Capítulo 11: Gestión de una red segura

La mitigación de los ataques a la red requiere un enfoque integral de extremo a extremo que incluye la creación y el
mantenimiento de políticas de seguridad basadas en las necesidades de seguridad de una organización. El primer
paso para establecer las necesidades de seguridad de una organización es identificar las posibles amenazas y
realizar un análisis de riesgos.

El análisis de riesgos es el estudio sistemático de incertidumbres y riesgos. Calcula la probabilidad y la gravedad de

las amenazas a un sistema y proporciona a la organización una lista de prioridades. Los analistas de riesgos
identifican los riesgos; determinar cómo y cuándo pueden surgir esos riesgos, y estimar el impacto financiero y
comercial de los resultados adversos. Los resultados del análisis de riesgos se utilizan para determinar las
implementaciones de hardware y software de seguridad, las políticas de mitigación y el diseño de la red.

La arquitectura de seguridad es una solución integral para la seguridad de la red que incluye soluciones para
proteger la red, el correo electrónico, la web, el acceso, los usuarios móviles y los recursos del centro de datos. Para
ayudar a simplificar el diseño de la red, se recomienda que todos los mecanismos de seguridad provengan de un
solo proveedor.

Una vez diseñada la red, la seguridad de las operaciones implica las prácticas diarias necesarias para implementar
primero y luego mantener el sistema seguro. Parte del mantenimiento de un sistema seguro son las pruebas de
seguridad de la red. El equipo de operaciones realiza las pruebas de seguridad para garantizar que todas las
implementaciones de seguridad funcionan como se espera. Las pruebas también se utilizan para proporcionar
información sobre la planificación de la continuidad del negocio, que aborda las operaciones continuas de una
organización en caso de un desastre, una interrupción o una interrupción prolongada del servicio.

Una vez que se implementa una red segura y se establecen los planes de continuidad, esos planes y documentos
deben actualizarse continuamente en función de las necesidades cambiantes de la organización.

Seguridad de operaciones

La seguridad de las operaciones se ocupa de las prácticas diarias necesarias para implementar primero y luego
mantener un sistema seguro. Todas las redes son vulnerables a ataques si la planificación, implementación,
operaciones y mantenimiento de la red no se adhieren a las prácticas de seguridad operativa.

La seguridad de las operaciones comienza con el proceso de planificación e implementación de una red. Durante
estas fases, el equipo de operaciones analiza diseños, identifica riesgos y vulnerabilidades y realiza las
adaptaciones necesarias. Las tareas operativas reales comienzan después de que se configura la red e incluyen el
mantenimiento continuo del medio ambiente. Estas actividades permiten que el entorno, los sistemas y las
aplicaciones continúen ejecutándose de manera correcta y segura.

Algunas técnicas de prueba de seguridad son predominantemente manuales y otras están altamente
automatizadas. Independientemente del tipo de prueba, el personal que configura y realiza las pruebas de seguridad
debe tener un conocimiento significativo de seguridad y redes en estas áreas:

 Endurecimiento del dispositivo

 Cortafuegos

 IPS

 Sistemas operativos

 Programacion basica

 Protocolos de red, como TCP / IP

  Vulnerabilidades de la red y mitigación de riesgos

Prueba y evaluación de la seguridad de la red

La eficacia de una solución de seguridad de operaciones se puede probar sin esperar a que se produzca una
amenaza real. Las pruebas de seguridad de la red lo hacen posible. Las pruebas de seguridad de la red se realizan
en una red para garantizar que todas las implementaciones de seguridad funcionen como se esperaba. Por lo
general, las pruebas de seguridad de la red se llevan a cabo durante la implementación y las etapas operativas,
después de que el sistema se ha desarrollado, instalado e integrado.

Las pruebas de seguridad proporcionan información sobre diversas tareas administrativas, como el análisis de
riesgos y la planificación de contingencias. Es importante documentar los resultados de las pruebas de seguridad y
ponerlos a disposición del personal involucrado en otras áreas de TI.

Durante la etapa de implementación, se realizan pruebas de seguridad en partes específicas de la red. Una vez que
una red está completamente integrada y operativa, se realiza una prueba y evaluación de seguridad (ST&E). Un
ST&E es un examen de las medidas de protección que se colocan en una red operativa. La figura describe los
objetivos de ST&E.

Las pruebas deben repetirse periódicamente y siempre que se realice un cambio en el sistema. Para los sistemas de
seguridad que protegen la información crítica o protegen los hosts que están expuestos a amenazas constantes, las
pruebas de seguridad deben realizarse con más frecuencia.

Tipos de pruebas de red

Una vez que una red esté operativa, compruebe su estado de seguridad. Se pueden realizar muchas pruebas de
seguridad para evaluar el estado operativo de la red:

 Pruebas de  penetración: las pruebas de penetración de la red o las pruebas de penetración simulan
ataques de fuentes maliciosas. El objetivo es determinar la viabilidad de un ataque y las posibles
consecuencias si ocurriera.

 Escaneo de red:  incluye software que puede hacer ping a las computadoras, escanear en busca de
puertos TCP de escucha y mostrar qué tipos de recursos están disponibles en la red. Algunos programas de
escaneo también pueden detectar nombres de usuarios, grupos y recursos compartidos. Los administradores
de red pueden utilizar esta información para fortalecer sus redes.

