Está en la página 1de 98

GUA BSICA

NORMAS Y PROCEDIMIENTOS
DE SEGURIDAD

Jos Luis
La seguridad en la informacin,
el activo principal de cualquier empresa.
Lo que dejas atrs, te termina alcanzando.
Jos Luis

Contenido

Introduccin
Para quin es este libro?
Plan de seguridad nformt ca - (PSI)
Elementos del Plan de Seguridad Informtica
Algunos parmetros para establecer el Plan de seguridad
Niveles de riesgo de los recursos
Gestin y Administracin de cuentas de usuar o y contraseas
Activacin del salva-panta las para la seguridad visual de la informacin
Mantenimento y actualizacin de los productos ant malware, antispyware y antispam
Instalacin y actualizacin de los Sistemas Operativos

Gestin y configuracn de la seguridad en navegadores Web


Clientes de correo electrn co
Cortafuegos. Firewalls
Elminacin de servicios innecesarios en el sistema
Eventos o incidentes de seguridad
Firmas y cert ficados d gitales
Proteccin de datos
La proteccin de datos: Activo principal de la empresa
Clasficacin y Comunicacin de informacin: Confidencial y Reservada
Contratos con terceros
Comunicacn de informacin no clasificada con terceros subcontratados
Servcos pblicos de informacin
Respuesta ante incidencias detectadas por los usuarios del sistema
Uso de dispositivos mviles
Reports

Puede descargar los documentos referenciados de este libro en formato ".Doc"


desde el enlace :

Download:
http://docslibro.files.wordpress.com/2014/09/docspsi.doc
(Recuerde psele un antivirus a todo lo que descargue de Internet por su seguridad
antes de abrirlo)

Introduccin
El robo de informacin es algo cada vez ms frecuente. Los sistemas informticos
en el seno de la PYME estn condicionados principalmente por la capacidad

econmica de las mismas y por la cultura tecnolgica que ex ista en quienes la


gestionan o dirigen. No debemos olvidar que la gran mayora de las PYMES son
de carcter familiar, dnde los propios gestores dirigen o trabajan directamente en
la produccin principal de la misma. Por otro lado, las grandes corporaciones
suelen tener implantados sistemas de calidad ISO o similar que determinan su
funcionamiento interno. La implantacin de sistemas informticos en la empresa,
la revolucin tecnolgica continua, la confianza electrnica, la falta de
organizacin en los datos a tratar, la ley de Proteccin de Datos, etc.-, establecen
la necesidad de elaborar un plan de normas, uso y reacciones ante cualquier
incidencia que pueda poner en peligro la continuidad o viabilidad del negocio a
corto o medio plazo. Por consiguiente, la informacin se debe considerar como un
activo de primer orden en la empresa, en la que sus gestores, con independencia
de la legislacin vigente para tal efecto, debern salvaguardarla ante posibles
robos, prdidas o deterioros de la misma. Los ataque informticos estn a la orden
del da por lo que nadie, absolutamente nadie, puede decir que est ex ento de
sufrir alguna incidencia.

Para quin es este libro?


Este libro est pensando para empresas del sector de la informtica, freelances de
la seguridad de la informacin, tcnicos de redes, empresarios, estudiantes,
directivos o personas interesadas en el campo de la seguridad informtica.
Su finalidad no es ms que presentar una gua de orientacin para el desarrollo de
un Plan de Seguridad Informtica PSI como complemento tcnico al manual LOPD
que toda empresa debera poseer, que permita, generalmente a una PYME en su
totalidad, o una gran corporacin a nivel departamental, implementar unas normas
o polticas de uso y comportamiento reguladas ante el manejo de los activos
digitales ex istentes, y por consiguiente, mantener los mismos en unos niveles de
seguridad o fiabilidad aceptables, as mismo, no pretende en ningn momento

sustituir al manual LOPD legalmente ex igido, sino complementarlo y dotarlo de la


capacidad tcnica y administrativa necesaria, gestionado todo ello principalmente
a travs de un administrador del sistema o responsable de seguridad (ASRS)
destinado para tal fin.
Este libro se presenta como una gua prctica, no es definitiva, y deber
amoldarse a las circunstancias propias de cada empresa en concordancia a su
manual LOPD interno, as mismo, no ex ime a los responsables de la empresa de
sus obligaciones en materia de seguridad hacia este ltimo.

Plan de seguridad informtica


El PSI establece el canal formal de actuacin del personal, en relacin directa con
los recursos y servicios informticos importantes de la empresa. No se trata de
una ex presin legal que involucre sanciones a conductas de los usuarios, es
ms bien una descripcin de los que debemos proteger, como realizarlo y el por
qu de todo ello. Por consiguiente, ser un complemento tcnico al manual LOPD
que toda empresa debera poseer.

Elementos del Plan de Seguridad Informtica


El PSI orienta las decisiones que se toman en relacin con la seguridad. Por tanto,
requiere de una disposicin por parte de cada uno de los miembros que conforman
la empresa para lograr una visin conjunta de lo que realmente se considera
importante y sensible.
Ofrece por tanto, ex plicaciones comprensibles acerca de por qu deben tomarse
ciertas decisiones de seguridad y transmitir por qu son importantes estas y otros
recursos o servicios del sistema. De igual forma, establece las ex pectativas de la
empresa en relacin con la seguridad y lo que ella puede esperar de las acciones

que la materializan.

La seguridad no es un producto: es un proceso

Como documento dinmico, sigue un proceso de actualizacin peridica sujeto a


los cambios organizacionales relevantes: crecimiento de la plantilla de personal,
cambio en la infraestructura informtica, rotacin de personal, desarrollo de nuevos
servicios, cambio o diversificacin de negocios, entre otras. Por consiguiente se
debe actualizar el Plan de Seguridad Informtica como mnimo una vez al ao. La
empresa contratada para el seguimiento y control de la seguridad ser la
encargada de realizar dicho proceso, as mismo emitir boletines informativos de
actualizaciones que sern remitidos a la empresa, la cul a travs de su
administrador del sistema o responsable de seguridad, que en lo sucesivo
denominaremos ASRS, deber incluirlas en las secciones correspondientes y
aplicarlas.

Algunos parmetros para establecer el Plan de seguridad


En el PSI se implementan algunos aspectos generales que se detallan a
continuacin.
Anlisis del riesgo informtico, Pentesting a travs del cul se valora sus
activos.
Involucrar las reas propietarias de los recursos o servicios.
Determinacin de autoridades para tomar decisiones para salvaguardar los

activos crticos de la empresa.


Desarrollo de un proceso de monitoreo peridico de las normas que permita una
actualizacin oportuna de las mismas.

Niveles de trabajo
Confidencialidad
Integridad
Disponibilidad de los recursos y de la informacin
Auditoria

Confidencialidad
Consiste en proteger la informacin contra la lectura no autorizada ex plcitamente.
Incluye no slo la proteccin de la informacin en su totalidad, sino tambin las
piezas individuales que pueden ser utilizadas para inferir otros elementos de
informacin confidencial. El acceso a los recursos solo ser para el personal
debidamente autorizado para ello.

Integridad
Es necesario proteger la informacin contra la modificacin sin el permiso del
usuario autorizado. La informacin a ser protegida incluye no slo la que est
almacenada directamente en los sistemas de datos, sino que tambin se deben
considerar elementos menos obvios como respaldos, documentacin, registros de
contabilidad del sistema, trnsito en una red, etc. Esto comprende cualquier tipo

de modificaciones:
Causadas por errores de hardware y/o software.
Causadas de forma intencional.
Causadas de forma accidental.

Disponibilidad de los recursos y de la informacin


De nada sirve la informacin si se encuentra intacta en el sistema pero los
usuarios autorizados no pueden acceder a ella. Por tanto, se protegen los
servicios de manera que no se degraden o dejen de estar disponibles a los
usuarios autorizados. Se prepara tambin el sistema para recuperarse rpidamente
en caso de algn problema.

Auditoria
Se debe contar con los mecanismos necesarios para poder determinar qu es lo
que sucede en el sistema, monitorear, no espiar , qu es lo que hace cada uno
de los usuarios y los tiempos y fechas de dichas acciones. Por lo tanto, es
posible sentar de forma concreta y clara los derechos y lmites de usuarios y
administradores. Sin embargo, es necesario asegurarnos de que los usuarios
conozcan sus derechos y obligaciones (es decir, las normas), de tal forma que no
se sientan agredidos por los procedimientos implantados.

Niveles de riesgo de los recursos


Se determinar qu recursos importantes de la red vale la pena proteger y cuales
son ms importantes que otros. Se identificarn las fuentes de amenaza hacia
dichos recursos. Se diferencian claramente tres tipos de recursos:

Fsicos
Lgicos
Servicios
Los recursos fsicos son, por ejemplo, las impresoras, los servidores de archivos,
los routers, etc. Los recursos lgicos son, por ejemplo, las bases de datos de las
cuales sacamos la informacin que permite trabajar en la empresa. Los servicios
son, por ejemplo, el servicio de correo electrnico, de pgina WEB, etc.
El anlisis general de riesgos implica determinar lo siguiente:
Qu se necesita proteger.
De quin protegerlo.
Cmo protegerlo.
Los riesgos los clasificamos por el nivel de importancia del recurso a proteger y
por la gravedad de la prdida.
No se debe llegar a una situacin donde se gasta ms para proteger aquello que
es menos valioso
Los recursos que consideramos al estimar las amenazas a la seguridad son:
Hardware: Procesadores, tarjetas, teclados, terminales, estaciones de trabajo,
computadoras personales, impresoras, unidades de disco, lneas de
comunicacin, cableado de la red, servidores de terminal, routers o bridges.
Software: Programas fuente, programas de diagnstico, sistemas operativos,
programas de comunicaciones.
Datos: Durante la ejecucin, almacenados en lnea, archivados fuera de lnea,
back-up, bases de datos.

Gente: Usuarios, personas para operar los sistemas.


Documentacin: Sobre programas, hardware, procedimientos administrativos.
Accesorios: papel, formularios, informacin grabada.

Proteccin y configuracin del sistema. Datos


PSI.1.1 - Gestin y Administracin de cuentas de usuario y
contraseas
Altas y Modificaciones de usuario
Cuando un usuario nuevo o ex istente de la empresa requiere una cuenta de
acceso nueva o modificacin de la ex istente para operar en el sistema, el ASRS
cumplimentar el formulario PSI11-A:
Nombre y Apellido.
D.N.I.
Puesto de trabajo.
Jefe inmediato superior.
Trabajos a realizar dentro del sistema.
El consentimiento por parte del usuario de que sus actividades pueden ser
auditadas en cualquier momento y de que conoce las normas de buen uso
de los recursos .
Datos generales:
Fecha de caducidad.
Fecha de ex piracin.
Permisos de acceso.
Restricciones horarias para el uso de algunos recursos y/o para el ingreso
al sistema, otros...

Normas bsicas para la creacin, modificacin y gestin del password de:


Longitud: No debe ser menor de ocho caracteres, hay que tener en cuenta
que cuanto ms larga sea la contrasea mas tardara un programa de fuerza
bruta en encontrarla.
Complejidad: La mayora de los programas de rotura de contraseas buscan
regularidades en las contraseas, es importante que esta sea lo menos
regular posible, ex presiones del tipo qazwsx , 1234 o qwerty , son
muy tpicas y ex isten infinidad de programas capaces de detectarlo,
reduciendo enormemente la dificultad de encontrar la contrasea correcta.
Variedad: La inclusin de caracteres especiales como |, @, #, -, nmeros y
alternar maysculas y minsculas, aumenta la dificultad de un atacante
antes de conseguirlo.
No identificacin personal: No utilizar palabras o fechas que nos identifiquen
de ninguna manera, se deben ex cluidas fechas de nacimiento, boda,
nombres de mascotas y nombre personal.
No palabras de diccionario: Muchos de los ataques utilizan palabras del
diccionario que debido a la alta velocidad que pueden realizar ataques de
fuerza bruta (ir probando una por una) pueden acabar consiguiendo la
contrasea en un tiempo relativamente corto.
No repetir en diferentes sitios: Evitamos que la revelacin de una contrasea
permita entrar a ms de un sitio.
Cambiar peridicamente: Dependiendo de la importancia del servicio es

importante cambiarlas cada cierto tiempo asociado a la fuga de informacin,


en ningn caso esta debe ser superior a un ao.
No enviar ni por email, ni SMS: Las contraseas nunca enviarlas a travs de
medios inseguros.
No usar contraseas corporativas en ordenadores donde se desconozca el
nivel de seguridad.
Cambiar las contraseas por defecto del hardware y software: Las
contraseas por defecto estn publicadas y son fcilmente accesibles por lo
que mantener esta contrasea hace que cualquier recurso del sistema sea
altamente inseguro.
No apuntar las contraseas, si se tiene que memorizar un alto nmero de
ellas, es mejor crear una base de datos cifrada para tal fin.
Los usuarios del sistema mediante charlas peridicas de seguridad deben ser
avisados de estas normas bsicas

Bajas de usuario
Cuando un usuario cesa permanentemente o cuando deja de trabajar por un
determinado tiempo (ex cedencia, vacaciones, bajas mdicas, sanciones graves,
etc.) se cumplimentar el formulario PSI11-B con los siguientes datos:
Nombre y Apellido.
D.N.I.
Puesto de trabajo.
Trabajos que realizaba dentro del sistema.
Recursos a los que tena acceso.
Tipo de baja : Permanente o Temporal.

Fecha de Alta en el sistema.


Fecha de Baja y periodo si es temporal, otros..
Si la baja efectuada es permanente, por parte del ASRS se guardarn los datos y
eliminaran los archivos y directorios del usuario, mientras que si la misma es
temporal, se conservara todo.

PSI.1.2 - Activacin del salva-pantallas para la seguridad


visual de la informacin
Se debe activar la proteccin por contrasea para el salva-pantallas en los
terminales de trabajo para periodos de inactividad, para garantizar el no acceso a
la informacin sensible, siendo esta de diferente naturaleza tal como;
Documentos ofimticos de trabajo abiertos.
Bases de datos abiertas.
Carpetas compartidas con otros usuarios.
Informacin confidencial y/o reservada en general.
El tiempo mx imo para la activacin del salva-pantallas no ser nunca superior a
3 minutos de inactividad. El ASRS debe realizar inspecciones ordinarias
peridicas para garantizar el correcto funcionamiento de este apartado.

PSI.1.3 - Mantenimiento y actualizacin de los productos


antimalware, antispyware y antispam
En la actualidad los sistemas informticos estn ex puestos a todo tipo de
software malicioso o de captacin de informacin para terceros. En esta poltica
definimos las principales amenazas que se focalizan en la actualidad, tal como;

El software malintencionado como pueden ser los virus, gusanos, troyanos,


spywares, backdoors, etc.-, los cuales suelen denominarse malware.
Cualquier dispositivo fsico tecnolgico o software dedicado que puede usar
un hacker para recopilar informacin, tanto de los equipos del sistema o de la
red en general. Dicho dispositivo o software puede determinar hbitos de
navegacin, contraseas, datos confidenciales bancarios o mensajes de
correo. Los mtodos de infeccin pueden ser muy variados: una infeccin
asociado a la apertura de un archivo adjunto de correo, haciendo clic sobre
una ventana de publicidad, insertado en otros programas que instalemos de
dudosa procedencia ( la instalacin de un programa ajeno o dependiente de
la empresa ser instalado nica y solamente por el ASRS , en todos los
casos que se presente esta situacin ), metadatos, entre otros. Estos tipos
de dispositivos o software suelen denominarse Spyware.
Todo tipo de correo electrnico no deseado recibido procedente de un envi
secuenciado, automatizado y masivo por parte de un emisor desconocido,
realizado a travs de servidores dedicados especializados para tal fin,
definido como Spam.
El ASRS es el encargado de la instalacin, mantenimiento y actualizacin del
software necesario en los terminales para minorizar al mx imo el riesgo del
sistema independientemente del software o medios fsicos implementados en la
red o en el servidor o servidores principales ex istentes
As mismo cada Terminal de la empresa ser asociado a una ficha nica PSI13-A,
en la cul se reflejaran todas las instalaciones, mantenimientos y actualizaciones
en el periodo de vida del mismo
A continuacin definiremos algunas de las principales herramientas que tiene el

ASRS a su disposicin para el empleo en los terminales que tiene a su cargo

AES (Antiespa)
Herramientas para la eliminacin de programas espa encontrados. Permiten
eliminar el contenido de la cach, cookies, historial, etc.-, de los navegadores.
Suelen detener procesos de malware instalado, restaurar ciertas entradas del
registro y reiniciar procesos. Herramienta bsica para un sistema.
Herramientas :
eTrust PestPatrol, http://www.pestpatrol.com/
Spybot, http://www safer-networking.org/es/home/index .html

AURL (Anlisis URL)


Herramientas que analizan en tiempo real los resultados de la bsqueda realizada
por los navegadores Google, Bing, etc , para determinar si las pginas que se
muestran son o no seguras y pueden o no contener algn tipo de cdigo malicioso.
Herramientas :
Geotrust, http://www.geotrust.com/?dmn=trustwatch.com
Linkscanner, http://free.avg.com/ww-es/linkscanner
URL Void, http://www.urlvoid.com/

ANM (Anonimizador)
Redes distribuidas de repetidores para tunelizar conex iones TCP. Cada repetidor
nicamente tiene informacin del repetidor que le proporciona los datos y al que
tiene que enviar los datos, de esta forma no se puede deducir la ruta completa que
toman los paquetes.

