Actividad 2

Objetivo
En esta semana estudiaremos con más profundidad las
políticas de seguridad informática, el significado de un
manual de procedimientos para nuestra organización, y
diversos métodos para evaluar el valor de la información de
la misma.

POLÍTICAS GENERALES DE
SEGURIDAD

Objetivos del tema

 Conocer mecanismos de definición de políticas

de seguridad informática
 Conocer modelos para dar valor a los datos de
las organizaciones
 Aprender el concepto de "procedimiento".
 Usar los conceptos de procedimiento y checklist
para aprender a crear un manual de
procedimientos.

POLÍTICAS GENERALES DE SEGURIDAD

¿Qué son entonces las políticas de seguridad informática (PSI)?

Como hemos dicho anteriormente en repetidas ocasiones, el principio y final de

toda red es el usuario. Esto hace que las políticas de seguridad deban,
principalmente, enfocarse a los usuarios: “una política de seguridad informática
es una forma de comunicarse con los usuarios y los gerentes”. Indican a las
personas cómo actuar frente a los recursos informáticos de la empresa, y sobre
1 Curso de redes y seguridad
Actividad 2
todo, no son un conjunto de sanciones, sino más bien una descripción de aquello
valioso que deseamos proteger y por qué.

¿Cuáles son los elementos de una política de seguridad informática?

Si las decisiones tomadas en relación a la seguridad, dependen de las PSI, cada

persona debe estar en disposición de aportar lo necesario para poder llegar a
una conclusión correcta de las cosas que son importantes en la empresa y que
deben ser protegidas. Es por esto que una PSI debe tener los siguientes
elementos:

 Rango de acción de las políticas. Esto se refiere a las personas sobre las
cuales se posa la ley, así como los sistemas a los que afecta.
 Reconocimiento de la información como uno de los principales activos de
la empresa.
 Objetivo principal de la política y objetivos secundarios de la misma. Si se
hace referencia a un elemento particular, hacer una descripción de dicho
elemento.
 Responsabilidades generales de los miembros y sistemas de la empresa.
 Como la política cubre ciertos dispositivos y sistemas, estos deben tener
un mínimo nivel de seguridad. Se debe definir este umbral mínimo.
 Explicación de lo que se considera una violación y sus repercusiones ante
el no cumplimiento de las leyes.
 Responsabilidad que tienen los usuarios frente a la información a la que
tienen acceso.

2 Curso de redes y seguridad

Actividad 2
Ahora, aunque las PSI deben poseer estos elementos expuestos, también debe
llevar, implícitos en cada ítem, algunas características:

 Siempre se debe tener en cuenta cuales son las expectativas de la

organización frente a las PSI, qué es lo que espera de ellas en cuanto a
seguridad y eficacia.
 Siempre que se redacten, las PSI deben permanecer libre de tecnicismos
que dificulten su comprensión por parte de cualquier persona de la
organización.
 Cada política redactada, debe explicar por qué se toma dicha decisión y
por qué se protegen esos servicios o conocimientos particulares.
 Toda PSI debe ser vigilada por un ente, una autoridad, que la haga cumplir
y apique los correctivos necesarios. Sin embargo, no debe confundirse
una PSI con una ley, y no debe verse como tal.
 Así como las características y elementos de una empresa cambian,
también deben hacerlo las PSI, por lo que debe tenerse en cuenta, al
redactarlas, que deben establecer un esquema de actualización
constante, que dependa de las características de la organización.
 No hay nada obvio. Se debe ser explícito y concreto en cuanto a los
alcances y propuestas de seguridad. Esto evita gran cantidad de malos
entendidos, y abre el camino para el establecimiento de la política de
seguridad específica.

¿Cómo se establecen las políticas de seguridad? Recomendaciones.

Hemos revisado las características generales de las PSI y los elementos

implícitos en cada observación, pero ¿tenemos un esquema de cómo

3 Curso de redes y seguridad

Actividad 2
formularlas o establecerlas? He acá entonces varias recomendaciones de
cómo idearlas y llevarlas a cabo:

 Antes que nada, se debe hacer una evaluación de riesgos informáticos,

para valorar los elementos sobre los cuales serán aplicadas las PSI.

