DISEO DE ARQUITECTURA DE RED BASADA EN LAS NORMAS DE SEGURIDAD DE LA INFORMACIN

HENKY EDUARDO BASTIDAS

SANDRA BEDOYA CHANTRE

RICARDO RODRIGUEZ OLARTE

SERVICIO NACIONAL DE APRENDIZAJE-SENA ESPECIALIZACIN SEGURIDAD EN REDES DE COMPUTADORES CENTRO DE ELECTRICIDAD ELECTRNICA Y TELECOMUNICACIONES BOGOTA D.C 2010

DISEO DE ARQUITECTURA DE RED BASADA EN LAS NORMAS DE SEGURIDAD DE LA INFORMACIN

HENKY EDUARDO BASTIDAS

SANDRA BEDOYA CHANTRE

RICARDO RODRIGUEZ OLARTE

ASESOR: ING. CARLOS PEARANDA

SERVICIO NACIONAL DE APRENDIZAJE - SENA SEGURIDAD EN REDES DE COMPUTADORES CENTRO DE ELECTRICIDAD ELECTRONICA Y TELECOMUNICACIONES BOGOTA D.C 2010

Nota de aceptacin: ___________________________________________ ___________________________________________ ___________________________________________ ___________________________________________ ___________________________________________

______________________________________ Firma del Asesor

___________________________________________

Firma del jurado.

___________________________________________

Firma del jurado.

___________________________________________

Firma del jurado.

Bogot D.C

CONTENIDO
Pg.

INTRODUCCIN ...................................................................................................................... 11 OBJETIVO GENERAL .............................................................................................................. 13 OBJETIVOS ESPECFICOS .................................................................................................... 13 CAPITULO 1. MARCO TERICO ......................................................................................... 14 1.1 1.1.1 1.1.2 1.1.3 Seguridad de la informacin ..................................................................................... 15 Seguridad Fsica .................................................................................................... 15 Seguridad Lgica ................................................................................................... 16 Respuesta frente a violaciones de los Sistemas ................................................. 16

1.1.3.1 La Empresa o Institucin teme ser lo suficientemente vulnerable, puede elegir una estrategia del tipo "Proteger y Proceder" .......................................................... 17 1.1.3.2 1.2 1.2.1 1.2.2 1.2.3 1.2.3.1 1.2.3.2 1.2.3.3 1.2.3.4 1.2.3.4.1 1.2.3.4.2 1.2.3.4.3 1.2.3.5 1.2.3.5.1 El otro planteamiento, "Perseguir y Procesar", es la filosofa opuesta. ....... 17

La Seguridad Informtica .......................................................................................... 18 Propiedades de la Seguridad Informtica ............................................................ 18 reas de Administracin de la Seguridad. ........................................................... 19 Clasificacin de los Factores que Intervienen en Seguridad ............................. 19 El factor Organizacional ..................................................................................... 19 Usuarios .............................................................................................................. 19 La alta direccin ................................................................................................. 19 El factor software ................................................................................................ 20 La Aplicacin....................................................................................................... 20 El Sistema Operativo ......................................................................................... 20 Software de red .................................................................................................. 20 El factor hardware .............................................................................................. 21 Hardware de Red ............................................................................................... 21

1.2.3.5.2 1.2.4 1.2.4.1 1.2.4.2 1.2.4.2.1 1.2.4.2.2 1.2.4.2.3 1.2.4.2.4 1.2.5 1.2.5.1 1.2.5.2 1.2.5.3 1.2.5.4 1.2.5.5 1.2.5.6 1.2.5.7 1.2.6 1.3 1.3.1 1.3.2 1.3.3 1.3.3.1 1.3.3.2 1.3.3.3 1.3.3.4 1.3.3.5 1.3.3.5.1 1.3.3.5.2 1.3.3.5.3 1.3.3.5.4

Servidores ........................................................................................................... 21 Principales Mtodos de Proteccin ...................................................................... 21 Mtodos de proteccin:...................................................................................... 22 Sistemas de deteccin de intrusos ................................................................... 22 Sistemas orientados a conexin de red ........................................................... 22 Sistemas de anlisis de vulnerabilidades ........................................................ 22 Sistemas de proteccin a la privacidad de la informacin .............................. 23 Sistemas de proteccin a la integridad de informacin .................................. 23 Medidas aplicables en cualquier ambiente .......................................................... 23 Informar al usuario/administrador ..................................................................... 23 Respaldar siempre ............................................................................................. 24 Realizar verificaciones no predecibles ............................................................. 24 Leer las bitcoras ............................................................................................... 24 Aplicar parches o tener las ltimas versiones del software ......................... 25 Leer noticias sobre seguridad ........................................................................... 25 Cancelacin de cuentas de accesos ................................................................ 25 Beneficios de un Sistema de Seguridad .............................................................. 27

Causas de la Inseguridad en las Redes .................................................................. 27 El Crecimiento Acelerado de las Redes Empresariales ..................................... 28 El Crecimiento Acelerado de Internet ................................................................... 29 Protocolo TCP/IP.................................................................................................... 32 Protocolo de Internet /IP .................................................................................... 32 Protocolo de Control de Transmisin/ TCP ..................................................... 33 Etapas del Modelo TCP/IP ................................................................................ 34 Familia de Protocolos Modelo TCP/IP.............................................................. 36 Vulnerabilidad en Capas de modelo TCP/IP ................................................... 38 Capa de red ........................................................................................................ 38 Capa de Internet ................................................................................................. 39 Capa de Transporte ........................................................................................... 40 Capa de Aplicacin ............................................................................................ 40

1.4 1.4.1 1.4.2 1.5 1.5.1 1.5.2

Tipos de Ataques o Amenazas ................................................................................. 41 Ataques pasivos ..................................................................................................... 43 Ataques activos ...................................................................................................... 43 Polticas de Seguridad Informtica ........................................................................... 44 Identificacin de los activos organizativos ........................................................... 45 Valoracin del riesgo ............................................................................................. 45 Establecer las reas y Grados de Riesgo ....................................................... 45 Riesgo Computacional ....................................................................................... 46 Disposiciones que Acompaan la Seguridad .................................................. 48

1.5.2.1 1.5.2.2 1.5.2.3 1.6 1.6.1 1.6.2 1.6.3 1.6.3.1 1.7 1.7.1 1.7.1.1 1.7.1.1.1 1.7.1.2 1.7.1.2.1 1.7.1.3 1.7.2 1.7.2.1 1.7.2.2 1.7.2.2.1 1.7.2.2.2 1.7.2.2.3 1.7.2.2.4 1.7.3 1.7.3.1

Definicin de una poltica de uso aceptable ............................................................ 49 Otorgamientos de permisos .................................................................................. 50 Identificacin y verificacin del usuario ................................................................ 50 Auditoria y revisin ................................................................................................. 52 Consideraciones Inmediatas para la Auditoria de la Seguridad .................... 53

Tcnicas y tecnologas de seguridad a nivel de red: .............................................. 54 Criptologa............................................................................................................... 54 DES Data Encryption Standard........................................................................ 56 Seguridad del algoritmo ..................................................................................... 57 RSA (Rivest, Shamir y Adleman) ...................................................................... 58 Seguridad del algoritmo ..................................................................................... 58 Aplicaciones ........................................................................................................ 59 Firewalls .................................................................................................................. 62 Beneficios de un firewall .................................................................................... 63 Tipos de Firewalls .............................................................................................. 64 Packet filter (filtro de paquetes) ........................................................................ 64 Firewalls a nivel de aplicacin ........................................................................... 65 Firewalls a nivel de circuito:............................................................................... 66 Cortafuegos basados en certificados digitales: ............................................... 66 Host De Base Dual................................................................................................. 68 Host De Base Dual Como Firewall ................................................................... 68

CAPITULO 2. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN SEGN LA NORMA UNE-ISO/IEC 27000 ............................................................................. 70 2.1 . 2.1.1 . 2.1.1.1 2.1.1.2 2.1.1.3 (SGSI)? 2.2 . 2.2.1 . 2.2.2 . 2.2.3 . 2.2.3.1 2.2.3.2 2.2.4 . 2.3 . 2.3.1 . 2.3.2 . 2.3.2.1 2.3.2.2 2.3.2.3 2.3.2.4 2.4 . 2.4.1 . 2.4.2 . 2.4.3 . 2.4.4 . 2.5 . 2.5.1 . 2.5.2 . CONCEPTOS BSICOS SOBRE SEGURIDAD DE LA INFORMACIN ........... 70 Conceptos bsicos ................................................................................................. 70 Qu entendemos por seguridad de la informacin? ..................................... 70 Qu entendemos por seguridad de la informacin? ..................................... 71 Qu son los Sistemas de Gestin de la Seguridad de 72 la Informacin

Estndares de gestin de la seguridad de la informacin ..................................... 74 La organizacin iso ................................................................................................ 75 La familia de las normas iso .................................................................................. 75 La norma iso 27001 ............................................................................................... 77 Orgenes.............................................................................................................. 77 Contenido de la UNE-ISO/IEC 27001 .............................................................. 78 La norma iso 27002 ............................................................................................... 79 Implantacin de un SGSI .......................................................................................... 81 Aspectos generales................................................................................................ 81 Tareas a realizar .................................................................................................... 82 Fase plan ............................................................................................................ 82 Fase Do (Hacer) ................................................................................................. 83 Fase Check (Comprobar) .................................................................................. 85 Fase Act (Actuar)................................................................................................ 86

Definicin de las polticas, organizacin, alcance del sistema .............................. 87 Alcance del SGSI ................................................................................................... 87 Poltica de seguridad ............................................................................................. 89 Organizacin de la seguridad ............................................................................... 91 Concienciacin ....................................................................................................... 94 Los activos de seguridad de la informacin ............................................................ 96 Identificacin de los activos de informacin ........................................................ 96 Inventario de los activos ........................................................................................ 97

2.5.3 . 2.6 . 2.6.1 . 2.6.2 . 2.6.2.1 2.6.2.2 2.6.2.3 2.6.2.4 2.6.2.5 2.7 . 2.7.1 . 2.7.2 .

Valoracin de los activos ....................................................................................... 98 Realizacin del anlisis de riesgos .......................................................................... 98 Conceptos bsicos de un anlisis de riesgos...................................................... 98 Realizacin del anlisis de riesgos ..................................................................... 100 Preparacin del anlisis de riesgos ................................................................ 100 Identificar amenazas ........................................................................................ 101 Identificacin de vulnerabilidades ................................................................... 102 Ejecucin del anlisis ....................................................................................... 102 Documentar el anlisis de riesgos .................................................................. 103

Proceso de certificacin .......................................................................................... 104 Qu significa obtener la norma une/iso-iec 27001? ....................................... 104 Quin certifica? .................................................................................................. 105

CAPITULO 3. PLANTEAMIENTO DEL CASO DE ESTUDIO............................................ 107 3.1 3.2 3.2.1 3.2.2 3.2.2.1 3.2.2.1.1 3.2.2.1.2 3.2.2.1.3 3.2.2.1.3.1 3.2.2.1.3.2 3.2.2.1.3.3 3.2.2.1.4 3.2.2.1.5 3.2.2.2 3.2.2.2.1 3.2.2.2.2 Descripcin del problema ........................................................................................ 107 Solucin diseo de arquitectura de red ................................................................. 107 Levantamiento de infraestructura ....................................................................... 107 Anlisis de Riesgos .............................................................................................. 109 Resumen ejecutivo ........................................................................................... 109 Introduccin ...................................................................................................... 109 Historial del personal: Proceso y mbito de autoevaluacin ........................ 110 Anlisis de la situacin..................................................................................... 111 Resultados .................................................................................................... 111 Risk-Defense ................................................................................................ 111 Madurez de la Seguridad ............................................................................. 112 Tarjeta de puntuacin ...................................................................................... 113 Iniciativas de seguridad ................................................................................... 115 Evaluacin detallada ........................................................................................ 115 reas de anlisis .............................................................................................. 115 Anlisis de la evaluacin ................................................................................. 117

3.2.2.2.2.1 3.2.2.2.2.2 3.2.2.2.2.3 3.2.2.2.2.4 3.2.2.3 3.2.2.4 3.2.2.4.1 3.2.2.4.2 3.2.2.4.3 3.2.3 3.2.3.1 3.2.3.1.1 3.2.3.1.2 3.2.3.1.3 3.2.3.1.4 3.2.3.1.4.1 3.2.3.1.4.2 mnimo 3.2.3.1.4.3 3.2.3.1.4.4 3.2.3.1.4.5 3.2.3.1.5 3.2.3.1.5.1 3.2.3.1.5.2 3.2.3.1.6 3.2.3.1.6.1 3.2.3.1.6.2 3.2.3.1.7 3.2.3.1.7.1 3.2.3.1.7.2 3.2.3.1.7.3

Infraestructura ............................................................................................... 117 Aplicaciones .................................................................................................. 132 Operaciones .................................................................................................. 142 Personal ........................................................................................................ 152 Lista de acciones recomendadas ................................................................... 159 Apndices ......................................................................................................... 161 Preguntas y respuestas ................................................................................... 161 Glosario ............................................................................................................. 168 Interpretacin de grficos ................................................................................ 169

Solucin de Infraestructura en tecnologa Microsoft ........................................ 170 Infraestructura................................................................................................... 170 Reglas y filtros de Firewall ............................................................................... 171 Segmentacin ................................................................................................... 172 Diseo de la topologa de red ......................................................................... 176 Configuracin de Router Cisco ....................................................................... 176 Banner y autenticacin de usuario autorizado ........................................... 177 Todos los password encriptados y con requerimiento de 10 caracteres 178 Creacin de usuario para autenticacin ..................................................... 179 Autenticacin CHAP ..................................................................................... 179 Negacin entre VLANs................................................................................ 180 Configuracin de Switchs Cisco.................................................................... 181 Creacin de VLANs de la oficina principal ................................................ 182 Creacin de VLANs de la Sucursal 1......................................................... 183 Conexin Inalmbrica ...................................................................................... 184 Configuracin del router Linksys ................................................................. 186 Tomando direccin DHCP del Access Point .............................................. 187 Configuracin del Servidor de Infraestructura primario ................................ 187 Controlador de dominio principal ................................................................ 188 Servicio de nombres de dominio (DNS01) ................................................. 189 Protocolo de configuracin de host dinmica (DHCP) .............................. 191

3.2.3.1.7.4 3.2.3.1.8 3.2.3.1.8.1 3.2.3.1.8.2 3.2.3.1.8.3 3.2.3.1.8.4 3.2.3.1.9 3.2.3.1.10 3.2.3.1.11 3.2.3.1.11.1 3.2.3.1.11.2 3.2.3.1.12 3.2.3.1.13 3.2.3.1.13.1 3.2.3.1.13.2 3.2.3.1.13.3 3.2.3.1.14 3.2.3.1.14.1 3.2.3.1.15

Entidad Certificadora .................................................................................... 191 Configuracin del Servidor de Infraestructura secundario ........................... 192 Configuracin de Exchange Server ............................................................ 193 Agregando el dominio externo .................................................................... 194 Filtrando conexiones .................................................................................... 194 Protocolo de RPC sobre HTTPS ................................................................. 196 Antivirus............................................................................................................. 196 Acceso remoto .............................................................................................. 197 Autenticacin ................................................................................................ 198 Usuarios administrativos .......................................................................... 198 Usuarios Internos ...................................................................................... 199 Directivas de contraseas: .......................................................................... 200 Gestin de Actualizaciones y revisiones .................................................... 201 Documentacin de la red ......................................................................... 201 Gestin de actualizaciones ...................................................................... 202 Copias de Seguridad ................................................................................ 203 Personal ........................................................................................................ 203 Formacin y conocimiento ....................................................................... 203 Pruebas de funcionamiento de la arquitectura de red .............................. 204

CONCLUSIONES.................................................................................................................... 213 BIBLIOGRAFIA........................................................................................................................ 214

10

INTRODUCCIN
Las redes de comunicaciones y los sistemas de informacin han llegado a ser en nuestros das un factor esencial para el desarrollo econmico y el bienestar social. La informtica y las redes telemticas, fijas y mviles, se estn convirtiendo en recursos omnipresentes, actualmente utilizadas por igual en el ocio y en el

negocio, configurando lo que se ha dado en llamar la moderna Sociedad de la Informacin.

Por consiguiente, garantizar la seguridad de las redes de comunicacin y de los sistemas de informacin, y en particular su disponibilidad, es un asunto que preocupa cada vez ms a la sociedad en su conjunto. A medida que la Sociedad de la Informacin va incrementando su importancia para la economa y para los sectores productivos, la seguridad de las infraestructuras y de la informacin que circula por las mismas se presenta como una prioridad bsica.

El desarrollo de este trabajo de grado responde

esta

necesidad

de

implementar los mecanismos que garanticen la seguridad de la informacin. Est estructurada en tres grandes captulos.

En el primero, los trminos con relacin al trabajo que se ha desarrollado para familiarizarnos y comprender las tecnologas de la seguridad, tales como encriptacin, el cifrado, las firmas digitales o las infraestructuras de clave pblica, en lo que llamamos marco terico.

11

En el segundo captulo, se hace una presentacin de lo que es un Sistema de Gestin de la Seguridad de la Informacin de acuerdo con la norma UNE ISO 27001, la cual se define como la manera en que la organizacin conoce los riesgos a los que est sometida su informacin y los gestiona mediante una sistema definido, documentado y conocido por todos, que se revisa y se mejora constantemente.

El ltimo captulo describe el proceso de un anlisis desarrollado para proporcionar una solucin a un problema serio en cuanto a la seguridad de la redes de informacin se refiere. La solucin que he planteado est basada en las mejores prcticas de la norma ISO 27001, donde se parte del conocimiento de la topologa actual de la empresa, se realiza un levantamiento de la infraestructura, se hace un anlisis de riesgos y se presenta la solucin de infraestructura de red.

12

OBJETIVOS

OBJETIVO GENERAL

Disear una infraestructura de red que garantice la confidencialidad, integridad y disponibilidad de los recursos de la informacin que garantice la continuidad del negocio de nuestra empresa.

OBJETIVOS ESPECFICOS
Definir los trminos concernientes a la seguridad de la informacin. Establecer un Sistema de Gestin de la Seguridad de la Informacin. Realizar anlisis de riesgos a una infraestructura de red establecida. Garantizar la continuidad del negocio. Proporcionar un modelo de seguridad completo que proteja los datos y la infraestructura de red frente ataque tanto internos como externos.

13

CAPITULO 1. MARCO TERICO

El desarrollo de las nuevas tecnologas conlleva, a una mejor preparacin, cada vez las empresas buscan implementar mejores tecnologas y mayor seguridad por parte de estas.

A medida que las empresas crecen, contratan ms empleados, abren sucursales y se expanden a mercados globales. Estos cambios ejercen influencia sobre los requisitos de servicios integrados e impulsan los requisitos de red de la empresa.

En este proyecto analizaremos las maneras en las que las redes de una empresa cambian para adaptarse a las nuevas tecnologa y estar a la vanguardia del desarrollo tecnolgico. Cada empresa es nica y la manera en la que una organizacin crece depende de muchos factores, tales como el tipo de productos y servicios que vende la empresa, la filosofa de administracin de los dueos y el clima econmico del pas en donde opera la empresa.

En pocas de desarrollo econmico lento, muchas empresas se concentran en aumentar su rentabilidad mediante la mejora de la eficacia de las operaciones existentes, el aumento de la productividad de los empleados y la reduccin de los costos de operacin. El establecimiento y la administracin de redes pueden representar gastos importantes de operacin e instalacin.

Para justificar un gasto de esta envergadura, las empresas esperan que sus redes funcionen de manera ptima y que puedan brindar un conjunto de servicios y aplicaciones en constante crecimiento para respaldar la productividad y la rentabilidad.

14

1.1 Seguridad de la informacin

La seguridad tiene su nacimiento con la aparicin de los ataques a la informacin por parte de intrusos interesados en el contenido de sta. El objetivo de la seguridad de la informacin es: Mantener el secreto, evitando los accesos no autorizados. Mantener la autenticidad, evitando modificaciones no autorizadas. Dentro del concepto de seguridad debemos distinguir la Seguridad Fsica de la Seguridad Lgica

1.1.1 Seguridad Fsica

La Seguridad fsica comprende el aspecto del hardware, la manipulacin del mismo, as como tambin el ambiente en el cual se van a instalar los equipos. Para garantizar la seguridad de los mismos podramos considerar los siguientes criterios: Uso del equipo por personal autorizado. Solo podr tener acceso al equipo aquella personal que cuente con conocimientos mnimos sobre computacin. Tener ms de un servidor de base de datos, lo cual asegurar la integridad total de la informacin. Ubicacin de las instalaciones, la cual debe cumplir las normas internacionales de calidad (ISO 9000).

15

 Control de alarma la cual notifique en todo momento sobre la integridad fsica del sistema.

1.1.2 Seguridad Lgica

La seguridad lgica comprende el aspecto de los sistemas, tanto operativos como de informacin. Dentro de las medidas a tomar para garantizar la seguridad de los mismos se recomienda las siguientes: Construccin de contraseas en diversos niveles del sistema, donde permita solo el acceso en base a niveles de seguridad de usuarios con permiso. En base al sistema operativo que use como plataforma, utilizar algoritmos que generen claves para poder encriptar los archivos de contraseas dentro del sistema, me permita mayor seguridad en un entorno de red. Generar un mdulo del sistema para la emisin de reportes para el administrador del sistema, en donde se muestre tablas de uso del sistema, usuarios y los niveles de acceso por parte de los tales para poder determinar el uso y acceso al sistema. Es necesario contar con el diseo de mdulos que ejecuten un Control de alarma la cual notifique en todo momento sobre la integridad de la informacin del sistema.

1.1.3 Respuesta frente a violaciones de los Sistemas

Hay un gran nmero de respuestas, eficaces y menos eficaces, que una Empresa o Institucin puede elegir tras la comprobacin de una violacin de la seguridad Informtica. Siempre que una empresa sufra un incidente que pueda poner en compromiso la seguridad informtica, las estrategias de reaccin pueden recibir la influencia de dos presiones opuestas.

16

1.1.3.1La Empresa o Institucin teme ser lo suficientemente vulnerable, puede elegir una estrategia del tipo "Proteger y Proceder"
Este planteamiento tendr como objetivo principal, la proteccin y preservacin de las instalaciones de la empresa, y la vuelta a la normalidad para sus usuarios tan pronto como sea posible. Prevenir futuros accesos, y empezar de inmediato la valoracin de daos y la recuperacin. El mayor inconveniente es que a menos que el intruso sea identificado, puede volver a travs de una ruta diferente, o bien atacar a otro. Esta accin se tomar: Si los activos no estn bien protegidos. Si una intrusin continuada puede provocar un riego financiero. Si no se quiere proceder judicialmente. Si el trabajo de los usuarios es vulnerable.

1.1.3.2 El otro planteamiento, "Perseguir y Procesar", es la filosofa opuesta.

La meta principal es la de permitir que los intrusos continen con sus actividades en la empresa, hasta que se pueda identificar a las personas responsables. Esto solo es aplicable si se cumple con los siguientes requisitos. Si los sistemas estn bien protegidos. Si existen buenas copias de seguridad.

17

 Si se trata de un ataque que se produce con frecuencia. Si puede controlarse el acceso del intruso. Si se quieren llevar a cabo acciones judiciales

1.2 La Seguridad Informtica

El concepto exacto de Seguridad Informtica es difcil de proporcionar, debido a la gran cantidad de factores que intervienen. Sin embargo es posible enunciar que Seguridad es el conjunto de recursos (metodologas, documentos, programas y dispositivos fsicos) encaminados a lograr que los recursos de cmputo disponibles en un ambiente dado, sean accedidos nica y exclusivamente por quienes tienen la autorizacin para hacerlo.

1.2.1 Propiedades de la Seguridad Informtica

La Seguridad Informtica debe vigilar principalmente las siguientes propiedades: Privacidad - La informacin debe ser vista y manipulada nicamente por quienes tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a la Privacidad es la Divulgacin de Informacin Confidencial. Integridad - La informacin debe ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificacin no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar. Disponibilidad - La informacin debe estar en el momento que el usuario requiera de ella. Un ataque a la disponibilidad es la negacin de servicio ( Denial of Service o DOS) o tirar el servidor

18

1.2.2 reas de Administracin de la Seguridad.

Para simplificar, es posible dividir las tareas de administracin de seguridad en tres grandes rubros. Estos son: Autenticacin- Se refiere a establecer las entidades que pueden tener acceso al universo de recursos de cmputo que cierto medio ambiente puede ofrecer. Autorizacin- Es el hecho de que las entidades autorizadas a tener acceso a los recursos de cmputo, tengan efectivamente acceso nicamente a las reas de trabajo sobre las cuales ellas deben tener dominio. Auditora- Se refiere a la continua vigilancia de los servicios en produccin. Entra dentro de este rubro el mantener estadsticas de acceso, estadsticas de uso y polticas de acceso fsico a los recursos.

1.2.3 Clasificacin de los Factores que Intervienen en Seguridad

1.2.3.1 El factor Organizacional

1.2.3.2 Usuarios
-Tipo de usuarios que se tienen -Reglamentos y polticas que rigen su comportamiento -Vigilar que esos reglamentos y polticas se cumplan, y no queden slo en papel

1.2.3.3 La alta direccin

-Inversin en capacitacin de los administradores

19

-Apoyo econmico orientado a la adquisicin de tecnologa de seguridad. -Negociar acuerdos de soporte tcnico con los proveedores de equipo.

1.2.3.4 El factor software

1.2.3.4.1

La Aplicacin

-Vigilar que tenga mecanismos para control de acceso integrados -Observar las facilidades de respaldo de informacin que se tienen -Establecer qu tan crtica es la aplicacin y desprender su disponibilidad.

1.2.3.4.2

El Sistema Operativo

-Mostrar preferencias por los sistemas operativos -Vigilar que soporte estndares de seguridad -Observar las recomendaciones del fabricante y aplicar los parches que libere. -Vigilar siempre las bitcoras -Mantenerse informado sobre las alertas de seguridad

1.2.3.4.3

Software de red

-Vigilar de cerca las estadsticas de acceso y trficos de la red. -Procurar implementar cortafuegos (firewalls), pero no confiar en ellos

20

-En la medida de lo posible, apoyar las conexiones cifradas.

1.2.3.5 El factor hardware

1.2.3.5.1

Hardware de Red

- Elegir adecuadamente el tipo de tecnologa de transporte (Ethernet, FDDI, etc.). - Proteger muy bien el cableado, las antenas y cualquier dispositivo de red. - Proporcionar peridicamente mantenimiento a las instalaciones

1.2.3.5.2

Servidores

-Mantenerlos en condiciones de humedad y temperatura adecuados. -Establecer polticas de acceso fsico al servidor. -El mantenimiento tambin es importante aqu.

1.2.4 Principales Mtodos de Proteccin

Por regla general, las polticas son el primer paso que dispone a una organizacin para entrar en un ambiente de seguridad, puesto que reflejan su voluntad de hacer algo que permita detener un posible ataque antes de que ste suceda (proactividad).

21

1.2.4.1 Mtodos de proteccin:

1.2.4.2 Sistemas de deteccin de intrusos

Son sistemas que permiten analizar las bitcoras de los sistemas en busca de patrones de comportamiento o eventos que puedan considerarse sospechosos, en base a la informacin con la que han sido previamente alimentados. Pueden considerarse como monitores.

1.2.4.2.1

Sistemas orientados a conexin de red

Aqu estn considerados los cortafuegos (Firewall) y los Wrappers, los cuales monitorean las conexiones de red que se intentan establecer con una red o un equipo en particular, siendo capaces de efectuar una accin en base a datos como: origen de la conexin, destino de la conexin, servicio solicitado, etc. Las acciones que pueden emprender suelen ir desde el rechazo de la conexin hasta alerta al administrador va correo electrnico.

1.2.4.2.2

Sistemas de anlisis de vulnerabilidades

Analizan sistemas en busca de vulnerabilidades conocidas anticipadamente. La desventaja de estos sistemas es que pueden ser utilizados tanto por personas autorizadas como por personas que busquen acceso no autorizado al sistema.

22

1.2.4.2.3 Sistemas de proteccin a la privacidad de la informacin

Herramientas que utilizan criptografa para asegurar que la informacin slo es visible a quien tiene autorizacin de verla. Su aplicacin es principalmente en las comunicaciones entre dos entidades. Dentro de este tipo de herramientas podemos situar a PrettyGoodPrivacy (PGP), Secure Sockets Layer (SSL) y los certificados digitales tipo X.509.

1.2.4.2.4

Sistemas de proteccin a la integridad de informacin

Sistemas que mediante criptografa o sumas de verificacin tratan de asegurar que no ha habido alteraciones indeseadas en la informacin que se intenta proteger. Algunos ejemplos son los programas que implementan algoritmos como MessageDigest 5 (MD5) o Secure Hash Algorithm 1 (SHA-1), o bien sistemas que utilizan varios de ellos como Tripwire.

1.2.5 Medidas aplicables en cualquier ambiente

1.2.5.1Informar al usuario/administrador
El administrador, debe notificar a sus usuarios de los mecanismos de seguridad que se han implementado, y animar a los usuarios a utilizar estos mecanismos de seguridad, dando conocer las posibles consecuencias de no cumplir con ellos. Hacerles saber a los usuarios que si prestan su password estn cometiendo una falta, y que igualmente sern responsables por los actos, de buena o mala fe, que alguien ms realice con su

23

cuenta o sistema, si logra adivinar dicho password. El usuario por otra parte, debe considerar todas las disposiciones y recomendaciones que brinda el Administrador de los sistemas de la institucin, adems el usuario debe hacer conocer al administrador, cualquier sospecha de violacin de cualquier recurso al que el usuario tiene acceso legtimo.

1.2.5.2 Respaldar siempre

Sin embargo no basta con efectuar respaldos. Una buena poltica de respaldos contempla, entre otras cosas: tiempos ptimos de respaldo y recuperacin, periodicidad del respaldo y verificacin de integridad (de nada sirve un respaldo no ntegro), necesidad de duplicidad y expiracin de los respaldos. El usuario, debe adems hacer su propio respaldo adicional, al que hace el administrador siempre que le sea posible, dependiendo tambin de la importancia de su informacin.

1.2.5.3 Realizar verificaciones no predecibles

Por ejemplo, si un ladrn conoce las horas a las que la guardia de un banco hace su ronda de vigilancia, seguramente decidir no robarlo a esas horas. Lo mismo sucede con los sistemas; si se hacen verificaciones peridicas, y alguien ms conoce cmo y cundo se realizan estas verificaciones, entonces ser necesario adems hacer verificaciones de periodicidad no predecible, a fin de obtener una estadstica ms real del comportamiento del sistema.

1.2.5.4 Leer las bitcoras

Las bitcoras del sistema reflejan lo que ocurre en el mismo. De nada sirve tenerlas si no son ledas. Ah es donde pueden descubrirse ataques no exitosos perpetrados contra su sistema.

24

1.2.5.5 Aplicar parches o tener las ltimas versiones del software

Las vulnerabilidades sobre algn producto o plataforma, pueden dar la vuelta al mundo rpidamente gracias a Internet. Es recomendable por ello contar siempre con la versin ms actualizada del software, o bien aplicar los parches respectivos cuando son liberados. En este rubro, el software libre (Linux/Apache) cuenta con una ventaja sobre software comercial, pues el tiempo de respuesta es dramticamente ms rpido para el software libre.

1.2.5.6 Leer noticias sobre seguridad

Si su proveedor mantiene una lista de seguridad, nase a ella. As mismo suscrbase a listas que le informen sobre seguridad en general de modo que obtenga un panorama amplio pero conciso sobre el tema.

1.2.5.7 Cancelacin de cuentas de accesos

Todo lo anterior no sirve si personas que han trabajado para la institucin poseen sus cuentas de acceso despus de haber dejado de colaborar con ella. Las estadsticas demuestran que un 85% de los ataques de seguridad son realizados desde dentro de la institucin, o bien a travs de cuentas de personal que estuvo dentro de ella. Los principales puntos a tratar sobre la seguridad de las redes de comunicacin son: Autenticidad de usuarios y sistemas. Integridad de los mensajes.

25

Privacidad de la informacin. Disponibilidad y rendimiento. La autenticidad. Comprende la identificacin y su validacin. Cada

sistema debe poder demostrar al otro que es quien dice ser, que no lo engaa. De esta manera evitaremos una falsa respuesta del mensaje que hemos enviado. El problema se complica en sistemas distribuidos o en redes multihost, donde el usuario entra en un sistema y la autenticidad se necesita en el otro extremo de la red. Este debe fiarse que la informacin que le enva el primer sistema es autntica, y necesita estar seguro de que la informacin no ha sido cambiada. autentificacin se realiza en cascada, lo que se llama una red "trusted". Un mecanismo que soluciona el problema recibe el nombre de "Pasaporte". Otro mecanismo es el del "Paso fiable". En todos los servicios de autentificacin se usa la criptografa. Para asegurar la integridad. Podemos usar mecanismos tan sencillos como registrar la hora de emisin o la numeracin secuencial de los mensajes, o utilizando la criptografa "end-to-end" o "point-to-point". Para el tratamiento de la confidencialidad. La solucin es la criptografa. Cuando slo parte del mensaje se debe cifrar, se utiliza el cifrado selectivo. La disponibilidad de la red. Se ve afectada por defectos de diseo, fallos del sistema, etc. Emisor y receptor pueden perder la comunicacin sin darse cuenta, para evitarlo se usa la tcnica de intercambio de mensajes especiales. Cuanto ms a menudo son enviados estos mensajes, ms seguro se estar de la continuidad del servicio. Pero esto produce una sobrecarga del servicio y hace bajar el rendimiento. Por lo tanto es necesario llegar a un equilibrio entre seguridad y rendimiento.

26

1.2.6 Beneficios de un Sistema de Seguridad

Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.

1.3 Causas de la Inseguridad en las Redes

Las causas ms comunes que pueden suscitarse debido a la falta de un buen sistema de seguridad en las Redes son: El crecimiento acelerado de las redes empresariales y particularmente el crecimiento en Internet, aunado a que el diseo de las redes se asuma en ambientes seguros controlados a travs de usuarios autorizados y sin vislumbrar la futura conexin a redes externas, adems de que protocolos de comunicacin como el TCP/IP no fueron concebidos teniendo en cuenta aspectos de seguridad, son las principales causas de la inseguridad en las redes. Existen algunas ideas errneas acerca de la seguridad, como el que se est totalmente protegidos con la asignacin de contraseas a todos los recursos, usuarios funcionales y aplicaciones, o comprar un firewall o equivalente, o suponer que los usuarios funcionales o posibles atacantes tienen bajo conocimiento.

