Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FACULTAD DE INGENIERA
ESCUELA DE INGENIERA DE SISTEMAS Y COMPUTACIN
POR:
___________________________
Ing. Len Tenorio, Gregorio Manuel
PRESIDENTE
_______________________
Ing. Otake Oyama, Luis A.
SECRETARIO
_______________________
Ing. Bravo Jaico, Jessie Leila
ASESORA
DEDICATORIA
A Dios por haberme colmado de bendiciones y guiado en el camino para lograr mis
objetivos a lo largo de mi formacin profesional.
A mi madre Ana Mara Becerra Olivera, quien ha sido, es y seguir siendo mi fuente
de inspiracin, sostn y apoyo en mis esfuerzos de superacin a lo largo de mi vida
personal y profesional. Por haberme apoyado en todo momento
incondicionalmente, por la motivacin constante que me permiti hacer frente
nuevos retos que me hicieron crecer como persona y profesionalmente, por su
ejemplo de perseverancia, constancia y superacin que la caracteriza y que me ha
infundado siempre y por su valor mostrado de salir adelante al igual que mi abuela y
mi to.
A mis maestros por su asesora y apoyo constante durante el desarrollo de esta
investigacin, por su amistad, enseanza y oportunidades brindadas que impulsaron
el desarrollo de mi formacin profesional en el campo de la auditora.
AGRADECIMIENTOS
INDICE GENERAL
INTRODUCCION ................................................................................................. 12
I.
IV.
RESULTADOS................................................................................................... 56
4.1. Diseo y construccin de las buenas prcticas para auditar redes inalmbricas.... 56
4.1.1 Caractersticas de las buenas prcticas para auditar redes inalmbricas. .......... 56
4.1.2 Definicin de las buenas prcticas para auditar redes inalmbricas. ................. 57
4.2. Caso de aplicacin Gran Hotel Chiclayo ..................................................................... 88
4.3. Informe: Emisin del informe ....................................................................................... 89
V.
DISCUSION ....................................................................................................... 90
5.1 Casos analizados.............................................................................................................. 90
5.2 Anlisis comparativo (indicadores) ............................................................................... 92
VI.
PROPUESTA ..................................................................................................... 94
VII.
CONCLUSIONES.............................................................................................. 97
VIII.
REFERENCIAS BIBLIOGRFICAS............................................................ 98
IX.
INDICE TABLAS
Tabla N 01: Norma IEEE 802. ...................................................................................... 18
Tabla N 02: Extensiones de la norma 802.11............................................................. 20
Tabla N 03: Materiales que producen prdida de seal........................................... 24
Tabla N 04: Interferencia y atenuacin. .................................................................... 25
Tabla N 05: Diseo de la investigacin...................................................................... 44
Tabla N 06: Poblacin de hoteles............................................................................... 45
Tabla N 07: Indicadores de la investigacin. ............................................................ 46
Tabla N 08: Formato de anlisis de la empresa. ....................................................... 57
Tabla N 09: Checklist de buena prctica DIS001 ...................................................... 58
Tabla N 10: Herramientas de buena prctica DIS002............................................... 59
Tabla N 11: Checklist de buena prctica DIS002 ...................................................... 60
Tabla N 12: Herramientas de buena prctica DIS003............................................... 61
Tabla N 13: Checklist de buena prctica DIS003 ...................................................... 63
Tabla N 14: Herramientas de buena prctica DIS004............................................... 64
Tabla N 15: Checklist de buena prctica DIS004 ...................................................... 66
Tabla N 16: Herramientas de buena prctica DIS005............................................... 67
Tabla N 17: Herramientas de Buena Prctica ADM001 ............................................ 68
Tabla N 18: Checklist de buena prctica ADM001.................................................... 70
Tabla N 19: Checklist de buena prctica ADM002.................................................... 73
Tabla N 20: Checklist de buena prctica ADM003.................................................... 75
Tabla N 21: Herramientas de buena prctica ADM004 ............................................ 76
Tabla N 22: Checklist de buena prctica ADM004.................................................... 78
Tabla N 23: Herramientas de buena prctica SEG001 ............................................. 79
Tabla N 24: Checklist de buena prctica SEG001..................................................... 80
Tabla N 25: Checklist de buena prctica SEG002..................................................... 82
Tabla N 26: Cuadro de herramientas de buena prctica SEG003........................... 84
Tabla N 27: Checklist de buena prctica SEG003..................................................... 86
Tabla N 28: Checklist de buena prctica SEG004..................................................... 87
Tabla N 30: Resumen comparativo de los casos ...................................................... 92
Tabla N 31: Resumen comparativo de buena prctica............................................ 92
Tabla N 32: Resumen comparativo de reduccin de tiempo entre Auditoria del
personal del hotel y Buenas Prcticas. ....................................................................... 92
Tabla N 33: Presupuesto de tiempo. ........................................................................ 103
Tabla N 34: Papeles de trabajo. ................................................................................ 103
Tabla N 35: Objetivos de control propuestos. ........................................................ 125
INDICE FIGURAS
Figura N 01: Configuracin punto a punto o AdHoc............................................. 17
Figura N 02: Bridge ...................................................................................................... 22
Figura N 03: Switch...................................................................................................... 23
Figura N 04: Diagrama de funcionamiento .............................................................. 23
Figura N 05: Modelo de router de 2 antenas............................................................. 23
Figura N 06: Marco de trabajo de COBIT 4.1 ............................................................ 35
Figura N 07: Proceso de la auditora ......................................................................... 52
Figura N 08: Monitoreo de la red inalmbrica del Gran Hotel Chiclayo con la
herramienta InSSIDER 2.0. ........................................................................................ 117
Figura N 09: Monitoreo de las redes inalmbricas del Gran Hotel Chiclayo con la
herramienta de windows y conexin a GranHotel_WF2..................................... 118
Figura N 10: Navegacin en la red inalmbrica GranHotel_WF2...................... 118
Figura N 11: Monitoreo de los canales superpuestos y libres en el espectro del
Hotel con herramienta InSSIDER.............................................................................. 120
Figura N 12: Probando el ancho de banda de la red con la descarga de un
archivo. ........................................................................................................................ 122
Glosario
AES
BSSI
CTS
Clear to Send
DHCP
DSSS
EAP
ESS
FHSS
GNU
IBSS
IEEE
IP
Internet Protocol
ITU-T
IV
Initialization Vector
LAN
LDAP
MAC
PHP
PSK
Pre-shared Key
OSI
RADIUS
RTS
Request to Send
SSID
TCP
TKIP
UDP
WEP
Wi-Fi
Wireless Fidelity
WLAN
WPA
AICPA
ISO 27001
RESUMEN
A medida que surgen nuevos cambios en la tecnologa informtica, tambin
surgen nuevas necesidades de servicios, nuevas formas de transportar la
informacin, utilizando la movilidad y las comunicaciones, el ser humano
siempre busca nuevas formas de poder realizar sus actividades desde la
comodidad de su hogar de una forma fcil y movible, por ello nace la necesidad
de implementar las redes inalmbricas.
Sin embargo actualmente no se cuenta con una gua de buenas prcticas que
sirva de ayuda al auditor con experiencia y sin las herramientas necesarias para la
auditora en redes inalmbricas, en la cual los encargados del control la tomen de
apoyo para realizar sus labores, realizndose el proceso de auditora basados en la
experiencia y de la mano con herramientas de monitoreo WLAN, monitoreando
slo canales de emisin, nivel de seal y tipo de claves, tomando ms tiempo del
que debera al no tener una gua de apoyo en la auditora a la red inalmbrica.
Al presentar esta investigacin, se propone buenas prcticas para el desarrollo de
auditoras de redes inalmbricas aplicadas a las empresas del rubro hotelero. La
propuesta est basada en el estudio de las empresas del rubro hotelero de la
ciudad de Chiclayo con el fin de mejorar la disponibilidad, confiabilidad e
integridad de la informacin, cotejando metodologas existentes que ayuden
auditar redes inalmbricas, y desarrollando la propuesta de las buenas prcticas.
En base a las metodologas COBIT 4.1, NTP ISO IEC 27001, NTP ISO IEC
27002, Osstmm Wireless 2.9, ENISA, RED-M, Information networks planning and
design (INPD) y metodologa para administrar redes 3.0., se elaboraron buenas
prcticas para auditar redes inalmbricas. Como parte de las buenas prcticas se
encuentra, los dominios Diseo, Administracin y Seguridad, y cada una presenta
sus buenas prcticas, a la vez cada de estas tiene su objetivo, actividades o tareas,
herramientas de apoyo y un Checklist para auditar la red inalmbrica.
Se utiliz la entrevista, encuesta, anlisis de la red inalmbrica y documentos para
recaudar informacin a travs de los archivos histricos referentes a la aplicacin
de metodologas o guas de auditora en la red inalmbrica.
Se realiz un estudio pre_experimental, realizndose una encuesta a las entidades
hoteleras para poder determinar si cuentan con una red inalmbrica, si se
realizaron auditoras a la red inalmbrica, si se basaron en algn documento,
norma o gua de buenas prcticas, etc.; basndose en la informacin recopilada
anteriormente se determin una entidad hotelera para desarrollar y aplicar la
propuesta para las buenas prcticas en la auditora de la red inalmbrica, y por
ltimo evaluar si lo hecho sirve para cualquier institucin.
La investigacin es un aporte para personas y/o instituciones interesadas en
realizar y aplicar buenas prcticas para auditar redes inalmbricas.
PALABRAS CLAVE: Redes inalmbricas, firewall, VPN, Wi-Fi, Punto de acceso,
Red
Ad
Hoc,
Sniffer,
token,
Radius.
ABSTRACT
As there are new changes in computer technology, also new needs for services,
new ways to convey information, using mobility and communications, human
beings always looking for new ways to carry out its activities from the comfort of
your home in an easy and mobile, so comes the need to deploy wireless
networks.
