UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informticas Ingeniera en sistemas

SEGURIDAD INFORMATICA Tema: Control y seguridad en un centro de cmputo

Autora: Doris Mara Mera Mero Curso: 7mo A Fecha: Lunes 07 de Mayo del 2012 Catedrtico: Ing. Elvis Crdenas

CONTROL Y SEGURIDAD EN UN CENTRO DE CMPUTO CENTRO DE CMPUTO Un Centro de Cmputo representa un ncleo muy importante dentro de una organizacin, y su principal objetivo es satisfacer las necesidades de informacin de una empresa de manera veraz, oportuna y en tiempo y forma. PRICIPALES FUNCIONES DE UN CENTRO DE COMPUTO Operar el sistema de computacin central y mantener el sistema disponible para los usuarios. Revisar los resultados de los procesos e incorporar acciones correctivas conforme a instrucciones de su superior inmediato. Realizar las copias de respaldo (back-up) de la informacin y procesos de cmputo que se realizan en la Direccin, conforme a parmetros preestablecidos. Marcar y/o sealizar los productos de los procesos ejecutados. Llevar registros de fallas, problemas, soluciones, acciones desarrolladas, respaldos, recuperaciones y trabajos realizados. Realizar labores de mantenimiento y limpieza de los equipos del centro de cmputo. Aplicar en forma estricta las normas de seguridad y control establecidas. Cumplir con las normas, reglamentos y procedimientos establecidos por la Direccin para el desarrollo de las funciones asignadas. SEGURIDAD EN CENTROS DE CMPUTO Seguridad es el conjunto de normas preventivas y operativas, con apoyo de procedimientos, programas, sistemas, y equipos de seguridad y proteccin, orientados a neutralizar, minimizar y controlar los efectos de actos ilcitos o situaciones de emergencia, que afecten y lesionen a las personas o los bienes de esta. La seguridad en un centro de cmputo no solo se refiere a la proteccin del hardware, sino tambin del software. Algunas medidas de seguridad de un centro de cmputo son: 1.- Impartir instrucciones a los asociados o responsables de no suministrar informacin. 2.- Revisar los planes de seguridad de la organizacin. 3.- Establecer simples y efectivos sistemas de seales. 4.- Contar con resguardo de la informacin que se maneja.

5.- Establecer contraseas para proteger informacin confidencial y privada. 6.- Evitar introducir alimentos, tales como refrescos, para impedir que puedan derramarse sobre las mquinas. 7.- No fumar. 8.- Cada equipo de cmputo debe contar con un regulador de corriente para evitar problemas o daos en caso de falla elctrica. 9.- Escanear un disquete antes de introducirlo a la computadora para as evitar infectarlas con algn virus. En los ltimos aos la seguridad en las redes de computadores se ha tornado en un asunto de primera importancia dado el incremento de prestaciones de las mismas, as como la imparable ola de ataques o violaciones a las barreras de acceso a los sistemas implementados en aquellas. Los "incidentes de seguridad" reportados continan creciendo cada vez a un ritmo ms acelerado, a la par de la masificacin del Internet y de la complejidad del software desarrollado. Efectuar un anlisis de riesgos Esto se suele mencionar en la literatura como el primer paso a realizarse cuando se plantea la seguridad en un sistema. La idea es muy sencilla: trazar todos los elementos que conforman nuestro sistema (hardware y software) y observar cuales involucran ms o menos riesgo. Esto desembocara en un plan de seguridad cuyo objetivo es disminuir el riesgo total del sistema, que se puede modelar como la suma de los riesgos de sus componentes. El riesgo de cada componente est en funcin directa a las prdidas que ocasionara el que este deje de operar, as como en funcin de cuan vulnerable es dicho componente en este momento. Mantener las cosas simples Un sistema complejo es ms difcil de asegurar y potencialmente proporciona una mayor cantidad de puertas abiertas a los atacantes. En general, es recomendable intentar dividir el problema mediante la simplificacin de la configuracin, para as identificar los puntos o rutas de control vulnerables para incrementar la seguridad. Seguridad en todos los niveles. Esto se puede expresar ms sencillamente como: no confiar el sistema a un nico mecanismo de seguridad. La informacin fluye a travs de los distintos componentes y/o capas del sistema y son muchas las instancias en las que se puede mejorar su seguridad. La