 Escaneo de vulnerabilidades:  incluye software que puede detectar posibles debilidades en los sistemas
probados. Estas debilidades pueden incluir configuración incorrecta, contraseñas en blanco o
predeterminadas, o posibles objetivos de ataques DoS. Algunos programas permiten a los administradores
intentar bloquear el sistema a través de la vulnerabilidad identificada.

 Craqueo de contraseñas:  incluye software que se utiliza para probar y detectar contraseñas débiles que
deben cambiarse. Las políticas de contraseñas deben incluir pautas para evitar contraseñas débiles.

 Revisión de registros: los  administradores del sistema deben revisar los registros de seguridad para
identificar posibles amenazas a la seguridad. La actividad anormal debe investigarse utilizando un software de
filtrado para escanear archivos de registro extensos.

 Verificadores de integridad:  un sistema de verificación de integridad detecta e informa sobre cambios en

el sistema. La mayor parte del seguimiento se centra en el sistema de archivos. Sin embargo, algunos
sistemas de verificación pueden informar sobre las actividades de inicio y cierre de sesión.
  Detección de  virus: el software de detección de virus se puede utilizar para identificar y eliminar virus
informáticos y otro malware.

Nota : Otras pruebas, incluidas Wardialing y Wardriving, se consideran heredadas, pero aún deben tenerse en
cuenta en las pruebas de red.

Aplicación de los resultados de la prueba de red

Los resultados de las pruebas de seguridad de la red se pueden utilizar de varias formas:

 Definir actividades de mitigación para abordar las vulnerabilidades identificadas.

 Como punto de referencia para rastrear el progreso de una organización en el cumplimiento de los
requisitos de seguridad.

 Evaluar el estado de implementación de los requisitos de seguridad del sistema.

 Realizar análisis de costos y beneficios para mejorar la seguridad de la red.

 Mejorar otras actividades, como evaluaciones de riesgos, certificación y autorización (C&A) y esfuerzos de
mejora del desempeño.

 Como punto de referencia para acciones correctivas

Herramientas de prueba de red

Hay muchas herramientas disponibles para probar la seguridad de sistemas y redes. Algunas de estas herramientas
son de código abierto, mientras que otras son herramientas comerciales que requieren licencia. Se pueden utilizar
varias herramientas de software para realizar pruebas de red, que incluyen:

 Nmap / Zenmap  :  descubre computadoras y servicios en una red de computadoras, creando así un mapa
de la red

 SuperScan  :  software de escaneo de puertos diseñado para detectar puertos TCP y UDP abiertos,
determinar qué servicios se están ejecutando en esos puertos y ejecutar consultas, como whois, ping,
traceroute y búsquedas de nombres de host

 SIEM (Security Information Event Management) : una tecnología utilizada en organizaciones

empresariales para proporcionar informes en tiempo real y análisis a largo plazo de eventos de seguridad.

 GFI LANguard  :  escáner de red y seguridad que detecta vulnerabilidades

 Tripwire  :  evalúa y valida las configuraciones de TI contra las políticas internas, los estándares de
cumplimiento y las mejores prácticas de seguridad

 Nessus  :  software de escaneo de vulnerabilidades, que se centra en el acceso remoto, configuraciones

incorrectas y DoS contra la pila TCP / IP

 L0phtCrack  :  aplicación de auditoría y recuperación de contraseñas

 Metasploit  :  proporciona información sobre vulnerabilidades y ayuda en las pruebas de penetración y el

desarrollo de firmas IDS
Nota : Las herramientas de prueba de red evolucionan a un ritmo rápido. La lista anterior incluye herramientas
heredadas y su intención es proporcionar un conocimiento de los diferentes tipos de herramientas disponibles.

Nmap y Zenmap

Nmap es un escáner de bajo nivel de uso común que está disponible para el público. Tiene una variedad de
características excelentes que se pueden utilizar para el reconocimiento y el mapeo de redes. La funcionalidad
básica de Nmap permite al usuario realizar varias tareas, como se muestra en la Figura 1:

 Escaneo clásico de puertos TCP y UDP  :  busca diferentes servicios en un host.

 Barrido de puertos TCP y UDP clásico  : busca el mismo servicio en varios hosts.

 Escaneos y barridos sigilosos de puertos TCP y UDP  : similares a los análisis y barridos clásicos, pero
más difíciles de detectar por el host de destino o el IPS.

 Identificación remota del sistema operativo : esto también se conoce como identificación del
sistema  operativo.

Las características avanzadas de Nmap incluyen escaneo de protocolos, conocido como escaneo de puertos de
capa 3. Esta función identifica la compatibilidad con el protocolo de capa 3 en un host. Ejemplos de protocolos que
pueden identificarse incluyen GRE y OSPF.

Si bien Nmap se puede usar para pruebas de seguridad, también se puede usar con fines maliciosos. Nmap tiene
una característica adicional que le permite usar hosts señuelo en la misma LAN que el host de destino, para
enmascarar el origen del escaneo.

Nmap no tiene funciones de capa de aplicación y se ejecuta en UNIX, Linux, Windows y OS X. Están disponibles
versiones gráficas y de consola. El programa Nmap y la GUI de Zenmap se pueden descargar de Internet.

Zenmap es la versión GUI de Nmap, como se muestra en la Figura 2.

