1

Curso de redes y seguridad

Fase 2


FASE 2
Objetivo
En esta semana estudiaremos con ms profundidad las
polticas de seguridad informtica, el significado de un
manual de procedimientos para nuestra organizacin, y
diversos mtodos para evaluar el valor de la informacin de
la misma.




POLTICAS GENERALES DE SEGURIDAD


Qu son entonces las polticas de seguridad informtica (PSI)?

Como hemos dicho anteriormente en repetidas ocasiones, el principio y final de
toda red es el usuario. Esto hace que las polticas de seguridad deban,
principalmente, enfocarse a los usuarios: una poltica de seguridad informtica
es una forma de comunicarse con los usuarios y los gerentes. Indican a las
personas cmo actuar frente a los recursos informticos de la empresa, y sobre

POLTICAS GENERALES DE SEGURIDAD
Objetivos del tema

Conocer mecanismos de definicin de polticas de
seguridad informtica
Conocer modelos para dar valor a los datos de las
organizaciones
Aprender el concepto de "procedimiento".
Usar los conceptos de procedimiento y checklist
para aprender a crear un manual de procedimientos.


2
Curso de redes y seguridad
Fase 2

todo, no son un conjunto de sanciones, sino ms bien una descripcin de
aquello valioso que deseamos proteger y por qu.

Cules son los elementos de una poltica de seguridad informtica?

Si las decisiones tomadas en relacin a la seguridad, dependen de las PSI,
cada persona debe estar en disposicin de aportar lo necesario para poder
llegar a una conclusin correcta de las cosas que son importantes en la
empresa y que deben ser protegidas. Es por esto que una PSI debe tener los
siguientes elementos:

Rango de accin de las polticas. Esto se refiere a las personas sobre
las cuales se posa la ley, as como los sistemas a los que afecta.
Reconocimiento de la informacin como uno de los principales activos
de la empresa.
Objetivo principal de la poltica y objetivos secundarios de la misma. Si
se hace referencia a un elemento particular, hacer una descripcin de
dicho elemento.
Responsabilidades generales de los miembros y sistemas de la
empresa.
Como la poltica cubre ciertos dispositivos y sistemas, estos deben tener
un mnimo nivel de seguridad. Se debe definir este umbral mnimo.
Explicacin de lo que se considera una violacin y sus repercusiones
ante el no cumplimiento de las leyes.
Responsabilidad que tienen los usuarios frente a la informacin a la que
tienen acceso.



3
Curso de redes y seguridad
Fase 2

Ahora, aunque las PSI deben poseer estos elementos expuestos, tambin debe
llevar, implcitos en cada tem, algunas caractersticas:

Siempre se debe tener en cuenta cuales son las expectativas de la
organizacin frente a las PSI, qu es lo que espera de ellas en cuanto a
seguridad y eficacia.
Siempre que se redacten, las PSI deben permanecer libre de
tecnicismos que dificulten su comprensin por parte de cualquier
persona de la organizacin.
Cada poltica redactada, debe explicar el porqu se toma dicha decisin
y por qu se protegen esos servicios o conocimientos particulares.
Toda PSI debe ser vigilada por un ente, una autoridad, que la haga
cumplir y apique los correctivos necesarios. Sin embargo, no debe
confundirse una PSI con una ley, y no debe verse como tal.
As como las caractersticas y elementos de una empresa cambian,
tambin deben hacerlo las PSI, por lo que debe tenerse en cuenta, al
redactarlas, que deben establecer un esquema de actualizacin
constante, que dependa de las caractersticas de la organizacin.
No hay nada obvio. Se debe ser explcito y concreto en cuanto a los
alcances y propuestas de seguridad. Esto evita gran cantidad de malos
entendidos, y abre el camino para el establecimiento de la poltica de
seguridad especfica.


Cmo se establecen las polticas de seguridad? Recomendaciones.

Hemos revisado las caractersticas generales de las PSI y los elementos
implcitos en cada observacin, pero tenemos un esquema de cmo

4
Curso de redes y seguridad
Fase 2

formularlas o establecerlas? He ac entonces varias recomendaciones de
cmo idearlas y llevarlas a cabo:

Antes que nada, se debe hacer una evaluacin de riesgos informticos,
para valorar los elementos sobre los cuales sern aplicadas las PSI.

