INTRODUCCION

En una empresa la gestión de seguridad puede tornarse compleja y difícil de realizar, esto no por razones técnicas, más bien por razones organizativas, coordinar todos los esfuerzos encaminados para asegurar un entorno informático institucional, mediante la simple administración de recurso humano y tecnológico, sin un adecuado control que integre los esfuerzos y conocimiento humano con las técnicas depuradas de mecanismos automatizados, tomará en la mayoría de los casos un ambiente inimaginablemente hostil, para ello es necesario emplear mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de los empleados de la institución. El documento que se presenta como normas y políticas de seguridad, integra estos esfuerzos de una manera conjunta. Éste pretende, ser el medio de comunicación en el cual se establecen las reglas, normas, controles y procedimientos que regulen la forma en que la institución, prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias. Ante todo es importante tener claro el concepto de los ataques más frecuentes a las redes como son los famoso botnets, phishing, malwares, troyanos, carding, spam, entre otros ,esto nos permite, conociendo la identidad del atacante crear protocolos de seguridad más eficiente y seguros. Es importante recalcar que en la seguridad informática el eslabón más vulnerable es el ser humano, esto es debido aun termino que se denomina ingeniería social que consiste en hacer que otras personas trabajen a tu beneficio, esta tiene el objetivo de manipular, engañar o ocasionar para obtener claves, datos base datos de la víctima o cualquier información requerida por el atacante.

PLAN DE ACCION

Como gestor de seguridad, de ante mano debo reconocer que la globalidad avanza con un carácter Raudo, que no sitúan constantemente en aras de una innovación de patrones estandarizado, Muchos empresas se preguntarán cómo es posible que un atacante pueda tener acceso a información sensible de una empresa, que no está publicada en Internet, a través de su página web, por ejemplo su base de datos o modificar los valores mostrados en ella. Es aquí como gestor tenemos la función priori de solucionar este tipo de ataque desarrollas estrategias basadas en protocolos de seguridad seguros y eficientes como relaciona a continuación.

Es importante saber. Aunque una aplicación web puede ser tan compleja como necesite el sistema, las aplicaciones típicas tienen la siguiente estructura.

El primero de ellos es el encargado del interfaz de usuario, es decir, la parte que gestiona laInteracción Humano-Sistema, y que en una aplicación web típica es el navegador de Internet.

El segundo de los niveles es donde reside la lógica de la aplicación. Esta correrá sobre los servidores web y los servidores de aplicaciones, que haciendo uso de diferentes tecnologías podrán generar conocimiento o procesar información con un fin concreto.

Por último tendríamos el almacén de datos, es decir, el repositorio de la información donde se guarda el conocimiento de una organización.

Como gestor de seguridad siempre debo estar atento a interrogantes comunes y frecuentes por mencionar.

¿Cómo es posible que un atacante extraiga información de un sistema informático con una aplicación web?, La respuesta parece bastante clara. un fallo de seguridad en el código de esa aplicación web .Actualmente, según la conocida organización OWASP (Open Web Application Security Project) los 10 vectores de ataque más probables a estas aplicaciones son: A1: Injection, A2: Cross-Site Scripting (XSS), A3: Broken Authentication and Session Management, A4: Insecure Direct Object References, A5: Cross-Site Request Forgery (CSRF), A6: Security Misconfiguration, A7: Insecure Cryptographic Storage, A8: Failure to Restrict URL Access, A9: Insufficient Transport Layer Protection, A10: Unvalidated Redirects and Forwards. Estos ataques intentarán explotar fallos de seguridad en aplicaciones web (en tecnologías de cliente o de servidor) con algún fin concreto, por ejemplo, extraer información de una base de datos. Haciendo claridad en estés tipo de eventos podemos estandarizar un estructura de red segura que permitiría mitigar la vulnerabilidad de la empresa.

Por tal razón en la selección del personal se debe tener precisión en calidad y competencia del personal, que cada uno desarrolle función por la cual está especializado por competencia. Es importante caracterizar que la seguridad de redes y

datos no está en creación de una buen arquitectura de redes, es importante saber sobre

la seguridad en redes wi‐fi sobre seguridad en aplicaciones web, ataques al protocolo SSL. Que tiendo toda la información oportuna, veraz y eficiente podríamos mitigar ataques más certeros y así disminuiríamos la vulnerabilidad

