Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Definicion de Politicas
Prefacio
Intruso (hacker) : 1) Se dice de quien goza averiguando los detalles de sistemas de
cmputo y cmo llevarlos a su lmite, en contraposicin a la mayora de los usuarios que
prefieren aprender slo lo mnimo necesario. 2) Se dice de quien escribe programas de
forma entusisasta o goza programando en lugar de pensar en cmo programar.
--Guy L. Steele y cols.
The Hackers Dictionary
El primer principio de la administracin de la Seguridad segn Spaf dice:
Si se tiene responsabilidad sobre la seguridad, pero no se tiene autoridad para fijar las
reglas y castigar a quienes las violen, su papel en la organizacin es asumir la culpa si
sucede algo grave
Seguridad informtica: Una computadora es segura si se puede confiar en que, junto
con sus programas, funcione como se espera. Si se espera que los datos que se alimenten
estn all dentro de unas semanas y que nadie que no deba leerlos los lea, entonces la
computadora es segura. Este concepto a veces se llama confianza: se confa en que el
sistema preservar y proteger los datos.
Si se ignora qu se est protegiendo, porqu se est protegiendo y contra qu se est
protegiendo, el trabajo ser ms dficil. Hay que entender cmo formular y aplicar
polticas de seguridad uniformes.
La seguridad no es un conjunto de trucos, sino una especialidad que se desarrolla.
La poltica de seguridad, es la que determina cmo se maneja la computadora con
respecto a los usuarios y a la administracin del sistema, juega un papel tan importante en
la determinacin de la seguridad de la computadora como los programas del sistema. Una
computadora que se usa sin pensar en la seguridad no puede ser confiable aunque este sea
equipada con los programas ms sofisticados y que tomen en cuenta la seguridad. Por
est razn, establecer y codificar la poltica es muy importante en el proceso de operar un
sistema seguro.
Fundamentalmente la seguridad informtica es una coleccin de soluciones tcnicas a
problemas que no son tcnicos. Se puede invertir mucho tiempo, dinero y esfuerzo en
seguridad informtica, pero nunca se resolver realmente el problema de la perdida
accidental de datos o de la interrupcin intencional de actividades. Dadas las condiciones
adecuadas, por ejemplo un error en algn programa, una equivocacin, mala suerte, mal
Planteamiento
La seguridad debe ser una de las prioridades de la administracin de la Coordinacin de
Tecnologas de Informacin de la Universidad Autnoma de Chihuahua, para lo cul el
proceso de planeacin de la seguridad se divide en seis etapas:
1.
2.
3.
4.
5.
6.
Prioridad
2. Anlisis de Riesgos
El primer paso para mejorar la seguridad de un sistema es contestar las siguientes
preguntas bsicas:
Pregunta
Qu se debe proteger?
Contra qu debe protegerse?
Cunto tiempo, dinero y esfuerzo se est
dispuesto a invertir para obtener una
proteccin adecuada?
El anlisis de riesgos es una parte muy importante del proceso de seguridad informtica.
No se puede proteger algo si no se sabe contra qu hay que protegerlo. Despus de
conocer los riesgos se pueden planear las polticas y tcnicas que se necesitan para
reducir esos riesgos, para lo cul se tienen tres etapas:
Se debe hacer una lista de todo lo que se quiere proteger, los cules incluyen objetos
tangibles (unidades de disco, monitores, cables de red, CPUs, medios de respaldo,
manuales) o intangibles (capacidad de seguir operando, imagen pblica, reputacin,
acceso a las computadoras, el password del administrador de servidor). Esta lista debe
contener todo lo que se considera valioso. Para determinar si algo es valioso hay que
pensar en lo que costara en prdida de ingresos, tiempo perdido o costo de reparacin o
reemplazo.
La siguiente tabla nos muestra algunos objetos que son factibles de proteger.