SuperScan

SuperScan es una herramienta de escaneo de puertos de Microsoft Windows. Se ejecuta en la mayoría de las
versiones de Windows y requiere privilegios de administrador. La versión 4 de SuperScan tiene una serie de
funciones útiles:

 Velocidad de escaneo ajustable

 Soporte para rangos de IP ilimitados

 Detección de host mejorada mediante múltiples métodos ICMP

 Escaneo TCP SYN

 Escaneo UDP (dos métodos)

 Generación de informes HTML simple

 Escaneo del puerto de origen

  Resolución rápida de nombres de host

 Amplias capacidades de captura de pancartas

 Base de datos de descripción de lista de puertos integrada masiva

 Aleatorización del orden de escaneo de IP y puertos

 Una selección de herramientas útiles, como ping, traceroute y whois

 Amplia capacidad de enumeración de hosts de Windows

Nota : Si bien el Service Pack 2 para Windows XP aumentó el aspecto de seguridad de esta herramienta al eliminar
ciertas funciones, algunas funciones se pueden restaurar ingresando el comando net stop Shared Access en el
símbolo del sistema de Windows.

Herramientas, como Nmapy SuperScan, pueden proporcionar pruebas de penetración efectivas en una red y
determinar las vulnerabilidades de la red mientras ayuda a anticipar posibles mecanismos de ataque. Sin embargo,
las pruebas de red no pueden preparar a un administrador de red para cada problema de seguridad.

SIEM

La gestión de eventos de información de seguridad (SIEM) es una tecnología utilizada en organizaciones

empresariales para proporcionar informes en tiempo real y análisis a largo plazo de eventos de seguridad. SIEM
evolucionó a partir de dos productos previamente separados: Security Information Management (SIM) y Security
Event Management (SEM). SIEM se puede implementar como software, integrado con Cisco Identity Services
Engine (ISE) o como un servicio administrado.

SIEM combina las funciones esenciales de SIM y SEM para proporcionar:

 Análisis forense : la capacidad de buscar registros y registros de eventos de fuentes en toda la

organización proporciona información más completa para el análisis forense.

 Correlación : examina registros y eventos de distintos sistemas o aplicaciones, lo que acelera la detección
y la reacción a las amenazas de seguridad.

 Agregación : la agregación reduce el volumen de datos de eventos al consolidar registros de eventos

duplicados.

 Retención : los informes presentan los datos de eventos correlacionados y agregados en un monitoreo en
tiempo real y resúmenes a largo plazo.

SIEM proporciona detalles sobre el origen de la actividad sospechosa, que incluyen:

 Información del usuario (nombre, estado de autenticación, ubicación, grupo de autorización, estado de
cuarentena)

 Información del dispositivo (fabricante, modelo, versión del sistema operativo, dirección MAC, método de
conexión de red, ubicación)

 Información de postura (cumplimiento del dispositivo con la política de seguridad corporativa, versión
antivirus, parches del sistema operativo, cumplimiento de la política de administración de dispositivos móviles)
Con esta información, los ingenieros de seguridad de la red pueden evaluar de manera rápida y precisa la
importancia de cualquier evento de seguridad y responder las preguntas críticas:

 ¿Quién está asociado con este evento?

 ¿Es un usuario importante con acceso a propiedad intelectual o información sensible?

 ¿Está autorizado el usuario a acceder a ese recurso?

 ¿Tiene el usuario acceso a otros recursos sensibles?

 ¿Qué tipo de dispositivo se está utilizando?

 ¿Este evento representa un posible problema de cumplimiento?

Haga clic en Reproducir en la figura para ver un video sobre cómo Cisco ISE integra SIEM con Threat-Defense (TD).

Haga clic aquí para leer la transcripción de este video.

Ciclo de vida seguro de la red

El ciclo de vida de la red segura es un proceso de evaluación y reevaluación de los equipos y las necesidades de
seguridad a medida que cambia la red. Un aspecto importante de esta evaluación continua es comprender qué
activos debe proteger una organización, incluso cuando esos activos están cambiando.

Determine cuáles son los activos de una organización haciendo preguntas:

 ¿Qué tiene la organización que otros quieren?

 ¿Qué procesos, datos o sistemas de información son críticos para la organización?

 ¿Qué impediría que la organización hiciera negocios o cumpliera su misión?

Las respuestas pueden identificar activos como bases de datos críticas, aplicaciones vitales, información importante
de clientes y empleados, información comercial clasificada, unidades compartidas, servidores de correo electrónico y
servidores web.

Los sistemas de seguridad de red ayudan a proteger estos activos, pero un sistema de seguridad por sí solo no
puede evitar que los activos sean vulnerables a las amenazas. Los sistemas de seguridad técnicos, administrativos y
físicos pueden ser derrotados si la comunidad de usuarios finales no se adhiere a las políticas y procedimientos de
seguridad.

Politica de seguridad

Una política de seguridad es un conjunto de objetivos de seguridad para una empresa, reglas de comportamiento
para usuarios y administradores y requisitos del sistema. Estos objetivos, reglas y requisitos garantizan
colectivamente la seguridad de una red, los datos y los sistemas informáticos de una organización. Al igual que un
plan de continuidad, una política de seguridad es un documento en constante evolución basado en los cambios en la
tecnología, el negocio y los requisitos de los empleados.