recomendacin estipula que utilicemos todas estas instancias a pesar de que en principio puedan parecer redundantes. Encriptar tanto como sea posible La encriptacin es un tema complejo pero cuya implementacin resulta cada vez ms sencilla conforme aparecen ms productos. En general, los canales de comunicacin ms vulnerables o de mayor cercana al pblico requieren una encriptacin "ms fuerte", es decir, ms difcil de descifrar por los curiosos o atacantes. Cierta informacin conlleva ms riesgo que otra, y por tanto requerir un nivel de encriptacin diferenciado. Las herramientas capaces de hacer esto son muchas, dependiendo del contexto en que nos encontremos. Por ejemplo, los sistemas DBMS ms avanzados incorporan la encriptacin como una opcin normal para los datos almacenados, generalmente bajo esquemas propietarios. La tecnologa de encriptacin de informacin destinada a pasar a travs de la red ha evolucionado bastante, hacindose popular el termino VPN para hacer referencia a canales que encriptan la informacin de un modo ms o menos transparente. La seguridad hacia el interior Algunos reportes han puesto de relieve que en una gran cantidad de casos la mayor amenaza de ataques al sistema no proviene de fuera, sino que parte desde el interior de la organizacin. Muchos ataques exitosos desde el exterior han necesitado de cierta ayuda inicial activada en el interior de la organizacin, donde por lo general nadie sospecha de este tipo de prcticas. Un caso muy comn de este tipo de ataque lo constituye el trabajador despedido o castigado que decide tomar venganza. Antes de retirarse definitivamente puede efectuar este tipo de tareas maliciosas e incluso ponerse en combinacin con un atacante externo. En ciertos casos la simple introduccin intencional de un virus puede acarrear efectos devastadores. La nica manera de reducir el riesgo en estos casos, consiste en planificar el acceso al sistema de modo tal que ningn elemento crtico dependa de una sola persona. Dicho de otro modo, para daar un sistema, no debe bastar con un nico individuo disconforme. Educar a los usuarios Una de las mayores ayudas que puede recibir un hacker que intenta infiltrarse en el sistema de una organizacin consiste en obtener informacin acerca de Este. En este sentido, las prcticas empleadas por el atacante comprenden muchas veces la

interaccin encubierta con los usuarios de la organizacin a los cuales se les extrae (sin que tomen conciencia de esto) una serie de datos tiles para el hacker. El caso ms evidente consiste en obtener como jugando" una contrasea de parte de este incauto. No confiar (totalmente) en nosotros mismos Esto puede sonar extrao, sin embargo lo nico que se quiere indicar es la necesidad de que otra persona verifique la seguridad de nuestro sistema. Como se sabe, existen empresas consultoras especializadas en auditar nuestra organizacin con este fin. Si esta ltima opcin no es posible (por ejemplo, por el costo involucrado) entonces es de rigor solicitar a otro administrador o ingeniero que verifique las medidas que hemos considerado. En sistemas y redes complejas es muy posible que una sola persona (nosotros) hayamos dejado pasar alguna puerta insegura. Mientras ms personas verifiquen nuestro trabajo, habr ms probabilidades de que ste est adecuadamente realizado. Esta es la idea que est detrs de mucho software Open Source, siendo el Kernel de Linux el caso ms conspicuo. Ejecutar solo los servicios imprescindibles. Algunas personas tienen la mana de instalar los sistemas con la mayor cantidad posible de opciones que puedan entrar en el disco duro. Los administradores de sistemas seguros deben ir exactamente en sentido inverso: en un sistema de alto riesgo es de rigor que se ejecute nicamente lo imprescindible. El ejemplo ms conocido corresponde a los servicios de red, los cuales muchas veces vienen configurados para estar activos tan pronto como se instala un sistema operativo, crendose automticamente nuevas oportunidades para los atacantes. Mantenerse al da Esta recomendacin cada vez es ms crtica. El software, pese a los esfuerzos y la propaganda, continuar teniendo errores y puertas ocultas. Y al parecer la tendencia sigue en aumento con la complejidad del mismo. Esto implica que los vendedores debern proporcionar parches o versiones mejoradas a sus clientes cada vez que se descubra alguna vulnerabilidad. Escaneos regulares Un "scanner" es un programa que intenta indagar acerca de qu servicios proporciona un computador de la red. Una vez que se conocen estos servicios, un atacante puede centrar sus ataques hacia los mismos. Establecer planes de contingencia y sistemas de respaldo.

