usuarios de la organizacin a la red.

23

Curso de redes y seguridad Fase 2

Procedimiento para el chequeo de grficos de la red. Generar grficos del trfico de la red, para observar anomalas en la transferencia de informacin, el uso indebido de programas, etc.

Procedimiento para el chequeo de volmenes de correo Se usa para conocer los volmenes de trfico en los correos electrnicos de los usuarios. Con esto, se permite conocer el uso de los medios de comunicacin, el spamming (ataque con correo basura), entre otros datos referentes a la comunicacin o transferencia de informacin confidencial de la empresa.

Procedimiento para el monitoreo de conexiones activas Con este procedimiento se evita que el usuario deje su terminal abierta y que otro usuario pueda usarla de manera mal intencionada. Lo que se hace es detectar el tiempo de inactividad de las conexiones, y despus de un determinado tiempo, se desactiva la conexin, y se genera un logstico con el acontecimiento.

Procedimiento para modificacin de archivos Es usado para detectar la modificacin no autorizada de archivos, la integridad de los mismos, y para generar un rastro de las modificaciones realizadas.

Procedimiento para resguardo de copias de seguridad Usado para establecer de manera clara dnde deben guardarse las copias de seguridad en caso de cualquier inconveniente.

Procedimiento para la verificacin de las mquinas de los usuarios Este procedimiento permite el escaneo de las mquinas de los usuarios para la deteccin de programas no autorizados, sin licencia o como fuente potencial de virus.

Procedimiento para el monitoreo de los puertos en la red. Permite saber los puertos habilitados en la red y si funcionan de acuerdo a lo esperado

24

Curso de redes y seguridad Fase 2

Procedimiento para dar a conocer las nuevas normas de seguridad. Es muy importante que todos los usuarios conozcan las nuevas medidas de seguridad adoptadas por la empresa, por lo que se requiere un procedimiento que indique la manera en la que esta ser llevada a cabo. Esto evita la excusa de los usuarios de no conoca las normas

Procedimiento para la determinacin de identificacin del usuario y para la el grupo de pertenencia por defecto Cuando se crea un usuario en el sistema, se le debe dar una identificacin personal y al mismo tiempo, hacerlo parte de un grupo para que tenga ciertos beneficios. Cuando el usuario va a cambiar de perfil o de grupo, se necesita entonces un procedimiento que le indique a este los pasos para cambiar los derechos que posee.

Procedimiento para recuperar informacin Un procedimiento sin duda muy importante, permite reconstruir todo el sistema, o parte de l, a travs de los backups peridicamente de la informacin tomados

CheckList

Como ya lo habamos explicado anteriormente, un checklist consiste en una lista de tareas a llevar a cabo para chequear el funcionamiento del sistema. Ac presentamos un ejemplo sacado de un manual de seguridad informtica:

Asegurar el entorno. Qu es necesario proteger? Cules son los riesgos? Determinar prioridades para la seguridad y el uso de los recursos. Crear planes avanzados sobre qu hacer en una emergencia.

25

Curso de redes y seguridad Fase 2

Trabajar para educar a los usuarios del sistema sobre las necesidades y las ventajas de la buena seguridad Estar atentos a los incidentes inusuales y comportamientos extraos. Asegurarse de que cada persona utilice su propia cuenta. Estn las copias de seguridad bien resguardadas? No almacenar las copias de seguridad en el mismo sitio donde se las realiza Los permisos bsicos son de slo lectura? Si se realizan copias de seguridad de directorios/archivos crticos, usar chequeo de comparacin para detectar modificaciones no autorizadas.

Peridicamente rever todo los archivos de booteo de los sistemas y los archivos de configuracin para detectar modificaciones y/o cambios en ellos.

Tener sensores de humo y fuego en el cuarto de computadoras. Tener medios de extincin de fuego adecuados en el cuarto de computadoras. Entrenar a los usuarios sobre qu hacer cuando se disparan las alarmas. Instalar y limpiar regularmente filtros de aire en el cuarto de computadoras. Instalar UPS, filtros de lnea, protectores gaseosos al menos en el cuarto de computadoras. Tener planes de recuperacin de desastres. Considerar usar fibras pticas como medio de transporte de informacin en la red. Nunca usar teclas de funcin programables en una terminal para almacenar informacin de login o password. Considerar realizar autolog de cuentas de usuario.
Curso de redes y seguridad Fase 2

26

Concientizar a los usuarios de pulsar la tecla ESCAPE antes de ingresar su login y su password, a fin de prevenir los Caballos de Troya.

Considerar la generacin automtica de password. Asegurarse de que cada cuenta tenga un password. No crear cuentas por defecto o guest para alguien que est temporariamente en la organizacin. No permitir que una sola cuenta est compartida por un grupo de gente. Deshabilitar las cuentas de personas que se encuentren fuera de la organizacin por largo tiempo. Deshabilitar las cuentas dormidas por mucho tiempo. Deshabilitar o resguardar fsicamente las bocas de conexin de red no usadas. Limitar el acceso fsico a cables de red, routers, bocas, repetidores y terminadores. Los usuarios deben tener diferentes passwords sobre diferentes segmentos de la red. Monitorear regularmente la actividad sobre los gateways.

27

Curso de redes y seguridad Fase 2