However there is currently a best practice guide that is helpful to the auditor with
experience and without the necessary tools for auditing wireless networks, in
which managers take control of the support to do their jobs, performing the audit
process based on experience and hand with WLAN monitoring tools, monitoring
only broadcast channels, signal level and key type, taking longer than it should to
not have a fence into the network audit Wireless.
In presenting this research, we propose best practices for the development of
wireless network audits applied to companies in the hospitality field. The proposal
is based on the study of companies in the hotel business in the city of Chiclayo in
order to improve the availability, reliability and integrity of information, collating
audit methodologies that help wireless networks, and developing best practice
proposal .
Based on the methodologies COBIT 4.1, NTP - ISO - IEC 27001, NTP - ISO - IEC
27002, OSSTMM Wireless 2.9, ENISA, RED-M, Information networks planning and
design (INPD) and methodology for managing networks 3.0., Were developed best
practices for auditing wireless networks. As part of good practice is, domains,
design, management and security, and each has their good practices, while each
of these has its purpose, activities or tasks, support tools and a checklist to audit
wireless network .
We used the interview, survey, wireless network analysis and documents to collect
information through the historical archives relating to the application of audit
methodologies or guidelines on the wireless network.
Pre_experimental A study, carried out a survey of hotel companies to determine if
they have a wireless network, if audits were performed to the wireless network,
whether based on a document, standard or best practice guide, etc..; Based on
information gathered above found a hotel establishment to develop and
implement the proposal for good practice in the audit of the wireless network,
and finally evaluate whether it actually serves to any institution.
The research is a contribution to individuals and / or institutions interested in
making and implementing good practices for auditing wireless networks.
KEY WORDS: Wireless Networking, Firewall, VPN, Wi-Fi Puntos de acceso, Ad Hoc
Network, Sniffer, token, Radius.
I.
INTRODUCCION
II.
MARCO TERICO
Antecedente 2
Ttulo: Plan de cinco pasos para la seguridad del Enterprise WLAN
Autor: Lisa Phifer - CORE COMPETENCE INC.
Lugar y fecha: Sunnyvale - Noviembre del 2006
Propsito:
En esta investigacin se centra en disear una infraestructura para
garantizar la seguridad de una red inalmbrica y la integridad de las redes
empresariales en cinco pasos esenciales, que consisti en la salvaguardia
de los clientes inalmbricos y de datos, control de conexiones Wi-Fi,
auditora de la actividad inalmbrica y la aplicacin y cumplimiento de las
polticas inalmbricas. Presentando un alcance limitado debido que se
centra en la seguridad inalmbrica. Por lo cual se propone un marco ms
amplio que incluye el Diseo y Administracin de la red inalmbrica y una
solucin segura, en base buenas prcticas con sus respectivas actividades o
tareas a desarrollar acompaado de un cuestionario y un checklist de
forma que se podr as desarrollar una auditora Wlan (CORE 2006).
Antecedente 3
Ttulo: Wi-Fi Wireless LAN de Auditora de Seguridad
Autor: Cypress Solution.
Lugar y fecha: India Septiembre del 2008
Propsito:
2.2.
Bases Tericas
Caractersticas
2.2.1.3.
Configuraciones WLAN.
2.2.1.4.
Descripcin
802.1
802.2
802.4
802.5
802.10
802.11
WLAN 802.11.
La tecnologa clave que contiene el estndar 802.11 es el espectro de
dispersin de secuencia directa (DSSS). El DSSS se aplica a los dispositivos
inalmbricos que operan dentro de un intervalo de 1 a 2 Mbps.
Un sistema de DSSS puede transmitir hasta 11 Mbps, pero si opera por
encima de los 2 Mbps se considera que no cumple con la norma. El
siguiente estndar aprobado fue el 802.11b, que aument las capacidades
de transmisin a 11 Mbps. Aunque las WLAN de DSSS podan interoperar
con las WLAN de espectro de dispersin por salto de frecuencia (FHSS), se
presentaron problemas que motivaron a los fabricantes a realizar cambios
WLAN 802.11g.
802.11g ofrece tasa de transferencia que 802.11a pero con compatibilidad
retrospectiva para los dispositivos 802.11b utilizando tecnologa de
modulacin por multiplexin por divisin de frecuencia ortogonal
(OFDM). Cisco ha desarrollado un punto de acceso que permite que los
dispositivos 802.11b y 802.11a coexistan en la misma WLAN. El punto de
acceso brinda servicios de Gateway que permiten que estos dispositivos,
que de otra manera seran incompatibles, se comuniquen (Cisco 2009).
2.2.1.5.
Extensin
802.11e
802.11i
802.11d
802.11f
802.11h
Descripcin
Su objetivo es proporcionar soporte de QoS (Calidad de
Servicio) para aplicaciones de redes LAN. Se aplicar a los
estndares fsicos a, b y g de 802.11. La finalidad es
proporcionar claves de servicio con niveles gestionados de
QoS para aplicaciones de datos, voz y video.
Su objetivo es la seguridad. Se aplicar a los estndares fsicos
a, b y g de 802.11. Proporciona una alternativa a la privacidad
equivalente cableada (WEP) con nuevos mtodos de
encriptacin y procedimientos de autentificacin. IEEE 802.1x
constituye una parte clave de 802.11i.
Constituye un complemento al nivel de control de acceso al
medio (MAC) en 802.11. Para proporcionar el uso, a escala
mundial, de las redes WLAN del estndar 802.11 permitir a los
puntos de acceso comunicar informacin sobre los canales de
radio admisibles con niveles de potencia aceptables para los
dispositivos de los usuarios.
Su objetivo es lograr la interoperabilidad del punto de acceso
dentro de una red WLAN multiproveedor. El estndar define el
registro del punto de acceso dentro de una red y el
intercambio de informacin entre dichos punto de acceso
cuando un usuario se traslada desde un punto de acceso a
otro.
El objetivo es cumplir los reglamentos europeos para redes
WLAN a 5 Ghz requieren que los productos tengan control de
la potencia de transmisin (TPC) y seleccin de frecuencia
dinmica (DFS). El control TPC limita la potencia transmitida
al mnimo necesario para alcanzar al usuario ms lejano. DFS
selecciona el canal de radio en el Punto de Acceso para
reducir al mnimo la interferencia con otros sistemas Ej.:
radar.
Tabla N 02: Extensiones de la Norma 802.11.
2.2.1.6.
2.2.1.6.1.
2.2.1.6.2.
Bridges
2.2.1.6.3.
Switch
2.2.1.6.4.
Router
White
papers
sobre
Switchs
y
Ruteadores.
http://www.redeslinux.com/manuales/Tecnologia_redes/switchesyruteadores.pdf (Acceso 10 Julio 2010)
1.
2.
2.2.1.7.
Espacio en abierto
100%
70%
Ventana (metal)
5-8
50%
Pared 5 cm espesor
5-8
50%
Pared 10 cm espesor
10
30%
15-20
15%
Hormign
20-25
10%
Techo/suelo
15-20
15%
Techo/suelo (amplio)
20-25
10%
2.2.1.8.
Interferencia y Atenuacin.
Ejemplo
Interferencia
Madera
Tabiques
Baja
Vidrio
Ventanas
Baja
Yeso
Paredes interiores
Baja
Ladrillo
Hojas
rboles y plantas
Media
Agua
Lluvia
Alta
Papel
Rollos de papel
Alta
Ventanas
Alta
Metal
Vigas, armarios
Muy Alta
Redes Abiertas
2.2.2.2.
2.2.2.2.1.
pueden ser de 64 o 128 bits tericos, puesto que en realidad son 40 o 104 y
el resto (24 bits) se emplean para el vector de inicializacin.
La seguridad ofrecida por WEP tiene como pilar central una clave secreta
compartida por todos los comunicadores y que se emplea para cifrar los
datos enviados. Pese a no estar as establecido, en la actualidad todas las
estaciones y punto de acceso comparten una misma clave, lo que reduce
el nivel de seguridad que puede ofrecer este sistema (Panda 2005).
2.2.2.3.
WPA
2.2.2.3.3.
EAP. TLS
El nico ataque conocido contra WPA PSK es del tipo fuerza bruta o
diccionario; pese a la existencia de ese ataque la realidad es que el
rendimiento del ataque es tan bajo y la longitud de la passphrase puede ser
tan larga, que implementarlo de forma efectiva es prcticamente
imposible. Los requisitos para llevar a cabo el ataque son:
Un archivo con la captura del establecimiento de
conexin entre el cliente y el AP.
El nombre de ESSID.
Un archivo de diccionario.
Se puede auditar la fortaleza de las contraseas empleadas en un sistema
realizando ataques de diccionario o de fuerza bruta, en este ltimo caso
Portales cautivos
Rogue AP
2.2.2.5.1.
Rogue AP Bsico
2.2.2.5.2.
Rogue RADIUS
Por este nombre se conocen aquellos montajes que, aparte del Rogue AP
clsico, incorporan un servidor RADIUS en el terminal del atacante. Para
este fin se emplea comnmente un servidor Free RADIUS adecuadamente
configurado para responder a las peticiones de los usuarios legtimos.
Este tipo de montaje se emplea contra sistemas que cuentan con servidores
de autenticacin y redes securizadas mediante EAP de forma que el
atacante pueda suplantar todos los dispositivos y servidores presentes en el
sistema legtimo de forma convincente, autenticador y servidor de
autenticacin (Panda 2005).
2.2.2.5.3.
operaciones
masivas.
Firma de Rogue APs conocidas
Aumento repentino de la intensidad de la seal junto
a un cambio de AP.
Estas tcnicas no son definitivas pero aumentan sensiblemente la
seguridad frente a este tipo de ataques.
2.2.2.6.
WPA2
Planear y Organizar.
Adquirir e Implementar.
Entregar y Dar Soporte.
Monitorear y Evaluar.
Definicin
2.2.4.2.2.
Clases de auditora
2.2.4.2.3.
