Universidad Latina de Panam

Sede Santiago
Maestra en Seguridad Informtica
Modulo Seguridad en Base de datos
y redes
Polticas de Seguridad Esqupulas
Caf
Profesor:
Itzel de Jurez
Estudiantes:
Jorge Jaramillo

2-713-2134

Arnold Surez

2-718-674

31 de marzo de 2012

ndice General

ii
ndice...

iii

Agradecimiento....

iv

Prologo...

Introduccin...
..

6
6

Captulo I Marco Conceptual...

Aspectos

6
7

generales.
Estado o situacin actual del
problema
Objetivos

..
II

Marco

8
9
9

Justificacin
Captulo

9
9

Institucional.

.
Descripcin..
..
Misin y
Visin
Objetivo Generales....
..
Objetivos
Especficos.
Capital de La
Empresa.
Estudio del Mercado
...
Captulo II Marco Terico

13
14
20
21
22
23

Seguridad con que cuenta el Local

En la actualidad.
.
Responsabilidades Personales.
.
Uso Apropiado de los recursos....
..
Recursos

red..

..
Beneficios
...
Conclusiones
Bibliografa

AGRADECIMIENTO
Agradezco a la Universidad Latina de Panam, sede Santiago, por haberme
abierto las puertas de este prestigioso templo del saber, cuna de buenos
profesionales. A la

Profesora Itzel de Juarez por brindarnos Tan sabios

conocimientos, al entregar a la sociedad buenos profesionales capaces para el

desarrollo de la tecnologa de nuestro pas. Y a todos mis compaeros.

PROLOGO

Es importante tener una poltica de seguridad de red bien concebida y efectiva

que pueda proteger la inversin y los recursos de informacin de la compaa.
Vale la pena implementar una poltica de seguridad si los recursos y la
informacin que la organizacin tiene en sus redes merecen protegerse. La
mayora de las organizaciones tienen en sus redes informacin delicada y
secretos importantes; esto debe protegerse del acceso indebido del mismo
modo que otros bienes valiosos como la propiedad corporativa y los edificios de
oficinas.
Una organizacin puede tener muchos sitios, y cada uno contar con sus
propias redes. S la organizacin es grande, es muy probable que los sitios
tengan diferente administracin de red, con metas y objetivos diferentes. Si
esos sitios no estn conectados a travs de una red interna, cada uno de ellos
puede tener sus propias polticas de seguridad de red. Sin embargo, si los
sitios estn conectados mediante una red interna, la poltica de red debe
abarcar todos los objetivos de los sitios interconectados.
En general, un sitio es cualquier parte de una organizacin que posee
computadoras y recursos relacionados con redes. Algunos, no todos, de esos

Un aspecto importante de la poltica de seguridad de red es asegurar que todos

conozcan su propia responsabilidad para mantener la seguridad. Es difcil que
una poltica de seguridad se anticipe a todas las amenazas posibles. Sin
embargo, las polticas s pueden asegurar que para cada tipo de problema haya
alguien que lo pueda manejar de manera responsable. Puede haber muchos
niveles de seguridad relacionados con la poltica de seguridad.

Introduccin
A la crea una poltica de seguridad, es importante que comprender la razn
para crear una poltica es, en primer lugar, asegurar que los esfuerzos
dedicados a la seguridad impliquen un costo razonable. Esto significa que
debemos conocer cuales recursos vale la pena proteger, y cuales son ms
importantes que otros. Por lo tanto en el siguiente trabajo presentamos la
seguridad de la empresa Esqupulas Caf la cual consideramos, la
infraestructura, los software, hardware, red y el compromiso que deben poseer
los colaboradores al cumplir con la poltica de seguridad que se han
establecido.
Tambin

identificamos la fuente de amenazas de la cual la empresa

se

enfrenta protegiendo los recursos de la empresa. A pesar de toda la publicidad

acerca de los intrusos que irrumpen en una red, muchos estudios indican que,
en el caso de la mayora de las organizaciones, las verdaderas prdidas
causadas por los usuarios internos son mucho mayores.

Aspectos Generales
Una vez que internet comenz a captar una cantidad considerable de
usuarios, qued claro, para el sector comercial, el potencial para sus negocios.
Es aqu donde es necesario analizar cmo las pequeas empresas pueden
mejorar su poltica de seguridad informtica.
Estado o situacin actual del problema
Actualmente, existen muchas empresas en que cuentan con unos
equipos informticos mas sin embargo no cuentan con las polticas de
seguridad para asegurar la informacin y el equipo informtico. El ciber caf
Esqupulas de comienza a brindar sus servicios de internet como medio de
comunicacin orientando a una vasta cantidad de cibernautas desde el ao
2007. Con esto nace la idea de crear polticas de seguridad.
Objetivos del trabajo
Objetivo General
Implementar polticas de seguridad informtica que vayan en beneficio
de la empresa y de los usuarios.

Objetivos especficos

Garantizar que los datos sean los que se supone que son.