EL PROGRAMA DE SEGURIDAD

Con la aplicación del sistema considerado en cuestión en anotaciones anteriores aplico una restructuración en cuanto a la estructura de instalación de equipos y aplicando cambio vigentes en seguridad recurriría a implementación de sondas o equipo de detención por segmentos que nos permiten controlar de una manera eficiente y oportuna cualquier ataque determinando las característica , punto de partida y demás entes relacionado con el mismo estos son los llamados (IDS) sistema de identificación de intrusos otros sistemas eficiente y evolucionado seria los (IDPS) los conocemos como sensores que permiten informar de las anomalías del sistema , a su vez existen los (HDIS) cuya función sería la de monitorizar algún cambio en el sistema operativo. Pero para este caso en común utilizaría los (NIDS) que consisten en equipos de sondas que se pueden instalar donde se requieran cuya función es la de monitorear segmentos y esos a su vez tiene dos funciones distinta y esta permite comprobar base de datos de firmas para ver si hay coincidencias y registra un tráfico durante un tiempo y crea patrones de comportamiento. Para detallar se ilustra en la siguiente gráfica.

O se puede poner a consideración Haciendo énfasis secuencial en el tema propuesto y mi postulado frente a la seguridad propongo una solución con esquemas anteriormente planteados y con la aplicación de una arquitectura de red en paralelo, que consta de

Corta fuego INTERNET

DMZ

RED INTERNA

NIDS

antivirus, anti spam con el objetivo de todo correo y procesos se han procesados antes de ser entregados al usuario final, de igual forma se plantea la creación de red privada virtual VPN) que garantizará la autenticación integral de datos y a su vez se plantea la instalación de ( UTM ) un sistema de gestión unificada de amenaza.

VALORACIÓN ELEMENTOS DE RED

Con relación a este interrogante, como gestor de seguridad planeo 4 posibles eventos que en verdad son de suma importancia para desestabilizar el correcto funcionamiento de una empresa, cabe señalar que muchas de las empresas existentes en nuestro territorio no poseen grandes mecanismos de seguridad para neutralizar ataques debido a que no poseen grandes competidores en el mercado, otra razón la disminución de costo es por ello que se aplican protocolos de seguridad estándar , es importante señalar que muchas empresas poseen la convicción de que solo con la actualización del sistema la utilización de un buen antivirus les brinda la suficiente seguridad para proteger su información, esto con lleva a estructura de red vulnerables , por tal razón mencionada he querido acentuar estos eventos que relaciono para no en la parte física de la estructura ya que estas son más fácil de mitigar el impacto, sino en posibles ataque que son más elocuentes en nuestra red, como son:

Ataques al protocolo SSL. Como lo he venido recalcado anteriormente la seguridad en redes se ha convertido de una competencia eventual de eventos y cambio e innovación por la complejidad de ataques surgidos a diario esto se deben a que cada día se desarrollen nuevas técnicas de criptoanálisis, haciendo que algunos protocolos no sean tan seguros como se esperaba. Esto, sumado al hecho de que la capacidad de computación de los atacantes va en aumento conforme a la ley de Moore, hace que los protocolos necesiten ser revisados y que las antiguas versiones de SSL sean inseguras, hago mención a este evento por que los protocolos SSL es vital en el comercio electrónico entre clientes (usuarios) y proveedores de productos. Es común su uso en transacciones cuando compramos un libro por Internet o la banca online para complementar un poco sobre este protocolo pongo en consideración un evento relacionado con este evento como ejemplo. Los fallos de programación juegan malas pasadas muchas veces. Uno de los ejemplos más famosos de ataque a SSL fue la vulnerabilidad anunciada en Mayo de 2008. El investigador argentino Luciano Bello descubrió que se habían implementado incorrectamente funciones aleatorias que se utilizaban en OpenSSL/Debian. Esto producía material “aleatorio” predecible que facilitaba invertir los procesos criptográficos, y como consecuencia de ello certificados X.509, claves SSH e incluso material cifrado se vieron expuestos.

Otro ataque famoso recopilado de internet pero para ejemplarizar lo traigo a consideración como material de consulta, fue el descubierto por el investigador Moxie Marlinspike. Al crear un certificado SSL y enviarlo a una Autoridad Certificadora para que lo firme, el campo al que se le suele prestar más atención es el CN (common name) que especifica el nombre del servidor, como puede ser www.ejemplo.org. Moxie Marlinspike descubrió que los estándares decertificado X.509 y SSL definen la cadena

CN como una cadena PASCAL (se declara la longitud de la cadena en la posición 0 y se pone la cadena en el resto de posiciones). Curiosamente la mayoría de software de procesamiento de certificados está escrito en C. Dicho software suele manejar la cadena como una cadena C, poniendo un NULL (\0) al final de la cadena para indicar dónde termina. El problema llega cuando alguien obtiene un certificado de la forma www.bancolegitimo.com\0www.atacante.org. Cuando se procesa por un navegador, sólo se leerá la primera parte, www.bancolegitimo.com, permitiendo falsificar fácilmente al banco. La solución más fácil a este problema es que las entidades certificadoras rechacen todos los certificados que contuvieran el carácter NULL , tomando como ejemplo estos ataque nos permite ver que tan vulnerable es nuestra información ya que los atacante cada día se crean estrategias para penetrar en la redes y sustraer información de la víctima.