Luego, deben involucrarse, en cada elemento valorado, la entidad que
maneja o posee el recurso, ya que ellos son los que tienen el
conocimiento y la experiencia manejando ese elemento particular.

Despus de valorar los elementos e involucrar al personal, debe
explicarles cuales son las ventajas de establecer PSI sobre los
elementos valorados, as como los riesgos a los cuales estn expuestos
y las responsabilidades que les sern otorgadas.

El siguiente paso es determinar quines son las personas que dan las
rdenes sobre los elementos valorados en la empresa. Ellos deben
conocer el proceso de las PSI, ya que sobre ellos recae la
responsabilidad de los activos crticos.

Finalmente, deben crearse mecanismos para monitorear a los elementos
valorados, las personas involucradas y los altos mandos directores de
los elementos. Esto con el objetivo de actualizar fcilmente las PSI
cuando sea necesario.







5
Curso de redes y seguridad
Fase 2

Proposicin de una forma de realizar el anlisis para llevar a cabo un
sistema de seguridad informtica


Antes que nada, se crea una base de anlisis para el sistema de seguridad,
que est basada en varios elementos:
- Factor humano de la empresa
- Mecanismos y procedimientos con que cuenta la empresa
- Ambiente en que se desenvuelve la organizacin
- Consecuencias posibles si falla la seguridad de la empresa
- Amenazas posibles de la empresa.

Luego de evaluado todo este conjunto de elementos, que conforman la base
del anlisis del sistema de seguridad se procede a realizar el programa de
seguridad, El cual contiene todos los pasos a tomar para asegurar la
seguridad deseada. Luego de realizado este programa, se pasa al plan de
accin, que posee todas las acciones a llevar a cabo para implantar el
programa de seguridad. El paso siguiente es crear un manual de
procedimientos y normativas, que sern en suma la forma en la que cada

6
Curso de redes y seguridad
Fase 2

elemento del programa debe ser aplicado en el elemento correspondiente, y las
acciones a llevar a cabo luego de violada una norma.

Mientras los programas de seguridad, plan de accin y procedimientos son
llevados a cabo, se debe ejercer un control y vigilancia de cada uno de ellos,
para asegurar su realizacin. Este control debe ser auditado, con el propsito
de generar los logfiles o archivos de evidencias, que pueden ser revisados en
cualquier momento para analizar la forma en la que fue llevado a cabo el
control y poder generar cualquier cambio. La auditada realizada tambin sirve
para generar simulaciones que permitan probar el sistema. Estas
simulaciones pasan por una revisin que da fe del desempeo de las polticas
de seguridad, y que ayuda a modificar las bases del anlisis, as como el
programa, plan y las normativas de seguridad.

El establecimiento de las polticas de seguridad es un proceso dinmico.


Razones por las que las polticas de seguridad informtica generalmente
no se implantan.

Aunque no todas las empresas son conscientes de los riesgos que corren al no
tener PSI en su organizacin, algunas gastan gran cantidad de tiempo y
esfuerzo definindolas, convenciendo a los altos mandos (labor
extremadamente ardua, ya que estas polticas no aumentan el rendimiento del
sistema y a veces lo vuelven ms complicado), para que finalmente sean
escritas y archivadas para nunca ser usadas. Qu pasa en esos casos? Por
qu ocurre esto?

Muchos factores concurren en la no implantacin de las polticas. Uno de ellos,
ya tocado anteriormente, es el vocabulario tcnico que los expertos de

7
Curso de redes y seguridad
Fase 2

seguridad manejan. Hacen poco entendible las normas, por la que los
empleados las ignoran y siguen actuando de manera convencional.

Otro de los factores que generalmente se olvida en el establecimiento de las
polticas es algo, que aunque ajeno al conocimiento general de los expertos, es
muy importante: estrategia de mercadeo. Las polticas de seguridad deben ser
presentadas a los altos mandos, y ellos deben ver una retribucin en esa
inversin, ya que si no se muestra de manera explcita y obvia, podrn pensar
que la inversin solo es un juguete para ingenieros. Los gerentes deben
conocer de manera clara las consecuencias de sus decisiones, lo mejor y lo
peor que puede pasar. Las polticas deben integrarse a las estrategias de
negocio, misin y visin todo esto para que se conozca el efecto de las PSI
sobre las utilidades de la compaa. MERCADEO!