Asegurar que slo los individuos autorizados tengan acceso a los

recursos que se intercambian.

Certificar el correcto funcionamiento de los sistemas de informacin.

Afirmar que slo los individuos autorizados tengan acceso a los recursos.

Justificacin
Al utilizar herramientas las polticas de seguridad en el ciber caf
Esqupulas, se pretende aumentando de esta manera la credibilidad,
popularidad y seguridad de los equipos y servicios informticos.
La contribucin de nuestro trabajo radica en establecer mejores niveles
seguridad que vayan en beneficio de la empresa y de los usuarios del ciber
caf Esqupulas, que pueda ser utilizado como marco documentado en
aquellas que estn por crear nuevas polticas de seguridad informtica
adems, debe ser una fuente de referencia para profesionales y estudiantes.

Descripcin
Nombre de la empresa: Esqupulas Caf
Generalidades:
La creacin de un ciber caf, cuya caracterstica es: la contribucin al
desarrollo tecnolgico y la mejora en las comunicaciones de la zona.
Servicio de renta de computadoras, impresiones, escaneo, quemado de cds y
dvds, captura de datos, diseos por computadora, diseos de pginas web,
sistemas, redes de computadoras, reparacin de computadoras, mantenimiento
de computadoras, y mas.
Visin
Nuestra vision es: internet en tus manos
1. - soluciones de acceso al mundo del internet
2. - llegar lo ms cercas posible al pblico en general

3. - cumplir con los requerimientos que nuestros clientes exijan.

Misin
Nuestra misin es: enfoque al cliente

1. - facilitamos su trabajo
2. - brindamos una amplia y duradera amistad, dando toda nuestra confianza
en cada trabajo.
3. - ponemos en sus manos los beneficios tecnolgicos para que su produccin
sea con mayor rapidez y calidad.
Objetivos generales:
Colaboracin con el desarrollo tecnolgico y mejorar la comunicacin en
la zona.
Objetivos Especficos:
Entregar un servicio expedito de fcil acceso en el horario ms
conveniente para cada persona.
Establecer una mejora en la educacin de nios, jvenes y adultos de la
zona, permitindoles tener acceso a esta herramienta tan potente en el
mundo de hoy.
Entregar una alternativa a la escasa oferta existente en la zona.
Crear una empresa rentable.
Capital de la empresa
Para la creacin de ciber caf, es por medio de una sociedad Los
inversionistas cuentan con el 27% de la inversin inicial y el 73% de la

inversin restante ser aportado por un crdito de una entidad

financiera.
Estudio de Mercado
Para poder consolidar esta empresa se realizo el siguiente estudio de mercado
el cual tiene

como objetivo establecer la existencia de mercado para la

elaboracin de un ciber caf; adems de conocer aspectos tales como:

Caractersticas de los consumidores.
Evolucin en la produccin.
Sistemas actuales de comercializacin, entre otros aspectos.

Estudio de Mercado
Encuesta al Mercado
Tienen acceso a una computadora o a tenido acceso a Internet?
Objetivo a establecer: cuantos adultos estn Familiarizados con la computacin
o Internet.

Considera usted la computacin e Internet una herramienta necesaria para el

mundo de hoy?
Objetivo a establecer: determinar cuantos de ellos utilizaran nuestro servicio.

Est dispuesto a probar un nivel de educacin bsico en el rea

para el

progreso propio y el de sus hijos?

Objetivos a establecer: cuantos de ellos se inscribiran en una capacitacin o
permitiran a sus hijos hacerlo.

Te interesa aprender computacin y tener acceso a Internet?

Objetivos a establecer: Analizar el inters de los Adultos, jvenes y nios para
involucrarse con el rea.

Segmentacin de Mercado
El segmento de los interesados en los cursos y en la utilizacin del
servicio esta diversificado de forma tal que hay nios, jvenes y adultos de
clase social media, medio-alto y alto. Siendo stos los ms dispuestos a pagar
por un desarrollo tecnolgico basada en la computacin

e Internet que

complementara y facilitara la educacin regular de los colegios o escuelas y

les permitira aspirar a un mayor desarrollo laboral segn sea el caso.
Mercado Objetivo
El mercado de consumo estar

dirigido hacia los nios, jvenes y

adultos de clase media, media-alta y alta, desde los 8 hasta los 75 aos de
edad, es decir desde que comienzan primero bsico.
Estructura
Tamao de la infraestructura
Es necesario una dependencia de 30 mt2, ms 2 baos.
Diseo de instalaciones

Cubculo de 1,70 mts x 1,40 mts. Para la ubicacin de cada computador.

Adems de un sector para el administrador del sistema, donde se ubique la
impresora y el PC para control de costos.

Ubicacin
Avenida 1 Transito, #2717 el bajo Esto se ubica en un sector transitado, puesto
que est a un costado de la catedral san Juan bautista de Antn.