2.2.4.2.4.
de conjunto y
correspondientes.
reseando
detalladamente
las
razones
2.2.5.3. Hallazgo.
Son las presuntas deficiencias o irregularidades identificadas como
resultado de la aplicacin de los procedimientos de auditora, los mismos
que con criterios de materialidad o significacin econmica debidamente
desarrollados, referenciados y documentados constarn en los papeles de
trabajo.
En la redaccin de los hallazgos de auditora, se debe utilizar lenguaje
sencillo y fcilmente entendible, tratando los asuntos en forma objetiva,
concreta y concisa.
La comunicacin se efecta por escrito en forma personal y reservada, a la
persona directamente vinculada con el hallazgo, debiendo acreditarse su
recepcin (CGRP 1998).
Los elementos son:
a) Sumilla
Es el ttulo o encabezamiento que resume la observacin.
b) Condicin
Este trmino se refiere al hecho irregular o deficiencia determinada, cuyo
grado de desviacin debe ser demostrada y sustentada con evidencias.
c) Criterio
Es la norma o estndar tcnicoprofesional, alcanzable en el contexto
evaluado, que permiten al auditor tener la conviccin de que es necesario
superar una determinada accin u omisin de la entidad, en procura de
mejorar la gestin. Los ms comunes criterios a ser empleados en la
auditora son: las normas jurdicas vigentes, las normas tcnicas o
estndares profesionales, las opiniones de expertos, indicadores de gestin,
III.
3.1.
MATERIALES Y MTODOS
Auditora de
redes
inalmbricas
basadas en
la
experiencia
demoraba 3
semanas.
(Despus)
(Estmulo)
--------->
Buenas
prcticas
para auditar
redes
inalmbricas
----------->
Auditora de
redes
inalmbricas
utilizando
Buenas prcticas
demora 2
semanas.
3.2.
Muestreo:
5 empresas hoteleras aceptaron la aplicacin de la encuesta, mas slo una
acept la aplicacin de la investigacin, El Gran Hotel Chiclayo.
NOMBRE
Elvis Obando
Juan Carlos Medina
Miguel Casusol
HOTEL
Garza Hotel
Hotel Costal del Sol
Gran Hotel Chiclayo
Carlos Sebastiani
Hotel Amrica
CARGO
Jefe de Sistemas
Jefe de Sistemas
Systems Manager
Direccin
Bolognesi 756
Av. Balta 399
Av. Federico Villareal 115
Los Faiques No. 101
Administrador Externo
Urb. Santa Victoria
Jefe de Sistemas
Luis Gonzales 943
3.3.
Hiptesis.
La elaboracin de buenas prcticas para auditar redes inalmbricas
permitir mejorar la ejecucin de los procesos de auditora a redes
inalmbricas.
3.4.
Variables.
Variables Independientes:
Buenas prcticas para auditar redes inalmbricas.
Variables Dependientes:
Ejecucin de los procesos de auditora a redes inalmbricas.
3.5.
Indicadores.
La Tabla N07 muestra los indicadores que se utilizarn para validar la
hiptesis y determinar el cumplimiento de los objetivos de la tesis.
Indicador
Descripcin
Unidad de
medida
Tiempo de
auditora a la red
inalmbrica del
Tiempo dedicado a la
auditora de la red
Entero: Nmero de
semanas.
hotel.
Nmero de
metodologas,
manuales y/o
buenas prcticas
aplicadas para
auditar redes
inalmbricas.
Nmero de
herramientas
aplicadas para
auditar la red
inalmbrica.
Nivel de
experiencia del
personal en
auditora de redes
inalmbricas.
Entero: Cantidad
Entero: Cantidad
Alto
Medio
Bajo
3.6.
Tcnicas empleadas
Las tcnicas empleadas han sido la entrevista, dirigidas a los encargados
del rea de telecomunicaciones.
Instrumentos
Despus de seleccionar los mtodos que fueron empleados para las buenas
prcticas para auditar redes inalmbricas en las empresas hoteleras, se
elaboraron instrumentos para la aplicacin e implementacin del trabajo,
los cuales consisten en checklist y cuestionarios (estos constituyen la
3.7.
3.8.
Procesamiento de la Informacin
Se recopil la siguiente informacin para este punto con ayuda de las
encuestas y entrevistas aplicadas al responsable del rea de
telecomunicaciones del Gran Hotel Chiclayo, el cual manifest los
siguientes problemas que ha tenido desde la fecha que se instal la red
inalmbrica hasta el presente.
Problemas ms frecuentes dados desde la instalacin de la red inalmbrica
hasta el momento:
1.
2.
3.
4.
5.
6.
7.
3.9. Metodologas.
3.9.1. Metodologas para la elaboracin de la Buenas Prcticas.
Para el desarrollo del presente trabajo de investigacin, utilic diferentes mtodos
y tcnicas segn la etapa.
El mtodo utilizado en el presente trabajo de investigacin, est basado en el
mtodo cientfico.
Se hizo un estudio a 5 hoteles de la regin, entrevistando a los encargados de las
respectivas reas de telecomunicaciones y sistemas, teniendo como resultado un
nivel alto de experiencia.
Revis diferentes metodologas, normas y buenas prcticas para auditar WLANs,
que describo en el marco terico para elaborar las buenas prcticas.
Dichas metodologas y normas son las siguientes:
ISO 27002 - (anteriormente denominada ISO17799).
COBIT 4.1
Metodologa para administrar redes Sergio Untiveros.
Seguridad en redes inalmbricas - Geannina Jackeline Aguirre Briones.
Estudio, diseo e implementacin de una red inalmbrica en el instituto
tecnolgico superior aeronutico. Patricio Espn
Lista de verificacin de datos del centro de seguridad fsica. The SANS
Institute
Las diez mejores prcticas de ENISA en el campo de la conciencia de
seguridad de la informacin.
Consultora estratgica inalmbrica Red-M
Plan de cinco pasos para la seguridad de su empresa Wlan - Core
Competence
Osstmm 2.3 WIRELESS ISECOM Pete Herzog
Information Networks Planning and Design (INPD).
Del modelo Information Networks Planning and Design for David Etheridge
Errol Simn se utiliz debido a que presenta objetivos ambiciosos como: explicar
el proceso y proponer una metodologa para el anlisis de informacin de la red
y el diseo de una visin de sistemas orientados. La metodologa es precedida y
apoyada por una discusin a fondo de las necesidades de comunicacin y las
tecnologas de redes. Los autores tambin abordan cuestiones de organizacin y
gestin que estn influenciados por las redes de informacin.
1. Dominio Diseo.
Para este dominio se realiz el anlisis de metodologas orientadas al
diseo, infraestructura y hardware de las WLANs, alineadas a la
verificacin de planes, normas, fuentes de diseo, implementacin,
migracin de una WLAN; infraestructura, examinar la ubicacin,
temperatura, infraestructura, limites de seal de la red y equipos de
comunicacin sean adecuadas permitiendo un funcionamiento ptimo de
la red empresarial; Hardware, examinar que los equipos de la WLAN
soportadas en la empresa sean los adecuados para el funcionamiento de la
misma, y sean acordes con las necesidades de la empresa, y finalmente se
obtuvo un marco de trabajo de auditora de diseo de las WLANs. Se
determinaron objetivos de control orientados a:
1. Anlisis de la empresa.
2. Anlisis tecnolgico de la empresa.
3. Diseo Fsico de la Red
4. Diseo Lgico de la Red.
5. Planes de Implementacin.
3. Dominio Seguridad.
Para este dominio se realiz el anlisis de metodologas orientadas a la
seguridad de las WLANs, alineadas a verificar, comprobar, analizar,
examinar la seguridad de las operaciones, transacciones de informacin
constante de la WLAN, abarcando pruebas de seguridad externa, que va de
un ambiente no privilegiado a uno privilegiado, asimismo examinar que
existan controles, procedimientos y polticas de seguridad que permitan
monitorear las operaciones, transacciones de informacin constante de la
WLAN, obteniendo finalmente un marco de trabajo de auditora de
hardware de WLANs.
Se determinaron objetivos de control orientados a:
1. Poltica de seguridad de la informacin en la WLAN.
IV.
RESULTADOS
DISPONIBILIDAD
TIPO
Formato De
Anlisis De La
Empresa
Anexo N 05
Fsico
DESCRIPCIN
Plantilla que permitir
hacer un levantamiento
de informacin propia de
la organizacin.
Checklist
1
2
3
4
5
6
7
DISPONIBILIDAD
TIPO
http://www.microsoft.
com/spain/softlegal/m
sia/default.aspx
Software
Gratuito
Total network
inventory 2.0.1
http://www.softinventi
ve.com/es/products/to
tal-networkinventory/
Software
Gratuito
Inventario de
estaciones
ANEXO N 06
Fsico
Inventario de
dispositivos
inalmbricos
ANEXO N 06
Fsico
Cuestionario
para el anlisis
tecnolgico de
la organizacin
ANEXO N 07
Fsico
DESCRIPCIN
Herramienta
diseada
para
realizar
un
inventario de software.
Solucin de escaneo de
redes,
inventario
de
software y hardware y
auditora de PC.
Plantilla que permitir
hacer un levantamiento
de
informacin
de
estaciones de trabajo.
Plantilla que permitir
hacer un levantamiento
de informacin de los
dispositivos inalmbricos.
Cuestionario
que
permitir realizar
un
anlisis
tecnolgico
bsico
de
telecomunicaciones.
Checklist
Buena Prctica DIS002: Anlisis tecnolgico de la empresa
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
SI NO
N/
A
Herramientas:
HERRAMIENTA
DISPONIBILIDAD
TIPO
AirWave
VisualRF Report
http://www.arubanetworks.
com/products/management
-security-software2/airwave/visualrf/
Software
Licenciad
o
Network Event
Viewer
http://network-eventviewer.softonic.com/descar
gar
Software
Gratuito
AirWave
Wireless Site
Plan
http://www.moonblinkwifi.c
om/airwavetech.cfm
Software
Licenciad
o
DESCRIPCIN
Herramienta para el
auditor que da una
visin precisa de
toda la red sin tener
que abandonar su
escritorio.