Un tercer elemento es la ausencia de conexin entre las acciones diarias de los
empleados y las PSI. Estas deben ir acompaadas de una visin de negocio
que promueva las actividades diarias de los empleados, actividades donde se
identifican las necesidades y acciones que hacen existir a las polticas.

Para evitar que las polticas no sean implantadas en la compaa, se dejan
algunas recomendaciones tiles a la hora de presentarlas a los miembros de la
organizacin.

Cree ejemplos donde se den fallas de seguridad que capten la atencin
de las personas.
Haga que estos ejemplos se conecten a las estrategias de la
organizacin
Muestre una valoracin costo-beneficio ante posibles fallas de seguridad

8
Curso de redes y seguridad
Fase 2

Justifique la importancia de las PSI en funcin de hechos y situaciones
CONCRETAS, que muestren el impacto, limitaciones y beneficios de
estas sobre los activos de la poblacin.


Las polticas de seguridad informtica como base de la administracin de
la seguridad integral.

Las PSI se definen como el conjunto de lineamientos que una organizacin
debe seguir para garantizar la seguridad de sus sistemas, lineamientos que
constituyen un compromiso de la organizacin para actuar de manera
apropiada en situaciones que vulneren la seguridad de la misma. Es por esta
razn que se agrupan en el conjunto de acciones usadas por la empresa para
proteger sus activos. Sin embargo, siendo lineamientos, estas polticas no
constituyen una garanta para la seguridad de la organizacin.

Teniendo en cuenta estas premisas, podemos estratificar la seguridad en
varios niveles:

Estrato de marco jurdico
Estrato de medidas tcnico-administrativas (procedimientos para la
creacin de funciones, administracin de la seguridad, auditora de
sistemas de informacin interna)

Esta estratificacin es muy importante porque define los lmites de las personas
encargadas de cada uno de los temas concernientes a la seguridad. Ambos
estratos deben ser independientes y nunca una persona encargada de un
estrato puede intervenir o administrar el otro. En cada estrato debe haber una
definicin de funciones y una separacin suficiente de tareas. En este caso, en
el estrato tcnico - administrativo por ejemplo, pueden existir coordinadores en

9
Curso de redes y seguridad
Fase 2

cada rea funcional y geogrfica de la organizacin, dependiendo de la
complejidad de la misma. No tiene lgica que un coordinador autorice una
transaccin de informacin del sistema al exterior, y luego l mismo la revise.
Esto da pie a fraudes o a encubrimientos de anomalas. Deben intervenir
siempre personas diferentes en cada elemento del sistema de seguridad.

Esto es llamado seguridad integral: varios usuarios responsables de la poltica
de seguridad informtica, engranados en un sistema de seguridad global de la
organizacin (como o es la seguridad fsica de las instalaciones, los planes de
contingencia ante situaciones financieras graves, etc).


Riesgos en la organizacin

Las entidades nunca estarn exentas de riesgos inherentes a su naturaleza.
Siempre existir la posibilidad de que se d una violacin a la seguridad o un
error respecto a la transferencia de informacin. Lo ideal sera que cualquier
error que vulnere la seguridad del sistema sea suprimido, pero dichas
supresiones tienen un costo asociado. Veamos un ejemplo:

Supongamos que un usuario va a acceder a informacin especfica de la
empresa. Una de las polticas de seguridad ms usadas es la consistente en
que el usuario se identifique y se autentique su identidad (poltica de login y
password). Y ahora, supongamos que este usuario tomar la informacin de la
empresa para llevarlas, fsicamente, a otra empresa. En este caso, se usa otra
poltica de seguridad basada en el cifrado o encriptado de datos (generacin de
un cdigo que encripte y desencripte la informacin dependiendo del
usuario), para que, si el dispositivo que contiene la informacin cae en otras
manos, estos no puedan ver la informacin. Si quisiramos asegurarnos de que
la informacin es obtenida por ese usuario autorizado y solo ese usuario,

10
Curso de redes y seguridad
Fase 2

podramos incluir en la autenticacin, medidas biomtricas como la deteccin
de la huella digital, el iris, firma con reconocimiento automtico, etc. Pero cada
uno de estos elementos, como se indic anteriormente, posee un costo
econmico.

