Plan de Seguridad Informatica

G U Í A B Á S I C A

NORMAS Y PROCEDIMIENTOSDE SEGURIDAD

José Luis

La seguridad en la información,el activo principal de cualquier empresa. Lo que dejas atrás, te termina alcanzando. José Luis

Contenido

Introducción¿Para quién es este libro?Plan de seguridad nformát ca - (PSI)Elementos del Plan de Seguridad InformáticaAlgunos parámetros para establecer el Plan de seguridadNiveles de riesgo de los recursosGestión y Administración de cuentas de usuaro y contraseñasActivación del salva-panta las para la seguridad visual de la informaciónMantenimento y actualización de los productos ant malware, antispyware y antispamInstalación y actualización de los Sistemas Operativos

Gestión y configuracón de la seguridad en navegadores WebClientes de correo electrón coCortafuegos. FirewallsElminación de servicios innecesarios en el sistemaEventos o incidentes de seguridadFirmas y cert ficados d gitalesProtección de datosLa protección de datos: Activo principal de la empresaClasficación y Comunicación de información: Confidencial y ReservadaContratos con tercerosComunicacón de información no clasificada con terceros subcontratadosServcos públicos de informaciónRespuesta ante incidencias detectadas por los usuarios del sistemaUso de dispositivos móvilesReports Puede descargar los documentos referenciados de este libro en formato ".Doc"desde el enlace :Download:http://docslibro.files.wordpress.com/2014/09/docspsi.doc(Recuerde pásele un antivirus a todo lo que descargue de Internet por su seguridadantes de abrirlo)

Introducción El robo de información es algo cada vez más frecuente. Los sistemas informáticosen el seno de la PYME están condicionados principalmente por la capacidad

económica de las mismas y por la cultura tecnológica que ex ista en quienes lagestionan o dirigen. No debemos olvidar que la gran mayoría de las PYMES sonde carácter familiar, dónde los propios gestores dirigen o trabajan directamente enla producción principal de la misma. Por otro lado, las grandes corporacionessuelen tener implantados sistemas de calidad ISO o similar que determinan sufuncionamiento interno. La implantación de sistemas informáticos en la empresa,la revolución tecnológica continua, la confianza electrónica, la falta deorganización en los datos a tratar, la ley de Protección de Datos, etc.-, establecenla necesidad de elaborar un plan de normas, uso y reacciones ante cualquierincidencia que pueda poner en peligro la continuidad o viabilidad del negocio acorto o medio plazo. Por consiguiente, la información se debe considerar como unactivo de primer orden en la empresa, en la que sus gestores, con independenciade la legislación vigente para tal efecto, deberán salvaguardarla ante posiblesrobos, pérdidas o deterioros de la misma. Los ataque informáticos están a la ordendel día por lo que nadie, absolutamente nadie, puede decir que está ex ento desufrir alguna incidencia. ¿Para quién es este libro? Este libro está pensando para empresas del sector de la informática, freelances dela seguridad de la información, técnicos de redes, empresarios, estudiantes,directivos o personas interesadas en el campo de la seguridad informática. Su finalidad no es más que presentar una guía de orientación para el desarrollo deun Plan de Seguridad Informática PSI como complemento técnico al manual LOPDque toda empresa debería poseer, que permita, generalmente a una PYME en sutotalidad, o una gran corporación a nivel departamental, implementar unas normaso políticas de uso y comportamiento reguladas ante el manejo de los activosdigitales ex istentes, y por consiguiente, mantener los mismos en unos niveles deseguridad o fiabilidad aceptables, así mismo, no pretende en ningún momento

sustituir al manual LOPD legalmente ex igido, sino complementarlo y dotarlo de lacapacidad técnica y administrativa necesaria, gestionado todo ello principalmentea través de un administrador del sistema o responsable de seguridad (ASRS)destinado para tal fin. Este libro se presenta como una guía práctica, no es definitiva, y deberáamoldarse a las circunstancias propias de cada empresa en concordancia a sumanual LOPD interno, así mismo, no ex ime a los responsables de la empresa desus obligaciones en materia de seguridad hacia este último.