Una política de seguridad integral realiza varias tareas:

  Demuestra el compromiso de una organización con la seguridad.

 Establece las reglas para el comportamiento esperado.

 Garantiza la coherencia en las operaciones del sistema, la adquisición y el uso y el mantenimiento de

software y hardware.

 Define las consecuencias legales de las violaciones.

 Le da al personal de seguridad el respaldo de la administración.

Las políticas de seguridad se utilizan para informar a los usuarios, el personal y los gerentes de los requisitos de una
organización para proteger la tecnología y los activos de información. Una política de seguridad también especifica
los mecanismos que se necesitan para cumplir con los requisitos de seguridad y proporciona una línea de base
desde la cual adquirir, configurar y auditar sistemas y redes informáticos para el cumplimiento.

Como se muestra en la figura, una política de seguridad puede incluir lo siguiente:

 Políticas de identificación y autenticación  : especifica las personas autorizadas que pueden tener
acceso a los recursos de la red y describe los procedimientos de verificación.

 Políticas de contraseñas  : garantiza que las contraseñas cumplan los requisitos mínimos y se cambien
con regularidad.

 Políticas de uso aceptable  : identifica los recursos y usos de la red que son aceptables para la
organización. También puede identificar ramificaciones si se viola esta política.

 Políticas de acceso remoto  : identifica cómo los usuarios remotos pueden acceder a una red y qué es
accesible a través de la conectividad remota.

 Políticas de mantenimiento de la red  : especifica los sistemas operativos de los dispositivos de red y los
procedimientos de actualización de la aplicación del usuario final.

 Políticas de manejo de incidentes  : describe cómo se manejan los incidentes de seguridad.

Uno de los componentes de la política de seguridad más común es una política de uso aceptable (AUP). Esto
también puede denominarse política de uso adecuado. Este componente define lo que los usuarios pueden y no
pueden hacer en los distintos componentes del sistema. Esto incluye el tipo de tráfico que se permite en la red. La
PUA debe ser lo más explícita posible para evitar malentendidos. Por ejemplo, una PUA puede enumerar sitios web
específicos, grupos de noticias o aplicaciones de uso intensivo de ancho de banda a las que tienen prohibido
acceder las computadoras de la empresa o desde la red de la empresa.

Público de la política de seguridad

La audiencia de la política de seguridad es cualquier persona que tenga acceso a la red, como se muestra en la
figura. La audiencia interna incluye personal diverso, como gerentes y ejecutivos, departamentos y unidades de
negocio, personal técnico y empleados. La audiencia externa también es un grupo variado que incluye socios,
clientes, proveedores, consultores y contratistas. Es probable que un documento no satisfaga las necesidades de
toda la audiencia de una gran organización. El objetivo es garantizar que los diversos documentos de políticas de
seguridad de la información sean coherentes con las necesidades de la audiencia destinataria.

La audiencia determina el contenido de la política. Por ejemplo, probablemente no sea necesario incluir una
descripción de por qué se requiere algo en una política destinada al personal técnico. Se puede suponer que el
personal técnico ya sabe por qué se incluye un requisito en particular. Es poco probable que los gerentes estén
interesados en los aspectos técnicos de por qué se necesita un requisito en particular. En cambio, quieren una
descripción general de alto nivel o los principios que respaldan el requisito. Los empleados suelen necesitar más
información sobre por qué son necesarias determinadas reglas de seguridad. Si comprenden las razones de las
reglas, es más probable que las cumplan.

Jerarquía de políticas de seguridad

La mayoría de las empresas utilizan un conjunto de documentos de políticas para satisfacer sus diversas
necesidades. Estos documentos a menudo se dividen en una estructura jerárquica, como se muestra en la figura:

 Política rectora  : tratamiento de alto nivel de las pautas de seguridad que son importantes para toda la
empresa. Los gerentes y el personal técnico son la audiencia destinataria. La política que rige controla todas
las interacciones relacionadas con la seguridad entre las unidades de negocio y los departamentos de apoyo
de la empresa.

 Política técnica  : utilizada por los miembros del personal de seguridad cuando llevan a cabo
responsabilidades de seguridad para el sistema. Estas políticas son más detalladas que la política que rige y
son específicas del sistema o de un problema específico. Por ejemplo, los problemas de control de acceso y
seguridad física se describen en una política técnica.

 Política de usuario final  : cubre todos los temas de seguridad que son importantes para los usuarios
finales. Los usuarios finales pueden incluir empleados, clientes y cualquier otro usuario individual de la red.

Política de gobierno

La política de gobierno describe los objetivos generales de seguridad de la empresa para los gerentes y el personal
técnico. Cubre todas las interacciones relacionadas con la seguridad entre las unidades de negocio y los
departamentos de apoyo de la empresa.

La política que rige se alinea estrechamente con las políticas existentes de la empresa y se coloca al mismo nivel de
importancia que estas otras políticas. Esto incluye políticas de recursos humanos y otras políticas que mencionan
problemas relacionados con la seguridad, como el correo electrónico, el uso de computadoras o temas relacionados
con la TI.