 Luego, deben involucrarse, en cada elemento valorado, la entidad que

maneja o posee el recurso, ya que ellos son los que tienen el conocimiento
y la experiencia manejando ese elemento particular.

 Después de valorar los elementos e involucrar al personal, debe

explicarles cuales son las ventajas de establecer PSI sobre los elementos
valorados, así como los riesgos a los cuales están expuestos y las
responsabilidades que les serán otorgadas.

 El siguiente paso es determinar quiénes son las personas que dan las
órdenes sobre los elementos valorados en la empresa. Ellos deben
conocer el proceso de las PSI, ya que sobre ellos recae la responsabilidad
de los activos críticos.

 Finalmente, deben crearse mecanismos para monitorear a los elementos

valorados, las personas involucradas y los altos mandos directores de los
elementos. Esto con el objetivo de actualizar fácilmente las PSI cuando
sea necesario.

4 Curso de redes y seguridad

Actividad 2
Proposición de una forma de realizar el análisis para llevar a cabo un
sistema de seguridad informática

Antes que nada, se crea una base de análisis para el sistema de seguridad, que
está basada en varios elementos:
- Factor humano de la empresa
- Mecanismos y procedimientos con que cuenta la empresa
- Ambiente en que se desenvuelve la organización
- Consecuencias posibles si falla la seguridad de la empresa
- Amenazas posibles de la empresa.

Luego de evaluado todo este conjunto de elementos, que conforman la base del
análisis del sistema de seguridad se procede a realizar el programa de
seguridad, El cual contiene todos los pasos a tomar para asegurar la seguridad
deseada. Luego de realizado este programa, se pasa al plan de acción, que
posee todas las acciones a llevar a cabo para implantar el programa de
seguridad. El paso siguiente es crear un manual de procedimientos y
normativas, que serán en suma la forma en la que cada

5 Curso de redes y seguridad

Actividad 2
elemento del programa debe ser aplicado en el elemento correspondiente, y las
acciones a llevar a cabo luego de violada una norma.

Mientras los programas de seguridad, plan de acción y procedimientos son

llevados a cabo, se debe ejercer un control y vigilancia de cada uno de ellos,
para asegurar su realización. Este control debe ser auditado, con el propósito de
generar los logfiles o archivos de evidencias, que pueden ser revisados en
cualquier momento para analizar la forma en la que fue llevado a cabo el control
y poder generar cualquier cambio. La auditada realizada también sirve para
generar simulaciones que permitan probar el sistema. Estas simulaciones
pasan por una revisión que da fe del desempeño de las políticas de seguridad,
y que ayuda a modificar las bases del análisis, así como el programa, plan y las
normativas de seguridad.

El establecimiento de las políticas de seguridad es un proceso dinámico.

Razones por las que las políticas de seguridad informática generalmente

no se implantan.

Aunque no todas las empresas son conscientes de los riesgos que corren al no
tener PSI en su organización, algunas gastan gran cantidad de tiempo y esfuerzo
definiéndolas, convenciendo a los altos mandos (labor extremadamente ardua,
ya que estas políticas no aumentan el rendimiento del sistema y a veces lo
vuelven más complicado), para que finalmente sean escritas y archivadas para
nunca ser usadas. ¿Qué pasa en esos casos? ¿Por qué ocurre esto?

Muchos factores concurren en la no implantación de las políticas. Uno de ellos,

ya tocado anteriormente, es el vocabulario técnico que los expertos de

6 Curso de redes y seguridad

Actividad 2
seguridad manejan. Hacen poco entendible las normas, por la que los empleados
las ignoran y siguen actuando de manera convencional.

Otro de los factores que generalmente se olvida en el establecimiento de las

políticas es algo, que aunque ajeno al conocimiento general de los expertos, es
muy importante: estrategia de mercadeo. Las políticas de seguridad deben ser
presentadas a los altos mandos, y ellos deben ver una retribución en esa
inversión, ya que si no se muestra de manera explícita y obvia, podrán pensar
que la inversión solo es un “juguete para ingenieros”. Los gerentes deben
conocer de manera clara las consecuencias de sus decisiones, lo mejor y lo peor
que puede pasar. Las políticas deben integrarse a las estrategias de negocio,
misión y visión… todo esto para que se conozca el efecto de las PSI sobre las
utilidades de la compañía. ¡MERCADEO!

