FUNDAMENTOS BASICOS

POLITICAS DE SEGURIDAD BUENAS CONSTUMBRES SEGURIDAD

SEGURIDAD : FUNDAMENTOS BASICOS

DEFENSA A FONDO Como no podemos alcanzar la seguridad total, tenemos que aceptar un cierto nivel de riesgo. El riesgo se define como la probabilidad de que una amenaza se convierta en vulnerabilidad. Es difcil calcular el riesgo, pero conseguiremos hacernos una idea si evaluamos nuestra superficie de ataque, la exposicin y las vulnerabilidades que tenemos y que pueden ser aprovechadas por otros. Un escner o test de vulnerabilidades nos ayuda a medir o definir nuestra superficie de ataque. Una cosa que podemos hacer para reducir nuestro riesgo y mejorar nuestras posibilidades de supervivencia es utilizar mltiples defensas. Hay 4 arquitecturas bsicas para desarrollar las defensas en profundidad:

SEGURIDAD : FUNDAMENTOS BASICOS

1.- El mtodo uniforme de proteccin a fondo para la defensa implica generalmente que un firewall separe la zona interna de confianza del resto de Internet. La mayora de implementacin tienen un antivirus en el almacn de correo y ms en los servidores y equipos de sobremesa. Generalmente significa que todos los hosts internos reciben el mismo nivel de proteccin contra ataques por parte de la infraestructura de red.

SEGURIDAD : FUNDAMENTOS BASICOS

2.- Proteccin de enclaves: simplemente consiste en subdividir la red interna para que no haya una nica gran zona sin protecciones internas. Esto se puede hacer mediante cortafuegos, VPNs, VLANs y Network Access Control.

SEGURIDAD : FUNDAMENTOS BASICOS

3.- Anlisis del vector de amenaza: es similar al centrado en la informacin. Requiere que identifiquemos los activos que queremos proteger en orden de prioridad, que realicemos un anlisis para determinar las rutas que podra utilizar la vulnerabilidad y que imaginemos cmo colocar los controles en los vectores para evitar que la amenaza entre por dicho fallo.

SEGURIDAD : FUNDAMENTOS BASICOS

Control de acceso basado en roles (RBAC, Role-based access control): es un mtodo de control de acceso que implementan las empresas para asegurar que slo los usuarios autorizados tienen acceso a los datos. A diferencia de otros mtodos de control de acceso, el control basado en roles asigna usuarios a los distintos roles, y se garantizan permisos a estos roles en funcin de las necesidades del puesto de cada usuario. Se puede asignar un nmero indeterminado de roles a un usuario para poder realizar las tareas diarias. Por ejemplo, un usuario puede necesitar el rol de desarrollador y el de analista. Cada rol definir los permisos necesarios para acceder a los distintos objetos. Con el control de acceso a red podemos ampliar esto desde un grupo de sistemas hasta toda la compaa. Requiere ms configuracin que los enclaves protegidos pero ofrece ms proteccin.

SEGURIDAD : FUNDAMENTOS BASICOS

ACCESO, AUTENTICACION Y AUTORIZACION A veces llamadas triple A o AAA, stas son las claves para implementar la seguridad en la organizacin. El proceso de acceso debe asegurar que slo las personas adecuadas acceden a los recursos informticos y de red de su empresa. Como las contraseas se pueden compartir, muchas organizaciones utilizan testigos fsicos o tokens adems de la propia password durante el proceso de autenticacin. Una vez autenticado, se pueden colocar controles para asegurarse de que esos empleados slo acceden a aquellos recursos para los que disponen de autorizacin.

Authentication

Authorization

Accounting

Autentificacin

Autorizacin

Contabilidad

SEGURIDAD : FUNDAMENTOS BASICOS

SEPARACION DE FUNCIONES, SEPARACION DE SERVICIOS La separacin de funciones es una poltica habitual en los casos en que los empleados manejan dinero, de forma que para que haya fraude es necesario que colaboren dos o ms partes. Esto reduce enormemente la probabilidad de delito. La informacin debe ser gestionada de la misma manera, ya que tambin puede ser comprada y vendida con facilidad. Si sus administradores afirman que sus funciones no pueden ser divididas, es importante que entiendan que las organizaciones bien gestionadas lo hacen. Hace mucho tiempo los servidores eran tan caros que un solo servidor sola ejecutar mltiples servicios. Una de las lecciones que aprendimos del primer gusano (software malicioso que se expande introducindose en los sistemas / Red) fue que si un servidor con mltiples servicios se caa, se perda toda la capacidad para suministrar todos esos servicios.