Plan de seguridad informática El PSI establece el canal formal de actuación del personal, en relación directa conlos recursos y servicios informáticos importantes de la empresa. No se trata deuna ex presión legal que involucre sanciones a conductas de los usuarios, esmás bien una descripción de los que debemos proteger, como realizarlo y el porqué de todo ello. Por consiguiente, será un complemento técnico al manual LOPDque toda empresa debería poseer. Elementos del Plan de Seguridad Informática El PSI orienta las decisiones que se toman en relación con la seguridad. Por tanto,requiere de una disposición por parte de cada uno de los miembros que conformanla empresa para lograr una visión conjunta de lo que realmente se consideraimportante y sensible. Ofrece por tanto, ex plicaciones comprensibles acerca de por qué deben tomarseciertas decisiones de seguridad y transmitir por qué son importantes estas y otrosrecursos o servicios del sistema. De igual forma, establece las ex pectativas de laempresa en relación con la seguridad y lo que ella puede esperar de las acciones

que la materializan.

La seguridad no es un producto: es un proceso Como documento dinámico, sigue un proceso de actualización periódica sujeto alos cambios organizacionales relevantes: crecimiento de la plantilla de personal,cambio en la infraestructura informática, rotación de personal, desarrollo de nuevosservicios, cambio o diversificación de negocios, entre otras. Por consiguiente sedebe actualizar el Plan de Seguridad Informática como mínimo una vez al año. Laempresa contratada para el seguimiento y control de la seguridad será laencargada de realizar dicho proceso, así mismo emitirá boletines informativos deactualizaciones que serán remitidos a la empresa, la cuál a través de suadministrador del sistema o responsable de seguridad, que en lo sucesivodenominaremos ASRS, deberá incluirlas en las secciones correspondientes yaplicarlas. Algunos parámetros para establecer el Plan de seguridad En el PSI se implementan algunos aspectos generales que se detallan acontinuación.

Análisis del riesgo informático, Pentesting a través del cuál se valora susactivos.

Involucrar las áreas propietarias de los recursos o servicios.

Determinación de autoridades para tomar decisiones para salvaguardar los

activos críticos de la empresa. Desarrollo de un proceso de monitoreo periódico de las normas que permita unaactualización oportuna de las mismas.

Niveles de trabajo Confidencialidad Integridad Disponibilidad de los recursos y de la información Auditoria Confidencialidad Consiste en proteger la información contra la lectura no autorizada ex plícitamente.Incluye no sólo la protección de la información en su totalidad, sino también laspiezas individuales que pueden ser utilizadas para inferir otros elementos deinformación confidencial. El acceso a los recursos solo será para el personaldebidamente autorizado para ello. Integridad Es necesario proteger la información contra la modificación sin el permiso delusuario autorizado. La información a ser protegida incluye no sólo la que estáalmacenada directamente en los sistemas de datos, sino que también se debenconsiderar elementos menos obvios como respaldos, documentación, registros decontabilidad del sistema, tránsito en una red, etc. Esto comprende cualquier tipo

de modificaciones: Causadas por errores de hardware y/o software.Causadas de forma intencional.Causadas de forma accidental. Disponibilidad de los recursos y de la información De nada sirve la información si se encuentra intacta en el sistema pero losusuarios autorizados no pueden acceder a ella. Por tanto, se protegen losservicios de manera que no se degraden o dejen de estar disponibles a losusuarios autorizados. Se prepara también el sistema para recuperarse rápidamenteen caso de algún problema. Auditoria Se debe contar con los mecanismos necesarios para poder determinar qué es loque sucede en el sistema, “ monitorear, no espiar“ , qué es lo que hace cada unode los usuarios y los tiempos y fechas de dichas acciones. Por lo tanto, esposible sentar de forma concreta y clara los derechos y límites de usuarios yadministradores. Sin embargo, es necesario asegurarnos de que los usuariosconozcan sus derechos y obligaciones (es decir, las normas), de tal forma que nose sientan agredidos por los procedimientos implantados. Niveles de riesgo de los recursos Se determinará qué recursos importantes de la red vale la pena proteger y cuales son más importantes que otros. Se identificarán las fuentes de amenaza haciadichos recursos. Se diferencian claramente tres tipos de recursos:

FísicosLógicosServicios “ Los recursos físicos son, por ejemplo, las impresoras, los servidores de archivos,los routers, etc. Los recursos lógicos son, por ejemplo, las bases de datos de lascuales sacamos la información que permite trabajar en la empresa. Los serviciosson, por ejemplo, el servicio de correo electrónico, de página WEB, etc.“ El análisis general de riesgos implica determinar lo siguiente: Qué se necesita proteger.De quién protegerlo.Cómo protegerlo. Los riesgos los clasificamos por el nivel de importancia del recurso a proteger ypor la gravedad de la pérdida.