A continuación relaciono otro ataque de su me importancia de conocimiento vital para preservar nuestra información sea segura es el relacionado ataque al protocolo OCSP El protocolo OCSP es un protocolo de consulta online para saber si un determinado certificado digital ha sido revocado o no. Para ello, el cliente envía la petición a la dirección de la CRL (Certificate Revocation List), que viene indicada en el propio certificado digital. Si un atacante está haciendo un ataque de hombre en el medio para utilizar uno de estos certificados digitales, entonces también puede interceptar las peticiones OCSP y utilizarlas en su provecho. En un funcionamiento normal, un servidor mediante este protocolo podría enviar una respuesta Try Later indicando al cliente que ahora no puede atender una petición. El atacante podría simular esta contestación, que tiene asignado el código 3, para indicar al cliente que ahora no puede atender su petición. Ante esta situación muchos clientes Web aceptarán el certificado digital al no poder corroborar su validez, lo que claramente es un fallo. Como gestor de seguridad me preguntaran porque hago énfasis este protocolo y en la no en la estructura física del sistema, es importante a clara que en su gran mayoría las grandes empresas realizan sus eventos y movimientos de bienes y servicios atraes de Internet poniendo cada día mas en riesgo la información y la seguridad de ellas mismas. Para acceder a

internet muchas empresas posen diferentes sistemas de conexión como las redes Wi‐Fi, basadas en las tecnologías 802.11, ya que son utilizadas por millones de personas en todo el mundo a diario dado la facilidad de conexión, flexibilidad y movilidad que ofrecen. Es importante determinar los tipos de ataques como son: Los ataques de negación de servicio (DoS, Denial of Service) son los más difícilmente evitables por cómo funcionan las tecnologías inalámbricas, ya que alguien puede generar suficiente

“ruido” en la frecuencia empleada por la red Wi‐Fi y hacer imposible ningún tipo de comunicación inalámbrica, afectando a la disponibilidad de la red. Este ataque es

especialmente relevante en entornos críticos, como redes Wi‐Fi de monitorización en hospitales o infraestructuras críticas. Por otro lado, es ligero para un atacante interceptar

las comunicaciones de la red Wi‐Fi que viajan por el aire, y tener así acceso a los datos intercambiados si estos no están cifrados. Este ataque es indetectable y afecta a la confidencialidad de las comunicaciones .Los dos últimos tipos de ataque son la

inyección de tráfico y el acceso a la red. Un atacante sin acceso a la red podría inyectar tráfico y modificar su comportamiento.

GRUPO DE ACCESO

Procedimiento de buenas contraseñas: Determinar buenas contraseñas de usuario que deben contener letras, números y caracteres para que sea más difícil de descifrar para que sea más tedioso para el software que descifran las claves.

Procedimiento de actualización de normas: debemos tener en cuenta que diariamente surgen nuevos ataques en la parte informática y podemos tener vulnerabilidad al ataque de nuestro sistema.

Instalar un sistema de detección de intrusos IDS (Intrusion Detection Systems) que se utilizan para identificar ataques en tiempo real, almacenar los registros y reportar al personal de administración y seguridad para que puedan tomar medidas adicionales.

para asegurar las comunicaciones y proteger la información cuando se utiliza una infraestructura pública como Internet, se utilice una red privada virtual VPN (Virtual Private Network) con la que se encapsule y cifre todo el tráfico en una nueva red “virtual”. Las redes privadas virtuales garantizan la autenticación e integridad de los datos y la autorización de cada uno de los usuarios. Además estas redes minimizan que se expongan servicios internos al exterior y que éstos puedan ser vulnerados.

nombre grupo de usuarios

tipo de acceso privilegios

Base de DatosEmpleados y Administración

Local Solo Lectura

Base de DatosClientes, Producto y Presupuesto

Local Solo Lectura

Acceso a Internet Usuario Local Solo Lectura

Servidor Pagina Web

Técnicos de Mantenimiento

Local Lectura y Escritura.