27

 Tambin es un error sentirse seguros con un Portero en la puerta de un centro de cmputo, as como tambin es un error pensar en que a mayor complejidad del sistema de seguridad, obtenemos mayor seguridad. A continuacin se vern explcitamente estas causas mencionadas.

1.3.1 El Crecimiento Acelerado de las Redes Empresariales

Las Telecomunicaciones, medio fundamental para el intercambio de informacin a distancia, han evolucionado para satisfacer esta necesidad, su evolucin no se ha limitado a la parte tecnolgica sino que ha incluido otros aspectos. Dentro de estos nuevos conceptos se encuentran la Redes Empresariales, utilizadas hoy en da por una gran cantidad de empresas que cuentan con sucursales u oficinas en diferentes sitios de una ciudad, de un pas o de varios pases. Es as como hoy en da no se concibe una transaccin bancaria, de una tarjeta de crdito o una reserva area sin un sistema en lnea, independientemente de donde se encuentre el cliente o la oficina que lo atiende. Tambin ya es comn ver medianas y pequeas antenas para comunicaciones satelitales en los edificios y locales de los bancos, supermercados, fbricas, gasolineras y centros

comerciales. Es en tal sentido que hay un desarrollo acelerado de este tipo de redes y su tendencia hacia el uso de la banda ancha, integrando voz, datos e imgenes. Seguridad en Redes de Datos. Por lo tanto es importantsimo que procuremos dar a las comunicaciones la mxima seguridad, as la incrementamos tambin en todo el sistema. Pero las redes crecen en magnitud y complejidad a una velocidad muy elevada, nuevos y avanzados servicios nacen continuamente sobrepasando nuestra capacidad de reaccin.

28

Tambin ha avanzado con rapidez la clase de informacin que viaja por las redes, y la ms pequea modificacin en un mensaje, la revelacin de la informacin o un retardo de unos minutos puede causar grandes prdidas a la empresa. La adopcin de los fabricantes de los estndares nacionales e internacionales permite al usuario la compra, de acuerdo con sus necesidades y no estar ligado a un solo fabricante. Pero por otro lado estos estndares son de conocimiento pblico y los pueden conocer usuarios, estudiantes, investigadores y criminales, conociendo de esta manera la mejor manera de atacar al sistema con eficacia y precisin.

1.3.2 El Crecimiento Acelerado de Internet

La idea de la conexin a Internet permite que las instalaciones generen un abanico extraordinario de servicios, pero a la vista de las limitaciones que se tiene que imponer en funcin de los condicionantes de seguridad y economa, decidimos concretarlos en unos pocos: Servicio de correo electrnico para todos los usuarios. Acceso a las NEWS de Internet, as como grupos locales, para todos los usuarios. Difusin a la comunidad acadmica y al resto de Internet de las Bases de Datos residentes en los hosts de una red interna especifica. Otros servicios, como Telnet a sistemas externos, y como no, el servicio principal de cualquier conexin a Internet que es el acceso a la WWW.

29

A la hora de utilizar el comercio electrnico por Internet cualquier usuario se cuestionar si las transacciones que realiza son realmente seguras. De hecho la posible evolucin del comercio por la red est supeditada a los sistemas de seguridad que permitan al usuario comprar tranquilamente y sin riesgos. Sin precauciones de seguridad en estas transacciones cualquier persona podra darse un paseo por los datos que estamos transmitiendo, entrar en una conversacin o llegar a obtener nuestro nmero de tarjeta de crdito junto incluyendo nuestro nmero de identificacin personal (NIP). Para ser ms concretos, en una comunicacin podemos encontrar tres problemas claramente diferenciados: -Escucha a escondidas: La informacin no sufre modificacin pero alguien accede a ella. -Modificacin: La informacin es modificada, por ejemplo, alguien podra cambiar la cantidad a pagar en un pedido que se trasmite por la red.

30

-Imitacin: Este problema aparece cuando alguien dice ser quien no es, siendo posible que una entidad se hiciera pasar por otra, realizara ventas que no llegara a entregar y cobrara sus importes. Para evitar estos riesgos son necesarias herramientas que proporcionen las siguientes propiedades a una comunicacin: -Confidencialidad: Es la propiedad por la que el destinatario de una comunicacin puede conocer la informacin que est siendo enviada mientras que las personas que no son destinatarios no pueden determinar el contenido de lo que est siendo enviado. -Integridad: Es la propiedad de asegurar que la informacin sea transmitida desde su origen hasta su destino sin sufrir ninguna alteracin. -Autenticacin: Es la propiedad de conocer que la informacin recibida es la misma que la informacin enviada y que el que dice ser que los envi realmente los envi. La informacin que circula, se procesa y se almacena en una red, est sometida a varios tipos de amenazas, tales como espionaje o acceso no autorizado a informacin, interrupcin del flujo de informacin, copia de la informacin, alteracin de la informacin, destruccin de informacin o interrupcin de los servicios Al implantar un sistema de seguridad debemos tener en mente las siguientes desventajas: Degradacin del desempeo, menor flexibilidad, restriccin de servicios, cambio en muchos programas en las estaciones de trabajo, mayor complejidad para que los usuarios funcionales utilicen los recursos y mayores costos de personal, software y hardware.

31

1.3.3 Protocolo TCP/IP

Para comenzar a determinar los puntos vulnerables y las medidas de seguridad de una red, es necesario ver su configuracin o estructura de funcionamiento. Para esto hay que basarse en el modelo TCP/IP, el cual detalla de forma clara cmo viaja la informacin a travs de la red. ste modelo es una mejora del modelo de referencia OSI, el cual presenta ciertas falencias de carcter ms amplio y una mayor complejidad, por lo tanto, con el modelo TCP/IP se simplific y replante la estructura de cmo la informacin se traslada a travs de la red. Este modelo es la base del Internet que sirve para interconectar equipos computacionales que utilizan diferentes sistemas operativos, telfonos del tipo IP y todo dispositivo que tenga una Tarjeta de Red, ya sea de forma almbrica, inalmbrica, de rea extensa o de rea local. TCP/IP fue desarrollado y demostrado por primera vez en 1972 por el Departamento de Defensa de los Estados Unidos, ejecutndolo en el ARPANET, una red de rea extensa del departamento de defensa. El modelo TCP/IP forma parte de un protocolo DARPA (Defense Advanced Research Projects Agency), cuyo objetivo era proporcionar y servir con una transmisin fiable de paquetes de datos sobre diferentes redes. El nombre TCP/IP proviene de dos protocolos, los cuales son el Protocolo de Control de Transmisin (TCP) y el Protocolo de Internet (IP), de los cuales se detallaran los principales conceptos asociados a cada trmino:

1.3.3.1Protocolo de Internet /IP

ste protocolo permite a las aplicaciones ejecutarse transparentemente sobre diferentes redes conectadas. Es de esta forma se permite el desarrollo y transporte de datagramas de IP (paquetes de datos), aunque sin garantizar su entrega. Es aqu donde el protocolo IP procesa datagramas IP de manera

32

independiente sin definir su representacin, ruta o envo. Es as como el protocolo IP puede determinar el destinatario del mensaje mediante 3 campos: Campo de direccin IP: Est dada por la direccin del equipo. Campo de mscara de subred: La cual permite al protocolo IP establecer la parte de la direccin IP que se relaciona con la red. Campo de pasarela predeterminada: La cual permite al protocolo IP saber a qu equipo enviar un datagrama.

1.3.3.2 Protocolo de Control de Transmisin/ TCP

Es un protocolo que asegura que los datos sean recibidos de la misma forma que fueron enviados, estableciendo una comunicacin entre 2 o ms equipos, por lo tanto, es un protocolo orientado a la conexin que permite la unin de dos equipos, en donde existe un cliente y un servidor que responde a las solicitudes generadas de forma simultnea. El protocolo TCP en conjunto con los equipos de soporte, se encargan de manejar la velocidad de los mensajes emitidos, debido a la capacidad que tiene de manipular los mensajes en diferentes tamaos (segmentos). Las principales caractersticas del protocolo TCP son las siguientes: Permite colocar los datagramas nuevamente en orden cuando vienen del protocolo IP. Permite el monitoreo del flujo de los datos para as evitar la saturacin de la red. Permite que los datos se formen en segmentos de longitud variada para entregarlos al protocolo IP.

33

Permite multiplexar los datos, es decir, permite que la informacin que viene de diferentes fuentes pueda ser transmitida en una misma lnea (circulacin simultneamente).

Permite comenzar y finalizar la comunicacin amablemente.

Bajo su funcionamiento, se transfieren datos mediante el ensamblaje de bloques de datos conocidos como paquetes. Cada paquete comienza con una cabecera que contiene informacin de control y validacin, seguido de los datos. Cuando se enva un archivo por la red TCP/IP, su contenido se enva utilizando una serie de diferentes paquetes. Es as como se establece la forma de operacin general bajo estos dos protocolos. Se puede sealar que ste modelo es fundamental para comenzar el anlisis de los puntos defectuosos de la red. Grafica TCP/IP Es as como sta estructura o modelo representa la forma en que la informacin circula por la red, donde cada etapa le da soporte a la capa superior, y as posteriormente a la familia de protocolos TCP/IP que necesita para establecer la comunicacin.

1.3.3.3 Etapas del Modelo TCP/IP

Principales funciones de cada etapa del modelo TCP/IP: -Capa de Red: La Capa de Red es responsable de aceptar los datagramas IP y transmitirlos hacia una red especfica. stos datagramas IP forman parte del paquete y sirven para realizar un mejor encaminamiento o ruteo de los datos permitiendo que lleguen a destino. Una interfaz de red puede consistir en un dispositivo controlador (Ej: cuando sta es una red de rea local a la que las mquinas estn conectadas directamente) un complejo subsistema que utiliza un protocolo de enlace de datos propios.

34

-Capa de Internet: La Capa de Internet maneja la comunicacin de una mquina a otra. sta acepta una solicitud para enviar un paquete con la identificacin de la mquina hacia la que se debe enviar el paquete. La capa de Internet tambin maneja la entrada de datagramas, verifica su validez y utiliza un algoritmo de ruteo para decidir si el datagrama debe procesarse de manera local o debe ser transmitido. Para el caso de los datagramas direccionados hacia la mquina local, el Software de la capa de red de redes borra el encabezado del datagrama y selecciona, de entre los varios Protocolos de Transporte, un protocolo con el que manejar el paquete. Por ltimo, la capa Internet enva los mensajes ICMP (Protocolo de Control de Mensajes de Internet) de error y control necesarios y maneja todos los mensajes ICMP entrantes. sta capa permite que todos los puntos de la red se puedan interconectar mediante un direccionamiento o encaminamiento de lo paquetes de datos. -Capa de Transporte: La principal tarea de la Capa de Transporte es proporcionar la comunicacin entre un programa de aplicacin y otro. ste tipo de comunicacin se conoce frecuentemente como comunicacin punto a punto. La capa de transporte regula el flujo de informacin. Puede tambin proporcionar un transporte confiable, asegurando que los datos lleguen sin errores y en secuencia. Para hacer esto, el Software de Protocolo de Transporte tiene el lado de recepcin, enviando acuses de recibo de retorno y la parte de envo retransmitiendo los paquetes perdidos. El Software de transporte divide el flujo de datos que se est enviando en paquetes (pequeos fragmentos del mensaje) y pasa cada paquete, con una direccin de destino hacia la siguiente capa de transmisin. La Capa de Transporte debe aceptar datos desde varios programas de usuario y enviarlos a la capa del siguiente nivel. Para hacer esto, se aade informacin adicional a cada paquete, incluyendo cdigos que identifican qu programa de aplicacin enva y qu programa debe recibir, as como una suma de verificacin para chequear que el paquete ha llegado intacto y utiliza el cdigo de destino para identificar el programa de aplicacin en el que se debe entregar. La

35

Capa de Transporte est encargada de dar el grado de fiabilidad de informacin que circula por la red, es decir, que la informacin llegue a destino mediante un control de flujo y de errores. Pero, no se encarga de realizar una verificacin si los datos fueron recepcionados. -Capa de Aplicacin: Es el nivel ms alto, aqu los usuarios llaman a una aplicacin que acceda servicios disponibles a travs de la red. Una aplicacin interacta con uno de los protocolos de nivel de transporte para enviar o recibir datos. Cada programa de aplicacin selecciona el tipo de transporte necesario, el cual puede ser una secuencia de mensajes individuales o un flujo continuo de octetos. El programa de aplicacin pasa los datos en la forma requerida hacia el nivel de transporte para su entrega. Esta capa permite al usuario disponer de los servicios que ofrece la red, tales como correos, servidores Web entre otros. Continuando con el proceso de identificacin de los principales conceptos asociados al modelo TCP/IP, se presenta un aspecto que le da soporte y flexibilidad a la red, el cual es su familia de protocolos. Bajo su estructura hace posible la comunicacin entre capas y posteriormente entre diferentes usuarios.

1.3.3.4 Familia de Protocolos Modelo TCP/IP

Los principales conflictos y vulnerabilidades se presentan aqu: -Tarjeta de Red: La Tarjeta de red, tambin conocida como Tarjeta de Interfaz de Red (NIC), es un Hardware necesario para poder establecer una comunicacin entre 2 o ms equipos. Una tarjeta de red, convierte los datos enviados por un equipo a un formato que pueda ser utilizado por el cable de red, transfiere los datos a otro equipo y controla a su vez el flujo de datos entre el equipo y los cables conectores (RJ45). Se encarga de traducir los datos que ingresan por el cable a la unidad conocida bytes para que el CPU del equipo pueda leerlos. La funcin de la tarjeta de red es la de preparar, enviar y controlar los datos en la red.

36

Esta tarjeta de red puede ser orientada para una conexin fsica o de tipo inalmbrica. -Driver de Red: Es un Software que sirve de intermediario entre un dispositivo (Hardware) y el sistema operativo que tiene el equipo. Su funcionamiento en el Modelo TCP/IP est basado en permitir una sincronizacin a travs de Software entre el Protocolo IP y la Tarjeta de Red. -Protocolo ARP: El Protocolo de Resolucin de Direccin (ARP) permite que se conozca la direccin fsica de una Tarjeta de Interfaz de Red por medio de una direccin IP y los Driver de Red. -Protocolo ICMP: El Protocolo de Control de Mensajes de Internet (ICMP) se encarga de realizar un control de flujo de datagramas IP que circulan por la Red, es decir, se encarga de realizar las notificaciones de posibles errores y de situaciones anormales que se presenten en el envo o recepcin de informacin a travs del protocolo IP. -Protocolo UDP: El Protocolo de Datagramas de Usuario (UDP) es el que permite crear una interfaz en las aplicaciones IP existentes, es una forma de multiplexar y demultiplexar los datagramas IP enviados a travs de la red. -Protocolo HTTP: El Protocolo de Transferencia de Hyper Texto (HTTP) est orientado en permitir la transferencia de archivos en lenguaje de marcacin de Hyper Texto (HTML) entre un navegador (el cliente) y un servidor Web localizado mediante una cadena de caracteres denominados direccin de Localizacin Uniforme de Recursos (URL). Este protocolo se encarga de, en una pgina Web, proyectar los elementos de texto, imgenes, enlaces, inserciones multimedia de audio, entre otros. Al tener un buen manejo de este protocolo, se permite tener un entorno ms ameno y agradable a los usuarios. -Protocolo Telnet: El Protocolo de Comunicaciones de red (Telnet) es un protocolo de Internet estndar que permite conectar terminales y aplicaciones en

37

Internet. El protocolo proporciona reglas bsicas que permiten vincular a un cliente (sistema compuesto de una pantalla y un teclado) con un intrprete de comandos (del lado del servidor). Actualmente, ste protocolo ha evolucionado a un sistema ms seguro conocido como SSH (interprete de rdenes seguras). -Protocolo SMTP: El Protocolo Simple de Transferencia de Correo (SMTP) es el que permite la transferencia en lnea de correos desde un servidor a otro mediante una conexin punto a punto. -DNS: Es un Servidor de Dominio de nombres de servicios que permite traducir de nombre de dominio a direccin IP. De sta forma, DNS sera una base de datos, en donde se encuentran las direcciones necesarias solicitadas por los usuarios para establecer sus peticiones de conexin en un servidor determinado.

1.3.3.5 Vulnerabilidad en Capas de modelo TCP/IP

En base al modelo TCP/IP se puede realizar un enfoque general de vulnerabilidad de cada etapa, las cuales se detallan a continuacin:

1.3.3.5.1

Capa de red

Los principales inconvenientes en esta capa pueden ocurrir si alguien tuviera acceso a los equipos con los que la red opera, es decir, acceso al cuarto de telecomunicaciones, al cableado o a los equipos remotos establecidos para la comunicacin (ataques realizados en la capa de red pueden ser los que ocurren en lneas de cableado, desvo de cableado, interceptacin de comunicacin entre equipos), es por ello que los principales inconvenientes que pudiesen presentarse en esta capa, estn asociados al grado de confidencialidad y control de acceso que pueda tener o manejar una persona.

38

Existen tres condiciones esenciales que tiene esta capa que deben ser resguardadas, ya que con una mala manipulacin puede perjudicar a una Red o a un usuario particular: La Confidencialidad Autenticidad Integridad

Los problemas se asocian a la interceptacin de informacin, la suplantacin de mensajes y direcciones IP, los que se generan tras alterar el funcionamiento del Control de Acceso al Medio y aprovechar las falencias fsicas que presentan en la Tarjeta de Interfaz de Red, burlando stas tres condiciones esenciales que debe brindar toda red de forma ptima.

1.3.3.5.2

Capa de Internet

Es la capa de donde mayor informacin se puede obtener para vulnerar un sistema. Lo fundamental para acceder a sta es tener acceso a los datagramas IP los que se pueden encontrar en cada paquete que circula por la red, mediante Software espas. Estos Software permiten recolectar informacin mediante un proceso que se conoce como Sniffing, el cual es un trmino asociado a la captura de informacin que circula por la red, en donde se puede hacer una separacin de la informacin, para discriminar si es relevante. Un factor que juega a favor de la persona que desee atacar a un usuario o mquina determinada, est dado por el nivel de autenticacin que presenta la capa de Internet, la cual es a nivel de mquina, es decir la IP es asignada por sta. De sta forma, si un sistema llegara a presentar una falla, como una direccin incorrecta, el receptor no identificar si esa es realmente la direccin o si es una direccin adulterada por un atacante. Es se el punto que permite a un atacante tener acceso a esa mquina en particular, pudiendo adulterar su funcionamiento o extraer informacin. El mtodo ms

39

comn para acceder a ello, es la prediccin de secuencia TCP. Este mtodo hace una simulacin de participacin en una red, permitiendo tener acceso a una red en particular y lograr robar una sesin TCP. Existen Software especializados que se encargan de hacer stas simulaciones. Otro mtodo es el envenenamiento de tablas cach, que permite suplantar la MAC (Control de Acceso al Medio) y de sta forma tener acceso a la informacin que recibe una mquina en particular. Todos estos ataques son realizados mediante Software espas de trfico de paquetes de datos, los cuales son de fcil acceso y se encuentran en la red. .

1.3.3.5.3

Capa de Transporte

Las principales vulnerabilidades estn asociadas a la autenticacin de integracin y autenticacin de confidencialidad. Estos trminos se relacionan con el acceso a los protocolos de comunicacin entre capas, permitiendo la denegacin o manipulacin de ellos.

1.3.3.5.4

Capa de Aplicacin

Los posibles inconvenientes a presentarse pueden ser ocasionados por cuatro puntos, principalmente los que estn asociados a la autenticacin de datos y los protocolos presentes en sta capa. - Se establecen las deficiencias del servicio de nombres de dominio. Lo que ocurre con ste servicio, es que se encarga de generar las solicitudes de cada usuario que circulan por la red, es decir, en el momento que una persona solicita una conexin a un servicio determinado, se solicita una direccin IP y un nombre de dominio, se enva un paquete. UDP (Protocolo de Comunicacin el cual enva los datos del usuario) a un servidor DNS (Dominio de Nombre de Servicio). Lo que

40

hace el servidor DNS es responder a sta solicitud y entregar los datos que fueron pedidos, donde ste servidor DNS funciona como una base de datos en donde se encuentran las direcciones que solicitan los usuarios, por lo tanto, cuando se tiene acceso a esta especie de base de datos se presenta un inconveniente, el cual hace vulnerable al sistema, ya que puede ser modificada a gusto de la persona que le quiere sacar provecho a esa informacin, pudiendo entregar direcciones incorrectas o recepcionar las peticiones de los usuarios para obtener informacin acerca de sus cuenta -Por servicio Telnet. El cual se encarga de autentificar la solicitud de usuario, de nombre y contrasea que se trasmiten por la red, tanto por el canal de datos como por el canal de comandos. -Por File Transfer Protocol (FTP). El cual al igual que el servicio Telnet, se

encarga de autentificar. La diferencia se encuentra en que el FTP lo hace ms vulnerable ya que es de carcter annimo. -Por el protocolo HTTP. El cual es responsable del servicio World Wide Web. La principal vulnerabilidad de este protocolo, est asociado a las deficiencias de programacin que puede presentar un link determinado, lo cual puede poner en serio riesgo el equipo que soporta este link, es decir, el computador servidor.

1.4 Tipos de Ataques o Amenazas

Se entiende por amenaza una condicin del entorno del sistema de informacin (persona, mquina, suceso o idea) que, dada una oportunidad, podra dar lugar a que se produjese una violacin de la seguridad (confidencialidad, integridad, disponibilidad o uso legtimo). La poltica de seguridad y el anlisis de riesgos habrn identificado las amenazas que han de ser contrarrestadas, dependiendo del diseador del sistema de seguridad especificar los servicios y mecanismos de seguridad necesarios.

41

Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un flujo de informacin desde una fuente, como por ejemplo un fichero o una regin de la memoria principal, a un destino, como por ejemplo otro fichero o un usuario. Un ataque no es ms que la realizacin de una amenaza. Las cuatro categoras generales de amenazas o ataques son las siguientes: Interrupcin: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destruccin de un elemento hardware, como un disco duro, cortar una lnea de comunicacin o deshabilitar el sistema de gestin de ficheros. Intercepcin: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podra ser una persona, un programa o un ordenador. Ejemplos de este ataque son interceptar una lnea para hacerse con datos que circulen por la red y la copia ilcita de ficheros o programas (intercepcin de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o ms de los usuarios implicados en la comunicacin observada ilegalmente (intercepcin de identidad). Modificacin: una entidad no autorizada no slo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que estn siendo transferidos por la red. Fabricacin: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la insercin de mensajes espurios en una red o aadir registros a un archivo. Estos ataques se pueden asimismo clasificar de forma til en trminos de ataques pasivos y ataques activos.

42

1.4.1 Ataques pasivos

En los ataques pasivos el atacante no altera la comunicacin, sino que nicamente la escucha o monitoriza, para obtener informacin que est siendo transmitida. Sus objetivos son la intercepcin de datos y el anlisis de trfico, una tcnica ms sutil para obtener informacin de la comunicacin, que puede consistir en: Obtencin del origen y destinatario de la comunicacin, leyendo las cabeceras de los paquetes monitorizados. Control del volumen de trfico intercambiado entre las entidades monitorizadas, obteniendo as informacin acerca de actividad o inactividad inusuales. Control de las horas habituales de intercambio de datos entre las entidades de la comunicacin, para extraer informacin acerca de los perodos de actividad. Los ataques pasivos son muy difciles de detectar, ya que no provocan ninguna alteracin de los datos. Sin embargo, es posible evitar su xito mediante el cifrado de la informacin y otros mecanismos que se vern ms adelante.

1.4.2 Ataques activos

Estos ataques implican algn tipo de modificacin del flujo de datos transmitido o la creacin de un falso flujo de datos, pudiendo subdividirse en cuatro categoras: Suplantacin de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticacin pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contrasea de acceso a una cuenta.

43

 Reactuacin: uno o varios mensajes legtimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada. Modificacin de mensajes: una porcin del mensaje legtimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje Ingresa un milln de soles en la cuenta A podra ser modificado para decir Ingresa un milln de soles en la cuenta B. Degradacin fraudulenta del servicio: impide o inhibe el uso normal o la gestin de recursos informticos y de comunicaciones. Por ejemplo, el intruso podra suprimir todos los mensajes dirigidos a una determinada entidad o se podra interrumpir el servicio de una red inundndola con mensajes espurios. Entre estos ataques se encuentran los de denegacin de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.

1.5 Polticas de Seguridad Informtica

El objetivo de desarrollar una poltica de seguridad informtica, es definir las expectativas de una institucin respecto al uso adecuado de los ordenadores y de la red, as como definir los procedimientos precisos para prevenir y responder a los incidentes de seguridad. Los objetivos y las directrices de la organizacin deben tenerse en cuenta. Por ejemplo, una base militar puede tener preocupaciones muy diferentes de seguridad, en comparacin con las de una universidad. La poltica de seguridad de las empresas debe ajustarse a las polticas, normas, regulaciones y leyes existentes, a las que se haya sometido la organizacin. A menos que la red local est completamente aislada y sea autnoma, ser necesario considerar la seguridad en un entorno ms global. Las personas con capacidad de decisin deben tener el poder necesario para hacer cumplir la

44

poltica, y el personal tcnico y los usuarios habituales deben tener su palabra a la hora de enjuiciar lo "til" que resulta la poltica. El desarrollo de una poltica de seguridad comprende la identificacin de los activos organizativos, evaluacin de amenazas potenciales, la evaluacin del riesgo, implementacin de las herramientas y tecnologas disponibles para hacer frente a los riesgos, y el desarrollo de una poltica de uso. Debe crearse un procedimiento de auditora que revise el uso de la red y servidores de forma peridica.

1.5.1 Identificacin de los activos organizativos

Consiste en la creacin de una lista de todas las cosas que precisen proteccin. Por ejemplo: Hardware: ordenadores y equipos de telecomunicacin Software: programas fuente, utilidades, programas de diagnstico, sistemas operativos, programas de comunicaciones. Datos: copias de seguridad, registros de auditora, bases de datos.

1.5.2 Valoracin del riesgo

Conlleva la determinacin de lo que se necesita proteger. No es ms que el proceso de examinar todos los riesgos, y valorarlos por niveles de seguridad. Seguridad en Redes de Datos.

1.5.2.1 Establecer las reas y Grados de Riesgo

Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre la informacin y hacerles comprender que la seguridad
45

es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin informtica y los medios de prevencin que se deben tener, para lo cual se debe: Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la informacin vs el costo de un sistema de seguridad. Para realizar este estudio se debe considerar lo siguiente: Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) Identificar las aplicaciones que tengan alto riesgo Cuantificar el impacto en el caso de suspensin del servicio de aquellas aplicaciones con un alto riesgo Formular las medidas de seguridad necesarias dependiendo del nivel de Seguridad que se requiera La justificacin del costo de implantar las medidas de seguridad

1.5.2.2 Riesgo Computacional

Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo cual es importante, considerar responder las siguientes cuatro preguntas: -Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de la aplicacin por completo, se debe definir el nivel de riesgo. Por ejemplo citemos: Una lista de clientes ser de menor riesgo. Un sistema de reservacin de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo.

46

 Un sistema de contabilidad fuera del tiempo de balance ser de mucho menor riesgo. -.Qu consecuencias traera si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algn modo de cmo se solucion este problema en el pasado. -Existe un procedimiento alternativo y que problemas ocasionara? Se debe verificar si el sistema es nico o es que existe otro sistema tambin computarizado de apoyo menor. Ejemplo: S el sistema principal est diseado para trabajar en red sea tipo WAN quiz haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturacin en red, si esta cae, quiz pudiese trabajar en forma distribuida con un mdulo menor monousuario y que tenga la capacidad de que al levantarse la red existan mtodos de actualizacin y verificacin automtica. -Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando: Que exista un sistema paralelo al menos manual Si hay sistemas duplicados en las reas crticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado). Si hay sistemas de energa ininterrumpida UPS. Si las instalaciones elctricas y de red son adecuadas (se debe contar con el criterio de un experto). Si se cuenta con un mtodo de respaldo y su manual administrativo.
47

Recomendaciones Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en caso de desastre, sealando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades. Consideracin y Cuantificacin del Riesgo a Nivel Institucional (importante) Ahora que se han establecido los riesgos dentro la organizacin, se debe evaluar su impacto a nivel institucional, para lo cual se debe: Clasificar la informacin y los programas de soporte en cuanto a su disponibilidad y recuperacin. Identificar la informacin que tenga un alto costo financiero en caso de prdida o pueda tener impacto a nivel ejecutivo o gerencial. Determinar la informacin que tenga un papel de prioridad en la organizacin a tal punto que no pueda sobrevivir sin ella. Una vez determinada esta informacin se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que podran causar estas situaciones.

1.5.2.3 Disposiciones que Acompaan la Seguridad

De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organizacin, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de accin para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar: Obtener una especificacin de las aplicaciones, los programas y archivos de datos.

48

 Medidas en caso de desastre como prdida total de datos y los planes necesarios para cada caso. Prioridades en cuanto a acciones de seguridad de corto y largo plazo. Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los programadores no cuenten con acceso a la seccin de operacin ni viceversa. Que los operadores no sean los nicos en resolver los problemas que se presentan.

1.6 Definicin de una poltica de uso aceptable

Las herramientas y aplicaciones forman la base tcnica de la poltica de seguridad, pero la poltica de uso aceptable debe considerar otros aspectos: Quin tiene permiso para usar los recursos? Quinesta autorizado a conceder acceso y a aprobar los usos? Quin tiene privilegios de administracin del sistema? Qu hacer con la informacin confidencial? Cules son los derechos y responsabilidades de los usuarios? Por ejemplo, al definir los derechos y responsabilidades de los usuarios: -Si los usuarios estn restringidos, y cules son sus restricciones. -Si los usuarios pueden compartir cuentas o dejar que otros usuarios utilicen sus cuentas. -Cmo deberan mantener sus contraseas los usuarios.

49

- Con qu frecuencia deben cambiar sus contraseas. -Si se facilitan copias de seguridad o los usuarios deben realizar las suyas. Para poder entrar en un recinto, leer unos datos y modificar un registro, etc. Ser necesario saber de quin se trata y si el sujeto est autorizado. Por lo tanto ser preciso identificar al sujeto (Identificacin) de forma totalmente fiable

(Autentificacin o Verificacin), y consultar un archivo, base de datos y/o algoritmo que nos diga si el sujeto tiene o no, autorizacin para realizar la accin demandada (Autorizacin). Esto implica que antes se haya establecido un sistema para identificar a los sujetos o usuarios (Gestin de la identificacin), se haya definido un sistema para autentificar al usuario (Gestin del Password o Autentificador), y que para cada usuario se haya definido una tabla de permisos. Cuando el usuario intente entrar en el sistema, deber dar su identificacin, que el sistema verificar si la tiene en sus tablas (Comprobacin del Identificador), realizar la operacin pertinente para demostrar que es quien dice ser (dar su password) y, el sistema comprobar que este autentificador corresponde al identificador indicado (Autentificacin). Cuando el usuario intente acceder a un recurso, el sistema verificar si este usuario tiene o no el permiso correspondiente, o que su nivel y categora le permiten realizar la accin demandada.

1.6.1 Otorgamientos de permisos

La manera ms normal es la de conceder el privilegio a un usuario cuando lo pide, normalmente justificado por su superior. El administrador de seguridad ser el encargado de introducir los datos de los privilegios al sistema. Los privilegios pueden darse individualmente a una persona o bien a un grupo de personas con las mismas caractersticas. Tambin hay sistemas en los que un usuario normal da la autorizacin a un tercero sin la necesidad del administrador de seguridad.

1.6.2 Identificacin y verificacin del usuario

50

Los password son los ms utilizados, entre otras cosas porque son los de menor coste y los ms fciles de instalar y usar. Tambin son la causa de muchos xitos de los hackers. Algunos problemas de los password son: Los oponentes tienen la posibilidad de conocerlos probando diferentes posibilidades y por la observacin. No hay manera de asignar responsabilidades si ha entrado un intruso. No hay manera de saber si un intruso ha podido acceder. Es difcil conseguir que los usuarios utilicen una buena prctica de passwords. Es posible reducir estos inconvenientes si por ejemplo reducimos el nmero de intentos Para introducir el password. Otra manera es que el password tenga la suficiente longitud y que admita el mximo nombre posible de caracteres diferentes, as el nombre total de passwords a probar es de una magnitud tan grande que desmoraliza al hacker ms paciente o no hay PC que los genere y pruebe en un tiempo razonable. Procedimientos adecuados para contraseas: No utilizar su nombre de entrada en el sistema en ninguna de sus posibilidades (tal cual es, invertido, en maysculas, con letras dobles, etc.). No usar su nombre ni ninguno de sus apellidos en ninguna de sus posibilidades, ni tampoco usar los nombres de la esposa/o ni los de los hijos. No usar ninguna otra informacin que pueda adivinarse fcilmente en relacin al usuario. Esto incluye nmeros de matrculas de coches, nmeros de telfono, nmeros de la seguridad social, la marca de su coche, el nombre de la calle donde vive, etc.

51

 No usar contraseas que tengan todos los nmeros, ni tampoco que tengan siempre la misma letra. No usar palabras que aparezcan en diccionarios de espaol ni de ningn otro idioma extranjero, listas ortogrficas ni ninguna otra lista de palabras. No usar contraseas con menos de 6 caracteres. Usar contraseas con el alfabeto alternando maysculas con minsculas. Usar contraseas con caracteres no alfabticos (dgitos o signos de puntuacin). Usar contraseas que sean fciles de recordar, as no tendr que escribirlas. Aunque la empresa tenga un impecable control de accesos el atacante puede entrar sin hacer el login.Existen varios mtodos para acceder, como la explotacin de vulnerabilidades del sistema o sus servicios.

1.6.3 Auditoria y revisin

Para ayudar a determinar si existe una violacin de la poltica de seguridad, se aprovechan las herramientas que se incluyen en el ordenador y red. La mayor parte de los sistemas operativos almacenan numerosos bits de informacin en ficheros de registro. El examen de dichos ficheros de forma regular es a menudo la primera lnea de defensa para la deteccin del uso no autorizado del sistema. La poltica de seguridad de empresas debe incluir la comunicacin de la poltica de seguridad a todos los usuarios. Habr que indicar a los usuarios cmo detectar accesos no autorizados a sus cuentas.