Un tercer elemento es la ausencia de conexión entre las acciones diarias de los

empleados y las PSI. Estas deben ir acompañadas de una visión de negocio que
promueva las actividades diarias de los empleados, actividades donde se
identifican las necesidades y acciones que hacen existir a las políticas.

Para evitar que las políticas no sean implantadas en la compañía, se dejan

algunas recomendaciones útiles a la hora de presentarlas a los miembros de la
organización.

 Cree ejemplos donde se den fallas de seguridad que capten la atención

de las personas.
 Haga que estos ejemplos se conecten a las estrategias de la
organización
 Muestre una valoración costo-beneficio ante posibles fallas de seguridad

7 Curso de redes y seguridad

Actividad 2
  Justifique la importancia de las PSI en función de hechos y situaciones
CONCRETAS, que muestren el impacto, limitaciones y beneficios de
estas sobre los activos de la población.

Las políticas de seguridad informática como base de la administración de

la seguridad integral.

Las PSI se definen como el conjunto de lineamientos que una organización debe
seguir para garantizar la seguridad de sus sistemas, lineamientos que
constituyen un compromiso de la organización para actuar de manera apropiada
en situaciones que vulneren la seguridad de la misma. Es por esta razón que se
agrupan en el conjunto de acciones usadas por la empresa para proteger sus
activos. Sin embargo, siendo lineamientos, estas políticas no constituyen una
garantía para la seguridad de la organización.

Teniendo en cuenta estas premisas, podemos estratificar la seguridad en varios

niveles:

 Estrato de marco jurídico

 Estrato de medidas técnico-administrativas (procedimientos para la
creación de funciones, administración de la seguridad, auditoría de
sistemas de información interna…)

Esta estratificación es muy importante porque define los límites de las personas
encargadas de cada uno de los temas concernientes a la seguridad. Ambos
estratos deben ser independientes y nunca una persona encargada de un estrato
puede intervenir o administrar el otro. En cada estrato debe haber una definición
de funciones y una separación suficiente de tareas. En este caso, en el estrato
técnico - administrativo por ejemplo, pueden existir coordinadores en

8 Curso de redes y seguridad

Actividad 2
cada área funcional y geográfica de la organización, dependiendo de la
complejidad de la misma. No tiene lógica que un coordinador autorice una
transacción de información del sistema al exterior, y luego él mismo la revise.
Esto da pie a fraudes o a encubrimientos de anomalías. Deben intervenir siempre
personas diferentes en cada elemento del sistema de seguridad.

Esto es llamado “seguridad integral”: varios usuarios responsables de la política

de seguridad informática, engranados en un sistema de seguridad global de la
organización (como o es la seguridad física de las instalaciones, los planes de
contingencia ante situaciones financieras graves, etc).

Riesgos en la organización

Las entidades nunca estarán exentas de riesgos inherentes a su naturaleza.

Siempre existirá la posibilidad de que se dé una violación a la seguridad o un
error respecto a la transferencia de información. Lo ideal sería que cualquier error
que vulnere la seguridad del sistema sea suprimido, pero dichas supresiones
tienen un costo asociado. Veamos un ejemplo:

Supongamos que un usuario va a acceder a información específica de la

empresa. Una de las políticas de seguridad más usadas es la consistente en que
el usuario se identifique y se autentique su identidad (política de “login y
password”). Y ahora, supongamos que este usuario tomará la información de la
empresa para llevarlas, físicamente, a otra empresa. En este caso, se usa otra
política de seguridad basada en el cifrado o encriptado de datos (generación de
un código que “encripte” y “desencripte” la información dependiendo del usuario),
para que, si el dispositivo que contiene la información cae en otras manos, estos
no puedan ver la información. Si quisiéramos asegurarnos de que la información
es obtenida por ese usuario autorizado y solo ese usuario,

9 Curso de redes y seguridad

Actividad 2
podríamos incluir en la autenticación, medidas biométricas como la detección de
la huella digital, el iris, firma con reconocimiento automático, etc. Pero cada uno
de estos elementos, como se indicó anteriormente, posee un costo económico.