No se debe llegar a una situación donde se gasta más para proteger aquello que

es menos valioso“ Los recursos que consideramos al estimar las amenazas a la seguridad son:

Hardware: Procesadores, tarjetas, teclados, terminales, estaciones de trabajo,computadoras personales, impresoras, unidades de disco, líneas decomunicación, cableado de la red, servidores de terminal, routers o bridges.

Software: Programas fuente, programas de diagnóstico, sistemas operativos,programas de comunicaciones.

Datos: Durante la ejecución, almacenados en línea, archivados fuera de línea,back-up, bases de datos.

Gente: Usuarios, personas para operar los sistemas.Documentación: Sobre programas, hardware, procedimientos administrativos.

Accesorios: papel, formularios, información grabada. Protección y configuración del sistema. Datos PSI.1.1 - Gestión y Administración de cuentas de usuario ycontraseñas Altas y Modificaciones de usuario Cuando un usuario nuevo o ex istente de la empresa requiere una cuenta deacceso nueva o modificación de la ex istente para operar en el sistema, el ASRScumplimentará el formulario PSI11-A:

Nombre y Apellido.D.N.I.Puesto de trabajo.Jefe inmediato superior.Trabajos a realizar dentro del sistema.El consentimiento por parte del usuario de que sus actividades pueden serauditadas en cualquier momento y de que conoce las normas de “ buen usode los recursos” . Datos generales:

Fecha de caducidad.Fecha de ex piración.Permisos de acceso.Restricciones horarias para el uso de algunos recursos y/o para el ingresoal sistema, otros...

Normas básicas para la creación, modificación y gestión del password de:

Longitud: No debe ser menor de ocho caracteres, hay que tener en cuentaque cuanto más larga sea la contraseña mas tardaría un programa de fuerzabruta en encontrarla. Complejidad: La mayoría de los programas de rotura de contraseñas buscanregularidades en las contraseñas, es importante que esta sea lo menos“ regular” posible, ex presiones del tipo “ qazwsx ” , “ 1234” o “ qwerty” , sonmuy típicas y ex isten infinidad de programas capaces de detectarlo,reduciendo enormemente la dificultad de encontrar la contraseña correcta. Variedad: La inclusión de caracteres especiales como |, @, #, ¬-, números yalternar mayúsculas y minúsculas, aumenta la dificultad de un atacanteantes de conseguirlo. No identificación personal: No utilizar palabras o fechas que nos identifiquende ninguna manera, se deben ex cluidas fechas de nacimiento, boda,nombres de mascotas y nombre personal. No palabras de diccionario: Muchos de los ataques utilizan palabras deldiccionario que debido a la alta velocidad que pueden realizar ataques defuerza bruta (ir probando una por una) pueden acabar consiguiendo lacontraseña en un tiempo relativamente corto. No repetir en diferentes sitios: Evitamos que la revelación de una contraseñapermita entrar a más de un sitio. Cambiar periódicamente: Dependiendo de la importancia del servicio es

importante cambiarlas cada cierto tiempo asociado a la fuga de información,en ningún caso esta debe ser superior a un año. No enviar ni por email, ni SMS: Las contraseñas nunca enviarlas a través demedios inseguros. No usar contraseñas corporativas en ordenadores donde se desconozca elnivel de seguridad. Cambiar las contraseñas por defecto del hardware y software: Lascontraseñas por defecto están publicadas y son fácilmente accesibles por loque mantener esta contraseña hace que cualquier recurso del sistema seaaltamente inseguro. No apuntar las contraseñas, si se tiene que memorizar un alto número deellas, es mejor crear una base de datos cifrada para tal fin.

“ Los usuarios del sistema mediante charlas periódicas de seguridad deben seravisados de estas normas básicas “

Bajas de usuario Cuando un usuario cesa permanentemente o cuando deja de trabajar por undeterminado tiempo (ex cedencia, vacaciones, bajas médicas, sanciones graves,etc.) se cumplimentará el formulario PSI11-B con los siguientes datos:

Nombre y Apellido.D.N.I.Puesto de trabajo.Trabajos que realizaba dentro del sistema.Recursos a los que tenía acceso.Tipo de baja : Permanente o Temporal.