52

1.6.3.1Consideraciones Inmediatas para la Auditoria de la Seguridad

A continuacin se citarn las consideraciones inmediatas que se deben tener para elaborar la evaluacin de la seguridad, pero luego se tratarn las reas especficas con mucho mayor detalle. Uso de la Computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: Tiempo de mquina para uso ajeno Copia de programas de la organizacin para fines de comercializacin (copia pirata) Acceso directo o telefnico a bases de datos con fines fraudulentos Sistema de Acceso Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: Nivel de seguridad de acceso Empleo de las claves de acceso Evaluar la seguridad contemplando el costo, ya que a mayor tecnologa de acceso mayor costo Cantidad y Tipo de Informacin El tipo y la cantidad de informacin que se introduce en las computadoras deben considerarse como un factor de alto riesgo ya que podran producir que: La informacin est en manos de algunas personas La alta dependencia en caso de prdida de datos Control de Programacin Se debe tener que reconocer que el delito ms comn est presente en el momento de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:

53

 Los programas no contengan bombas lgicas Los programas deben contar con fuentes y sus ltimas actualizaciones Los programas deben contar con documentacin tcnica, operativa y de emergencia.

1.7 Tcnicas y tecnologas de seguridad a nivel de red:

Existen muchas y muy potentes herramientas de cara a la seguridad de una red informtica. Por s mismas, las aplicaciones de software y los productos de

hardware que componen la red informtica de una empresa no constan de poltica de seguridad, y, sin embargo, son elementos esenciales en el establecimiento de la seguridad de las empresas. Las herramientas que tienen como fin la proteccin de las redes informticas han sufrido una continua evolucin durante las dos ltimas dcadas, prcticamente el mismo tiempo que se lleva intentando "piratearlas" y violar las redes informticas. En la actualidad se cuenta con diversos mtodos que garanticen la seguridad de nuestra informacin, dentro de los ms difundidos tenemos a los siguientes.

1.7.1 Criptologa
Las amenazas que sufre la informacin durante su proceso, almacenamiento y transmisin son crecientes y complejas. Para contrarrestarlas se han desarrollado numerosas medidas de proteccin, que se implementan en el equipo fsico o lgico mediante los denominados mecanismos de seguridad. La lista de estos mecanismos es muy numerosa y en ella encontramos, entre otros muchos: Identificacin y autenticacin de usuarios, control de accesos, control de flujo de informacin, registros de auditora, cifrado de informacin, etc. De stos, el

54

mecanismo por excelencia es el de cifrado de la informacin. La Criptologa se divide en dos ciencias importantes: la Criptografa y el Criptoanlisis. La Criptografa se puede traducir como " La manera de escribir raro " (Criptos, extrao; Graphos, escritura). Es una ciencia que se ocupa principalmente de conseguir que nuestros mensajes sean comprensibles exclusivamente para aquellos que nosotros deseemos e inteligibles para el resto de la Humanidad, aplicando para ello procedimientos matemticos o claves. El texto inicial, el departida, recibe el nombre de texto claro. El que resulta de aplicarle el algoritmo criptogrfico, esel texto cifrado.

Proceso de cifrado de mensajes El Criptoanlisis es la ciencia que se dedica a quebrantar el cifrado obtenido de la Criptografa. Una de las propiedades necesarias que debe tener un algoritmo criptogrfico, es que cada texto al aplicarle el algoritmo de descifrado con la misma clave de cifrado o la clave desde cifrado relacionada, debe convertirse en el mismo texto claro del que procede. Histricamente dos los militares y los cuerpos diplomticos han utilizado y han contribuido, de una manera importante, en el arte de la Criptologa.

55

Sin embargo, hoy en da su inters merece una atencin especial para todos los sectores pblicos o privados para los que la informacin es algo muy valioso. Con la introduccin de las computadoras, la necesidad de herramientas automatizadas para proteger archivos y otro tipo de informacin almacenada en las computadoras es evidente. La implementacin de sistemas distribuidos y la utilizacin de redes entre un usuario terminal y una computadora o entre computadoras afectan a la seguridad. Las medidas de seguridad en una red de datos son necesarias para proteger los datos durante la transmisin. Los sistemas de cifrado modernos se clasifican en: Simtricos o de clave secreta: La clave utilizada es la misma tanto para cifrar como para descifrar. El algoritmo debe ser pblico, pero la clave debe ser siempre secreta. Asimtricos o de clave pblica: La clave para cifrar es pblica y la de descifrar secreta, y estn relacionadas entre s. El algoritmo puede ser pblico o secreto. Cualquier persona que disponga de la clave pblica puede cifrar el mensaje, pero solo el que ha generado las claves y tiene la clave secreta puede descifrar el mensaje. No hay ningn algoritmo irrompible. El algoritmo puede ser ms o menos duro. La dureza de un algoritmo se mide teniendo en cuenta su factor de trabajo, que es la cantidad necesaria de trabajo para descubrir las claves. Dentro de la criptografa moderna, es decir, aquella en que los algoritmos operan en bits, dosson los algoritmos ms conocidos y utilizados, el DES y el RSA. Algoritmos ms utilizados

1.7.1.1DES Data Encryption Standard

Este algoritmo se convirti en un estndar y se utiliza en gran parte de los sistemas informticos que precisan de un cierto grado de proteccin, a pesar de las restricciones que el gobierno de los Estados Unidos impuso para su

56

comercializacin fuera del pas. El algoritmo consiste en un complejo sistema de operaciones matemticas basado en sustituciones y permutaciones de bits en funcin de una clave. El conocimiento del algoritmo no permite descifrar la informacin cifrada; de hecho ste es de dominio pblico. El proceso de cifrado trabaja con bloques de 64 bits y una clave de otros 64 bits, siendo 56 de la clave en s y los restantes 8 de paridad impar para deteccin de errores. Tras la aplicacin de un algoritmo, que efecta una serie de complejas permutaciones, sustituciones y operaciones lgicas, los 64 bits de informacin se transforman en otros tantos cifrados. Dividiendo la informacin en bloques de este tamao y realizando la misma operacin para cada bloque, se consigue cifrar un texto completo.

1.7.1.1.1

Seguridad del algoritmo

Cuando el algoritmo DES se present existan numerosas dudas sobre si contendra "puertas traseras" que permitiesen al gobierno de los Estados Unidos descifrar todo tipo de comunicaciones. Ms tarde se demostr que estas dudas no tenan fundamento; sin embargo, el tamao de la clave utilizada hace que el algoritmo sea vulnerable y esta situacin se agrave ms segn vaya incrementndose la potencia de los ordenadores y disminuyendo su precio. La nica forma conocida de violar el algoritmo es probar a descifrar la informacin con todas las posibles claves. Puesto que constan de 56 bits habra que probar con 2E56, es decir, 72.057.594.037.927.936 claves distintas. Suponiendo que se dispone de un ordenador de gran potencia capaz de generar y probar un milln de claves por segundo, se requeriran unos 72.000 millones de segundos lo que, traducido a aos, seran 2.285. Sin embargo, utilizando un superordenador con multitud de procesadores en paralelo se podran generar todas las claves en tan slo unas horas, aunque este tipo de ordenadores no est al alcance de cualquiera.

57

1.7.1.2 RSA (Rivest, Shamir y Adleman)

El algoritmo RSA fue desarrollado en los aos setenta por Rivest, Shamir y Adleman, de cuyas iniciales toma su nombre, y est basado en el problema de hallar los factores primos de grandes nmeros. Frente a sus diversas ventajas sobre los sistemas de clave privada presenta el inconveniente de la carga que supone al sistema, puesto que se basa en operaciones que consumen mucho tiempo de proceso. Adems, cada vez el tamao de los nmeros a emplear debe ser mayor para garantizar la inviolabilidad del sistema debido al incremento en la potencia de clculo de los ordenadores. La encriptacin RSA es un sistema de encriptacin de clave pblica, y se trata de una tecnologa patentada en los Estados Unidos, por lo que no puede utilizarse sin licencia. Sin embargo, el algoritmo se hizo pblico antes de ser adjudicada la patente, lo que dio lugar a que la encriptacin RSA pudiera utilizarse en Europa y Asia sin necesidad de pagar royalties. La encriptacin RSA est creciendo en popularidad, y se considera bastante segura frente a ataques de fuerza bruta.

1.7.1.2.1

Seguridad del algoritmo

La seguridad del algoritmo radica en el tamao de un nmero n, que es el producto de los nmeros primos. No es aconsejable trabajar con valores inferiores a 154 dgitos o lo que es lo mismo 512 bits y para aplicaciones que requieran un alto grado de seguridad 1024 bits (308 dgitos) incluso 2048.El algoritmo ms rpido conocido para factorizar un nmero se debe a R. Shroeppel, quepermite hacerlo con un nmero de operaciones definido por la expresin:ev(ln (ln n))ln nPor ejemplo con un nmero de 300 dgitos. Suponiendo que se dispone de un ordenador de gran potencia capaz de realizar un milln de operaciones por segundo, se requeriran 4800 billones de aos para factorizar el nmero. Aun dividiendo el problema en partes yutilizando mltiples sistemas o un

58

superordenador con multitud de procesadores enparalelo, con 300 dgitos la seguridad est garantizada.

1.7.1.3 Aplicaciones
La Criptologa se utiliza tambin para la autentificacin de mensajes y para firmas digitales. El mtodo de la autentificacin consiste en incorporar al mensaje un cdigo llamado MAC(ModificationAutentificationCode), que se calcula aplicando un algoritmo de cifrado altexto entero. El receptor hace lo mismo y compara el valor que le da con el que lleva elmensaje, si es igual, el mensaje se considera autentico.

Firmas digitales Una firma digital es un bloque de caracteres que acompaa a un documento, acreditandoquin es su autor ("autentificacin") y que no ha existido manipulacin posterior de los datos("integridad").El proceso de la firma digital lorealiza un software (por ejemplo PGP, Outlook,...) que aplicaun algoritmo sobre el texto a firmar,obteniendo un extracto (nmero) de longitud fija, y nico para ese mensaje. Este extractocuya longitud oscila entre 176 y 160 bits se somete a continuacin al cifrado (RSA o DSS)mediante la clave secreta del autor, previa peticin de contrasea.Para verificar la firma, el receptor descifra la firma con la clave pblica del emisor,comprime con la funcin hash al texto original recibido y compara el resultado de la partedescifrada con la parte comprimida, si ambas coinciden el emisor tiene garanta de que eltexto no ha sido modificado. Como el emisor utiliza su clave secreta para cifrar la partecomprimida del mensaje, puede probarse ante una tercera parte, que la firma slo hapodido ser generada por el usuario que guarda la componente secreta.

59

El mecanismo de firma digital soporta los servicios de integridad de datos, autenticacin deorigen y no repudio con prueba de origen. Para proporcionar el servicio de no repudio conprueba de entrega es necesario forzar al receptor a enviar al emisor un recibo firmadodigitalmente. Control de acceso. Este mecanismo se utiliza para autenticar las capacidades de unaentidad, con el fin de asegurar los derechos de acceso a recursos que posee. El controlde acceso se puede realizar en el origen o en un punto intermedio, y se encarga deasegurar si el emisor est autorizado a comunicar con el receptor y/o a usar losrecursos de comunicacin requeridos. Si una entidad intenta acceder a un recurso noautorizado, o intenta el acceso de forma impropia a un recurso autorizado, entonces lafuncin de control de acceso rechazar el intento, al tiempo que puede informar delincidente, con el propsito de generar una alarma y/o registrarlo.El mecanismo de control de acceso soporta el servicio de control de acceso. Integridad de datos. Es necesario diferenciar entre la integridad de una unidad dedatos y la integridad de una secuencia de unidades de datos ya que se utilizan distintosmodelos de mecanismos de seguridad para proporcionar ambos servicios deintegridad.Para proporcionar la integridad de una unidad de datos la entidad

60

emisora aade a launidad de datos una cantidad que se calcula en funcin de los datos. Esta cantidad,probablemente encriptada con tcnicas simtricas o asimtricas, puede ser unainformacin suplementaria compuesta por un cdigo de control de bloque, o un valorde control criptogrfico. La entidad receptora genera la misma cantidad a partir deltexto original y la compara con la recibida para determinar si los datos no se hanmodificado durante la transmisin.Para proporcionar integridad a una secuencia de unidades de datos se

requiere,adicionalmente, alguna forma de ordenacin explcita, tal como la numeracin desecuencia, un sello de tiempo o un encadenamiento criptogrfico.El mecanismo de integridad de datos soporta el servicio de integridad de datos.Intercambio de autenticacin. Existen dos grados en el mecanismo de autenticacin: Autenticacin simple. El emisor enva su nombre distintivo y una contrasea alreceptor, el cual los comprueba. Autenticacin fuerte. Utiliza las propiedades de los criptosistemas de clavepblica. Cada usuario se identifica por un nombre distintivo y por su clave secreta.Cuando un segundo usuario desea comprobar la autenticidad de su interlocutordeber comprobar que ste est en posesin de su clave secreta, para lo cualdeber obtener su clave pblica.

61

1.7.2 Firewalls

Un firewall es un sistema o un grupo de sistemasque decide que servicios pueden ser accesadosdesde el exterior (Internet, en este caso) de un redprivada, por quienes pueden ser ejecutados estosservicios y tambin que servicios pueden correrlos usuarios de la intranet hacia el exterior(Internet). Para realizar esta tarea todo el trficoentre las dos redes tiene que pasar a travs de l. El firewall solo dejar pasar el trafico autorizado desde y hacia el exterior. No se puede confundirun firewall con un enrutador, un firewall no direcciona informacin (funcin que si realiza elenrutador), el firewall solamente filtra informacin. Desde el punto de vista de poltica deseguridad, el firewall delimita el permetro de defensa y seguridad de la organizacin. El diseo deun firewall, tiene que ser el producto de una organizacin conciente de los servicios que senecesitan, adems hay que tener presentes los puntos vulnerables de toda red, los servicios quedispone como pblicos al exterior de ella (WWW, FTP, telnet, entre otros) y conexiones pormdem (dial-in mdem calling). Ello no quiere decir que la instalacin de un sistema de firewall permita la relajacin de laseguridad interna de las mquinas, sino que se podr distinguir fcilmente entre el interior y elexterior, pudiendo determinar qu comportamiento
62

general se quiere para cada servicio.Otra caracterstica importante de estos sistemas es que permiten llegar donde los mecanismos deseguridad de los sistemas operativos a veces no pueden.

1.7.2.1Beneficios de un firewall
Los firewalls manejan el acceso entre dos redes, si no existiera todos los hosts de la intranetestaran expuestos a ataques desde hosts remotos en Internet. Esto significa que la seguridadde toda la red, estara dependiendo de qu tan fcil fuera violar la seguridad local de cadamquina interna.El firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas deintentos de ataque, el administrador de la red escoger la decisin si revisar estas alarmas ono, la decisin tomada por este no cambiara la manera de operar del firewall. Otra causa que ha hecho que el uso de firewalls se haya convertido en uso casi queimperativo es el hecho que en los ltimos aos en Internet han entrado en crisis el numerodisponible de direcciones IP, esto ha hecho que las intranets adopten direcciones CIRD (odirecciones sin clase), las cuales salen a Internet por medio de un NAT (Network addresstraslator), y efectivamente el lugar ideal y seguro para alojar el NAT ha sido el firewall.Los firewalls tambin han sido importantes desde el punto de vista de llevar las estadsticasdel ancho de banda "consumido" por el trfico de la red, y que procesos han influido ms enese trfico, de esta manera el administrador de la red puede restringir el uso de estosprocesos y economizar o aprovechar mejor ancho de banda. Finalmente, los firewalls tambin son usados para albergar los servicios WWW y FTP de laintranet, pues estos servicios se caracterizan por tener interfaces al exterior de la red privaday se ha demostrado que son puntos vulnerables.

63

1.7.2.2 Tipos de Firewalls

1.7.2.2.1

Packet filter (filtro de paquetes)

Se basa en el tratamiento de los paquetes IP a los que aplica unas reglas de filtrado quele permiten discriminar el trfico segn nuestras

indicaciones.Normalmente se implementa mediante un router con dos interfaces de red, uno de caraal exterior y otro al interior, aunque podra utilizarse cualquier mquina con dos placasde red y un software adecuado para filtrado de los paquetes IP. Al tratar paquetes IP, los filtros que podremos establecer sern a nivel de direcciones IP,tanto fuente como destino. Normalmente, se establece una lista de filtros por interfaz quese aplicarn a cada paquete independiente de los anteriores, o de si forma parte de unadeterminada comunicacin para un cierto servicio.Algunos filtros de paquetes permiten establecer filtros tambin a nivel de puertos TCP oUDP , con lo que se podr filtrar qu servicios se dejan pasar o no.La lista de filtros se aplican secuencialmente, de forma que la primera regla que elpaquete cumpla marcar la accin a realizar (descartarlo o dejarlo pasar). La aplicacinde las listas de filtros se puede hacer en el momento de entrada del paquete o bien en elde salida o en ambos. Aunque no puede parecer importante lo es, pues tiene que ver con el tratamiento del'address-spoofing' uno de los ataques utilizados con ms frecuencia para saltarse laproteccin establecida por un cortafuegos, que como hemos descrito antes, consiste engenerar paquetes IP con direcciones falsas.Los filtros de paquetes son una buena solucin, pero tienen sus limitaciones a la hora detratar los servicios como tales, pues para ellos cada paquete es independiente y noforma parte de ningn todo, por los tanto, de ningn servicio.Adems, existen servicios como DNS o FTP, que dificultan realizar una configuracinsegura de un filtro de paquetes.
64

Son muy pocos los sistemas de filtrado de paquetes que se basan en la propiainformacin para aceptar o denegar un paquete. Esta posibilidad, aunque tiene unelevado coste, puede utilizarse por ejemplo, para evitar la entrada de archivos infectadoscon virus en una red interna.

Ventajas del filtrado de paquetes: La proteccin centralizada es la ventaja ms importante del filtrado de paquetes. Con unnico enrutador con filtrado de paquetes situado estratgicamente puede protegersetoda una red. Si slo existe un enrutador con salida a una red insegura,independientemente del tamao de nuestra red interna, podr controlarse todo el trficoen dicho enrutador.

1.7.2.2.2

Firewalls a nivel de aplicacin

Es el extremo opuesto a los filtros de paquetes. En lugar de basarse en el filtrado del flujode paquetes, tratan los servicios por separado, utilizando el cdigo adecuado para cadauno.Es probablemente el sistema ms seguro, ya que no necesita tratar complicadas listas deacceso y centraliza en un solo punto de gestin los servicios.Y adems permitir controlar y recoger informacin de cada uno de los servicios porseparado.Las pasarelas a nivel de aplicacin son prcticamente la nica solucin efectiva para eltratamiento seguro de aquellos servicios que requieren permitir conexiones iniciadasdesde el exterior (servicios como FTP, Telnet, Correo Electrnico). En realidad, lo que se utiliza es una puerta de acceso para cualquier servicio. Al ser estapuerta de uso obligatorio, podemos establecer en ella los criterios de control quequeramos.Atravesada la puerta, puede ocurrir que la propia pasarela de nivel de aplicacinofrezca el servicio de forma segura o que establezca una

65

conexin con el ordenadorinterno que realmente ofrece el servicio, teniendo en cuenta que ste ltimo deber estarconfigurado para aceptar conexiones tan solo desde nuestra pasarela de nivel deaplicacin para este servicio.

1.7.2.2.3

Firewalls a nivel de circuito:

Se basan en el control de las conexiones TCP y actan como si fuesen un cable de red. Por un lado reciben las peticiones de conexin a un puerto TCP; y por otro, establecen laconexin con el destinatario deseado, si se han cumplido las restricciones establecidascopiando los bytes de un puesto al otro.Este tipo de cortafuegos suelen trabajar conjuntamente con los servidores 'proxi',utilizados para la acreditacin, es decir, comprobaciones sobre mquina fuente,mquina destino, puerto a utilizar. Una acreditacin positiva, significa establecer laconexin. Son el tipo de cortafuego ms adecuado para el tratamiento de las conexiones salientes.

1.7.2.2.4

Cortafuegos basados en certificados digitales:

Este tipo de cortafuegos basados en certificados digitales son extremadamente seguros ycon una gran funcionalidad. Su popularidad no ha sido muy grande porque hasta hacepoco tiempo no existan distribuidores de certificados digitales universales. Actualmenteeste defecto est cambiando a nivel mundial.

Decisiones de diseo bsicas de un firewall Hay varias consideraciones a tener en cuenta al momento de implementar un firewallentre Internet y una intranet (red LAN) Algunas de estas consideraciones son:

66

 Postura del firewall: Todo lo que no es especficamente permitido se niega. Aunque es una postura radical es la ms segura y la ms fcil de implementar relativamente ya que no hay necesidad de crear accesos especiales a los servicios. Todo lo que no es especficamente negado se permite. Esta no es la postura ideal, por eso es ms que todo usado para subdividir la intranet. No es recomendable para implementar entre una LAN e Internet, ya que es muy vulnerable. Poltica de seguridad de la organizacin Depende ms que todo de los servicios que esta presta y del contexto en el cual esta.No es lo mismo disear un firewall para una ISP o una universidad que para protegersubdivisiones dentro de una empresa. Costo del firewall El costo del firewall depende del nmero de servicios que se quieran filtrar y de la tecnologaelectrnica del mismo, adems se necesita que continuamente se le preste soporteadministrativo, mantenimiento general, actualizaciones de software y parches de seguridad. Componentes de un firewall Los componentes tpicos de un firewall son: Un enrutador que sirva nica y exclusivamente de filtro de paquetes. Un servidor proxy o gateway a nivel de aplicacin El gateway a nivel de circuito. Configuraciones de cortafuegos Los tipos de cortafuegos que existen se han tratado de forma independiente, no comosistema. Cuando se realiza un sistema de cortafuegos, suelen emplearse

67

varios o todos lostipo. Se hace as porque cada uno de ellos trata la proteccin a un nivel distinto, desde lospaquetes de red, pasando por los puertos de conexin, hasta el servicio propiamente dicho.

1.7.3 Host De Base Dual

En las redes de TCP/IP, el trmino host de base mltiple (multi -homed host) describe a un host que tiene varias tarjetas de interfaz de red por lo general, cada tarjeta de interfaz de red se conecta a una red. Histricamente, estehost de base mltiple tambin puede enrutar el trfico entre los segmentos de la red. El trmino gateway se utiliz para describir la funcin de enrutamiento desarrollada por estos host de base mltiple. Hoy en da, el trmino router se utiliza para describir esta funcin de enrutamiento, mientras que el trmino gateway se reserva para aquellas funciones que corresponden a las capas superiores del modelo OSI. Si la funcin de enrutamiento en el host de base mltiple est inhabilitado, el host puede proporcionar aislamiento del trfico de red entre las redes a las que est conectado, y cada redtodava podr procesar aplicaciones en los hosts de base mltiple. Es ms, si las aplicaciones lopermiten, las redes tambin pueden compartir datos. Un host de base dual (dual-homed host) es un ejemplo, especial de host de base mltiple que cuenta con dos interfaces de red y tiene inhabilitadas las funciones de enrutamiento.

1.7.3.1 Host De Base Dual Como Firewall

El host de base dual puede utilizarse para aislar una red interna de una red externa no confiable. Debido a que el host de base dual no enva ningn trfico de TCP/IP, bloquea completamente cualquier trfico de IP entre la red interna y la red

68

externa no confiable. Los servicios de Internet, como correo y noticias, son esencialmente servicios de almacenamiento y envo. World Wide Web tambin puede considerarse como de almacenamiento y envo, pero los trminos "cacheo" y "proxy' se utilizan de manera ms comn en el vocabulario de Web. Si estos servicios se ejecutan en un host de base dual, pueden configurarse para transmitir servicios de aplicacin de una red a otra. Si los datos de la aplicacin deben cruzar la firewall, pueden configurarse los agentes emisores de aplicacin para ejecutarse en el host de base dual.

69

CAPITULO 2. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN SEGN LA NORMA UNE-ISO/IEC 27000

2.1 . CONCEPTOS BSICOS SOBRE SEGURIDAD DE LA INFORMACIN

Lo primero que vamos hacer es definir los trminos.

2.1.1 . 2.1.1.1

Conceptos bsicos Qu entendemos por seguridad de la informacin?

Para comprender qu es la seguridad de la informacin, en primer lugar, debemos conocer que la informacin en este rea es referida a los activos de informacin (es decir, los datos por supuesto, pero tambin los equipos, las aplicaciones, las personas, que se utilizan para crear, gestionar, trasmitir y destruir la informacin), que tienen un valor para la organizacin.

No se debe confundir la seguridad de la informacin con la seguridad informtica ya que la seguridad de la informacin abarca muchas ms reas mientras que la seguridad informtica se encarga de la proteccin de las infraestructuras TIC que soportan el negocio. Por tanto la seguridad de la informacin abarca la seguridad informtica.

La seguridad de la informacin, por tanto, se puede definir como la proteccin de la confidencialidad, integridad y disponibilidad de los activos de informacin segn sea necesario para alcanzar los objetivos de negocio de la organizacin.

Estos tres parmetros bsicos de la seguridad se definen como:

70

Confidencialidad: A la informacin solo pueden acceder las personas autorizadas para ello.

Integridad: La informacin ha de estar completa y correcta en todo momento.

Disponibilidad: La informacin estar lista para acceder a ella o utilizarse cuando se necesita.

Dependiendo de los modelos utilizados o de las necesidades del negocio, tambin son parmetros a tener en cuenta:

Autenticidad: La informacin es lo que dice ser o el transmisor de la informacin es quin dice ser.

Trazabilidad: Poder asegurar en todo momento quin hizo qu y cundo lo hizo.

2.1.1.2

Qu entendemos por seguridad de la informacin?

Un fallo de seguridad es cualquier incidente que la compromete, es decir que pone en peligro cualquiera de los parmetros con los que se valora la seguridad: la confidencialidad, la disponibilidad o la integridad de la informacin. Con la actual complejidad de los sistemas de informacin, con una economa y un comercio que se basan en intercambios y comunicaciones a lo largo y ancho del mundo, con un nmero creciente de usuarios que no slo se conectan desde dentro sino tambin desde fuera de la organizacin, es fcil hacerse una idea del reto que presenta evitar que sucedan cosas como:

Fallos en las comunicaciones.

71

 Fallos en el suministro elctrico. Fallos humanos de usuarios internos, usuarios externos, administradores, programadores, etc. Fallos en los sistemas de informacin: redes, aplicaciones, equipos, etc. Virus informticos, gusanos, troyanos, etc. que inundan la red. Accesos no autorizados a los sistemas o la informacin. Incumplimiento de una ley o un reglamento.

Los fallos de seguridad son ocasionados muchas veces por la errnea percepcin de que si la seguridad fsica est razonablemente asegurada, no tiene por qu haber problemas. O que protegiendo nicamente las aplicaciones y las bases de datos ya est garantizada la seguridad. Con esos supuestos se dejan desprotegidas muchas reas de la organizacin, muchos activos de informacin que pueden ser fcilmente daados o destruidos, ya que no se han tenido en cuenta todos los aspectos de la seguridad de la informacin: la seguridad fsica, la seguridad lgica y las medidas organizativas.

2.1.1.3 Qu son los Sistemas de Gestin de la Seguridad de la Informacin (SGSI)?

Hasta ahora lo ms comn ha sido ir parcheando los agujeros de seguridad con medidas puntuales, descoordinadas y poco proporcionadas al riesgo que reducen. Se trata de medidas cuya implantacin y efectividad no son llevadas a cabo y controladas de manera planificada. El resultado es obvio, se siguen manteniendo altos niveles de riesgo frente a las amenazas.

Todos estos incidentes que amenazan la seguridad de la informacin requieren, cada da ms, de sistemas de gestin acordes con el valor de la propia informacin y de los sistemas informticos que
72

los tratan. Las directrices, procedimientos y controles de seguridad que se utilizan para gestionar esta seguridad es lo que conocemos por Sistema de Gestin de Seguridad de la Informacin o SGSI.

De una manera ms estricta, un Sistema de Gestin de Seguridad de la Informacin es aquella parte del sistema general de gestin de una organizacin que comprende:

la poltica. la estructura organizativa. los procedimientos. los procesos y los recursos necesarios,

para implantar la gestin de la seguridad de la informacin. Con un sistema de gestin de seguridad de la informacin nos aseguraremos de cubrir todos los aspectos de seguridad tomando medidas encaminadas a reducir paulatinamente los riesgos a los que la organizacin se enfrente.

Como cualquier sistema de gestin, el SGSI debe ayudar a conseguir los objetivos de la organizacin, no convertirse en un impedimento para ello.

Un SGSI contiene en primer lugar, las pautas que se van a seguir en la organizacin para garantizar la seguridad de la informacin y las responsabilidades de cada cual al respecto.

El SGSI recoge los objetivos que se pretenden obtener y los medios con que se va a contar para ello.

73

Para determinar ambas cosas, se realiza un anlisis de riesgos que da la medida de hasta qu punto los activos estn expuestos a que les ocurran fallos de seguridad y cul sera el impacto en caso de que lleguen a ocurrir.

Con esa informacin se establece el punto de partida, cual es el estado en el que est la seguridad y se decide cual se pretende conseguir, as como cual es el objetivo para un periodo de tiempo determinado. A partir de ah, se deciden las acciones a tomar para reducir esos riesgos al nivel que se decidido que sea el objetivo.

Las acciones que se tomen deben documentarse dentro del SGSI, mediante procedimientos y planes para su ejecucin.

Por tanto definiremos un Sistema de Gestin de Seguridad de la informacin (SGSI) como la manera en la que una organizacin conoce los riesgos a los que est sometida su informacin y los gestiona mediante una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente.

2.2 . Estndares de gestin de la seguridad de la informacin

En este punto se da un repaso a los principales estndares aceptados por la industria en el rea de la seguridad de la informacin, las Normas ISO 27001 e ISO 27002, explicando los objetivos y los requisitos contenidos en estas dos normas.

74

2.2.1 .
ISO

La organizacin iso
Internacional de Estndares) es una organizacin

(Organizacin

especializada en el desarrollo y difusin de los estndares a nivel mundial.

2.2.2 .

La familia de las normas iso

A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Muchos de ellos no estn an publicados, pero la estructura ya est definida:

ISO/IEC27000 Sistemas de Gestin de Seguridad de la Informacin, Generalidades y vocabulario, publicada en Abril del 2009, en la que se recogen los trminos y conceptos relacionados con la seguridad de la

informacin, una visin general de la familia de estndares de esta rea, una introduccin a los SGSI, y una descripcin del ciclo de mejora continua.

UNE-ISO/IEC 27001, Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos. (ISO/IEC 27001:2005), publicada en el ao 2007. Esta es la norma fundamental de la familia, ya que contiene los requerimientos del sistema de gestin de seguridad de la informacin y es la norma con arreglo a la cual sern certificados los SGSI de las organizaciones que lo deseen.

ISO/IEC27002, Tecnologa de la Informacin. Cdigo de buenas prcticas

75

para la Gestin de la Seguridad de la Informacin, publicada en el ao 2005. Esta gua de buenas prcticas describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin.

ISO/IEC27003. Gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases

ISO27004: Estndar para la medicin de la efectividad de la implantacin de un SGSI y de los controles relacionados.

ISO/IEC27005:2008 Gestin del Riesgo en la Seguridad de la Informacin, publicada en el ao 2008. Esta norma al pertenecer a la familia de las Normas 27000, se ajusta a las necesidades de las organizaciones que pretende realizar su anlisis de riesgos en este mbito y cumplir con los requisitos de la Norma ISO 27001.

ISO/IEC27006. Requisitos para las entidades que suministran servicios de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Publicada en el ao 2007. Recoge los criterios mediante los cuales una organizacin se puede acreditar para realizar esos servicios.

ISO/IEC27007. Gua para la realizacin de las auditoras de un SGSI.

ISO/IEC27011. Directrices para la seguridad de la informacin en organizaciones de telecomunicaciones utilizando la Norma ISO/IEC 27002. Contiene recomendaciones para empresas de este sector, facilitando el cumplimiento de la Norma ISO27001 y conseguir un nivel de seguridad aceptable.

EN ISO27799. Gestin de la seguridad de la informacin sanitaria utilizando

76

la Norma

ISO/IEC27002 (ISO27799:2008). Vigente en nuestro pas ya que ha sido ratificada por AENOR en agosto de 2008. Como en la anterior, es una gua sectorial que da cabida a los requisitos especficos de entorno sanitario.

2.2.3 .

La norma iso 27001

2.2.3.1

Orgenes

La Norma fue publicada como Norma Espaola en el ao 2007, pero tiene una larga historia antes de llegar a este punto.

Ya en el ao 1995 el British Standard Institute (BSI) publica la norma BS7799, un cdigo de buenas prcticas para la gestin de la seguridad de la informacin.

A la vista de la gran aceptacin de esta Norma, en 1998, el BSI publica la norma BS7799-2, Especificaciones para los sistemas de gestin de la seguridad de la informacin; se revisa en 2001. Tras una revisin de ambas Normas, la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799.

En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2, sin que haya un equivalente ISO. A partir de julio de 2007 la ISO 17799:2005 adopta el nombre de ISO 27002 y en octubre de 2007 la norma ISO 27001 se adopta como UNE. Con la publicacin de la UNE-ISO/IEC 27001, dej de estar vigente la UNE 71502 y las empresas nacionales se certifican ahora nicamente con esta nueva norma (UNE-ISO/IEC 27001).

77

2.2.3.2

Contenido de la UNE-ISO/IEC 27001

La norma UNE-ISO/IEC 27001 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestin de la Seguridad de la Informacin (en adelante SGSI) de acuerdo a la Norma ISO 27002 dentro del contexto de los riesgos identificados por la Organizacin.

Como otras Normas de gestin (ISO 9000, ISO 14001, etc.), los requisitos de esta Norma aplican a todo tipo de organizaciones, independientemente de su tipo, tamao o rea de actividad.

Asimismo est basada en un enfoque por procesos y en la mejora continua, por lo tanto es perfectamente compatible e integrable con el resto de sistemas de gestin que ya existan en la organizacin. La Norma asume que la organizacin identifica y administra cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un "proceso". A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentacin de los mismos. Estos procesos se someten a revisiones para detectar fallos e identificar mejoras, por lo que se encuentran dentro de un proceso de mejora continua.

La Norma recoge:

Los componentes del SGSI, es decir, en qu consiste la parte documental del sistema: qu documentos mnimos deben formar parte del SGSI, cmo se deben crear, gestionar y mantener y cules son los registros que permitirn evidenciar el buen funcionamiento del sistema.