Una política de gobierno incluye varias áreas:

 Declaración del problema que aborda la política

 Cómo se aplica la política en el medio ambiente

 Funciones y responsabilidades de los afectados por la política

 Acciones, actividades y procesos que están permitidos (y no permitidos)

 Consecuencias del incumplimiento

Políticas técnicas

Las políticas técnicas son documentos detallados que utiliza el personal técnico cuando realiza sus
responsabilidades diarias de seguridad. Básicamente, son manuales de seguridad que describen lo que hace el
personal técnico, pero no cómo realizan las funciones.

Las políticas técnicas se desglosan en componentes técnicos específicos, que incluyen:

  Políticas generales  : incluye la AUP, la política de solicitud de acceso a la cuenta, la política de evaluación
de adquisiciones, la política de auditoría, la política de confidencialidad de la información, la política de
evaluación de riesgos y la política global del servidor web.

 Política de telefonía  : define la política para el uso de las líneas telefónicas y de FAX de la empresa.

 Política de correo electrónico y comunicaciones  : incluye una política de correo electrónico genérica y
una política de correo electrónico reenviado automáticamente.

 Política de acceso remoto  : incluye una política de VPN y puede incluir una política de acceso telefónico
si la organización aún la admite.

 Política de red  : incluye una política de extranet, requisitos mínimos para la política de acceso a la red,
estándares de acceso a la red, política de seguridad de enrutadores y conmutadores y política de seguridad
del servidor.

 Política de aplicación  : incluye una política de cifrado aceptable, una política de proveedor de servicios de
aplicación (ASP), una política de codificación de credenciales de base de datos, una política de
comunicaciones entre procesos, una política de seguridad del proyecto y una política de protección del código
fuente.

También puede incluir una Política de comunicación inalámbrica que define los estándares para los sistemas
inalámbricos que se utilizan para conectarse a la red.

Políticas de usuario final

Las políticas de usuario final cubren todas las reglas relacionadas con la seguridad de la información que los
usuarios finales deben conocer y seguir. Estas políticas generalmente se agrupan en un solo documento para
facilitar su uso. Las políticas del usuario final pueden superponerse con las políticas técnicas, pero también pueden
incluir:

 Política de identidad  : define reglas y prácticas para proteger la red de la organización del acceso no
autorizado. Estas prácticas ayudan a reducir la posibilidad de que la información de identidad llegue a las
manos equivocadas.

 Política de contraseñas  : las contraseñas son un aspecto importante de la seguridad informática. Una

política de contraseñas define las reglas que todos los usuarios deben seguir al crear y proteger sus
contraseñas.

 Política antivirus  : esta política define estándares para proteger la red de una organización de cualquier
amenaza relacionada con virus, gusanos o caballos de Troya.

Varios grupos objetivo diferentes requieren políticas de usuario final, como se muestra en la figura. Es posible que
cada grupo tenga que aceptar una política de usuario final diferente. Por ejemplo, la política de usuario final de un
empleado probablemente sería diferente de la política de usuario final de un cliente.

Documentos de política de seguridad

Los documentos de política de seguridad son documentos de descripción general de alto nivel. El personal de
seguridad utiliza documentos detallados para implementar las políticas de seguridad. Estos incluyen los documentos
de normas, directrices y procedimientos.
Los estándares, pautas y procedimientos contienen los detalles reales definidos en las políticas. Cada documento
tiene una función diferente, cubre diferentes especificaciones y se dirige a una audiencia diferente. La separación de
estos documentos facilita su actualización y mantenimiento.

Documentos de normas

Los estándares ayudan al personal de TI a mantener la coherencia en las operaciones de la red. Los documentos de
estándares incluyen las tecnologías que se requieren para usos específicos, requisitos de versiones de hardware y
software, requisitos del programa y cualquier otro criterio organizacional que deba seguirse. Esto ayuda al personal
de TI a mejorar la eficiencia y la simplicidad en el diseño, el mantenimiento y la resolución de problemas.

Uno de los principios de seguridad más importantes es la coherencia. Por esta razón, es necesario que las
organizaciones establezcan estándares. Cada organización desarrolla estándares para respaldar su entorno
operativo único. Por ejemplo, si una organización admite 100 enrutadores, es importante que los 100 enrutadores
estén configurados utilizando los estándares establecidos. Los estándares de configuración de dispositivos se
definen en la sección técnica de la política de seguridad de una organización.

Documentos de orientación

Las pautas son una lista de sugerencias sobre cómo hacer las cosas de manera más eficiente y segura. Son
similares a los estándares, pero son más flexibles y no suelen ser obligatorios. Las pautas se pueden utilizar para
definir cómo se desarrollan los estándares y garantizar el cumplimiento de las políticas de seguridad generales.

Algunas de las pautas más útiles se encuentran en los repositorios organizacionales llamados Mejores
prácticas. Además de las mejores prácticas definidas por una organización, las pautas también están disponibles en:

 Centro de recursos de seguridad informática del Instituto Nacional de Estándares y Tecnología (NIST)
(Figura 1)

 Guías de configuración de seguridad de la Agencia de Seguridad Nacional (NSA) (Figura 2)

 El estándar Common Criteria (Figura 3)

Documentos de procedimiento

Los documentos de procedimiento son más largos y detallados que los estándares y pautas. Los documentos de
procedimiento incluyen detalles de implementación que generalmente contienen instrucciones y gráficos paso a
paso.

La figura muestra un ejemplo de un manual de procedimientos de vuelo que contiene las instrucciones paso a paso
que los pilotos deben seguir antes del despegue. De manera similar, un técnico de red se referiría al procedimiento
aceptado de la organización para implementar de forma segura un nuevo conmutador de Capa 2 en la
infraestructura de red.