Seguridad con que cuenta el local

La seguridad informtica ha tomado gran auge, debido a las cambiantes
condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad
de interconectarse a travs de redes, ha abierto nuevos horizontes a las
empresas para mejorar su productividad y poder explorar ms all de las
fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de
nuevas amenazas para los sistemas de informacin. Estos riesgos que se
enfrentan han llevado a que se desarrolle un documento de directrices que
orientan en el uso adecuado de estas destrezas tecnolgicas y
recomendaciones para obtener el mayor provecho de estas ventajas, y
evitar el uso indebido de la mismas, lo cual puede ocasionar serios
problemas a los bienes, servicios y operaciones de la empresa Esqupulas
caf S.A.
Al Desarrollar un sistema de seguridad deseamos plasmar las actividades
de "planear, organizar, dirigir y controlar para

mantener y garantizar la

integridad fsica de los recursos informticos, as como resguardar los

activos de la empresa".

Gallego Carlos (2009) http://dominandoadword.com. Estrategias de seguridad en internet

En la actualidad la empresa Esqupulas caf

S.A. cuenta con las

siguientes medidas de seguridad:

Para la adquisicin de Hardware se observar lo siguiente:

El equipo que se desee adquirir deber estar dentro de las listas de

Ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro
de los estndares de Esqupulas Caf.

Los equipos complementarios debern tener una garanta mnima de

un ao y debern contar con el servicio tcnico correspondiente en el
pas.

Debern ser equipos integrados

de fbrica o ensamblados con

Componentes previamente evaluados por el Comit.

La marca de los equipos o componentes deber contar con presencia

y permanencia demostrada en el mercado nacional e internacional, as

como con asistencia tcnica y refaccionaria local.
microcomputadores,

Tratndose

de

a fin de mantener actualizada la arquitectura

informtica de Esqupulas Caf, el Comit emitir peridicamente las

especificaciones tcnicas mnimas para su adquisicin.

Los dispositivos de almacenamiento,

as como las interfaces de

entrada / salida, debern estar acordes con la tecnologa de punta

vigente, tanto en velocidad de transferencia de datos, como en
procesamiento.

Las impresoras debern apegarse a los estndares de Hardware y

Software vigentes en el mercado y en Esqupulas Caf, corroborando
que los suministros (cintas, papel, etc.) se consigan fcilmente en el
mercado y no estn sujetas a un solo proveedor.

Conjuntamente con los equipos,

se deber adquirir el equipo

complementario adecuado para su correcto funcionamiento de acuerdo

con las especificaciones de los fabricantes, y que esta adquisicin se
manifieste en el costo de la partida inicial.
Sin embargo consideramos que estos puntos se pueden fortalecer
incluyndole las siguientes recomendaciones:
Si la computadora misma no est fsicamente segura, pueden ignorarse
fcilmente los mecanismos de seguridad del software. En el caso de las
estaciones de trabajo DOS(Windows ni siquiera existe un nivel de contrasea
de proteccin. Si se deja desatendida una estacin de trabajo Unix, sus discos
pueden ser cambiados o si se deja en modo privilegiado, la estacin estar por
completo abierta. Asimismo, el intruso puede parar la mquina y regresarla a
modo privilegiado, y despus plantar programas tipo caballo de Troya, o tomar
cualquier medida para dejar al sistema abierto para ataques futuros.

Los equipos adquiridos deben contar, de preferencia con asistencia

tcnica durante la instalacin de los mismos.

En lo que se refiere a los servidores, equipos de comunicaciones,

concentradores de medios (HUBS) y otros equipos que se justifiquen por

ser de operacin crtica y/o de alto costo, deben de contar con un
programa de mantenimiento preventivo y correctivo que incluya el
suministro de refacciones al vencer su perodo de garanta.

En lo que se refiere a los computadores denominados personales, al

vencer su garanta por adquisicin, deben de contar por lo menos con un
programa de servicio de mantenimiento correctivo que incluya el
suministro de refacciones.
Para la operacin del software de red en caso de manejar los datos

empresariales mediante sistemas de informacin, se deber tener en

consideracin lo siguiente:

Toda la informacin institucional deber invariablemente ser operada a

travs de un mismo tipo de sistema manejador de base de datos para
beneficiarse de los mecanismos de integridad, seguridad y recuperacin
de informacin en caso de presentarse alguna falla.

El acceso a los sistemas de informacin,

deber contar con los

privilegios niveles de seguridad de acceso suficientes para garantizar

la seguridad total de la informacin institucional. Los niveles de
seguridad de acceso debern controlarse por un administrador nico y
poder ser manipulado por software.

Se deben delimitar las responsabilidades en cuanto a quin est

autorizado a consultar y/o modificar en cada caso la informacin,
tomando las medidas de seguridad pertinentes.