Cmo se debe disear e implantar el SGSI.

78

Define los controles de seguridad a considerar. Se requiere que se escojan

los controles del Anexo A, que recoge todos los controles detallados en la Norma ISO/IEC 27002.

Cmo debe realizarse la revisin y mejora del SGSI.

La ISO 27001 adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organizacin.

2.2.4 .

La norma iso 27002

Esta norma contiene 11 captulos de controles de seguridad que contienen un total de 133 controles de seguridad. Puede servir de gua prctica para la gestin de la seguridad de la informacin. No es una norma certificable.

Los objetivos de control contemplados en la Norma son:

1. Poltica de seguridad. Cuenta con dos controles: Documento de Poltica de seguridad y Revisin del Sistema. 2. Organizacin de la seguridad de la informacin, tienen 11 controles: Compromiso de la Direccin, Identificacin de riesgos relacionados con terceras partes. 3. Gestin de activos, con 5 controles: Utilizacin aceptable de los activos, etiquetado y tratamiento de la Informacin . 4. Seguridad ligada a los Recursos Humanos con 9 controles: Anlisis y seleccin, Retirada de los derechos de acceso. 5. Seguridad fsica y del entorno tiene 13 controles: Controles fsicos de entrada, emplazamiento y proteccin de los equipos. 6. Gestin de comunicaciones y operaciones, con 32 controles es el captulo

79

ms extenso y ms tcnico: Gestin de la Capacidad, Proteccin frente a cdigo malicioso, Copias de seguridad, Registro de fallos . 7. Control de acceso, cuenta con 25 controles: Gestin de contraseas de usuarios Autenticacin de usuarios para conexiones externas, Aislamiento de sistemas sensibles. 8. Adquisicin, desarrollo y mantenimiento de SI, tiene 16 controles: Validacin de datos de entrada, Control de acceso al cdigo fuente de los programas, control de vulnerabilidades tcnicas . 9. Gestin de incidentes de seguridad de la informacin, con slo 5 controles: Informes de eventos de seguridad, Recogida de pruebas, es sin embargo uno de los aspectos claves en la gestin de la seguridad de la informacin. 10. Gestin de la continuidad del negocio, tambin con 5 controles: Evaluacin de riesgos y continuidad del negocio Prueba, Mantenimiento y re-

evaluacin de los planes de continuidad. Es uno de los requisitos fundamentales para cualquier SGSI. 11. Conformidad, tienen 10 controles: Identificacin de la legislacin aplicable, Controles de auditora de los sistemas de informacin.

La Norma contiene explicaciones exhaustivas de cmo se puede implantar cada uno de los controles, pero hay que tener en cuenta que no es una norma preceptiva sino informativa, por lo que la informacin que da puede y debe ser adaptada a las necesidades y situacin especfica de la organizacin. Debe evitarse caer en el error de tratar de seguir al pie de la letra las indicaciones que se dan, ya que pueden ser excesivamente complejas e innecesarias para muchas organizaciones.

80

2.3 . Implantacin de un SGSI

2.3.1 .

Aspectos generales

La primera consideracin importante que tiene que hacerse a la hora de abordar la implantacin de un SGSI es restringirse a un mbito manejable y reducido. No es necesario ni aconsejable, muchas veces ni siquiera viable, el abarcar toda la organizacin o gran parte de ella si no se cuentan con los recursos materiales y humanos. Entendiendo que la implantacin es slo la primera parte, despus el SGSI debe mantenerse y eso requiere tambin de una cierta dedicacin.

La implantacin de un sistema de Gestin de la Seguridad de la Informacin en una empresa suele oscilar entre 6 meses y 1 ao. Todo depende del mbito, el tamao y complejidad de la organizacin. Se recomienda que el proceso de

implantacin no supere el ao, ya que un alargamiento elevado puede causar que todo el trabajo realizado al principio del proyecto quede obsoleto antes de llegar a su finalizacin.

Para conseguir el xito en la implantacin de un SGSI segn la norma ISO 27001 es muy importante intentar no complicar el proyecto, optando siempre por escoger la solucin ms sencilla de implantar y mantener.

81

2.3.2 .

Tareas a realizar

CICLO PDCA (PLAN, DO, CHECK, ACT)

Fase Plan
- Definir polticas de seguridad. - Establecer alcance del SGSI. - Realizar anlisis de riesgos. - Seleccionar los controles.

Fase Do (Hacer)
- Implantar plan de gestin de riesgos. - Implantar el SGSI. - Implantar los controles.

Fase Check (comprobar)

Fase ACT (Actuar)

- Revisar internamente - Adoptar las acciones el SGSI. Correctivas. - Realizar auditoras internas del SGS.I - Adoptar las acciones Preventivas.

2.3.2.1

Fase plan

Planificar y disear el SGSI segn la Norma UNE/ISO-IEC 27001 implica:

Establecer alcance del SGSI. Es el primer paso. Hay que decidir qu parte de la organizacin va a ser protegida. Evidentemente puede ser la organizacin completa, pero es perfectamente vlido y muy recomendable comenzar por un rea de la organizacin que sea relevante o importante.

Establecer las responsabilidades. Se asignar un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. Ser el que acte como foco de todos los aspectos de seguridad de la organizacin y cuyas responsabilidades cubran todas las funciones de seguridad. En muchas organizaciones ser necesario designar un comit de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y que apruebe directrices y normas.

Definir poltica de seguridad. Este paso es fundamental. La poltica de la organizacin es la que va a sentar las bases de lo que se va a hacer,

82

mostrar el compromiso de la direccin con el SGSI y servir para coordinar responsabilidades y tareas. Realizar anlisis de riesgos. El anlisis de riesgos es la piedra angular de un SGSI. Es la actividad cuyo resultado nos va a dar informacin de dnde residen los problemas actuales o potenciales que tenemos que solucionar para alcanzar el nivel de seguridad deseado. El anlisis de riesgos debe ser proporcionado a la naturaleza y valoracin de los activos y de los riesgos a los que los activos estn expuestos. La valoracin del riesgo debe identificar las amenazas que pueden comprometer los activos, su vulnerabilidad e impacto en la organizacin, determinando el nivel del riesgo. Seleccionar los controles. Una vez que se sabe dnde estn los puntos dbiles en la gestin de la seguridad, se escogen los controles necesarios para eliminarlos o al menos, reducir la probabilidad de que ocurran algn incidente o el impacto que tendra en caso de que algo ocurriera. En principio los controles se escogern de los detallados en el Anexo A de la Norma. Establecer el plan de seguridad. Debido a que sern numerosas las actuaciones que se pretender realizar, debe establecerse un plan con los plazos, los recursos y las prioridades a la hora de ejecutarlas.

2.3.2.2

Fase Do (Hacer)

En esta fase debe llevarse a efecto el plan de seguridad planteado en la fase anterior. Algunas medidas de corte tcnico requerirn poca documentacin, pero otras ms de ndole organizativa, como son el caso de la gestin de la documentacin o de los recursos humanos, necesitan ser documentadas.

83

Los principales documentos a generar son:

Poltica de seguridad. Con las lneas generales que la organizacin desea seguir en seguridad. Inventario de activos. Con la descripcin de los activos de informacin de la organizacin y su valoracin para la misma. Anlisis de riesgos. Con los valores de riesgo de cada uno de los activos. Documento de aplicabilidad. En el que se recoge para cada control del Anexo A de la Norma UNE/ISO-IEC 27001 si se aplica o no y la justificacin para esa decisin.

Procedimientos. Con la descripcin de las tareas a realizar para la ejecucin de los controles que lo necesiten o de las tareas de administracin del SGSI.

Registros. Son las evidencias de que se han realizado las tareas definidas para el SGSI. Son muy importantes de cara a poder medir la eficacia de las medidas implantadas as como a justificar las labores realizas frente a las auditoras del sistema (tanto internas como externas).

Una tarea importante dentro de esta fase es la formacin. Desde luego la formacin e informacin continua al personal dentro del proyecto debe comenzar con el mismo, pero en esta fase hay que involucrar a todos aquellos que se vean afectados por el SGSI tanto de forma directa como indirecta, es decir, todos, ya que todo el mundo tiene alguna responsabilidad si maneja informacin en cualquier forma o soporte.

Mantener informado a todo el mundo de lo que se est haciendo, del por qu y cules son los objetivos que se pretende conseguir es primordial para lograr la colaboracin de todos y reducir enla medida de lo posible la resistencia al cambio.

84

2.3.2.3

Fase Check (Comprobar)

Una vez puesto en marcha el plan de seguridad, se debe revisar peridicamente de manera que se detecten posibles desviaciones. Pueden haberse producido retrasos en las acciones a tomar o bien haber surgido problemas que no fueron previstos y que hay que solucionar para continuar con el plan.

Otra de las comprobaciones que se realizan dentro del SGSI es la auditora interna. Tiene por objeto la medida y evaluacin de la eficacia de otros controles, mediante la auditora se determina si los objetivos de los controles, los controles, los procesos y los procedimientos:

Estn conformes con los requisitos de la Norma UNE/ISO-IEC 27001. Estn conformes con la legislacin y regulaciones aplicables. Estn conformes con los requisitos de seguridad identificados. Estn implementados y mantenidos de manera efectiva. Dan el resultado esperado.

Si se detectan no conformidades, deben tomarse las acciones oportunas para corregirlas.

Una no conformidad es el incumplimiento de un requisito, que en el caso que nos ocupa puede ser un requisito de la Norma, una norma interna de la organizacin, un requisito contractual o legal, etc.

La otra actividad de seguimiento o comprobacin contemplada dentro de la Norma es la Revisin del SGSI por parte de la direccin. El objetivo es que la direccin se asegure de que el SGSI contina siendo adecuado, apropiado y efectivo. Esta revisin es una herramienta muy potente para la identificacin de oportunidades de mejora.

85

Existen muchas formas en que la alta direccin puede revisar el SGSI como, por ejemplo, recibir y revisar un informe generado por el representante de la direccin u otro personal, la comunicacin electrnica como parte de reuniones regulares de la direccin en donde tambin se discutan aspectos tales como objetivos.

2.3.2.4

Fase Act (Actuar)

Cuando mediante cualquiera de las actividades de comprobacin realizadas o incluso durante la operativa habitual del SGSI se descubren no conformidades, reales o potenciales, deben tomarse medidas para solucionarlas. Hay tres maneras para ello:

Adoptar acciones correctoras. Estas acciones son las que se toman para corregir una no-conformidad significativa con los requisitos del Sistema de Gestin de Seguridad de la Informacin. Las decisiones de qu hacer y cmo deben estar basadas en una identificacin precisa de la causa del problema para evitar malgastar recursos simplemente arreglando

provisionalmente un incidente que volver a repetirse si no se ataca la causa que lo origin. Adoptar acciones preventivas. Son aquellas que se toman para prevenir que ocurra algo no deseado. La gran ventaja de estas acciones es que evidentemente es ms eficaz y sencillo prevenir los problemas que solucionarlos. De todos modos es fundamental tambin en este caso determinar cul es la posible fuente de problemas con el objeto de eliminarla. Definir acciones de mejora. Las acciones de mejora no surgen de la necesidad de solucionar un problema sino de la dinmica del sistema de

86

gestin, que impulsa a refinar procesos y superar objetivos continuamente. Son acciones encaminadas a hacer mejor las cosas de una manera ms eficaz y eficiente, consiguiendo los resultados esperados con menos esfuerzo.

2.4 . Definicin de las polticas, organizacin, alcance del sistema

En este punto se desglosan de manera detallada los primeros pasos que deben llevarse a cabo para desarrollar un SGSI de acuerdo con la Norma UNE/ISO-IEC 27001: cmo se debe definir una Poltica de Seguridad coherente, cuales son las principales responsabilidades que deben asignarse internamente, cmo debe definirse el alcance del Sistema y de qu manera debe llevarse a cabo una labor de concienciacin que permita posteriormente implantar un SGSI eficaz.

2.4.1 .

Alcance del SGSI

Para comenzar a disear el SGSI en primer lugar hay que decidir qu se quiere proteger, es decir, el alcance que se le va a dar al sistema.

Segn lo especificado por la Norma UNE/ISO-IEC 27001, los lmites del SGSI deben estar definidos en trminos de las caractersticas de la organizacin, localizacin, activos y tecnologas. Esto significa que hay que considerar qu parte de la organizacin va a quedar protegida por el SGSI, si es que no se pretende abarcarla toda.

No se debe olvidar que la implantacin de este tipo de sistemas debe ayudar a los procesos propios de la empresa y no debe interferir en su desarrollo para que se lleven a cabo de la mejor manera posible.

87

Una vez decidido si el alcance va a ser toda la organizacin o slo una parte de ella, hay que definir claramente este alcance. Para ello deben enumerarse:

Las localizaciones fsicas incluidas: oficinas, sedes, fbricas, delegaciones, etc. De manera que queden claros los lmites fsicos del SGSI. Las actividades de la organizacin: servicios y productos que suministra, actividades internas, etc. Es aqu donde es importante detallar exactamente qu queda dentro del alcance y qu queda excluido, por ejemplo, si la organizacin proporciona servicios de asesora legal y fiscal, y se ha decidido que slo se van a considerar dentro del alcance los de asesora fiscal. Hay que tener en cuenta que no sera lgico excluir por ejemplo el departamento de informtica, ya que no se puede obviar que este departamento es el que manipula y gestiona probablemente toda la informacin. Aunque este servicio estuviera subcontratado, hay que tener los mecanismos para poder gestionarlo con seguridad y el SGSI debe incluir los controles necesarios para ello.

Las

tecnologas

utilizadas:

tipos

de

equipos

informticos,

redes,

comunicaciones, etc. En general esta parte queda documentada con un mapa esquemtico de la red de la organizacin. No es necesario que muestre mucho detalle, pero s que para cualquiera que tenga acceso a la documentacin pueda hacerse una idea cabal de qu elementos constituyen la red informtica de la organizacin y como estn dispuestos.

La definicin del Alcance es, por tanto, uno de los puntos crticos en la implantacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI), ya que su correcta definicin har que las tareas de implantacin y los responsables estn correctamente determinados y que, de esta manera, dichas tareas as como el mantenimiento del sistema estn acordes con los recursos disponibles y las necesidades de la organizacin.

88

2.4.2 .

Poltica de seguridad

El objetivo de la Poltica de Seguridad es dirigir y dar soporte a la gestin de la seguridad de la informacin de acuerdo a los requisitos del negocio y la legislacin aplicable. Es el punto de partida del diseo del SGSI, a partir del cual se desarrollan las actuaciones necesarias para implantar el SGSI. Es un requisito de la Norma UNE/ISO-IEC 27001 contar con este documento, y los controles asociados estn en el primer objetivo de control, Poltica de Seguridad de la Informacin.

La Poltica de Seguridad la define la Direccin, estableciendo en ella de forma clara las lneas de actuacin en esta rea, que deben estar alineadas con los objetivos de negocio. La Poltica es tambin una manifestacin expresa del apoyo y compromiso de la Direccin con la seguridad de la informacin. El Documento que recoja la Poltica de Seguridad debe ser aprobado por la Direccin, publicado y comunicado a todos los empleados y terceras partes, tiene que ser del dominio pblico las intenciones y objetivos de la organizacin. Esto es fundamental para que el personal perciba la importancia del asunto y sea consciente de que no es una comunicacin ms dentro de la organizacin, sino que debe ser tenida en cuenta y puesta en prctica.

La Poltica debe ser un documento legible y comprensible para toda la audiencia a la que va dirigido, lo cual es ms fcil de conseguir si es corto y preciso, enfocado a describir qu se quiere proteger en la organizacin y por qu.

Adems de la declaracin de principios, debe recogerse, en el mismo documento o en otro, una breve explicacin de las polticas, principios, normas y requisitos de cumplimiento ms importantes para la organizacin, como por ejemplo:

Definicin de las responsabilidades en materia de gestin de la seguridad

89

de la informacin de cada puesto y descripcin de las posibles consecuencias en caso de no observar estas responsabilidades. Cmo se deben comunicar las incidencias de seguridad de la informacin para que puedan ser gestionadas adecuadamente. Cmo se va llevar a cabo el cumplimiento de los requisitos legales, reglamentarios y contractuales. Cules son las responsabilidades y tareas de cada uno en cuanto a la continuidad del negocio. Las referencias a documentacin que pueda sustentar la poltica; por ejemplo, normas, instrucciones y procedimientos detallados para poder ejecutar tareas especficas o las reglas de seguridad que los usuarios deben cumplir.

La poltica de seguridad de la informacin se debera revisar a intervalos planificados, aunque lo recomendable es que sea al menos anualmente, o en el caso de que se produzcan cambios importantes, para que se ajuste en todo momento a las necesidades y contexto de la organizacin.

Por ejemplo:

1. Despus de incidentes de seguridad (sobre todo de aquellos que sean considerados como graves).

2. Despus de una auditora / revisin del sistema que no haya tenido xito (evidentemente esto es porque falla el SGSI y no est acorde con la normativa). 3. Frente a cambios que afecten a la estructura de la organizacin: nuevos servicios o eliminacin de alguno de ellos, cambios en el contexto econmico, cambios en el sector, etc.

90

2.4.3 .

Organizacin de la seguridad

El segundo dominio de actuacin de la norma ISO 27001 se corresponde con los aspectos organizativos de la seguridad de la informacin y trata tanto la organizacin interna como la relacin de la empresa con terceras partes (clientes, subcontratas, etc.)

Hay dos funciones principales:

Un responsable de seguridad, que ser el que coordine las tareas y esfuerzos en materia de seguridad. Esta persona centralizar todos los aspectos de seguridad de la organizacin y sus responsabilidades cubrirn todas las funciones de seguridad.

Integrantes del comit de seguridad. Los participantes de este comit son los que tratan los problemas de seguridad y las no conformidades, discuten y deciden las soluciones a los mismos, Identifican cambios significativos y como deben ser gestionados, valoran si los controles implantados son suficientes y coordinan la implantacin de los nuevos, resuelven los asuntos interdisciplinarios, revisan y aprueban directrices y normas, proponen objetivos a la direccin y revisan con ella la marcha de los mismos. Si la organizacin es muy pequea puede no existir este comit y es el propio responsable de seguridad el que asume estas funciones. Pero en la medida de lo posible deberan colaborar todas las reas de la organizacin de manera que todas las decisiones fueran lo ms informadas y consensuadas posible.

Sin embargo la gestin y operacin de un SGSI requiere la colaboracin de todo el personal, por lo que deben definirse y asignarse todas las responsabilidades relativas a la seguridad de la informacin. Esto evitar lagunas de seguridad, ya que todos los aspectos quedarn bajo la responsabilidad de alguien. Como parte

91

de este proceso puede hacerse uso de los acuerdos de confidencialidad. En algunas organizaciones se exige que firmen acuerdos sobre el mantenimiento de la confidencialidad de la informacin a la que tienen acceso, incluyendo incluso en este tipo de documentos la Poltica de Seguridad. De esta manera queda asegurado que todo el personal conoce las normas y ha aceptado seguirlas.

Sin ser exhaustivos, las principales responsabilidades de los roles ms habituales que se encuentran en cualquier organizacin son:

Direccin.

La Direccin tiene varias de las responsabilidades clave en la puesta en marcha y funcionamiento del SGSI. Es la Direccin la que debe: Aprobar la Poltica y los objetivos de seguridad. Aprobar los riesgos residuales, aquellos que quedan tras la aplicacin de controles de seguridad y que en ese momento no se pueden reducir ms, por lo que la organizacin debe asumirlos. Aprobar los planes de formacin y auditoras. Realizar la revisin del SGSI. Demostrar su compromiso con la seguridad de la informacin para promover una cultura efectiva dentro de la organizacin.

Responsable de Sistemas.

Tiene entre sus obligaciones: Llevar a cabo las actividades de gestin del SGSI actuando en coordinacin con el responsable de seguridad.
92

 Administrar y gestionar las cuentas de los usuarios y los privilegios de acceso de cada uno de ellos. Asegurarse de que slo las personas autorizadas a tener acceso a la informacin y los sistemas cuentan con l. Asegurarse de que los sistemas tienen los niveles de disponibilidad requeridos por la organizacin. Incluir en los requisitos para nuevos desarrollos los aspectos de seguridad que apliquen.

Propietario de activos

El propietario de un activo, entendiendo por tal al responsable de dicho activo, tendr las siguientes responsabilidades: Definir si el activo est afectado por la Ley de Proteccin de Datos y aplicarle en su caso, los procedimientos correspondientes. Definir quienes pueden tener acceso a la informacin, cmo y cundo, de acuerdo con la clasificacin de la informacin y la funcin a desempear. Informar al Responsable de Seguridad de la Informacin cuando detecte cualquier incidencia para tratarla y corregirla. Implementar las medidas de seguridad necesarias en su rea para evitar fraudes, robos o interrupcin en los servicios. En los casos que aplique, asegurarse de que el personal y los contratistas tienen clusulas de confidencialidad en sus contratos y son conscientes de sus responsabilidades.

93

Personal. En general, cualquier integrante deber: Conocer y comprender la Poltica de Seguridad y los procedimientos que apliquen a su trabajo. Llevar a cabo su trabajo, asegurndose de que sus acciones no producen ninguna infraccin de seguridad. Comunicar las incidencias de seguridad que detecte mediante el canal establecido para ello.

Terceras partes. Cualquier entidad externa a la organizacin que de alguna manera tenga acceso a los activos de informacin de la misma (clientes, usuarios, contratistas, etc.) debera: Conocer la Poltica de Seguridad y entender su impacto en las relaciones con la organizacin. Cumplir lo estipulado en los contratos respecto a la seguridad de la informacin de los activos con los que trabajan. Comunicar las incidencias de seguridad que detecten.

2.4.4 .

Concienciacin

Esta es una parte crucial de un proyecto de implantacin de un SGSI. Aunque todo el proceso de diseo y desarrollo del sistema se haya hecho

cuidadosamente, escogiendo las mejores soluciones y las implementaciones ms prcticas y adecuadas, todo puede fallar de manera estrepitosa si no se consigue que el personal se involucre para que el sistema funcione. Es imprescindible para

94

obtener el nivel de seguridad que se persigue que todo el personal sea consciente de la trascendencia y de la importancia de las actividades de seguridad de la informacin y como sus propias tareas contribuyen a conseguir los objetivos del SGSI.

Desde el arranque del proyecto hay que llevar a cabo acciones de divulgacin, para que todo el personal, aunque no participe directamente sepa qu se est haciendo y por qu. Dar difusin a las tareas de diseo y desarrollo del SGSI permite ir hacindose a la idea de los cambios que se avecinan de una manera transparente. No hacerlo puede dar lugar a suspicacias, ya que el SGSI puede ser percibido como mecanismo de control por parte de la direccin. Por supuesto que los es, pero no est dirigido al personal sino a la seguridad de la informacin que hay que observar para poder funcionar eficazmente en un entorno digital como este en el que nos movemos.

Esta parte de concienciacin, debe ser complementada con formacin. Por muy mentalizada que se haya conseguido que est todo el personal, no servir de mucho si no se les han dado los medios para poder ejecutar sus tareas de manera segura. Es necesario que el personal al que se le han asignado responsabilidades definidas en el SGSI sea competente para llevar a cabo sus tareas. Habr algunos puntos en los que ya se cuente con las competencias necesarias, pero cuando no sea as, hay que formar al personal.

95

2.5 . Los activos de seguridad de la informacin

2.5.1 .

Identificacin de los activos de informacin

Se denomina activo a aquello que tiene algn valor para la organizacin y por tanto debe protegerse. De manera que un activo de informacin es aquel elemento que contiene o manipula informacin.

Activos de informacin son ficheros y bases de datos, contratos y acuerdos, documentacin del sistema, manuales de los usuarios, material de formacin, aplicaciones, software del sistema, equipos informticos, equipo de

comunicaciones, servicios informticos y de comunicaciones, utilidades generales como por ejemplo calefaccin, iluminacin, energa y aire acondicionado y las personas, que son al fin y al cabo las que en ltima instancia generan, transmiten y destruyen informacin, es decir dentro de un organizacin se han de considerar todos los tipos de activos de informacin.

Para facilitar el manejo y mantenimiento del inventario, los activos se pueden distinguir diferentes categoras de los mismos:

Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen en la organizacin. Aplicaciones: El software que se utiliza para la gestin de la informacin. Personal: En esta categora se encuentra tanto los empleados de la organizacin, como el personal subcontratado, los clientes, usuarios y, en general, todos aquellos que tengan acceso de una manera u otra a los activos de informacin de la organizacin.

Servicios: Aqu se consideran tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra (por ejemplo la gestin

96

administrativa), como los externos, aquellos que la organizacin suministra a clientes y usuarios (por ejemplo la comercializacin de productos). Tecnologa: Los equipos utilizados para gestionar la informacin y las comunicaciones (servidores, PCs, telfonos, impresoras, routers, cableado, etc.) Instalaciones: lugares en los que se alojan los sistemas de informacin (oficinas, edificios, vehculos, etc.) . Equipamiento auxiliar: En este tipo entraran a formar parte todos aquellos activos que dan soporte a los sistemas de informacin y que no se hayan en ninguno de los tipos anteriormente definidos (equipos de destruccin de datos, equipos de climatizacin, etc.) .

2.5.2 .

Inventario de los activos

El inventario de activos es la base para la gestin de los mismos, ya que tiene que incluir toda la Informacin necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. Esta informacin como mnimo es:

Identificacin del activo: un cdigo para ordenar y localizar los activos. Tipo de activo: a qu categora de las anteriormente mencionadas pertenece el activo. Descripcin: una breve descripcin del activo para identificarlo sin ambigedades. Propietario: quien es la persona a cargo del activo. Localizacin: dnde est fsicamente el activo. En el caso de informacin en formato electrnico, en qu equipo se encuentra.

97

El inventario de activos no es recomendable que sea demasiado exhaustivo. Desglosar los activos hasta el nivel de registro o de elemento de un equipo informtico no es probable que vaya a proporcionar informacin relevante en cuanto a las amenazas y los riesgos a los que debe hacer frente la organizacin y adems complicar enormemente la realizacin del anlisis de riesgos, ya que cuantos ms activos haya ms laborioso ser el mismo.

2.5.3 .

Valoracin de los activos

Una vez identificados los activos, el siguiente paso a realizar es valorarlos. Es decir, hay que estimar qu valor tienen para la organizacin, cual es su importancia para la misma. Para calcular este valor, se considera cual puede ser el dao que puede suponer para la organizacin que un activo resulte daado en cuanto a su disponibilidad, integridad y confidencialidad.

La valoracin debe ser lo ms objetiva posible, por lo que en el proceso deben estar involucradas todas las reas de la organizacin, aunque no participen en otras partes del proyecto y de esta manera obtener una imagen realista de los activos de la organizacin.

2.6 . Realizacin del anlisis de riesgos

2.6.1 .

Conceptos bsicos de un anlisis de riesgos

Qu se entiende por riesgo. Dentro del contexto de un anlisis de riesgos, es la estimacin del grado de exposicin a que una amenaza se materialice sobre uno o
98

ms activos causando daos o perjuicios a la organizacin. El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente.

Antes de saber qu es un anlisis de riesgos y lo que conlleva, conozcamos otro tipo de conceptos muy relacionados con los Anlisis de Riesgos y la seguridad de la informacin. Estos son los ms importantes:

Amenaza: Es la causa potencial de un dao a un activo. Vulnerabilidad: Debilidad de un activo que puede ser aprovechada por una amenaza. Impacto: Consecuencias de que la amenaza ocurra. Riesgo intrnseco: Clculo del dao probable a un activo si se encontrara desprotegido. Salvaguarda: Medida tcnica u organizativa que ayuda a paliar el riesgo. Riesgo residual: Riesgo remanente tras la aplicacin de salvaguardas.

El anlisis de riesgos se define como la utilizacin sistemtica de la informacin disponible, para identificar peligros y estimar los riesgos.

A la hora de disear un SGSI, es primordial ajustarse a las necesidades y los recursos de la organizacin para que se puedan cubrir las expectativas, llegando al nivel de seguridad requerido con los medios disponibles. Es relativamente sencillo calcular con cuantos recursos se cuenta (econmicos, humanos, tcnicos...) pero no es tan fcil saber a ciencia cierta cules son las necesidades de seguridad.

Es aqu donde se muestra imprescindible la realizacin de un anlisis de riesgos. Hacerlo permite averiguar cules son los peligros a los que se enfrenta la organizacin y la importancia de cada uno de ellos. Con esta informacin ya ser
99

posible tomar decisiones bien fundamentadas acerca de qu medidas de seguridad deben implantarse.

2.6.2 .

Realizacin del anlisis de riesgos

2.6.2.1

Preparacin del anlisis de riesgos

Para realizar un anlisis de riesgos se parte del inventario de activos. Si es razonablemente reducido, puede decidirse hacer el anlisis sobre todos los activos que contiene. Si el inventario es extenso, es recomendable escoger un grupo relevante y manejable de activos, bien los que tengan ms valor, los que se consideren estratgicos o todos aquellos que se considere que se pueden analizar con los recursos disponibles. Se puede tomar cualquier criterio que se estime oportuno para poder abordar el anlisis de riesgos en la confianza de que los resultados van a ser tiles.

Hay que tener en cuenta que la realizacin de un anlisis de riesgos es un proceso laborioso. Para cada activo se van a valorar todas las amenazas que pueden afectarle, la vulnerabilidad cada una de las amenaza y el impacto que causara la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del riesgo para ese activo.

Independientemente de la metodologa que se utilice, el anlisis de riesgos debe ser objetivo y conseguir resultados repetibles en la medida de lo posible, por lo que deberan participar en l todas las reas de la organizacin que estn dentro del alcance del SGSI.

100

2.6.2.2

Identificar amenazas

Como ya se ha visto anteriormente, podramos denominar amenaza a un evento o incidente provocado por una entidad natural, humana o artificial que,

aprovechando una o varias vulnerabilidades de un activo, pone en peligro la confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro modo, una amenaza explota la vulnerabilidad del activo.

Atendiendo a su origen, existen dos tipos de amenazas:

Externas: Son las causadas por alguien (hackers, proveedores, clientes, etc.) o algo que no pertenece a la organizacin. Ejemplos de amenazas de este tipo son los virus y las tormentas.

Internas: Estas amenazas son causadas por alguien que pertenece a la organizacin, por ejemplo errores de usuario o errores de configuracin.

Las amenazas tambin pueden dividirse en dos grupos segn la intencionalidad del ataque en deliberadas y accidentales:

Deliberadas: Cuando existe una intencin de provocar un dao, por ejemplo un ataque de denegacin de servicio o la ingeniera social. Accidentales: Cuando no existe tal intencin de perjudicar, por ejemplo averas o las derivadas de desastres naturales: terremotos, inundaciones, fuego, etc.

101

2.6.2.3

Identificacin de vulnerabilidades

Tal y como hemos comentado anteriormente, una vulnerabilidad es toda aquella circunstancia o caracterstica de un activo que permite la materializacin de ataques que comprometen la confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo ser vulnerable a los virus si no tiene un programa antivirus instalado.

Hay que tener en cuenta que la presencia de una vulnerabilidad por si misma no causa dao. Para que se produzca este dao debe existir una amenaza que pueda explotarla.

Algunos ejemplos de vulnerabilidades son:

La ausencia de copias de seguridad, que compromete la disponibilidad de los activos. Tener usuarios sin formacin adecuada, que compromete la

confidencialidad, la integridad y la disponibilidad de los activos, ya que pueden filtrar informacin o cometer errores sin ser conscientes del fallo. Ausencia de control de cambios, que compromete la integridad y la disponibilidad de los activos.

2.6.2.4

Ejecucin del anlisis

Con el equipo de trabajo asignado para ello y la metodologa escogida, se llevar a cabo el anlisis de riesgos. Los participantes tendrn que valorar las amenazas y las vulnerabilidades que afectan a los activos escogidos para el anlisis y el impacto que ocasionara que alguna de las amenazas realmente ocurriera, sobre la base de su conocimiento y experiencia dentro de la organizacin.

102

2.6.2.5

Documentar el anlisis de riesgos

Independientemente de la metodologa o la herramienta informtica que se utilice para la realizacin del anlisis de riesgos, el resultado debera ser una lista de los riesgos correspondientes a los posibles impactos en caso de que se materialicen las amenazas a las que estn expuestos los activos.

Esto permite categorizar los riesgos e identificar cules deberan ser tratados primero o ms exhaustivamente. Se debe escoger, a la vista de los resultados, cual es el nivel de riesgo que la organizacin est dispuesta a tolerar, de manera que por debajo de ese nivel el riesgo es aceptable y por encima no lo ser y se tomar alguna decisin al respecto.

Hay cuatro tipos de decisiones para tratar los riesgos que se consideran no aceptables:

Transferirlo: El riesgo se traspasa a otra organizacin, por ejemplo mediante un seguro. Eliminarlo: Se elimina el riesgo, que normalmente slo se puede hacer eliminando el activo que lo genera, por ello esta opcin no suele ser viable. Mitigarlo: Es decir, reducir el riesgo, normalmente aplicando controles de seguridad. Es una de las opciones ms habituales. Asumirlo: Otra opcin comn es aceptar que no se puede hacer nada y por lo tanto se asume ese riesgo.

103

2.7 . Proceso de certificacin

Una vez implantado el SGSI, con todo el trabajo que ello implica, puede darse el caso de que la organizacin decida mostrar sus logros a sus clientes, a sus proveedores, al pblico en general. Para ello lo que se hace es certificar el sistema.

2.7.1 .

Qu significa obtener la norma une/iso-iec 27001?

Certificar un SGSI segn la Norma UNE/ISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacin del Sistema de Gestin de Seguridad de la Informacin conforme a esta norma de referencia.

Las motivaciones para intentar obtener la certificacin provienen de muchas fuentes, y probablemente cada rea de la organizacin tenga sus propios motivos para implicarse en una tarea de esta ndole. El motivo ms claro y generalizado es el prestigio que otorga una certificacin a la organizacin, ya que es una evidencia clara y objetiva de que la gestin se est realizando de manera ordenada y eficaz, siguiendo buenas prcticas internacionales con el objetivo de ser cada da un poco mejores. Con la certificacin se formaliza y acredita la buena gestin de la seguridad de la informacin.

Otros importantes motivos son mejorar la confianza de clientes y proveedores en los productos y servicios de la organizacin, el cumplimiento de objetivos empresariales o alimentar el proceso de mejora continua, proporcionar visibilidad al rea de sistemas, e incluso servir de canal de comunicacin entre esta rea y el resto de la organizacin, que en ocasiones parecen existir ajenas las unas de las otras.