Fecha de Alta en el sistema.Fecha de Baja y periodo si es temporal, otros..

Si la baja efectuada es permanente, por parte del ASRS se guardarán los datos yeliminaran los archivos y directorios del usuario, mientras que si la misma estemporal, se conservara todo. PSI.1.2 - Activación del salva-pantallas para la seguridadvisual de la información Se debe activar la protección por contraseña para el salva-pantallas en losterminales de trabajo para periodos de inactividad, para garantizar el no acceso ala información sensible, siendo esta de diferente naturaleza tal como;

Documentos ofimáticos de trabajo abiertos.Bases de datos abiertas.Carpetas compartidas con otros usuarios.Información confidencial y/o reservada en general.

El tiempo máx imo para la activación del salva-pantallas no será nunca superior a3 minutos de inactividad. El ASRS debe realizar inspecciones ordinariasperiódicas para garantizar el correcto funcionamiento de este apartado. PSI.1.3 - Mantenimiento y actualización de los productosantimalware, antispyware y antispam En la actualidad los sistemas informáticos están ex puestos a todo tipo desoftware malicioso o de captación de información para terceros. En esta políticadefinimos las principales amenazas que se focalizan en la actualidad, tal como;

El software malintencionado como pueden ser los virus, gusanos, troyanos,spywares, backdoors, etc.-, los cuales suelen denominarse malware. Cualquier dispositivo físico tecnológico o software dedicado que puede usarun hacker para recopilar información, tanto de los equipos del sistema o de lared en general. Dicho dispositivo o software puede determinar hábitos denavegación, contraseñas, datos confidenciales bancarios o mensajes decorreo. Los métodos de infección pueden ser muy variados: una infecciónasociado a la apertura de un archivo adjunto de correo, haciendo clic sobreuna ventana de publicidad, insertado en otros programas que instalemos dedudosa procedencia ( la instalación de un programa ajeno o dependiente dela empresa será instalado única y solamente por el ASRS , en todos loscasos que se presente esta situación ), metadatos, entre otros. Estos tiposde dispositivos o software suelen denominarse Spyware. Todo tipo de correo electrónico no deseado recibido procedente de un enviósecuenciado, automatizado y masivo por parte de un emisor desconocido,realizado a través de servidores dedicados especializados para tal fin,definido como Spam.

El ASRS es el encargado de la instalación, mantenimiento y actualización delsoftware necesario en los terminales para minorizar al máx imo el riesgo delsistema independientemente del software o medios físicos implementados en lared o en el servidor o servidores principales ex istentes Así mismo cada Terminal de la empresa será asociado a una ficha única PSI13-A,en la cuál se reflejaran todas las instalaciones, mantenimientos y actualizacionesen el periodo de vida del mismo A continuación definiremos algunas de las principales herramientas que tiene el

ASRS a su disposición para el empleo en los terminales que tiene a su cargo AES (Antiespía) Herramientas para la eliminación de programas espía encontrados. Permiteneliminar el contenido de la caché, cookies, historial, etc.-, de los navegadores.Suelen detener procesos de malware instalado, restaurar ciertas entradas delregistro y reiniciar procesos. Herramienta básica para un sistema.

Herramientas :eTrust PestPatrol, http://www.pestpatrol.com/Spybot, http://www safer-networking.org/es/home/index .html

AURL (Análisis URL) Herramientas que analizan en tiempo real los resultados de la búsqueda realizadapor los navegadores Google, Bing, etc , para determinar si las páginas que semuestran son o no seguras y pueden o no contener algún tipo de código malicioso.

Herramientas :Geotrust, http://www.geotrust.com/?dmn=trustwatch.comLinkscanner, http://free.avg.com/ww-es/linkscannerURL Void, http://www.urlvoid.com/

ANM (Anonimizador) Redes distribuidas de repetidores para tunelizar conex iones TCP. Cada repetidorúnicamente tiene información del repetidor que le proporciona los datos y al quetiene que enviar los datos, de esta forma no se puede deducir la ruta completa quetoman los paquetes.