Sin embargo consideramos que estos puntos se pueden fortalecer

incluyndole las siguientes recomendaciones:
Al aumentar la complejidad del software, tambin aumenta el nmero y la
complejidad de los problemas de un sistema determinado. A menos que se
encuentren formas revolucionarias de crear software, ste nunca estar por
completo libre de errores. Las fallas de seguridad conocidas pblicamente se
vuelven mtodos comunes de acceso no autorizado. Si la implementacin de

un sistema es abierta y muy conocida (como es la de Unix), el intruso puede

usar los puntos dbiles del cdigo de software que se ejecuta en modo
privilegiado para tener acceso privilegiado al sistema. Los administradores de
sistemas deben estar conscientes de los puntos dbiles de sus sistemas
operativos y tienen la responsabilidad de obtener las actualizaciones y de
implementar las correcciones cuando se descubran esos problemas. Tambin
usted debe tener la poltica de reportar al proveedor los problemas cuando se
encuentren, de modo que pueda implementarse y distribuirse la solucin.

Los datos de los sistemas de informacin,

deben ser respaldados de

acuerdo a la frecuencia de actualizacin de sus datos, rotando los

dispositivos

de

respaldo

guardando

respaldos

histricos

peridicamente. Es indispensable llevar una bitcora oficial de los

respaldos realizados, asimismo, los CDs de respaldo debern guardarse
en un lugar de acceso restringido con condiciones ambientales
suficientes para garantizar su conservacin. En cuanto a la informacin
de los equipos de cmputo personales, la Unidad de Informtica
recomienda a los usuarios que realicen sus propios respaldos en la red o
en medios de almacenamiento alternos.

GALLEGO CARLOS (2009)

http://www.carlosgallego.com/como-inver-menos-en-adwords.html. Como Invertir

Menos y Vender ms con seguridad en la Web

Todos los sistemas de informacin que se tengan en operacin, deben

contar con sus respectivos manuales actualizados. Un tcnico que
describa la estructura interna del sistema as como los programas,
catlogos y archivos que lo conforman y otro que describa a los usuarios
del sistema y los procedimientos para su utilizacin.

Los sistemas de informacin, deben contemplar el registro histrico de

las transacciones sobre datos relevantes, as como la clave del usuario y
fecha en que se realiz (Normas Bsicas de Auditoria y Control).

Se deben implantar rutinas peridicas de auditoria a la integridad de

los datos y de los programas de cmputo, para garantizar su
confiabilidad.

IDENTIFICADORES DE USUARIO Y CONTRASEAS

-Todos los usuarios con acceso a un sistema de informacin o a una red
informtica, dispondrn de una nica autorizacin de acceso compuesta de
identificador de usuario y contrasea.
-Ningn usuario recibir un identificador de acceso a la Red de
Comunicaciones, Recursos Informticos o Aplicaciones hasta que no acepte
formalmente la Poltica de Seguridad vigente.
- Los usuarios tendrn acceso autorizado nicamente a aquellos datos y
recursos que precisen para el desarrollo de sus funciones, conforme a los
criterios establecidos por el responsable de la informacin.

Sin embargo consideramos que estos puntos se pueden fortalecer

incluyndole las siguientes recomendaciones:
- La longitud mnima de las contraseas ser igual o superior a ocho
caracteres,

y estarn

constituidas por

combinacin

de

caracteres

alfabticos, numricos y especiales.

- Los identificadores para usuarios temporales se configurarn para un corto
perodo de tiempo. Una vez expirado dicho perodo, se desactivarn de los
sistemas.

Adicional a estos puntos mencionados, la empresa carece ciertos

aspectos de seguridad como:
LINEAMIENTOS EN INFORMTICA: INFORMACIN
-La informacin almacenada en medios magnticos se deber inventariar,
anexando la descripcin y las especificaciones de la misma, clasificndola
en tres categoras:

Informacin histrica para auditorias.

Informacin de inters de la Empresa

Informacin de inters exclusivo de alguna rea en particular.

- Los jefes de rea responsables de la informacin contenida en los

departamentos a su cargo, delimitarn las responsabilidades de sus
subordinados y determinarn quien est autorizado a efectuar operaciones
emergentes con dicha informacin tomando las medidas de seguridad
pertinentes.
- Se establecen tres tipos de prioridad para la informacin:

Informacin vital para el funcionamiento del rea;

Informacin necesaria, pero no indispensable en el rea.

Informacin ocasional o eventual.

- En caso de informacin vital para el funcionamiento del rea, se debern
tener procesos colaborativos, as como tener el respaldo diario de las
modificaciones efectuadas, rotando los dispositivos de respaldo y
guardando respaldos histricos semanalmente.
- La informacin necesaria pero no indispensable, deber ser respaldada
con una frecuencia mnima de una semana, rotando los dispositivos de
respaldo y guardando respaldos histricos mensualmente.
- El respaldo de la informacin ocasional o eventual queda a criterio del
rea.
- La informacin almacenada en medios magnticos, de carcter histrico,
quedar documentada como activos del rea y estar debidamente
resguardada en su lugar de almacenamiento.
-Es obligacin del responsable del rea, la entrega conveniente de la
informacin, a quien le suceda en el cargo.