Controlador de APs
que permite
gestionar eventos de
red como alarmas,
cobertura,
localizacin de
usuarios, etc.
Herramienta de
monitorizacin.
Checklist
Buena Prctica DIS003: Diseo fsico de la red
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
SI NO
N/
A
26
27
28
29
30
31
32
33
34
35
36
37
Herramientas:
HERRAMIENTA
Secure shell
DISPONIBILIDAD
http://openssh.softoni
c.com/
http://en.kioskea.net/d
ownload/download1423-ssh-secure-shell
TIPO
Software
Gratuito
Administracin
Remota EMCO
http://emcosoftware.c
om/remoteadministration
Software
Licenciado
Comandos
Ping y
Traceroute.
Dispositivos de
comunicacin
Comandos
DESCRIPCIN
Herramienta
para
estaciones de trabajo es
flexible cliente SSH que
permite conectarse de
forma
segura
a
aplicaciones remotas.
Herramienta para la
implementacin remota
que
ayuda
a
los
administradores
del
sistema para ejecutar los
paquetes y scripts
Comandos ayudarn a
realizar
pruebas
de
conectividad lgica.
Checklist
Buena Prctica DIS004: Diseo lgico de la red
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
SI NO N.A.
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
Herramientas
HERRAMIENTA
DISPONIBILIDAD
TIPO
Network Event
Viewer
http://networkeventviewer.softonic.co
m/descargar
Software
MSIA 5.1
Analizador de
Inventario de
Software
http://www.microso
ft.com/spain/softleg
al/msia/default.aspx
Software
Gratuito
Total Network
Inventory 2.0.1
http://www.softinve
ntive.com/es/produ
cts/total-networkinventory/
Software
Gratuito
Inventario de
estaciones de
trabajo.
ANEXO N 06
Fsico
Inventario de
equipos
inalmbricos
ANEXO N 06
Fsico
DESCRIPCIN
Herramienta que le permite
al
auditor
y
usuario
controlar los APs, para
gestionar
alarmas,
cobertura, localizacin de
usuarios, etc.
Herramienta diseada para
realizar un inventario de su
software.
Solucin de escaneo de
redes, inventario de software
y hardware y auditora de
PC.
Plantillas que le permite al
auditor
realizar
un
inventario de las estaciones
de trabajo.
Plantillas que le permite al
auditor
realizar
un
inventario de los equipos
inalmbricos.
Checklist
Buena Prctica ADM001: Administracin de recursos
informticos.
SI NO
N/
A
24
25
26
27
28
CHECK LIST
Buena Prctica ADM002: Administracin de recursos humanos.
PREVIO A LA CONTRATACIN
1
2
3
4
5
ROLES Y RESPONSABILIDADES
Son definidos los roles y responsabilidades de los empleados
sobre la red inalmbrica?
Son documentados los roles y responsabilidades de los
empleados sobre la red inalmbrica?
Estos roles y responsabilidades de los empleados estn de
acuerdo a las necesidades de la organizacin?
TRMINOS Y CONDICIONES DE EMPLEO
Los empleados acuerdan y firman los trminos y condiciones
del contrato de empleo?
El contrato de empleo establece las responsabilidades del
empleado y las de la organizacin concerniente a la red
inalmbrica?
Se aclara, establece y firman acuerdos de confidencialidad o
no divulgacin aquellos que tendrn acceso a la red
inalmbrica?
SI NO N/A
DURANTE EL EMPLEO
7
8
9
10
11
12
13
14
15
16
17
18
DURANTE EL EMPLEO
Se verifica y solicita que los empleados apliquen seguridad
inalmbrica de acuerdo con las polticas y procedimientos de
seguridad?
Todos los empleados son capacitados para el desempeo de
sus funciones sobre la WLAN?
Se motiva a los empleados para cumplir con polticas de
seguridad inalmbrica?
TOMA DE CONCIENCIA, EDUCACIN Y ENTRENAMIENTO
SOBRE SEGURIDAD WLAN
Todos los empleados son capacitados regularmente en
concientizacin y actualizacin de polticas y procedimientos de
seguridad inalmbrica relevantes para su funcin?
Se realizan capacitaciones a los empleados de modo que le
permita reconocer problemas e incidentes en la red
inalmbrica?
PROCESO DISCIPLINARIO
Se sigue un proceso disciplinario formal para empleados que
han cometido una falta en la red inalmbrica?
Se inicia el proceso disciplinario despus de una previa
verificacin de que ah ocurrido una falta en la red inalmbrica?
El proceso disciplinario asegura un tratamiento correcto y justo
para los empleados sospechosos?
En casos de mala conducta los procesos permiten el retiro
inmediato de sus derechos y obligaciones?
PERSONAL DE LIMPIEZA
El equipo de limpieza es restringido a la sala de
telecomunicaciones para evitar algn sabotaje?
Si el personal de limpieza debe tener acceso a la sala de
telecomunicaciones es acompaado por personal de la misma
rea?
Se permite el acceso a los visitantes a la sala de
telecomunicaciones sin aprobacin escrita?
20
21
22
FINALIZACIN DE RESPONSABILIDADES
Estn claramente definidas y asignadas las responsabilidades
para llevar a cabo la finalizacin o cambio del empleo?
RETORNO DE RECURSOS
Todos los empleados devuelven todos los equipos inalmbricos
de la organizacin que estn a su cargo al finalizar su empleo?
En caso de que los empleados compran o usan su propio
equipamiento se asegura que la informacin es transferida a la
organizacin?
ELIMINACIN DE DERECHOS DE ACCESO
Los derechos de acceso a la red inalmbrica son retirados,
anulados o se ajustan al finalizar su empleo?
1
2
3
4
5
6
7
8
9
10
Herramientas:
HERRAMIENTA
Recomendaciones
en relacin a la
gestin y
establecimiento de
contraseas.
DISPONIBILIDAD
ANEXO N 08
TIPO
DESCRIPCIN
Fsico
Recomendaciones para el
usuario, que le van
ayudar en la seleccin de
contraseas seguras.
MaxPassword
http://www.max2k.com
/
Software
Password Generator
http://gratis.portalprogr
amas.com/PasswordGenerator.html
Software
Password Strength
Analyser and
Generator
http://passwordstrength-analyser-andgenerator.softonic.com
/
Software
Aplicacin
disponible
para el usuario, diseada
para generar passwords
seguros al azar.
Aplicacin
disponible
para el usuario, permite
generar
contraseas
aleatorias muy seguras y
muy difciles de romper
combinando
diferentes
caracteres.
Aplicacin
disponible
para el auditor y usuario,
permite comprobar la
seguridad
de
las
contraseas, si no queda
satisfecho, crear nuevas
contraseas.
Checklist
Buena Prctica ADM004: Administracin de control de accesos SI NO
1
2
3
4
5
6
7
10
11
12
13
14
CONTROL DE ACCESOS
POLTICAS DE CONTROL DE ACCESO A LA RED
INALMBRICAS
Se establece, documenta y revisa polticas de seguridad de
control de acceso a la red inalmbrica?
Las reglas de control acceso a la red inalmbrica consideran
reglas aplicables y opcionales?
Las reglas de control de acceso a la red inalmbrica son
apoyadas por procedimientos formales y responsabilidades
claramente definidas?
GESTIN DE ACCESOS A USUARIOS A LA RED
INALMBRICAS
REGISTRO DE USUARIOS A LA RED INALMBRICA
Existe un procedimiento formal para registrar y suprimir el
acceso de usuarios a la red inalmbrica?
Se comprueba que el nivel de acceso a la red inalmbrica
concedido es apropiado y acorde con el cargo que tiene el
empleado en la organizacin?
Se proporciona a los usuarios una declaracin escrita de sus
derechos de acceso a la red inalmbrica?
Se remueve o bloquea inmediatamente los derechos de
acceso a la red inalmbrica de usuarios que han cambiado
roles o trabajos, o dejan la organizacin?
REVISIN DE DERECHOS DE ACCESO DE USUARIOS
Se revisa los derechos de acceso a la red inalmbrica de
usuarios en intervalos regulares usando un proceso formal?
Las asignaciones de privilegios a la red inalmbrica son
comprobadas al momento de iniciar su primera sesin y a
intervalos regulares para asegurar que los privilegios no
autorizados no son obtenidos?
RESPONSABILIDADES DE LOS USUARIOS
USO DE CONTRASEAS
Se exige a los usuarios que sigan buenas prcticas de
seguridad en la seleccin y empleo de contraseas?
Cuando el usuario tiene acceso a mltiples servicios o
sistemas y tiene una sola contrasea de calidad se asegura el
nivel de proteccin?
Se cambia las contraseas en intervalos regulares de tiempo y
se asegura de no reutilizar las contraseas?
EQUIPOS DE USUARIOS DESATENDIDOS
Los usuarios aseguran que el equipamiento desatendido tiene
la proteccin apropiada?
Se aconseja a los usuarios a finalizar su sesin activa cuando
N/
A
Herramientas:
HERRAMIENTA
Recomendaciones
para la
concientizacin
en seguridad de
informacin
DISPONIBILIDAD
TIPO
Anexo N 09
FISICO
DESCRIPCIN
Formato disponible para
el usuario, es una gua
de
recomendaciones
para la seguridad en la
red inalmbrica.
Checklist:
SI NO
N/
A
9
10
11
12
13
14
15
16
17
18
19
20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
DISPONIBILI
DAD
Backtrack
http://www.re
moteexploit.org/Ba
ckTrack/
Software
Insider
http://inssider.
softonic.com/
descargar
Software
Herramienta
completa de
clculo de
prdida de seal
WIFI
Xirrus Wifi
Inspector
http://www.pa
ramowifix.net
/antenas/calc
uloenlacewla
n.html
http://xirruswi-fi-
TIPO
DESCRIPCIN
Herramienta que le permite al
auditor realizar pruebas de
penetracin
y
seguridad,
permitiendo
descubrir
vulnerabilidades.