Se suelen cambiar peridicamente los circuitos tomados por los paquetes para as
evitar correlacionar las conex iones anteriores, empleando pares de claves
diferentes por cada tramo a lo largo de la red. Estas herramientas aseguran al
mx imo nuestras comunicaciones TCP preservando dos principios bsicos en la
seguridad de la informacin, la confidencialidad y la integridad.
Herramientas :
Google Sharing, https://addons.mozilla.org/enUS/firefox /addon/googlesharing/
Tor, www torproject.org/

AF (Analisis Ficheros)
Herramientas que limpian los archivos del software malicioso en general. Suelen
analizar las pginas web antes de cargarlas para comprobar su seguridad as
como protecciones para las redes sociales.
Herramientas :
Dr.Web, http://online.us.drweb.com/
QuickScan, http://www bitdefender.es/scanner/online/free html

APR (Anlisis de Protocolos)


Herramientas para monitorizar en tiempo real la interfaz de red y as obtener todo
tipo de estadsticas de lo que tenemos conectado a nuestro Terminal. Estas
estadsticas proporcionan informacin sobre trfico TCP/UDP, nmero de paquetes
recibidos/enviados, contador de bytes, errores P, por lo que se pueden realizar
tareas de resolucin de problemas como supervisar servicios cados, detectar
ataques y anomalas de red, etc.

Personal-Firewall/
ZoneAlarm, http://www zonealarm.com/security/es/zonealarm-pc-securityfree-firewall htm?lid=es

DNIe(Dni elctrnico)
Software necesario para la implantacin del DNI en terminales.
Herramientas :
ZonaTic, https://zonatic usatudni.es/aplicaciones/asistente-dnie/descarga
Ksi, http://www ksitdigital.com/productos/descargas

FIR (Firma digital)


Herramientas que permiten firmar y validar todo tipo de documentos. Es posible
realizar varios tipos de firmas, as mismo, es posible utilizar cualquier tipo de
certificado electrnico especfico incluido el DNI electrnico.
Herramientas :
eCoFirma,http://oficinavirtual mityc.es/javawebstart/soc_info/ecofirma/index h
Gpg4win, http://www.gpg4win.org/
Sinadura, http://www.sinadura net/inicio
Xolido,http://www x olido.com/lang/firmaelectronicayselladodetiempo/index sh
idboletin=2298

LM (Limpiador Malware)
Herramientas locales o en lnea destinadas a la eliminacin de malware en
general. Escanean el sistema en busca de software malicioso controlando los
auto-ejecutables del sistema, monitorizando los proveedores de servicios por

Todos los Sistemas Operativos requieren de actualizaciones peridicas asociado


a que el hardware de las mquinas evoluciona continuamente siendo de primera
necesidad el desarrollo de software capaz de gestionarlo, vulnerabilidades o fallos
encontrados en los programas y nuevas funcionalidades en los mismos.
El la actualidad ex iste una inmensa variedad de Sistemas Operativos disponibles
para la infraestructura de una empresa , tanto a nivel individual por terminales o a
nivel de servidores , ofreciendo todos ellos una gran cantidad de opciones o
recursos disponibles. Bsicamente nos encontramos con tres plataformas de
primer uso y en algunos casos anlogas entre ellas , los sistemas Windows (Xp ,
Vista , 7 , .. ) , los sistemas Unix (Mac OSX Leopard , Mac OSX Snow Leopard ,
FreeBSD , Solaris , .. ) , y los sistemas Linux (Ubuntu , Mint , Red Hat , Debian ,
Fedora , Mandriva , .. ) .
Centraremos nuestra atencin en la gestin y automatizacin de las
actualizaciones de los Sistemas Operativos comerciales ms usados en la
actualidad, y principalmente en aquellos que forman parte de la empresa.
1.- Sistemas Operativos Windows en general
2.- Sistema Operativos Linux ( Suse , Debian , Ubuntu)
3.- Sistemas Operativos Unix ( Mac OS X )

Actualizaciones y soporte para S.O Windows, Linux y Mac


Sistema Operativo: Windows
Centro de descargas: http://www.microsoft.com/downloads/es-es/default aspx
Soporte: http://support.microsoft.com/?ln=es-es
Actualizaciones:

1.- http://windowsupdate.microsoft.com/
2.- Para Windows XP :
Vaya a 'Inicio->Panel de Control'
Realizar una de las siguientes acciones dependiendo de si tiene activada
la opcin de Vista clsica' o la opcin de 'Vista por categoras':
Vista clsica: Pulsar en el icono de 'Actualizaciones automticas'
Vista por categoras: Ir a 'Centro de Seguridad' y pulsar en la opcin de
'Actualizaciones automticas'
3.- Para Windows Vista :
Ir a 'Inicio -> Todos los programas' -> 'Windows Update'
En el panel izquierdo seleccionar -Cambiar la configuracin- e -Instalar
actualizaciones automticamente (recomendado)-, adems se debe
marcar la casilla de verificacin -Permitir que todos los usuarios instalen
actualizaciones en este equipo-. Por ltimo Aceptar
http://www.microsoft.com/downloads/es-es/details aspx ?
familyid=a4dd31d5-f907-4406-9012-a5c3199ea2b3&displaylang=es
4.- * Para Windows 7 :
Ir a 'Inicio -> Todos los programas' -> 'Windows Update' , en el panel de la
izquierda seleccionar -Cambiar la configuracin-.

En -Actualizaciones importantes-, seleccionar -Instalar actualizaciones


automticamente (recomendado)-, marcaremos la opcin -Permitir que
todos los usuarios instalen actualizaciones en este equipo-. Por ltimo
Aceptar .

Sistema Operativo: Linux SUSE


Centro de descargas: http://es.opensuse.org/Released_Version
Soporte: http://es.opensuse.org/Documentaci% C3% B3n
Enlace de inters: http://en.opensuse.org/YaST Online Update
Actualizaciones:
1.- A travs de 'Actualizaciones Automticas' que encontramos en 'YaST ->
Software'. De esta forma slo actualizaremos paquetes del Sistema
Operativo, si tiene instalado otros paquetes, como por ejemplo drivers, no se
actualizarn.
2.- Utilizando el software "zen-updater" para buscar de una forma automtica
actualizaciones, no slo para el S.O., sino tambin para otros programas o
paquetes que tengamos instalados en el Terminal.

Sistema Operativo: Linux Debian


Centro de descargas: http://www.debian.org/releases/
Soporte: http://www.debian.org/support
Actualizaciones :
1.- Accedemos al la ventana del Shell y tecleamos los siguientes comandos
para instalar los paquetes ms actuales del S.O:

apt-get update
apt-get upgrade
2.- Tambin podemos actualizar la distribucin en la que actualmente
estamos trabajando ejecutando los siguientes comandos en el Shell:
apt-get upgrade
apt-get dist-upgrade
En todos los casos hay que tener en consideracin las dependencias
ex istentes en los paquetes y sobre todo tratndose de Linux

Sistema Operativo: Linux Ubuntu


Centro de descargas: http://www.ubuntu-es.org/index php?q=ubuntu/conseguir
Soporte: https://wiki ubuntu.com/SpanishDocumentation
Actualizaciones :
1.- Para actualizar el S.O de forma manual vamos al Gestor de
Actualizaciones denominado update-manager de la siguiente forma, ' Men>Sistema->Administracin' .
2.- Si queremos realizar autoalizaciones de una forma automtica,
realizamos lo siguiente:
Men->Sistema->Administracin
Pulsamos la opcin Orgenes del Software (software-properties-gtk)
Tambin podemos hacer esto desde la consola de nuestro Shell ejecutando
el siguiente comando :

gksudo "software-properties-gtk"
Cuando estemos en Origenes del Software , vamos a la pestaa de
Actualizaciones, y seleccionamos actualizaciones automticas .
Sistema Operativo: Mac OS X
Centro de descargas: http://www.apple.com/es/downloads/
Soporte: http://www apple.com/es/support/
Enlace de inters: http://support.apple.com/kb/HT1338?viewlocale=en_US
Actualizaciones:
1.- Para actualizar el S.O Mac OS X vamos al men de Apple y pulsamos en
Actualizacin del Software . Dentro, seleccionamos los elementos que
queremos instalar en el Terminal y pulsamos el botn Instalar. Para poder
instalar algo en Apple es necesario autentificarse por contrasea y usuario ,
por lo que procederemos a ello.
Los S.O de Apple estn programados para la bsqueda de actualizaciones
automticas en sus servidores. Para comprobar que tenemos activada esta
opcin vamos a , Preferencias->Actualizacin de Software
Todas las instalaciones o actualizaciones de software realizadas en los
terminales corrern a cargo del ASRS .Se registrarn todos los cambios
individualmente por Terminal rellenando el formulario PSI14-A, que se
adjunta con formato electrnico .

PSI.1.5 - Gestin y configuracin de la seguridad en


navegadores Web

Navegadores de Internet
Los navegadores de Internet son de las aplicaciones ms importantes que ex isten
en la actualidad, los cuales pueden formar parte del S.O en uso o pueden ser
instalados independientemente, dndose el caso de poder tener instalados
diferentes navegadores para una segmentacin de la informacin a la que se
quiere acceder. Estas aplicaciones nos conectan con Internet, as como a
infinidad de servicios disponibles, lo cul nos debe llevar a tomar las medidas o
precauciones necesarias para un uso seguro.
Este apartado pretende determinar las caractersticas ms significativas en lo que
a la seguridad de estas aplicaciones se refiere, para minorizar en lo mx imo de lo
posible la ex posicin de nuestros terminales a riesgos innecesarios como
posibles infecciones al visitar una pgina maligna, fugas de datos confidenciales
o engaos.
Se deben configurar los navegadores con la mx ima seguridad posible, sin que en
ello se vea afectada la operabilidad y eficacia del Terminal en la navegacin por
Internet, por lo que se debe mantener una relacin equilibrada entre la seguridad y
la ex periencia-formacin del usuario. En terminales de alta importancia, como
pueden ser aquellos en los que se necesite tener acceso a datos bancarios,
transferencia de informacin reservada, documentos confidenciales-reservados,
etc.-, es necesario tener la mx ima seguridad disponible.

1.1 - Elementos de seguridad


Desde el punto de vista de la seguridad, es importante destacar los elementos
disponibles ex istentes en los navegadores de Internet, distinguiendo
principalmente los directamente implicados con la gestin de la informacin
confidencial-reservada y aquellos que protegen al usuario de posibles ataques

ex istentes.
Los elementos principales para salvaguardar la informacin reservada-confidencial
o privada desde el punto de vista legal son los que se ex ponen a continuacin:

Contraseas
Esta caracterstica permite a nuestro navegador el almacenamiento centralizado
de multitud de usuarios y sus contraseas. La configuracin de esta caracterstica
debe realizarse correctamente para evitar que un usuario no autorizado pueda
acceder a esta informacin sensible y de vital importancia. Generalmente los
navegadores disponen de una contrasea maestra para gestionar el acceso.

Sesiones
Esta caracterstica permite a nuestro navegador recuperar pginas ya visitadas
con anterioridad. La buena configuracin de esta caracterstica tambin es de vital
importancia para la integridad de la informacin.

Navegacin privada
Esta caracterstica nos permite configurar el navegador para que no almacene la
informacin generada por la navegacin, es decir, ni Cookies ( altamente
empleadas por los hackers ), usuarios y contraseas, cach, historial, etc.. . El
requerimiento de privacidad debe ser muy alto.

Cookies
Los Cookies no son ms que archivos que guardan cierta informacin del usuario
en el Terminal cada vez que visitamos la mayora de las pginas Web tal como,

accesos o personalizaciones, de tal manera que cada vez que volvamos a alguna
de ellas estas tienen dicha informacin disponible.
Por consiguiente se debe prestar principal atencin, ya que estos pequeos
archivos pueden proporcionar informacin de una forma no transparente a terceros
de nuestros hbitos de navegacin, nombres de usuarios e informacin sensible.

Historial
Todo navegador actual almacena una informacin secuencial de todas las pginas
que se visitan. Esta caracterstica nos permite nos permite eliminar esta
informacin. Desde el punto de vista de la seguridad no es de vital importancia.

Descargas
Esta caracterstica es muy similar a la del Historial (almacenamiento de los
archivos descargados de Internet), con la ex cepcin de que el riesgo con respecto
a la seguridad es ms alta. Es aconsejable el borrado de esta informacin por
parte del usuario a la finalizacin de la sesin con el Terminal de trabajo.

Sesiones
Esta caracterstica permite a nuestro navegador recuperar pginas ya visitadas
con anterioridad. La buena configuracin de esta caracterstica tambin es de vital
importancia para la integridad de la informacin.

Cach
Todo navegador almacena ficheros con pginas Web, imgenes, caractersticas
comunes, etc.-que utiliza para volver a cargar con ms rapidez las pginas

nuevamente solicitadas, permitiendo una navegacin al usuario ms rpida y


menos cansina. El riesgo con respecto a la seguridad es muy alto, esta
informacin es susceptible de ser ex trada.

1.1-Proteccin contra ataques


Durante una sesin de navegacin Web es posible que algunas de estas pginas
que se visitan intenten infectar el Terminal de trabajo. Por consiguiente se debe
concienciar a los usuarios para que eviten la visita a pginas Web de dudosa
procedencia, no obstante, el ASRS tiene la posibilidad de filtrar las pginas que
sean oportunas desde un punto de vista global, departamental o individual, as
como el filtrado de formatos o caractersticas determinadas desde el servidor
central de la empresa. Adems todo navegador dispone de herramientas que
minimizan el riesgo de estos ataques.

Elementos emergentes
Esta caracterstica permite a nuestro navegador evitar la aparicin de ventanas de
publicidad (pop-ups), que son susceptibles de infectar el Terminal de trabajo.
En la actualidad ex isten navegadores que permiten clasificar diferentes niveles de
funcionalidad, permitiendo esta funcionalidad a pginas de confianza.

Suplantacin de identidad
Esta caracterstica nos protege y avisa de la suplantacin de identidad, es decir,
que la pgina Web que se est visualizando es realmente la que debera ser, y no
una fraudulenta ex actamente igual, que lo nico que pretende es el robo de
informacin sensible como por ejemplo el usuario y contrasea de una acceso a la
banca electrnica.

Lenguaje Java - JavaScript


Java como lenguaje de programacin de altas prestaciones y JavaScript como
lenguaje interpretado de gran uso en Web , ambos lenguajes de programacin
utilizados como parte del desarrollo de las pginas Web actuales, son
susceptibles de ser utilizados por terceros para realizar un ataque contra el
Terminal de trabajo, sea para el robo de informacin sensible, infeccin, etc.-. Los
navegadores disponen de herramientas que nos permiten controlar estos riegos,
aunque en algunos casos asumiendo perdida de funcionalidad.