- Los sistemas de informacin en operacin, como los que se desarrollen

debern contar con sus respectivos manuales. Un manual del usuario que
describa los procedimientos de operacin y el manual tcnico que describa
su estructura interna, programas, catlogos y archivos.

- Ningn colaborador en proyectos de software y/o trabajos especficos,

deber poseer, para usos no propios de su responsabilidad, ningn material
o informacin confidencial de Esqupulas Caf tanto ahora como en el
futuro.
RESPONSABILIDADES PERSONALES
- Los usuarios son responsables de toda actividad relacionada con el uso de
su acceso autorizado.
- Los usuarios no deben revelar bajo ningn concepto su identificador y/o
contrasea a otra persona ni mantenerla por escrito a la vista, ni al alcance
de terceros.
- Los usuarios no deben utilizar ningn acceso autorizado de otro usuario,
aunque dispongan de la autorizacin del propietario.
- Si un usuario tiene sospechas de que su acceso autorizado (identificador
de usuario y contrasea) est siendo utilizado por otra persona, debe
proceder al cambio de su contrasea e informar a su jefe inmediato y ste
reportar al responsable de la administracin de la red.
- El Usuario debe utilizar una contrasea compuesta por un mnimo de ocho
caracteres constituida por una combinacin de caracteres alfabticos,
numricos y especiales.
- La contrasea no debe hacer referencia a ningn concepto, objeto o idea
reconocible. Por tanto, se debe evitar utilizar en las contraseas fechas
significativas, das de la semana, meses del ao, nombres de personas,
telfonos.
- En caso que el sistema no lo solicite automticamente, el usuario debe
cambiar la contrasea provisional asignada la primera vez que realiza un
acceso vlido al sistema.

- En el caso que el sistema no lo solicite automticamente, el usuario debe

cambiar su contrasea como mnimo una vez cada 30 das. En caso

contrario, se le podr denegar el acceso y se deber contactar con el jefe

inmediato para solicitar al administrador de la red una nueva clave.
- Proteger, en la medida de sus posibilidades, los datos de carcter personal
a los que tienen acceso, contra revelaciones no autorizadas o accidentales,
modificacin, destruccin o mal uso, cualquiera que sea el soporte en que
se encuentren contenidos los datos.
USO APROPIADO DE LOS RECURSOS

Queda Prohibido

- El uso de estos recursos para actividades no relacionadas con el propsito

del negocio, o bien con la extralimitacin en su uso.
- Las actividades, equipos o aplicaciones que no estn directamente
especificados como parte del Software o de los Estndares de los Recursos
Informticos propios de Esqupulas Caf.
- Introducir en los Sistemas de Informacin o la Red Corporativa contenidos
obscenos, amenazadores, inmorales u ofensivos.

Queda prohibido

- Introducir voluntariamente programas, virus, macros, applets, controles

ActiveX o cualquier otro dispositivo lgico o secuencia de caracteres que
causen o sean susceptibles de causar cualquier tipo de alteracin o dao en
los Recursos Informticos. El personal contratado por Esqupulas Caf
tendr la obligacin de utilizar los programas antivirus y sus actualizaciones
para prevenir la entrada en los Sistemas de cualquier elemento destinado a
destruir o corromper los datos informticos.

- Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos,
programas o documentos electrnicos.
- Albergar datos de carcter personal en las unidades locales de disco de
los computadores de trabajo.
- Cualquier fichero introducido en la red corporativa o en el puesto de
trabajo del usuario a travs de soportes automatizados, Internet, correo
electrnico o cualquier otro medio, deber cumplir los requisitos
establecidos en estas normas y, en especial, las referidas a propiedad
intelectual y control de virus.

RECURSOS DE RED
De forma rigurosa, ninguna persona debe:
- Conectar a ninguno de los Recursos, ningn tipo de equipo de
comunicaciones (Ej. mdem) que posibilite la conexin a la Red
Corporativa.
-C
onectarse a la Red Corporativa a travs de otros medios que no sean los
definidos.
- Intentar obtener otros derechos o accesos distintos a aquellos que les
hayan sido asignados.
- Intentar acceder a reas restringidas de los Sistemas de Informacin o de
la Red Corporativa.
- Intentar distorsionar o falsear los registros log de los Sistemas de
Informacin.
- Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier
otro elemento de seguridad que intervenga en los procesos telemticos.
- Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el
trabajo de otros Usuarios, ni daar o alterar los Recursos Informticos.

BENEFICIOS DE IMPLANTAR POLTICAS DE SEGURIDAD INFORMTICA

Los beneficios de un sistema de seguridad con polticas claramente
concebidas bien elaboradas son inmediatos, ya que Esqupulas Caf
trabajar sobre una plataforma confiable, que se refleja en los siguientes
puntos:

Aumento de la productividad.

Aumento de la motivacin del personal.

Compromiso con la misin de la compaa.

Mejora de las relaciones laborales.

Ayuda a formar equipos competentes.

Mejora de los climas laborales para los Recursos Humanos.