Es una herramienta que permite
al auditor monitorizar la calidad
de la seal de redes inalmbricas,
y controlar de un modo grfico la
intensidad de la seal.
Software
Software
inspector.soft
onic.com/
Calcula prdida
de seal y
potencia
Datos de
prdidas de
seal
WPA PSK (Raw
Key) Generator
http://hwagm.
elhacker.net/c
alculo/calcula
ralcance.htm
http://camyna
.com/2006/05/
31/prdidade-senal-wifi/
http://www.wi
reshark.org/to
ols/wpapsk.html
Software
Software
Software
Checklist:
1
2
3
5
6
7
8
9
10
N/
A
11
12
interior?
Est diseada contra el dao proveniente de
fuego, inundaciones, terremoto, explosin,
convulsin civil, y otras formas de desastre
natural u ocasionadas por el hombre?
Se supervisa las actividades en su interior?
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
Se han implementado
herramientas de:
Seguridad
51
Xirrus
Inspector?
BackTrack?
AirCrack?
WifiSlax?
WifiWay?
TOTAL
Tabla N 27: Checklist de Buena Prctica SEG003
1
2
3
4
5
6
7
8
V.
DISCUSION
CASO
Personal
del Hotel
Buenas
Prcticas
Tipo de
Auditoria
Auditoria a la
red
inalmbrica.
Auditoria a la
red
inalmbrica.
Aplicacin de
Auditoria
Auditora a la red
inalmbrica del Gran
Hotel Chiclayo
Buenas prcticas para
auditar la red
inalmbrica del Gran
Hotel Chiclayo
Tiempo
Reduccin
de Tiempo
3
semanas
2
semanas
1 SEMANA
Tabla N 32. Resumen comparativo de reduccin de tiempo entre Auditoria del personal
del hotel y Buenas Prcticas.
puede reducir a 2 semanas, como fue el caso de aplicacin del Gran Hotel
Chiclayo.
Respecto al indicador nmero de metodologas, manuales y/o buenas prcticas
aplicadas para auditar redes inalmbricas, el 10% de empresas hoteleras de
Chiclayo que presentan WLAN utilizan alguna buena prctica, y ya con el
desarrollo de las buenas prcticas las empresas estn interesadas en utilizarlas,
teniendo como objetivo aumentar a un 70% - 80% de empresas hoteleras en
utilizar buenas prcticas.
Respecto al indicador nmero de herramientas aplicadas para auditar la red
inalmbrica, en la actualidad slo el 20% de hoteles que son el Gran Hotel
Chiclayo y Costa del Sol son los nicos que utilizan herramientas para el
monitoreo de la WLAN, y ante el desarrollo de las buenas prcticas los hoteles
crecer la necesidad de la utilizacin de las mismas para administrarlas, Diseo y
Seguridad WLAN.
Respecto al indicador nivel de experiencia del auditor, en base al estudio
realizado a los 5 hoteles de la regin, actualmente el nivel de experiencia es alto,
porque realizan auditoras habituales, y el propsito de la tesis es que las
empresas realicen auditoras frecuentes respaldandose en las buenas prcticas
desarrolladas.
Por lo tanto en base a esto se logr facilitar el trabajo a los auditores, apoyar la
labor de la auditora y reducir el tiempo de la misma.
VI.
PROPUESTA
Checklist
Herramientas
Formato De Anlisis De La
Empresa
MSIA 5.1 Analizador de
Inventario de Software
Total Network Inventory
2.0.1
Inventario de dispositivos
inalmbricos
Inventario de estaciones.
AirWave VisualRF Report
Network Event Viewer
AirWave Wireless Site Plan
Secure Shell
Administracin Remota
EMCO
Comandos Ping y
Traceroute
2
3
Checklist
Herramientas
Network Event Viewer
MSIA 5.1 Analizador de
Inventario de Software
Total Network Inventory
2.0.1
Inventario de dispositivos
inalmbricos
Inventario de estaciones de
trabajo.
En la parte del dominio seguridad se propone 4 buenas prcticas, cada una con
su respectivo checklist, incluidos herramientas de apoyo, con un total de 4
herramientas.
Dominio Seguridad
1
3
4
Checklist
Herramientas
Recomendaciones Para La
Concientizacin En
Seguridad De Informacin
BackTrack
InSSIDER
Xirrus Wifi Inspector
VII.
CONCLUSIONES
(Arteaga
2009)
(Red M
2002)
(CORE
2006)
(Cypress
2008)
(AuditNet
2005)
(ISECOM y
Herzog
2003)
(Oliver y
Escudero
1999)
(34
TELECOM
2005)
(Cisco 2009)
(Briones y
Geannina
2005)
(Panda
2005)
(IT
REFERENCIAS BIBLIOGRFICAS
IX.
ANEXOS
ANEXO N 01
Planeamiento de la auditora - Planificacin general
Planificacin General.
A) Objetivos:
Verificar y auditar la red inalmbrica del Gran Hotel Chiclayo, en cuanto a
su diseo, administracin y seguridad.
B) Alcance:
Se auditar slo la red inalmbrica del Gran Hotel Chiclayo.
C) Metodologa a utilizar:
Se realizarn entrevistas al gerente de sistemas del Gran Hotel, as mismo
se aplicar cuestionarios y checklist para el levantamiento de informacin
relevante para la auditora de la red inalmbrica.
Adems se realizar la verificacin e inspeccin de la ubicacin y estado
de los equipos de telecomunicacin en las instalaciones del hotel.
Por ltimo se utilizarn las buenas prcticas para auditar redes
inalmbricas.
ANEXO N 02
Planeamiento De La Auditora
Planeamiento de la Auditora.
A) Objetivos del examen.
Ante el desarrollo de la auditora obtendremos un enfoque de la situacin
actual de la red inalmbrica del hotel, en lo que respecta a la parte del
diseo, administracin y seguridad de la red inalmbrica, y as plantear las
recomendaciones del caso.
B) Alcance del examen.
Se realizarn entrevistas al gerente de sistemas del Gran Hotel, dando un
alcance de la situacin actual de la red y los equipos de red de forma
narrativa que se encontraban al alcance. Luego se pasar a realizar un
Checklist que abarcarn los dominios de Diseo, Administracin y
Seguridad de la red inalmbrica del hotel.
En cuanto al Diseo se auditar:
Anlisis de la empresa.
Anlisis tecnolgico de la empresa.
Diseo fsico de la red.
Diseo lgico de la red.
Planes de implementacin.
En cuanto a la Administracin se auditar:
Administracin de recursos informticos.
Administracin de recursos humanos.
Administracin de comunicaciones y operaciones inalmbricas.
Administracin de control de accesos.
En cuanto a la Seguridad se auditar:
Poltica de seguridad de las Tics.
Organizacin de la Seguridad Inalmbrica.
Implementacin de la Seguridad Inalmbrica.
Gestin de incidentes de seguridad inalmbrica.
C) Descripciones de las actividades de la entidad.
El Gran Hotel Chiclayo, es un hotel cmodo y sofisticado se encuentra en
una amplia avenida, a slo minutos del centro de Chiclayo y del
aeropuerto. Su ubicacin cntrica es ideal para los viajeros de negocios as
como para aquellas personas que vienen a experimentar los excepcionales
E) Personal nombre.
Franck Jhonathan Santa Mara Becerra.
G) Presupuesto de tiempo.
N
1
ACTIVIDAD
Planificacin General
DIAS
HOMBRE
2
2
3
4
5
Planeamiento de la auditora
Ejecucin de Auditora (Auditoria de diseo,
administracin y seguridad de la red inalmbrica)
Comunicacin de Hallazgos
Elaboracin del Informe de Auditora
TOTAL
2
6
2
3
15
H) Papeles de trabajo
N
1
2
3
4
5
6
7
CODIGO
P/T
PAPEL DE TRABAJO
Encuesta a Hoteles: Garza Hotel,
Hotel Las Musas, Hotel Amrica,
Gran Hotel y Costa del Sol.
Checklist aplicadas al gerente de
sistemas.
Anlisis de la situacin actual en
base a las encuestas y entrevistas.
Aplicacin de Checklist del Dominio
Diseo, Administracin y Seguridad
al gerente de sistemas.
Falta de seguridad en la seal
inalmbrica del hotel.
Canales de emisin de la red
inalmbrica
Bajo ancho de banda de la red
inalmbrica
R
N
1.1.1
FJSB
JLBJ
1.1.2.
FJSB
JLBJ
1.1.3.
FJSB
JLBJ
1.1.4.
FJSB
JLBJ
1.1.5.
FJSB
JLBJ
1.1.6.
FJSB
JLBJ
1.1.7.
FJSB
JLBJ
Anexo
N01
Anexo
N02
Anexo
N03
Anexo
N04
Anexo
N05
Anexo
N06
Anexo
N07
ANEXO N 03
Informe de Auditora.
I. INTRODUCCIN
1. Origen del examen
La presente auditora denominada Buenas prcticas para auditar redes
inalmbricas en el Gran Hotel Chiclayo, se realiza en cumplimiento al plan de
auditora en el marco de aplicacin de Tesis de Pregrado (Anexo N 01).
Como resultado de la auditora se evidenciaron indicios razonables de
deficiencias en la red inalmbrica, por lo que en cautela de los intereses de el
Gran Hotel Chiclayo y en cumplimiento a la NAGU 4.40 Emisin del Informe, se
est emitiendo el presente Informe, el mismo que constituye prueba pre
constituida para el inicio de las acciones correctivas.
2. Naturaleza y objetivos del examen
La auditora realizada esta orientada a la red inalmbrica del hotel, presentando
como objetivo enfocarse a parte de diseo, administracin y seguridad de la
Wlan, teniendo en cuenta que la correcta funcionalidad de estas tres conllevan al
buen funcionamiento de la red inalmbrica, y en consecuencia tener a sus
clientes contentos con el servicio del hotel.