Tangibles
Computadoras
Datos privados
Respaldos y acervos
Manuales, guas y libros
Listados
Medios de distribucin de programas comerciales
Equipo y cableado de comunicaciones
Registros de personal
Registros de auditora
Intangibles
Salud y seguridad del personal
Privacidad de los usuarios
Passwords personales
Imagen pblica y reputacin
Disponibilidad de proceso
Informacin sobre la configuracin
Identificacin de amenazas
Lo siguente es hacer una lista de amenazas a los activos. Algunas amenazas sern
ambientales, como incendios, inundaciones, etc. Otras provienen del personal, alumnos y
de extraos, en la siguiente tabla se muestran algunas.
Amenaza
Enfermedades de personas clave
Enfermedades simultneas del personal (epidemias)
Perdida (por renuncia, despido o muerte) del personal clave
Interrupcin de servicios (red, telfonos, radio)
Interrupcin breve de otros servicios (agua, electricidad)
Interrupcin prolongada de otros servicios (telfono, red, agua, electricidad)
Rayos
Inundaciones
Robo de discos y/o cintas
Robo de computadora porttil de una persona clave
Aparicin de virus
Quiebra de un proveedor
Errores en programas
Subversin de empleados
Problemas laborales (huelga)
Terrorismo poltico
Intrusos maliciosos (hackers)
Colocacin de informacin privada o inapropiada en la WEB
Cuando se han identificado los riesgos debe estimarse la probabilidad de que ocurra cada
uno de ellos, se recomienda considerar ocurrencias anuales, una ocurrencia al ao sera el
100%, si se espera ms de una ocurrencia al ao hay que anotar cuntas veces se espera
que suceda.
Con estos tres datos se realiza una tabla
Activos
Amenazas
Riesgos
3. Anlisis de costo-beneficio
Al termiar el anlisis de riesgos es necesario asignar un costo a cada riesgo, y determinar
el costo de eliminar el riesgo. Una manera para calcular las prdidas se toma el costo de
reparar o substituir el objeto. Una evaluacin ms sofisticada puede tomar en cuenta el
costo de no disponer del equipo, de la capacitacin adicional requerida, de los
procedimientos adicionales que resulten de la prdida, el costo de la reputacin de la
Universidad, habra que asignar costos separados a cada una de las categoras de la
siguiente tabla.
Categora
Costo
asignado
Estndares
Los estndares sirven para codificar las prcticas exitosas de seguridad en una
organizacin. Se redactan generalmente en terminos de es obligatorio. Los estndares
en general no dependen de las plataformas y por lo menos implican una mtrica que
permita determinar si se han cumplido. Los estndares se elaboran para apoyar las
polticas y cambian lentamente en el tiempo.
Recomendaciones
5. Implementacin
Para el proceso de implementacin, se propone el establecer dos talleres y una
reunin de evaluacin, el primer taller estar dirigido a los jefes de los
Departamentos que conforman a la Coordinacin General de Tecnologas de
Informacin (Desarrollo de Sistemas, Redes y Telecomunicaciones, Servicios
Electrnicos e Internet y a la Coordinacin General) con el fin de concientizar
acerca del plan propuesto y tener el apoyo de sus reas, ya que de no darse el
completo apoyo, no es conveniente seguir con este proyecto. El segundo taller
involucra a todo el personal de la Coordinacin, del cul se obtendrn las
prioridades de los tipos de seguridad, el anlisis de riesgos, las polticas, los
estndares y las recomendaciones. Por ltimo la reunin de evaluacin tendr
como tarea bsica el anlisis de costo-beneficio, como tareas secundarias seran el
establecimiento de las polticas, estndares y recomendaciones; y determinar la
prioridad de las acciones para la implementacin y reforzamiento de la seguridad
informtica de la Universidad Autnoma de Chihuahua.
Dentro de este punto se encuentra la adquisicin, instalacin y configuracin de
herramientas, la divulgacin de las polticas, estndares y recomendaciones hacia
la comunidad universitaria.