Acceso a Servidor, Router y Swith

Administradores de red

Local y Remoto Lectura y Escritura

Acceso a Equipos Técnicos de Sistemas

Local Todos

VALORACIÓN DE LOS ELEMENTOS DE LA RED

A mi criterio personal hay sistemas más eficientes en cuanto al menos de la seguridad de redes y de información de una empresa, muchas empresas creadoras de software brindan una asistencia remota como garantía del paquete adquirido, cabe señalar la empresa vendedora esta en Bogotá, la empresa quien compro el paquete esta en valencia córdoba, se presentó fallas en el sistema, por disminuir costo la empresa pide la asistencia técnico , no personalizada sino asistencia remota, como todos sabemos este tipo de asistencia se manipula control remoto el pc de que requiere la asistencia permitiendo que el operador tenga acceso a base de datos claves y toda la información pertinente , esto genera un riesgo. Y para argumentar más el problema todos los equipos están conectados a internet a trasvés de un router, una solución viable a mi criterio para tratar de disminuir riesgo es separar los servicio de internet a una zona desmilitarizada de igual manera esto permitiría que todo tipo de ataque sea controlado, esta zona se le llama DM Z en esta se crean unos cortafuego o fire Wall cuya misión es la filtrar el tráfico de entrada y de salida para explicar gráficamente seria de la siguiente manera:

Corta fuegoINTERNET

DMZ

RED INTERNA

NOMBRE RIESGO (R)

IMPORTANCIA (W)

RIESGO EVALUADO (RXW)

DETALLE

un servidor Web público en nuestro servidor de bases de datos

10 10 100

puede ser una forma de dar un servicio espectacular a nuestros clientes, pero también abre la puerta a que haya una fuga o unrobo de información.

SoftwareCortafuegodmz

8 10 80

hay más problemas por personal interno que se equivoca, o que directamente quiere causar daño,que por fallos técnicos.

PC 7 3 21Son los equipos lo cual los empleados procesan información se puede modificar y cambiar piezas fácilmente.

Swith 3 5 15 El swith es un equipo activo que se puede cambiar, resetear y volver a configurar.

GESTIÓN DE RIEZGO

Para la realización del plan de presentación de las PSI a los miembros de la gerencia de la organización, hay que hacer mucha énfasis en el análisis de riego que he venido planteando he considerado que existen formas Típicamente de afrontar los riesgos. La primera es evitar la situación, la segunda mitigar el peligro, la tercera pasárselo a otro y la cuarta aceptar lo que hay. Esto quiere decir La primera medida es preguntarnos si necesitamos todo lo que tenemos. Por ejemplo, poner un servidor Web público en nuestro servidor de bases de datos puede ser una forma de dar un servicio espectacular a nuestros clientes, pero también abre la puerta a que haya una fuga o un robo de información: se lo estamos poniendo fácil al ladrón. Podemos separar el servidor de producción del de acceso público y así el escenario de riesgo es otro.

La segunda medida es mitigar el impacto, mitigar el riesgo o ambos. El riesgo lo mitigas con medidas preventivas. Por ejemplo, cifrando el disco duro reduces las oportunidades de que la información acabe en malas manos El impacto se reduce con

Medidas reactivas o de recuperación el servidor de bases de datos, pero sabes que te recuperas rápidamente y sigues trabajando. Otra alternativa de solución además de las planteadas es la montamos un sistema con recuperación de sesiones en un equipo alternativo si falla el principal. Técnicamente es un montaje complejo; pero desde el punto de vista de seguridad se simplifica muchísimo: la confidencialidad y la integridad de la información debe mantenerse igual en todos los equipos. Y la disponibilidad se limita a imponer un tiempo máximo de interrupción del servicio.

HERRAMIENTAS PARA CONTROL DE ACCESO

Como primera medida si nuestra red tiene una conexión wifi debemos

considerar s puntos de acceso Wi‐Fi estén configurados por defecto como abiertos, pudiendo cualquiera capturar el tráfico de la red o conectarse a la

misma. También es habitual recibir el punto de acceso o router Wi‐Fi del proveedor de servicios de Internet configurado con WEP (Wired Equivalent Privacy), un mecanismo de cifrado antiguo e inseguro, aunque requiera utilizar una contraseña. La utilización de la contraseña crea una falsa sensación de seguridad. Pese a que WEP emplea el algoritmo de cifrado RC4, al igual que otros protocolos en los que confiamos en la actualidad, como HTTPS, se empleó de forma incorrecta e insegura en su diseño, siendo posible

actualmente para un atacante obtener la contraseña WEP de una red Wi‐Fi en menos de un minuto.Las redes Wi‐Fi personales deberían ser configuradas con WPA2 (Wireless

Protected Access 2),en su variante Personal o PSK (Pre‐Shared Key), una opción segura si se emplean contraseñas suficientemente largas (más de 20 caracteres) y difícilmente adivinables, que deben configurarse tanto en los

clientes como en la red Wi‐Fi. WPA2 ofrece mecanismos de cifrado y de autentificación.En la aplicación modelos propuesto en la guía del curso debemos tener en cuenta

ARGUS

Monitorea sin ser detectado Realiza Auditoria de Trafico IP Ayuda a buscar lo que se está encontrando por medio de los filtros

SATAN

Detecta Fallos o acceso a la seguridad. Monitorea la conectividad de máquinas en la red. Identifica las vulnerabilidades de una máquina y muestra la vulnerabilidad

encontrada. Se califica los altos niveles de vulnerabilidad como media, baja y totalmente

inseguro. Se conoce el tipo de topología. Explica que fallos se encontraron. Se utilizará para chequear máquinas conectadas a la red y fallas en la seguridad de

la misma. Será responsabilidad de una persona del área de redes sobre su funcionamiento y ejecución.