Es entonces necesario saber hasta qué nivel deseamos exponer nuestra

organización a riesgos (detectar los riesgos y tomar decisiones a partir de esta
detección), o ciertos elementos de nuestra organización a vulnerabilidades den
pro del costo económico asociado. El riesgo máximo que puede soportar la
organización es una decisión primordial para la definición de PSI, y debe
contemplar, entre muchos elementos, algunos muy comunes. Expondremos acá
algunos de estos elementos:

 Accesos indebidos a datos (generalmente a través de las redes)

 “Perdida” de dispositivos magnéticos o sólidos con información crítica de
la organización.
 Daños físicos a los elementos que guardan la información (incendios,
inundaciones, terremotos…)
 Variación o copia indebida de programas para beneficio personal o para
causar un daño.
 Los Hackers y crackers. Los primeros, acceden a los sistemas para
detectar vulnerabilidades y los segundos acceden a los sistemas para
generar estragos y daños a la organización.
 Los virus. Esta amenaza, aunque latente, es de menor importancia ahora
que antes, ya que la configuración de los sistemas actuales permite mayor
seguridad y flexibilidad en estos temas.

En definitiva, las amenazas pueden llegar a afectar los datos, las personas, los
equipos, los programas, o en un caso extremo, a todos de ellos (desastres

10 Curso de redes y seguridad

Actividad 2
naturales, por ejemplo). ¿Qué es lo más crítico que debe protegerse? Sin
dudarlo, y como respuesta inicial, las personas resultan el punto más crítico de
protección. Nada vale más que una vida humana, y la organización puede
reiniciar sus operaciones con un buen factor humano. En segundo caso, los
datos son el elemento más crítico de la organización luego de los empleados.

Ahora, aunque el umbral de riesgo es escogido por los altos mandos para la
configuración de las PSI, existen unos niveles de trabajo con la información que
no pueden ser ignorados, y que deben aplicarse en todo momento para proteger
la información. Estos niveles de ri se verán a continuación.

Niveles de trabajo con los datos.

Los niveles de datos son los siguientes:

 Confidencialidad: se refiere a la protección de la información respecto al

acceso no autorizado, sea en los elementos computarizados del sistema
o en elementos de almacenamiento.
 Integridad: Protección de la información respecto a modificaciones no
autorizadas, tanto a la almacenada en los elementos computarizados de
la organización como la usada como soporte. Estas modificaciones
pueden llevarse a cabo de manera accidental, intencional, o por errores
de hardware-software.
 Autenticidad: Garantía de que el usuario autorizado para usar un recurso
no sea suplantado por otro usuario.
 No Repudio: Al ser transferida un conjunto de datos, el receptor no puede
rechazar la transferencia, y el emisor debe poder demostrar que envió los
datos correspondientes.

11 Curso de redes y seguridad

Actividad 2
  Disponibilidad de los recursos y de la información: protección de los
elementos que poseen la información de manera que en cualquier
momento, cualquier usuario autorizado pueda acceder a ella, sin importar
el problema que ocurra.
 Consistencia: capacidad del sistema de actuar de manera constante y
consistente, sin variaciones que alteren el acceso a la información
 Control de Acceso: posibilidad de controlar los permisos a cualquier
usuario para acceder a servicios o datos de la organización
 Auditoría: capacidad para determinar todos los movimientos del sistema,
como accesos, transferencias, modificaciones, etc, en el momento en que
fueron llevados a cabo (fecha y hora).

¿En que basar la estrategia de seguridad?

Si yo como responsable de la estrategia de seguridad de mi empresa fuera a

realizarla, ¿en qué me debo basar? Afortunadamente para nosotros, existe un
procedimiento o algoritmo muy conocido y usado para dirigir las estrategias de
seguridad de una organización. Es conocido como el algoritmo “Productor/
consumidor”.

¿Qué es este algoritmo? No es más que un modelo que permite observar las
diversas vulnerabilidades de un sistema (niveles de trabajo), y a partid de ellos,
permite hacer un análisis de los posibles pasos a seguir.