No existe ninguna garanta de que nuestro sistema sea invulnerable. Ms all de las medidas que podamos adoptar, siempre existir la posibilidad de ser atacados. Esto nos obliga a tener presentes ciertas medidas de contingencia traducidas preferentemente en polticas de seguridad bien establecidas. En otras palabras, debemos imaginarnos sucesivamente un conjunto de escenarios de ataques exitosos. Qu hacemos si...? Sospechamos que un hacker est atacando el firewall Sospechamos que ya ha tomado control del firewall Comprobamos que ya ha tomado control del firewall Sospechamos que el servidor de base de datos ha sido alterado Descubrimos que las PCs Windows han sido infectadas con un virus

Vigilancia La vigilancia del buen funcionamiento del sistema es un asunto ms complicado de lo que parece. El problema es que los ataques frecuentemente estn disfrazados de conexiones ms o menos vlidas, y por otro lado, los sistemas de cmputo normalmente no avisan cuando son alterados, a no ser que esto se haya establecido de antemano. Los ataques generalmente tratan de aparentar que no ha ocurrido nada, a fin de conseguir hacer ms y ms modificaciones sin ser detectados y detenidos. Establecimiento de polticas Para terminar, una recomendacin que en cierto modo engloba a todas las anteriores. El establecimiento de polticas corresponde a un mecanismo que permite asegurar que la seguridad se mantenga en todas las situaciones y se deriva del "compromiso con la seguridad" de la organizacin. La idea detrs de todo esto es que nadie puede saber de antemano lo que piensa el administrador o el encargado de la seguridad sin ser informado. Muchas organizaciones no tienen esto en cuenta y se da el caso en que un gerente se limita a reunir a los empleados y decirles "no hagan nada que pueda atentar contra la seguridad de la organizacin, o sern castigados ..." El problema es que la gente normalmente no piensa en trminos de seguridad sino en trminos de cumplimiento de obligaciones y logro de resultados, y el camino ms corto no siempre es el ms seguro.

Seguridad en las instalaciones Factores que pueden influir en la determinacin y acondicionamiento del lugar: Corriente elctrica confiable Comunicacin confiable Va rpida de acceso Evitar zonas con incidencia de desastres naturales Evitar zonas propensas a disturbios sociales Cercana de Polica y Bomberos Rentas atractivas Minimizar el efecto de lluvias Evitar la proximidad de aeropuertos Evitar Interferencia electromagntica Estacionamiento Espacio adecuado para planta elctrica de respaldo Aire acondicionado Puertas y pasillos amplios Lejana de inflamables y explosivos rea para visitas rea de comida y Sanitarios No ms all de un sexto piso Preparacin del lugar de ubicacin del centro de procesamiento de datos Preparacin del plano de distribucin

Cercana del personal a recursos (consumibles, archivos, equipo,...) de uso frecuente. reas de almacenamiento/recepcin adecuadas: de consumibles (papel, cintas, disquetes), de equipo, de material de desecho Dos salidas en cada rea que contenga personal

CONTROL DE UN CENTRO DE COMPUTO El control interno que se realice a los sistemas informticos, permiten obtener diagnsticos de las diferentes dependencias, indicando riesgos y debilidades que una vez detectados nos ahorran recursos humanos, fsicos y financieros de la entidad, si son corregidos a su debido tiempo. reas de control en los centros de computo Control de entrada y salida Biblioteca de medios magnticos Operacin del equipo de procesamiento Controles ambientales y de seguridad fsica Recuperacin de desastres Reportes de mal funcionamiento Cambios de software operacional Seguridad lgica Manuales de documentacin

BIBLIOGRAFIA http://mi-libro-gratis.over-blog.com/article-politica-y-lineamientos-de-seguridaden-el-centro-de-computo--38968383.html http://chikititita.obolog.com/seguridad-centros-computo-90664 http://www.slideshare.net/softesau/control-centro-de-computo