Se suelen cambiar periódicamente los circuitos tomados por los paquetes para asíevitar correlacionar las conex iones anteriores, empleando pares de clavesdiferentes por cada tramo a lo largo de la red. Estas herramientas aseguran almáx imo nuestras comunicaciones TCP preservando dos principios básicos en laseguridad de la información, la confidencialidad y la integridad.

Herramientas :Google Sharing, https://addons.mozilla.org/en-US/firefox /addon/googlesharing/Tor, www torproject.org/

AF (Analisis Ficheros) Herramientas que limpian los archivos del software malicioso en general. Suelenanalizar las páginas web antes de cargarlas para comprobar su seguridad asícomo protecciones para las redes sociales.

Herramientas :Dr.Web, http://online.us.drweb.com/QuickScan, http://www bitdefender.es/scanner/online/free html

APR (Análisis de Protocolos) Herramientas para monitorizar en tiempo real la interfaz de red y así obtener todotipo de estadísticas de lo que tenemos conectado a nuestro Terminal. Estasestadísticas proporcionan información sobre tráfico TCP/UDP, número de paquetesrecibidos/enviados, contador de bytes, errores P, por lo que se pueden realizartareas de resolución de problemas como supervisar servicios caídos, detectarataques y anomalías de red, etc.

Personal-Firewall/ZoneAlarm, http://www zonealarm.com/security/es/zonealarm-pc-security-free-firewall htm?lid=es

DNIe(Dni eléctrónico) Software necesario para la implantación del DNI en terminales.

Herramientas :ZonaTic, https://zonatic usatudni.es/aplicaciones/asistente-dnie/descargaKsi, http://www ksitdigital.com/productos/descargas

FIR (Firma digital) Herramientas que permiten firmar y validar todo tipo de documentos. Es posiblerealizar varios tipos de firmas, así mismo, es posible utilizar cualquier tipo decertificado electrónico específico incluido el DNI electrónico.

Herramientas :eCoFirma,http://oficinavirtual mityc.es/javawebstart/soc_info/ecofirma/index hGpg4win, http://www.gpg4win.org/Sinadura, http://www.sinadura net/inicioXolido,http://www x olido.com/lang/firmaelectronicayselladodetiempo/index shidboletin=2298

LM (Limpiador Malware) Herramientas locales o en línea destinadas a la eliminación de malware engeneral. Escanean el sistema en busca de software malicioso controlando losauto-ejecutables del sistema, monitorizando los proveedores de servicios por

Todos los Sistemas Operativos requieren de actualizaciones periódicas asociadoa que el hardware de las máquinas evoluciona continuamente siendo de primeranecesidad el desarrollo de software capaz de gestionarlo, vulnerabilidades o fallosencontrados en los programas y nuevas funcionalidades en los mismos. El la actualidad ex iste una inmensa variedad de Sistemas Operativos disponiblespara la infraestructura de una empresa , tanto a nivel individual por terminales o anivel de servidores , ofreciendo todos ellos una gran cantidad de opciones orecursos disponibles. Básicamente nos encontramos con tres plataformas deprimer uso y en algunos casos análogas entre ellas , los sistemas Windows (Xp ,Vista , 7 , .. ) , los sistemas Unix (Mac OSX Leopard , Mac OSX Snow Leopard ,FreeBSD , Solaris , .. ) , y los sistemas Linux (Ubuntu , Mint , Red Hat , Debian ,Fedora , Mandriva , .. ) . Centraremos nuestra atención en la gestión y automatización de lasactualizaciones de los Sistemas Operativos comerciales más usados en laactualidad, y principalmente en aquellos que forman parte de la empresa.

1.- Sistemas Operativos Windows en general2.- Sistema Operativos Linux ( Suse , Debian , Ubuntu)3.- Sistemas Operativos Unix ( Mac OS X )

Actualizaciones y soporte para S.O Windows, Linux y Mac Sistema Operativo: WindowsCentro de descargas: http://www.microsoft.com/downloads/es-es/default aspxSoporte: http://support.microsoft.com/?ln=es-es Actualizaciones:

1.- http://windowsupdate.microsoft.com/

2.- Para Windows XP :

Vaya a 'Inicio->Panel de Control' Realizar una de las siguientes acciones dependiendo de si tiene activadala opción de Vista clásica' o la opción de 'Vista por categorías': Vista clásica: Pulsar en el icono de 'Actualizaciones automáticas' Vista por categorías: Ir a 'Centro de Seguridad' y pulsar en la opción de'Actualizaciones automáticas'