Gestin y configuracin de navegadores principales


Sistema Operativo: Windows
Navegador: Internet ex plorer
Configuracin:
Configuracin general para Windows XP, Windows Vista , Windows 7:
Ir al navegador: 'Internet Ex plorer->Herramientas ->Opciones de Internet'
La configuracin de este navegador pasa principalmente por la gestin del
contenido encontrado en las pestaas o elementos : Seguridad y
Privacidad.
Mediante el control deslizante es posible configurar las principales
opciones de seguridad y privacidad, adems se tiene la posibilidad de
aumentar la misma con las opciones ms avanzadas.
Configuraciones ms habituales : Seguridad media y Seguridad alta

Nivel de seguridad media


Con esta configuracin se obtiene una seguridad bastante aceptable en la
navegacin Web ms habitual , no siendo apta en ningn caso para
transacciones, compras online o accesos a la banca electrnica.
1.-Ir a 'Herramientas ->Opciones de Internet->Seguridad', deslizar la barra
deslizante hasta nivel de seguridad de la zona Medio-Alto , o pulsar en
el botn Nivel predeterminado , para la configuracin predeterminada por
Windows.
2.-Ir a 'Herramientas ->Opciones de Internet->Privacidad', deslizar la barra
deslizante hasta nivel de seguridad de la zona Medio-Alto , o pulsar en
el botn Predeterminada , para la configuracin predeterminada por
Windows.
3.-Ir a 'Herramientas ->Bloqueador de elementos emergentes->Activar el
bloqueador de elementos emergentes'. Es posible permitir elementos
emergentes personalizados de sitios Web de confianza o especficos, ir a
'Herramientas ->Bloqueador de elementos emergentes->Configuracin del
bloqueador de elementos emergentes ', as como especificar el nivel de
filtro deseado.
4.-Ir a 'Herramientas ->Opciones de Internet->Privacidad', deslizar la barra
deslizante hasta nivel de seguridad de la zona Media , o pulsar en el
botn Predeterminada , para la configuracin predeterminada por
Windows.
5.-Ir a 'Herramientas->Opciones de Internet->Contenido->Autocompletar

(Configuracin)', seleccionar Nombres de usuario y contraseas en


formularios . En esta misma pestaa se activa Preguntar si se guardan
las contraseas .
6.- Ir a Herramientas->Opciones de Internet->General'. En esta pestaa se
pueden realizar diferentes tareas de administracin como, administrar el
Historial, Cookies o archivos temporales .
Nivel de seguridad alta
Con esta configuracin se obtiene una caracterstica de seguridad alta para
una navegacin en la que los requerimientos de la misma son necesarios
proteger, como realizar transacciones, compras online o accesos a la banca
electrnica. Se considera este nivel un complemento al nivel de seguridad
medio, por lo que es necesario configurar con anterioridad este para alcanzar
este ltimo con total garanta.
1.- Ir a Herramientas ->Opciones de Internet->Seguridad', deslizar la barra
deslizante hasta nivel de seguridad de la zona Alta .
2.- Ir a Herramientas ->Opciones de Internet->Privacidad', deslizar la barra
deslizante hasta nivel de seguridad de la zona Alta .
3.- Ir a Herramientas->Opciones de Internet->Contenido->Autocompletar
(Configuracin)', En esta ventana se puede activar la proteccin de los
datos introducidos en los formularios, as como el borrado de los mismos.
4.-Ir a 'Herramientas->Opciones de Internet->Seguridad->Nivel
personalizado', En esta ventana se debe activar el apartado
Automatizacin de los subprogramas Java (applets de Java), por lo

anteriormente citado.

Sistema Operativo: Windows-Linux -Mac


Navegador: Firefox
Configuracin:
La seguridad preventiva en este navegador de alta prestaciones se establece
principalmente en dos modelos de configuracin :
Seguridad media
Seguridad Alta
El elemento comn entre estos dos modelos de configuracin es La
informacin de seguridad de la pgina , que nos determina la autenticidad de
la pgina.
Este navegador nos da la posibilidad de configuracin mltiples niveles de
notificaciones, importantes desde el punto de vista que nos permiten
cuantificar de una forma ms ex acta una posible situacin de riesgo.
'Herramientas ->Informacin de pgina'
'Herramientas ->Opciones (Preferencias)->Seguridad->Configuracin'
Nivel de seguridad media
Con esta configuracin se obtiene una seguridad bastante aceptable en la
navegacin Web ms habitual , no siendo apta en ningn caso para
transacciones, compras online o accesos a la banca electrnica.

1.- Ir a ' Firefox ->Opciones (Preferencias)->Contenido', activar el botn o


checkbox de Bloquear ventanas emergentes . Es posible configurar en
este elemento o pestaa que sitios Web queremos que s puedan abrir
ventana emergentes, adems de otras opciones.
La seguridad preventiva en este navegador de alta prestaciones se establece
principalmente en dos modelos de configuracin :
Seguridad media
Seguridad Alta
El elemento comn entre estos dos modelos de configuracin es La
informacin de seguridad de la pgina , que nos determina la autenticidad de
la pgina. Este navegador nos da la posibilidad de configuracin mltiples
niveles de notificaciones, importantes desde el punto de vista que nos
permiten cuantificar de una forma ms ex acta una posible situacin de
riesgo.
'Herramientas ->Informacin de pgina'
'Herramientas ->Opciones (Preferencias)->Seguridad->Configuracin'
Nivel de seguridad alta
Con esta configuracin se obtiene una seguridad bastante aceptable en la
navegacin Web ms habitual , no siendo apta en ningn caso para
transacciones, compras online o accesos a la banca electrnica.
1.- Ir a ' Firefox ->Opciones (Preferencias)->Contenido', activar el botn o

checkbox de Bloquear ventanas emergentes . Es posible configurar en


este elemento o pestaa que sitios Web queremos que s puedan abrir
ventana emergentes, adems de otras opciones.

PSI.1.6 - Clientes de correo electrnico


En este apartado definiremos los comportamientos y configuraciones a seguir para
un correcto funcionamiento de los mismos, estableciendo una serie de normas
bsicas pero eficaces. Es de vital importancia establecer unas normas de
activacin y desactivacin de las cuentas de correo electrnico, asociado a la
gran variacin de puestos de trabajo y asignacin de tareas ex istente en la
actualidad.
1.- Toda cuenta de nueva creacin, baja o modificacin ser registrada en el
documento PSI16-A o similar. Se establece el siguiente formato, en
minsculas y sin acentos para las cuentas de correo electrnico:
usuario.departamento seccin puesto@ISP
Usuario: Nombre real del usuario que est utilizando esta cuenta
electrnica.
Departamento: Especificar el departamento al que pertenece el usuario;
Contabilidad, Facturacin, Recursos humanos, etc.
Seccin: Seccin interna a la que pertenece dentro de su departamento,
ejemplo; dentro del departamento de Contabilidad, la seccin podra ser
Compras.
Puesto: Puesto dentro de la empresa que actualmente representa el
propietario de la cuenta de correo en el departamento asociado.

ISP: Proveedor del servicio, este puede ser de naturaleza ex terna,


cuentas Gmail, Yahoo, etc-, no deseable desde el punto de la seguridad y
confidencialidad de la informacin, o de naturaleza interna, es decir, el
servicio lo proporciona un servidor interno, con lo cul el transito de la
informacin de las cuentas en uso estar restringido al mx imo, con la
ex cepcin de la informacin derivada del mensaje.
Ejemplos:
manuel.contabilidad.compras.jefe@gmail.com : ISP ex terno asociado a
su nombre
manuel.contabilidad.compras.jefe@industriashms.es: ISP ex terno
asociado a la empresa
manuel.contabilidad.compras.jefe@industriashms.es : ISP interno
asociado a la empresa
2.- Se establecer una o ms cuentas Spam a criterio de la direccin o
gerencia de la empresa, para el correo basura o informativo, dnde todos los
usuarios remitirn a los proveedores de dudosa procedencia, informacin
comercial, publicidad, o de otra naturaleza, para minimizar al mx imo el
trfico en las cuentas de vital importancia. La comunicacin de dichas
cuentas a terceros, sean estas la cuentas Spam establecidas, como la
cuenta o cuentas de trabajo, el usuario tiene la obligacin de notificar con
anterioridad al administrador del sistema o responsable de seguridad las
mismas a travs del documento PSI16-B, para recibir la autorizacin por
escrito pertinente a travs del documento interno PSI16-C. El ASRS, como
entidad mx ima autorizada en la seguridad de la empresa, autorizar o no al
usuario la totalidad o parte de las solicitudes recibidas, asimismo informar a
la gerencia o direccin de dicha solicitud antes de realizar la contestacin

pertinente. Si se establece una buena relacin de confidencialidad, se


conseguir afinar al mx imo el trfico realmente importante tanto de los
proveedores ex ternos subcontratados, clientes, proveedores de la actividad
real, etc.-, de los que no lo son.
Ejemplos : info@industriashms.es, publicidad@industriashms.es,
contacte@industriashms.es
3.- La capacidad mx ima de almacenamiento del buzn de correo no
ex ceder de: 10 MB
4.- Toda cuenta de correo ser desactivada y registrada en la ficha general,
PSI16-A en un plazo de 10 das a partir del cese del usuario, sea esto por
cese del mismo en el departamento asociado, puesto, seccin, baja en la
empresa , o cualquiera que sea el motivo, la cul ser realizada por el ASRS,
siendo este ltimo el responsable de la misma durante este periodo, teniendo
la obligacin de comunicar por escrito segn el modelo PSI16-D, a los
clientes, proveedores, departamentos, colaboradores, etc.- que posean dicha
cuenta, la situacin de la misma, as mismo se les indicar la nueva cuenta
de contacto a la que se pueden dirigir, sea esta temporal o permanente.
5.- La cuenta de correo electrnico es personal e intransferible en todo
momento, por lo que el ASRS, es el responsable ltimo de establecer y
mantener en todo momento las claves asociadas a las mismas,
estableciendo las medidas de seguridad necesarias para los ficheros, bases
de datos o documentos escritos que contengan dicha informacin. Las
claves deben modificarse como mnimo cada tres meses para garantizar al
mx imo la proteccin y evitar un acceso no autorizado a las mismas.
6.- Aunque la empresa disponga de sistemas locales o generales de

deteccin de virus u otro malware, el usuario responsable de la cuenta de


correo deber verificar en todo momento que los mensajes que se enven o
reciban no incluyan ningn tipo de virus. En caso de cualquier incidencia o
duda deben dirigirse al ASRS.
7.- El usuario de la cuenta tiene la responsabilidad de tener copias de
seguridad (Backups) de los mensajes de sus carpetas de correo electrnico
y agenda de direcciones.
8.- El correo electrnico en la actualidad no tiene ninguna garanta de
privacidad, denominado coloquialmente en el mundo Hacker, como texto
plano. En la red, los hackers pueden capturar dicha informacin usando una
infinidad de herramientas disponibles o mediante programacin especfica de
anlisis, por lo que se deben ex tremar las medidas de seguridad en lo que a
destino, origen y contenido de los mensajes se refiere (una buena prctica es
encriptar los archivos adjuntos que se envan y no especificar en el cuerpo
del mensaje ninguna informacin de relevancia). Es imposible garantizar al
mx imo la seguridad de este medio, por lo que la prevencin y
responsabilidad es la mejor arma para luchar contra estos sistemas de
anlisis.
9.- Es aconsejable revisar al menos por parte del usuario el asunto
(subject) antes de proceder a responder a un mensaje, as como asegurarse
que los mensajes recibidos son realmente para dicha cuenta y usuario.
10.- El usuario no suministrar en ningn concepto la cuenta a cualquier
sistema de propaganda, sorteo, red social, lista de correo de generacin de
mensajes, etc.- cuya naturaleza no tenga que ver con la empresa.
11.- El usuario no se debe enviar en ningn caso por correo electrnico

Links internos a la empresa, ni externos provenientes de Internet o de


cualquier otra fuente , para evitar con ello el envo de informacin
confidencial como puede ser ; direcciones IP, rutas a servidores, nombres de
usuarios, departamentos, etc.- fcilmente obtenible por herramientas de
anlisis de metadatos o en su caso el reenvo de enlaces malignos a
terceros con lo que ello conlleva.
12.- El tamao mx imo de los mensajes no debe ser superior a 3 MB reales.
Para un envo superior a este, se debe fraccionar el mismo en varios
mensajes para evitar de esta forma la saturacin o sobrecarga del sistema.
13.- En todo mensaje se debe especificar el siguiente tex to de
confidencialidad, sea este de una forma puntual o a travs del uso de una
plantilla especfica para tal fin:
AVISO LEGAL :
Esta informacin es privada y de uso confidencial. En el caso de que
usted reciba este mensaje por error, o no sea una de las personas
indicadas en el encabezamiento del mismo, le rogamos que lo elimine sin
ser copiado ni comunicado a terceros, y nos lo haga saber a esta misma
direccin de correo electrnico en la mayor brevedad posible. Adems
aprovechamos para informarle que la distribucin o copia de este
mensaje esta prohibida, as como el contenido del mismo, el cul esta
protegido por la Ley 15/1999 de Proteccin de Datos, entre otras.

14.- El ASRS, es el nico autorizado para el alta, baja o modificacin de las


cuentas ex istentes, sean ests las cuentas de trabajo de los usuarios o las
cuentas destinadas al desvo del Spam, las cuales sern reflejadas en el
documento PSI16-A, destacando en el mismo el usuario, cuenta de correo,

alta, baja y clave. Ningn usuario del sistema tendr autorizacin para crear
cuentas personales o asociadas a la empresa en ninguno de los clientes de
correo ex istentes.
15.- El ASRS, es el encargado de la migracin de las cuentas de correo de
trabajo ex istentes, sean estas de carcter interno o ex terno, dando de baja
las mismas, generando las cuentas de nueva creacin segn se especifica
en el apartado nmero (1) de esta seccin, as como la obligacin de
comunicar por escrito a los clientes, proveedores, departamentos,
colaboradores, etc.- que posean la cuenta anterior, la nueva cuenta de correo
establecida.

PSI.1.7 Cortafuegos. Firewalls


Desde siempre los sistemas de comunicacin en la red de redes (Internet) estn
basados en un protocolo muy conocido denominado TCP/ P. Este protocolo de
comunicaciones de orgenes militares es totalmente inseguro, por lo que la
utilizacin de un sistema de proteccin basado en cortafuegos, que no son ms
que dispositivos fsicos o programas informticos que ayudan a proteger nuestro
sistema de protocolos inseguros como este y de mltiples vulnerabilidades,
proporcionan a la red una forma de establecer una poltica de seguridad que
permita controlar el acceso al sistema.
El nivel de proteccin que un cortafuegos nos puede ofrecer esta en funcin de las
necesidades que tengamos. Generalmente suelen configurarse para protegernos
ante cualquier intento de acceso no permitido desde la red ex terna hacia nuestra
red, o viceversa, estableciendo un punto nico dnde el ASRS podr centralizar
las medidas de seguridad que estime oportunas.
An as, un cortafuego no proporciona proteccin contra las posibles amenazas

que se detallan a continuacin:


Todo el trfico de red que no pasa o se filtra a travs de l, por lo que
podemos deducir que la efectividad del mismo es slo parcial , y debe ir
acompaado en todo momento de una buena poltica de seguridad para
elevar su consistencia.