104

Lo que aporta la certificacin es avalar la adecuada implantacin, gestin y operaci n de todo lo relacionado con la implantacin de un SGSI segn la Norma UNE/ISO-IEC 27001, siendo sta la norma ms importante que existe ahora mismo en cuanto a la implantacin de controles que permitan establecer un marco de gestin de la seguridad de la informacin para las organizaciones.

La certificacin aumenta el valor comercial de la organizacin siendo un factor de diferenciacin en el mercado muy significativo, ya que el nmero de organizaciones certificadas segn esta Norma todava es muy reducido en comparacin con la certificacin en otras Normas de gestin que llevan muchos ms aos implantadas en el mercado.

Es muy importante resear que certificar un SGSI no es certificar la seguridad de la organizacin ni las medidas de seguridad implantadas. Lo que se est certificando es la gestin de un sistema, en este caso de seguridad, es decir, cmo se est gestionando la seguridad de la informacin.

2.7.2 .

Quin certifica?

Pueden certificar las entidades de certificacin acreditadas. Por ejemplo en Espaa, el organismo que acredita es ENAC (Entidad Nacional de Acreditacin), que est designado por la Administracin para establecer y mantener el sistema de acreditacin a nivel nacional, de acuerdo a normas internacionales, siguiendo en todo momento las polticas y recomendaciones establecidas por la Unin Europea. En otros pases existen organismos similares tales como UKAS en Gran Bretaa, COFRAC en Francia o JISC en Japn.

105

Las organizaciones que deseen suministrar servicios de certificacin tienen que cumplir una serie de criterios para poder hacerlo, en este caso los recogidos en la Norma UNE/EN ISO/IEC 17021, Evaluacin de la conformidad, que fija los requisitos para los organismos que realizan la auditoria y la certificacin de sistemas de gestin. Esta norma recoge los requisitos en cuanto a competencia, coherencia e imparcialidad de las auditoras y la certificacin de los sistemas de gestin de cualquier tipo y de las organizaciones que son proveedoras de estas actividades. La acreditacin es el procedimiento mediante el cual una entidad de acreditacin reconoce formalmente que una organizacin es competente para la realizacin de una determinada actividad de evaluacin de la conformidad. Las entidades de acreditacin se encargan de verificar y evaluar los requisitos que deben cumplirse, y si es as, las organizaciones auditadas pasan a estar acreditadas para certificar y quedan registradas como tales en las entidades de acreditacin.

La realizacin de las auditoras de un SGSI se rige por la Norma ISO/IEC 27006, que determina los requisitos para las entidades que suministran servicios de auditora y certificacin de sistemas de gestin de seguridad de la informacin.

Cualquier empresa acreditada puede realizar auditoras de certificacin dentro de su mbito de actuacin, es decir, una empresa acreditada por ENAC puede certificar en otros pases y empresas acreditadas por UKAS o JISC pueden certificar aqu siempre y cuando as lo especifique en su certificado de acreditacin, puesto que todas se rigen por los mismos principios y han sido acreditadas segn los mismos criterios.

106

CAPITULO 3. PLANTEAMIENTO DEL CASO DE ESTUDIO 3.1 Descripcin del problema

La empresa S.A. tiene muchos problemas de hardware y software sin contar que estn es serios problemas a causa de los virus, troyanos, malware en general hasta tal punto que ya tienen avisos de que han sido incluidos en listas negras de correo, los inconvenientes no paran ah, adems estn teniendo problemas con ataque internos, es evidente que necesitan organizacin motivo por el cual se nos ha asignado este proyecto para determinar una solucin.

3.2 Solucin diseo de arquitectura de red

Una vez se ha visitado las instalaciones, se hace levantamiento de la infraestructura de red de la empresa, hemos determinado que se debe de hacer un diseo de arquitectura de red basado en las normas de seguridad de la informacin para garantizar la confidencialidad, integridad y disponibilidad de los recursos de la informacin y as asegurando la continuidad del negocio. de trabajo que se sigui para proporcionar esta solucin fue: El plan

3.2.1 Levantamiento de infraestructura

Es de vital importancia saber con los recursos tecnolgicos que cuenta la empresa para crear y comunica su informacin, adems de su topologa y direccionamiento, luego de hacer este anlisis nos encontramos con lo siguiente:

107

1 Servidor 1 Firewall 2 Access Point 3 Switchs 122 PCs

La empresa est conformada por tres oficinas geogrficamente distantes cada una independiente en cuanto a su administracin de red se refiere, slo una de las oficinas cuenta con un servidor el cual presta los servicios de Archivo, de Correo, DHCP, los DNS que se utilizan son los del Proveedor de Servicios de Internet pero no cuentan con un servicio de autenticacin para los usuarios.

El servidor esta implementado en ISA Server 2003. Nos encontramos con serios problemas con esta implementacin porque no les est haciendo el filtro que se requiere debido a que el ISA Server es un firewall que utiliza reglas restrictivas, es decir que niega todo y se debe de ir creando las reglas para los servicios y que deseamos permitir. La razn por la cual no esta funcionando el filtrado se deba a que su primera regla era exactamente igual a la ltima regla que es la que niega todo solamente que sta lo permita todo. Lamento no tener el pantallazo de la reglas que tenan creadas.

El direccionamiento que estn utilizando es de un solo segmento de red:

192.168.0.1 con una longitud de mscara de 24 bits.

108

Este es en gran parte el motivo por el cual estn presentando ataques internos o intromisiones provenientes de los diferentes departamentos, debido a que en cada una de la reas se tienen compartidas carpetas y no existe una poltica definida para los archivos compartidos la cual establezca de manera clara los permisos de carpeta compartida ni los permisos NTFS sumado esto a que no esta segmentada la red tienen inconvenientes porque estn accediendo a informacin personal a la cual no deberan tener acceso, por ejemplo, un vendedor nada tiene que hacer en las carpetas personales del rea de Contabilidad o Gerencia.

3.2.2

Anlisis de Riesgos

El anlisis de riesgos se ha hecho basado en la herramienta de Microsoft Security Assessment Tool. Este anlisis se ha elaborado mediante una serie de preguntas realizadas a dos personas de la empresa que tienen el pleno conocimiento de la infraestructura de la red.

3.2.2.1 Resumen ejecutivo

3.2.2.1.1

Introduccin

La herramienta Microsoft Security Assessment Tool se ha diseado para ayudarle a identificar y abordar riesgos de seguridad en su entorno informtico. Desde un enfoque holstico, se analiza la estrategia de seguridad al tratar distintos temas como el personal, los procesos y la tecnologa. Los resultados se asocian con las soluciones recomendadas, incluyendo enlaces a ms informacin de orientacin adicional, en caso necesario. Estos recursos podran ayudarle a asimilar ms conceptos sobre las herramientas y los mtodos especficos que puedan aumentar la seguridad de su entorno.

109

Esta seccin de resumen pretende ofrecer a los responsables de TI y encargados senior una visin de los niveles de seguridad globales de la empresa. Puede consultar los resultados y las recomendaciones de forma detallada en el informe que le mostramos a continuacin.

3.2.2.1.2 Historial del personal: Proceso y mbito de autoevaluacin

La evaluacin se ha diseado para identificar el riesgo comercial de su empresa y las medidas de seguridad utilizadas para mitigar dicho riesgo. A partir de los problemas ms comunes del sector, se han desarrollado preguntas con las que es posible realizar una evaluacin de alto nivel de las tecnologas, los procesos y el personal de la empresa. La herramienta comienza con una serie de preguntas sobre el modelo de su empresa, para ir construyendo un perfil de riesgo para la empresa (BRP) mediante la valoracin del riesgo al que su empresa est expuesta conforme al modelo y sector empresarial seleccionados. Se plantea una segunda serie de preguntas para compilar las medidas de seguridad que su empresa ha ido implantado a lo largo del tiempo. Todas juntas, esas medidas de seguridad forman capas de defensa, lo que proporciona una mayor proteccin frente a los riesgos de seguridad y las vulnerabilidades especficas. Cada capa contribuye a una estrategia combinada de defensa en profundidad. Esta suma se denomina ndice de defensa en profundidad (DiDI). A continuacin, se comparan el BRP y el DiDI para medir la distribucin de riesgos a lo largo de las reas de anlisis (AoAs): infraestructura, aplicaciones, operaciones y personal. Adems de centrarse en la correspondencia entre los riesgos de seguridad y las defensas, esta herramienta tambin valora la madurez de la seguridad en su empresa. La madurez de la seguridad hace referencia a la evolucin hacia una mayor seguridad y prcticas sostenibles. En la escala inferior, se emplean pocas defensas de seguridad y las acciones son reactivas. En el lado opuesto, los procesos establecidos y probados permiten a la empresa ser ms proactiva, adems de responder de forma ms eficaz y sistemtica cuando es necesario. En este contexto, a partir de las tecnologas, los aspectos de seguridad y las estrategias de defensa en profundidad existentes, se ofrecen sugerencias sobre la gestin de riesgos para los entornos especficos. Estas sugerencias tienen como fin conducirle a buen ritmo hacia la consecucin de las mejores prcticas para su caso particular. La presente evaluacin, incluidas las preguntas, medidas y recomendaciones, est diseada para empresas medianas que tengan entre 50 y 500 equipos de escritorio. Su objetivo es estudiar de forma general las reas de riesgos potenciales, en lugar de

110

proporcionar un anlisis en profundidad de una tecnologa o un proceso concretos. Como resultado, la herramienta no puede medir la eficacia de las medidas de seguridad utilizadas. Con este fin, la informacin que recibe debe servirle de gua preliminar para centrarse en las reas especficas que exigen una atencin ms rigurosa y no debe en ningn caso reemplazar a cualquier otra evaluacin especfica realizada por equipos de evaluacin independientes cualificados.

3.2.2.1.3

Anlisis de la situacin

Este grfico de la seccin representa los conceptos de su empresa descritos anteriormente y se basa en las respuestas que proporcion. Recuerde: BRP es una medicin del riesgo relacionado al modelo empresarial y al sector de la empresa DiDI es una medicin de las defensas de seguridad utilizadas en el personal, los procesos y la tecnologa para ayudar a reducir los riesgos identificados en una empresa. La madurez de la seguridad es una medicin de la capacidad de la empresa para utilizar de forma eficaz las herramientas disponibles de forma que se cree un nivel de seguridad sostenible a lo largo de diversas disciplinas. Consulte los apndices para obtener informacin adicional acerca de estos trminos y cmo interpretar los grficos.

3.2.2.1.3.1 Resultados
Areas de anlisis Infraestructura Aplicaciones Operaciones Personal Distribucin de defensa de riesgos Madurez de la seguridad

3.2.2.1.3.2 Risk-Defense
Este grfico, dividido en reas de anlisis, muestra las diferencias en el resultado de la defensa en profundidad.

111

25 20 15 10 5 0 Infraestructura -5 -10 Aplicaciones Operaciones Personal

BRP DiDI

Por lo general, es mejor contar con una calificacin de DiDI del mismo nivel que otra de BRP para la misma categora. Un desequilibrio, ya sea dentro de una categora o entre categoras, en cualquier direccin, puede indicar la necesidad de volver a alinear sus inversiones de TI.

3.2.2.1.3.3 Madurez de la Seguridad

La madurez de la seguridad incluye los controles (tanto fsicos como tcnicos), la seguridad competencia tcnica de los recursos informticos, las directivas, los procesos y las prcticas sostenibles. La madurez de la seguridad se puede medir nicamente a travs de la capacidad de la empresa para utilizar de forma eficaz las herramientas disponibles de forma que se cree un nivel de seguridad sostenible a lo largo de muchas disciplinas. Debe establecerse una lnea de partida de la madurez de la seguridad y usarse para definir las reas en las que centrar los programas de seguridad de la empresa. No todas las empresas deben esforzarse por alcanzar el nivel ptimo, pero todas deben evaluar en qu punto se encuentran y determinar el lugar que deberan ocupar en vista de los riesgos comerciales a los que se enfrentan. Por ejemplo, puede que una empresa con un entorno les de bajo riesgo no necesite nunca subir encima del lmite superior del nivel bsico o el lmite inferior del nivel estndar. Las empresas con un entorno de alto riesgo

112

probablemente entren de lleno en el nivel optimizado. Los resultados del perfil de riesgos para la empresa le permiten hacer un balance de los riesgos.

Madurez de la seguridad Una medida de las prcticas de una empresa con respecto a las mejores prcticas de la industria para la seguridad sostenible. Todas las empresas deben esforzarse en alinear su nivel de madurez y estrategia de seguridad asociada, en relacin a los riesgos que conlleva su actividad comercial: Bsica Algunas medidas eficaces de seguridad utilizadas como primer escudo protector; respuesta de operaciones e incidentes an muy reactiva Estndar Capas mltiples de defensa utilizadas para respaldar una estrategia definida Optimizada Proteccin efectiva de los asuntos de forma correcta y garanta de la utilizacin del mantenimiento de las mejores prcticas recomendadas

3.2.2.1.4

Tarjeta de puntuacin

De acuerdo con sus respuestas acerca de la evaluacin de riesgos, sus medidas de defensa se han calificado de la siguiente forma. Las secciones Detalles de la evaluacin y Lista de acciones recomendadas de este informe incluyen ms detalles, como resultados, mejores prcticas y recomendaciones.

Leyenda:

Cumple las mejores prcticas recomendadas

Necesita mejorar

Carencias severas

Infraestructura
Defensa del permetro Reglas y filtros de cortafuegos Antivirus Antivirus - Equipos de escritorio Antivirus - Servidores Acceso remoto Segmentacin Sistema de deteccin de intrusiones (IDS)

Operaciones
Entorno Host de gestin Host de gestin-Servidores Host de gestin - Dispositivos de red Directiva de seguridad Clasificacin de datos Eliminacin de datos Protocolos y servicios Uso aceptable Gestin de cuentas de

113

Inalmbrico Autenticacin Usuarios administrativos Usuarios internos Usuarios de acceso remoto Directivas de contraseas Directivas de contraseasCuenta de administrador Directivas de contraseasCuenta de usuario Directivas de contraseasCuenta de acceso remoto Cuentas inactivas Gestin y control Informes sobre incidentes y respuesta Creacin segura Seguridad fsica

Aplicaciones
Implementacin y uso Equilibrio de carga Clsteres Aplicacin y recuperacin de datos Fabricante de software independiente (ISV) Desarrollado internamente Vulnerabilidades Diseo de aplicaciones Autenticacin Directivas de contraseas Autorizacin y control de acceso Registro Validacin de datos de entrada Metodologas de desarrollo de seguridad de software Almacenamiento y comunicaciones de datos Cifrado Cifrado - Algoritmo

usuarios Regulacin Directiva de seguridad Gestin de actualizaciones y revisiones Documentacin de la red Flujo de datos de la aplicacin Gestin de actualizaciones Gestin de cambios y configuracin Copias de seguridad y recuperacin Archivos de registro Planificacin de recuperacin ante desastres y reanudacin de negocio Copias de seguridad Dispositivos de copia de seguridad Copias de seguridad y restauracin

Personal
Requisitos y evaluaciones Requisitos de seguridad Evaluaciones de seguridad Directiva y procedimientos Comprobaciones del historial personal Directiva de recursos humanos Relaciones con terceros Formacin y conocimiento Conocimiento de seguridad Formacin sobre seguridad

114

3.2.2.1.5

Iniciativas de seguridad

Las siguientes reas no cumplen las mejores prcticas recomendadas y deben

dirigirse a aumentar la seguridad de su entorno. Las secciones Detalles de la

evaluacin y Lista de acciones recomendadas de este informe incluyen ms detalles, como resultados, mejores prcticas y recomendaciones.

Prioridad alta Acceso remoto Segmentacin Inalmbrico Relaciones con terceros Desarrollado internamente

Prioridad intermedia Antivirus Copias de seguridad y restauracin

Prioridad baja Host de gestinServidores Host de gestin Dispositivos de red Copias de seguridad Antivirus - Equipos de escritorio Host de gestin

3.2.2.2Evaluacin detallada

3.2.2.2.1

reas de anlisis

La siguiente tabla enumera las reas incluidas para el anlisis de alto nivel de esta evaluacin de riesgos para la seguridad y explica la relacin entre cada rea y la seguridad. La seccin "Detalles de la evaluacin" describe los niveles de seguridad de su empresa (segn las respuestas aportadas en la evaluacin) con respecto a cada una de estas reas. Asimismo, indica las prcticas ms reconocidas del sector, adems de ofrecerle recomendaciones para implantar tales prcticas.
Categora Importancia para la seguridad

Perfil de riesgos para la empresa (BRP) Perfil de riesgos para la empresa (BRP) Comprender como la propia naturaleza de la empresa afecta a los riesgos es importante a la hora de decidir dnde aplicar los recursos que ayuden a paliar tales riesgos. El reconocimiento de las reas le permitir optimizar la asignacin del presupuesto de seguridad. Infraestructura

115

Defensa del permetro

Autenticacin

Gestin y control

La defensa del permetro trata la seguridad del permetro de la red, donde su red interna conecta con el exterior. Este es su primer escudo protector contra los intrusos. Los procedimientos estrictos de autenticacin de usuarios, administradores y usuarios remotos ayudan a asegurar que los intrusos no accedan sin autorizacin a la red mediante ataques locales o remotos. La gestin, supervisin y el registro adecuados son elementos vitales para mantener y analizar los entornos informticos. Estas herramientas son an ms importantes despus de un ataque, cuando se necesita un anlisis del incidente.

Aplicaciones Implantacin y utilizacin Cuando se implantan aplicaciones crticas para la empresa, hay que asegurar la seguridad y la disponibilidad de esas aplicaciones y de los servidores. El mantenimiento continuo es imprescindible para ayudarle a asegurarse de que los errores de seguridad se corrigen y que no se introducen nuevas vulnerabilidades en el entorno. Un diseo que no aborda adecuadamente los mecanismos de seguridad como la autenticacin, la autorizacin, y la validacin de datos podra permitir que los atacantes aprovechen las vulnerabilidades de seguridad para acceder a informacin confidencial. La integridad y confidencialidad de los datos son dos de las prioridades que debe garantizar cualquier empresa. La prdida o el robo de datos puede afectar negativamente tanto a los ingresos de una entidad como a su reputacin. Es importante comprender como las aplicaciones controlan y protegen los datos crticos.

Diseo de aplicaciones

Almacenamiento y comunicaciones de datos

Operaciones Entorno La seguridad de una empresa depende de los procedimientos operativos, los procesos y las pautas que se aplican en el entorno. Pueden aumentar la seguridad incluyendo ms que meras defensas tecnolgicas. La capacidad del equipo de operaciones para mantener la seguridad del entorno depende de forma crucial de la documentacin exacta del entorno y de las pautas. La poltica de seguridad corporativa hace referencia a las directivas y a pautas individuales para regular el uso adecuado y seguro de las tecnologas y los procesos de la empresa. Esta rea incluye las directivas para todos los aspectos de la seguridad, como los usuarios, los sistemas y los datos. La gestin adecuada de actualizaciones y revisiones es un factor importante para la seguridad del entorno informtico de las empresas. La aplicacin oportuna de actualizaciones y revisiones es necesaria para contribuir a la proteccin del entorno contra las vulnerabilidades conocidas y aquellas que podran ser un frente de ataque. Las copias de seguridad y la recuperacin de datos son imprescindibles para el mantenimiento de la continuidad de los servicios comerciales en caso de un accidente o fallo de hardware o de software. La falta de procedimientos adecuados para realizar copias de seguridad y recuperacin podra producir una prdida significativa de datos y de productividad.

Directiva de seguridad

Gestin de actualizaciones y revisiones

Copias de seguridad y recuperacin

Personal Requisitos y evaluaciones Todos los encargados de la toma de decisiones deben comprender los requisitos de seguridad para que las decisiones comerciales y tcnicas adoptadas aumenten la seguridad, en lugar de contradecirse entre s. Las evaluaciones peridicas realizados por terceros independientes pueden ayudar a la empresa a revisar, evaluar e identificar las posibles mejoras. Los procedimientos claros y prcticos en la gestin de las relaciones con los fabricantes y socios pueden ayudarle a minimizar el nivel de riesgos al

Directivas y procedimientos

116

Formacin y conocimiento

que se expone la empresa. Los procedimientos para contratar aspirantes y finalizar sus contratos pueden proteger a la empresa contra empleados sin escrpulos o descontentos. Los empleados deben recibir formacin para que sean conscientes de cmo las medidas de seguridad afectan a sus actividades diarias, para que no expongan a la empresa a mayores riegos de forma inadvertida.

3.2.2.2.2

Anlisis de la evaluacin

Esta seccin est dividida en las cuatro principales reas de anlisis: infraestructura, aplicaciones, operaciones y personal.

3.2.2.2.2.1 Infraestructura
La seguridad de las infraestructuras se centra en cmo debe funcionar la red, los procesos comerciales (internos o externos) que se deben implantar, cmo se crean y utilizan los hosts y la gestin y el mantenimiento de la red. La seguridad de la infraestructura efectiva puede ayudarle a mejorar significativamente la defensa de la red, las reacciones a incidentes, la disponibilidad de la red y el anlisis de fallos. Al establecer un diseo de la infraestructura que todos puedan comprender y seguir, podr identificar las reas de riesgo y desarrollar mtodos para reducir las amenazas. La evaluacin revisa los procedimientos de alto nivel que una empresa puede seguir para ayudarle a mitigar el riesgo para la infraestructura enfocndose en las reas de seguridad de infraestructura que siguen:

Defensa del permetrocortafuegos, antivirus, acceso remoto, segmentacin Autentificacindirectivas de contraseas Gestin y controlhosts de gestin, archivos de registro Estacin de trabajoconfiguracin de creacin

Defensa del permetro Subcategora Reglas y filtros de cortafuegos Mejores prcticas recomendadas Los firewalls son un mecanismo de primera lnea de defensa y se deben colocar en todas las ubicaciones de borde de red. Las reglas implementadas en los firewalls

117

deben ser muy restrictivas y establecerse host a host y servicio a servicio. Al crear reglas de firewall y listas de control de acceso (ACL) de enrutador, cntrese primero en la proteccin de los dispositivos de control y de la red frente a ataques. El firewall debe estar establecido con una posicin de denegacin predeterminada, permitiendo nicamente el trfico necesario. * Aplique el flujo de datos utilizando las ACL de red y las reglas de firewall. * Pruebe las reglas de firewall y ACL de enrutador para determinar si las reglas existentes contribuyen a ataques de denegacin de servicio (DoS). * Implemente una o ms DMZ como parte de una implementacin de firewall sistemtica y formal. * Coloque ah todos los servidores accesibles a travs de Internet. Restrinja la conectividad hacia las DMZ y desde ellas.
Resultados Sus respuestas indican que no ha instalado cortafuegos en todas las oficinas. Recomendaciones Ponga en prctica inmediatamente cortafuegos u otros controles de acceso de nivel de red en todas las ubicaciones de oficinas, realice pruebas con frecuencia y verifique que todos los cortafuegos funcionan correctamente. Estudie la utilizacin de un cortafuegos para separar los recursos accesibles por Internet, como servidores Web, de los recursos internos y corporativos. Ponga en prctica reglas que controlen el acceso de entrada y salida. Plantese la utilizacin de filtros de salida para evitar conexiones innecesarias y limitar el acceso directo a los segmentos DMA por parte de los usuarios internos, ya que no es probable que stos trabajen con los equipos hosts del DMZ con frecuencia.

Reglas y filtros de cortafuegos

Reglas y filtros de cortafuegos

Sus respuestas indican que, aunque ha dado el primer paso para proteger el permetro de la red con un cortafuegos, no ha creado ningn segmento DMZ para proteger los recursos corporativos a los que se puede acceder a travs de Internet desde los dispositivos internos de la empresa.

118

Limite el acceso de la red central al segmento DMZ slo a hosts especficos o a redes administrativas.

Reglas y filtros de cortafuegos

Sus respuestas indican que no utiliza software de cortafuegos basados en hosts para proteger los servidores.

Reglas y filtros de cortafuegos

Subcategora Antivirus

Como una capa adicional de defensa, considere instalar cortafuegos basados en host en todos los servidores y piense tambin en emplear este software en todos los equipos de escritorio y porttiles en la empresa. Sus respuestas indican que Establezca pruebas el cortafuegos no se peridicas del cortafuegos. Asegrese de que la comprueba regularmente para asegurarse de que funcionalidad responde funciona correctamente. segn lo previsto, no nicamente desde el trfico externo, y compruebe que el cortafuegos tambin est respondiendo al trfico interno. Mejores prcticas recomendadas Implemente soluciones antivirus en todo el entorno en el nivel de servidor y de escritorio. Implemente soluciones antivirus especializadas para tareas especficas, como exploradores de servidores de archivos, herramientas de filtrado de contenido y exploradores de carga y descarga de datos. Configure soluciones antivirus para buscar virus en el entorno tanto de entrada como de salida.Las soluciones antivirus se deben implementar primero en servidores de archivos crticos y, a continuacin, en servidores de correo, bases de datos y web. La solucin antivirus se debe incluir en el entorno de generacin predeterminado para escritorios y porttiles. Si utiliza Microsoft Exchange, utilice las capacidades de antivirus y filtrado de contenido adicionales en el nivel de buzn.

Antivirus

Resultados Sus respuestas indican que no hay ningn software antivirus instalado en los

Recomendaciones Instale el software antivirus en todos los equipos del entorno corporativo.

119

Antivirus

Subcategora Antivirus - Equipos de escritorio Antivirus - Equipos de escritorio

servidores de correo electrnico. Sus respuestas indican que Instale el software antivirus no hay ningn software en todos los equipos del antivirus instalado en los entorno corporativo. hosts del permetro de red. Mejores prcticas recomendadas

Resultados Su respuesta indica que los equipos de escritorio utilizan soluciones antivirus.

Subcategora Antivirus - Servidores Antivirus - Servidores

Recomendaciones Contine con la prctica. Utilice una directiva que requiera a los usuarios a actualizar las firmas de virus. Piense en aadir el cliente antivirus al entorno predeterminado de creacin de estaciones de trabajo. Mejores prcticas recomendadas Resultados Su respuesta indica que no se utilizan soluciones antivirus en el nivel de los servidores. Recomendaciones Considere utilizar una solucin antivirus en los servidores de archivos importantes y aplquela posteriormente a los servidores de correo, de bases de datos y de red. Si utiliza Microsoft Exchange, considere emplear las funciones adicionales de antivirus y los filtros de contenidos para los buzones de correo. Mejores prcticas recomendadas Es importante seguir un proceso de creacin de informes de incidentes y repuesta documentado para garantizar que todos los problemas e incidentes se revisan y se evalan de forma coherente. Es importante que todos los usuarios comprendan su responsabilidad de notificar los problemas o incidentes de seguridad y que tengan un proceso definido claramente para notificar estos problemas.

Subcategora Acceso remoto

Resultados

Recomendaciones

120

Acceso remoto

Sus respuestas indican que existen empleados y/o socios que se conectan remotamente a la red interna, pero no utiliza ninguna tecnologa VPN para permitirles un acceso seguro.

Utilice VPN para la conectividad de acceso de usuario remoto basada en las tecnologas IPSec, SSL, y SSH. Utilice conectividad sitio-asitio basada en la tecnologa IPSec. Configure listas de acceso a redes y de usuario para limitar el acceso a los recursos corporativos necesarios.

Acceso remoto

Subcategora Segmentacin

Sus respuestas indican que Estudie utilizar la existen empleados y/o autenticacin multifactor socios que se conectan para la conexin de usuarios remotamente a la red remotos a travs de Internet interna y que ha dado el a los recursos corporativos. Revise con regularidad la paso importante de utilizar lista de acceso de los tecnologa VPN para permitirles el acceso. Sin usuarios en el dispositivo embargo, no ha utilizado VPN. autenticacin multifactor como un segundo escudo protector. Mejores prcticas recomendadas Utilice segmentos para impedir el acceso a extranets especficas por parte de fabricantes, socios o clientes. Cada segmento externo de la red debe permitir que slo se encamine determinado trfico hacia los hosts y puertos concretos de aplicaciones que proporcionan servicios a los clientes. Asegrese de que existan controles de red que permitan slo el acceso necesario para cada conexin de terceros. Limite el acceso de los servicios de red suministrados, as como el acceso entre los segmentos de red.

Segmentacin

Resultados Su respuesta indica que los servicios ofrecidos en Internet se alojan en la red de su empresa.

Recomendaciones Asegrese de que los cortafuegos, la segmentacin y los sistemas de deteccin de intrusiones permiten proteger la infraestructura de la

121

Segmentacin

Sus respuestas indican que la red presenta un slo segmento.

empresa de los ataques desde Internet. Utilice segmentos para separar extranets especficas y el acceso de fabricantes, socios o clientes. Cada segmento externo de la red debe permitir que slo el trfico especfico sea encaminado a hosts de aplicaciones especficos y a puertos utilizados para prestar servicios a los clientes. Asegrese de que existan controles de red que permitan slo el acceso necesario para cada conexin de terceros. Limite el acceso a y de los servicios de red suministrados y entre los segmentos de red.

Subcategora Sistema de deteccin de intrusiones (IDS)

Sistema de deteccin de intrusiones (IDS)

Subcategora Inalmbrico

Inalmbrico

Mejores prcticas recomendadas Los sistemas de deteccin de intrusiones basados en host y en red deben implantarse para detectar y notificar cualquier ataque que se produzca contra los sistemas corporativos. Resultados Recomendaciones Sus respuestas indican que Considere la implantacin no utiliza ningn hardware de sistemas de deteccin de ni software de deteccin de intrusiones basados en red o intrusiones. en host. Mejores prcticas recomendadas Las mejores prcticas para la implantacin inalmbrica incluyen la garanta de que la red no hace pblico su SSID, que se usa el cifrado WPA y que la red no se considera fundamentalmente como de no confianza. Resultados Recomendaciones Sus respuestas indican que Para reducir los riesgos existe la opcin de conexin asociados a las redes inalmbrica a su red inalmbricas, la implantacin

122

Inalmbrico

Su respuesta indica que ha modificado el SSID predeterminado del punto de acceso.

Inalmbrico

Sus respuestas indican que no ha desactivado la difusin del SSID en el punto de acceso.

Inalmbrico

Sus respuestas indican que no utiliza el cifrado WEP en el entorno inalmbrico.

Inalmbrico

Sus respuestas indican que no utiliza el cifrado WPA en el entorno inalmbrico.

Inalmbrico

Sus respuestas indican que no utiliza la restriccin por MAC en el entorno inalmbrico.

Inalmbrico

Sus respuestas indican que la red inalmbrica se considera de no confianza.

no debe incluir la difusin del SSID, pero s el cifrado WPA, adems de tratar la red como de no confianza. El cambio del SSID predeterminado es el primer paso para asegurar su red inalmbrica. No obstante, es necesario combinarlo con otras prcticas para minimizar el riesgo. Estas prcticas incluyen la no difusin del SSID, el cifrado WPA y tratar la red como de no confianza. Considere la deshabilitacin de la difusin del SSID para dificultar a un usuario ocasional los intentos de conexin a su red inalmbrica. Si actualmente no est utilizando ningn cifrado, considere utilizar WPA para evitar que el trfico de la red inalmbrica sea "detectado" y ledo como texto sin formato. Si actualmente no est utilizando ningn cifrado, considere utilizar WPA para evitar que el trfico de la red inalmbrica sea "detectado" y ledo como texto sin formato. Considere el uso de autenticacin WPA adems de los filtros MAC, con el fin de evitar que ordenadores no autorizados se conecten a la red. Considere migrar su red inalmbrica a un segmento de red de no confianza y exigir el uso de VPN o tecnologas similares para proteger mejor la integridad

123

de los datos.
Autenticacin Subcategora Usuarios administrativos Mejores prcticas recomendadas Ponga en prctica una directiva de contraseas complejas para las cuentas administrativas con contraseas que cumplan estas condiciones:

+ Alfanumrico + Maysculas y minsculas + Contiene al menos un carcter especial + Contiene como mnimo 14 caracteres Para limitar ms los riesgos de ataques a las contraseas, ponga en prctica los controles siguientes: + Caducidad de contraseas + Bloqueo de la cuenta despus de entre 7 y 10 intentos de registro fallidos + Registro del sistema Adems de las contraseas complejas, puede recurrir a la autenticacin multifactor. Utilice controles avanzados de la gestin de cuentas y del registro de acceso a cuentas (no permita que se compartan cuentas).

Usuarios administrativos

Usuarios administrativos

Resultados Sus respuestas indican que los usuarios tienen habilitados accesos administrativos a sus estaciones de trabajo. Sus respuestas indican que no se utilizan inicios de sesin distintos para la administracin de seguridad de los sistemas ni de los dispositivos del entorno.

Recomendaciones Considere eliminar el acceso administrativo de usuarios, para limitar la posibilidad de modificar la creacin segura.

Considere imponer cuentas separadas para las actividades administrativas o de gestin y asegrese de que las credenciales administrativas se modifican con frecuencia.

Subcategora Usuarios internos

Mejores prcticas recomendadas Para las cuentas de usuario, implemente una directiva que requiera el uso de contraseas complejas que cumplan los siguientes criterios:* Caracteres alfanumricos * Uso de maysculas y minsculas

124

* Al menos un carcter especial * Longitud mnima de 8 caracteres Para limitar an ms el riesgo de un ataque a contraseas, implemente los siguientes controles: * Caducidad de contrasea * Bloqueo de cuenta tras al menos 10 intentos de inicio de sesin errneos * Registro del sistema Adems de contraseas complejas, considere la posibilidad de implementar una autenticacin de varias fases. Implemente controles avanzados para la gestin de cuentas (no permita el uso compartido de cuentas) y para el registro de acceso a cuentas.

Subcategora Usuarios de acceso remoto

Mejores prcticas recomendadas Implemente controles de contrasea complejos para todos los usuarios de acceso remoto, si se ha concedido este acceso mediante el uso de tecnologas de acceso telefnico o VPN. Una contrasea se considera compleja si cumple los siguientes criterios:* Caracteres alfanumricos * Uso de maysculas y minsculas * Al menos un carcter especial * Longitud mnima de 8 caracteres Implemente una fase adicional de autenticacin para las cuentas a las que se ha concedido acceso remoto. Considere tambin la posibilidad de implementar controles avanzados para la gestin de cuentas (no permita el uso compartido de cuentas) y para el registro de acceso a cuentas. En el caso del acceso remoto, resulta especialmente importante proteger el entorno mediante el uso de unas prcticas de gestin de cuentas segura, buenas prcticas de registro y capacidades de deteccin de incidentes. Para mitigar an ms los riesgos de ataques de fuerza bruta a contraseas, considere la posibilidad de implementar los siguientes controles: * Caducidad de contrasea * Bloqueo de cuenta tras 7 a 10 intentos de inicio de sesin errneos * Registro del sistema Los servicios de acceso remoto tambin deben tener en cuenta los sistemas que se utilizan para obtener acceso a redes o hosts. Considere tambin la posibilidad de implementar controles para hosts a los que se les permite acceder a la red de forma remota.