El algoritmo está compuesto por 2 entidades: El productor y el consumidor. El

productor es el encargado de crear la información, y el consumidor es el
encargado de recibir y usar la información. Existe una tercera entidad llamada
“los otros”, que son aquellos que no están autorizados a recibir la información. Si
se establece una comunicación directa entre productor y consumidor, sin

12 Curso de redes y seguridad

Actividad 2
trabas, por un largo período de tiempo, diremos que hemos creado un sistema
seguro.

Existen eventos o usuarios que pueden provocar alteraciones en esta

comunicación. “El estudio de la seguridad, en pocas palabras, se basa en la
determinación, análisis y soluciones de las alteraciones del algoritmo”

Ahora, con este modelo, podemos definir 4 tipos de alteraciones principales a

este modelo, mostradas a continuación:

Hasta acá hemos usado de manera genérica el vocablo “recurso”, pero debemos
definirlo de una manera correcta para poder seguir entendiendo el algoritmo
productor/consumido (o algoritmo P-C).

Los recursos se pueden definir como todos aquellos bienes, de cualquier

índole, que permiten el correcto funcionamiento y existencia de la
organización.

13 Curso de redes y seguridad

Actividad 2
De manera que podemos definir 3 tipos de recursos:
 Físicos: compuestos por todo elemento físico que sostenga la información
de la red, como computadores, impresoras, routers, servidores, suiches,
etc.
 Lógicos: Todos aquellos recursos que contienen la información de la
organización, como bases de datos, listados, documentos, etc.
 Servicios: son principalmente programas o aplicaciones que nos permiten
realizar algún tipo de trabajo, como el correo electrónico, los procesadores
de texto, etc.

Con este término claramente definido, procedemos a explicar cada una de las
vulnerabilidades, teniendo en cuenta que cualquier acción que se lleve a cabo
para mantener estable el modelo, tiene como objetivo atacar uno de los 4 casos.

Todas las acciones correctivas que se lleven a cabo con el fin de respetar el
modelo estarán orientadas a atacar uno de los cuatro casos. Explicaremos y
daremos ejemplos de cada uno de ellos.

El caso número uno es el de Interrupción. Este caso afecta la disponibilidad del

recurso (tener en cuenta la definición de recurso: físico, lógico y servicio).

Por ejemplo:

14 Curso de redes y seguridad

Actividad 2
El segundo caso es el de Intercepción, en el cual se pone en riesgo la
privacidad de los datos.

El tercer caso, Modificación afecta directamente la integridad de los datos que

le llegan al consumidor

15 Curso de redes y seguridad

Actividad 2
El cuarto y último caso es el de la producción impropia de información. En
éste, la información que recibe el consumidor es directamente falaz.

Una vez que estamos enterados de que hay sólo cuatro posibles casos de
causas posibles de problemas, ¿Qué se hace? Hay que identificar los recursos
dentro de la organización.

Establecimiento de riesgos de los recursos de la organización

Es claro hasta ahora que el principal objetivo de una PSI es asegurar los
elementos de una organización, y que el estudio de la seguridad consiste en

16 Curso de redes y seguridad

Actividad 2
permanecer constante el algoritmo P-C. Ahora incluiremos otro elemento
importante a la hora de definir nuestras políticas, y es el concepto de valor de
riesgo.

El umbral de riesgo que puede aceptar una organización debe tener una forma
cuantificable para ser medida, que permita identificar de quien se protege el
recurso, cual es el recurso a proteger, y cómo debe protegerse. Nunca será igual
de prioritario proteger una impresora de la empresa, que la base de datos de
clientes de la misma. ¿Cómo generamos una valoración apropiada entonces de
estos elementos? Usando 2 criterios:

 Nivel de importancia del recurso. (Llamado Ri)

 Severidad de la pérdida del recurso. (Llamado Wi)

Recordemos que en unidades anteriores coincidimos en que debíamos integrar

a los dueños y administradores de los recursos en las PSI ya que ellos tenían el
conocimiento para manejarlo. Este es el caso en que ellos deben intervenir para
generar la valoración de sus elementos.