Contra amenazas que se deriven desde la red interna de la empresa ,como


pueden ser, usuarios con malas intenciones , virus, troyanos de resolucin
inversa, etc.
Contra clientes , servicios o programas informticos descargados e
instalados que admitamos en nuestra red como vlidos, pero que el fondo no
dejan de ser vulnerables. Estas vulnerabilidades suelen ser aprovechadas
por los hackers para obtener a distancia accesos no autorizados al sistema.
Contra mecanismos de Tunneling HTTP, SMTP, etc.-, aunque en la
actualidad se han realizando grandes avances al respecto en este campo,
por las empresas de desarrollo de los mismos.
En general podemos resumir y constatar que los cortafuegos coloquialmente
conocidos como firewalls, no pueden ni debe sustituir a otros mecanismos de
seguridad ex istentes en la actualidad, por lo que deben ser en todo momento un
complemento a los mismos.
Las polticas bsicas a definir en un sistema cortafuegos se pueden resumir en
dos, las cules cambian de una forma radical la filosofa de la seguridad de la
empresa:

1.- Poltica permisiva


Este tipo de poltica permite el trnsito de todo el trfico, ex ceptuando aquel
que est ex plcitamente denegado. Es necesario el aislamiento de aquellos
servicios del sistema potencialmente peligrosos, mientras que el resto del
trfico no ser filtrado. Cabe sealar que los hackers informticos utilizan
determinadas herramientas y tcnicas para la determinacin de puertos
filtrados o silenciosos, utilizados para comprometer el sistema a travs de
alguno de los servicios asociados.

2.- Poltica restrictiva


En este tipo de poltica deniega todo el trfico, ex ceptuando aquel que est
ex plcitamente permitido. En l, se obstruye todo el trfico de transito,
habilitando nicamente aquellos servicios que realmente vayan a ser
utilizados.
En el ASRS, recae la total responsabilidad de implantacin de los sistemas
cortafuegos correctamente en el mbito de la empresa, por lo que en esta
poltica se definirn las dos principales configuraciones bsicas
recomendadas para lograr un objetivo ptimo .

1.- Cortafuegos por Hardware


En la actualidad se dispone de una gran variedad de hardware disponible para
trabajar como cortafuegos, para ser instalados como punto de entrada a un
sistema, como pueden ser los dispositivos registrados CISCO , Linksys , 3com
, entre otros. La principal ventaja de estos dispositivos es la independencia total
del sistema, no afectando directamente al consumo de los recursos del mismo.

La configuracin de estos dispositivos especficos suele estar perfectamente


documentada por el fabricante , por lo que el ASRS debe documentarse, formarse o
asesorarse adecuadamente por terceros para la perfecta configuracin de los
mismos , ya que de ello depende la integridad de toda la red.

2.- Cortafuegos por Software


Este tipo de cortafuegos son programas que suelen estar integrados en los
Sistemas Operativos o instalados ex teriormente, como los presentados en la
poltica PSI.1 3:

agnitum , http://www.outpost-es.com/home/index .html


Squid , http://www.squid-cache.org/Download/
ZoneAlarm,http://www.zonealarm.com/security/es/zonealarm-pc-securityfree-firewall htm?lid=es
La principal desventaja son los recursos que suelen consumir, as como la
necesaria reinstalacin y configuracin de las reglas de filtrado cada vez que sea
instalado o reinstalado el Sistema Operativo en el que resida.
En la actualidad los mecanismos de filtrado en red suelen ser hbridos, una
combinacin entre los sistemas basados en hardware y los sistemas basados en
software, as como sistemas autnomos basados en computadoras aisladas con
software especfico de alto rendimiento, como puede ser, entre otras, la solucin
basada en servidores Zentyal (www.zentyal.com), que monitorizan las
comunicaciones de red, y proporcionan adems servicios integrados de altas
prestaciones para la empresa. Al igual que en los dispositivos por hardware, el
ASRS, debe documentarse, formarse o asesorarse adecuadamente por terceros
para la perfecta configuracin de los mismos.

PSI.1.8 - Eliminacin de servicios innecesarios en el sistema


Como norma general los Sistemas Operativos durante su instalacin, as como
nuevos programas instalados o los ex istentes nuevamente configurados, suelen
activar servicios, que pueden o no abrir al ex terior nuevos puertos de
comunicaciones, por consiguiente se deben establecer unas pautas bien
definidas, dnde el ASRS, debe priorizar y considerar en cada momento cul o
cules de ellos son de vital importancia para cada puesto en concreto, desde el
punto de vista local, y cul o cules de ellos son importantes desde un punto de
vista global, es decir, desde el servidor o servidores principales establecidos en la
red de la empresa.
Hay que tener en cuenta que un servicio innecesario en el sistema puede ser un
canal de acceso no autorizado, ataque o fuga de informacin confidencial, con lo
que es necesario determinar el grado de necesidad del mismo para el correcto
funcionamiento y operabilidad de la red o del puesto del trabajo. Por consiguiente
siendo el ASRS, el nico autorizado dentro de la empresa para la instalacin,
reinstalacin, modificacin o configuracin del software de los puestos de trabajo
y servidores de red, este riesgo se minoriza al mx imo, evitando de esta forma la
instalacin masiva y descontrolada de software que puede poner en peligro la
integridad de la informacin en el sistema.
Se debe verificar en todo momento el origen del software, evitando las descargas
a travs de los navegadores como Google, Bing o Yahoo, las descargas a travs
de pginas de contenido de origen dudoso, software pirata de terceros, entre otros.
Por consiguiente se recomienda la instalacin siempre desde la pginas
corporativas del fabricante o desarrollador, y evitar en todo momento, todo tipo de
mirrows que puedan comprometer el sistema.

Gestin de servicios en los principales Sistemas Operativos


actuales
Sistema Operativo: Windows
Actualizaciones:
1.- Para Windows XP :
Vaya a 'Inicio->Panel de Control->Rendimiento y mantenimiento>Herramientas administrativas->Servicios'
La desactivacin de servicios en Windows Xp es sencilla e intuitiva,
adems cuenta con una ex plicacin resumida de la funcin del mismo. La
ventana general de servicios nos muestra informacin como el nombre del
servicio a gestionar, descripcin, estado, tipo de inicio, entre otras. El
inicio y detencin de un servicio se puede realizar de las siguientes dos
formas :
Bsica: Directamente desde la ventana de la aplicacin.
Avanzada: Situarse encima del servicio a gestionar, pulsar el botn
derecho->propiedades , accedemos a una ventana en dnde se podr
gestionar el mismo, o simplemente accediendo pulsando doble-click
sobre el servicio.
2.- * Para Windows 7 :
Vaya a 'Inicio->Panel de Control->Sistema y seguridad->Herramientas
administrativas->Servicios'

El inicio y detencin de un servicio se puede realizar de las siguiente


forma :
Avanzada: Situarse encima del servicio a gestionar, pulsar el botn
derecho->propiedades , accedemos a una ventana en dnde se podr
gestionar el mismo, o simplemente accediendo pulsando doble-click
sobre el servicio.
En Windows 7 es aconsejable por seguridad y eficiencia desactivar los
siguientes servicios :
1.- Windows Search (WSearch): Index a archivos, correo electrnico y
otro tipo de contenido que ayudan a agilizar las bsquedas en el
sistema. Puede ser utilizado por los hackers para la ex ploracin de
contenidos.
2.- Servicio de uso compartido de Windows Media (WMPNetworkSvc):
Comparte las bibliotecas del Reproductor de Windows Media con otros
dispositivos multimedia y reproductores en red. Puede ser utilizado
para transmisin de virus.
3.-Tarjetas inteligentes (SCPolicySvc): Permite configurar el sistema
para bloquear el escritorio del usuario al quitar la tarjeta inteligente.
4.- Tarjeta inteligente (SCardSvr): Administra el acceso a tarjetas
inteligentes ledas por el equipo.
5.- Registro remoto (RemoteRegistry): Permite modificar el registro a
usuarios remotos. Muy peligroso, cualquier intruso o malware puede
aprovecharse de esto.

6.- Ubicador de llamada a procedimiento remoto (RpcLocator): Utilizado


para RPC en versiones anteriores de Windows. Actualmente slo est
presente por motivos de compatibilidad.
7.- Parental Controls (WPCSvc): Utilizado para el control parental en
Windows Vista. Se mantiene slo por motivos de compatibilidad.
8.- Propagacin de certificados (CertPropSvc): Copia los certificados de
usuario y certificados raz de tarjetas inteligentes en el almacn de
certificados del usuario actual, detecta la insercin de una tarjeta
inteligente en un lector de tarjetas inteligentes y, si es necesario,
instala el minicontrolador Plug and Play para tarjetas inteligentes. Es
altamente recomendable tener desactivada este servicio.
9.- Servicio de compatibilidad con Bluetooth (bthserv): Permite la
deteccin y asociacin de dispositivos Bluetooth remotos. Es
altamente recomendable desactivar esta opcin.
10.- Administracin remota de Windows (WinRM) : La desactivacin de
este servicio es altamente recomendable .
11.- Servicio Informe de errores de Windows (WerSvc): Servicio de
envio de informes de error a Microsoft.
12.- Configuracin de Escritorio remoto (SessionEnv)
13.- Servicios de Escritorio remoto (TermService)
14.- Redirector de puerto en modo usuario de Servicios de Escritorio

remoto (UmRdpService)
15.- Servicio de entrada de Tablet PC (TabletInputService)
16.- Servicio biomtrico de Windows (WbioSrvc)
Sistema Operativo: Linux Ubuntu
Actualizaciones:
La habilitacin o des-habilitacin de un servicio en *Linux -Ubuntu es
recomendable realizarla desde una ventana de acceso Shell, ejecutando los
comandos o acciones que se detallan a continuacin :
$ sudo cd /etc/init.d/ , En este archivo se pueden observar los servicios
que esta distribucin de Linux tiene activada por defecto en su arranque.
La habilitacin o deshabilitacin de los mismos se basa simplemente en
la modificacin de su permiso de ejecucin .
chmod -x "nombre del servicio"
Los servicios que se pueden prescindir en Linux -Ubuntu desde el punto de
vista de la seguridad y rendimiento, considerando que Linux sigue siendo
ms robusto que cualquiera de los Windows desarrollados hasta la
actualidad , con la ex cepcin clara del Windows 7, que representa un salto
significativo en lo que a la seguridad se refiere , limitando la memoria fsica
del sistema y supuestamente estableciendo un control ms preciso contra
ataques de desbordamiento de pila, heap, entre otros, marcando una
tendencia futura de especial seguimiento, son los que se detallan a
continuacin :

1.- Ancharon y Atd: Ejecucin de tareas programadas. Evitar por todos los
medios la automatizacin, puede llevar aconfusin y errores del
comportamiento ( Heursticos ) a los sistemas de deteccin
2.- Alsa-utils: Gestin de la tarjeta de sonido. Aunque suene importante, la
verdad es que no lo necesitas
3.- Bluetooth: Activacin para dispositivos Bluetooth
4.- Britty: Gestin de grficos en braille. Siempre y cuando el usuario del
puesto de trabajo no lo necesite
5.- HDParm: Permite optimizar las distintas particiones de tu disco duro
Sistema Operativo: Mac Ox
Actualizaciones:
Para la gestin y administracin de los procesos ;
Vaya al Finder->Aplicaciones->Utilidades->Monitor de Actividad app'
Esta aplicacin permite la monitorizacin de los procesos ex istentes, los
cules estn divididos por categoras como procesos del sistema, de
usuario, activos, inactivos o procesos en ventanas, adems de
proporcionarnos gran informacin desde un punto de vista general de lo que
esta ocurriendo en el puesto de trabajo.
La seguridad en los sistemas Apple son de una elevada consideracin, pero
no se debe olvidar que los mismos son vulnerables, y su ex posicin al
hacking esta directamente asociada a la cantidad de usuarios que lo utilizan.

( * ) Sistemas Operativos comerciales de uso ms extendido en las


empresas y organizaciones en las diferentes plataformas

A continuacin se muestra una lista con los servicios y puertos asignados por
defecto ms interesantes desde el punto de vista de un Hacker, por lo que el ASRS
debe realizar un continuo seguimiento o monitorizacin de los mismos, para
salvaguardar los puntos de acceso al sistema y garantizar su integridad.

Principales puertos vulnerables y tcnicas de ataque


21 TCP FTP- Localizacin de directorios de lectura/escritura. Ex ploits en
general
22 TCP SSH - Ex ploits, fuerza bruta
23 TCP TELNET - Software de captacin de informacin. Ex ploits fuerza
bruta
25 TCP SMTP - Ex ploits de correo y fuerza bruta, entre otros
53 TCP/UDP DNS - Software de captacin de informacin. Ex ploits
67 TCP/UDP DHCP - Ex ploits en general
69 UDP TFTP - Acceso a contraseas y gestin del sistema de archivos
del sistema
79 TCP F NGER - Software de captacin de informacin. Ex ploits
80/81 TCP http - Software de captacin de informacin. Ex ploits fuerza
bruta
88 TCP - HTTP / KERBEROS - Software de captacin de informacin.
Fuerza bruta
109 TCP - POP2 - Ex ploits en general
110 TCP - POP3 - Ex ploits en general
111 TCP/UDP - PORTMAPPER RPC - Identificacin servicios NFS/RPC.

113 TCP IDENTD - Software de captacin de informacin. Ex ploits en


general
135 TCP/UDP RPC - Software de captacin de informacin
137 UDP NETBIOS - Software de captacin de informacin
139 TCP - PRINT W NDOWS - Informacin de archivos compartidos, info y
topologas
143 TCP IMAP - Ataques por desbordamiento de buffer en general
161 TCP/UDP SNNP - Captacin de informacin y configuracin en el
sistema
177 - X WINDOWS - Ex ploits para monitorizar el monitores
259 TCP RDP - Ex ploits o acceso mediante tcnicas de fuerza bruta, entre
otras
389 TCP/UDP LDAP - Software de captacin de informacin
443 TCP HTTPS - Ex ploits en general. Accesos por fuerza bruta
445 TCP - PRINT W NDOWS - Informacin, conex iones, info, shares, etc
512 TCP - R-EXEC - Ataques remotos contra el sistema, a travs de
comandos
513 TCP - RLOGIN / RWHO - Ataques remotos contra el sistema, a travs de
comandos
514 TCP/UDP SHELLS - Muy peligroso. Permite ejecucin remota de
comandos
1433/1434 TCP - MICROSOFT SQL - Accesos por fuerza bruta. Ex ploits en
general
2049 TCP/UDP NFS - Ataques a bases de datos y contraseas en general
5500 TCP VNC - Accesos por fuerza bruta. Ex ploits en general
8000/8005 TCP HTTP - Ex ploits de difusin directa o intrusiones a
servidores Web

PSI.1.9- Eventos o incidentes de seguridad

Se considera este apartado uno de los ms importantes definidos en el manual de


seguridad de la empresa , estableciendo las medidas preventivas necesarias para
averiguar cualquier posible fallo de proteccin y configuracin de nuestro sistema,
y as definir las acciones a tomar necesarias para su solucin.
Es obligacin del ASRS, realizar controles o inspecciones peridicas para
asegurar la integridad del sistema. Estas inspecciones sern meramente
administrativas y no de un carcter puramente tcnico, las cul deber ser
realizada por una empresa especializada ex terior a la empresa, para garantizar lo
mx imo posible la objetividad de dichas pruebas.
Si el sistema ha sido comprometido est en funcin del grado de ataque y de la
naturaleza del mismo, sea este desde el interior o ex terior a ella. Los hackers
informticos emplean principalmente dos tcnicas de ataque principales, caballos
de Troya y Rootkits.
La funcin principal de los caballos de Troya son la superacin de los controles
de acceso, activar un acceso remoto, reunir todo tipo de informacin, saturacin
del ancho de banda de comunicaciones, destruccin en algunos casos de los
datos, o simplemente la instalacin de software espa.
Los Rootkits se definen como un grupo o coleccin de herramientas utilizadas por
un atacante, sea cul se la naturaleza del mismo, para instalar una puerta
trasera , ocultarla a los sistemas de deteccin, as como a posibles nuevos
atacantes. Estas puertas son utilizadas a conveniencia por el atacante
activndolas o no a su gusto.
La deteccin de un problema ex istente puede ser pasiva, a travs del software o
hardware instalado o implementado para la proteccin del sistema, o activa, a
travs de anlisis peridicos realizados por el ASRS, o una empresa tcnica

especializada ex terna. Este tipo de anlisis se denomina Pentesting (Penetracin


Testing).