125

Usuarios de acceso remoto

Resultados Sus respuestas indican que los empleados pueden conectarse a la red de forma remota.

Usuarios de acceso remoto

Usuarios de acceso remoto

Subcategora Directivas de contraseas

Recomendaciones Si an no lo ha hecho, estudie la utilizacin de un sistema de autenticacin multifactor de acceso remoto y limite el acceso nicamente a aquellos empleados que tengan una necesidad empresarial de conectividad remota. Sus respuestas indican que Al no permitir el acceso los contratistas no pueden remoto, reduce los riesgos conectarse a la red de globales. Sin embargo, si el forma remota. acceso remoto se planea o se utiliza en el futuro, asegrese de que lo hace conforme a la mejor prctica recomendada para minimizar as el riesgo asociado con esta forma de acceso. Sus respuestas indican que Al no permitir el acceso terceros usuarios no remoto, reduce los riesgos pueden conectarse a la red globales. Sin embargo, si el de forma remota. acceso remoto se planea o se utiliza en el futuro, asegrese de que lo hace conforme a la mejor prctica recomendada para minimizar as el riesgo asociado con esta forma de acceso. Mejores prcticas recomendadas La utilizacin de contraseas complejas es un elemento fundamental del ndice de defensa en profundidad. Las contraseas complejas deben tener de 8 a 14 caracteres e incluir caracteres alfanumricos y especiales. Debe establecer una longitud mnima, un historial, un lmite a la duracin y una caducidad para reforzar la defensa. Generalmente, la caducidad de las contraseas debe configurarse de esta forma:

+ Duracin mxima de 90 das + Las cuentas nuevas deben cambiar la contrasea al inicio de la sesin + Un historial de 8 contraseas (mnimo de 8 das)

126

Adems de las contraseas complejas, la autenticacin multifactor es muy importante, especialmente para las cuentas administrativas y de usuarios remotos. En todas las cuentas de usuario, se debe activar un proceso de bloqueo de cuenta tras 10 intentos de registro fallidos. Los controles para bloquear una cuenta pueden variar; algunos sencillamente se dedican a los ataques de fuerza bruta a las contraseas y otros requieren que un administrador desbloquee la cuenta. Se considera una prctica aconsejable activar el bloqueo en las cuentas administrativas, al menos en lo que respecta al acceso a la red. De esta forma, la cuenta no se puede bloquear desde fuera de la consola, solamente desde la red. Es posible que esta solucin no sea adecuada para todas las empresas, particularmente para aquellas con ubicaciones remotas. En tales casos, lo ms adecuado es que un administrador desbloquee la cuenta, de este modo se evita que los ataques pasen desapercibidos durante largo tiempo si no se dispone de otros medios para detectar fallos de autenticacin. Cuando se pongan en prctica controles de bloqueo de cuenta, siga las normas siguientes: + Bloqueo despus de entre 7 y 10 intentos de registro fallidos para las cuentas administrativas y de acceso remoto + Bloqueo despus de 10 intentos de registro fallidos para las cuentas de usuario estndar + Requerir la intervencin de un administrador para desbloquear las cuentas de acceso remoto y de administrador, y para reactivar automticamente las cuentas de usuarios estndar al cabo de 5 minutos.

Directivas de contraseas

Por lo general, las limitaciones para crear contraseas de administradores deben ser ms estrictas que las que se aplican a las cuentas normales. En sistemas Windows, debe establecer contraseas de 14 caracteres alfanumricos y especiales para las cuentas administrativas (y las cuentas de servicio).

Directivas de contraseas

Resultados Sus respuestas indican que

Recomendaciones Piense en implantar el uso

127

no existen controles formales para hacer cumplir las directivas de contraseas en todas las cuentas.

Subcategora Directivas de contraseas-Cuenta de administrador Subcategora Directivas de contraseas-Cuenta de usuario Subcategora Directivas de contraseas-Cuenta de acceso remoto Subcategora Cuentas inactivas Cuentas inactivas

de contraseas complejas para todas las cuentas como en la seccin de mejores prcticas recomendadas. Piense en implantar el uso de la caducidad de contraseas como en la seccin de mejores prcticas recomendadas. Mejores prcticas recomendadas

Mejores prcticas recomendadas

Mejores prcticas recomendadas

Cuentas inactivas

Cuentas inactivas

Mejores prcticas recomendadas Contine supervisando y gestionando cuentas inactivas. Establezca un proceso para incluir un procedimiento de notificacin inmediata a todos los administradores del sistema para el personal que ya no est en la organizacin con el objeto de garantizar que sus cuentas se deshabiliten inmediatamente, especialmente sus cuentas de acceso remoto. Considere la posibilidad de implementar un proceso para revisar las cuentas actuales del personal que se transfiere a otro departamento dentro de la organizacin. Revise este elemento abierto con su personal de TI o un socio de seguridad. Escriba la respuesta ms apropiada a esta pregunta en MSAT para obtener ms informacin. Visite habitualmente los sitios de los fabricantes para obtener actualizaciones de las firmas de virus y descrguelas en un sitio aislado para probarlas en un entorno de laboratorio. Verifique que las actualizaciones no causen problemas con ningn sistema operativo ni aplicaciones antes de utilizarlas. Debe desactivar las funciones de actualizacin automtica de las soluciones antivirus en todos los sistemas para evitar la utilizacin de archivos potencialmente peligrosos antes de su comprobacin.

128

Utilice una consola central para las aplicaciones antivirus, esta consola proporcionar informacin acerca de los sistemas obsoletos o con funciones de software desactivadas . Para los usuarios remotos que no se conectan regularmente a la red corporativa, puede usar la funcin de actualizacin automtica.

Cuentas inactivas

Cuentas inactivas

Las cuentas del personal que ya no est en la organizacin se deben deshabilitar a tiempo para garantizar que los usuarios eliminados u otros usuarios no puedan utilizar la cuenta para obtener acceso no autorizado. Si los administradores de sistemas no tienen informacin sobre los cambios del estado de un usuario debido a su transferencia, no cambiarn o quitarn los accesos al sistema o fsicos. Esto puede dar lugar a un acceso no autorizado o excesivo por parte de los usuarios transferidos. Resultados Recomendaciones Sus respuestas indican que Revise este elemento no conoce la respuesta a abierto con su personal de esta pregunta TI o un socio de seguridad. Escriba la respuesta ms apropiada a esta pregunta en MSAT para obtener ms informacin.

Gestin y control Subcategora Informes sobre incidentes y respuesta Informes sobre incidentes y respuesta Mejores prcticas recomendadas Contine aplicando y siguiendo procedimientos de creacin de informes y respuesta ante incidentes formales. Establezca procedimientos para la creacin de informes de incidentes y sus respuestas, problemas o preocupaciones sobre seguridad. Designe un equipo de respuesta de emergencia que incluya representantes de varias disciplinas, incluidas tecnologa, recursos humanos y legal para responder a todos los incidentes y problemas de seguridad. Considere la posibilidad de implementar un programa completo de respuesta a incidentes que incluya equipos de respuesta a incidentes, gestin de contencin, correlacin y anlisis de eventos, y procedimientos de repuesta a incidentes. Revise este elemento abierto con su personal de TI o un socio de seguridad. Escriba la respuesta ms apropiada a

Informes sobre incidentes y respuesta

129

Informes sobre incidentes y respuesta

esta pregunta en MSAT para obtener ms informacin. Los planes de recuperacin ante desastres y de reanudacin de negocio deben estar bien documentados y actualizados para asegurar la recuperacin en un perodo de tiempo aceptable. Los planes (incluida la restauracin a partir de copias de seguridad para aplicaciones) se deben probar peridicamente para validar el grado de correccin e integridad. Los planes de continuidad de negocio se deben centrar en todo el entorno: fsico, tecnolgico y personal.

Informes sobre incidentes y respuesta

Subcategora Creacin segura Creacin segura

Es importante seguir un proceso de creacin de informes de incidentes y repuesta documentado para garantizar que todos los problemas e incidentes se revisan y se evalan de forma coherente. Es importante que todos los usuarios comprendan su responsabilidad de notificar los problemas o incidentes de seguridad y que tengan un proceso definido claramente para notificar estos problemas. Mejores prcticas recomendadas
Resultados Sus respuestas indican que se han instalado cortafuegos particulares en todas las estaciones de trabajo del entorno. Recomendaciones Al principio, piense en utilizar cortafuegos particulares en cada equipo porttil. De manera predeterminada, bloquee todo acceso a la estacin de trabajo desde el exterior. Implante un proceso de creacin documentado para los dispositivos de infraestructura y asegrese de que se mantiene la creacin actualizada a medida que se publican nuevas actualizaciones. Considere utilizar software de acceso remoto en todas las estaciones individuales, si se necesita conectividad remota. Configure el software de cliente para seguir la directiva de servidores de acceso remoto.

Creacin segura

Sus respuestas indican que los procesos de creacin de los dispositivos de infraestructura estn documentados.

Creacin segura

Sus respuestas indican que no hay software de acceso remoto del lado del cliente instalado en las estaciones de trabajo que se conectan remotamente a la red corporativa.

130

Creacin segura

Sus respuestas indican que los procesos de creacin de los servidores estn documentados.

Creacin segura

Sus respuestas indican que no utiliza ningn software de cifrado de discos en el entorno. Sus respuestas indican que los procesos de creacin de las estaciones de trabajo y los porttiles estn documentados.

Creacin segura

Creacin segura

Creacin segura

Sus respuestas indican que no utiliza ningn software de control/gestin remota en el entorno. Sus respuestas indican que utiliza un protector de pantalla protegido por contrasea en el entorno.

Implante un proceso de creacin documentado para los servidores y asegrese de que se mantiene la creacin actualizada a medida que se publican nuevas actualizaciones. Piense en utilizar software de cifrado de discos con el fin de no poner en peligro la confidencialidad de los datos en caso de robo del equipo. Implante un proceso de creacin documentado para las estaciones de trabajo y los porttiles, y asegrese de que se mantiene la creacin actualizada a medida que se publican nuevas actualizaciones. Contine con la prctica de no utilizar software de gestin/control remoto.

Creacin segura

Subcategora Seguridad fsica Seguridad fsica

Contine con la prctica de exigir a todos los usuarios que tengan un protector de pantalla protegido por contrasea con un tiempo de espera breve. Sus respuestas indican que Contine la deshabilitacin no se utilizan mdems en el del acceso por mdem y entorno. marcacin telefnica para reducir el riesgo de que se pueda acceder directamente a los equipos mediante marcacin. Mejores prcticas recomendadas Contine implementando controles de acceso de seguridad fsica. Establezca controles de acceso fsico como proteccin contra personas no autorizadas que acceden al edificio y a informacin confidencial. Considere la posibilidad de volver a evaluar todos los controles de acceso fsico para garantizar que son adecuados y que se cumplen. Aumente la concienciacin del personal sobre las directivas de control de acceso del personal y fomente la duda ante

131

Seguridad fsica

Seguridad fsica

Seguridad fsica

personas desconocidas. Todos los equipos informticos se deben proteger contra robos. Los servidores y los equipos de red deben asegurarse en ubicaciones cerradas con acceso controlado. El acceso fsico se debe controlar estrictamente, evitando que las personas no autorizadas accedan a edificios, datos confidenciales y sistemas. Con este acceso, pueden alterar las configuraciones del sistema, introducir vulnerabilidades en la red o incluso destruir o robar equipos. Resultados Recomendaciones Sus respuestas indican que Planifique inmediatamente el no se han instaurado uso de controles fsicos para controles de seguridad asegurar el acceso a fsica para proteger los sistemas y componentes de activos de la empresa. red crticos, y plantese utilizar controles de seguridad fsicos en todos los equipos informticos.

3.2.2.2.2.2 Aplicaciones
Una comprensin total de la seguridad de las aplicaciones requiere un conocimiento profundo de la arquitectura de las aplicaciones subyacentes bsicas, as como de un conocimiento slido de la base de la aplicacin del usuario. Slo entonces podr comenzar a identificar las posibles amenazas.

Teniendo en cuenta el mbito limitado de esta autoevaluacin, no es posible un anlisis completo de la arquitectura de las aplicaciones ni una comprensin completa de la base del usuario. El objetivo de esta evaluacin consiste en ayudarle a revisar las aplicaciones de su empresa y valorarlas desde el punto de vista de la seguridad y disponibilidad. Examina las tecnologas utilizadas en el entorno para contribuir a mejorar la defensa en profundidad. La evaluacin revisa los procedimientos de alto nivel que una empresa puede seguir para ayudarle a mitigar los riesgos para la infraestructura centrndose en las siguientes reas de seguridad:

132

Utilizacin y usomecanismos para mejorar la disponibilidad Diseo de aplicaciones autenticacin, control de acceso, gestin de actualizaciones, validacin de datos de entrada, registros y auditoras Almacenamiento y comunicaciones de datoscifrado,transferencia de datos, acceso restrictivo

Implementacin y uso Subcategora Equilibrio de carga Equilibrio de carga Mejores prcticas recomendadas Resultados Sus respuestas indican que no se utilizan equilibradores de carga en el entorno. Recomendaciones Piense en utilizar equilibradores de carga de hardware en el primer nivel de los servidores Web para obtener una mayor disponibilidad. El equilibrador de carga muestra una sola direccin IP (virtual) al exterior que se asigna a todas las direcciones de cada servidor Web en el clster.

Subcategora Clsteres Clsteres

Mejores prcticas recomendadas Resultados Sus respuestas indican que no se utiliza la agrupacin en clsteres en el entorno. Recomendaciones Para asegurar una disponibilidad alta de las bases de datos crticas y de los archivos compartidos, piense en utilizar mecanismos de clster. Mejores prcticas recomendadas

Subcategora Aplicacin y recuperacin de datos Aplicacin y recuperacin de datos

Resultados Sus respuestas indican que su empresa no tiene ninguna lnea de aplicaciones empresariales

Recomendaciones Al no tener ninguna aplicacin de lnea comercial de propsito crtico, se evita el riesgo de que tales sistemas fallen.

133

Aplicacin y recuperacin de datos

Subcategora Fabricante de software independiente (ISV)

Sin embargo, si prev utilizar alguna en el futuro, estas aplicaciones deberan evaluarse peridicamente para su seguridad, someterse a procesos regulares de copias de seguridad, documentarse a fondo y contar con planes de contingencia en caso de que se produzcan fallos. Su respuesta indica que no Realice copias de seguridad se realizan peridicamente regularmente. Pruebe pruebas de la recuperacin regularmente el mecanismo de aplicaciones y datos. de copias de seguridad y recuperacin que restaura la aplicacin a un estado normal de operacin. Mejores prcticas recomendadas Los fabricantes de software independiente (ISV) deben ofrecer revisiones y actualizaciones peridicas, en las que se explique su finalidad y las consecuencias derivadas de su uso en trminos de funcionalidad, configuracin y seguridad. El ISV debe identificar claramente cules son las actualizaciones ms importantes para que se apliquen rpidamente. Asimismo, debe describir los distintos mecanismos de seguridad de la aplicacin y proporcionar la documentacin ms reciente. La empresa debe conocer las configuraciones necesarias para garantizar el nivel de seguridad ms alto.

Fabricante de software independiente (ISV)

Resultados Sus respuestas indican que otros fabricantes no han desarrollado ninguna de las aplicaciones principales del entorno.

Recomendaciones Contine desarrollando aplicaciones clave propias, pero si posteriormente decide obtenerlas de un tercero, asegrese de que podr seguir disponiendo de servicio tcnico y actualizaciones peridicas para los software clave de su empresa, o que el fabricante independiente de

134

Subcategora Desarrollado internamente

los mismos puede ofrecerle el cdigo de origen en caso de que ya no pueda prestar dicho servicio para la aplicacin. Mejores prcticas recomendadas El equipo de desarrollo interno debe proporcionar las actualizaciones y revisiones e indicar cul es la finalidad de la actualizacin y las consecuencias derivadas de su uso en trminos de funcionalidad, configuracin y seguridad. El equipo de desarrollo interno debe identificar claramente cules son las actualizaciones ms importantes para que la empresa pueda instalarlas rpidamente. El equipo de desarrollo debe describir los distintos mecanismos de seguridad de la aplicacin y proporcionar la documentacin ms actualizada. La empresa debe conocer las configuraciones necesarias para garantizar el nivel de seguridad ms alto. Considere la posibilidad de contratar servicios independientes para revisar la arquitectura y utilizacin de la aplicacin y para identificar los problemas de seguridad que pudieran existir.

Desarrollado internamente

Resultados Sus respuestas indican que su empresa utiliza macros personalizadas en las aplicaciones ofimticas.

Subcategora Vulnerabilidades

Recomendaciones El uso de macros personalizadas requiere que las configuraciones de seguridad en Office se reclasifiquen a un nivel inferior, por lo que sus aplicaciones ofimticas quedan expuestas a documentos peligrosos. Considere dar permisos para desarrollar y ejecutar macros personalizadas slo a quienes lo necesitan por alguna actividad relacionada con la empresa. Mejores prcticas recomendadas Debe identificar y corregir todas las vulnerabilidades de seguridad conocidas. Visite los sitios de los fabricantes y otros proveedores de soluciones de seguridad para buscar informacin sobre nuevas vulnerabilidades, as como las

135

actualizaciones disponibles. Si no existen actualizaciones disponibles para vulnerabilidades de seguridad conocidas, intente averiguar cundo podr disponer de una y desarrolle un plan de seguridad provisional. Puede contratar servicios independientes para revisar regularmente el diseo de seguridad de la aplicacin. Una evaluacin realizada por terceros podra descubrir otros problemas que exijan mecanismos de seguridad adicionales.

Vulnerabilidades

Resultados Su respuesta indica que actualmente no se conocen vulnerabilidades para la seguridad en ninguna aplicacin de su entorno.

Recomendaciones Visite los sitios de los fabricantes y otros proveedores de soluciones de seguridad para detectar vulnerabilidades de la aplicacin. Piense en una evaluacin independiente para que un tercero pueda valorar el diseo de la seguridad de la aplicacin e identificar otros problemas que necesiten ms mecanismos de seguridad.

Diseo de aplicaciones Subcategora Autenticacin Mejores prcticas recomendadas La aplicacin debe utilizar un mecanismo de autenticacin cuya eficacia sea proporcional a las necesidades de seguridad de los datos o de su funcionalidad. Las aplicaciones que dependen de contraseas deben requerir contraseas complejas que incluyan diversos caracteres (alfabticos, numricos, y smbolos), una longitud mnima, un historial, un lmite de duracin, una pre-caducidad y una comprobacin en el diccionario. La aplicacin debe archivar los intentos de registro fallidos, pero no la contrasea. Cada componente que concede acceso a datos o a funciones debe requerir una autenticacin correcta.

Debe proteger el acceso administrativo a los sistemas con

136

los tipos de autenticacin ms slidos. Por lo general, las limitaciones para crear contraseas de administradores deben ser ms estrictas que las de las cuentas normales. Adems de usar contraseas slidas con directivas de contraseas, considere la autenticacin multifactor para una mayor seguridad.

Subcategora Directivas de contraseas

Mejores prcticas recomendadas La utilizacin de contraseas slidas es un elemento fundamental del ndice de la defensa en profundidad. Estas contraseas deben tener entre 8 y 14 caracteres e incluir caracteres alfanumricos y especiales. Debe establecer una longitud mnima, un historial, un lmite a la duracin y una caducidad para reforzar la defensa. Generalmente, la caducidad de las contraseas debe configurarse de esta forma: + Duracin mxima de 90 das + Las cuentas nuevas deben cambiar la contrasea al inicio de la sesin + Un historial de 8 contraseas (mnimo de 8 das)

Debe proteger el acceso administrativo a los sistemas con los tipos de autenticacin ms slidos. Por lo general, las limitaciones para crear contraseas de administradores deben ser ms estrictas que las que se emplean para cuentas normales: si las cuentas normales requieren contraseas con 8 caracteres, las cuentas administrativas deben requerir contraseas de 14 caracteres. Active una prctica de bloqueo de la cuenta tras 10 intentos fallidos en todas las cuentas de usuario. Los controles para bloquear una cuenta pueden variar, algunos simplemente consisten en bloquear ataques de fuerza bruta a contraseas y otros requieren que un administrador desbloquee la cuenta. Cuando se pongan en prctica controles de bloqueo de cuenta, siga las normas siguientes: + Bloqueo despus de 10 intentos de registro fallidos para las cuentas de usuario + Requerir la intervencin de un administrador para desbloquear las cuentas de aplicaciones importantes y reactivar automticamente las cuentas de usuarios normales al cabo de 5 minutos + 30 minutos para almacenar en cach los fallos de cuentas de usuarios normales

137

Directivas de contraseas

Resultados Su respuesta indica que no se usan controles de contraseas en las aplicaciones principales.

Recomendaciones Es importante poner en prctica una directiva de controles de contrasea. Todas las aplicaciones externas e internas importantes con datos confidenciales deben tener directivas de contraseas. Piense en poner en prctica una directiva que requiera contraseas complejas, perodos de caducidad de contraseas y umbrales para bloquear las cuentas.

Subcategora Autorizacin y control de acceso

Mejores prcticas recomendadas Las aplicaciones deben utilizar un mecanismo de autorizacin que permita slo a los usuarios o clientes adecuados el acceso a datos y funciones confidenciales. Debe mantener controles de acceso basados en roles, tanto para la base de datos como para la interfaz de la aplicacin.

De esta forma, se protege la base de datos incluso si la aplicacin cliente resulta atacada. Para comprobar una autorizacin, deber haberse realizado antes una autenticacin con xito. Se deben archivar todos los intentos de acceso sin autorizacin adecuada. Compruebe regularmente las aplicaciones principales que procesan datos confidenciales y las interfaces disponibles a los usuarios de Internet. Incluya pruebas de "caja negra" e "informadas" de la aplicacin. Descubra si los usuarios pueden acceder a los datos mediante otras cuentas.

Autorizacin y control de acceso

Resultados Su respuesta indica que las aplicaciones principales no limitan el acceso a datos ni funciones confidenciales segn los privilegios de la

Recomendaciones Colabore con el fabricante de la aplicacin (fabricante independiente de software o equipo de desarrollo interno) para implantar de

138

cuenta.

Subcategora Registro

autorizacin y de control de acceso a la aplicacin, al principio para las aplicaciones externas crticas y despus para las aplicaciones internas. Las funciones relacionadas con la autorizacin permiten que los administradores puedan agrupar los usuarios por sus roles y definir los permisos exactos para cada rol. Con la verificacin de sus credenciales, los usuarios tendrn permiso para acceder a los datos segn los privilegios asignados. Mejores prcticas recomendadas Debe activar archivos de registro en todas las aplicaciones del entorno. Los datos de archivos de registro son importantes para los anlisis de incidentes, tendencias y auditoras. La aplicacin debe registrar los intentos de autenticacin que tienen xito y los fallidos, adems de los cambios de datos de la aplicacin, incluidas las cuentas de usuarios, los errores graves de la aplicacin y los accesos correctos y fallidos a los recursos. Cuando escriba datos en los archivos de registro, la aplicacin deber evitar los de carcter confidencial.

Registro

Resultados Su respuesta indica que actualmente no hay archivos de registro creados por aplicaciones del entorno.

Recomendaciones Trabaje con el vendedor de la aplicacin (el ISV o su equipo de desarrollo interno) para poner en prctica un registro de archivos para las aplicaciones principales. Cuando escriba datos de archivo, la aplicacin no debe escribir datos confidenciales. Los eventos crticos se deben registrar de acuerdo a las pautas de la seccin de mejores prcticas recomendadas.

139

Subcategora Validacin de datos de entrada

Mejores prcticas recomendadas La aplicacin puede permitir la entrada de datos en distintos puntos a partir de fuentes externas, como, por ejemplo, usuarios, aplicaciones de cliente o bien alimentacin de datos. Ser necesario comprobar que los datos de entrada tengan una sintaxis y semntica correctas. Por otro lado, se comprobar si tales datos cumplen las restricciones de los componentes subyacentes o dependientes, particularmente la longitud de cadenas y los juegos de caracteres. El servidor deber validar los campos suministrados por el usuario.

Validacin de datos de entrada

Resultados Sus respuestas indican que no se utilizan mecanismos para validar los datos de entrada en las aplicaciones del entorno.

Recomendaciones Colabore con el fabricante de la aplicacin (fabricante independiente de software o equipo de desarrollo interno) para implantar mecanismos de validacin de los datos de entrada, para que la aplicacin no procese datos peligrosos ni incorrectos. Al principio, estos mdulos deben ponerse en prctica para las aplicaciones externas. Las restricciones de validacin de datos de entrada deben permitir datos con sintaxis y semntica correctas y no efectuar nicamente el anlisis para la deteccin de caracteres no vlidos.

Subcategora Metodologas de desarrollo de seguridad de software Metodologas de desarrollo de seguridad de software Metodologas de

Mejores prcticas recomendadas Contine utilizando las metodologas de desarrollo de seguridad de software.

Establezca el uso de metodologas de desarrollo de seguridad de software para aumentar la seguridad de las aplicaciones. Si se utilizan consultores o proveedores en alguna fase del

140

desarrollo de seguridad de software Metodologas de desarrollo de seguridad de software

Metodologas de desarrollo de seguridad de software

Metodologas de desarrollo de seguridad de software

Metodologas de desarrollo de seguridad de software

Metodologas de desarrollo de seguridad de software

ciclo de desarrollo, asegrese de que tienen formacin en la metodologa de desarrollo de seguridad de software que la organizacin utilice o recomiende. Todo el personal de desarrollo de su organizacin debe recibir formacin sobre la metodologa de desarrollo de seguridad para software que la organizacin ha elegido. Esto incluye administradores de desarrollo, desarrolladores, evaluadores y personal de control de calidad. Con el panorama de evolucin de amenazas de seguridad, es importante actualizar la formacin sobre metodologas de desarrollo de seguridad de software y modelos de amenazas anualmente. Se le solicitar al personal de desarrollo que siga la formacin sobre desarrollo de seguridad cada ao. El uso de herramientas de prueba de software de seguridad mejora la capacidad del equipo para escribir cdigo seguro con ms eficacia. El resultado del uso de las herramientas de prueba se debe incorporar a la formacin anual necesaria. Resultados Recomendaciones La respuesta indica que su Establezca un programa de organizacin no formacin de metodologas proporciona formacin de desarrollo de seguridad sobre metodologas de de software con el objeto de seguridad para software mejorar la capacidad del para su personal de personal para desarrollar desarrollo. cdigo seguro. La respuesta indica que su Establezca el uso de las organizacin no utiliza herramientas de prueba de herramientas de pruebas de software de seguridad como software de seguridad como parte instrumental de todos parte del proceso de los planes de desarrollo de desarrollo de seguridad. seguridad.

Almacenamiento y comunicaciones de datos Subcategora Cifrado Mejores prcticas recomendadas Los datos confidenciales deben cifrarse o codificarse mediante hash en la base de datos y en el sistema de archivos. La aplicacin debe diferenciar entre los datos que podran estar expuestos a la divulgacin (es necesario cifrarlos), los datos que podran llegar a manipularse (es necesario un valor de claves hash) y los datos que se pueden transformar (hash) sin ninguna prdida de

141

funcionalidad, como las contraseas. Las claves para descifrar se guardarn en un lugar distinto a la informacin cifrada. Los datos confidenciales se deben cifrar antes de transmitirlos a otros componentes. Verifique que los componentes intermedios que controlan los datos en un formato de texto sin formato antes o despus de la transmisin no representan una amenaza excesiva. La aplicacin debe sacar partido de las funciones de autenticacin disponibles con el mecanismo de transmisin segura. Algunos de los cifrados ms habituales y fiables son: 3DES, AES, RSA, RC4 y Blowfish. Utilice claves de 128 bits (1024 bits para RSA) como mnimo.

Cifrado

Resultados Sus respuestas indican que sus aplicaciones no cifran los datos cuando estn almacenados o se estn transmitiendo.

Subcategora Cifrado - Algoritmo

Recomendaciones Para aplicaciones que procesan datos confidenciales, opte por el cifrado con un algoritmo estndar del sector para la transmisin y el almacenamiento de datos. Mejores prcticas recomendadas La aplicacin debe utilizar algoritmos de cifrado estndares del sector, con claves de tamaos adecuados y modelos de cifrado apropiados. Algunos de los cifrados ms habituales y fiables son: 3DES, AES, RSA, RC4 y Blowfish.

Se debe utilizar un tamao de clave mnimo de 128 bits (para RSA, 1024 bits).

3.2.2.2.2.3 Operaciones
Esta rea de anlisis examina las prcticas, procedimientos y pautas operativas que sigue la empresa para ayudar a mejorar la defensa en profundidad. Esta evaluacin examina directivas y procedimientos que regulan las creaciones del sistema, la documentacin de la red y el uso de tecnologa en el entorno. Tambin incluye las actividades de apoyo

142

necesarias para gestionar la informacin y los procedimientos que utilizan los administradores y el equipo de operaciones en el entorno. Al establecer prcticas, procedimientos y pautas operativas que se entienden y se siguen, una empresa tiene la posibilidad de mejorar su defensa en profundidad. La evaluacin revisa los procedimientos de alto nivel que una empresa puede seguir para ayudarle a mitigar los riesgos para la infraestructura centrndose en las siguientes reas de seguridad de las operaciones:

Entornocreacin del sistema, documentacin de la red, flujo de datos de aplicacin, arquitectura de las aplicaciones Directiva de seguridadprotocolos y servicios, uso aceptable, gestin de cuentas de usuarios Actualizaciones y gestin de actualizacionesgestin de actualizaciones, firmas de virus Copias de seguridad y recuperacincopias de seguridad, almacenamiento, pruebas

Entorno Subcategora Host de gestin Mejores prcticas recomendadas Cuando se utilizan paquetes de gestin, las consolas administrativas se debern reforzar y proteger fsicamente.Refuerce las estaciones de trabajo de gestin utilizadas para gestionar los servidores y dispositivos de red. Utilice conexiones SSH o VPN para proteger los protocolos de gestin de texto sin cifrar. Las estaciones de trabajo de gestin se deben dedicar a administradores de red y host especficos. Pruebe todos los sistemas de gestin que utilizan SNMP para asegurarse de que tienen la revisin de la ltima versin y no utilizan cadenas de comunidad predeterminadas. Los sistemas compartidos no almacenan datos especficos de gestin. No se utilizan estaciones de trabajo compartidas para gestionar dispositivos de red o hosts.

Subcategora Host de gestin-

Mejores prcticas recomendadas

143

Servidores Host de gestinServidores Resultados Sus respuestas indican que existe un equipo de gestin dedicado a los servidores. Recomendaciones Piense en utilizar SSH o VPN para asegurar los protocolos de gestin de texto sin formato. Mejores prcticas recomendadas

Subcategora Host de gestin Dispositivos de red Host de gestin Dispositivos de red

Resultados Sus respuestas indican que existe un equipo de gestin dedicado a administrar dispositivos de red.

Recomendaciones Pruebe todos los sistemas de gestin que utilizan SNMP para asegurar que tengan las actualizaciones ms recientes y que no utilicen cadenas comunitarias predeterminadas.

Directiva de seguridad Subcategora Clasificacin de datos Clasificacin de datos Mejores prcticas recomendadas Contine implementando clasificaciones de datos con las directrices de proteccin correspondientes. Defina un esquema de clasificacin de datos corporativos y proporcione a todo el personal una gua y un proceso de formacin adecuados acerca de la clasificacin de datos. Defina requisitos de manejo y proteccin tiles correspondientes a los niveles de clasificacin de datos. Es importante tener un esquema de clasificacin de datos con las directrices de proteccin de datos correspondientes. Una clasificacin y separacin de la informacin insuficientes pueden permitir el acceso al personal, socios comerciales o pblico a informacin confidencial o a informacin que no necesiten saber. Esto puede suponer una prdida de la imagen de marca o una situacin comprometida de la empresa debido a la divulgacin no autorizada de informacin confidencial. Es posible que los escasos recursos utilizados para asegurar la informacin tambin se asignen errneamente sin la clasificacin adecuada de la informacin. Si el personal no sabe qu informacin de la empresa es confidencial y cmo se protegen estos datos, existe una alta probabilidad de que esta informacin quede expuesta a personas no autorizadas. Resultados Recomendaciones

Clasificacin de datos

144

Subcategora Eliminacin de datos Eliminacin de datos

Mejores prcticas recomendadas Contine implementando procesos para la eliminacin de datos. Defina e implemente procedimientos para la gestin y la eliminacin de informacin en formato impreso y electrnico, como la que contienen disquetes y discos duros.

Eliminacin de datos

Eliminacin de datos

Subcategora Protocolos y servicios

Protocolos y servicios

Tambin deben existir procedimientos formales de forma que todos los usuarios conozcan los procedimientos adecuados para eliminar informacin electrnica y en formato impreso. La confidencialidad de la informacin se puede ver en peligro si no se proporcionan instrucciones y procesos para destruir la informacin de forma segura. Resultados Recomendaciones Sus respuestas indican que Revise este elemento no conoce la respuesta a abierto con su personal de esta pregunta TI o un socio de seguridad. Mejores prcticas recomendadas Documente las normas y las prcticas permitidas con respecto a los protocolos y servicios admitidos por la empresa. Se deben verificar las listas de control de acceso para garantizar que los servicios permitidos tienen necesidades empresariales acordes con el nivel de acceso de que disponen. Utilice direcciones IP y rangos de direcciones IP especficos donde sea posible. Limite los servicios de los servidores a los que necesita la empresa. Estas pautas detallarn tambin las cuestiones especficas para la versin de protocolo y la fiabilidad mnima del cifrado. Implante el uso de protocolos establecidos con dispositivos del permetro (como encaminadores, pasarelas, cortafuegos, etc.), la autenticacin slida y las comunicaciones cifradas. Resultados Recomendaciones Su respuesta indica que no Colabore con el equipo de existen pautas que traten seguridad y comercial para los servicios ni protocolos establecer las pautas de los permitidos. protocolos y servicios permitidos en el entorno corporativo y documente estas pautas. A continuacin, audite los dispositivos necesarios (cortafuegos, dispositivos VPN, encaminadores, etc.)