Debido a las pocas medidas de seguridad que se cuentan en la actualidad

consideramos como un material adicional y de ayuda para la empresa
Esqupulas Caf y otras empresa las siguientes sugerencias.
Al realizar el anlisis de riesgo, se debe identificar todos los recursos que
corran el riesgo de sufrir una violacin de seguridad. Los recursos como el
hardware son bastante obvios para incluirlos en este clculo, pero en muchas
ocasiones se ignoran recursos tales como las personas que en realidad utilizan
los sistemas. Es importante identificar a todos los recursos de la red que
puedan ser afectados por un problema de seguridad.
Una vez

identificado los recursos que requieren proteccin, usted debe

identificar las amenazas a las que estn expuestos. Pueden examinarse las

amenazas para determinar que posibilidad de perdida existe. Tambin debe

identificar que amenazas esta usted tratando de proteger a sus recursos.
La revelacin de informacin, ya sea voluntaria o involuntaria, es otro tipo de
amenaza. Usted debe determinar el valor y delicadeza de la informacin
guardada en sus computadoras. En el caso de vendedores de hardware y
software, el cdigo fuente, los detalles de diseo, los diagramas y la
informacin especfica de un producto representan una ventaja competitiva.
Existen numerosas cuestiones que deben abordarse al elaborar una poltica de
seguridad:

Quin est autorizado para usar los recursos?

Cul es el uso adecuado de los recursos?
Quin est autorizado para conceder acceso y aprobar el uso?
Quin puede tener privilegios de administracin del sistema?
Cules son los derechos y las responsabilidades del usuario?
Cules son los derechos y las responsabilidades del administrador del

sistema, en Comparacin con los de los usuarios!

Qu hace usted con la informacin delicada?

Muchas veces, el administrador del sistema necesita recabar informacin del

directorio privado de un usuario para diagnosticar problemas del sistema. Los
usuarios, por otra parte, tienen el derecho de conservar su privacidad. Existe,
por lo tanto, una contradiccin entre el derecho del usuario a la privacidad y las
necesidades del administrador del sistema. Cuando se presentan amenazas a
la seguridad de la red, el administrador del sistema tendr mayor necesidad de
recabar informacin de los archivos, incluidos los del directorio base de los
usuarios.
La poltica de seguridad de la red debe especificar el grado al que el
administrador del sistema pueda examinar los directorios y archivos privados
de los usuarios para diagnosticar problemas del sistema e investigar
violaciones de la seguridad. Si la seguridad de la red esta en riesgo, la poltica
debe permitir mayor flexibilidad para que el administrador corrija los problemas
de seguridad.

Es necesario contar con un plan de contingencia, cuando la poltica de

seguridad ha sido vulnerada.
Cada vez que se viola la poltica de seguridad, el sistema est sujeto a
amenazas. Si no se producen cambios en la seguridad de la red cuando esta
sea violada, entonces debe modificarse la poltica de seguridad para eliminar
aquellos elementos que no sean seguros.
La poltica de seguridad y su implementacin deben ser lo menos obstructivas
posible. Si la poltica de seguridad es demasiado restrictiva, o esta explicada
inadecuadamente, es muy probable que sea violada o desactivada.
Al margen del tipo de poltica que se implemente, algunos usuarios tienen la
tendencia a violarla. En ocasiones las violaciones a la poltica son evidentes;
otras veces estas infracciones no son detectadas. Los procedimientos de
seguridad que usted establezca deben reducir al mnimo la posibilidad de que
no se detecte una infraccin de seguridad.
Cuando usted detecte una violacin a la poltica de seguridad, debe determinar
si esta ocurri debido a la negligencia de un individuo, a un accidente o error,
por ignorancia de la poltica vigente o si deliberadamente la poltica fue pasada
por alto. En este ltimo caso, la violacin quizs haya sido efectuada no solo
por una persona, sino por un grupo que a sabiendas realiza un acto en
violacin directa de la poltica de seguridad. En cada una de estas
circunstancias, la poltica de seguridad debe contar con lineamientos acerca de
las medidas que se deben tomar.
Cuando ocurre una violacin, la respuesta puede depender del tipo de usuario
responsable del acto. Las violaciones a la poltica pueden ser cometidas por
gran variedad de usuarios; algunos pueden ser locales y otros externos. Los
usuarios locales son llamados usuarios internos y los externos, usuarios
forneos. Por lo general, la distincin entre ambos tipos estn basada en los
lmites de red, administrativos, legales o polticos. El tipo de limite determina
cual debe ser la respuesta a la violacin de la seguridad. Los ejemplos de
respuestas pueden ir desde una reprimenda o advertencia verbal, una carta
formal o la presentacin de cargos judiciales.