Es entonces necesario saber hasta qu nivel deseamos exponer nuestra
organizacin a riesgos (detectar los riesgos y tomar decisiones a partir de esta
deteccin), o ciertos elementos de nuestra organizacin a vulnerabilidades den
pro del costo econmico asociado. El riesgo mximo que puede soportar la
organizacin es una decisin primordial para la definicin de PSI, y debe
contemplar, entre muchos elementos, algunos muy comunes. Expondremos
ac algunos de estos elementos:

Accesos indebidos a datos (generalmente a travs de las redes)
Perdida de dispositivos magnticos o slidos con informacin crtica de
la organizacin.
Daos fsicos a los elementos que guardan la informacin (incendios,
inundaciones, terremotos)
Variacin o copia indebida de programas para beneficio personal o para
causar un dao.
Los Hackers y crackers. Los primeros, acceden a los sistemas para
detectar vulnerabilidades y los segundos acceden a los sistemas para
generar estragos y daos a la organizacin.
Los virus. Esta amenaza, aunque latente, es de menor importancia
ahora que antes, ya que la configuracin de los sistemas actuales
permite mayor seguridad y flexibilidad en estos temas.

En definitiva, las amenazas pueden llegar a afectar los datos, las personas, los
equipos, los programas, o en un caso extremo, a todos de ellos (desastres

11
Curso de redes y seguridad
Fase 2

naturales, por ejemplo). Qu es lo ms crtico que debe protegerse? Sin
dudarlo, y como respuesta inicial, las personas resultan el punto ms crtico de
proteccin. Nada vale ms que una vida humana, y la organizacin puede
reiniciar sus operaciones con un buen factor humano. En segundo caso, los
datos son el elemento ms crtico de la organizacin luego de los empleados.

Ahora, aunque el umbral de riesgo es escogido por los altos mandos para la
configuracin de las PSI, existen unos niveles de trabajo con la informacin que
no pueden ser ignorados, y que deben aplicarse en todo momento para
proteger la informacin. Estos niveles de ri se vern a continuacin.


Niveles de trabajo con los datos.

Los niveles de datos son los siguientes:

Confidencialidad: se refiere a la proteccin de la informacin respecto
al acceso no autorizado, sea en los elementos computarizados del
sistema o en elementos de almacenamiento.
Integridad: Proteccin de la informacin respecto a modificaciones no
autorizadas, tanto a la almacenada en los elementos computarizados de
la organizacin como la usada como soporte. Estas modificaciones
pueden llevarse a cabo de manera accidental, intencional, o por errores
de hardware-software.
Autenticidad: Garanta de que el usuario autorizado para usar un
recurso no sea suplantado por otro usuario.
No Repudio: Al ser transferida un conjunto de datos, el receptor no
puede rechazar la transferencia, y el emisor debe poder demostrar que
envi los datos correspondientes.

12
Curso de redes y seguridad
Fase 2

Disponibilidad de los recursos y de la informacin: proteccin de los
elementos que poseen la informacin de manera que en cualquier
momento, cualquier usuario autorizado pueda acceder a ella, sin
importar el problema que ocurra.
Consistencia: capacidad del sistema de actuar de manera constante y
consistente, sin variaciones que alteren el acceso a la informacin
Control de Acceso: posibilidad de controlar los permisos a cualquier
usuario para acceder a servicios o datos de la organizacin
Auditora: capacidad para determinar todos los movimientos del
sistema, como accesos, transferencias, modificaciones, etc, en el
momento en que fueron llevados a cabo (fecha y hora).


En que basar la estrategia de seguridad?

Si yo como responsable de la estrategia de seguridad de mi empresa fuera a
realizarla, en qu me debo basar? Afortunadamente para nosotros, existe un
procedimiento o algoritmo muy conocido y usado para dirigir las estrategias de
seguridad de una organizacin. Es conocido como el algoritmo Productor/
consumidor.