ISS

Identifica las contraseñas y IP de los equipos de la red. Identifica los puertos que usa el protocolo TCP Identifica el nivel de seguridad de la red.

GABRIEL

Comprende Cliente-Servidor Identifica el ataque “SATAN” Conexión de inmediata de fallos de cliente

TCP-WRAPPER

Monitoria y controla la red. Ejecuta comandos de ciertas acciones de forma automática. Restringe las conexiones no autorizadas.

Si una estación de trabajo conectada a la red ha sido atrapada tratando de atacar el servidor, se pueden usar los TCP wrappers para advertir de ataques. Además es una herramienta necesaria para negar el acceso a ciertos servicios.

COPS Chequeo de Password Chequea aspectos de seguridad relacionados con UNIX Permisos de escritura y lectura.

TIGER Comprobación de archivos binarios Configuración de los usuarios Configuración completa del sistema Chequeo de ámbito de seguridad de nuestro sistema Login y password

CRAK

Esta herramienta es muy útil para implementar la cultura en los usuarios de generar contraseñas óptimas, pues recordemos y tengamos presentes que los datos son un valor muy importante de una empresa.

Realiza una inspección para detectar passwords débiles y vulnerables Comprueba la complejidad de las contraseñas.

NORMAS Y POLITICAS DE SEGURIDAD INFORMÁTICA

Pongo a consideración ante de aplicar normas de seguridad como gestor de seguridad planeo 4 posibles eventos que en verdad son de suma importancia para desestabilizar el correcto funcionamiento de una empresa, cabe señalar que muchas de las empresas existentes en nuestro territorio no poseen grandes mecanismos de seguridad para neutralizar ataques debido a que no poseen grandes competidores en el mercado, otra razón la disminución de costo es por ello que se aplican protocolos de seguridad estándar , es importante señalar que muchas empresas poseen la convicción de que solo con la actualización del sistema la utilización de un buen antivirus les brinda la suficiente seguridad para proteger su información, esto con lleva a estructura de red vulnerables , por tal razón mencionada he querido acentuar estos eventos que relaciono para no en la parte física de la estructura ya que estas son más fácil de mitigar el impacto, sino en posibles ataque que son más elocuentes en nuestra red, como son:

Ataques al protocolo SSL. Como lo he venido recalcado anteriormente la seguridad en redes se ha convertido de una competencia eventual de eventos y cambio e innovación por la complejidad de ataques surgidos a diario esto se deben a que cada día se desarrollen nuevas técnicas de criptoanálisis, haciendo que algunos protocolos no sean tan seguros como se esperaba. Esto, sumado al hecho de que la capacidad de computación de los atacantes va en aumento conforme a la ley de Moore, hace que los protocolos necesiten ser revisados y que las antiguas versiones de SSL sean inseguras, hago mención a este evento por que los protocolos SSL es vital en el comercio electrónico entre clientes (usuarios) y proveedores de productos. Es común su uso en transacciones cuando compramos un libro por Internet o la banca online para complementar un poco sobre este protocolo pongo en consideración un evento relacionado con este evento como ejemplo. Los fallos de programación juegan malas pasadas muchas veces. Uno de los ejemplos más famosos de ataque a SSL fue la vulnerabilidad anunciada en Mayo de 2008. El investigador argentino Luciano Bello descubrió que se habían implementado incorrectamente funciones aleatorias que se utilizaban en OpenSSL/Debian. Esto producía material “aleatorio” predecible que facilitaba invertir los procesos criptográficos, y como consecuencia de ello certificados X.509, claves SSH e incluso material cifrado se vieron expuestos.

