Seguridad en las

Comunicaciones
¿Sabes qué es una red?
Una red es una interconexión entre personas, computadores, dispositivos u otros
elementos en la que se generan enlaces. Por ejemplo, las carreteras que
conectan a grupos de personas crean una red física. Las conexiones con tus
amigos crean una red personal. La sangre que viaja por las venas crea una red
circular.

Las redes de datos son infraestructuras que han sido creadas para poder
transmitir información a través del intercambio de datos. Como los sitios web
que permiten a los individuos vincularse o conectarse para compartir información
a través de sitios de redes sociales.
 Gestión de la Asegurar la protección de la
información en redes y la
protección de la
seguridad de Red infraestructura de soporte
Gestión de seguridad de las
redes
La mayoría de las organizaciones, por no decir que todas
cuentan con redes internas, en las cuales se interconectan
los dispositivos y los sistemas, y también son las encargadas
de realizar las comunicaciones con los sistemas externos. La
gestión de seguridad de las redes tiene como objetivo evitar
el acceso no autorizado, los daños e interferencias a la
información y a las instalaciones de procesamiento de
información.
 Para gestionar una red correctamente
es importante asignar responsabilidades
Primordialmente los elementos a
dentro de un equipo de gestión y seguir
gestionar dentro de una red son los
los procedimientos establecidos con el
físicos, los cuales dan soporte a la red y
fin de: a) proteger la información en
los interconectan al exterior. Por
sistemas y aplicaciones y b) mantener
ejemplo: routers, switch, etc. Además
la confidencialidad, disponibilidad y la
también se deben controlar la
integridad de datos cuando la
transmisión de los datos.
información es transferida a través de
redes públicas o redes inalámbricas.

Controles de Red
 Este monitoreo y registro de las
actividades en la red es esencial para
establecer medidas de prevención así
como correctivas. Su objetivo es detectar
Monitoreo y y corregir acciones mediante un programa
que verifica que las redes que se tienen a
Registro disposición estén libres de intrusos, así
como también busca posibles problemas
causados por la sobrecarga, por fallos en
los servidores o por problemas en la
infraestructura de la red.
Control de Acceso
El control de acceso según ISO 27001 es el resultado del proceso de otorgar a los
usuarios autorizados el derecho a acceder a un servicio o a una información, en
tanto que se impide el acceso a otros usuarios no autorizados. La red
normalmente se subdivide en diferentes redes para no sobrecargar los
dispositivos. Por ejemplo, en el caso de una empresa o de una universidad se
tienen subdivididas estas redes para que sean usadas de acuerdo con el rol que
cumpla la persona (estudiantes, administrativos, docentes, entre otros). Estas
subdivisiones de las redes también permiten controlar de manera más fácil la
transferencia de datos a través de las redes y controlar que las personas no
puedan acceder a información confidencial.
 Control de Privilegios
Este es un control fundamental para cualquier sistema de conexiones de red
que asigna un administrador basándose en si un usuario puede acceder a
información, la puede ver y el tipo de tareas que puede realizar; estas
conexiones deben estar restringidas según los privilegios asignados por la
empresa. Asimismo es importante revisar periódicamente que estos
privilegios se mantengan. Ej: Si se le da el acceso a un tercero sobre alguna
red es importante que después se le restrinja el ingreso cuando este ya no lo
necesite
Seguridad de los servicios de Red
Todos los servicios de red (mecanismos de seguridad, niveles de servicio,
requisitos de gestión) sean internos o externos (clientes, proveedores, partes
interesadas), se deben identificar e incluir en los acuerdos de servicio de la red.
Diciéndolo de otra manera, la organización o la residencia donde se use un
servicio de red debe incluir las medidas de seguridad necesarias para proteger los
servicios de la red, los cuales deben describirse y detallarse en el acuerdo de
servicios de red que establezca la organización.

Adicionalmente se deben hacer auditorías de servicios de red ya que es la única

forma de tener visibilidad sobre la disponibilidad de la misma. Así mismo es
necesario evaluar los riesgos a los que se está expuesto con estos servicios para
que sean monitoreados, pues de esto dependerá la óptima operatividad de los
sistemas de información.
 Separación en Redes
No solo se debe tener en cuenta el acceso restringido a la
red, también es indispensable tener una subdivisión de redes
en distintos dominios permite obtener mayor seguridad. Esta
separación de redes se puede aplicar en forma lógica
(Código de red) o física (Routers).
Políticas y procedimientos de
intercambio de información
Son políticas y procedimientos para proteger la información que se transmitirá
teniendo en cuenta todos estos aspectos:
 Medios de transmisión
 Redes
 Soportes informáticos
 Soportes documentales
Estas medidas de seguridad de la información se deben establecer según la naturaleza
del remitente, el destinatario y los soportes utilizados. También se debe tener en
cuenta que la transferencia de datos puede estar sujeta a requisitos legales según la
entidad.
Por otro lado, las políticas y procedimientos deben incluir requisitos para la
protección de copia, modificación, dirección incorrecta o destrucción, la cual debe
ser respaldada por políticas de uso aceptable, esta debe cubrir el manejo de archivos
adjuntos y el uso de la encriptación.
Acuerdos de intercambio de información
La información se puede transferir tanto física como digital, por lo tanto es
indispensable tener acuerdos entre las partes del intercambio, para poder
garantizar el uso que se le va a dar a la información y la protección de la misma.
Estos acuerdos deben tratar puntos importantes como lo son:

 Responsabilidad de las partes de uso, protección y custodia de la información.

 La trazabilidad de los datos.
 Cumplimiento de normas técnicas y legales.
 Requisitos de cifrado.
 Responsabilidades en la cadena de custodia.
 Controles de acceso de información.
Intercambio de información con partes
externas
Se deberían realizar los intercambios sobre la base de una política formal de
intercambio, según los acuerdos de intercambio y cumplir con la legislación
correspondiente.

Se deberían establecer procedimientos y normas para proteger la información y

los medios físicos que contienen información en tránsito.

Estudie canales de comunicaciones alternativos y "pre-autorizados", en especial

direcciones de e-mail secundarias por si fallan las primarias o el servidor de
correo, y comunicaciones offline por si caen las redes.
Una falta de control en los intercambios de información permite la
materialización de potenciales amenazas, entre otras posibles, como:

 Compromiso de información (intercepción, espionaje en remoto, ,

divulgación, datos de fuentes no fiables, ...)
 Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema
de información, mal funcionamiento del software, exposición de la
mantenibilidad del sistema de información...)
 Acciones no autorizadas (uso no autorizado de equipos, corrupción de datos,
comportamientos no autorizados, procesamiento ilegal de datos, ...)
 Compromiso de las funciones (error en el uso, abuso de privilegios,
suplantación de identidad, denegación de acciones, exposición de la
disponibilidad del personal, ...)
Mensajería Electrónica
El correo electrónico es algo que se usa en las empresas a diario, y también en
nuestra vida cotidiana ya sea para recibir algún tipo de información o enviarla, por
ello es tan indispensable aplicar los controles apropiados para mantener la
confidencialidad, disponibilidad e integridad de toda la información que se maneja
por estos medios.

Los controles que se debe aplicar a la mensajería electrónica son:

 Protección ante acceso no autorizado (mensajes encriptados)

 Asegurar el correcto direccionamiento y transporte de los mensajes
 Confiabilidad y disponibilidad del servicio
 Consideraciones legales (firmas digitales)
 Autorización para usar servicios públicos externos (mensajería instantánea, redes
sociales y compartir archivos)
 Medidas adicionales de autenticación en accesos desde redes sociales (códigos
enviados al celular)
Acuerdos de confidencialidad y no
divulgación
Estos acuerdos afectan a la información que provenga de la empresa o a la
información que provenga de terceros, por lo tanto, es indispensable que estos
acuerdos de confidencialidad estén para el personal de la empresa, los clientes e
incluso los proveedores, estos últimos aplican siempre y cuando se tenga acceso
a activos de información.

Lo más importante con estos acuerdos es que deben estar firmados antes de que
se inicie la transferencia de datos, esto debido a que si una persona divulga
información y este acuerdo no está firmado, la empresa no podrá amonestar esta
falta a quién lo realizó.
Los acuerdos que deben estar incluidos y se deben cumplir son:

 La naturaleza de la información
 La duración del acuerdo
 Los procedimientos de anulación
 Las responsabilidades y las propiedades
 El uso permitido de la información
 El derecho de auditoría
 Los procedimientos que se deberán llevar a cabo en caso de una infracción
 Cláusulas que obliguen a mantener el deber de secreto debe incluso más allá
de la relación profesional entre las dos entidades
Controles de Riesgo
13.1.1 Controles de red: Se deberían administrar y controlar las redes para
proteger la información en sistemas y aplicaciones.

13.1.2 Mecanismos de seguridad asociados a servicios en red: Se deberían

identificar e incluir en los acuerdos de servicio (SLA) los mecanismos de
seguridad, los niveles de servicio y los requisitos de administración de todos los
servicios de red, independientemente de si estos servicios se entregan de manera
interna o están externalizados.

13.1.3 Segregación de redes: Se deberían segregar las redes en función de los

grupos de servicios, usuarios y sistemas de información.
Tarea

Nombre y descripción de los tipos de redes de computadoras mas comunes

Hacer una diagrama de ejemplo de cada una