Para generar una cuantificación del riesgo asociado a los recursos de la

organización, los expertos en cuada uno de los recursos asignará un valor
numérico, entre 1 y 10 (los umbrales son subjetivos. Así como puede ser entre
1y 10, puede ser entre 1 y 20, 1 y 100, etc) a Ri y a Wi. Si e valor es de 10, es
porque el recurso es muy importante o la severidad de su pérdida es muy alta,
lo mismo ocurre en sentido contrario.

A partir de esto, podemos definir la valoración de riesgo como el producto entre

Ri y Wi, así:

17 Curso de redes y seguridad

Actividad 2
WRi = Ri * Wi

Ejemplo práctico

Supongase una red simplificada con un router, un servidor y un bridge.

Después de que los expertos generan las valoraciones de los elementos de la

red, se obtienen los siguientes datos:

Router:
R1 = 6, W1 = 7

Bridge:
R2 = 6, W2 = 3

18 Curso de redes y seguridad

Actividad 2
Servidor:
R3 = 10, W3 = 10

El cálculo de los riesgos evaluados, será, para cada dispositivo:

Router:
WR1 = R1 * W1 = 6 * 7 = 42

Bridge:
WR2 = R2 * W2 = 6 * 3 = 1.8

Servidor:
WR3 = R3 * W3 = 10 * 10 = 100

En la siguiente tabla podemos observar cómo tabular estos datos de manera

organizada para poder determinar el riesgo de los elementos de la organización:

Por los puntajes es evidente que el servidor es aquel elemento con mayor riesgo,
y el que debe protegerse de manera prioritaria. Con este dato procederíamos a
buscar soluciones para proteger nuestro servidor de amenazas externas.

19 Curso de redes y seguridad

Actividad 2
Este análisis debe hacerse para todos los elementos de la organización, sin
importar que tan superficial u obvio sea, que pueda incidir en la seguridad de la
organización y que pueda ser vulnerado. ¿Cuáles son estos recursos? Podemos
reunirlos en 6 grupos principales:

- Personas: los usuarios y las personas que operan los sistemas. Las
personas siempre serán el primer bloque de importancia de una
organización.
- Hardware: Todo elemento externo que pueda procesar, contener, mostrar
o transportar datos.
- Software: herramientas tecnológicas para procesar los datos.
- Datos: Aquellos que se almacenan, se transportan, se almacenan fuera
de los elementos de hardware, backups, etc.
- Documentación: toda la información usada para aprender el
funcionamiento de los sistemas de la organización.
- Accesorios: Elementos usados para soportar el trabajo en la organización.

Anteriormente dijimos que la mayor parte de los problemas de seguridad

provenían de los miembros internos de la organización (80%), y el restante de
personas fuera de la organización. Es por esto que debemos basar nuestra
política en el control de los empleados internos, sabiendo quiénes usarán los
recursos y qué van a hacer con ellos.

Este punto de los usuarios es muy importante. Para definir lo que cada uno de
los usuarios puede hacer en el sistema se realizan un conjunto de listas en las
que se engloban, en grupos de trabajo, aquellos que pueden acceder a
determinado recurso y los privilegios de acceso. Un ejemplo de esta tabla es la
siguiente:

20 Curso de redes y seguridad

Actividad 2
Ahora, ¿cómo protegernos de las intromisiones de usuarios no deseados? La
respuesta a esto se encuentra en el uso de “checklist” para comprobar el
funcionamiento de los sistemas de la organización. Estos checklist deben hacer
parte de una agenda, en la que se consignan las actividades que deben llevarse
a cabo y con la regularidad que se requiera. La agenda de checklist, como
veremos más adelante, es un “procedimiento”.

Un ejemplo de este chequeo se ve a continuación:

Chequeos:

Diarios:
- Extracción de un logístico sobre el volumen de correo transportado y
las conexiones de red creadas durante las 24 horas del día

Semanal
- Extracción de un logístico del número de ingresos desde afuera de la
red interna
- Logístico de el número de conexiones externas hechas desde el
interior de la red

21 Curso de redes y seguridad

Actividad 2
 - Logístico sobre downloads y usuario que los hizo.
- Logístico sobre conexiones realizadas en horarios no convencionales
- Logístico gráficos sobre el tráfico de la red.