Qu es este algoritmo? No es ms que un modelo que permite observar las
diversas vulnerabilidades de un sistema (niveles de trabajo), y a partid de ellos,
permite hacer un anlisis de los posibles pasos a seguir.

El algoritmo est compuesto por 2 entidades: El productor y el consumidor. El
productor es el encargado de crear la informacin, y el consumidor es el
encargado de recibir y usar la informacin. Existe una tercera entidad llamada
los otros, que son aquellos que no estn autorizados a recibir la informacin.
Si se establece una comunicacin directa entre productor y consumidor, sin

13
Curso de redes y seguridad
Fase 2

trabas, por un largo perodo de tiempo, diremos que hemos creado un sistema
seguro.

Existen eventos o usuarios que pueden provocar alteraciones en esta
comunicacin. El estudio de la seguridad, en pocas palabras, se basa en
la determinacin, anlisis y soluciones de las alteraciones del algoritmo

Ahora, con este modelo, podemos definir 4 tipos de alteraciones principales a
este modelo, mostradas a continuacin:



Hasta ac hemos usado de manera genrica el vocablo recurso, pero
debemos definirlo de una manera correcta para poder seguir entendiendo el
algoritmo productor/consumido (o algoritmo P-C).

Los recursos se pueden definir como todos aquellos bienes, de cualquier
ndole, que permiten el correcto funcionamiento y existencia de la
organizacin.

14
Curso de redes y seguridad
Fase 2


De manera que podemos definir 3 tipos de recursos:
Fsicos: compuestos por todo elemento fsico que sostenga la
informacin de la red, como computadores, impresoras, routers,
servidores, suiches, etc.
Lgicos: Todos aquellos recursos que contienen la informacin de la
organizacin, como bases de datos, listados, documentos, etc.
Servicios: son principalmente programas o aplicaciones que nos
permiten realizar algn tipo de trabajo, como el correo electrnico, los
procesadores de texto, etc.

Con este trmino claramente definido, procedemos a explicar cada una de las
vulnerabilidades, teniendo en cuenta que cualquier accin que se lleve a cabo
para mantener estable el modelo, tiene como objetivo atacar uno de los 4
casos.

Todas las acciones correctivas que se lleven a cabo con el fin de respetar el
modelo estarn orientadas a atacar uno de los cuatro casos. Explicaremos y
daremos ejemplos de cada uno de ellos.

El caso nmero uno es el de Interrupcin. Este caso afecta la disponibilidad
del recurso (tener en cuenta la definicin de recurso: fsico, lgico y servicio).

Por ejemplo:


15
Curso de redes y seguridad
Fase 2



El segundo caso es el de Intercepcin, en el cual se pone en riesgo la
privacidad de los datos.




El tercer caso, Modificacin afecta directamente la integridad de los datos que
le llegan al consumidor


16
Curso de redes y seguridad
Fase 2



El cuarto y ltimo caso es el de la produccin impropia de informacin. En
ste, la informacin que recibe el consumidor es directamente falaz.



Una vez que estamos enterados de que hay slo cuatro posibles casos de
causas posibles de problemas, Qu se hace? Hay que identificar los recursos
dentro de la organizacin.


Establecimiento de riesgos de los recursos de la organizacin

Es claro hasta ahora que el principal objetivo de una PSI es asegurar los
elementos de una organizacin, y que el estudio de la seguridad consiste en

17
Curso de redes y seguridad
Fase 2

permanecer constante el algoritmo P-C. Ahora incluiremos otro elemento
importante a la hora de definir nuestras polticas, y es el concepto de valor de
riesgo.

El umbral de riesgo que puede aceptar una organizacin debe tener una forma
cuantificable para ser medida, que permita identificar de quien se protege el
recurso, cual es el recurso a proteger, y cmo debe protegerse. Nunca ser
igual de prioritario proteger una impresora de la empresa, que la base de datos
de clientes de la misma. Cmo generamos una valoracin apropiada entonces
de estos elementos? Usando 2 criterios:

Nivel de importancia del recurso. (Llamado Ri)
Severidad de la prdida del recurso. (Llamado Wi)

Recordemos que en unidades anteriores coincidimos en que debamos integrar
a los dueos y administradores de los recursos en las PSI ya que ellos tenan
el conocimiento para manejarlo. Este es el caso en que ellos deben intervenir
para generar la valoracin de sus elementos.