Otro ataque famoso recopilado de internet pero para ejemplarizar lo traigo a consideración como material de consulta, fue el descubierto por el investigador Moxie Marlinspike. Al crear un certificado SSL y enviarlo a una Autoridad Certificadora para que lo firme, el campo al que se le suele prestar más atención es el CN (common name) que especifica el nombre del servidor, como puede ser www.ejemplo.org. Moxie Marlinspike descubrió que los estándares decertificado X.509 y SSL definen la cadena CN como una cadena PASCAL (se declara la longitud de la cadena en la posición 0 y se pone la cadena en el resto de posiciones). Curiosamente la mayoría de software de procesamiento de certificados está escrito en C. Dicho software suele manejar la cadena como una cadena C, poniendo un NULL (\0) al final de la cadena para indicar dónde termina. El problema llega cuando alguien obtiene un certificado de la forma www.bancolegitimo.com\0www.atacante.org. Cuando se procesa por un navegador, sólo se leerá la primera parte, www.bancolegitimo.com, permitiendo falsificar

fácilmente al banco. La solución más fácil a este problema es que las entidades certificadoras rechacen todos los certificados que contuvieran el carácter NULL , tomando como ejemplo estos ataque nos permite ver que tan vulnerable es nuestra información ya que los atacante cada día se crean estrategias para penetrar en la redes y sustraer información de la víctima.

A continuación relaciono otro ataque de su me importancia de conocimiento vital para preservar nuestra información sea segura es el relacionado ataque al protocolo OCSP El protocolo OCSP es un protocolo de consulta online para saber si un determinado certificado digital ha sido revocado o no. Para ello, el cliente envía la petición a la dirección de la CRL (Certificate Revocation List), que viene indicada en el propio certificado digital. Si un atacante está haciendo un ataque de hombre en el medio para utilizar uno de estos certificados digitales, entonces también puede interceptar las peticiones OCSP y utilizarlas en su provecho. En un funcionamiento normal, un servidor mediante este protocolo podría enviar una respuesta Try Later indicando al cliente que ahora no puede atender una petición. El atacante podría simular esta contestación, que tiene asignado el código 3, para indicar al cliente que ahora no puede atender su petición. Ante esta situación muchos clientes Web aceptarán el certificado digital al no poder corroborar su validez, lo que claramente es un fallo. Como gestor de seguridad me preguntaran porque hago énfasis este protocolo y en la no en la estructura física del sistema, es importante a clara que en su gran mayoría las grandes empresas realizan sus eventos y movimientos de bienes y servicios atraes de Internet poniendo cada día mas en riesgo la información y la seguridad de ellas mismas. Para acceder a

internet muchas empresas posen diferentes sistemas de conexión como las redes Wi‐Fi, basadas en las tecnologías 802.11, ya que son utilizadas por millones de personas en todo el mundo a diario dado la facilidad de conexión, flexibilidad y movilidad que ofrecen. Es importante determinar los tipos de ataques como son: Los ataques de negación de servicio (DoS, Denial of Service) son los más difícilmente evitables por cómo funcionan las tecnologías inalámbricas, ya que alguien puede generar suficiente

“ruido” en la frecuencia empleada por la red Wi‐Fi y hacer imposible ningún tipo de comunicación inalámbrica, afectando a la disponibilidad de la red. Este ataque es

especialmente relevante en entornos críticos, como redes Wi‐Fi de monitorización en hospitales o infraestructuras críticas. Por otro lado, es ligero para un atacante interceptar

las comunicaciones de la red Wi‐Fi que viajan por el aire, y tener así acceso a los datos intercambiados si estos no están cifrados. Este ataque es indetectable y afecta a la confidencialidad de las comunicaciones .Los dos últimos tipos de ataque son la inyección de tráfico y el acceso a la red. Un atacante sin acceso a la red podría inyectar tráfico y modificar su comportamiento.

A continuación se presentan los procedimientos de seguridad más adecuados a implementar, según ciertos criterios como son:

SEGURIDAD ORGANIZACIONAL

Normas y Políticas

1. Los recursos y servicios de la red informática de la empresa Perseo - segurity, son de uso exclusivo para gestiones administrativas y operativas por parte de los empleados.

2. La empresa hace uso de un gestor de seguridad informática, encargado del seguimiento del cumplimiento de la normativa respectiva.

3. El administrador de red es el encargado de mantener en buen estado los servidores de la red de la empresa.

4. Los empleados tendrán acceso a internet, en tanto se cumplan requisitos mínimos de seguridad para el acceso a este.

Capacitación de empleados

1. Se realizara continuas capacitaciones a los empleados sobre temas relacionados con la seguridad de la información, así como TIC y NTIC, según al área (operativa, administrativa y técnica) y dependiendo de las actividades a desarrollar.

Anomalías

1. Creación de respaldos diarios de la información digital básica. Para la información importante, el respaldo será semanal y para posibles fallas, se realizará un tercer respaldo mensual y uso será en última instancia.

2. Mínimos tiempos de espera, por parte del personal de mantenimiento para solicitudes de asistencia informática por parte de los empleados.