145

para asegurarse de que estn configurados de forma acorde a las pautas documentadas.

Subcategora Uso aceptable

Subcategora Gestin de cuentas de usuarios

Subcategora Regulacin

Regulacin

Mejores prcticas recomendadas Existe una directiva corporativa del uso aceptable que gestiona el buen uso de las redes corporativas, las aplicaciones, los datos y los sistemas. La directiva tambin debe comprender los medios digitales, los medios impresos y otras propiedades intelectuales. Mejores prcticas recomendadas Debe crear una cuenta de usuario individual para todo aquel que necesite acceso a los recursos de TI. Los usuarios no deben compartir cuentas. De forma predeterminada, las cuentas se crearn con los privilegios mnimos necesarios. Los administradores de las redes y los servidores deben tener una cuenta con privilegios (administrativa) y otra sin privilegios. Se impondr la calidad de las contraseas, se revisarn peridicamente y se registrarn todos los cambios en las cuentas. A medida que cambie el rol de un individuo, revise y modifique los privilegios de su cuenta, segn sea necesario. Cuando se prescinda de algn miembro del personal, se deber desactivar o eliminar su cuenta. Mejores prcticas recomendadas Las auditoras efectuadas por terceros deben realizarse peridicamente para garantizar que se cumple con todas las regulaciones legales y civiles vigentes (por ejemplo, HIPAA para la salud o Sarbanes-Oxley para las empresas conforme a la norma SEC). Resultados Recomendaciones Sus respuestas indican que Las directivas son reglas y su empresa no dispone de prcticas que especifican directivas para controlar el cmo se puede utilizar de entorno informtico. forma adecuada un entorno informtico. Si no existen directivas, no existe mecanismo alguno para definir ni hacer cumplir los controles dentro del entorno. Planifique inmediatamente el desarrollo de las directivas necesarias de acuerdo con los estndares de aplicacin y gestin de la compaa.

146

Subcategora Directiva de seguridad

Mejores prcticas recomendadas Las directivas de seguridad deben establecerse segn la informacin suministrada desde los cargos de gestin, de TI y recursos humanos; deben ponerlas en funcionamiento los ejecutivos; y se deben actualizar para reflejar las mejores prcticas recomendadas como, por ejemplo, CoBIT.

Gestin de actualizaciones y revisiones Subcategora Documentacin de la red Mejores prcticas recomendadas Los diagramas actuales y precisos de las relaciones fsicas y lgicas de las redes internas y externas tendrn que estar disponibles en todo momento. Actualice estos diagramas conforme se produzcan cambios en el entorno.

Limite el acceso a los diagramas a slo el equipo de TI.

Documentacin de la red

Resultados Su respuesta indica que no existen diagramas lgicos de red en su entorno.

Recomendaciones Trabaje con el grupo de ingenieros de red para que desarrollen en primer lugar los diagramas de la red externa. A continuacin, dedquese a los diagramas de la red interna. Limite el acceso a estos diagramas a un grupo del personal, principalmente a los equipos de TI y de seguridad.

Subcategora Flujo de datos de la aplicacin

Mejores prcticas recomendadas Los diagramas de la arquitectura de las aplicaciones deben mostrar los principales componentes y los flujos de datos fundamentales del entorno, adems de los sistemas por los que pasa el trfico de informacin y cmo se gestionan estos datos. Actualice los diagramas conforme surjan cambios en la aplicacin o el entorno donde se alberga la aplicacin.

Flujo de datos de la

Resultados Su respuesta indica que no

Recomendaciones Trabaje con los propietarios

147

aplicacin

existen diagramas de la arquitectura ni del flujo de datos de las aplicaciones principales.

de las empresas y d prioridad a las aplicaciones externas sobre las internas. A continuacin, sopese la importancia y confidencialidad de los datos que controla A partir de estas prioridades, colabore con el equipo de arquitectura de la aplicacin y los propietarios de las empresas respectivas para completar los diagramas de arquitectura y de flujo de datos de las aplicaciones externas. Realice el mismo proceso para las aplicaciones internas. Evale la creacin de una directiva para actualizar estos diagramas cuando el entorno se cambie.

Subcategora Gestin de actualizaciones

Mejores prcticas recomendadas Se aplicarn actualizaciones de seguridad y cambios de configuracin en intervalos peridicos indicados por las directivas de seguridad corporativa y en el momento en que estn disponibles. Estas actualizaciones y revisiones se comprobarn exhaustivamente en un entorno de laboratorio antes de su instalacin definitiva, con independencia de si se desarrollan internamente o se obtienen de un tercero. Por otra parte, una vez instaladas, se probarn cada uno de los sistemas para detectar conflictos exclusivos que podran demandar desinstalar la actualizacin. Debe clasificar los sistemas para permitir una programacin basada en agrupaciones: los sistemas ms importantes y los que tienen ms trfico tendrn preferencia a la hora de recibir actualizaciones.

Gestin de actualizaciones

Resultados Su respuesta indica que no existen directivas que regulen la gestin de actualizaciones ni

Recomendaciones Desarrolle una directiva para la actualizacin de los sistemas operativos y todas las aplicaciones utilizando

148

revisiones de los sistemas operativos y de las aplicaciones.

las pautas de prcticas recomendadas. Actualice en primer lugar los sistemas externos y de Internet, a continuacin, los sistemas internos crticos y, por ltimo, todos los sistemas no crticos. Desarrolle una directiva para notificar a los usuarios remotos cundo aparecen actualizaciones, para que tambin las apliquen a sus sistemas.

Subcategora Gestin de cambios y configuracin

Gestin de cambios y configuracin

Mejores prcticas recomendadas Cualquier cambio que se produzca en el entorno debe probarse primero para verificar que es seguro y compatible antes de ponerlo en produccin. Tambin se debe guardar una documentacin completa acerca de la configuracin de todos los sistemas de produccin. Resultados Recomendaciones Sus respuestas indican que Considere la puesta en su empresa no dispone de prctica de un proceso formal de gestin para las ningn proceso de gestin de cambios ni configuraciones y los configuraciones. cambios para probar y documentar todas las actualizaciones antes de su puesta en prctica.

Copias de seguridad y recuperacin Subcategora Archivos de registro Mejores prcticas recomendadas Los archivos de registro se configuran para que graben las actividades planificadas sin sobrescribir entradas. Debe establecer un proceso automtico de rotacin de los archivos de registro cada da, as como la descarga de los archivos a un servidor seguro en la red de gestin. Limite el acceso a los archivos de registro y las configuraciones para evitar que sean modificados o eliminados.

Los archivos de registro se deben revisar peridicamente para detectar actividades sospechosas o anmalas. La

149

revisin debe extenderse al funcionamiento, mantenimiento y a la seguridad de los sistemas. Para sacar ms partido de esta revisin, debe utilizar un software de correlacin de eventos y de anlisis de tendencias.

Archivos de registro

Resultados Sus respuestas indican que actualmente no existe ningn registro activado en el entorno.

Recomendaciones Al principio, active los archivos de registro en los servidores y los dispositivos en la DMZ, y tambin en los servidores de red centrales. Mantenga idnticas las configuraciones de los archivos en los varios sistemas y proteja el acceso a los archivos de registro para que no sean modificados ni eliminados.

Piense en utilizar Microsoft Operations Manager (MOM) para enviar alertas cuando se produzcan entradas crticas de archivos de registro.

Subcategora Planificacin de recuperacin ante desastres y reanudacin de negocio Planificacin de recuperacin ante desastres y reanudacin de negocio

Mejores prcticas recomendadas Contine manteniendo y probando planes de recuperacin ante desastres y de reanudacin de negocio.

Es necesario desarrollar, documentar, implementar y someter los planes de recuperacin ante desastres a revisiones, pruebas y actualizaciones peridicas. Desarrolle planes de continuidad de negocio que incluyan personal, ubicaciones, as como sistemas y otras cuestiones de tecnologa. Los planes de recuperacin ante desastres y de reanudacin de negocio deben estar bien documentados y actualizados para asegurar la recuperacin en un perodo de tiempo aceptable. Los planes (incluida la restauracin a partir de copias de seguridad para aplicaciones) se deben probar peridicamente para validar el grado de correccin e integridad.

Planificacin de recuperacin ante desastres y reanudacin de negocio

150

Los planes de continuidad de negocio se deben centrar en todo el entorno: fsico, tecnolgico y personal.

Resultados Subcategora Copias de seguridad

Recomendaciones

Copias de seguridad

Subcategora Dispositivos de copia de seguridad

Mejores prcticas recomendadas Debe realizar copias de seguridad completas con regularidad. Si le resulta posible, realice copias de seguridad parciales entre las completas. La estrategia de copias de seguridad debe abordar el problema ms grave que podra presentarse: la restauracin de la totalidad de sistemas y aplicaciones. Para aplicaciones crticas, el proceso de restauracin debe realizarse en un tiempo mnimo y con garantas de un funcionamiento pleno. Resultados Recomendaciones Su respuesta indica que se Audite los mecanismos para hacen copias de seguridad realizar copias de seguridad peridicas de los recursos y asegrese de que se crticos. utilizan a menudo para los recursos crticos. Pruebe con regularidad el proceso de restauracin para garantizar la recuperacin de datos desde los dispositivos de copias de seguridad. Mejores prcticas recomendadas Deben existir directivas detalladas para administrar el almacenamiento y la gestin de los dispositivos de copias de seguridad. Estas directivas deben abordar temas como:+ Almacenamiento en las instalaciones o fuera de ellas + Rotacin de los dispositivos + Controles de seguridad + Controles de acceso para empleados

Los dispositivos extrables de copias de seguridad deben almacenarse en armarios cerrados, a prueba de fuego, a los que slo tengan acceso los empleados autorizados. El almacenamiento fuera de las instalaciones propicia la recuperacin adicional de datos en caso de producirse algn desastre.

Resultados

Recomendaciones

151

Dispositivos de copia de seguridad

Su respuesta indica que no existen directivas para la gestin ni el almacenamiento de los dispositivos de copias de seguridad.

Subcategora Copias de seguridad y restauracin

Desarrolle directivas y procedimientos para el almacenamiento y la gestin de los dispositivos de copias de seguridad utilizando la mejores prcticas recomendadas. Estas directivas deben tratar los sistemas crticos necesarios para la continuidad de la actividad empresarial. Mejores prcticas recomendadas Debe probar regularmente los procedimientos de copia de seguridad y de restauracin para identificar dispositivos defectuosos y para mejorar las posibilidades de xito de una restauracin en caso de un apagn. Los procedimientos detallados para la restauracin de los distintos sistemas, incluidas las aplicaciones, deben estar bien documentados. Revise los documentos de copias de seguridad y restauracin para asegurarse de que cubren los aspectos relativos a los sistemas necesarios para la continuacin de la actividad empresarial.

Copias de seguridad y restauracin

Resultados Su respuesta indica que existe una directiva para los procedimientos de copias de seguridad y restauracin, pero sta no est documentada.

Recomendaciones En principio, documente el proceso de copia de seguridad y recuperacin para los sistemas crticos para la continuidad empresarial y, a continuacin, cubra el resto de sistemas. Pruebe el proceso de copia de seguridad y restauracin a menudo para garantizar que los componentes de hardware y software funcionan segn lo previsto.

3.2.2.2.2.4 Personal

152

Los esfuerzos de seguridad en una empresa a menudo pasan por alto los aspectos que son crticos para la ayuda del mantenimiento de la seguridad general en la empresa. Esta seccin de la evaluacin revisa aquellos procesos de la empresa que regulan las directivas de seguridad corporativas, los procesos de recursos humanos, as como la formacin y la divulgacin de materias de seguridad para los empleados. El rea de anlisis de personal tambin se centra en la seguridad, ya que relaciona las tareas diarias operativas y las definiciones de los roles. La evaluacin revisa los procedimientos de alto nivel que una empresa puede seguir para ayudarle a mitigar los riesgos del personal centrndose en las siguientes reas de la seguridad del personal:

Requisitos y evaluacionesplanificacin, evaluaciones de terceros Directiva y procedimientosdirectiva de RR.HH., relaciones con terceros Formacin y conocimientodivulgacin de las medidas de seguridad

Requisitos y evaluaciones Subcategora Requisitos de seguridad Mejores prcticas recomendadas La empresa identifica a los individuos con experiencia en el tema de la seguridad para incluirlos en todas las reuniones y decisiones relacionadas. Adems, seala qu debe protegerse, teniendo en cuenta el valor del recurso y el nivel de seguridad que se requiere. El anlisis incluye todas las amenazas posibles. La estrategia que resulta equilibra los costes y los beneficios de las protecciones, y puede incluir como opciones el traslado o la aceptacin de los riesgos. Los requisitos de seguridad, definidos por representantes comerciales y tcnicos, se documentan y publican para que el conjunto del personal los pueda consultar y contrastar para diseos futuros. Las diferencias entre los tipos de aplicaciones y de datos pueden dar como resultado la existencia de requisitos diferentes. Resultados Recomendaciones Sus respuestas indican que La asignacin de niveles de su empresa no tiene ningn importancia a cada modelo para la asignacin componente de la de niveles de gravedad a infraestructura informtica cada componente del permite que la mayora de entorno informtico. los recursos se apliquen a aqullos equipos establecidos como los ms crticos, por lo que los

Requisitos de seguridad

153

Subcategora Evaluaciones de seguridad

sistemas que son menos crticos reciban menos recursos. Como consecuencia, se aplican con mayor eficacia los escasos recursos de seguridad en aquellos sistemas que los necesitan ms. Mejores prcticas recomendadas Las evaluaciones por parte de terceros aportan una perspectiva objetiva muy valiosa para las medidas de seguridad de una empresa. Estas evaluaciones tambin podran resultar beneficiosas para cumplir las estipulaciones normativas y los requisitos de los clientes, socios y fabricantes. Las evaluaciones deben incluir la infraestructura, las aplicaciones, las directivas y los procedimientos de auditora. Estas evaluaciones no deben centrarse exclusivamente en la identificacin de vulnerabilidades, sino tambin en sealar configuraciones que no sean seguras o privilegios de acceso innecesarios. Se deben revisar las directivas y los procedimientos de seguridad para descubrir si tienen lagunas.

Evaluaciones de seguridad

Resultados Su respuesta indica que no encarga a empresas independientes la evaluacin de los medios de seguridad.

Recomendaciones Empiece con autoevaluaciones de la infraestructura crtica de red y de las aplicaciones. Estudie desarrollar un plan que solicite evaluaciones regulares realizadas por terceros para la infraestructura crtica de red y de las aplicaciones.

Incluya los resultados de las evaluaciones en sus proyectos de mejora.

Evaluaciones de seguridad

Sus respuestas indican que las evaluaciones de la seguridad de su empresa no las realiza personal

Piense en el personal interno para la realizacin de auditoras de seguridad frecuentes, pero debe

154

interno.

aumentar estas auditoras con los datos de un tercero de confianza.

Directiva y procedimientos Subcategora Comprobaciones del historial personal Mejores prcticas recomendadas Se deben realizar comprobaciones del historial personal para descubrir cualquier problema posible, con objeto de reducir el riesgo al que se exponen la empresa y los empleados. Este proceso tambin permite localizar cualquier problema o laguna en el currculum del aspirante. El proceso de contratacin de personal debe incluir una evaluacin del historial laboral y cualquier antecedente penal del aspirante.

Se deben evaluar las habilidades del aspirante comparndolas con las descripciones detalladas y los requisitos del puesto para detectar los puntos fuertes y dbiles.

Comprobaciones del historial personal

Resultados Su respuesta indica que en su empresa no se llevan a cabo comprobaciones del historial personal como parte integral del proceso de contratacin.

Recomendaciones Cree una directiva que requiera una comprobacin del historial personal y financiero de las nuevas incorporaciones que vayan a ocupar puestos importantes. A la larga, esta directiva deber englobar a todos los nuevos empleados, independientemente del puesto.

Subcategora Directiva de recursos humanos

Mejores prcticas recomendadas Los procedimientos formales para gestionar el caso de los empleados que dejan la empresa garantizan que se acta debidamente cuando se rescinde un contrato de trabajo. Estos procedimientos deben existir para gestionar la situacin de los empleados que dejan la empresa amistosamente y los que la dejan de forma hostil.

Estos procedimientos deben incluir: + Notificacin a todos los departamentos (Recursos humanos, TI, Seguridad fsica, Servicio de atencin al

155

cliente, Finanzas, etc.) + Acompaamiento del empleado al abandonar las instalaciones + Cancelacin de todas las cuentas del usuario y de su acceso a la red + Recuperacin de todos los bienes de la empresa (porttiles, PDA, dispositivos electrnicos, documentos confidenciales, etc.)

Directiva de recursos humanos

Resultados Su respuesta indica que no existe ninguna directiva formal para los empleados que dejan la empresa.

Recomendaciones Colabore con el departamento de recursos humanos para desarrollar de inmediato una directiva formal para los empleados que dejan la empresa. Contemple los supuestos de ceses amistosos y hostiles del puesto de trabajo.

El aspecto ms importante que se debe recoger en esta directiva es garantizar que ninguno de los empleados pueden acceder fsicamente a los recursos ni a los privilegios de TI una vez fuera de la empresa.

Subcategora Relaciones con terceros

Mejores prcticas recomendadas Con objeto de reducir el riesgo de revelacin de datos, deben existir directivas y procedimientos formales enfocados a las relaciones con terceros. As, se podr detectar cualquier problema de seguridad y la responsabilidad de cada parte a la hora de solucionarlo. Estas directivas deben incluir: + El nivel de conectividad y acceso + La presentacin y el tratamiento de los datos + Los roles y las responsabilidades (incluida la autoridad) de cada parte + La gestin de la relacin: creacin, mantenimiento y cese.

Relaciones con terceros

Resultados Sus respuestas indican que

Recomendaciones El personal interno debera

156

Relaciones con terceros

los sistemas se configuran por parte de personal interno. Sus respuestas indican que su empresa gestiona el entorno informtico.

Relaciones con terceros

Su respuesta indica que no existe ninguna directiva para las relaciones con terceros.

configurar los sistemas siguiendo una simulacin de creacin. Segn las necesidades de la empresa, pueden ser soluciones viables tanto la gestin propia como la subcontratada. Si se subcontratan los servicios, los requisitos de seguridad deberan tratarse en el contrato y los acuerdos de nivel de servicio (SLA) deberan garantizar el cumplimiento de tales requisitos. Debe desarrollar directivas y procedimientos formales para los distintos tipos de relaciones con terceros con el acuerdo comn de toda la empresa. Para ello, haga partcipe a los diversos equipos empresariales. Si las directivas se elaboran correctamente, los riesgos a los que est expuesta la empresa se vern reducidos.

Formacin y conocimiento Subcategora Conocimiento de seguridad Mejores prcticas recomendadas Un programa formal de divulgacin de las medidas de seguridad ayuda a los empleados a contribuir a la seguridad global de la empresa, puesto que se les mantiene informados acerca de los riesgos existentes. La mejor garanta de alerta ante problemas potenciales es formar debidamente al personal en materia de seguridad. Un programa de divulgacin efectivo debe tener en cuenta todos los aspectos de la seguridad (aplicaciones, redes y soportes fsicos) y ofrecer tambin pautas claras a los empleados en caso de que detecten un riesgo para la seguridad de cualquiera de estos elementos.

Ponga en prctica directivas para regular la utilizacin de los recursos corporativos por parte de los empleados.

157

Los programas de divulgacin deben formar parte del curso de orientacin de empleados nuevos. Se debe proporcionar informacin actualizada y cursos para asegurar que todos los empleados conozcan las prcticas y los riesgos ms recientes. Se deben realizar comprobaciones peridicas para asegurarse de que los empleados han asimilado la informacin.

Conocimiento de seguridad

Resultados Sus respuestas indican que no ha asignado a ningn individuo ni grupo la seguridad de su empresa.

Conocimiento de seguridad

Su respuesta indica que no existe ningn programa de divulgacin de las medidas de seguridad en la empresa.

Recomendaciones Nombre a una persona o grupo con experiencia en seguridad para que se responsabilice de la seguridad de la empresa y exija que se consulte a esta persona/equipo antes de que se realicen cambios en el entorno informtico. Evale poner en prctica un programa formal de divulgacin de seguridad para que los empleados conozcan los riesgos relacionados con los recursos de TI. Ponga en prctica directivas que regulen la utilizacin de los recursos y las tecnologas corporativas por parte de los empleados e incluya un programa de divulgacin de seguridad en el curso de orientacin para nuevos empleados.

La mejor garanta de alerta ante problemas potenciales es formar debidamente al personal en materia de seguridad.

Subcategora Formacin sobre seguridad

Mejores prcticas recomendadas Trabaje con propietarios de empresa para determinar el tiempo de inactividad de aplicaciones crticas. Basndose

158

en esos resultados, aplique las medidas oportunas para satisfacer e incluso superar esos requisitos. La disponibilidad y el rendimiento de las aplicaciones basadas en web mejoran al implementar equilibrio de carga delante de los servidores web. Para equilibrar la carga del servidor, el equilibrio de carga distribuye las solicitudes entre los distintos nodos en el clster del servidor con el objetivo de optimizar el rendimiento del sistema. Si se produce un error en un servidor web en el clster del servidor, la solicitud se dirige a otro servidor para atender la solicitud, lo que proporciona una alta disponibilidad. Determine el tiempo de inactividad aceptable para los usos compartidos de archivos y bases de datos de propietarios de empresa. Pruebe los mecanismos de conmutacin por error para las aplicaciones y determine si la cantidad del tiempo de inactividad es aceptable.

Formacin sobre seguridad

Resultados Su respuesta indica que la empresa no ofrece actualmente a los empleados formacin especfica por temas.

Recomendaciones En principio y segn las exigencias de su modelo empresarial, desarrolle un plan para que el equipo de TI y de desarrollo tenga la formacin de seguridad apropiada. D comienzo al plan garantizando la asistencia de este equipo a sesiones de formacin como seminarios y foros especficos. Redacte el plan para que incluya cualquier tipo de curso bsico para todos los empleados en el futuro.

3.2.2.3 Lista de acciones recomendadas

La siguiente lista da prioridad a las recomendaciones presentadas anteriormente en la seccin Detalles de la evaluacin. Para obtener ms informacin sobre cualquiera de estos elementos, consulte la entrada correspondiente en dicha seccin.

159

Lista de acciones recomendadas Tema del anlisis Prioridad alta Utilice VPN para la conectividad de acceso de usuario remoto basada en las tecnologas IPSec, SSL, y SSH. Utilice conectividad sitio-a-sitio basada en la tecnologa IPSec. Configure listas de acceso a redes y de usuario para limitar el acceso a los recursos corporativos necesarios. Asegrese de que los cortafuegos, la segmentacin y los sistemas de deteccin de intrusiones permiten proteger la infraestructura de la empresa de los ataques desde Internet. Recomendacin

Infraestructura > Defensa del permetro > Acceso remoto

Infraestructura > Defensa del permetro > Segmentacin

Infraestructura > Defensa del permetro > Inalmbrico

Para reducir los riesgos asociados a las redes inalmbricas, la implantacin no debe incluir la difusin del SSID, pero s el cifrado WPA, adems de tratar la red como de no confianza.

Personal > Directiva y procedimientos > Relaciones con terceros

El personal interno debera configurar los sistemas siguiendo una simulacin de creacin.

Aplicaciones > Implementacin y uso > Desarrollado internamente

El uso de macros personalizadas requiere que las configuraciones de seguridad en Office se reclasifiquen a un nivel inferior, por lo que sus aplicaciones ofimticas quedan expuestas a documentos peligrosos. Considere dar permisos para desarrollar y ejecutar macros personalizadas slo a quienes lo necesitan por alguna actividad relacionada con la empresa.

Prioridad intermedia En principio, documente el proceso de copia de seguridad y recuperacin para los sistemas crticos para la continuidad empresarial y, a continuacin, cubra el resto de sistemas. Pruebe el proceso de copia de seguridad y restauracin a menudo para garantizar que los componentes de hardware y software funcionan segn lo previsto.

Operaciones > Copias de seguridad y recuperacin > Copias de seguridad y restauracin

Prioridad baja Operaciones > Entorno > Host de gestinServidores Piense en utilizar SSH o VPN para asegurar los protocolos de gestin de texto sin formato.

Operaciones > Entorno > Host de gestin Dispositivos de red Operaciones > Copias de seguridad y recuperacin > Copias de seguridad

Pruebe todos los sistemas de gestin que utilizan SNMP para asegurar que tengan las actualizaciones ms recientes y que no utilicen cadenas comunitarias predeterminadas.

Audite los mecanismos para realizar copias de seguridad y asegrese de que se utilizan a menudo para los recursos crticos.

160

Pruebe con regularidad el proceso de restauracin para garantizar la recuperacin de datos desde los dispositivos de copias de seguridad.

Infraestructura > Defensa del permetro > Antivirus - Equipos de escritorio

Contine con la prctica. Utilice una directiva que requiera a los usuarios a actualizar las firmas de virus. Piense en aadir el cliente antivirus al entorno predeterminado de creacin de estaciones de trabajo.

3.2.2.4 Apndices

3.2.2.4.1

Preguntas y respuestas

Las siguientes respuestas se proporcionaron como entrada en esta evaluacin.

Cuestin de la evaluacin Business Risk Profile Nmero de equipos de escritorio y porttiles que se utilizan en su empresa: Nmero de servidores que se utilizan en su empresa: Tiene su empresa una conexin permanente a Internet? Acceden los clientes y fabricantes a su red o sistemas internos a travs de Internet? Alberga su empresa algunos servicios de aplicaciones externas, como por ejemplo, un portal o un sitio Web, para sus socios o clientes externos? Dispone su empresa de servicios que usen los clientes internos y externos en el mismo segmento de red? Se conectan directamente los socios o clientes externos a los sistemas internos de la aplicacin para acceder a los datos, actualizar los registros o gestionar de cualquier otra forma la informacin? Se utilizan los mismos componentes de infraestructura de aplicacin, como por ejemplo, bases de datos en apoyo de las aplicaciones externas y los servicios corporativos internos?

Su respuesta

Entre 50 y 149 Entre 1 y 5 S S S

No

161

Permite su empresa que los empleados o los contratistas accedan remotamente a la red corporativa interna? Se permite que los empleados puedan utilizar sistemas que no sean de produccin en la red corporativa general, como por ejemplo, servidores Web personales o equipos que acten como hosts de "proyectos personales"? Aparte de los dispositivos de cinta y de copia de seguridad, permite su empresa procesar la informacin confidencial o de propiedad fuera de las instalaciones? En el caso de que los sistemas de seguridad se vieran comprometidos, afectara ello significativamente la capacidad comercial de su empresa? Comparte su empresa espacio de oficinas con otras entidades? Se desarrollan aplicaciones en su empresa? Permite su empresa que los desarrolladores de software se conecten de forma remota a los recursos de desarrollo corporativos o que desarrollen remotamente cdigo para aplicaciones? Desarrolla o pone en venta su empresa algunos productos de software para el uso de clientes, socios o el mercado en general? Se permite que los desarrolladores prueben o desarrollen los sistemas en sitios remotos o inseguros? Acta el personal de TI como guardianes (en contraposicin a los desarrolladores) de la lnea de aplicaciones comerciales? Segn los procedimientos de su empresa, es necesario la actuacin de un tercero para almacenar, procesar o distribuir los datos? Se almacenan o procesan los datos del cliente en un entorno compartido con los recursos corporativos? Recurre a fabricantes independientes de software para complementar la oferta de servicios empresariales? Obtiene su empresa ingresos por ofrecer servicios que incluyen el procesamiento o la minera de datos? Los datos que procesan las aplicaciones de su empresa, se consideran confidenciales o vitales para las operaciones comerciales de sus clientes? Se ofrecen aplicaciones comerciales crticas a travs de conexiones a Internet? Quines son los usuarios objetivos de las aplicaciones principales de su entorno? Cmo acceden los usuarios a las aplicaciones principales?

No

No

No S No

No

No

No

No

S S

No No

No Empleados internos y clientes, fabricantes y socios externos Tanto desde la red interna como de forma remota

162

Est conectada su red corporativa a otras redes (ya sean de clientes, de socios o de terceros) mediante enlaces de red pblicos o privados? Obtiene su empresa ingresos por servicios basados en el almacenamiento o la distribucin electrnica de datos, como por ejemplo, archivos de medios o documentacin? En los ltimos seis meses, se ha sustituido radicalmente algn componente tecnolgico de gran importancia? La actividad de su empresa depende de la recepcin o el procesamiento de datos por parte de socios, fabricantes o terceros? Un incidente que afecte a las aplicaciones o a las infraestructuras orientadas a los clientes, como un apagn o el fallo de una aplicacin o hardware, afectara significativamente a sus ingresos? Almacena su empresa datos confidenciales de sus clientes o de importancia vital? Los componentes de infraestructura y las aplicaciones del cliente, dependen del acceso a recursos de su entorno? Comparte su empresa los componentes de infraestructura y aplicaciones entre varios clientes? Considera que los recursos de TI son un requisito para su empresa? Utilizan todos los empleados de su empresa equipos informticos para desarrollar su trabajo? Subcontrata su empresa el mantenimiento o la propiedad de alguna parte de su infraestructura? Tiene su empresa algn plan a medio o largo plazo para la seleccin y utilizacin de componentes de nuevas tecnologas? Cree que su empresa participa en la adopcin rpida de las nuevas tecnologas? Selecciona e implanta su empresa nuevas tecnologas basadas en acuerdos de licencias y asociaciones existentes? Limita su empresa las opciones relacionadas con la tecnologa a aquellas que conoce actualmente el personal de TI? Ampla su empresa su red mediante la adquisicin de nuevas empresas con sus entornos correspondientes? Permite su empresa que los empleados descarguen a sus estaciones de trabajo datos corporativos o datos confidenciales de los clientes? Limita su empresa el acceso a la informacin en funcin de los roles de los usuarios? Implanta su empresa nuevos servicios o aplicaciones antes de evaluar los posibles riesgos para la seguridad?

No

No

No

No No

No S No S S

No S

No

No No

163

Cambia su empresa peridicamente las credenciales de las cuentas con privilegios? Cambia su empresa las credenciales de las cuentas con privilegios cuando el personal deja de trabajar en la empresa? Seleccione la opcin que mejor defina el sector profesional de su empresa: Seleccione el nmero de empleados de su empresa: Su empresa tiene ms de una oficina? La actividad de su empresa se desarrolla en un mercado de gran competencia o de investigacin, en el que el robo de material intelectual o el espionaje son temas de gran preocupacin? Cambia muy a menudo el personal tcnico en su empresa? Los productos o las marcas de su empresa tienen reconocimiento? Utiliza su empresa versiones obsoletas de software que ya no cuenten con el servicio tcnico del fabricante? Adquiere su empresa el software de fabricantes o proveedores conocidos y fiables? Infraestructura Utiliza su empresa cortafuegos u otros controles de acceso en los permetros de la red para proteger los recursos corporativos? Aplica su empresa estos controles en todas las oficinas? Utiliza su empresa una zona neutral (normalmente conocida como 'zona desmilitarizada' o DMZ) para separar las redes internas y externas de los servicios albergados? Alberga su empresa servicios relacionados con Internet en la red corporativa? Utiliza su empresa software de cortafuegos basado en hosts para proteger los servidores? Utiliza su empresa hardware o software de deteccin de intrusiones para identificar los ataques a la seguridad? Se utilizan soluciones antivirus en el entorno? Seleccione los sistemas que utilizan soluciones antivirus: Se puede acceder a la red de la empresa de forma remota? Seleccione quin se puede conectar a la red de forma remota:

No S

Venta Entre 50 y 149 empleados S S

S No No

No No

S No No

S Equipos de escritorio S Empleados

164

Se utiliza la tecnologa de red privada virtual (VPN) para la conectividad segura a los recursos corporativos de los usuarios remotos? Se utiliza autenticacin multifactor (token o tarjeta inteligente, etc.) para los usuarios remotos? Tiene la red ms de un segmento? Dispone la red de opciones de conexin inalmbrica? Cules de los siguientes controles de seguridad se usan para regular las conexiones a las redes inalmbricas?

No

No No S Cambio del nombre de red predeterminado/predefinido (conocido tambin como Identificador del conjunto de servicio o SSID) del punto de acceso No No

Existen controles para hacer cumplir las directivas de contraseas en todas las cuentas? Su organizacin dispone de procesos para revisar cuentas administrativas inactivas, de uso interno, de proveedor y de usuario remoto? Es su empresa la que configura los sistemas o esta tarea la efectan otros proveedores o revendedores de hardware? Cules de los siguientes elementos se han creado basndose en una configuracin documentada o en una simulacin formal? Cules de las soluciones siguientes se han instalado en las estaciones de trabajo y los porttiles de los empleados? Su organizacin cuenta con procedimientos de respuesta ante incidentes formales? Se han aplicado controles de seguridad fsicos para garantizar la seguridad de los activos de la empresa? Aplicaciones Dispone su empresa de una lnea de aplicaciones comerciales (LOB)? Utiliza macros personalizadas para las aplicaciones de Office (como, por ejemplo, Word, Excel o Access)? Qu mecanismos tiene su empresa para asegurar una disponibilidad alta de las aplicaciones? Seleccione los mecanismos utilizados de la lista siguiente: Ha desarrollado un equipo interno de desarrollo algunas de las aplicaciones principales de su entorno? Los consultores/proveedores de terceros han desarrollado alguna aplicacin clave implementada en su entorno? Qu metodologas de desarrollo de seguridad de software se practican en su empresa? (Seleccione todas las respuestas que correspondan)

Configurado por personal interno

Ninguno

Protector de pantalla protegido por contrasea

No No

No S

Ninguno

No

No

Ninguna

165

Conoce su empresa las vulnerabilidades de seguridad que existen actualmente en las aplicaciones de su entorno? Su empresa proporciona formacin sobre seguridad para el personal de desarrollo y pruebas? Su empresa confa en herramientas de software como parte del proceso de prueba y auditora para el desarrollo de software seguro? Existen controles para hacer cumplir las directivas de contraseas de las aplicaciones principales? Tienen las aplicaciones principales del entorno mecanismos para limitar el acceso a los datos y las funciones confidenciales? Guardan las aplicaciones principales del entorno mensajes en archivos de registro para su anlisis y auditora? Las aplicaciones utilizadas validan los datos de entrada? Cifran las aplicaciones principales los datos confidenciales y crticos de la empresa que se encargan de procesar? Operaciones Es la empresa la que gestiona el entorno o se contrata los servicios de un tercero? Utiliza la empresa hosts de gestin dedicados a la administracin segura de los sistemas y dispositivos del entorno? Seleccione los sistemas para los que existen hosts de gestin dedicados:

No

No S, para algunos proyectos

No No

No

No No

La empresa gestiona el entorno S

Dispositivos de red Servidores

Se utilizan cuentas de registro individuales para las actividades normales en contraposicin con las actividades administrativas o de gestin? Garantiza la empresa a los usuarios el acceso administrativo a sus estaciones de trabajo y equipos porttiles? Se comprueba peridicamente el cortafuegos para garantizar que funciona segn lo previsto? Su organizacin mantiene planes de recuperacin ante desastres y de reanudacin de negocio? Existe un modelo para asignar niveles de importancia a los componentes del entorno informtico? Existen directivas para la regulacin del entorno informtico? Hay un proceso documentado para la creacin de hosts? Si la respuesta es afirmativa, de qu tipo? (Para qu tipos de hosts hay un proceso de creacin documentado?)