Usted necesita definir la accin segn el tipo de violacin. Estas acciones

requieren ser definidas con claridad, con base en el tipo de usuario que haya
violado la poltica de seguridad de computo. Los usuarios internos y externos
de su red deben estar conscientes de la poltica de seguridad.
Se podra tener una violacin de la poltica de seguridad en la que el agresor
sea un usuario interno. Esto podr ocurrir en las siguientes situaciones:
Un usuario local viola la poltica de seguridad de un sitio local.
Un usuario local viola la poltica de seguridad de un sitio remoto.
En el primer caso, debido a que se viola la poltica de seguridad interna, usted
tendr ms control sobre el tipo de respuesta ante esta violacin de seguridad.
En el segundo caso, un usuario local ha violado la seguridad de la poltica de
seguridad de otra organizacin.
Estrategias que se surgieren
Existen dos tipos de estrategias de respuesta ante incidentes de seguridad:
Proteja y contine
Persiga y demande
Si los administradores de la poltica de seguridad sienten que la compaa es
bastante vulnerable, quizs se decidan por la estrategia de proteger y
continuar. El objetivo de esta poltica es proteger de inmediato a la red y
restablecerla a su situacin normal, para que los usuarios puedan seguir
usndola. Para hacer esto, usted tendr que interferir activamente con las
acciones del intruso y evitar mayor acceso. A esto debe seguir el anlisis del
dao causado.
En ocasiones no es posible restablecer la red de inmediato a su funcionamiento
normal; quizs tenga que aislar sus segmentos y apagar sistemas, con el
objeto de evitar ms accesos no autorizados en el sistema.
La desventaja de este procedimiento es que los intrusos saben que ya fueron
detectados y tomaran medidas para evitar que sean rastreados. Asimismo, el
intruso puede reaccionar a su estrategia de proteccin atacando el sitio con

otro mtodo; por lo menos, es probable que el intruso contiene su vandalismo

en otro sitio.
La poltica de seguridad define lo que necesita protegerse, pero no seala
explcitamente como deben protegerse los recursos y el enfoque general para
manejar los problemas de seguridad. En una seccin separada de la poltica de
seguridad deben abordarse los procedimientos generales que deben
implementarse para evitar problemas de seguridad.
La poltica de seguridad debe remitirse a la gua del administrador de sistemas
del sitio respecto a detalles adicionales acerca de la implementacin de los
procedimientos de seguridad.
Antes de establecer los procedimientos de seguridad, debe evaluar el nivel de
importancia de los recursos de la red y su grado de riesgo.
Establecer una poltica de seguridad eficaz requiere considerable esfuerzo. Se
necesita cierto esfuerzo para considerar todos los aspectos y cierta disposicin
para establecer las polticas en papel y hacer lo necesario para que los
usuarios de la red la entiendan adecuadamente.
La confiabilidad en la poltica de seguridad
La confidencialidad puede definirse como el hecho de mantener las cosas
ocultas o secretas. Esta es una consideracin muy importante para varios tipos
de datos delicados.
Las siguientes son algunas de las situaciones en las que la informacin es
vulnerable de ser divulgada:
Cuando la informacin est almacenada en un sistema de cmputo.
Cuando la informacin est en trnsito hacia otro sistema en la red.
Cuando la informacin est almacenada en cintas de respaldo.
Poltica de control
Los controles que usted seleccione sern la primera lnea de defensa en la
proteccin de su red. Estos controles deben representar con precisin lo que
usted intenta proteger, tal como est definido en la poltica de seguridad. Si las
intrusiones externas son una gran amenaza contra su sistema, quiz no sea

econmicamente emplear dispositivos biomtricos para autentificar a los

usuarios internos. En cambio, si la amenaza mayor a sus sistemas es el uso no
autorizado de los recursos de computadora por los usuarios internos, usted
necesitar establecer buenos procedimientos de contabilidad automatizados.
Estrategias reservadas
Si el anlisis de riesgo indica que proteger un recurso es vital para la seguridad
de la red, necesitar usar diversas estrategias para hacerlo, lo cual le da a
usted la seguridad de que, si una estrategia falla o es alterada, otra puede
entrar en accin y seguir protegiendo el recurso de la red.
Puede resultar ms econmico y sencillo usar varias estrategias, de fcil
implementacin pero eficaces, que seguir una sola estrategia complicada y
sofisticada. Este ltimo es el principio del todo o nada. Si el mecanismo
elaborado es vencido, no hay ninguno de reserva que proteja al recurso.
Ejemplos de controles sencillos son los mdems de devolucin de llamada, que
pueden usarse en combinacin con mecanismos tradicionales de conexin.
Esto puede reforzarse con tarjetas inteligentes y autentificando manuales de un
paso.
La importancia del sistema en la poltica de seguridad
Si el anlisis de riesgo indica que proteger un recurso es vital para la seguridad
de la red, necesitar usar diversas estrategias para hacerlo, lo cual le da a
usted la seguridad de que, si una estrategia falla o es alterada, otra puede
entrar en accin y seguir protegiendo el recurso de la red.
Puede resultar ms econmico y sencillo usar varias estrategias, de fcil
implementacin pero eficaces, que seguir una sola estrategia complicada y
sofisticada. Este ltimo es el principio del todo o nada. Si el mecanismo
elaborado es vencido, no hay ninguno de reserva que proteja al recurso.
Ejemplos de controles sencillos son los mdems de devolucin de llamada, que
pueden usarse en combinacin con mecanismos tradicionales de conexin.
Esto puede reforzarse con tarjetas inteligentes y autentificando manuales de un
paso.
Como proteger la conexin en la red.