Mensual
- Comparación de los logísticos de las semanas para detectar
anomalías y cambios.

Todos estos logísticos pueden llevarse a cabo con software especializado, el

cual informará de cualquier anomalía en el sistema para tomar los correctivos
convenientes.

¿Qué es y para que deseamos un procedimiento en nuestra organización?

Un procedimiento se define como una sucesión cronológica de operaciones

concatenadas entre sí, con el objetivo de obtener un fin o meta. Como nuestra
meta es mantener la seguridad de la organización, y mantener estable el
algoritmo P-C, debemos contar con una serie de procedimientos que nos
permitan responder de manera apropiada a las situaciones más comunes. Todos
estos procedimientos se deben almacenar en un “manual de procedimientos”
que debe ser seguido al pie de la letra. En muchos casos, la norma ISO se otorga
a aquellas organizaciones con un manual de procedimientos estructurado en
cuanto a la seguridad informática. Haremos un recuento de los procedimientos
más usados en los manuales de seguridad informática, con una breve
explicación de su funcionamiento. Recordemos, antes que nada, que todo
procedimiento debe tener indicado quién es el encargado del mismo, y que debe
hacer en caso de variaciones.

22 Curso de redes y seguridad

Actividad 2
  Procedimiento de alta de cuenta de usuario
Este procedimiento se lleva a cabo para cuando se requiere una
cuenta de operación para cualquier usuario. Se debe llenar entonces
un formulario en el que existan datos como:
 Nombre y apellido
 Puesto de trabajo
 Jefe que avala el pedido
 Trabajos a realizar en el sistema
 Tipo de cuenta
 Fecha de caducidad
 Permisos de trabajo
 Etc.
 Procedimiento de baja de cuenta de usuario
Si un empleado de la organización se debe retirar, sea parcial o
totalmente de la organización, debe realizarse un formulario en el que
se indiquen, aparte de los datos del mismo, el tipo de alejamiento del
usuario (parcial o total) para saber si se inhabilita su cuenta totalmente,
o de manera temporal.
 Procedimiento para determinar los buenos passwords
Se debe tener un procedimiento para indicarles a los usuarios cuales
son las características de los passwords que deben asignar a sus
cuentas, como el número de caracteres, las características de los
caracteres usados, etc. Es conveniente usar un programa crackeador
sobre el password del usuario para evaluar su seguridad.
 Procedimiento de verificación de accesos
Como generamos logísticos de diferentes datos de los usuarios, estos
logísticos deben ser auditados, para detectar anomalías en cuanto al
comportamiento de los mismos y generar reportes de dichas
auditorías, todo esto con el fin de verificar los accesos realizados por
los usuarios de la organización a la red.
23 Curso de redes y seguridad
Actividad 2
  Procedimiento para el chequeo de gráficos de la red.
Generar gráficos del tráfico de la red, para observar anomalías en la
transferencia de información, el uso indebido de programas, etc.
 Procedimiento para el chequeo de volúmenes de correo
Se usa para conocer los volúmenes de tráfico en los correos
electrónicos de los usuarios. Con esto, se permite conocer el uso de
los medios de comunicación, el spamming (ataque con correo basura),
entre otros datos referentes a la comunicación o transferencia de
información confidencial de la empresa.
 Procedimiento para el monitoreo de conexiones activas
Con este procedimiento se evita que el usuario deje su terminal abierta
y que otro usuario pueda usarla de manera mal intencionada. Lo que
se hace es detectar el tiempo de inactividad de las conexiones, y
después de un determinado tiempo, se desactiva la conexión, y se
genera un logístico con el acontecimiento.
 Procedimiento para modificación de archivos
Es usado para detectar la modificación no autorizada de archivos, la
integridad de los mismos, y para generar un rastro de las
modificaciones realizadas.
 Procedimiento para resguardo de copias de seguridad
Usado para establecer de manera clara dónde deben guardarse las
copias de seguridad en caso de cualquier inconveniente.
 Procedimiento para la verificación de las máquinas de los usuarios
Este procedimiento permite el escaneo de las máquinas de los
usuarios para la detección de programas no autorizados, sin licencia
o como fuente potencial de virus.
 Procedimiento para el monitoreo de los puertos en la red.
Permite saber los puertos habilitados en la red y si funcionan de
acuerdo a lo esperado