1.- Pentesting
Cualquier prueba de test utilizada deber centrar sus esfuerzos principalmente en
el anlisis de la topologa de la red, cuentas de usuarios y grupos, procesos y
sistemas de archivos y registro logs, todo ello englobado en lo que denominamos
proceso de anlisis activo .
Por lo tanto se definen dos tipos de Pentesting activos;
Pentesting Preventivo Tcnico . PPT
Pentesting Preventivo Administrativo. PPA

1.1- Pentesting Preventivo Tcnico. PPT


La metodologa principal del PPT se enfoca principalmente en el reconocimiento y
anlisis , determinacin del mapa estructural de la red , enumeracin de servicios
activos , vulnerabilidades fsicas y/o lgicas ex istentes , shells de acceso a la
informacin y control del sistema y generacin de los informes pertinentes a la
empresa , para la correccin o minoracin de los problemas de seguridad
ex istentes.
Los ataques a nuestro sistema pueden estar motivados por diferentes objetivos ,
fraude , ex torsin , informacin confidencial , venganza , acceso no autorizado a
un sistema , desafo intelectual , espionaje industrial , etc ..
Estos ataques pueden provenir de dos fuentes claramente diferenciadas :

Ataques ex ternos a las instalaciones de la empresa, por un acceso remoto, a


travs de Troyanos, Ip static, Routers, etc ..
Ataques internos por empleados o trabajadores de la empresa o
colaboradores ex ternos con acceso al sistema dentro de la red
Utilizando una gran variedad de tcnicas, un hacker puede conocer con facilidad
contraseas, detalles de la topologa de la red y puntos de acceso e informacin
confidencial sensible, saltndose todas las medidas de seguridad ex istentes.
No se debe desestimar en ningn momento que nuestra empresa no es
susceptible de ser atacada por un pirata informtico, la dimensin de la misma, su
localizacin y su mbito no son un criterio vlido para descartar un posible ataque
Por lo general, el objetivo principal en este tipo de Test es la determinacin de la
siguiente informacin:
Mapa de red (Rangos de direcciones IP s , Equipos activos en la red ,
Puertos y Servicios en los diferentes Hosts activos , Elementos activos y
pasivos , etc ..)
Ataque activo y pasivo del sistema
Compromiso y Escalabilidad
Informes tcnicos y documentales ( Reports )
Correcciones y Formacin (Especificadas e implementadas en un Plan de
Seguridad Informtica

Las fases establecidas en el PPT son secuenciales y por lo tanto escalables en


el tiempo, implican a ambas partes (la empresa tcnica especializada en
colaboracin con el administrador del sistema o responsable de seguridad), y
sintetizan al mx imo el trabajo de Pentesting de la red .
En el ASRS, recae la ltima decisin en comunicacin estrecha con la direccin o
gerencia de la empresa, de solicitar un servicio PPT a una empresa tcnica
especializada en Hacking tico o en Seguridad Informtica, ante la ms mnima
sospecha de cualquier posible vulnerabilidad o compromiso del sistema.

1.2- Pentesting Preventivo Administrativo. PPA


La metodologa principal del PPA se enfoca principalmente en el anlisis del
sistema a travs de las herramientas de software instaladas para la deteccin de
vulnerabilidades, correcto funcionamiento de los puestos de trabajo, correcto
funcionamiento de los elementos hardware ex istentes en la red y confiabilidad de
sus conex iones, buen uso del mismo por parte de los usuarios, adecuacin al
plan de seguridad informtico, etc.
La realizacin de dichas comprobaciones de seguridad recae nica y solamente
en el ASRS, en su equipo tcnico o en el proveedor de servicios informticos de
seguridad. Los periodos de comprobacin sern establecidos por el mismo, nunca
ex cedern de dos meses entre ellos y sern documentados y establecidos
cronolgicamente en el tiempo.

2.- Procedimiento ante un evento o incidente de seguridad


Un evento o incidente de seguridad puede ser local a un puesto de trabajo o
global, afectando a varios puestos o a la totalidad del sistema. El grado de
respuesta ante un compromiso o vulnerabilidad del sistema ser establecido en

funcin del grado de intensidad y el mbito del mismo, siendo el ASRS quin
proceda a implementar un modelo u otro. Dichos modelos se ex ponen a
continuacin:

Compromiso de grado bajo . PPA


Compromiso local asociado a cada puesto de trabajo. En este tipo de
compromiso se incluyen virus de bajo nivel detectables a travs de los
sistemas de proteccin, tanto sean estos de tipo binario o macro, boots de
captacin de informacin no autorizada de publicidad o estadsticos, cookies
malignas, o cualquier tipo de amenaza que pueda ser eliminada sin que
represente una amenaza para el resto de los puestos y el sistema en general.

Compromiso de grado medio . PPA


Compromiso local o global asociado a cada puesto de trabajo o servidores
de la red. Se incluyen virus de alto nivel poco detectables, troyanos que
establezcan puertas traseras, spyboots residentes, Keyloggers de deteccin
de teclado, visores grficos y todo tipo de malware que pueda comprometer
el sistema y romper con los principios de seguridad. Se considera el
compromiso ms empleado en la actualidad.

Compromiso de grado alto . PPT


Compromiso local o global a cada puesto de trabajo o al sistema en general.
Se considera el compromiso ms peligroso para la integridad del sistema,
suelen ser ataques directos no detectables en tiempo real, de difcil solucin
y de un riesgo elevado, asociado a la instalacin por parte del atacante de
sistema lgicos de destruccin de informacin como ficheros o bases de
datos en general. El origen del ataque puede provenir desde el interior de la

empresa, siendo estos generalmente de menor cuanta por lo que a


capacidad tcnica se refiere o desde el ex terior, muy peligrosos.

2.1.-Procedimientos . Compromiso de grado bajo. PPA


2.1.1.- La gestin de dicho procedimiento correr a cargo del ASRS o equipo
tcnico.
2.1.2.- Ejecutar escaneo y limpieza total del puesto a travs de los sistemas de
proteccin general, antivirus, anti-boots y software de proteccin actualizados, as
como la actualizacin o parches en el Sistema Operativo. No se deben usar para
este proceso Antivirus on-line o de dudosa procedencia. Es un proceso meramente
administrativo que puede ser evitado con mantenimiento y seguimientos regulares.
2.1.3.- Registro pertinente de la incidencia a travs del documento PSI19-B. El
registro debe ser nico para cada puesto.
2.1.4.- Ante la posibilidad de infeccin por salto a otros puestos de trabajo, se
presentan dos posibles acciones a tomar en consideracin, la Activa o la Pasiva.
1.- Activa: Se debe realizar el mismo proceso en todos los puestos de
trabajo que estn en el mismo segmento de red o que hayan tenido contacto
con el puesto de trabajo desde el punto de vista administrativo o corporativo
de la empresa en las ltimas 24 horas a la deteccin de la incidencia.
2.- Pasiva: Mantener durante varios das en observacin todos los puestos
de trabajo que estn en el mismo segmento de red o que hayan tenido
contacto con el puesto de trabajo desde el punto de vista administrativo o
corporativo de la empresa en las ltimas 24 horas a la deteccin de la
incidencia.

2.1.5.- No se requiere reportar la incidencia a la direccin o gerencia de la


empresa.

2.2.- Procedimientos. Compromiso de grado medio. PPA


2 2.1.- .- La gestin de dicho procedimiento correr a cargo del ASRS, equipo
tcnico o en el proveedor de servicios informticos de la empresa.
2 2.2.- Si el PPA de grado medio es realizado por el proveedor de servicios
informticos, este deber reportar a la empresa un informe detallado sobre las
incidencias encontradas, respaldos realizados y medidas adoptadas para la
solucin del problema. Todo ello debe ser supervisado y registrado en todo
momento por el ASRS y ser registrado y adjuntado al documento PSI19-D de
carcter interno.

S upues to
El proveedor de servicios informticos necesita actualizar la base de datos del
programa antivirus Comodo instalado en uno de los puestos de trabajo, por lo
que el ASRS, deber registrar dicha actualizacin en el documento PSI13-A
destinado para tal fin

2 2.3.- Si el PPA de grado medio es realizado por el ASRS o su equipo tcnico, se


debern seguir los siguientes pasos y consejos de actuacin:
1.- Desconex in inmediata del equipo afectado de la red o accesos remotos.
Evitaremos con esta opcin la ejecucin de bombas lgicas y as evitar la
destruccin de informacin.

2.- Proceder a la realizacin de una copia de seguridad total del sistema


local afectado. La copia debe ser local aun dispositivo fsico ex terior, nunca
se conecte en red. Efectuar PPA sobre el dispositivo ex terior de
almacenamiento para garantizar que no pueda comprometer o falsear an
ms las pruebas. El dispositivo debe estar formateado (formateado rpido no
est autorizado) y limpio.
3.- Proceder al duplicado del almacenamiento fsico (discos duros) del
Terminal. De esta forma nos permitir realizar un anlisis e investigacin
posterior ex terna en caso de ser necesaria. Se debe realizar un copiado
fsico y lgico de los discos duros. Efectuar PPA sobre el dispositivo ex terior
de almacenamiento para garantizar que no pueda comprometer o falsear las
pruebas. El dispositivo debe estar formateado (formateado rpido no est
autorizado) y limpio.
4.- Ejecutar escaneo y limpieza total del Terminal. Debe realizarse a travs
de los sistemas de proteccin general, antivirus, anti-boots y software de
proteccin para la bsqueda de Troyanos ocultos que abran sockets de
comunicaciones estableciendo puertas traseras as como, Rootkits
instalados por el atacante.
5.- Conex in del equipo afectado a la red o accesos remotos. Observaremos
el Terminal conjuntamente con el usuario del puesto de trabajo, sin
interactuar fsicamente con l, durante aprox imadamente media hora, para
determinar visualmente posibles reacciones ex traas que puedan
producirse.
6.- Ejecutar nuevamente escaneo y limpieza total del Terminal a travs de
los antivirus, anti-boots y software de proteccin, as como la actualizacin o

parches en el Sistema Operativo.


6.- Se requiere informar a la direccin o gerencia de la empresa. a travs del
documento PSI19-C , as como registrar la misma a travs del documento
PSI19-D.

2.3.-Procedimientos. Compromiso de grado alto. PPT


2 3.1.- La gestin de dicho procedimiento correr a cargo de una empresa tcnica
especializada en Hacking tico o Seguridad Informtica. El ASRS y equipo
tcnico, colaborarn directamente con dicho proceso facilitando a la empresa de
Pentesting todos los medios tcnicos necesarios para desarrollar con integridad y
celeridad dicho proceso. A continuacin se detallan los pasos y consejos previos
de actuacin a seguir:
1.- Desconex in inmediata del equipo afectado de la red o accesos remotos.
Evitaremos con esta opcin la ejecucin de bombas lgicas y as evitar la
destruccin de informacin. Un atacante a distancia puede activar
dispositivos de software lgicos y producir destruccin de informacin tantos
a sistemas de ficheros como a bases de datos al verse detectado. Si el
compromiso es a nivel de sistema, se proceder a la paralizacin total del
mismo.
2.- Se reportar a la direccin o gerencia de la empresa el grado de
compromiso alcanzado, a travs del escrito PSI19-E.
3.- El ASRS establecer contacto una vez recibida autorizacin, con la
empresa de Hacking tico o Seguridad Informtica especializada a travs
del escrito PSI19-F.

4.- El ASRS, como mx ima autoridad de seguridad en la informacin de la


empresa y en estrecha relacin con la direccin o gerencia de la misma, as
mismo con la empresa de Hacking tico o Seguridad Informtica
especializada, determinarn si procede notificar o presentar una denuncia
antes las autoridades legales competentes, Polica Nacional (B.I.T) o el
Departamento de delitos informticos de la Guardia Civil.
5.- Es de vital importancia la discrecin y celeridad en este proceso para
determinar el origen del ataque y naturaleza del mismo.
6.- Se deber registrar internamente dicha incidencia a travs del documento
PSI19-G, que complementar al informe final presentado por la empresa
ex terior especializada.
Se podra resumir la eficacia del procedimiento mediante tres palabras:

D ISCRECCIN . CELERIDAD . ACTUACIN


PSI.1.10 - Firmas y certificados digitales
1.- Firmas Digitales
La determinacin de la autenticidad en los documentos electrnicos es subsanada
en la actualidad a travs de la denominada firma digital , basada en
procedimientos meramente criptogrficos, la cul viene a ser como la firma en
puo y letra en los documentos impresos tradicionales, que como bien es sabido,
permite atribuir a un usuario algo escrito o su conformidad en un documento.
La firma digital bsicamente est compuesta de dos partes principales: un mtodo
o tcnica informtica que asegure al mx imo la no alteracin de la misma y otro

que permita a terceros verificar inequvocamente que dicha firma pertenece sin
ninguna duda al firmante.
Todo ello es posible a la utilizacin de un algoritmo en la que cualquier usuario
obtiene una serie de nmeros denominados claves , una pblica y otra privada,
dnde la primera de ellas es conocida por todos, mientras que la otra es mantenida
en secreto por el usuario. La relacin entre dichas claves se basa en que todo lo
que sea encriptado por alguna de ellas slo podr ser desencriptado nica y
solamente por la otra.
Cabe destacar que las firmas digitales a diferencia de las tradicionales sobre
papel escrito generadas por un usuario son diferentes entre s, es decir, cambia
con cada documento firmado. Adems si dos usuarios firman digitalmente un
mismo documento, tambin se producen dos diferentes documentos firmados, todo
ello debido a que la clave privada utilizada es diferente. Par validad la
autenticidad de un documento recibido se realiza un proceso de obtencin de
valores (hash) y desepcriptacin de la firma digital usando la clave pblica del
firmante, tras ello es posible determinar la autenticidad del documento.
Por consiguiente, cada usuario en el proceso de autentificacin de un documento
firmado deber contar con un archivo que contenga la clave pblica del supuesto
firmante. Todo esto acarrea un problema, si por ejemplo, un documento firmado por
40 personas deber contar con 40 archivos de clave pblica en una base de datos,
si el mismo documento es firmado por 500 usuarios diferentes el problema crece
considerablemente as como la determinacin con seguridad de la identidad del
titular de cada clave pblica. Todo ello nos lleva a lo que se denomina Certificado
Digital, el cul es emitido por una Autoridad Certificadora (CA) que atestigua que
una clave pblica pertenece a un determinado usuario o empresa .
As pues, si un usuario o empresa, firma un documento y en el mismo anex a su

certificado digital, cualquiera que conozca la clave pblica del CA podr autenticar
dicho documento.

2.- Certificados Digitales


Desde el punto de vista de la seguridad y autentificacin de un usuario se pueden
definir los certificados digitales bsicamente como los equivalentes digitales al
D N.I, ya que permiten que una empresa o un individuo demuestre finalmente que
es quien dice ser, y por lo tanto, que est en posesin de la clave secreta
asociada a su certificado. Para los usuarios proporcionan un mecanismo vlido
para verificar la autenticidad de los sitios visitados en Internet, redes privadas
VPN o departamentos internos.
Todo certificado digital obtenido a travs de una Autoridad Certificadora (CA)
garantiza que la clave pblica pertenece a la empresa y que la misma posee la
correspondiente clave privada. Para evitar todo tipo de falsificaciones, la entidad
certificadora despus de autentificar la identidad de la empresa, firma el certificado
digitalmente. Cabe destacar que estos certificados proporcionan un mecanismo
criptogrfico para llevar a cabo la autentificacin.
Los certificados digitales ex ponen en general los siguientes campos de datos
principales:
Versin: Este campo contiene el nmero de versin del certificado
codificado.
Nmero de serie del certificado: Este campo contiene un entero asignado por
la autoridad certificadora. Cada certificado emitido debe tener un nmero de
serie nico.