Para generar una cuantificacin del riesgo asociado a los recursos de la
organizacin, los expertos en cuada uno de los recursos asignar un valor
numrico, entre 1 y 10 (los umbrales son subjetivos. As como puede ser entre
1y 10, puede ser entre 1 y 20, 1 y 100, etc) a Ri y a Wi. Si e valor es de 10, es
porque el recurso es muy importante o la severidad de su prdida es muy alta,
lo mismo ocurre en sentido contrario.

A partir de esto, podemos definir la valoracin de riesgo como el producto entre
Ri y Wi, as:



18
Curso de redes y seguridad
Fase 2

WRi = Ri * Wi


Ejemplo prctico

Supongase una red simplificada con un router, un servidor y un bridge.

Despus de que los expertos generan las valoraciones de los elementos de la
red, se obtienen los siguientes datos:

Router:
R1 = 6, W1 = 7

Bridge:
R2 = 6, W2 = 3

19
Curso de redes y seguridad
Fase 2


Servidor:
R3 = 10, W3 = 10

El clculo de los riesgos evaluados, ser, para cada dispositivo:

Router:
WR1 = R1 * W1 = 6 * 7 = 42

Bridge:
WR2 = R2 * W2 = 6 * 3 = 1.8

Servidor:
WR3 = R3 * W3 = 10 * 10 = 100

En la siguiente tabla podemos observar cmo tabular estos datos de manera
organizada para poder determinar el riesgo de los elementos de la
organizacin:



Por los puntajes es evidente que el servidor es aquel elemento con mayor
riesgo, y el que debe protegerse de manera prioritaria. Con este dato
procederamos a buscar soluciones para proteger nuestro servidor de
amenazas externas.

20
Curso de redes y seguridad
Fase 2


Este anlisis debe hacerse para todos los elementos de la organizacin, sin
importar que tan superficial u obvio sea, que pueda incidir en la seguridad de la
organizacin y que pueda ser vulnerado. Cules son estos recursos?
Podemos reunirlos en 6 grupos principales:

- Personas: los usuarios y las personas que operan los sistemas. Las
personas siempre sern el primer bloque de importancia de una
organizacin.
- Hardware: Todo elemento externo que pueda procesar, contener,
mostrar o transportar datos.
- Software: herramientas tecnolgicas para procesar los datos.
- Datos: Aquellos que se almacenan, se transportan, se almacenan fuera
de los elementos de hardware, backups, etc.
- Documentacin: toda la informacin usada para aprender el
funcionamiento de los sistemas de la organizacin.
- Accesorios: Elementos usados para soportar el trabajo en la
organizacin.

Anteriormente dijimos que la mayor parte de los problemas de seguridad
provenan de los miembros internos de la organizacin (80%), y el restante de
personas fuera de la organizacin. Es por esto que debemos basar nuestra
poltica en el control de los empleados internos, sabiendo quines usarn los
recursos y qu van a hacer con ellos.

Este punto de los usuarios es muy importante. Para definir lo que cada uno de
los usuarios puede hacer en el sistema se realizan un conjunto de listas en las
que se engloban, en grupos de trabajo, aquellos que pueden acceder a
determinado recurso y los privilegios de acceso. Un ejemplo de esta tabla es la
siguiente:

21
Curso de redes y seguridad
Fase 2





Ahora, cmo protegernos de las intromisiones de usuarios no deseados? La
respuesta a esto se encuentra en el uso de checklist para comprobar el
funcionamiento de los sistemas de la organizacin. Estos checklist deben
hacer parte de una agenda, en la que se consignan las actividades que deben
llevarse a cabo y con la regularidad que se requiera. La agenda de checklist,
como veremos ms adelante, es un procedimiento.

Un ejemplo de este chequeo se ve a continuacin:

Chequeos:

Diarios:
- Extraccin de un logstico sobre el volumen de correo transportado y
las conexiones de red creadas durante las 24 horas del da

Semanal
- Extraccin de un logstico del nmero de ingresos desde afuera de la
red interna
- Logstico de el nmero de conexiones externas hechas desde el
interior de la red

22
Curso de redes y seguridad
Fase 2

- Logstico sobre downloads y usuario que los hizo.
- Logstico sobre conexiones realizadas en horarios no convencionales
- Logstico grficos sobre el trfico de la red.