3. Alcance del examen
La auditora, se desarroll de conformidad a las normas de auditora
gubernamental, OSSTMM Wireless 2.9., ISO/IEC 27002:2005 y COBIT 4.1, dentro
del mbito del Gran Hotel Chiclayo, revisando en forma selectiva la
documentacin que obra en el rea de sistemas, abarcando el periodo
comprendido quincena Noviembre finales de Noviembre 2011.
La evaluacin abarca la revisin efectuada a la documentacin de la red
inalmbrica en sus dominios de diseo, administracin y seguridad.
4. Antecedentes, base legal de la entidad
4.1. Antecedentes
El gran Hotel Chiclayo promueve el servicio a pasajeros nacionales y extranjeros,
dndoles un servicio personalizado en hospedaje, fomentando el bienestar de los
mismos desde que llegan hasta que se van.
4.2. Ubicacin Geogrfica
El Hotel abre sus puertas al pblico por primera vez el 7 de mayo de 1995,
contando con una clientela menor. Conforme paso el tiempo se fue haciendo de
un nombre conocido en la ciudad contando cada vez con clientes ms selectos.
Localizndose en la Av. Federico Villarreal 115 Chiclayo - Lambayeque Per.
4.3. Subsistemas de informacin actuales
MDULO HOTELERO
52. Verificar que la encriptacin de las llaves son de tamao al menos 128
bits o tan grande como posible.
54. Asegurar que un Firewall configurado correctamente haya sido
instalado entre la infraestructura Cableada y la red inalmbrica.
58. Verificar que los usuarios son autenticados con Nombre de Usuario y
Contrasea a WLANS y qu tipo de la autenticacin es usado (RADIO,
Kerberos.).
61. Para mejorar la seguridad en casos donde esta es apoyada, verificar
que un protocolo de autenticacin, como 802.1x, es usado en la parte
superior de WEP.
CAUSA
Se opto por esto por motivos de que los pasajeros tenan problemas ante la
conexin a la red inalmbrica, no ubicaban el SSID y/o ingresaban mal la clave,
confundan los dgitos y nmeros, es por eso que se opto por emitir la seal libre
sin seguridad alguna.
EFECTO
Esto hace posible que cualquier usuario dentro o fuera de los lmites del hotel se
pueda conectar sin problema, aprovechando del ancho de banda y perjudicando
a los pasajeros del hotel ponindola lenta y en consecuencia quejas de los
pasajeros.
HALLAZGO NRO 02
CONTRASEAS DE LOS EQUIPOS DE COMUNICACIN NO SON
CAMBIADAS PERIDICAMENTE Y NO SON ALMACENADAS EN LUGAR
SEGURO
CONDICIN
Al llevar a cabo la entrevista y el desarrollo del checklist, se pudo detectar las
contraseas no han sido cambiadas por un periodo largo, y las mismas que son
almacenadas en un texto en la misma computadora del gerente de sistemas en la
organizacin.
CRITERIO
Segn el manual de buenas prcticas OSSTMM Wireless 2.3. En el apartado 2.
Pruebas Inalmbricas 802.11dice:
27. Verificar que los Puntos de Acceso (Access Point) sean restaurados a los
ltimos ajustes de seguridad despus de la caracterstica de RESET haya
sido usada.
28. Verificar que el manejo de interfaces para los puntos de acceso tengan
la autenticacin de usuario.
29. Verificar que todos los puntos de acceso tienen contraseas
administrativas difciles.
30. Verificar que todas las contraseas administrativas son cambiadas con
regularidad y seguramente almacenadas.
32. Si el router inalmbrico o el punto de acceso permiten configuracin
remota, verifique que este inhabilitado.
33. Si es posible, verifique que toda la configuracin conducida por web
del router o punto de acceso sea inhabilitado (inutilizado).
Respecto a la gestin y administracin de claves el estndar ISO/IEC 27002:2005
11.3.1 Uso de Contraseas que dice: Se debera exigir a los usuarios el uso de las
buenas prcticas de seguridad en la seleccin y uso de las contraseas.. Sobre el
uso de claves secretas dice:
a) Mantener confidenciales las claves secretas;
b) Evitar mantener un registro (por ejemplo, papel, archivo en software o
dispositivo manual) de las claves secretas, a no ser que este se pueda
mantener almacenado de manera segura y el mtodo de almacenaje haya
sido aprobado;
c) Cambio de claves secretas cuando haya el menor indicio de un posible
peligro en el sistema o la clave secreta;
d) Seleccionar claves secretas de calidad con el largo mnimo suficiente
que sean:
1) Fciles de recordar;
2) No se basen en nada que otro pueda adivinar fcilmente u
obtener utilizando la informacin relacionada con la persona; por
ejemplo, nombres, nmeros telefnicos y fechas de nacimiento, etc.
CAUSA
Por motivos de uniformidad de claves y fcil acceso a los equipos de
comunicacin se opto por una sola clave para todos, pero la misma es
almacenada en un archivo .txt en la misma computadora del gerente de sistemas.
EFECTO
Las claves corren el riesgo de ser captadas desde la misma computadora del
usuario por personas inescrupulosas, y si esto se diera corren el riesgo todos los
equipos de comunicacin al tener acceso a los mismo y ser manipulados y
reconfigurados.
HALLAZGO NRO 03
PUNTOS DE ACCESO NO ADECUADOS PARA LA RED INALMBRICA.
CONDICIN
Al desarrollar la auditora se inicio con una entrevista al gerente de sistemas del
Gran Hotel, la cual fue grabada en un audio, desarrollando el checklist
indicndonos que actualmente los equipos no presentan uniformidad en marcas,
provocando una incompatibilidad de configuraciones entre las mismas,
limitaciones en la cantidad de conexiones, cobertura, canales de emisin,
seguridad e implementar tecnologa emergente con la actual.
Respecto a la cobertura, alcanza zonas de alto trnsito de pasajeros como el
lobby, terraza, del 1ro - 6to piso, excepto en el 7mo piso, que la seal es muy dbil
o nula en ocasiones. La ubicacin de los equipos se determin a criterio propio
con asesora del proveedor de los equipos de comunicacin, se colocaron 2
puntos de acceso por cada lado de la parte externa, siendo un total de 4 puntos
de acceso en las afueras del hotel con lnea de vista a las habitaciones, y en el
interior se colocaron 8 puntos de acceso, presentando un total de 12 APs.
Nmero insuficientes de conexiones, soportando promedio de 60 conexiones
simultneas, provocando un Reset a los AP cada vez que llegan a su mximo. A
nivel general en conexiones simultneas diarias es de 50-80 conexiones en todo el
hotel, y de 100-110 conexiones en todo el da, que generalmente se da de Martes
Viernes que son periodos de alta ocupabilidad y Sbado Lunes de baja
ocupabilidad.
CRITERIO
Respecto a la compatibilidad de equipos de comunicacin hoy en da existen
organizaciones que se dedican a la creacin de protocolos y estndares para
equipos de comunicacin, que nos dice que la red inalmbrica debe estar
disponible, basndose en equipos compatibles y puedan trabajar bien sin ningn
problema al momento de realizar su trabajo, al no darse esto se estara
transgrediendo la norma:
- ISO/IEC 27002:2005 6.1.4. Proceso de Autorizacin de Recursos para el
Tratamiento de la Informacin que dice: Donde sea necesario, el hardware y
el software debiera de ser chequeado para asegurar que son compatibles con
otros componentes del sistema
- Previamente al adquirir un equipo de comunicacin se haga un estudio y
anlisis de las caractersticas y configuraciones, comparando con los equipos
de otras marcas a adquirir o con los equipos que presenta la organizacin, y
constatar que tienen caractersticas compatibles y configurables de las cuales
se le pueda sacar el mximo provecho a los mismos.
- Debido a la naturaleza de la tecnologa de radio, las seales de radio
frecuencia pueden desvanecerse o bloquearse por la accin de materiales
ambientales. La ubicacin de los puntos de acceso debe ser libre de
interferencias, ya que estos rayos no pueden atravesar los objetos slidos.
Segn el manual de buenas prcticas OSSTMM Wireless 2.3. En el apartado 2.
Pruebas Inalmbricas 802.11 para los canales de emisin nos dice:
16. Verificar que todos puntos de acceso en la red inalmbrica estn en menos
de 5 canales el uno aparte del otro y desde puntos de acceso en redes
inalmbricas vecinas para evitar posible problemas de negacin de servicio
causado por interferencia.
CAUSA
Motivo por el cual se dio la incompatibilidad de los equipos una fue los motivos
econmicos, otra fue por la falta de informacin exacta de sus caractersticas, de
un previo estudio de los equipos actuales con los que se iban adquirir y si eran
compatibles las caractersticas de importancia que se quera configurar en la red
inalmbrica ya sea seguridad o cobertura. En lo que respecta a la cobertura el
criterio principal es lo difcil de infraestructura del hotel, al presentar columnas
de gran magnitud y falta de reas abiertas.
EFEECTO
Los principales efectos que experimenta la red inalmbrica en estos momentos es:
- Incompatibilidad de equipos de comunicacin.
- Cobertura mnima o nula en reas con menor concentracin de usuarios.
- Nmero de conexiones insuficientes soportadas por los Puntos de acceso.
- Riesgo de falta y/o prdida de conexin de los pasajeros cuando requieran o
estn utilizando la red inalmbrica, provocando descontento e incomodidad
al interrumpir su conexin en momentos que estn trabajando con la misma.
- Inaplicabilidad de tecnologa comn a todos los equipos, como de Vlans,
QoS.