Identificador del algoritmo de firmado: Este campo identifica el algoritmo


usado para firmar el certificado (RSA o DSA, por ejemplo).
Nombre del emisor: Nos identifica la CA que ha firmado y emitido el
certificado.
Periodo de validez: Indica el periodo de tiempo de validez del certificado y la
CA est obligada a mantener informacin sobre el estado del mismo. En este
campo se distinguen, fecha inicial, fecha en la que el certificado empieza a
ser vlido y la fecha de caducidad del mismo.
Nombre del sujeto: Este campo identifica la empresa o individuo cuya clave
pblica est certificada. Es posible emitir ms de un certificado con el
mismo nombre para una misma entidad o individuo.
Informacin de clave pblica del sujeto: Este campo contiene la clave
pblica, sus parmetros y el identificador del algoritmo con el que se emplea
dicha clave.
Poltica de certificacin: Este campo contiene las condiciones en las que la
CA emiti el certificado y el propsito final del mismo.
Uso de la clave: Este campo establece condiciones o restricciones a la
clave pblica certificada.
Los certificados tienen un periodo de validez desde unos meses a unos pocos
aos, sin embargo, es posible la anulacin de los mismos por diferentes razones
de seguridad como en el caso de que la clave privada ha sido comprometida o que
un usuario abandone la empresa.

Las entidades certificadoras establecen listas de anulacin de certificados


(Certification Revocation Lists o CRL), las cuales son un mecanismo mediante el
cual se distribuye informacin a cerca de los certificados anulados a las
aplicaciones que los emplean. Una CRL es una estructura de datos que contiene
su fecha y hora de publicacin, el nombre de la entidad certificadora y los nmeros
de serie de los certificados anulados que aun no han ex pirado. Cuando una
aplicacin trabaja con certificados debe obtener la ltima CRL de la entidad que
firma el certificado que est empleando y comprobar que su nmero de serie no
est incluido en l.
Para la obtencin de un certificado por parte de una Autoridad Certificadora (CA) :
1.- Procederemos a rellenar un formulario y enviarlo a la CA solicitando un
certificado.
2.- La Autoridad Certificadora (CA) verificar nuestra identidad tomando las
medidas oportunas para la validacin.
3.- Despus de recibir nuestra solicitud y determinar la validez de los datos
recibidos, la CA generar el certificado correspondiente y lo firmar con su
clave privada, as mismo lo enviar al subscriptor y, opcionalmente, lo enva
a un almacn de certificados para su distribucin. La CA puede proporcionar
un servicio de distribucin de certificados para que las aplicaciones tengan
acceso y puedan obtener los certificados de sus subscriptores a travs del
correo electrnico, LDAP, etc. En la actualidad ex isten bases de datos en
calidad de almacn , donde se guardan los certificados y la informacin de
las anulaciones dando fiabilidad y confianza a los mismos.

Ejemplos de autoridades certificadoras ( CA)

ABA ECOM Root CA


FNMT de Espaa
Baltimore EZ by DST
Deutsche Telecom Root CA 1 , 2
Equifax Secure certificate Authority
Microsoft Root Authority
Secure Server Certification Authority
Visa eCommerce Root
Thawte Server CA
GlobalSign Root CA

Gestin de certificados en los Sistemas Operativos principales


Sistema Operativo: Windows
Certificados:
1.- Para Windows XP :
Vaya a 'Inicio->Panel de Control->Conex iones de red e Internet->Opciones
de Internet->Contenido->Certificados/Compaias'
2.- Para Windows 7 :
Vaya a 'Inicio->Panel de Control->Redes e Internet->Opciones de Internet>Contenidos->Certificados/Editores'
Puede acceder tambin a los certificados a travs de los navegadores
Web ms habituales en este Sistema Operativo :
1.- Internet Ex plorer : 'Herramientas->Opciones de Internet->Contenido-

>Certificados/Compaias'
2.- Google Chrome: 'Herramienta de llave->Opciones->Avanzada>HTTPS/SSL->Administrar certificados'
Sistema Operativo: Linux Ubuntu
Certificados:
El navegador predeterminado para Linux ms usado en la actualidad es
Firefox , por lo que ser el mtodo ms normal de acceder a la gestin de
certificados y as evitar la gestin a travs de la ventana Shell del sistema:
1.- Firefox : Men Editar->Preferencias->Avanzado->Cifrado->Ver
certificados'
Es posible acceder tambin a travs de otros navegadores como puede ser
Google Chrome.
Sistema Operativo: Mac Ox
Certificados:
Para la gestin y administracin de los certificados ;
Vaya al Finder->Aplicaciones->Utilidades->Acceso a llaveros app->Raz
del sistema'
Puede acceder tambin a los certificados a travs de los siguientes
navegadores :
1.- Firefox : Firefox ->Preferencias->Avanzado->Cifrado->Ver certificados'

2.- Google Chrome: 'Herramienta de llave->Preferencias->Avanzada>HTTPS/SSL->Gestionar certificados'


En estos accesos se gestionan los certificados instalados en el Terminal
realizando copias del mismo, importaciones, ex portaciones, evaluaciones o
simplemente obtener la informacin sobre los mismos.
Se debern registrar internamente a travs del documento PSI110-A todos los
Certificados Digitales instalados en cada Terminal o puesto servidor del sistema.

2.- Proteccin de datos


Legislacin, Reales Decretos y Normas. Marco normativo
En esta seccin se ex pone la legislacin vigente que afecta al desarrollo de las
actividades empresariales en las Pymes, que viene establecido por la siguiente
legislacin:
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de
Carcter Personal, BOE de 14 de diciembre (en lo sucesivo denominado
LOPD)
Real Decreto 994/1999, de 11 de junio, sobre Medidas de Seguridad de los
ficheros automatizados que contengan datos de carcter personal (en lo
sucesivo denominado RM994)
Directiva de la Unin Europea 95/46/CE, de 24 de octubre, sobre proteccin
de las personas fsicas en lo que respecta al tratamiento de datos personales
y a la libre circulacin de stos (DOCE 24-VII-1995)

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacin y


de comercio electrnico
Como complemento adicional a la legislacin vigente en proteccin de datos de
carcter personal, se establece la norma internacional UNE ISO/IEC 17799 2005
Cdigo de Buenas Prcticas para la gestin de la seguridad de la informacin .

PSI.2.1 La proteccin de datos: Activo principal de la empresa


La proteccin de datos de carcter personal o empresarial en la empresa ser
catalogada de primer orden por su gran importancia, la cul el ASRS, deber
adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen
la seguridad de los datos y eviten su alteracin, perdida, tratamiento o acceso no
autorizado, habida cuenta de la naturaleza de los datos almacenados y los riegos
a que estn ex puestos, ya provengan de la accin humana o del medio fsico o
natural.
Es aconsejable digitalizar todos los documentos escritos y garantizar respaldos lo
suficientemente estables, que contengan datos de carcter personal o empresarial
que ex istan o sean incorporados a la empresa, destruyndolos o archivndolos de
una forma segura para garantizar la integridad y confidencialidad de los mismos.
La direccin y gerencia de la empresa definir bajo su responsabilidad la
diferenciacin de la informacin de los datos de carcter personal de los
propiamente empresariales a travs del listado de clasificacin PSI21-NIPERSONAL para datos personales, y del PSI21-NI-EMPRESARIAL para los de
carcter empresarial. Catalogaremos en este plan los datos en dos niveles de
seguridad, como se presenta a continuacin:

1.- Nivel personal


Se incluyen en este nivel todos los ficheros o bases de datos de carcter
personal que contengan datos de ideologa, afiliacin a un sindicato,
creencias, salud, vida sex ual, orientacin racial, nombre, D N.I, etc.-, entre
otros. La LOPD distingue tres niveles, Bajo, Medio y Alto. En este Plan de
seguridad se considerarn todos los datos de carcter personal de nivel alto,
por lo que se establecern las mx imas medidas de seguridad en el
almacenamiento y tratamiento de los mismos.

2.- Nivel empresarial


Se incluyen en este nivel todos los ficheros o bases de datos de carcter
empresarial que contengan datos relativos a la informacin Tributaria
derivada del o los ejercicios, de las entidades financieras, entidades de
gestin, Seguridad Social, mutuas de accidentes de trabajo, enfermedades
profesionales de la Seguridad Social, facturas, presupuestos, escritos,
notificaciones, informes de tesorera, entre otros. Se incluyen todos los
documentos necesarios para el funcionamiento normal de la empresa.
Por consiguiente, en los siguientes apartados se definirn las medidas, normas,
procedimientos, y estndares encaminados a garantizar por parte de la empresa
los niveles de seguridad ex igidos.

1.- Identificacin y autentificacin


Las medidas y normas relativas a la identificacin del personal autorizado por
parte del ASRS para el acceso a los datos de la empresa se especifican con
claridad en el apartado PSI.1.1. Gestin y Administracin de cuentas de usuario
y contraseas.

2.- Control de acceso


Los usuarios del sistema slo accedern a aquellos datos y recursos que sean
necesarios para la realizacin de sus funciones dentro de la empresa, por lo que
se deben establecer los mecanismos necesarios para evitar que algn usuario
pueda acceder a recursos o servicios dentro del sistema en los que no tenga
autorizacin.
Por consiguiente, el control de acceso al igual que en el apartado anterior, es
especificado con claridad en el apartado PSI.1.1,- Gestin y Administracin de
cuentas de usuario y contraseas -. Es importante sealar que un usuario puede
acceder a diferentes niveles de autorizacin con su correspondiente
autentificacin, en los cules tendr acceso a diferentes recursos en los que le
sern establecidos los permisos correspondientes, por lo que en la ficha PSI11-A
se deber especificar o crear una hoja nueva, an siendo el mismo usuario, para
cada nivel nuevo de acceso, recayendo esta tarea en el ASRS.

3.- Registros de acceso


El acceso por parte de algn usuario a ficheros o datos de carcter personal
deber ser autorizado y registrado por el ASRS, o usuarios debidamente
autorizados por l (- los usuarios autorizados por el administrador se establecen en
el documento PSI21-ACCESS, el cul ser nico para cada usuario -), a travs del
documento de registro nico PSI21-A, autorizando al mismo al acceso a la
informacin requerida. Se debe autorizar a cada usuario a travs de este
documento de forma independiente. El acceso por parte de algn usuario a los
datos de carcter empresarial estar condicionado nica y solamente por el nivel
de acceso que se tenga al Terminal o a las aplicaciones que lo conforman. No es
necesario el registro de los accesos a ese tipo de informacin.

Los datos deben ser almacenados en un elemento informtico especfico como


discos duros (nunca discos duros ex trables o de fcil acceso), particiones
especficas protegidas, carpetas protegidas, o servidores dedicados para tal fin,
siendo esta ltima opcin la establecida por defecto, siempre y cuando se
establezcan las medidas de seguridad tanto fsicas como lgicas adecuadas para
garantizar la confidencialidad, integridad y disponibilidad de los datos y que la
naturaleza del mismo sea de carcter independiente. No se autoriza el
almacenamiento en soportes online basados en servidor, sea cul sea su
naturaleza, aunque este condicionante ser revisable en el tiempo en funcin de la
evolucin de la tecnologa.
Cabe sealar, que el registro de acceso para datos de carcter personal ser parte
integrante del Plan de Seguridad Informtica y que en ningn caso, ser destruido
en un periodo inferior a dos aos. El ASRS principal tiene la obligacin de revisar
al menos una vez al mes la informacin de dicho registro y elaborar un informe a
travs del documento PSI21-B, el cul ser remitido a la direccin o gerencia de la
empresa para su conocimiento.
Los ficheros o bases de datos de carcter personal a los que un usuario tenga
acceso, previa autorizacin y registro por parte del ASRS, o usuarios debidamente
autorizados por l, nunca debern ser copiados del soporte a su disco duro, discos
duros locales o dispositivos de almacenamiento ex terno, sean estos de tipo local
o remoto. Estos datos tienen carcter de consulta, es decir de solo-lectura , por
consiguiente, es obligacin del ASRS garantizar esta proteccin estableciendo los
permisos correspondientes en el servidor de datos. No sucede lo mismo con los
datos de carcter empresarial, que estarn condicionados por los permisos de
acceso establecidos por el ASRS a cada cuenta de usuario, en funcin de la tarea
de este ltimo dentro de la empresa.

En caso producirse alguna incidencia por el uso indebido o no autorizado de la


misma o por cualquier otra circunstancia en la que se pueda ver comprometido el
soporte o los datos tanto de carcter personal o empresarial, el ASRS principal
tiene la obligacin de comunicar inmediatamente verbalmente y por escrito a
travs del documento de urgencia de datos PSI21- NC a la direccin o gerencia de
la empresa dicha incidencia con carcter urgente.

4.- Gestin de soportes y documentos


Los soportes informticos que contengan los datos de carcter personal o
empresarial, sern independientes uno del otro, sean estos fsicos o virtuales, y
podrn formar parte o no del servidor o servidores principales, aunque esta opcin
no es del todo aconsejable. Se especificarn en ambos casos la informacin que
contienen, as mismo, sern establecidos segn la premisa de Acceso
restringido , es decir, sern ubicados en lugar seguro dentro de la empresa. Los
accesos a dichos soportes se limitarn al ASRS o usuarios debidamente
autorizados. Si por alguna circunstancia es necesario el acceso a dicho lugar
restringido por personal no autorizado, personal ajeno a la empresa o por razones
de urgencia o fuerza mayor, estos sern acompaados en todo momento por el
ASRS .
Todos estos accesos al soporte sern registrados debidamente en el documento
de registro PSI21-C. La ubicacin y caractersticas de los mismos, as como los
datos que contienen, ser registrado en el documento de registro PSI21-D.
Queda terminantemente prohibido la salida de soportes y documentos que
contengan datos de carcter personal o empresarial fuera de la empresa, sea cul
sea el motivo o mbito del mismo, sin la autorizacin por parte del ASRS, el cul
lo deber registrar a travs del documento de registro PSI21-E, y ser nico para
cada salida. Los mismos deben ser cifrados siempre que sea posible, para

garantizar su integridad y confidencialidad durante su transporte al lugar de


destino.
As mismo, se prohbe la conex in directa, inalmbrica o de cualquier otra ndole o
naturaleza al soporte de datos, con la nica ex cepcin del acceso previamente
establecido basado en la red de la empresa.
Ante reparaciones ex ternas del soporte de datos, sea esta realizada por el
proveedor habitual de informtica o por otro de iguales caractersticas, el ASRS
tiene la obligacin de transmitir al proveedor la naturaleza de los datos que
contiene el soporte, advirtindole de la responsabilidad que adquiere a la
recepcin del mismo.
Dicha responsabilidad deber ser aceptada por el proveedor de informtica y
quedar reflejada en el documento de cesin PSI21-E-R, en el cul se le informa
al proveedor de las consecuencias que le reportara el mal uso de la misma,
prdida o falta de medios de proteccin de dicha informacin.
Cualquier accin realizada por el ASRS en el soporte, sea esta de carcter
puramente tcnica o administrativa, como instalacin de nuevos discos duros,
componentes de almacenamiento nuevos, respaldos, traspaso de datos,
reparaciones o cualquier accin, ser registrada en el documento de registro
PSI21-F.
En caso de proceder a dar de alta un soporte de datos dentro de la empresa, este
deber ser autorizado por la direccin o gerencia de la empresa, por lo que el
ASRS deber remitir un informe segn el modelo PSI21-ALTA-SOPORTE lo ms
detallado posible indicando el motivo que origina dicha decisin, ubicacin,
naturaleza de los datos al que va a ser dedicado y las actuaciones en materia de
seguridad que se adoptarn para la introduccin de los mismos. As mismo, la

direccin o gerencia de la empresa deber autorizar el alta por escrito al ASRS, a


travs del documento PSI21-SOPORTE-ALTA. El ASRS registrar el alta de los
soportes nuevos en el registro de altas materiales PSI21-MATERIALES-ALTA.
En caso de proceder a la baja del soporte de datos sea esta por renovacin,
ampliacin, capacidad, seguridad, etc.-, deber ser autorizado en ltima instancia
por la direccin o gerencia de la empresa, por lo que el ASRS deber remitir un
informe segn el modelo PSI21-BAJA-SOPORTE lo ms detallado posible
indicando las causas que originan a su parecer dicha decisin, as como, las
medidas que se adoptarn para salvaguardar los datos que contienen durante el
tiempo que dure el proceso. As mismo, la direccin o gerencia de la empresa
deber autorizar por escrito al ASRS, a travs del documento PSI21-SOPORTEBAJA, la baja del mismo. El ASRS registrar la baja de los soportes en el registro
de bajas materiales PSI21-MATERIALES-BAJA.