No

No No No

No Ninguno

166

Hay pautas documentadas que indiquen qu protocolos y servicios estn permitidos en la red corporativa? Seleccione la opcin adecuada: Su organizacin dispone de un proceso formal bien documentado para la eliminacin de datos en medios electrnicos y en formato impreso? Su organizacin dispone de un esquema de clasificacin de datos con directrices de proteccin de datos asociadas? Hay un proceso de gestin para las configuraciones y los cambios? Existe un proceso establecido para las directivas de actualizacin y revisin? Existe una directiva establecida por la que se regule la actualizacin de productos de deteccin basados en firmas? Hay diagramas lgicos y documentacin de configuracin precisa para la infraestructura de red y los hosts? Existen diagramas exactos de la arquitectura y del flujo de datos de las aplicaciones principales? Est activado en el entorno el registro de los eventos producidos en los hosts y los dispositivos? Se hacen copias de seguridad de todos los recursos crticos y confidenciales peridicamente? Existen directivas y procedimientos para el almacenamiento y la gestin de los dispositivos de copias de seguridad? Existen directivas para la comprobacin peridica de los procedimientos de copias de seguridad y restauracin? Estas directivas, estn documentadas? Personal Hay en su empresa individuos o grupos que sean responsables de la seguridad? Realiza su empresa evaluaciones de la seguridad del entorno a travs de terceros? Realiza su empresa evaluaciones de la seguridad del entorno de forma interna? Realiza la empresa comprobaciones del historial personal como parte del proceso de contratacin? Hay un proceso formal para la salida de la empresa de los empleados? Hay una directiva formal para las relaciones con terceros? Hay un programa de divulgacin de las medidas de seguridad en su empresa? Se ofrece a los empleados formacin relacionada con el cargo que desempean en la empresa?

No hay directivas

No

No

No No Ninguno

No

No No S No

S, pero no estn documentados

No No No No No No No No

167

3.2.2.4.2

Glosario

El glosario presenta los trminos y conceptos estndar en el sector de las soluciones de seguridad mencionados en este informe. Tambin se pueden incluir trminos adicionales que no se encuentran en este informe.

Trmino AoAs Aplicaciones

Definicin reas de anlisis que son la infraestructura, las aplicaciones, operaciones, y la gente. Software informtico que proporciona funcionalidad al usuario final. Requiere la existencia de un sistema operativo en el que ejecutarse. Algunos ejemplos son los procesadores de texto, las hojas de clculo o los programas de gestin de bases de datos. Software o tecnologa de hardware que protege al entorno informtico frente a cualquier software peligroso. Medida del riesgo al que est expuesto una empresa, segn el entorno empresarial y el sector en que compite. Medida de las defensas de seguridad utilizadas en el personal, los procesos y la tecnologa para contribuir a reducir los riesgos identificados en una empresa. Parte de la red separada de la red interna mediante un cortafuegos y conectada a Internet a travs de otro cortafuegos. Dispositivo de hardware o software que ofrece proteccin a los equipos frente al acceso no autorizado a travs de la red. Funcionalidad de red, as como su administracin y mantenimiento para ofrecer compatibilidad con la defensa de red, respuesta frente a incidentes, disponibilidad de red y anlisis de errores. Incluye compatibilidad con los procesos empresariales internos y externos, y acerca de cmo se crean e implementan los hosts. Autenticacin que requiere una combinacin de al menos dos de los siguientes elementos: algo que se sabe; algo que se tiene; o algo propio del usuario. Por ejemplo, la tarjeta de dbito de su banco es una autenticacin de dos factores: requiere algo que tiene (la tarjeta) y algo que sabe (el nmero PIN). Solicitar a alguien que teclee mltiples contraseas para la autenticacin, supone una autenticacin de un solo

Antivirus (AV)

Perfil de riesgos para la empresa (BRP)

ndice de defensa en profundidad (DiDI)

Zona desmilitarizada (DMZ)

Servidor de seguridad (cortafuegos)

Infraestructura

Autenticacin multifactor

168

factor al tratarse nicamente de algo que sabe el usuario. Por lo general, cuantos ms factores, ms segura es la autenticacin. As, un sistema que requiera un tarjeta identificativa (algo que posee), un PIN (algo que sabe) y una huella dactilar escaneada (algo propio) es ms seguro que cualquier otro que nicamente solicite el nombre de usuario/contrasea (factor nico) o una tarjeta de identidad y el PIN. Operaciones Personal The policies, processes, procedures, and practices related to the protection Los miembros de una empresa, as como las directivas, los procesos, los procedimientos y las prcticas que se relacionan con su proteccin y la de la empresa. Conjunto integrado de tecnologas necesario para proporcionar un cifrado por clave pblica y firmas digitales. Utiliza una combinacin de cifrado por clave pblica y privada que ofrece gestin de claves e integridad y confidencialidad de los datos. Serie documentada de tareas secuenciales que se utiliza para realizar una funcin del negocio.

Infraestructura de clave pblica (PKI)

Proceso

3.2.2.4.3

Interpretacin de grficos

La puntuacin del BRP va de 0 a 100. Una puntuacin ms alta significa un riesgo posible aumentado al que est expuesta su empresa en esta rea de anlisis. Es importante tener en cuenta que una puntuacin de 0 no es posible; dedicarse a una actividad comercial siempre implica un nivel de riesgo. Tambin es importante comprender que hay riesgos comerciales que no se pueden mitigar directamente.

DiDI tambin tiene una puntuacin de 0 a 100. Una puntuacin ms alta significa un entorno donde han tomado ms medidas para implementar estrategias de DiD en el rea de anlisis especfica. La puntuacin DiDI no indica la eficacia general de la seguridad ni siquiera la cantidad de recursos para la misma, sino que cuantifica la estrategia global que se utiliza para defender el entorno.

En principio, una puntuacin baja del BRP y alta del DiDI parecera un buen resultado, pero no siempre es as. Est fuera del mbito de la presente autoevaluacin tener en

169

cuenta todos los factores. Una disparidad significativa entre la puntuacin del BRP y la del DiDI para un rea de anlisis especfica significa que se recomienda una revisin del rea. Cuando analice sus resultados, es importante tener en cuenta las puntuaciones individuales, tanto de BRP como de DiDI, y cmo se relacionan entre s. Un entorno estable probablemente tendra como resultado puntuaciones iguales en todas las reas. Disparidades entre las puntuaciones DiDI son un indicio de una estrategia general de seguridad concentrada en una sola tcnica de mitigacin. Si la estrategia de seguridad no abarca el personal, los procesos ni la tecnologa, el entorno estar expuesto a un mayor riesgo de ataque.

3.2.3 Solucin de Infraestructura en tecnologa Microsoft

De acuerdo al anlisis de riesgo realizado se le planteo a la empresa la solucin del diseo de infraestructura de red basado en tecnologa Microsoft y GNU/Linux, donde la alta Gerencia de la empresa requieren que la solucin sea implementada usando tecnologa Microsoft y Cisco System, as que de acuerdo a estos requerimientos de tecnologa desarrollamos nuestra implementacin:

3.2.3.1 Infraestructura
La implementacin de nuestra infraestructura de red consta de:

1 Router Fronterizo. 2 Routers que se utilizan para la conexin entre la Oficina Principal y sus dos sucursales. 5 Swithcs distribuidos en las 3 oficinas que conforman la empresa. 1 Servidor para la implementacin del ISA Server 3 Servidores de infraestructura 1 Access Point 1 VPN 2 Enlace hacia las sucursales

170

3.2.3.1.1

Reglas y filtros de Firewall

Los firewalls son un mecanismo de primera lnea de defensa y se deben colocar en todas las ubicaciones de borde de red. Las reglas implementadas en los firewalls deben ser muy restrictivas y establecerse host a host y servicio a servicio. Al crear reglas de firewall y listas de control de acceso (ACL) de enrutador, nos hemos centrado primero en la proteccin de los dispositivos de control y de la red frente a ataques. El firewall debe estar establecido con una posicin de denegacin predeterminada, permitiendo nicamente el trfico necesario.

Se ha Implementado una DMZ como parte de firewall (ISA Server). Donde he colocado el servidor accesible a travs de Internet, como el servidor Web, DNS Pblico y el Outlook Web Access (OWA), a travs de las reglas solo se permite el ingreso a nuestra DMZ de los puertos 80, 8080, 443 restringiendo la conectividad hacia la DMZ y desde ella.

171

Se configuran filtros o reglas en el ISA Server para evitar conexiones innecesarias, se publican los siguientes servicios:

3.2.3.1.2

Segmentacin

Por poltica de seguridad se implementar el direccionamiento para el desarrollo de la arquitectura de la red en segmentos de red diferentes para cada uno de los dispositivos y reas que conforman la empresa.

172

Se ha independizado cada rea de la empresa haciendo uso de segmentos para impedir el acceso a extranets especficas por parte de fabricantes, socios o clientes, como tambin el acceso intranet de las diferentes dependencias. El diseo realizado asegura que el ISA Server, la segmentacin y las listas de control de acceso permiten proteger la infraestructura de la empresa de los ataques provenientes tanto internos como externos. Cada segmento interno de la red permite que slo el trfico especfico sea encaminado a hosts de aplicaciones especficas y a los puertos utilizados para prestar servicios a los clientes de nuestra red LAN.

Se diferencian de manera clara sus reas o departamentos, cantidad de hosts y su ubicacin, sta ltima se encuentra geogrfica y estratgicamente en diferentes sitios de la ciudad.

En la siguiente tabla se muestra las reas y cantidad de hosts que conforman las tres oficinas o sucursales:

reas o Departamentos

Ubicacin

Cantidad de Direcciones
7 15 8 6 7 2 18 15 17 6 4 5 12 122

Gerencia Oficina Principal Contabilidad Oficina Principal Comercial Oficina Principal Compras Oficina Principal Ventas Oficina Principal Recepcin Oficina Principal Microondas Sucursal 1 Plantas Sucursal 1 Mantenimiento Comcel Sucursal 1 Alarmas Sucursal 1 Bodega Sucursal 1 Departamento IT (No existe) Sucursal 1 Fibra ptica Sucursal 2 Total de Equipos
Tabla 1. reas o Departamentos que conforman la empresa.

173

Haciendo uso de la subdivisin en subredes, o el uso de una Mscara de subred de longitud variable (VLSM) y teniendo en cuenta los dispositivos y equipos de comunicaciones vamos a establecer el direccionamiento IP contemplando el

doble de direcciones requeridas actualmente para futuro crecimiento de la empresa, para el cual se trabajar con la red: 172.24.X.X

IPs Validad 172.24.7.1 PCs LAN 252 255.255.255.0 172.24.7.0 172.24.7.254 172.24.8.1 Router 16 255.255.255.240 172.24.8.0 172.24.8.14 172.24.8.17 Switch 16 255.255.255.240 172.24.8.16 172.24.8.30 172.24.8.33 Servidores 16 255.255.255.240 172.24.8.32 172.24.8.46 172.24.8.49 Firewalls 16 255.255.255.240 172.24.8.48 172.24.8.62 172.24.8.65 APs 16 255.255.255.240 172.24.8.64 172.24.8.78 172.24.8.81 VPNs 8 255.255.255.248 172.24.8.80 172.24.8.86 172.24.8.89 Enlaces 8 255.255.255.248 172.24.8.88 172.24.8.94 Tabla 2. Direccionamiento IP para los dispositivos de comunicacin.

Dispositivo

Cant. Direc

Mascara

ID Red

Broadcast

172.24.7.255 172.24.8.15 172.24.8.31 172.24.8.47 172.24.8.63 172.24.8.79 172.24.8.87 172.24.8.95

Para controlar la conectividad se crearn VLANs por cada una de las diferentes reas de la empresa, de esta manera se proporcionar seguridad y se asegura por ejemplo que un usuario del departamento de ventas no tenga acceso a ninguna otra rea a no ser que la empresa as lo requiera.

174

IPs Validad Broadcast 172.24.7.1 172.24.7.31 Contabilidad 32 255.255.255.224 172.24.7.0 172.24.7.30 172.24.7.32 Microondas 32 255.255.255.224 172.24.7.31 172.24.7.63 172.24.7.62 172.24.7.65 172.24.7.95 Plantas 32 255.255.255.224 172.24.7.64 172.24.7.94 172.24.7.97 Mtto_Comcel 32 255.255.255.224 172.24.7.96 172.24.7.127 172.24.7.126 172.24.7.129 Gerencia 16 255.255.255.240 172.24.7.128 172.24.7.143 172.24.7.142 172.24.7.145 Comercial 16 255.255.255.240 172.24.7.144 172.24.7.159 172.24.7.158 172.24.7.161 Compras 16 255.255.255.240 172.24.7.160 172.24.7.175 172.24.7.174 172.24.7.177 Ventas 16 255.255.255.240 172.24.7.176 172.24.7.191 172.24.7.190 172.24.7.193 Alarmas 16 255.255.255.240 172.24.7.192 172.24.7.207 172.24.7.206 172.24.7.209 172.24.7.223 Dpto_IT 16 255.255.255.240 172.24.7.208 172.24.7.222 172.24.7.225 Fibra_Optica 16 255.255.255.240 172.24.7.224 172.24.7.239 172.24.7.238 172.24.7.241 172.24.7.247 Bodega 8 255.255.255.248 172.24.7.240 172.24.7.246 172.24.7.249 172.24.7.255 Recepcin 8 255.255.255.248 172.24.7.248 172.24.7.254 Tabla 3. Direccionamiento IP para las reas o departamentos que conforman la empresa.

VLAN

Cant. Direc

Mascara

ID Red

175

3.2.3.1.3

Diseo de la topologa de red

3.2.3.1.4

Configuracin de Router Cisco

Todos los Routers se han configurado configurado: Con seguridad ssh, Autenticacin aaa, utenticacin Requerimiento mnimo de contrasea establecido es de 10 caracteres. equerimiento Tienen tiempo de espera para la conexin por ssh de 30 segundo. Se ha establecido tres intentos fallidos al dar la contrasea. Las seriales de nuestros Routers se han configurado con autenticacin CHAP.

176

3.2.3.1.4.1 Banner y autenticacin de usuario autorizado

El banner se debe de configurar por poltica de la empresa dando aviso de que no esta permitido el uso de este dispositivo no autorizado. La conexin remota va telnet que deshabilitada y tanto esta como la autenticacin de hace por ssh.

177

3.2.3.1.4.2 Todos los password encriptados y con requerimiento de 10 caracteres mnimo

178

3.2.3.1.4.3 Creacin de usuario para autenticacin

3.2.3.1.4.4 Autenticacin CHAP

Para la autenticacin por CHAP necesito el hostname del router vecino y de igual manera el router vecino necesito hostname de mi router.
R1# config t R1(config)# interface serial 0/0/0 R1(config-if)# encapsulation ppp R1(config-if)# ppp authentication chap R1(config-if)# exit

179

3.2.3.1.4.5 Negacin entre VLANs

A excepcin y por poltica de la empresa se configura la conectividad entre tres departamentos (Microondas, Plantas, y Mtto_ Comcel) el cual se hace necesario para el intercambio de informacin en la realizacin de los diferentes proyectos que se llevan a cabo. Todos los departamentos de la empresa pueden entrar a la granja de servidores ya que la informacin se encuentra centralizada. Para los dems departamentos la conectividad no es permitida. Para cumplir con estos requisitos de seguridad se han creado listas de control de acceso (ACLs) :

Lista de Control de acceso a la granja de servidores: int fa0/0.10 access-list 1 permit 172.24.7.0 0.0.0.31 log access-list 1 permit 172.24.7.32 0.0.0.31 log access-list 1 permit 172.24.7.64 0.0.0.31 log access-list 1 permit 172.24.7.96 0.0.0.31 log access-list 1 permit 172.24.7.128 0.0.0.15 log access-list 1 permit 172.24.7.144 0.0.0.15 log access-list 1 permit 172.24.7.160 0.0.0.15 log access-list 1 permit 172.24.7.176 0.0.0.15 log access-list 1 permit 172.24.7.192 0.0.0.15 log access-list 1 permit 172.24.7.208 0.0.0.15 log access-list 1 permit 172.24.7.224 0.0.0.15 log access-list 1 permit 172.24.7.240 0.0.0.7 log access-list 1 permit 172.24.7.248 0.0.0.7 log access-list 1 deny any any ip access-group 1 out

180

Lista de Control de acceso a Gerencia int fa0/0.30 access-list 1 permit 172.24.8.32 0.0.0.15 log access-list 1 deny any any ip acess-group 1 out

Lista de Control de acceso a Microondas, Plantas, Mtto_Comcel int fa0/0.90 access-list 1 permit 172.24.7.64 0.0.0.31 log access-list 1 permit 172.24.7.96 0.0.0.31 log access-list 1 permit 172.24.8.32 0.0.0.31 log access-list 1 deny any any ip access-group 1 out

3.2.3.1.5

Configuracin de Switchs Cisco

Se han creado VLANs para cada una de las reas o departamentos que conforman la empresa, las cuales limitan el acceso directo a los segmentos por parte de los usuarios internos ya que la empresa en cada uno de sus reas o departamentos cuentan con informacin compartida y de vital importancia, por lo cual ninguna persona ajena a cada departamento puede tener acceso a la informacin que se genera en las distintas reas de la empresa por lo cual se implementa una poltica de seguridad para compartir carpetas y recursos estableciendo permisos de carpetas compartidas y permisos NTFS.

181

3.2.3.1.5.1 Creacin de VLANs de la oficina principal

182

3.2.3.1.5.2 Creacin de VLANs de la Sucursal 1

183

3.2.3.1.6

Conexin Inalmbrica

En el caso de la red inalmbrica se ha configurado como la cuarta tarjeta de red en el Firewall, debido a que se considera como un segmento de red de no

confianza y se aplican los filtros MAC, con el fin de evitar que equipos no autorizados se conecten a la red.

184

En el diseo de direccionamiento IP a los Access Point, se le ha asignado la direccin de red: Direccin de red: : 172.24.8.64 Mscara de subred: 255.255.255.240 subred

ID Red: 172.24.8.64 Direcciones IPs Vlidas 172.24.8.65 172.24.8.78 Vlidas: Broadcast: : 172.24.8.79

185

3.2.3.1.6.1 Configuracin del router Linksys

186

3.2.3.1.6.2 Tomando direccin DHCP del Access Point

3.2.3.1.7

Configuracin del Servidor de Infraestructura primario

Para evitar que un atacante externo obtenga informacin de la empresa se va a trabajar con dos dominios completamente diferentes:

Dominio Interno: dominio.local Dominio Externo: empresa.com

En nuestro primer servidor de infraestructura configuramos los siguientes servicios:

187

Controlador de dominio principal Servicio de nombres de dominio (DNS01) Protocolo de configuracin de host dinmica (DHCP) Entidad Certificadora

3.2.3.1.7.1 Controlador de dominio principal

El servicio de autenticacin que tiene Microsoft Windows se llama Active Directory, este es el servicio principal de la red local.

En el controlador de dominio se ha crea la arquitectura de la empresa de manera virtual a travs de las unidades organizativas y los objetos para la creacin de los usuarios, equipos, controladores de domino y desde stas restringir tareas y aplicar las polticas de grupo.

Las funciones que va a cumplir el controlador de dominio principal es el de verificar el estado de los usuarios, me explico, cuando un usuario se bloquea por intentar ingresar 3 veces seguidas su contrasea de manera errnea, quien sabe que ese usuario esta bloqueado es el Controlador de dominio Principal. Ejecutar los cambios de contrasea y algo muy importante en seguridad el mantener la hora sincronizada de todo mi sistema.

188

3.2.3.1.7.2 Servicio de nombres de dominio (DNS01)

El servicio DNS es el encargado de convertirme los nombres en direcciones IP. DNS es una Base de Datos en la que se almacenan los nombres de las maquinas con respecto a sus direcciones IP, el cual usa para hacer esta asociacin de nombres de maquinas a direcciones IP distintos tipos de registros.

189

Registros SOA NS A CNAME MX PTR

Significado Start of Authority Name Server Addressing Canonical name Mail Exchange Pointer

Se ha configurado en los reenviadores las direcciones de openDNS para liberar la carga de los Root-Hints establecido por defecto en la tecnologa de Microsoft para hacer las consultas recursivas que no es otra cosa que la consulta que se le hace a un servidor que esta afuera de nuestra red.

190

3.2.3.1.7.3 Protocolo de configuracin de host dinmica (DHCP)

Es el servicio que se ha configurado para que asigne de manera automtica las direcciones IP que se le han asignado a cada segmento de red de las distintas reas que conforman la empresa.

3.2.3.1.7.4 Entidad Certificadora

Se le proporciona a la empresa dentro de la solucin de arquitectura de red un servidor de certificados de seguridad generados desde la misma empresa para que de esta manera proporcionar una autenticacin multifactor para la conexin de usuarios remotos a travs de Internet a los recursos de la empresa.

191

La autenticacin multifactor es aquella que requiere de al menos dos de los siguientes elementos: algo que se sabe; algo que se tiene; o algo propio del usuario. Para este caso concreto para poder autenticarse al sitio web o al correo electrnico requiere algo que debe tener (el certificado generado por la empresa) y algo que sabe (su contrasea).

3.2.3.1.8 Configuracin del Servidor de Infraestructura secundario

Para proporcionar a nuestro diseo de infraestructura de red disponibilidad y asegurar la continuidad del negocio se implementa la replicacin de los siguientes servicios:

Controlador de dominio secundario Servicio de nombres de dominio (DNS02)

192

Se configura las opciones de DHCP para que cuando un usuario se conecte y tome direccin por DHCP reciba las dos direcciones de los servidores DNS.

3.2.3.1.8.1 Configuracin de Exchange Server

Se configura el servicio de infraestructura de correo electrnico en Exchange Server, el cual consta de los servicios de smtp, pop3 y servidor web que se llama OWA (Outlook Web Access).

193

3.2.3.1.8.2 Agregando el dominio externo

Como haba mencionado anteriormente se ha implementado dos dominios uno interno configurado en el servicio de nombres de dominio llamado dominio.com y ahora se agrega el dominio publico (@dominio.com) y se establece como principal porque cuando un usuario externo nos conteste un correo lo va a enviar a @dominio.local y ste dominio no existe en internet de ah la importancia de establecer el dominio pblico como principal.

3.2.3.1.8.3 Filtrando conexiones

Por seguridad se configura la regla de filtrado de conexiones para bloquear el SPAM y apoyndonos en el sitio www.spamhaus.org que nos proporciona una listas llamadas Real Time Black List (RBL) que son Bases de Datos de direcciones IP a nivel mundial que son conocidas por enviar SPAM, estas listas las actualizan

194

aproximadamente cada media hora. Cuando una maquina es detectada que esta enviando SPAM automticamente se incluye en estas listas. As que la configuracin Exchange Server vamos a filtrar para que todos los correos entrantes sean examinados por el servidor de correo. Dentro del sitio spamhaus encontramos el cono de zen.spamhaus.org que incluye persona que envan SPAM, maquinas que tienen troyanos y bloques de direcciones IPs enlistadas en las Black Lists enviadas por los proveedores de internet.

195

3.2.3.1.8.4 Protocolo de RPC sobre HTTPS

Este protocolo permite conectarnos al Exchange cuando estamos fuera de la oficina sin una conexin de VPN. Los equipos de la red LAN que tienen configurado el Outlook pueden conectarsen directamente con el servidor de Exchange, se pueden ver la libreta global de direcciones, el calendarios compartido y todas las opciones de colaboracin las tenemos cuando estamos usando el cliente directamente conectado al Exchange pro el protocolo RPC.

3.2.3.1.9

Antivirus

Se implementacin de una solucin antivirus en los tres anillos de seguridad que conforman la empresa y en cada uno de los anillos una empresa de antivirus diferentes, los anillos en que queda aplicado el antivirus son el firewall, el servidor de correo y en todos los equipos del entorno corporativo. Esta solucin de antivirus especializada cumple con tareas especficas, como exploradores de servidores de archivos, herramientas de filtrado de contenido y exploradores de

196

carga y descarga de datos. Esta implementacin buscar virus en el entorno tanto de entrada como de salida. Adems como nuestra solucin de arquitectura de red se utiliza Microsoft Exchange, se aprovecha las capacidades de antivirus, filtrado de contenido adicionales en el nivel de buzn, y anlisis de listas negras.

3.2.3.1.10 Acceso remoto

Se ha implementado redes privadas virtuales (VPN) para la conectividad de acceso de usuario remoto basada en las tecnologas IPSec, SSL, y SSH.

Se utiliza conectividad host-a-LAN basada en la tecnologa IPSec. Donde el usuario que requiera utilizar la VPN debe de comunicarse con el Dpto_IT para se incluido en el grupo de seguridad establecido para este fin y por cuento tiempo necesito utilizarlo.

Los usuarios de la red LAN pueden mira el correo corporativo proporcionado por la empresa desde cualquier parte del mundo, para este fin se ha configurado el HTTPS/RPC, adems se a configurado un servidor interno de Entidad Certificadora (CA) para generar nuestros certificados de seguridad y de esta manera proporcionar una autenticacin multifactor para la conexin de usuarios remotos a travs de Internet a los recursos de la empresa.

197

3.2.3.1.11 3.2.3.1.11.1

Autenticacin Usuarios administrativos

Se establece que la directiva de contraseas para las cuentas administrativas con contraseas deben cumplir lo siguiente: Alfanumrico Maysculas y minsculas Contiene al menos un carcter especial Contiene como mnimo 14 caracteres Para limitar ms los riesgos de ataques a las contraseas, se establece lo siguientes: Caducidad de contraseas Bloqueo de la cuenta despus de 3 intentos de registro fallidos

198

Registro del sistema

3.2.3.1.11.2

Usuarios Internos

Para las cuentas de usuario, se ha implementado una directiva que requiere el uso de contraseas complejas que cumplan los siguientes criterios: Caracteres alfanumricos Uso de maysculas y minsculas Al menos un carcter especial Longitud mnima de 8 caracteres Para limitar an ms el riesgo de un ataque a contraseas, implemente los siguientes controles:

199

Caducidad de contraseas Bloqueo de la cuenta despus de 3 intentos de registro fallidos Registro del sistema

3.2.3.1.12 Directivas de contraseas:

La utilizacin de contraseas slidas es un elemento fundamental del ndice de la defensa en profundidad. Estas contraseas deben tener entre 8 y 14 caracteres e incluir caracteres alfanumricos y especiales. Debe establecer una longitud mnima, un historial, un lmite a la duracin y una caducidad para reforzar la defensa. Generalmente, la caducidad de las contraseas debe configurarse de esta forma: Duracin mxima de 30 das Las cuentas nuevas deben cambiar la contrasea al inicio de la sesin Un historial de 8 contraseas

Debe proteger el acceso administrativo a los sistemas con los tipos de autenticacin ms slidos. Por lo general, las limitaciones para crear contraseas de administradores deben ser ms estrictas que las que se emplean para cuentas normales: si las cuentas normales requieren contraseas con 8 caracteres, las cuentas administrativas deben requerir contraseas de 14 caracteres. Se configura una prctica de bloqueo de la cuenta tras 3 intentos fallidos en todas las cuentas de usuario. Los controles para bloquear una cuenta pueden variar, algunos simplemente consisten en bloquear ataques de fuerza bruta a contraseas y otros requieren que un administrador desbloquee la cuenta. Para la prctica controles de bloqueo de cuenta, se aplicarn las normas siguientes:

Bloqueo despus de 3 intentos de registro fallidos para las cuentas de usuario. Requerir la intervencin de un administrador para desbloquear las cuentas de aplicaciones importantes y reactivar automticamente las cuentas de usuarios normales al cabo de 5 minutos.

200

30 minutos para almacenar en cach los fallos de cuentas de usuarios normales

3.2.3.1.13 Gestin de Actualizaciones y revisiones

3.2.3.1.13.1

Documentacin de la red

Los diagramas actuales y precisos de las relaciones fsicas y lgicas de las redes internas y externas tendrn que estar disponibles en todo momento.

201

Estos diagramas sern actualizados conforme se produzcan cambios en el entorno. El acceso a los diagramas se limita a slo el equipo del Departamento de IT. equipo

3.2.3.1.13.2

Gestin de actualizaciones

Se aplicarn actualizaciones de seguridad y cambios de configuracin en intervalos peridicos indicados por las directivas de seguridad de la empresa y en el momento en que estn disponibles. Estas actualizaciones y revisiones se comprobarn exhaustivamente en un entorno de laboratorio antes de su instalacin exhaustivamente definitiva, con independencia de si se desarrollan internamente o se obtienen de un tercero. Por otra parte, una vez instaladas, se probarn cada uno de los sistemas

202

para detectar conflictos exclusivos que podran demandar desinstalar la actualizacin. Se debe de clasificar los sistemas para permitir una programacin basada en agrupaciones: los sistemas ms importantes y los que tienen ms trfico tendrn preferencia a la hora de recibir actualizaciones.

3.2.3.1.13.3

Copias de Seguridad

Se debe de realizar copias de seguridad completas con regularidad, como tambin copias de seguridad parciales entre las completas. La estrategia de copias de seguridad debe abordar el problema ms grave que podra presentarse: la restauracin de la totalidad de sistemas y aplicaciones. Para aplicaciones crticas, el proceso de restauracin debe realizarse en un tiempo mnimo y con garantas de un funcionamiento pleno. Se implementarn directivas detalladas para administrar el almacenamiento y la gestin de los dispositivos de copias de seguridad. Estas directivas deben abordar temas como: Almacenamiento en las instalaciones o fuera de ellas Rotacin de los dispositivos Controles de seguridad Los dispositivos extrables de copias de seguridad deben almacenarse en armarios cerrados, a prueba de fuego, a los que slo tengan acceso los empleados autorizados.

3.2.3.1.14 Personal 3.2.3.1.14.1 Formacin y conocimiento

Un programa formal de divulgacin de las medidas de seguridad ayuda a los empleados a contribuir a la seguridad global de la empresa, puesto que se les mantiene informados acerca de los riesgos existentes. La mejor garanta de alerta ante problemas potenciales es formar debidamente al personal en materia de seguridad.

203

Un programa de divulgacin efectivo debe tener en cuenta todos los aspectos de la seguridad (aplicaciones, redes y soportes fsicos) y ofrecer tambin pautas claras a los empleados en caso de que detecten un riesgo para la seguridad de cualquiera de estos elementos. Los programas de divulgacin deben formar parte del curso de orientacin de empleados nuevos. Se debe proporcionar informacin actualizada y cursos para asegurar que todos los empleados conozcan las prcticas y los riesgos ms recientes.

3.2.3.1.15 Pruebas de funcionamiento de la arquitectura de red

Outlook Web Access sin autenticacin

204

Outlook Web Access con autenticacin

205

Configuracin de Outlook con RPC/HTTPS

Conexin a travs de la Red Privada Virtual

206

Asignacin de direccin IP a travs del DHCP interno

Verificando desde el servidor DHCP la direccin asignada

207

En la consola del ISA Server tambin podemos observar los parmetros asignado al cliente VPN

208

Monitoreando los clientes de VPN

209

Pruebas de conectividad entre VLANS

Para hacer las diferentes pruebas me ubico en un PC de la VLAN del departamento de Fibra ptica. Ping a la Granja_Servidores (172.24.8.33) VLAN que se encuentra en la oficina principal. Ping a Gerencia (172.24.7.129) VLAN que se encuentra en la oficina principal.

210

Ping al Departamento de Microondas (172.24.7.33) VLAN que se encuentra en la Sucursal 1. Ping al Departamento de Alarmas (172.24.7.194) VLAN que se encuentra en la Sucursal 2.

211

Prueba de Navegacin por Internet desde la Sucursal 2

212

CONCLUSIONES

La seguridad de la informacin consiste en estar a la vanguardia con la tecnologa y generar poltica de seguridad. Es decir que la combinacin de la tecnologa y su forma de usarla determina cuan seguro es nuestra infraestructura.

El problema de la seguridad no puede ser resuelto por nica vez. Es decir que se debe de estar permanentemente revisando las amenazas, los riesgos, las vulnerabilidades y documentando nuestras polticas de seguridad.

La seguridad de nuestra infraestructura es tan fuerte como el eslabn ms dbil, esta frase es muy conocida en el mbito de seguridad y la deseo resaltar a manera de conclusin porque nuestros usuarios de la red debemos mantenerlos muy bien capacitados en cuanto a la seguridad de la red se refiera.

213

BIBLIOGRAFIA
Textos [1] SEGURIDAD EN REDES Y SERVICIOS TELEMATICOS; Jos Manuel Huidobro Moya, David Roldan Martnez.ao 2005. [2] SEGURIDAD EN REDES - 2 Ed; Chris McnabAnaya Multimedia 2008 [3] SEGURIDAD EN REDES TELEMATICAS; Carracedo Gallardo, Justo, (aut.), McGraw-Hill / Interamericana de Espaa, S.A.1 ed., 1 imp.(04/2004) [4] CURRICULAS CCNA EXPLORATION 4.0 CCNA OF CISCO

Sitios Web [1] http://sopa.dis.ulpgc.es/ii-aso/portal_aso/leclinux/seguridad/ssh/ssh.pdf [2] http://es.wikipedia.org/wiki/Protocolo_AAA [3] http://es.kioskea.net/contents/attaques/dos.php3 [4] http://es.kioskea.net/contents/attaques/passwd.php3 [5]http://marlon-evidencias.blogspot.com/2008/03/dmz.html [6]http://es.wikipedia.org/wiki/Seguridad_de_la_red [7]http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=. [8]www.spamhaus.org

214