HALLAZGO NRO 04
LIMITADO ANCHO DE BANDA
CONDICIN
Al desarrollar el Checklist el gerente de sistemas nos transmiti esa incomodidad
por parte de los pasajeros, y nos reforz con una entrevista lo mismo, que al
utilizar la red inalmbrica para Video y/o VPN, experimentan una baja en el
ancho de banda, tomando en cuenta que presentan un contrato por 1Mbps.
El hotel actualmente cuenta con 129 habitaciones, llegando a un promedio de
ocupabilidad de 70 habitaciones, en tiempo de alta ocupabilidad que son de
martes viernes, y sbado-lunes de baja ocupabilidad. Haciendo uso de la red
inalmbrica un promedio de 50-60 pasajeros al mismo tiempo. En lo que respecta
al caf bar un aproximado de 15 pasajeros se conectan simultneamente, y 40
conexiones al da, dando un promedio aproximado de 80-90 conexiones
simultneas y 100 conexiones en el da en todo el hotel. Generalmente las
aplicaciones que utilizan los pasajeros son de acceso al correo, navegacin en
internet, videos, audio y VPN.
CRITERIO
La red inalmbrica debe trabajar con ancho de banda que cubra cualquier
necesidad del pasajero, sea e-mail, Video o VPN, debido a que es un hotel 4
ESTRELLAS, se hospedan autoridades del estado, comitivas de futbol,
profesionales, altos ejecutivos, etc, que tienen como necesidad primordial el VPN,
Video, correo, etc, y debiendo el hotel cubrir esa necesidad sin mayor problema.
CAUSA
Por motivos econmicos no se ha optado por un ancho de banda mayor, debido
a que se cubre las principales necesidades de pasajeros como es de e-mail, carga y
descarga de archivos.
EFECTO
Demora en la conexin VPN, carga de audio y video.
Los equipos de comunicacin no son los ptimos para el uso que el hotel
necesita.
Por parte del personal queda por documentar los roles y responsabilidades y
recibir capacitacin frecuente en seguridad inalmbrica.
V. ANEXOS
Anexo N01
Nombre de la entidad: GRAN HOTEL CHICLAYO
Ttulo del P/T: LISTA DE ENCUESTAS A HOTELES GARZA HOTEL,
HOTEL LAS MUSAS, HOTEL AMERICA, GRAN HOTEL Y COSTA DEL SOL
Fecha o periodo cubierto: Abril 2010 Mayo 2010
Detalles del trabajo realizado: Se realiz en el periodo detallado la
encuesta a los hoteles de la ciudad de Chiclayo para poder determinar si
presentaban una red inalmbrica en su organizacin, y de esa forma
poder determinar con que hoteles trabajar.
Resultados del trabajo: Al concluir con la encuesta se pudo determinar
que 5 hoteles contaban con una red inalmbrica en la organizacin.
Conclusiones: Se pudo determinar 5 hoteles de la ciudad contaban con
una red inalmbrica en la organizacin, y que tenan un personal a su
cargo.
Hecho por:
Fecha:
Revisado por:
Fecha:
Anexo N02
Nombre de la entidad: GRAN HOTEL CHICLAYO
Ttulo del P/T: CHECKLIST APLICADAS AL GERENTE DE SISTEMAS.
Fecha o periodo cubierto: Noviembre 2011 Diciembre 2011
Detalles del trabajo realizado: Se realiz en el Gran Hotel Chiclayo, se
hizo una entrevista al Gerente de sistemas en la cual se fue aplicando los
checklist de los dominios diseo, administracin y seguridad, en la cual
cada checklist presentaba un apartado de observaciones si en caso
quera hacer alguna aclaracin o algn agregado en dicha parte, as en
lo mismo en los siguientes dominios de administracin y seguridad.
Resultados del trabajo: Al concluir con los Checklist de los dominios
diseo, administracin y seguridad, se pudo obtener un alcance mejor
de la situacin de la organizacin.
Conclusiones: La situacin de la red inalmbrica presenta algunas
deficiencias en las cuales se debe mejorar, las cuales sern detalladas en
los apartados de resultados de la Tesis.
Hecho por:
Fecha:
Revisado por:
Fecha:
Anexo N03
Nombre de la entidad: GRAN HOTEL CHICLAYO
Ttulo del P/T: ANLISIS DE LA SITUACIN ACTUAL EN BASE A LAS
ENCUESTAS Y ENTREVISTAS.
Fecha o periodo cubierto: Noviembre 2011 Diciembre 2011
Detalles del trabajo realizado: Se realiz en el Gran Hotel Chiclayo, se
hizo una entrevista al Gerente de sistemas, la misma que fue grabada
con su consentimiento en su oficina, en la que se le hizo pregunta
abiertas para que pueda ir describiendo la situacin actual del hotel.
Resultados del trabajo: Al concluir con la encuesta se pudo determinar
que 5 hoteles contaban con una red inalmbrica en la organizacin.
Conclusiones: La situacin de la red inalmbrica presenta algunas
deficiencias en las cuales se debe mejorar, las cuales sern detalladas en
los apartados de resultados de la Tesis.
Hecho por:
Fecha:
Revisado por:
Fecha:
Anexo N04
Nombre de la entidad: GRAN HOTEL CHICLAYO
Ttulo del P/T: APLICACIN DE CHECKLIST DEL DOMINIO DISEO,
ADMINISTRACIN Y SEGURIDAD AL GERENTE DE SISTEMAS.
Fecha o periodo cubierto: Abril 2010 Mayo 2010
Detalles del trabajo realizado: Se realiz en el Gran Hotel Chiclayo, se
hizo una entrevista al Gerente de sistemas, la misma que fue grabada
con su consentimiento y en la cual se fue aplicando los Checklist de los
dominios diseo, administracin y seguridad, en la cual cada checklist
presentaba un apartado de observaciones si en caso quera hacer alguna
aclaracin o algn agregado en dicha parte, as en lo mismo en los
siguientes dominios de administracin y seguridad.
Hecho por:
Fecha:
Revisado por:
Fecha:
Anexo N05
Nombre de la entidad: GRAN HOTEL CHICLAYO
Ttulo del P/T: FALTA DE SEGURIDAD EN LA SEAL INALMBRICA DEL
HOTEL.
Fecha o periodo cubierto: Noviembre 2011 Diciembre 2011
Detalles del trabajo realizado: Se realiz en el Gran Hotel Chiclayo, se
hizo una entrevista al Gerente de sistemas, en la cual con su
coordinacin tambin se hizo un escaneado a la seal inalmbrica, en
la cual se pudo constatar que la misma no presentaba seguridad alguna,
demostrndolo con los siguientes grficos.
Resultados del trabajo: Al concluir el escaneado de la seal inalmbrica
se pudo obtener las siguientes imgenes:
Figura N 08: Monitoreo de la red Inalmbrica del Gran Hotel Chiclayo con la
herramienta InSSIDER 2.0.
Fuente: Elaboracin Propia.
red no presenta
Figura N 09: Monitoreo de las redes Inalmbricas del Gran Hotel Chiclayo con
la herramienta de Windows y Conexin a GranHotel_WF2
Fuente: Elaboracin Propia.
Hecho por:
Fecha:
Revisado por:
Fecha:
Anexo N06
Nombre de la entidad: GRAN HOTEL CHICLAYO
Ttulo del P/T: CANALES DE EMISIN DE LA RED INALMBRICA.
Fecha o periodo cubierto: Noviembre 2011 Diciembre 2011
Detalles del trabajo realizado: Se realiz en el Gran Hotel Chiclayo, se
hizo un monitoreo a los canales de emisin de la seal inalmbrica, en
la cual se pudo constatar que presenta superposicin de canales,
demostrndolo con los siguientes grficos.
Resultados del trabajo: Al concluir el escaneado de la seal inalmbrica
se pudo obtener las siguientes imgenes:
Al realizar la inspeccin del lugar, se constat que la seal inalmbrica
trabaja con 5 canales, 1, 7, 9, 10 y 11, los mismos que son utilizados
por redes vecinas, de la misma manera el gerente de sistemas realiza un
monitoreo de la red para revisar los canales que se estn interfiriendo y
los canales disponibles para migrar a esos libres.
Despus del monitoreo de la red inalmbrica de la organizacin, se
prueba que trabaja con los canales 1, 7, 9, 10 y 11, y que las redes
vecinas tambin trabajan en canales similares y la superposicin de
los mismos con canales vecinos.
Hecho por:
Fecha:
Revisado por:
Fecha:
Anexo N07
Nombre de la entidad: GRAN HOTEL CHICLAYO
Ttulo del P/T: BAJO ANCHO DE BANDA DE LA RED INALMBRICA.
Fecha o periodo cubierto: Noviembre 2011 Diciembre 2011
Detalles del trabajo realizado: Se realiz en el Gran Hotel Chiclayo,
despus de hacer conexin con la red inalmbrica, se prob el ancho de
banda, y efectivamente, al momento de hacer uso del servicio de Video,
la red experimenta una baja en el ancho de banda, pero para servicio de
correo al momento de descarga y subida de archivos no hay problemas.
Resultados del trabajo: Al concluir con la navegacin de la seal
inalmbrica se pudo obtener las siguientes imgenes:
revisor:
JLBJ
ANEXO N 04
OBJETIVOS DE CONTROL PROPUESTOS
DISEO
1
ADMINISTRACIN
1
SEGURIDAD
1
ORGANIZACIN DE LA SEGURIDAD DE LA
INFORMACIN
2.1. Organizacin Interna
Definir y administrar los niveles de servicio
2.2. Partes externas
Administrar los servicios de terceros.
PASO 1: Proteger los clientes inalmbricos
ISO 27002 5
COBIT 4.1 PO6
COBIT 4.1 PO1
COBIT 4.1 PO4
ENISA
Osstmm Wireless 2.Pruebas
de Capa Fsica de WLAN 802.11
1. SECCION DE LA PROPIEDAD
GESTIN DE INCIDENTES DE SEGURIDAD DE
INFORMACIN
13.1. Informe sobre los eventos y debilidades de seguridad
de la informacin
13.2. Gestin de los incidentes y mejoras de seguridad de
la informacin, Administrar los problemas.