5.- Criterios de archivo


Es importante garantizar en todo momento la correcta conservacin de los
archivos, (- sean estos independientes o aquellos agrupados en una base de datos
-), incluidos en el soporte de almacenamiento, as como garantizar si procede, el
ejercicio de los derechos de oposicin al tratamiento, acceso, rectificacin y
cancelacin de los mismos. En este ltimo caso, cualquier accin de las
anteriormente citadas ser registrada en el documento PSI21-G correspondiente.

6.- Copias de respaldo


El ASRS, tiene la obligacin de realizar copias de respaldo como mnimo una vez
a la semana. Estos respaldos sern realizados manualmente o automatizados, y
sern ex ternos al soporte. Generalmente estos respaldos sern redirigidos a un
servidor paralelo de iguales caractersticas a travs de una red interna fsica,

independiente y segura de no acceso. Este servidor podr estar ubicado o no en el


mismo lugar del soporte origen, (- aunque es del todo recomendable su ubicacin
en una estancia diferente y alejada una de la otra -), para garantizar al mx imo la
informacin por posibles desastres como por ejemplo, incendios o inundaciones.
Se autoriza tambin el respaldo de los datos en un servidor ex terno propiedad de
la empresa que cumpla con las caractersticas citadas anteriormente y que est
ubicado en un domicilio social diferente, todo ello debe ser realizado por el ASRS,
de una forma manual y a travs de una red privada VPN o similar habilitada para
tal fin. No se autoriza el respaldo en soportes online ex ternos basados en servidor,
sea cul sea su naturaleza. Las copias de respaldo sern registradas a travs del
documento de registro nico e independiente por respaldo PSI21-BACKUP, sean
estas de carcter manual o automtico programado. En caso de respaldo
automtico, el ASRS deber registrar y comprobar el mismo para asegurarse de
que la operacin se ha realizado con x ito. La opcin de respaldo ms segura es
la manual, dnde el ASRS podr comprobar en todo momento la cantidad de datos
respaldados por el total de Bytes en comparacin realizados.

7.- Formacin de los usuarios , directivos, gerencia y ASRS en


materia de seguridad
La formacin de los usuarios, directivos, gerencia o cualquier personal implicado
directamente en funciones administrativas de la empresa, es de vital importancia
para garantizar que todo funcione correctamente. De nada vale tener un sistema
informtico a nivel de hardware o software de primera calidad, sistemas de
vigilancia perimetral o interna, procedimientos o reglas definidas a travs de un
manual de seguridad, si la falta de formacin en el uso de los servicios o recursos
de los usuarios del sistema puede ocasionar perdida de informacin, desastres en
los respaldos o peor an, un compromiso total o parcial del sistema por parte de
agente maligno ex terno o interno.

Por consiguiente es necesario que los usuarios, directivos, gerencia o cualquier


personal que interacte con el sistema, realicen un curso evaluable y certificado
de formacin bsica de seguridad y uso de servicios o recursos empleados en su
puesto de trabajo a travs del curso bsico de seguridad de los ex istentesen el
mercado de formacin .
As mismo, el ASRS o usuarios debidamente autorizados por l, debern formarse
y certificarse en un curso avanzado de seguridad de la informacin o Hacking
tico, de ndole tcnico y evaluable, para garantizar al mx imo su preparacin y
as conocer perfectamente el sistema que tienen en sus manos y sus
responsabilidades frente a l.
La designacin del administrador del sistema o responsable de seguridad ASRS,
estar condicionado en todo momento por la dimensin de la empresa, la
informacin o datos que esta requiera protege o tratar y el efecto econmico
indirecto o directo que representa en la misma dicho puesto.
Es importante sealar que nuestras empresas y organizaciones suelen ser reacias
a la implantacin de sistemas de seguridad de la informacin porque asumen que
no es necesario ni de vital importancia para la continuidad de su negocio o
actividad, nada ms lejos de la realidad, dnde las tendencias empresariales y
organizativas son cada vez ms dependientes de las tecnologas, si adems, se
les presenta la necesidad de establecer un responsable de seguridad, la reaccin
adversa an es mayor, ya que las mismas entienden que esto supondra gastos no
propios de la actividad a la que se dedican.
Por consiguiente, en este modelo de Plan de Seguridad Informtica (PSI) se
proponen las siguientes opciones para la implantacin de un responsable ASRS,
tal y como se detallan a continuacin:

1.- ASRS Residente: Entendemos como ASRS residente aquel personal


dentro de la empresa con conocimientos bsicos o medios de informtica,
con independencia del puesto que este desempea, que voluntariamente
quiera o desee optar a dicho puesto, con o sin perjuicio del actualmente
desempeado. Este PSI no establece reglas, normas, ni actuaciones a la
relacin nueva que pueda surgir entre ambas partes, pero si ex ige que entre
las mismas se establezca un contrato de confidencialidad interno en lo que a
datos, equipamientos, servicios o recursos confidenciales o reservados se
refiere. El contrato de confidencialidad se regir segn el contrato PSIASRS.
El ASRS deber formarse y certificarse en seguridad informtica a travs del
curso evaluable de capacitacin de ndole tcnico, en horarios no laborables
o parcialmente laborables.
2.- ASRS Incorporado: Entendemos como ASRS Incorporado aquel nuevo
personal contratado especficamente por la empresa con conocimientos
medios o altos de informtica, (- no necesariamente se requiere un ingeniero
tcnico en informtica -), con titulacin mnima en formacin profesional o
similar, con una ex periencia mnima demostrable de un ao. Igualmente, el
PSI no establece reglas, normas, ni actuaciones a la relacin laboral que
pueda surgir entre ambas partes, pero si ex ige que entre las mismas se
establezca un contrato de confidencialidad interno en lo que a datos,
equipamientos, servicios o recursos confidenciales o reservados se refiere.
El contrato de confidencialidad se regir segn el contrato PSIASRS. El
ASRS deber formarse y certificarse en seguridad informtica a travs del
curso evaluable de capacitacin de ndole tcnico, en horarios no laborables
o parcialmente laborables.
3.- ASRS Compartido: Entendemos como ASRS compartido a la relacin
contractual de servicios y colaboracin tcnica entre un proveedor de

servicios en seguridad informtica o Hacking tico y la empresa, a travs del


ASRS Residente o Incorporado designado para tal efecto. Este PSI ex ige
que entre ambas partes se establezca un contrato de confidencialidad interno
en lo que a datos, equipamientos, servicios o recursos confidenciales o
reservados se refiere. El contrato de confidencialidad se regir segn el
contrato PSISHARE.

8.- Informacin sobre normas, obligaciones, prohibiciones y


consecuencias al personal
La empresa remitir por escrito a todo el personal, las normas, obligaciones,
prohibiciones y consecuencias del uso de su puesto de trabajo, el cul deber ser
firmado y aceptado por cada usuario, a travs del documento informativo
PSI21 NFO. Estas normas establecen los principios bsicos de uso de los
dispositivos, servicios o recursos que sern puestos a su disposicin en su
puesto de trabajo y la interaccin de este con el sistema en general, adems se
establecern las consecuencias que se originan del incumplimiento de las
mismos.

9.- Digitalizacin y clasificacin de la informacin existente


La digitalizacin de la informacin ex istente se deber realizar en las
dependencias o instalaciones de la empresa, en un espacio reservado destinado
para dicha tarea y a travs de un Terminal y dispositivo scanner tcnico. La tarea
encomendada ser realizada nica y solamente por los operarios de seguridad
informtica especializada en colaboracin estrecha con el personal de la empresa,
que ir facilitando la documentacin que estime oportuna para ser digitalizada.
El criterio de clasificacin de la informacin ser responsabilidad nica y
solamente de la empresa, a travs de las indicaciones de los usuarios designados

para la colaboracin o en contacto directo con la direccin o gerencia de la misma.


Es habitual clasificar la informacin trasladndola al soporte digital tal cul est
registrada en formato tradicional, ya que esto garantizar al mx imo el manejo
inmediato por el personal autorizado. La empresa tcnica designada aconsejar
sobre el ordenamiento de la misma, que debe ser jerrquica, ordenada
alfabticamente o numerada, entre otras opciones de almacenamiento, las cuales
quedarn reflejadas en el documento grfico PSI21-CLS-PERSONAL, en el caso
de informacin de carcter personal, o en el documento grfico PSI21-CLSEMPRESARIAL, en el caso de informacin personal. Ambos documentos relejarn
las carpetas principales de almacenamiento. Las secciones o subcarpetas sern
definidas por el personal de acceso autorizado al recurso o carpeta principal, ser
fijo o variable y se adaptar en todo momento a las variaciones de la empresa.
La digitalizacin de los documentos ser simple o agrupada, dependiendo de si se
quiere digitalizar documentos independientes o agrupaciones de ellos, como por
ejemplo, los documentos de finiquito de una persona dentro de la empresa.
Por consiguiente, se presentan a continuacin los formatos y normas que se
emplearn para la digitalizacin de los documentos:
Formato: El formato empleado en la digitalizacin ser < PDF >, con lo que
se garantizar la portabilidad de los mismos a diferentes sistemas. Es
imprescindible tener actualizados las aplicaciones de gestin de
documentos PDF en los terminales de trabajo, para garantizar
compatibilidades.
Directorios: El nombre de los directorios/carpetas o subdirectorioshijos/subcarpetas se establecern en maysculas.
Nombre fichero: El nombre del fichero estar condicionado por la naturaleza

del mismo y se especificar con el siguiente formato:


Datos de carcter personal: <per.nombre>.<ex tensin>
Datos de carcter empresarial: <em.nombre>.<ex tensin>
En caso de nombres largos estos estarn separados nicamente por puntos:

Ejemplo ;

per.18102011.finiquito.Ramon.doc

10.- Borrado de datos


El borrado manual de datos con independencia de la naturaleza que sea, ser
realizado de forma conjunta a travs de una papelera o carpeta especfica
creada para dicha tarea, los mismos sern borrados nica y solamente por el
ASRS. Es posible que el borrado de datos sea gestionado por una aplicacin
especfica, en dnde en este caso, el borrado ser realizado por los usuarios del
sistema.
Todo el proceso deber ser autorizado por parte de la direccin o gerencia de la
empresa a travs del documento PSI21-CLS-DATOS que le ser remitido al ASRS,
el cul deber pedir autorizacin a la direccin o gerencia de la empresa para el
borrado de dicha carpeta o registros de la aplicacin especfica, a travs del
documento de autorizacin PSI21-CLS-DATOS-AUT.
Los usuarios autorizados eliminarn los archivos no necesarios envindolos hacia
la papelera o carpeta especfica destinada para tal fin, en caso de tratamiento
manual de la informacin. En el caso de borrado especfico a travs de una
aplicacin de interface local o de acceso Web, los usuarios debern antes de
proceder al borrado de la misma, registrar los archivos que desean borrar a travs
del documento de registro PSI21-CLS-AUTOMA, el cul ser remitido al ASRS

para que este proceda a la solicitud de autorizacin de borrado a la direccin o


gerencia de la empresa a travs del documento citado con anterioridad PSI21-CLSDATOS-AUT, adjuntando el registro PSI21-CLS-AUTOMA, y en caso afirmativo
proceder al borrado total o parcial de los mismos.

Documentos
PSI21-ACCESS, PSI21-A, PSI21-B, PSI21- NC, PSI21-C, PSI21-D, PSI21E,PSI21-E-R,PSI21-F,PSI21-ALTA-SOPORTE,PSI21-SOPORTE-ALTA,PSI21MATERIALES-ALTA,PSI21-BAJA-SOPORTE,PSI21-SOPORTE-BAJA,PSI21MATERIALES-BAJA, PSI21-G, PSI21-BACKUP, PSI21-CLS-PERSONAL Y
PSI21-CLS-EMPRESARIAL, PSI21-CLS-DATOS, PSI21-CLS-DATOS-AUT,
PSI21-CLS-AUTOMA

PSI.2.2 Clasificacin y Comunicacin de informacin:


Confidencial y Reservada
La direccin o gerencia de la empresa establecer los criterios de clasificacin de
la informacin, los cules se regirn en funcin del valor negativo que supondra la
perdida, robo o filtracin de la misma para la empresa. El acceso a dichos
recursos en el sistema es ex clusivo de la direccin, gerencia o personal
ex plcitamente autorizado, todos ellos debidamente autorizados por el Gerente o
Director general de la empresa a travs del documento PSI22-AUTOR DAD, ser
de carcter individual y se establecern los permisos correspondientes.
A continuacin se establecen las dos clasificaciones de la informacin que se
regirn en este PSI:
Confidencial: Datos o ficheros de carcter individual tanto empresariales
como personales. La cesin interna de los mismos no podr ex ceder de 24

horas, ser de carcter fsico por impresin y trasmitida personalmente.


Dichos documentos pueden ser autorizados por cualquier usuario de la
direccin, gerencia o personal de la misma ex plcitamente autorizado.
Son ficheros o documentos generalmente de carcter empresarial dnde
el riesgo no es muy elevado pero si interesa limitar su divulgacin como
mero hecho preventivo. La cesin interna de los mismos ser
establecida a travs del documento de autorizacin PSI22-COREGESTOR-CONF- NT. La cesin de los mismos a terceros fuera del
mbito de la empresa est ex presamente prohibida, con la ex cepcin
final o autorizacin del Gerente o Director general de la empresa, ser de
carcter fsico por impresin y trasmitida personalmente. La cesin ser
siempre establecida a travs del documento de autorizacin PSI22CORE-GESTOR-CONF.
Reservado: Datos o ficheros de carcter individual tanto empresariales como
personales. La cesin interna de los mismos no podr ex ceder de 2 horas,
ser de carcter fsico por impresin, trasmitida personalmente y de carcter
nicamente empresarial nunca personal. Dichos documentos pueden ser
nicamente autorizados por el gerente de la empresa, adems, la cesin de
los mismos a terceros fuera del mbito de la empresa est totalmente
prohibida. As mismo, la cesin de documentos fsicos reservados internos
ser consensuada entre ambas partes a travs del documento de cesin
PSI22-CORE-GESTOR-RESV, en dnde se indicar al destinatario la
responsabilidad nica que adquiere en el uso y custodia del mismo.
El ASRS, establecer los accesos a la informacin clasificada as como los
permisos correspondientes para cada usuario de la direccin, gerencia o personal
ex plcitamente autorizado, los cules tendrn acceso total o parcial a todos los
recursos del soporte de datos clasificados. El ASRS, establecer todos los

recursos necesarios en el soporte de datos correspondiente para garantizar la


integridad y confidencialidad de la informacin, sern nicos e independientes ni
vinculantes unos con otros. As mismo, autorizar los accesos y permisos a los
recursos de clasificacin de la informacin por parte de los usuarios de la
direccin, gerencia o personal ex plcitamente autorizado, a travs del documento
de registro PSI22-CORE.
La impresin mecnica o digitalizacin de la informacin de carcter confidencial
o reservada, deber ser etiquetada con su sello correspondiente, as mismo se
establecern unos registros de seguimiento de retorno a travs de los documentos
de cesin PSI22-RETORNO-CORE-CONF, para los datos Confidenciales y PSI22RETORNO-CORE-RESV para los Reservados, los cules permanecern abiertos
hasta la devolucin de los mismos, siendo responsabilidad nica de la direccin,
gerencia o personal ex plcitamente autorizado para los datos de carcter
Confidencial y del Gerente de la empresa para los Reservados , el registro y
seguimiento de los documentos que se ceden.

Documentos
PSI22-AUTORIDAD, PSI22-CORE-GESTOR-CONF, PSI22CORE, PSI22-RETORNO-CORE-CONF, PSI22-RETORNOCORE-RESV, PSI22-CORE-CESTOR-RESV, PSI22-COREGESTOR-CONF-INT

PSI.2.3 Contratos con terceros


La contratacin de servicios ex ternos en la empresa y sobre todo en la Pyme
actual es algo cotidiano, desde subcontratacin de servicios de asesoras fiscales
o laborales, hosting Web, despachos de abogados o simplemente subcontratacin
de trabajos asociados a la actividad de la empresa.