3. Documentación de toda clase de situaciones anómalas y contrarias a lo contemplado en el manual de seguridad.

4. Revisión posterior a la situación y lograr una solución a esta en un tiempo mínimo.

SEGURIDAD LÓGICA

Accesos

1. El gestor de la seguridad, será el encargado de proporcionar la documentación necesaria para el uso correcto de los sistemas y recursos que se van a manejar en la plataforma.

2. Creación de una plataforma web donde, todos los empleados ingresen su información principal a tener en cuenta en la empresa. Estos datos podrán ser modificados si se requiere.

3. La información principal a consignar de los empleados, serán sus datos básicos (Nombre, Sexo, Profesión) y el cargo que desarrolla en la empresa.

4. El ingreso al sitio web de la empresa, será mediante un login que solicite nombre de usuario y contraseña.

5. Para empleados que dejen la empresa por algún motivo, se realizará la respectiva eliminación de su información en la plataforma.

6. Las peticiones de asistencia de recursos o información de servicios informáticos, de los empleados de determinado departamento se realizarán siguiendo un respectivo protocolo así: Llenar la solicitud de asistencia dirigido al gestor de seguridad informática. Justificación de la petición

El tiempo de respuesta por parte del gestor debe ser el mínimo posible.

Administración del acceso

1. Solo existe acceso al sistema interno a toda aquella persona que sea empleado de la empresa Perseo - segurity

2. Se realizará la asignación de una cuenta de acceso al sistema a cada empleado, de acuerdo al departamento donde se desempeñe. Este acceso posibilita ciertos permisos según las tablas 1, 2, 3, 4.

3. Los empleados de los departamento de personal y administrativo, sin incluir a la gerencia, tendrán acceso únicamente a servicios de internet y recursos compartidos entre las redes.

4. Se hace la consideración de los usuarios externos, a las personas u organizaciones que busquen la prestación de los servicios de investigación tecnológica llevados a cabo por la empresa. Para este tipo de entidades también existe un acceso a los servicios de la red. Sin embargo, este acceso es restrictivo y mediante un acuerdo de confidencialidad.

5. Se manejará para los nombres de usuario, una longitud mínima de 6 caracteres alfanuméricos y una máxima de 10 caracteres, todo en minúsculas.

6. Se manejará para las contraseñas, una longitud mínima de 10 caracteres alfanuméricos y una máxima de 16 caracteres, todo en minúsculas.

Responsabilidades de Usuario

1. Es el único responsable de mantener a salvo su nombre de usuario y contraseña.2. Sera responsable también del uso que haga de su cuenta personal de acceso a los

recursos, sistemas y servicios de la red.3. El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a

su cargo, tengan acceso a la información almacenada en el.4. Cualquier usuario tiene el deber de reportar al personal de mantenimiento,

administrador de red o gestor de seguridad, sobre cualquier falla de seguridad encontrada en el sistema.

Uso de correo electrónico

1. Se debe hacer uso de este acatando las disposiciones de seguridad diseñadas de la empresa. Evitando definitivamente software malicioso dentro de la red (email bombing, spamming, denial of service, entre otros).

2. El uso indebido del correo electrónico, será motivo de suspensión temporal o definitiva de la cuenta de correo.

3. El empleado debe respetar la ley sobre los derechos de autor, no debe por ningún motivo utilizar este medio para distribuir software o licencias de software ilegal.

Seguridad de Accesos para clientes

1. El acceso a clientes es concedido mediante el cumplimiento de requisitos de seguridad establecidos en el contrato legal, el cual debe estar firmado por las entidades involucradas.

2. Los usuarios externos, deben utilizar exclusivamente, el servicio que fue asignado.

Control de Acceso

1. El acceso a la red interna, se permitirá siempre y cuando se cumpla con los requisitos de seguridad necesarios, mediante un mecanismo de autenticación en plataforma virtual.

2. Se debe procedes a eliminar cualquier acceso a la red sin autenticación previa.3. El departamento de mantenimiento informático, deberá emplear dispositivos de

red para el bloqueo, enrutamiento, o filtrado de tráfico para evitar el acceso no autorizado hacia la red interna.

4. Los accesos a la red interna o local desde una red externa de la institución o extranet, se harán mediante un mecanismo de autenticación seguro.

5. Al término de una sesión de trabajo en los equipos computacionales, los empleados operadores del equipo deben evitar dejar los equipos encendidos. Para evitar proporcionar la utilización de la estación de trabajo por personal ajeno.

Servidores

1. Solo los administradores de red, tienen permitido el acceso a la configuración del sistema operativo para los servidores.

2. Los servicios instalados en los servidores serán ejecutados con enorme seguridad por parte de los administradores de red.

Control de acceso a las aplicaciones

1. Definición y estructuración del nivel de permisos sobre las aplicaciones, de acuerdo al nivel de ejecución de las aplicaciones, haciendo especial énfasis en los derechos de escritura, lectura, modificación, ejecución o borrado de la información.