24 Curso de redes y seguridad

Actividad 2
  Procedimiento para dar a conocer las nuevas normas de seguridad.
Es muy importante que todos los usuarios conozcan las nuevas
medidas de seguridad adoptadas por la empresa, por lo que se
requiere un procedimiento que indique la manera en la que esta será
llevada a cabo. Esto evita la excusa de los usuarios de “no conocía
las normas”
 Procedimiento para la determinación de identificación del usuario y
para la el grupo de pertenencia por defecto
Cuando se crea un usuario en el sistema, se le debe dar una
identificación personal y al mismo tiempo, hacerlo parte de un grupo
para que tenga ciertos beneficios. Cuando el usuario va a cambiar de
perfil o de grupo, se necesita entonces un procedimiento que le indique
a este los pasos para cambiar los derechos que posee.
 Procedimiento para recuperar información
Un procedimiento sin duda muy importante, permite reconstruir todo el
sistema, o parte de él, a través de los backups tomados
periódicamente de la información

CheckList

Como ya lo habíamos explicado anteriormente, un checklist consiste en una lista

de tareas a llevar a cabo para chequear el funcionamiento del sistema. Acá
presentamos un ejemplo sacado de un manual de seguridad informática:

 Asegurar el entorno. ¿Qué es necesario proteger? ¿Cuáles son los

riesgos?
 Determinar prioridades para la seguridad y el uso de los recursos.
 Crear planes avanzados sobre qué hacer en una emergencia.

25 Curso de redes y seguridad

Actividad 2
  Trabajar para educar a los usuarios del sistema sobre las
necesidades y las ventajas de la buena seguridad
 Estar atentos a los incidentes inusuales y comportamientos extraños.
 Asegurarse de que cada persona utilice su propia cuenta.
 ¿Están las copias de seguridad bien resguardadas?
 No almacenar las copias de seguridad en el mismo sitio donde se las
realiza
 ¿Los permisos básicos son de sólo lectura?
 Si se realizan copias de seguridad de directorios/archivos críticos, usar
chequeo de comparación para detectar modificaciones no autorizadas.
 Periódicamente rever todo los archivos de “booteo de los sistemas y
los archivos de configuración para detectar modificaciones y/o
cambios en ellos.
 Tener sensores de humo y fuego en el cuarto de computadoras.
 Tener medios de extinción de fuego adecuados en el cuarto de
computadoras.
 Entrenar a los usuarios sobre qué hacer cuando se disparan las
alarmas.
 Instalar y limpiar regularmente filtros de aire en el cuarto de
computadoras.
 Instalar UPS, filtros de línea, protectores gaseosos al menos en el
cuarto de computadoras.
 Tener planes de recuperación de desastres.
 Considerar usar fibras ópticas como medio de transporte de
información en la red.
 Nunca usar teclas de función programables en una terminal para
almacenar información de login o password.
 Considerar realizar autolog de cuentas de usuario.

26 Curso de redes y seguridad

Actividad 2
  Concientizar a los usuarios de pulsar la tecla ESCAPE antes de
ingresar su login y su password, a fin de prevenir los “Caballos de
Troya”.
 Considerar la generación automática de password.
 Asegurarse de que cada cuenta tenga un password.
 No crear cuentas por defecto o “guest” para alguien que está
temporariamente en la organización.
 No permitir que una sola cuenta esté compartida por un grupo de
gente.
 Deshabilitar las cuentas de personas que se encuentren fuera de la
organización por largo tiempo.
 Deshabilitar las cuentas “dormidas” por mucho tiempo.
 Deshabilitar o resguardar físicamente las bocas de conexión de red
no usadas.
 Limitar el acceso físico a cables de red, routers, bocas, repetidores y
terminadores.
 Los usuarios deben tener diferentes passwords sobre diferentes
segmentos de la red.
 Monitorear regularmente la actividad sobre los gateways.

27 Curso de redes y seguridad

Actividad 2