El mbito de actuacin es muy variado y especfico, no es lo mismo una empresa


subcontratada de carcter administrativo que tendr acceso a informacin limitada
o no, que una empresa que realice trabajos de albailera subcontratados asociado
a la actividad real de la empresa, en la que el acceso a datos es nula o muy
limitada, adems que la subcontratacin se regir por las leyes actuales en vigor,
s procede.
En este Plan nos ceiremos nica y solamente a aquellos tipos de
subcontratacin en la que los datos de la empresa puedan verse comprometidos o
simplemente se puedan acceder a los mismos por terceras personas. Por
consiguiente, es necesario regular formalmente los servicios entre la empresa y
terceros, desde el punto de vista del personal y recursos.
La redaccin de contratos con terceros para la prestacin de servicios estn
regidos por la Ley de proteccin de Datos, as como definidos tambin en normas
ISO, en la que nos indica que :
El tratamiento de datos por terceros debemos regularla con un contrato entre
ambas partes. Dicho contrato lo estableceremos a travs del documento
contractual interno PSI23-TERCEROS.
El personal que se dedica al tratamiento de la informacin tendr que adoptar
las medidas tcnicas y organizativas necesarias para garantizar la seguridad
de los datos, principalmente los de carcter personal, para de esta forma
evitar la posible prdida, alteracin o acceso no autorizado a la misma.
Debemos garantizar en todo momento que las medidas de seguridad,
servicios implicados y niveles de entrega estipulados en el contrato de
servicio con terceros, se ponen en prctica y se mantienen.

Debemos requerir en todo momento a la empresa subcontratada y a sus


empleados implicados directamente en el manejo de la informacin, la
aplicacin de las medidas de seguridad.
La relacin contractual entre la empresa y terceros es posible que pueda sufrir
variaciones en el tiempo asociado al cambio en las condiciones, finalizacin de
servicios subcontratados, revisin en la prestacin de los servicios
subcontratados que puedan afectar a la confidencialidad o medidas de seguridad,
revisin de las clusulas de proteccin de datos de carcter personal, entre otros
posibles factores.
Por consiguiente, cualquier modificacin de las condiciones, servicios, etc.-,
establecidos en el contrato que regulan el tratamiento de la informacin por
terceros y la empresa, se anex ar al final del mismo y ser, ordenado
numricamente y har referencia a la clusula, apartado o seccin a la que se
refiere sin modificacin de la misma.
Una vez finalizada la subcontratacin del servicio estipulado en el contrato, los
datos sean estos de carcter empresarial o personal, debern ser devueltos a la
empresa en un plazo no superior a siete das despus de la firma del documento
de finiquito consensuado entre ambas partes, que ser establecido a travs del
documento de finalizacin de servicios PSI23-FINIQUITO-TERCEROS.

PSI.2.4 Comunicacin de informacin no clasificada con


terceros subcontratados
Los medios para la comunicacin o intercambio de informacin no clasificada con
terceros sean estos fsicos o digitales como, cdroms, llaves usb, discos duros
ex ternos, correos electrnicos, documentos, etc.- generan amenazas para la

confidencialidad e integracin de la informacin.


Por consiguiente, la entrega de informacin no clasificada por parte de los
usuarios, direccin o gerencia de la empresa a terceros, a travs de soportes
digitales como cdroms, llaves usb, discos duros, memorias flash o cualquier
dispositivo de almacenamiento, queda ex presamente prohibida, por lo que el
ASRS establecer las medidas fsicas necesarias en los terminales o puestos de
trabajo que se regulan en cinco (5) normas en el documento PSI24-TERM NALESSEG.
Se establecern tres niveles de seguridad, ALTO, MEDIO y NORMAL. Es
competencia de la direccin o gerencia de la empresa el empleo del nivel
adecuado para cada circunstancia o necesidad, tal como se ex ponen a
continuacin:
1.- ALTO: A travs de un recurso compartido designado para tal fin por el
ASRS en el soporte de datos, dnde se establecern carpetas de envo
clasificadas por proveedor subcontratado, designadas en el documento
PSI241-RECO en dnde se asociar cada carpeta a unas cuentas de correo
predeterminadas por usuarios.
Los usuarios, direccin o gerencia de la empresa que deseen enviar datos no
clasificados a los proveedores subcontratados depositarn una copia
comprimida de los mismos en las subcarpetas de los proveedores a los que
deseen enviar la informacin, la misma ser comprimida a travs del
compresor habitual del Terminal o puesto de trabajo, (-se recomienda usar el
compresor/descompresor de archivos Winrar, con formato rar-), en la que
adjuntarn los archivos deseados, as como se establecer en la pantalla de
configuracin en la pestaa comentario el cuerpo del mensaje a su
destinatario

El mtodo de envo de la informacin podr ser manual realizada por el


ASRS o automtica realizada por un proceso o aplicacin destinada para tal
fin.
1.1.- En caso de envo manual, el ASRS o usuario autorizado por l para la
realizacin de dicha tarea administrativa, enviar los ficheros por correo
electrnico a sus destinatarios.
Es importante recordar que las comunicaciones a travs del correo
electrnico con terceros subcontratados deben llevar una certificacin digital
para garantizar la identidad de la misma en ambos sentidos, siendo la
responsabilidad del ASRS garantizar dicha premisa en los correos de la
empresa, as mismo, deber suministrar al proveedor el certificado digital
pertinente para que pueda recibir y autentificar la informacin que este ltimo
reciba la empresa.
El ASRS, crear una cuenta de correo especfica para el envo de la
informacin a los proveedores, denominada:

asrs.NOMBREEMPRESA@ISP
As mismo, notificar a los destinatarios que no respondan al correo enviado
y les recordar que en caso de querer enviar o reenviar correos lo hagan a las
cuentas habituales de trabajo con la empresa. En caso de recibir algn
correo en esta cuenta de alguno de los proveedores habilitados, el ASRS les
enviar un correo electrnico indicndoles tal circunstancia, reenviar el
mismo al usuario destinatario de la empresa y borrar el correo entrante de la
bandeja de entrada de su cliente de correo.

1.2.- En caso de envo automtico, este ser realizado por un proceso


script o aplicacin interna y local al soporte de datos. Esta opcin liberara
por completo del trabajo al ASRS, aunque no le ex imira de su
responsabilidad de control. Es importante recordar que esta opcin
generara un costo considerable para la empresa asociado al desarrollo de
un producto informtico especfico.
2.- MEDIO: Este nivel incluye la entrega de la documentacin a travs del
correo electrnico del cliente al proveedor a travs del personal de la misma
que este autorizado para ello. Las comunicaciones a travs del correo
electrnico con terceros subcontratados deben realizarse certificadas para
garantizar la identidad de la misma en ambos sentidos del proceso, siendo la
responsabilidad del ASRS garantizar dicha premisa en los correos de la
empresa, as mismo, suministrar al proveedor el certificado digital pertinente
para que pueda recibir y autentificar la informacin que este ltimo reciba de
la empresa. Esta suele ser la opcin habitual ms ex tendida en las
empresas en la actualidad. No se necesita realizar registro alguno.
3.- NORMAL: Este nivel incluye la entrega de la documentacin fsicamente
al proveedor a travs del personal de la misma que este autorizado para ello.
Esta ser entregada nica y solamente agrupada, ordenada y clasificada en
una carpeta A/Z o similar, con independencia del tamao de la misma, y ser
registrada su salida y entrada a travs del documento de cesin de
documentacin PSI243-CESION. Los plazos de devolucin de la misma
sern consensuados entre ambas partes, as mismo, el personal que reciba
dicha documentacin deber firmar el documento de cesin PSI243PROVEEDOR, en el cul se le informa de las consecuencias que le
reportara el mal uso de la misma, prdida o falta de medios de proteccin de
dicha informacin.

En todos los casos o niveles, solo esta permitido la cesin de datos de carcter
empresarial. En caso de la necesidad del envo por parte de la empresa de datos
de carcter personal, la direccin, gerencia o personal de la misma
ex clusivamente autorizado, deber clasificar y enviar la documentacin como
Confidencial, tal como se especifica en la norma o poltica PSI 2 2,
desclasificndola y archivndola si procede, una vez recibida la misma del
proveedor.
Todo usuario deber ser autorizado a travs del documento PSI24-AUT por parte
de la direccin o gerencia de la empresa, para la cesin de documentacin
empresarial a terceros, independientemente del nivel designado.

Documentos
PSI241-RECO, PSI243-CESION, PSI243-PROVEEDOR, PSI24-AUT

PSI.2.5 Servicios pblicos de informacin


El uso de los servicios pblicos de informacin como puede ser Internet o
conex iones seguras con terceros dentro de la empresa como canales VPN, puede
ocasionar problemas de seguridad. Por consiguiente, aunque no ex iste en la
actualidad ninguna normativa que regule ex presamente este punto, se debe limitar
el uso de estos canales al personal debidamente autorizado para ello. Los
usuarios debidamente autorizados por el ASRS, sern registrados en el documento
de acceso pblico PSI25-PUBLICO, que ser de carcter nico y personal, as
mismo, el ASRS deber tomar las medidas de ndole tcnico o administrativas
necesarias para garantizar la limitacin de estos canales a los usuarios de la
empresa que no estn autorizados para su uso.

PSI.2.6 Respuesta ante incidencias detectadas por los usuarios


del sistema
La formacin o instruccin de los usuarios por parte del ASRS en la respuesta ante
cualquier incidencia en su Terminal o puesto de trabajo, es de vital importancia
para mantener y gestionar eficientemente el sistema de informacin de la empresa.
Una inadecuada repuesta ante una incidencia, hace que los tiempos de reaccin
para poder solucionar el problema aumenten, originando posibles problemas de
seguridad.
Definiremos los dos posibles niveles o escenarios que pueden producirse en un
puesto de trabajo ante una incidencia: Incidencia Parcial e Incidencia Total.

1.- Incidencia Parcial


Una incidencia parcial de seguridad es aquella incidencia que compromete o
puede poner en peligro nuestro Terminal y que no impide el uso del mismo
por parte del usuario. Cualquier usuario que detecte o tenga sospechas de
alguna posible incidencia sobre su Terminal deber seguir los pasos de
actuacin que se definen a continuacin:
1.1- Comunicar en la mayor brevedad posible al ASRS o personal
debidamente autorizado por l, la incidencia observada o sufrida, a travs
del documento de incidencias PSI26- NC-PARCIAL. El proceso de
comunicacin al ASRS ser por orden de preferencia tal y como se indica
a continuacin:
1.1.1- A travs del REGASRS (Registro compartido de comunicaciones
con el administrador del sistema)

1.1 2- A travs del Correo electrnico habitual


1.1 3- Entregado personalmente a mano al ASRS
1.2.- Paralizar inmediatamente la actividad en el Terminal, ponindolo en
reposo hasta la llegada o monitorizacin del ASRS.
1.3.- Mantener en todo momento la discrecin y silencio con otros
usuarios del mismo o distinto departamento. No debemos olvidar que la
aparicin de una incidencia puede tener como origen una actividad
malintencionada interna como ex terna.

2.- Incidencia Total


Una incidencia total de seguridad es aquella incidencia que compromete o
puede poner en peligro nuestro Terminal y que impide el uso del mismo por
parte del usuario. Cualquier usuario ante esta situacin lmite ocasionada o
no por una incidencia, seguir los pasos de actuacin que se definen a
continuacin:
2.1- Comunicar en la mayor brevedad posible al ASRS o personal
debidamente autorizado por l, la incidencia observada o sufrida, a travs
del documento de incidencias PSI26- NC-TOTAL. El proceso de
comunicacin al ASRS ser entregado personalmente a mano.
2.2.- Mantener en todo momento la discrecin y silencio con otros
usuarios del mismo o distinto departamento.
As mismo, el ASRS activar los procedimientos establecidos en la norma o
poltica PSI.1.9, activando la seccin que corresponda o estime oportuna y

generando los registros e informes pertinentes, as mismo, deber adjuntar


los documentos de incidencias enviados por los usuarios a los registros de
dicho apartado que procedan.

PSI.2.7 Uso de dispositivos mviles


Los dispositivos mviles como porttiles, agendas digitales, telfonos de ltima
generacin, Ipads, etc.-, pueden generar todo tipo de vulnerabilidades en la
seguridad de la empresa, por su facilidad de uso, gran movilidad y capacidad de
almacenamiento, que permiten el flujo de informacin sin control alguno.
Por consiguiente, necesitamos realizar una clasificacin de la informacin, que
incluya bsicamente la identificacin de los dispositivos mviles y la informacin
que almacenan. Es importante resear que slo esta permitido el almacenamiento
de informacin no clasificada de carcter empresarial, as mismo, la conex in de
los mismos a la red de la empresa ser limitada por recursos especficos y
dispositivo. A continuacin, se establecen las siguientes normas o procedimientos
de actuacin:
1.- El ASRS proceder a realizar un inventario de todos los dispositivos
mviles ex istentes en la empresa, indicando el responsable del mismo,
datos que contiene, accesos a los recursos compartidos disponibles,
aplicaciones instaladas, permisos asignados, etc. Dichos dispositivos
mviles sern registrados a travs del documento nico por dispositivo
PSI27-DISPOSITIVOS-REG.
2.- Queda prohibido la utilizacin de dispositivos personales o de otra ndole,
ajenos a la empresa para tareas administrativas, comerciales o de direccin.
As mismo, todos los dispositivos mviles autorizados y registrados no
podrn ser utilizados para otros fines para los cules han sido destinados.

Por consiguiente, no se podrn introducir datos personales, no se podrn


instalar aplicaciones no registradas, conectarse a puntos de acceso no
autorizados, etc.-. El ASRS entregar a todos los usuarios de dispositivos
mviles autorizados unas normas de comportamiento y uso para el manejo y
custodia de los mismos, especificado en el documento informativo PSI27NORMAS-MOV LES. As mismo, la autorizacin, tiempo de cesin y entrega
de los dispositivos mviles a los usuarios ser reflejada en el documento de
cesin temporal PSI27-DISP-AUT.
3.- La conex in a los recursos compartidos del sistema a travs de
ordenadores porttiles, mini ordenadores, etc.-, se realizar al punto de
acceso establecido, sea este inalmbrico o directamente por cable, en modo
directorio y autentificado.
4.-Los dispositivos inalmbricos como IPADS, IPHONES o telfonos en
general (1), sufren cambios prcticamente a diario en sus avances
tecnolgicos asociado principalmente a la gran competencia de las firmas
que los desarrollan, por consiguiente, cada firma desarrolla sus productos
teniendo en cuenta sus polticas de seguridad, tendencias del mercado,
nuevos desarrollos o implementaciones, ideales, cuotas de mercado, etc.-,
no es lo mismo la operatividad de un PAD de Apple que un Tablet con el
Sistema Operativo Android, basado en Linux .
Desde el punto de vista de la seguridad y no de la operatividad, este Plan de
Seguridad y Proteccin de Datos, prohbe el acceso de estos dispositivos
inalmbricos (1) de una forma directa o a travs de cualquier tipo de aplicacin o
protocolo ex istente, con la ex cepcin de una conex in inalmbrica normal de
acceso a Internet o a un servidor de aplicaciones a travs de un navegador Web,
el cul deber ser autentificada en todo momento.

El ASRS o usuarios autorizados por l, por seguridad, sern los nicos


encargados de introducir la informacin no clasificada en dichos dispositivos en
requerimiento de los departamentos correspondientes, los cuales debern indicar
a travs del informe de actuacin PSI27-DATOS-MOB LE, los mismos de una
forma detallada y clara, as mismo, suministrarn al ASRS dicho informe e
informacin digitalizada en PDF, para los documentos y JPG, para las imgenes,
a travs del recurso compartido para cada departamento MOB LEDPT.
5.- Queda prohibido la cesin, prstamo, reparacin por cuenta propia, as
como cualquier actuacin que pueda poner en peligro la Confidencialidad e
Integracin de la informacin que contienen. Los mismos tendrn a efectos
de este Manual de Seguridad, carcter de Soporte mvil de datos , por lo
que se les aplicarn las normas o procedimientos correspondientes en
cesin a terceros.