Segunda parte
Actividades
Primera Etapa
9 de mayo al 7 de junio 2002
Establecimiento de polticas de usuario orientadas a definir la instalacin,
configuracin y uso de software en los equipos de Unidad Central y emitir
recomendaciones a las facultades, escuelas e instituto (CGTI).
Eliminacin del protocolo NetBEUI de todos los equipos de Unidad Central (ST)
Eliminar todos los dispositivos de escritura compartidos en los equipos de Unidad
Central (ST)
Instalacin de parches en sistemas operativos y software de aplicacin de los
equipos de la Unidad Central (ST).
Eliminar los dispositivos de escritura compartidos que son utilizados por el
Departamento de Sistemas de Informacin en la actualizacin de los sistemas de
informacion institucional (SI).
Creacin de un repositorio de aplicaciones (FTP) de uso restringido para los
usuarios de los sistemas de informacin, con el fin de que actualicen las versiones
de las aplicaciones a travs de Internet (SEI).
Asegurar la actualizacin continua del servidor antivirus instalado en los
servidores de correo electrnico (SEI).
Verificar la instalacin y actualizacin del cliente de antivirus institucional en los
servidores de bases de datos, aplicaciones y autenticacin. (SI, RT)
Monitoreo peridico de las seguridad de las redes de Unidad Central y registro de
incidencias recurrentes a fin de determinar medidas que eviten la negligencia e
irresponsabilidad por parte del usuario en la administracin de sus equipos.(SEI)
Adquisicin de licencias de software antivirus.
Segunda Etapa
8 de junio al 7 de agosto 2002
Instalacin de servidores de autenticacin Windows para establecer o utilizar
polticas de uso centralizadas en el edificio de rectora y/o en los equipos de la
Unidad Central
Evaluacin de servidores de aplicaciones para ser utilizados con los sistemas de
informacion desarrollados por SI. (SI y SEI)
Evaluacin de software de control remoto para actualizacin de aplicaciones
desarrolladas por SI. (ST, SEI, SI)
Tercera Etapa
8 agosto al 31 de diciembre del 2002
Implementacin del servidor de aplicacin seleccionado en la etapa anterior, y que
permita la ejecucin remota de las aplicaciones y/o sistemas a travs de Internet.
(SI y SEI)
Tercera Parte
Anexo
Autentificacin de Usuarios en Rectora
Se presenta el siguiente ante-proyecto, con el fin de aumentar la seguridad y el
desempeo del equipo de cmputo.
Antecedentes
La mayora de las computadoras utilizadas en los procesos de Rectora utilizan como
sistema opereativo Windows 9x (95 98), tomando en cuenta que este sistema operativo
fu desarrollado para ser utilizado en computadoras caseras y de entretenimiento, no tiene
la estructura de seguridad de sistemas operativos robustos, por lo que cada usuario es el
administrador de su propia mquina teniendo los privilegios para realizar cambios e
instalaciones de software, incluso si se habilita la autentificacin de usuarios, est es
deficiente, lo que permite que cualquier usuario pueda crear su propia cuenta o saltarse el
proceso de autentificacin, lo cul se considera un hueco de seguridad muy grande
cuando se utiliza en procesos productivos, incluso no se tienen las protecciones
adecuadadas para el caso de virus informticos, lo que las hace altamente vulnerables y
son las mquinas a quienes estn dirigidos la gran mayora de los virus existentes.
Propuesta
Se propone una arquitectura de autentificacn de usuarios en un servidor central con el
fin de que todo usuario frente a un equipo de cmputo presente credenciales de identidad,
evitando con esto que personas ajenas al equipo tengan acceso a los datos y a la red
Universitaria, y as mismo se preve que el usuario sea el administrador de la mquina en
que se valide, teniendo las siguientes ventajas de entrada:
Para realizar una real seguridad en la autenticacin de los usuarios se requiere que el
sistema operativo de las mquinas cliente utilice Windows NT 4.0 Workstation con NTFS