Mensual
- Comparacin de los logsticos de las semanas para detectar
anomalas y cambios.

Todos estos logsticos pueden llevarse a cabo con software especializado, el
cual informar de cualquier anomala en el sistema para tomar los correctivos
convenientes.


Qu es y para que deseamos un procedimiento en nuestra
organizacin?

Un procedimiento se define como una sucesin cronolgica de operaciones
concatenadas entre s, con el objetivo de obtener un fin o meta. Como nuestra
meta es mantener la seguridad de la organizacin, y mantener estable el
algoritmo P-C, debemos contar con una serie de procedimientos que nos
permitan responder de manera apropiada a las situaciones ms comunes.
Todos estos procedimientos se deben almacenar en un manual de
procedimientos que debe ser seguido al pie de la letra. En muchos casos, la
norma ISO se otorga a aquellas organizaciones con un manual de
procedimientos estructurado en cuanto a la seguridad informtica. Haremos un
recuento de los procedimientos ms usados en los manuales de seguridad
informtica, con una breve explicacin de su funcionamiento. Recordemos,
antes que nada, que todo procedimiento debe tener indicado quin es el
encargado del mismo, y que debe hacer en caso de variaciones.


23
Curso de redes y seguridad
Fase 2

Procedimiento de alta de cuenta de usuario
Este procedimiento se lleva a cabo para cuando se requiere una
cuenta de operacin para cualquier usuario. Se debe llenar entonces
un formulario en el que existan datos como:
Nombre y apellido
Puesto de trabajo
Jefe que avala el pedido
Trabajos a realizar en el sistema
Tipo de cuenta
Fecha de caducidad
Permisos de trabajo
Etc.
Procedimiento de baja de cuenta de usuario
Si un empleado de la organizacin se debe retirar, sea parcial o
totalmente de la organizacin, debe realizarse un formulario en el que
se indiquen, aparte de los datos del mismo, el tipo de alejamiento del
usuario (parcial o total) para saber si se inhabilita su cuenta
totalmente, o de manera temporal.
Procedimiento para determinar los buenos passwords
Se debe tener un procedimiento para indicarles a los usuarios cuales
son las caractersticas de los passwords que deben asignar a sus
cuentas, como el nmero de caracteres, las caractersticas de los
caracteres usados, etc. Es conveniente usar un programa crackeador
sobre el password del usuario para evaluar su seguridad.
Procedimiento de verificacin de accesos
Como generamos logsticos de diferentes datos de los usuarios,
estos logsticos deben ser auditados, para detectar anomalas en
cuanto al comportamiento de los mismos y generar reportes de
dichas auditoras, todo esto con el fin de verificar los accesos
realizados por los usuarios de la organizacin a la red.

24
Curso de redes y seguridad
Fase 2

Procedimiento para el chequeo de grficos de la red.
Generar grficos del trfico de la red, para observar anomalas en la
transferencia de informacin, el uso indebido de programas, etc.
Procedimiento para el chequeo de volmenes de correo
Se usa para conocer los volmenes de trfico en los correos
electrnicos de los usuarios. Con esto, se permite conocer el uso de
los medios de comunicacin, el spamming (ataque con correo
basura), entre otros datos referentes a la comunicacin o
transferencia de informacin confidencial de la empresa.
Procedimiento para el monitoreo de conexiones activas
Con este procedimiento se evita que el usuario deje su terminal
abierta y que otro usuario pueda usarla de manera mal intencionada.
Lo que se hace es detectar el tiempo de inactividad de las
conexiones, y despus de un determinado tiempo, se desactiva la
conexin, y se genera un logstico con el acontecimiento.
Procedimiento para modificacin de archivos
Es usado para detectar la modificacin no autorizada de archivos, la
integridad de los mismos, y para generar un rastro de las
modificaciones realizadas.
Procedimiento para resguardo de copias de seguridad
Usado para establecer de manera clara dnde deben guardarse las
copias de seguridad en caso de cualquier inconveniente.
Procedimiento para la verificacin de las mquinas de los usuarios
Este procedimiento permite el escaneo de las mquinas de los
usuarios para la deteccin de programas no autorizados, sin licencia
o como fuente potencial de virus.
Procedimiento para el monitoreo de los puertos en la red.
Permite saber los puertos habilitados en la red y si funcionan de
acuerdo a lo esperado