SEGURIDAD : FUNDAMENTOS BASICOS

Durante los siguientes diez aos se consider buena prctica tener un servicio en cada mquina: un servidor de correo, un servidor de archivos, etctera. Hoy, con las mquinas virtuales y la arquitectura orientada a servicios (SOA, Service-oriented architecture) estamos volviendo a tener mltiples servicios. Eso est bien siempre que tengamos previsto cmo continuar en funcionamiento si ocurre algo malo a esa mquina. Hay campos de estudio llamados continuidad de operaciones, recuperacin ante desastres e impacto de negocio que proporcionan detalles sobre estos conceptos.

ARQUITECTURA /ESTRUCTURA BASICA DE SERVIDORES

SERVICIOS BASICOS PARA SERVIDORES

Cortafuegos (Firewall) El cortafuegos o firewall es un sistema que aisla la red local del sistema de conexin a Internet (router ADSL o RDSI). En sistemas de conexin a Internet permanentes, es una opcin imprescindible para mantener la seguridad frente a los intentos de entrada a tu red. DHCP (Dynamic Host Configuration Protocol) Servicio que permite asignar direcciones de la red a los ordenadores. Con este sistema, conectar un ordenador a la red es cosa de pocos minutos. RAID (Redundant Array of Independent Disks) El disco duro es uno de los componentes de los ordenadores que ms posibilidades tienen de fallar. Por este motivo montamos 2 discos en un sistema RAID que permite, si un disco falla, continuar trabajando con el servidor.

SERVICIOS BASICOS PARA SERVIDORES

Servidor de correo Servicio de correo principal de tu empresa. Permite a todos los ordenadores de la empresa acceder al correo interno y a Internet utilizando el programa habitual de correo electrnico. Filtro Antivirus de correo electrnico Los virus de correo electrnico constituyen uno de los grandes problemas de los sistemas de red y conexin a Internet actuales. El servidor dispone de un sistema que analiza de forma permanente la entrada y salida de todo el correo electrnico de tu empresa. Cuando detecta un virus, lo elimina impidiendo que llegue al destinatario e informa a la persona responsable del sistema de su deteccin.

SERVICIOS BASICOS PARA SERVIDORES

Servidor Proxy Con el fin de establecer polticas de uso de la navegacin por internet en la empresa, se dispone del servidor Firewall o Cache. Es una aplicacin que permite otorgar permisos de navegacin a usuarios seleccionados de la red, controlar el trfico por usuario y bloquear el acceso a las direcciones web que se consideren no permitidas. Con estos datos se pueden realizar estadsticas de uso de la red.

Redes Virtuales Privadas (VPN)

Es una de las aplicaciones ms innovadoras del servidor de comunicaciones. Este sistema permite de una forma segura la conexin de dos redes localizadas en ubicaciones diferentes mediante lneas ADSL. Es una solucin ptima para disponer de conexin de red entre delegaciones y central. Otra aplicacin puede ser el teletrabajo o la conexin a la red interna por parte de flotas de comerciales

CONSULTAS / PREGUNTAS

CONCEPTOS DE SEGURIDAD
En la actualidad, la seguridad informtica ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computacin disponibles. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes que permiten explorar ms all de las fronteras de la organizacin. Esta situacin ha llevado a la aparicin de nuevas amenazas en los sistemas computarizados.

CONCEPTOS DE SEGURIDAD
Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas.
En este sentido, las polticas de seguridad informtica (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y la sensibilidad de la informacin y servicios crticos que favorecen el desarrollo de la organizacin y su buen funcionamiento.

Cul puede ser el valor de los datos?

Establecer el valor de los datos es algo totalmente relativo, pues la informacin constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentacin o las aplicaciones. Adems, las medidas de seguridad no influyen en la productividad del sistema / Red por lo que las organizaciones son reticentes a dedicar recursos a esta tarea.

Cul puede ser el valor de los datos?

Cuando hablamos del valor de la informacin nos referimos, por ejemplo, a qu tan peligroso es enviar la informacin de mi tarjeta de crdito a travs de Internet para hacer una compra, en una red gigantesca donde viajan no nicamente los 16 dgitos de mi tarjeta de crdito sino millones de datos ms , grficas, voz y vdeo.
El peligro ms grande radica no en enviar la informacin sino una vez que esta informacin, unida con la de miles de clientes ms, en una base de datos de la compaa con las que se concret el negocio. Con un nico acceso no autorizado a esta base de datos, es posible que alguien obtenga no nicamente mis datos y los de mi tarjeta, sino que tendr acceso a todos.-

Por esto, y por cualquier otro tipo de consideracin que se tenga en mente, es realmente vlido pensar que cualquier organizacin que trabaje con computadoras(es) - y hoy en da ms especficamente con redes de Datos - debe tener normativas que hacen al buen uso de los recursos y de los contenidos, es decir, al buen uso de la informacin.