Las grandes organizaciones deben utilizar documentos de procedimiento para mantener la coherencia de la
implementación que es necesaria para un entorno seguro.

Estructura organizativa de informes

Todas las personas de una organización, desde el director ejecutivo (CEO) hasta las contrataciones más recientes,
se consideran usuarios finales de la red y deben cumplir con la política de seguridad de la organización. El desarrollo
y mantenimiento de la política de seguridad se delega en roles específicos dentro del departamento de TI.
Siempre se debe consultar a la administración de nivel ejecutivo durante la creación de la política de seguridad para
garantizar que la política sea integral, cohesiva y legalmente vinculante. Las organizaciones más pequeñas pueden
tener un solo puesto ejecutivo que supervisa todos los aspectos de la operación, incluidas las operaciones de
red. Las organizaciones más grandes pueden dividir la tarea ejecutiva en varias posiciones. La estructura
empresarial y de informes de una organización depende del tamaño y la industria de la organización.

Títulos ejecutivos comunes

Algunos de los títulos ejecutivos más comunes incluyen:

 Director ejecutivo (CEO)  : responsable en última instancia del éxito de una organización. Todos los
puestos ejecutivos dependen del CEO.

 Director de tecnología (CTO)  : identifica y evalúa nuevas tecnologías. Dirige cualquier desarrollo de

nueva tecnología. Responsable de mantener y mejorar los sistemas existentes. Proporciona liderazgo con
respecto a todos los problemas relacionados con la tecnología que respaldan las operaciones. El CTO es
responsable de la infraestructura tecnológica.

 Director de información (CIO)  : responsable de todos los sistemas informáticos y de TI que respaldan los
objetivos empresariales. Dirige el despliegue exitoso de nuevas tecnologías y procesos de trabajo. En
organizaciones pequeñas y medianas, este rol a menudo se combina con el CTO. El CIO proporciona
liderazgo cuando se desarrollan procesos y prácticas que respaldan el flujo de información.

 Director de seguridad (CSO)  : desarrolla, implementa y administra la estrategia y los programas de

seguridad de la organización. Proporciona liderazgo para el desarrollo de cualquier proceso asociado con la
operación comercial, incluida la protección de la propiedad intelectual. El CSO debe limitar la exposición a la
responsabilidad en todas las áreas de riesgo financiero, físico y personal.

 Director de seguridad de la información (CISO)  : el CISO tiene un enfoque específico en la seguridad de

TI. El CISO es responsable de desarrollar e implementar la política de seguridad. El CISO puede ser el autor
principal de la política de seguridad o proporcionar liderazgo a otros autores. En cualquier caso, el CISO es
responsable del contenido de la política de seguridad.

Programa de concientización sobre seguridad

La seguridad técnica, administrativa y física se viola fácilmente si la comunidad de usuarios finales no cumple
intencionalmente las políticas de seguridad. Para ayudar a garantizar el cumplimiento de la política de seguridad, se
debe implementar un programa de concienciación sobre seguridad. El liderazgo debe desarrollar un programa que
mantenga a todos al tanto de los problemas de seguridad y eduque al personal sobre cómo trabajar juntos para
mantener la seguridad de sus datos.

Un programa de concientización sobre seguridad refleja las necesidades comerciales de una organización
atemperada por riesgos conocidos. Informa a los usuarios de sus responsabilidades de seguridad de TI y explica las
reglas de comportamiento para usar los sistemas de TI y los datos dentro de una empresa. Este programa debe
explicar todas las políticas y procedimientos de seguridad de TI. Un programa de concientización sobre seguridad es
crucial para el éxito financiero de cualquier organización. Difunde la información que todos los usuarios finales
necesitan para realizar negocios de manera efectiva de una manera que protege a la organización de la pérdida de
capital intelectual, datos críticos e incluso equipos físicos. El programa de concientización sobre seguridad también
detalla las sanciones que la organización impone por incumplimiento. Esta parte del programa debe ser parte de
todas las orientaciones para nuevos empleados.

Un programa de concientización sobre seguridad generalmente tiene dos componentes principales:

 Campañas de sensibilización
  Entrenamiento y educación

Campañas de sensibilización

Las campañas de sensibilización suelen estar dirigidas a todos los niveles de la organización, incluidos los puestos
ejecutivos. Los esfuerzos de concienciación sobre la seguridad están diseñados para cambiar el comportamiento o
reforzar las buenas prácticas de seguridad. La conciencia se define en la Publicación especial 800-16 del NIST:

“La conciencia no es entrenamiento. El propósito de las presentaciones de sensibilización es simplemente centrar la

atención en la seguridad.  Las presentaciones de sensibilización están destinadas a permitir que las personas
reconozcan las preocupaciones de seguridad de TI y respondan en consecuencia. En las actividades de
sensibilización, el alumno es el destinatario de la información ... La sensibilización se basa en llegar a un público
amplio con técnicas de empaquetado atractivas ".

Un ejemplo de un tema para una sesión de sensibilización, o material de sensibilización que se distribuirá, es la
protección contra virus. El tema se puede abordar brevemente describiendo qué es un virus, qué puede suceder si
un virus infecta el sistema de un usuario, qué debe hacer el usuario para proteger el sistema y qué hacen los
usuarios si descubren un virus.