2. Se llevará un registro mediante las actividades de los usuarios en cuanto a accesos, errores de conexión, horas de conexión, intentos fallidos, terminal desde donde conecta, de manera que proporcionen información relevante y revisable posteriormente.

Monitores del acceso y uso de sistema

1. Se registrará y archivará toda actividad, procedente del uso de las aplicaciones, sistemas de información y uso de la red.

2. Los archivos almacenarán nombres de usuarios, nivel de privilegios, IP de terminal, fecha y hora de acceso o utilización, actividad desarrollada, aplicación implicada en el proceso, intentos de conexión fallidos o acertados, archivos a los que se tuvo acceso, entre otros.

Gestión de operaciones y comunicaciones

1. El personal de mantenimiento y administrador de red son los responsables por mantener en óptimo funcionamiento los servicios informáticos, además, junto con la coordinación de esfuerzos con el gestor de seguridad, fomentar una cultura de administración segura y servicios óptimos.

2. El personal responsable del mantenimiento, llevará archivos de registro de fallas de seguridad del sistema de forma frecuente y en especial después de ocurrida una falla.

3. La unidad de mantenimiento, los administradores de red y el gestor de seguridad, efectuarán todo el proceso propio de la planificación, desarrollo, adquisición, comparación y adaptación del software necesario.

4. La aceptación del software se hará efectiva por la gerencia de la organización, previo análisis y pruebas efectuadas por el personal de informática.

5. El software diseñado por programadores internos, deberá ser analizado y aprobado, por el gestor de seguridad, antes de su implementación.

Protección contra software malicioso

1. Se utilizará software únicamente de fuentes confiables.2. Para el caso de los servidores, al igual que los equipos computacionales, tendrán

instalado y configurado correctamente software antivirus actualizable y activada la protección en tiempo real.

3. Verificación del volumen de tráfico de correos, con el fin de verificar si el servidor está siendo objeto de un spam.

4. Monitoreo sobre las conexiones activas, para evitar que en el caso de que un empleado haya dejado su conexión activa durante cierto tiempo, esta conexión se desactive automáticamente.

5. La modificación de recursos en el servidor, solo será posible por parte del administrador de la red, quien además será el encargado de generar copias de seguridad de los documentos cargados en la página.

6. Limpieza de programas fuentes potenciales de virus, chequeo sobre la habilitación y seguridad de los puertos.

Mantenimiento

1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de mantenimiento informática.

2. El cambio de archivos de sistema, no será permitido, sin una justificación aceptable y verificable por el gestor de seguridad.

3. Realizar un mantenimiento planificado de todos los equipos computacionales y de comunicaciones.

4. Procurar realizar un mantenimiento preventivo a todos los equipos, en especial a los que conllevan un riesgo mayor (Servidores, Ruteadores, entre otros).

5. En caso del daño de algún equipo, realizar su correspondiente mantenimiento correctivo.

6. Manejo de fichas técnicas, correspondientes a todo tipo de mantenimiento realizado en la empresa.

7. Se llevará un registro global del mantenimiento efectuado sobre hardware y software de la empresa.

SEGURIDAD FÍSICA

Seguridad de los equipos

1. El cableado de red, se instalará físicamente separado de cualquier otro tipo de cables, para evitar interferencias.

2. Los servidores, con problemas de hardware, deberán ser reparados localmente por el departamento de soporte técnico.

3. Los equipos computacionales y de comunicaciones (redes), deberán ubicarse en áreas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el gestor de seguridad, soporte técnico y mantenimiento y administrador de redes, quienes deberán poseer su debida identificación.

Controles generales

1. Las estaciones o terminales de trabajo, con procesamientos críticos no deben de contar con medios de almacenamientos extraíbles, ya que facilitar el robo o manipulación de la información por terceros o personal ajeno a la empresa.

2. Toda área de trabajo debe poseer entre sus inventarios, herramientas auxiliares (extintores, alarmas contra incendios, lámparas de emergencia), necesarias para salvaguardar los recursos tecnológicos y la información.

3. La sala de servidores, deberá estar separada de las oficinas administrativas, mediante una división en la unidad de informática, recubierta de material aislante o protegido contra el fuego.

4. El suministro de energía eléctrica debe hacerse a través de un circuito exclusivo para los equipos de cómputo, o en su defecto el circuito que se utilice no debe tener conectados equipos que demanden una enorme potencia.

5. Las instalaciones de las áreas de trabajo deben contar con una adecuada instalación eléctrica, y proveer del suministro de energía mediante una estación de alimentación ininterrumpida o UPS para poder proteger la información en caso de desconexión eléctrica.