Si es probable que el ataque del intruso se realice a travs de una red de

conexin externa, como Internet, tal vez tenga que proteger las conexiones con
la red externa.
Puede usarse un dispositivo de firewall para ofrecer un punto de resistencia a
la entrada de intrusos en la red. Adems de la firewall puede usarse routers de
seleccin.
Algunos sitios de la organizacin necesitan conectarse con otros sitios de la
misma organizacin, y est prohibido que se conecten a redes externas. Estas
redes son menos susceptibles de amenazas desde fuera de la red de la
organizacin. De todos modos, pueden ocurrir intrusiones inesperadas a travs
de mdems de acceso telefnico situados en las estaciones de trabajo de
escritorio de los usuarios.
Cuando se envan archivos o documentos a travs de la red, usted debe tener
alguna forma de verificar que stos no hayan sido alterados. Esto es lo que se
llama integridad de la informacin y se refiere al proceso de verificar que la
informacin enviada est completa y sin cambios con respecto de la ltima vez
que se verific. La integridad de la informacin es importante para instituciones
militares, de gobierno y financieras. Tambin puede ser importante que no se
revele informacin clasificada, ya sea con o sin modificaciones. La informacin
que se modifica en forma maliciosa puede crear malas interpretaciones,
confusiones y conflictos.
Si la informacin se enva en forma electrnica a travs de la red, una forma de
asegurar que no se modifique es mediante sumas de verificacin. Cualquier
forma de encriptacin tambin ofrece la integridad de la informacin, ya que el
interceptor tendra que descifrarla primero, antes de modificarla.
Como mantener una poltica de seguridad actualizada
Su poltica de seguridad, adems de identificar a las agencias con las que
debe hacer contacto en caso de incidentes de seguridad, debe tambin
designar a las personas que deban mantenerse actualizadas con las
cuestiones y problemas de seguridad.

Si su organizacin est conectada a Internet, quiz tenga que inscribirse en las

listas de correo o grupos de noticias en los que se discuten temas de seguridad
que son de inters para usted.
Recuerde que se requiere tiempo para mantenerse al da con la informacin de
las listas de correo y grupos de noticias. A menos que usted identifique a las
personas que deban mantener esta informacin, y que esta tarea sea parte de
su trabajo, el administrador del sistema probablemente no tendr tiempo para
hacerlo.

Mendoza

Alvaro (2009) http//www.programa.com/tutorial/sql/ La seguridad en redes

CONCLUSIONES
Si bien da a da aparecen nuevos y complejos tipos de incidentes, an se
registran fallas de seguridad de fcil resolucin tcnica, las cuales ocurren en
muchos casos por falta de conocimientos sobre los riesgos que acarrean. Por
otro lado, los incidentes de seguridad impactan en forma cada vez ms directa
sobre las personas. En consecuencia, se requieren efectivas acciones de
concientizacin, capacitacin y difusin de mejores prcticas.

Como hemos visto la seguridad en las redes se ha convertido en un factor

importante en el diseo e implementacin de las redes. El administrador de la
red debe estar constantemente implementando medidas de seguridad en la red
con el fin de tener una red confiable y estable.
Las redes inalmbricas estn en constante crecimiento y esto representa un
reto para los administradores que tendrn que desarrollar medidas eficaces
para mantener seguras las redes.
Aun con las medidas de seguridad que se implanten, siempre habr amenazas
en contra de las redes.
Toda empresa, pblica o privada, que posean Sistemas de Informacin
medianamente complejos, deben de someterse a un control estricto de
evaluacin de eficacia y eficiencia. Hoy en da, la mayora de las empresas
tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la
vital importancia que los sistemas de informacin funcionen correctamente.. El
xito de una empresa depende de la eficiencia de sus sistemas de informacin.
Una empresa puede contar con personal altamente capacitado, pero si tiene un
sistema informtico propenso a errores, lento, frgil e inestable; la empresa
nunca saldr a adelante.

Bibliografa
Libros
Cook David (2007) Inicie su negocio en Web. Editorial Prentice Hall
Hispanoamericana, S. A.
Sitios Web

GALLEGO CARLOS (2009) http://www.carlosgallego.com/como-inver-menosen-adwords.html. Como Invertir Menos y Vender ms con seguridad en la Web
Gallego Carlos (2009) http://dominandoadword.com. Estrategias de seguridad
en internet
Rentera Carolina (2008)
http://mercadeoglobal.com/articulos/articles/781/1/Tu-Negocio-en-InternetCamino-a-la-Me/Pagina1.html. Tu Negocio en Internet: Seguro a la Meta
Mendoza Alvaro (2009) http//www.programa.com/tutorial/sql/ La seguridad en
redes