25
Curso de redes y seguridad
Fase 2

Procedimiento para dar a conocer las nuevas normas de seguridad.
Es muy importante que todos los usuarios conozcan las nuevas
medidas de seguridad adoptadas por la empresa, por lo que se
requiere un procedimiento que indique la manera en la que esta ser
llevada a cabo. Esto evita la excusa de los usuarios de no conoca
las normas
Procedimiento para la determinacin de identificacin del usuario y
para la el grupo de pertenencia por defecto
Cuando se crea un usuario en el sistema, se le debe dar una
identificacin personal y al mismo tiempo, hacerlo parte de un grupo
para que tenga ciertos beneficios. Cuando el usuario va a cambiar de
perfil o de grupo, se necesita entonces un procedimiento que le
indique a este los pasos para cambiar los derechos que posee.
Procedimiento para recuperar informacin
Un procedimiento sin duda muy importante, permite reconstruir todo
el sistema, o parte de l, a travs de los backups tomados
peridicamente de la informacin

CheckList

Como ya lo habamos explicado anteriormente, un checklist consiste en una
lista de tareas a llevar a cabo para chequear el funcionamiento del sistema.
Ac presentamos un ejemplo sacado de un manual de seguridad informtica:

Asegurar el entorno. Qu es necesario proteger? Cules son los
riesgos?
Determinar prioridades para la seguridad y el uso de los recursos.
Crear planes avanzados sobre qu hacer en una emergencia.

26
Curso de redes y seguridad
Fase 2

Trabajar para educar a los usuarios del sistema sobre las
necesidades y las ventajas de la buena seguridad
Estar atentos a los incidentes inusuales y comportamientos extraos.
Asegurarse de que cada persona utilice su propia cuenta.
Estn las copias de seguridad bien resguardadas?
No almacenar las copias de seguridad en el mismo sitio donde se las
realiza
Los permisos bsicos son de slo lectura?
Si se realizan copias de seguridad de directorios/archivos crticos,
usar chequeo de comparacin para detectar modificaciones no
autorizadas.
Peridicamente rever todo los archivos de booteo de los sistemas y
los archivos de configuracin para detectar modificaciones y/o
cambios en ellos.
Tener sensores de humo y fuego en el cuarto de computadoras.
Tener medios de extincin de fuego adecuados en el cuarto de
computadoras.
Entrenar a los usuarios sobre qu hacer cuando se disparan las
alarmas.
Instalar y limpiar regularmente filtros de aire en el cuarto de
computadoras.
Instalar UPS, filtros de lnea, protectores gaseosos al menos en el
cuarto de computadoras.
Tener planes de recuperacin de desastres.
Considerar usar fibras pticas como medio de transporte de
informacin en la red.
Nunca usar teclas de funcin programables en una terminal para
almacenar informacin de login o password.
Considerar realizar autolog de cuentas de usuario.

27
Curso de redes y seguridad
Fase 2

Concientizar a los usuarios de pulsar la tecla ESCAPE antes de
ingresar su login y su password, a fin de prevenir los Caballos de
Troya.
Considerar la generacin automtica de password.
Asegurarse de que cada cuenta tenga un password.
No crear cuentas por defecto o guest para alguien que est
temporariamente en la organizacin.
No permitir que una sola cuenta est compartida por un grupo de
gente.
Deshabilitar las cuentas de personas que se encuentren fuera de la
organizacin por largo tiempo.
Deshabilitar las cuentas dormidas por mucho tiempo.
Deshabilitar o resguardar fsicamente las bocas de conexin de red
no usadas.
Limitar el acceso fsico a cables de red, routers, bocas, repetidores y
terminadores.
Los usuarios deben tener diferentes passwords sobre diferentes
segmentos de la red.
Monitorear regularmente la actividad sobre los gateways.