Existen varios métodos para aumentar la conciencia de seguridad:

 Conferencias, videos

 Carteles, artículos de boletines y boletines

 Premios a las buenas prácticas de seguridad

 Recordatorios, como pancartas de inicio de sesión, alfombrillas para mouse, tazas de café y blocs de notas

Curso de formación en seguridad

La capacitación se esfuerza por enseñar las habilidades de seguridad necesarias a los usuarios finales que pueden
o no ser miembros del personal de TI. La diferencia más significativa entre formación y concienciación es que la
formación enseña habilidades que permiten a una persona realizar una tarea específica, mientras que las campañas
de concienciación simplemente centran la atención de una persona en cuestiones de seguridad. Las habilidades que
los usuarios adquieren durante la capacitación se basan en la información aprendida en las campañas de
concienciación sobre seguridad. Seguir una campaña de concientización sobre seguridad con capacitación dirigida a
audiencias específicas ayuda a consolidar la información y las habilidades impartidas. Un plan de estudios de
capacitación no necesariamente conduce a un título formal de una institución de educación superior, pero puede
contener gran parte del mismo material que se encuentra en un curso que un colegio o universidad incluye en un
certificado o programa de grado.

Un ejemplo de un curso de capacitación para personal que no es de TI es uno que aborda las prácticas de seguridad
apropiadas específicas para aquellas aplicaciones que el usuario final debe usar, como las aplicaciones de bases de
datos. Un ejemplo de capacitación para el personal de TI es un curso de seguridad de TI que aborda, en detalle, los
controles administrativos, operativos y técnicos que deben implementarse.

Un curso de formación en seguridad eficaz requiere una planificación, implementación, mantenimiento y evaluación
periódica adecuados. El ciclo de vida de un curso de formación en seguridad incluye varios pasos:

Paso 1. Identificar el alcance, las metas y los objetivos del curso: el alcance del curso proporciona capacitación a
todo tipo de personas que interactúan con los sistemas de TI. Debido a que los usuarios necesitan capacitación que
se relacione directamente con el uso de sistemas particulares, es necesario complementar un gran programa para
toda la organización con cursos más específicos del sistema.
Paso 2. Identificar y educar al personal de capacitación : es importante que los capacitadores tengan un
conocimiento suficiente de las cuestiones, los principios y las técnicas de seguridad informática. También es vital
que sepan cómo comunicar información e ideas de manera eficaz.

Paso 3. Identificar las audiencias objetivo : no todo el mundo necesita el mismo grado o tipo de información de
seguridad informática para realizar un trabajo asignado. Los cursos de capacitación en seguridad que presentan solo
la información que necesita la audiencia en particular y omiten información irrelevante tienen los mejores resultados.

Paso 4. Motivar a la dirección y los empleados : considere el uso de técnicas de motivación para mostrar a la
dirección y los empleados cómo su participación en un curso de formación beneficia a la organización.

Paso 5. Administrar los cursos : las consideraciones importantes para administrar el curso incluyen la selección de
métodos de capacitación, temas, materiales y técnicas de presentación adecuados.

Paso 6. Mantenga los cursos : manténgase informado de los cambios en la tecnología informática y los requisitos
de seguridad. Los cursos de formación que satisfacen las necesidades de una organización en la actualidad pueden
volverse ineficaces cuando la organización comienza a utilizar una nueva aplicación o cambia su entorno, como la
implementación de VoIP.

Paso 7. Evaluar la efectividad del curso : una evaluación busca determinar cuánta información se retiene, hasta
qué punto se están siguiendo los procedimientos de seguridad informática y la actitud general hacia la seguridad
informática.

Programa educativo

La educación integra todas las habilidades y competencias de seguridad de las diversas especialidades funcionales
en un cuerpo común de conocimientos. Agrega un estudio multidisciplinario de conceptos, problemas y principios,
tanto tecnológicos como sociales, y se esfuerza por producir profesionales de seguridad de TI capaces de
habilidades de pensamiento crítico y respuestas proactivas. Un ejemplo de un programa educativo es un programa
de grado en un colegio o universidad.

A diferencia de un programa de grado, algunas personas pueden optar por tomar uno o varios cursos para mejorar
sus habilidades en una disciplina de formación específica. Muchos colegios y universidades ofrecen programas de
certificación, en los que un estudiante puede tomar dos o más clases en una disciplina relacionada y recibir un
certificado al finalizar. A menudo, estos programas de certificación se llevan a cabo como un esfuerzo conjunto entre
las escuelas y los proveedores de software o hardware. Estos programas son más característicos de la formación
que de la educación.

Los responsables de la formación en seguridad deben evaluar ambos tipos de programas y decidir cuál aborda
mejor las necesidades identificadas.

Un programa de concientización sobre seguridad implementado con éxito reduce de manera medible las acciones no
autorizadas por parte de personas con información privilegiada, aumenta la efectividad de los controles existentes y
ayuda a combatir el desperdicio, el fraude y el abuso de los recursos de los sistemas de información.

Motivo, oportunidad y medios

Existen leyes y códigos de ética que permiten a las organizaciones e individuos un medio para recuperar los activos
perdidos y prevenir delitos. Los diferentes países tienen diferentes estándares legales. La mayoría de los tribunales
de todo el mundo requieren que se establezca el motivo, la oportunidad y los medios antes de que se pueda
enjuiciar a una persona.