DEFINICIONES
Dado que veremos varios conceptos que pueden tener mltiples interpretaciones, es prudente unificar ciertos significados especficos.
Seguridad: es calidad de seguro, y, seguro est definido como libre de riesgo. Informacin: es accin y efecto de informar. Informar: es dar noticia de una cosa. Redes: es el conjunto sistemtico de hilos conductores o de vas de comunicacin o de agencias y servicios o recursos para determinado fin

DEFINICIONES
Uniendo todas estas definiciones, podemos establecer qu se entiende por Seguridad en redes. Seguridad en Redes: es mantener la provisin de informacin libre de riesgo y brindar servicios para un determinado fin.

Seguridad en redes es mantener bajo proteccin los recursos y la informacin con que se cuenta en la red, a travs de procedimientos basados en una poltica de seguridad tales que permitan el control y dominio de la Informacin.

SEGURIDAD GLOBAL
Qu es una red global?. El concepto de red global incluye todos los recursos informticos de una organizacin, an cuando estos no estn interconectados: Redes de rea local (LAN), Redes de rea metropolitana (MAN), Redes nacionales y supranacionales (WAN), Computadoras personales, minis y grandes sistemas. De manera que, seguridad global es mantener bajo proteccin todos los componentes de una red global.

SEGURIDAD GLOBAL

Al fin de cuentas, los usuarios de la Red o de un sistema son una parte a la que no hay que olvidar ni menospreciar. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas

IMPACTO EN LA ORGANIZACION

La implementacin de polticas de seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organizacin. Cmo pueden impactar si se implementan para hacer ms seguro el sistema / Red?. En realidad, la implementacin de un de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como Administrativa.

VISIBILIDAD DEL PROCESO

En un reciente estudio resume que los problemas de seguridad en basados en redes responde a la siguiente distribucin: Errores de los empleados 50% Empleados deshonestos 15% Empleados descuidados 15% Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad fsica de instalaciones 10% )

VISIBILIDAD DEL PROCESO

Se puede notar que el 80% de los problemas, son generados por los empleados de la organizacin, y, stos se podran tipificar en tres grandes grupos: Problemas por ignorancia Problemas por ocio Problemas por malicia

VISIBILIDAD DEL PROCESO

Entre estas razones, la ignorancia es la ms fcil de direccionar. Desarrollando tcticas de entrenamiento y procedimientos formales e informales son fcilmente neutralizadas. Los usuarios, adems, necesitan de tiempo en tiempo, que se les recuerden cosas que ellos deberan conocer. El Ocio, requiere soporte de las Gerencias y de la Administracin, y de la organizacin como un todo formado por usuarios individuales. En adicin, una atmsfera que se focalice en las soluciones, en lugar de censurar, es generalmente ms eficiente que aquella que tiende a la coercin o la intimidacin. La malicia, se debe combatir creando una cultura en la organizacin que aliente la lealtad de los empleados.

VISIBILIDAD DEL PROCESO

Entre estas razones, la ignorancia es la ms fcil de direccionar. Desarrollando tcticas de entrenamiento y procedimientos formales e informales son fcilmente neutralizadas. Los usuarios, adems, necesitan de tiempo en tiempo, que se les recuerden cosas que ellos deberan conocer. El Ocio, requiere soporte de las Gerencias y de la Administracin, y de la organizacin como un todo formado por usuarios individuales. En adicin, una atmsfera que se focalice en las soluciones, en lugar de censurar, es generalmente ms eficiente que aquella que tiende a la coercin o la intimidacin. La malicia, se debe combatir creando una cultura en la organizacin que aliente la lealtad de los empleados.

IMPLEMENTACION
La implementacin de medidas de seguridad, es un proceso tcnico administrativo.
Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.

Hay que tener muy en cuenta la complejidad que suma a la operatoria de la organizacin la implementacin de estas medidas. Ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen.

IMPLEMENTACION
Tambin, como hemos mencionado anteriormente, es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin. De todo lo expuesto anteriormente, resulta claro que proponer o identificar una poltica de seguridad requiere de un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas.

2 - Polticas generales de seguridad