Seguridad Informtica

La seguridad informtica, describe el

Framework bsico para el diseo de la
seguridad en las redes e introduce en
conceptos clave utilizados durante el curso.

Plan de Seguridad para Redes

Analizando Riesgos de Seguridad
Diseo de Seguridad para Recursos Fsicos
Diseo de Seguridad para Computadoras
Diseo de Seguridad para Transmisin de
Datos
Escenarios del Taller

Seguridad Informtica

Las polticas de seguridad son documentos que

explican como una organizacin implementa la
seguridad
Polticas

Las polticas son reforzadas a travs de:

Polticas
Administrativas

Polticas
Tcnicas

Polticas
Fsicas

Estndar:
Implementadas en toda la organizacin
Requeridos para todos los usuarios
Soportadas por el hardware y software

Recomendadas
Implementadas en partes especficas de la

organizacin
Opcionales para algunos usuarios

Describe como cumplir con las polticas

Detalla los pasos para apoyar la
implementacin de las polticas de serguridad

No son forzosas
Difciles de leer y encontrar
No estn actualizados
Demasiado vago o ambiguo
Demasiado restrictivo
No se pueden implementar

Crear polticas claras y concisas

Crear procedimientos simples para cada poltica
Obtener apoyo de los diferentes niveles
administrativos
Asegurarse que los usuarios encuentren y usen
las polticas
Asegurarse que las polticas no deben
interrumpir la continuidad del negocio.
Aplicar tecnologa en la medida de lo posible
para reforzar las polticas
Crear incentivos por cumplimiento

Planeamiento

Administracin

Construccin

Planea
miento

Administ
racin

Constru
ccin

Crear un equipo de diseo de

seguridad
Modelar el esquema de su
red
Crear un plan de
administracin de riesgos.

Planea
miento

Administ
racin

Constru
ccin

Crear las polticas de seguridad

y los procedimientos
Desplegar las polticas de
seguridad y los procedimientos
Disear las medidas de
seguridad
Entrenar a los administradores
y a los usuarios
Desplegar las medidas de
seguridad

Planea
miento

Administ
racin

Constru
ccin

Use un plan de control de

cambios y administracin de
configuraciones
Monitoree y administre la
seguridad
Brinde soporte diario a las
operaciones de seguridad
Optimice las polticas de
seguridad y los
procedimientos

Seguridad Informtica

Venganza
Espionaje
Publicidad
Insatisfaccin personal
Terrorismo

1.
2.
3.
4.
5.

Footprint: Ejecutan un escaneo de puertos

en el firewall.
Penetracin: Explotan un servidor web sin
parches o actualizaciones.
Elevacin de Privilegios: Crean cuentas con
privilegios administrativos.
Explotar: Desfiguran o extraen la
informacin
Ocultar: Eliminan los LOGs de auditoria.

La administracin de riesgos es el proceso de

identificar, analizar y administrar los riesgos.
Estimar el valor del
activo.
Ej. Importancia del
Web Site = Alto

Usar la data financiera

actual.
Ej. Ingresos por el
Web Site = $700, 000
por mes.

Anlisis
Cualitativo

Anlisis
Cuantitativo

Permite priorizar riesgos en la seguridad

Determina un monto adecuado para la
seguridad (costos)
Justifica los costos
Documenta todos los problemas potenciales
de seguridad y su impacto.
Crear mtricas

Pblico
Privado
Confidencial

Secreto

Tipo
Publico

Privado

Confidencial

Secreto

Ejemplo

Cul es el riesgo?

Web Site

Confianza

Comunicados de prensa

Ventas

Web sites de la intranet

Informacin propietaria

E-mail

Colaboradores

Informacin de nmina

Ingresos

Informacin de clientes

Operaciones internas

Secreto s comerciales

Propiedad intelectual

Productos en desarrollo

Planes de negocio

Seguridad Informtica

Edificios
reas seguras en las oficinas
Data links fsicos
Hardware

Ingresos no autorizados a los locales fsicos.

Ingresos no autorizados a computadoras
sensibles.
Accesos no autorizados a la red interna, fsica
o inalmbrica.
Instalacin de software o hardware de
espionaje.
Robo de computadoras.
Instalacin de troyanos o virus informticos.

Seguridad Informtica

Crear lineamientos de polticas de seguridad

para las computadoras.
2. Crear plantillas de seguridad personalizadas
que refuercen las polticas de seguridad.
3. Pruebas de las plantillas de seguridad
personalizadas.
4. Despliegue de las plantillas de seguridad
personalizadas.
1.

Seguridad Informtica

Vulnerabilidad
Configuracin de
permisos

Seguridad fsica de
datos
Corrupcin de datos

Ejemplo
Las computadoras deben ejecutar: Windows 98,
Windows XP y Windows 7, usando por defecto NTFS y
permisos compartidos.
Permisos asignados incorrectamente.
La administracin de usuarios tiene permisos
inadecuados.

Computadoras robadas.
Hardware defectuoso
Data daada por desastres

Dao o eliminacin de datos por virus

Perdida de datos por errores en hardware
Encriptacin de datos irreversible
Manipulacin directa de datos por usuarios.

Lineamientos

Determina

Ubicacin de los
almacenamientos de datos

Donde se almacenar la data en la red.

Que datos se almacenarn localmente.

Estrategia de BackUp

Como puedo realizar un backup y restore de la

informacin.
Con que frecuencia debo realizar los backup
Como aseguro los archivos de backup

Auditoria

Como auditar los accesos a datos

Como revisar los LOGs de acceso a datos

Administracin de Permisos

Como administro la data

Donde administro la data

Reemplazo de Hardware

Como uso la tecnologa de redundancia de

hardware
Con que frecuencia reemplazo el hardware.

Seguridad Informtica

En una determinada municipalidad se desea

implementar la red informtica, para lo cual se tienen
las siguientes restricciones:
Todos los usuarios deben tener acceso a internet, a las

pginas permitidas y de apoyo a su trabajo.

El alcalde como los sub-gerentes desean conectarse a la
red interna para poder realizar su trabajo debido a sus
constantes viajes
Todo el personal de planta trabaja nicamente con PCs de
escritorio, por limitantes de presupuesto.

Se desea implementar la infraestructura de red para una

tienda que desea realizar la venta de sus productos
por internet, para lo cual requiere:
Que sus clientes puedan conectarse sin problemas a sus

servidores web y poder realizar las compras deseadas.

No existen empleados que requieran conectarse desde el
exterior.
Todos los empleados trabajan con laptop dada las
constantes reuniones internas que llevan a cabo en los
diferentes pisos del establecimiento.
Las laptops asignadas a cada empleado son su entera
responsabilidad, y pueden llevrsela a su domicilio.

Se desea implementar la infraestructura de red para una

entidad financiera, la misma que tiene los siguientes
requerimientos:
El gerente y directivos de la entidad requieren trabajar

desde sus domicilios.

La entidad cuenta con 4 sucursales fsicamente distantes,
los cuales comparten informacin confidencial.
El acceso a las PCs de cada uno de los empleados debe ser
restringido y nicamente para el uso laboral.
Solo los analistas podrn acceder a paginas web
especficas.
Los accesos a las PCs y Servidores de impresin deben ser
auditables y evitar la fuga de informacin fsica.