Motive responde a la pregunta de por qué una persona cometió el acto ilegal. A medida que se investiga un delito, es
importante comenzar con las personas que podrían haber estado motivadas para cometer el delito. Por ejemplo, los
empleados que creen que se les pasó por alto por error para avanzar pueden sentirse motivados a vender datos
confidenciales de la empresa a un competidor. Habiendo identificado a los posibles sospechosos, lo siguiente a
considerar es si los sospechosos tuvieron la oportunidad de cometer el crimen.
Opportunity responde a la pregunta de cuándo y dónde la persona cometió el delito. Por ejemplo, si se puede
establecer que tres de los sospechosos estaban participando en una boda en el momento de la violación de
seguridad, podrían haber estado motivados, pero no tuvieron la oportunidad porque estaban ocupados haciendo otra
cosa.

Means responde a la pregunta de cómo la persona cometió el delito. No tiene sentido acusar a alguien que no tiene
el conocimiento, las habilidades o el acceso para cometer el crimen.

Establecer el motivo, la oportunidad y los medios es un estándar para encontrar y enjuiciar a personas de todo tipo
de delitos. En los delitos informáticos, es bastante fácil manipular y encubrir pruebas debido a la complejidad de los
sistemas informáticos, la accesibilidad global a través de Internet y el conocimiento de muchos atacantes. Por esta
razón, es necesario contar con protocolos estrictos para las brechas de seguridad. Estas políticas deben describirse
en la política de seguridad de una organización.

Recolectando datos

Los datos informáticos son datos virtuales, lo que significa que rara vez hay representaciones físicas y tangibles. Por
esta razón, los datos se pueden dañar o modificar fácilmente. Cuando se trabaja con datos informáticos como parte
de un caso forense, se debe mantener la integridad de los datos si se van a utilizar como prueba en un tribunal de
justicia. Por ejemplo, cambiar un solo bit de datos puede cambiar una marca de tiempo del 2 de agosto de 2001 al 3
de agosto de 2001. Un perpetrador puede ajustar fácilmente los datos para establecer una coartada falsa. Por lo
tanto, se requieren procedimientos estrictos para garantizar la integridad de los datos forenses recuperados como
parte de una investigación. Algunos de los procedimientos que deben establecerse son la recopilación adecuada de
datos, la cadena de custodia de los datos, el almacenamiento de datos y las copias de seguridad de los datos.

El proceso de recopilación de datos debe realizarse de forma precisa y rápida. Cuando ocurre una brecha de
seguridad, es necesario aislar el sistema infectado de inmediato. Los sistemas no deben apagarse o reiniciarse
antes de que la memoria se descargue en un archivo porque el sistema vacía la memoria cada vez que se apaga un
dispositivo. Además, se debe tomar una imagen del disco antes de trabajar con datos en el disco duro. Por lo
general, se realizan varias copias del disco duro después de apagar el dispositivo para establecer copias
maestras. Estas copias maestras generalmente se guardan en una caja fuerte y los investigadores usan copias de
trabajo tanto para la acusación como para la defensa. Los investigadores pueden determinar si se ha producido una
manipulación de datos comparando copias de trabajo con la copia maestra que se ha protegido y no se ha
modificado desde el comienzo de la investigación.

Después de recopilar los datos, pero antes de desconectar el equipo, es necesario fotografiar el equipo en su
lugar. Toda la evidencia debe manejarse mientras se mantiene una cadena de custodia adecuada, lo que significa
que solo aquellas personas con autorización tienen acceso a la evidencia, y todo el acceso está documentado.

Si se establecen y siguen los protocolos de seguridad, las organizaciones pueden minimizar las pérdidas y los daños
resultantes de los ataques.

Capítulo 11: Gestión de una red segura

La mitigación de los ataques a la red requiere un enfoque integral de extremo a extremo que incluye la creación y el
mantenimiento de políticas de seguridad basadas en las necesidades de seguridad de una organización. El primer
paso para establecer las necesidades de seguridad de una organización es identificar las posibles amenazas y
realizar un análisis de riesgos.

Las pruebas de seguridad de la red son un proceso crítico para mantener una red segura. Nmap y SuperScan son
dos herramientas útiles para las pruebas de seguridad de la red. Las pruebas incluyen escaneo de red, escaneo de
vulnerabilidades, descifrado de contraseñas, revisión de registros, verificación de integridad, detección de virus,
conducción de guerra y pruebas de penetración.

La política de seguridad es un componente integral del diseño e implementación de la seguridad de la red de una
organización. Responde preguntas sobre qué activos deben protegerse y cómo protegerlos. Una política de
seguridad generalmente consta de:
  Política de gobierno

 Política técnica

 Política de usuario final

Los estándares, pautas y procedimientos contienen los detalles definidos en las políticas. La política debe establecer
las diversas funciones y responsabilidades de los profesionales de TI. Es necesario un programa de concienciación
sobre seguridad para garantizar que todos los empleados de una organización conozcan y cumplan las políticas de
seguridad. Los profesionales de la seguridad de la red deben conocer todas las leyes y la ética relacionadas con la
seguridad de la red. Los procedimientos para responder a las violaciones de seguridad se describen en una política
de seguridad.