CUMPLIMIENTO DE SEGURIDAD
15.1. Cumplimiento de requisitos legales (NO VA)
Garantizar el cumplimiento regulatorio
15.2. Cumplimiento con normas y polticas de seguridad y
cumplimiento tcnico
15.3. Consideraciones de la auditora de sistemas.
Monitorear y evaluar el control interno.
RED - M
RED - M
RED - M
RED - M
ISO 27002 9.2 equivalente
a COBIT 4.1 DS12
ISO 27002 9.2 se toma tal
cual la norma lo presenta.
LVD Centro seguridad fsica.
6. ADMINISTRACIN DE LA SEGURIDAD
ANEXO N 05
FORMATO DE ANLISIS DE LA EMPRESA
1.
Descripcin de la Empresa
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
2.
2.1.
2.2.
2.3.
DEBILIDADES
OPORTUNIDADES
AMENAZAS
3.
4.
4.1.
4.2.
4.3.
ANEXO N 06
INVENTARIO DE EQUIPOS DE TELECOMUNICACION
INVENTARIO DE ESTACIONES
N STA MAC Ultimo SSID Ultimo Ch# Nombre
1
: : : : :
2
3
N Estacin MAC Tipos de Protocolos Asoc. ESSIDs Encriptacin 802.11 PSK 802.1X Tipo EAP Usuario
1 : : : : :
2
3
ESSID
Ubicacin Clasificacin
N AP MAC Tipos de Protocolos SSID Beacon Encriptacin 802.11 PSK 802.1X Tipo EAP Otros
1 : : : : :
2
3
ANALISIS DE LA RED
TOPOLOGA:
ESTNDAR
MODELO DE RED
3
Extensible Authentication Protocol (EAP) es una autenticacin framework usada habitualmente en redes
WLAN Point-to-Point Protocol.
4
Signal-to-Noise Ratio: Relacin seal-ruido
EQUIPOS DE COMUNICACIN
Nombre del Equipo
Ubicacin
DISEO FISICO
DISEO LOGICO
Sistema Operativo:
Protocolos de Red:
CONFIGURACION DE
EQUIPOS DE RED
Nombre:
Direccin IP:
Mascara de Red:
ANEXO N 07
CUESTIONARIO PARA EL ANLISIS TECNOLOGICO DE LA ORGANIZACIN
rea de evaluacin: Gerencia de Tecnologas de Comunicacin
Nombres Y Apellidos:
Cargo: Gerente de Sistemas
Objetivo: Anlisis tecnolgico de la organizacin.
PREGUNTAS
1.- Con cuntos nodos de red trabaja la red inalmbrica?
A) 1 5 Pcs
B) 6 10 Pcs
C) 11 20 Pcs
2.- Con cuntos canales trabaja la red inalmbrica?
A) 1
B) 2
C) 3
D) 4
D) 21 ms Pcs
E) 5
2
13
10
11
1000BaseT
1000base SX
1000BaseLX
10GigabitEthernet
D) 1500 Mas m2
802.11b
802.11g
802.11n
ANEXO N 08
RECOMENDACIONES EN RELACIN A LA GESTIN Y ESTABLECIMIENTO DE
CONTRASEAS.
Para gestionar correctamente la seguridad de las contraseas, se recomienda a
los usuarios tener en cuenta las siguientes pautas para la creacin y
establecimiento de contraseas seguras:
Poltica y acciones para construir contraseas seguras:
1. Se deben utilizar al menos 8 caracteres para crear la clave. Esto conlleva a la
mejora del tiempo para descubrir la clave se vea aumentado.
2. Se recomienda utilizar en una misma contrasea dgitos, letras y caracteres
especiales.
3. Es recomendable que las letras alternen aleatoriamente maysculas y
minsculas. Hay que tener presente el recordar qu letras van en mayscula y
cules en minscula.
4. Elegir una contrasea que pueda recordarse fcilmente y es deseable que
pueda escribirse rpidamente, preferiblemente, sin que sea necesario mirar el
teclado.
5. Las contraseas hay que cambiarlas con una cierta regularidad. Y, a la vez,
hay que procurar no generar reglas secuenciales de cambio. Por ejemplo, P.
ej.: pasar de 01Juitnx a 02Juitnx.
6. Utilizar signos de puntuacin si el sistema lo permite. P. ej.: Tr-.3Fre. En
este caso de incluir otros caracteres que no sean alfa-numricos en la
contrasea, hay que comprobar primero si el sistema permite dicha eleccin y
cules son los permitidos. Dentro de ese consejo se incluira utilizar smbolos
como: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
7. Existen algunos trucos para plantear una contrasea que no sea dbil y se
pueda recordar ms fcilmente. Por ejemplo se pueden elegir palabras sin
sentido pero que sean pronunciables, etc. Nos podemos ayudar combinando
esta seleccin con nmeros o letras e introducir alguna letra mayscula. Otro
mtodo sencillo de creacin de contraseas consiste en elegir la primera letra
de cada una de las palabras que componen una frase conocida, de una
cancin, pelcula, etc. Con ello, mediante esta sencilla mnemotecnia es ms
sencillo recordarla. Ej.: Com mucho chocolate el domingo 3, por la tarde,
resultara la contrasea: cmCeD3-:xLt. En ella, adems, se ha introducido
alguna mayscula, se ha cambiado el por en una x y, si el sistema lo
permite, se ha colocado algn signo de puntuacin (-).
ANEXO N 09
RECOMENDACIONES PARA LA CONCIENTIZACION EN SEGURIDAD DE
INFORMACIN.
1. Utilice una contrasea
Utilice una contrasea segura
Utilice una contrasea segura para proteger sus datos: Use al menos ocho
caracteres y combinar letras (maysculas y minsculas), nmeros y
smbolos. Cuanto mayor sea la diversidad de caracteres en su contrasea,
ms difcil es adivinar.
No utilice informacin personal como su nombre, el Nombre de su hijo o
un cumpleaos, la persona ya sabe o puede saber fcilmente. Adems,
trate de evitar las palabras de lenguaje comn, ya que algunos hackers
utilizan programas que tratan de cada palabra en el diccionario.
Cambie su contrasea
Si tiene la impresin de que se ha accedido ilegalmente en su sistema,
cambie inmediatamente su contrasea.
Mantenga su contrasea en secreto
Su contrasea es nica y debe ser comunicada a nadie.
Si es posible, trate de memorizar las contraseas. Disear una estrategia
sobre la manera de recordar las contraseas.
Si usted anote sus contraseas, almacenar de forma segura. Archive la
grabacin de sus contraseas donde usted tambin archivara los datos
que protegen las contraseas.
Use contraseas diferentes
Utilizar para cada cuenta en lnea a la que tienen acceso a una contrasea
diferente (o al menos usar varias contraseas diferentes). Si utiliza la
misma contrasea para varias cuentas, un atacante que obtenga acceso a
una de sus cuentas, el acceso a todas sus cuentas.
2. Proteja su computadora
Mantener alejado de su escritorio accesos no autorizados, cuando usted
pone su orden de ir a una reunin, un breve descanso o del almuerzo.
No deje que otras personas utilicen su dispositivo de almacenamiento USB
en una computadora infectada, especialmente si son de carcter privado,
no seguro tarjetas de memoria.
No instale ningn software ilegal o no autorizada, porque entonces
comprometer la seguridad de datos y violar la ley. Programas
desconocidos fuera de la red puede llevar a su organizacin a riesgos de
seguridad.
Memoria USB
Utilice una memoria USB encriptada.
Guardar datos de la empresa slo hasta cierto punto en su memoria USB,
especialmente si, es una organizacin privada.
Conecte su memoria USB a su llavero, con el fin de no perderlos, debido a
su pequeo tamao, se pierden muy fcilmente o pueden ser robados con
facilidad. Adems, una mayor capacidad de almacenamiento aumenta, el
riesgo de acceso no autorizado a datos expuestos. Las unidades flash USB
se guardan generalmente en bolsos, mochilas, bolsas para porttiles,
chaquetas o los bolsillos del pantaln o dejarlo slo en el lugar de trabajo.
Ms recientemente se ha repetido los incidentes, desde memorias USB
perdido una y otra vez, se mueve y prestado sin permiso o incluso
robados.
Establecer que las tarjetas de memoria USB de los usuarios, se ejecute en
modo de slo lectura para evitar la transmisin del virus: Algunas
unidades flash USB presentan un interruptor o un bloqueo para apagar el
dispositivo en modo lectura para activar el modo nico que impide
escribir en el disco o el cambio de los datos almacenados en el ordenador
anfitrin.
Inspeccione visualmente el dispositivo de memoria USB a un anlisis antivirus si ha copiado los archivos de un ordenador que no es de confianza o
no autorizado.
Antes de conectar su dispositivo de memoria USB a la PC de otra persona,
borre todos los archivos que no hay necesidad de ese proceso.
Establecer copias de seguridad para restaurar a la memoria USB los datos
almacenados cuando sea necesario.
Telfonos mviles y Blackberrys
Abandone conexiones inalmbricas (es decir, Bluetooth y WLAN), si no los
utilizan. Con la ayuda de la tecnologa Bluetooth permite que los
dispositivos electrnicos para comunicarse a travs de corto alcance de
redes inalmbricas entre s. Algunos telfonos mviles con Bluetooth se
ven afectados por los errores de software que permiten Bluejacking y
bluesnarfing. Bluejacking hace el envo annimo de tarjetas de visita
electrnicas que contienen un mensaje a los dispositivos con capacidad
Bluetooth. Bluejacking es operado para enviar mensajes no solicitados.
Bluesnarfing es operado a fin de que los datos personales (por ejemplo,
Acceso a la informacin de contacto) en un telfono mvil y copiarlos en
otro telfono mvil.
No deje sus telfonos mviles y Blackberrys desatendido. Recuerde que de
lo contrario podra perder datos.