3.- Para Windows Vista :

Ir a 'Inicio -> Todos los programas' -> 'Windows Update' En el panel izquierdo seleccionar -Cambiar la configuración- e -Instalaractualizaciones automáticamente (recomendado)-, además se debemarcar la casilla de verificación -Permitir que todos los usuarios instalenactualizaciones en este equipo-. Por último Aceptar http://www.microsoft.com/downloads/es-es/details aspx ?familyid=a4dd31d5-f907-4406-9012-a5c3199ea2b3&displaylang=es

4.- * Para Windows 7 :

Ir a 'Inicio -> Todos los programas' -> 'Windows Update' , en el panel de laizquierda seleccionar -Cambiar la configuración-.

En -Actualizaciones importantes-, seleccionar -Instalar actualizacionesautomáticamente (recomendado)-, marcaremos la opción -Permitir quetodos los usuarios instalen actualizaciones en este equipo-. Por últimoAceptar .

Sistema Operativo: Linux SUSECentro de descargas: http://es.opensuse.org/Released_VersionSoporte: http://es.opensuse.org/Documentaci% C3% B3nEnlace de interés: http://en.opensuse.org/YaST Online UpdateActualizaciones:

1.- A través de 'Actualizaciones Automáticas' que encontramos en 'YaST ->Software'. De esta forma sólo actualizaremos paquetes del SistemaOperativo, si tiene instalado otros paquetes, como por ejemplo drivers, no seactualizarán. 2.- Utilizando el software "zen-updater" para buscar de una forma automáticaactualizaciones, no sólo para el S.O., sino también para otros programas opaquetes que tengamos instalados en el Terminal.

Sistema Operativo: Linux DebianCentro de descargas: http://www.debian.org/releases/Soporte: http://www.debian.org/supportActualizaciones :

1.- Accedemos al la ventana del Shell y tecleamos los siguientes comandospara instalar los paquetes más actuales del S.O:

apt-get updateapt-get upgrade

2.- También podemos actualizar la distribución en la que actualmenteestamos trabajando ejecutando los siguientes comandos en el Shell:

apt-get upgradeapt-get dist-upgrade En todos los casos hay que tener en consideración las dependenciasex istentes en los paquetes y sobre todo tratándose de Linux

Sistema Operativo: Linux UbuntuCentro de descargas: http://www.ubuntu-es.org/index php?q=ubuntu/conseguirSoporte: https://wiki ubuntu.com/SpanishDocumentationActualizaciones :

1.- Para actualizar el S.O de forma manual vamos al Gestor deActualizaciones denominado update-manager de la siguiente forma, ' Menú->Sistema->Administración' . 2.- Si queremos realizar autoalizaciones de una forma automática,realizamos lo siguiente:

Menú->Sistema->AdministraciónPulsamos la opción Orígenes del Software (software-properties-gtk)

También podemos hacer esto desde la consola de nuestro Shell ejecutandoel siguiente comando :

gksudo "software-properties-gtk"

Cuando estemos en Origenes del Software , vamos a la pestaña deActualizaciones, y seleccionamos ‘ actualizaciones automáticas ‘ .

Sistema Operativo: Mac OS XCentro de descargas: http://www.apple.com/es/downloads/Soporte: http://www apple.com/es/support/Enlace de interés: http://support.apple.com/kb/HT1338?viewlocale=en_USActualizaciones:

1.- Para actualizar el S.O Mac OS X vamos al menú de Apple y pulsamos enActualización del Software . Dentro, seleccionamos los elementos quequeremos instalar en el Terminal y pulsamos el botón Instalar. Para poderinstalar algo en Apple es necesario autentificarse por contraseña y usuario ,por lo que procederemos a ello. Los S.O de Apple están programados para la búsqueda de actualizacionesautomáticas en sus servidores. Para comprobar que tenemos activada estaopción vamos a , ‘Preferencias->Actualización de Software’

Todas las instalaciones o actualizaciones de software realizadas en losterminales correrán a cargo del ASRS .Se registrarán todos los cambiosindividualmente por Terminal rellenando el formulario PSI14-A, que seadjunta con formato electrónico .

PSI.1.5 - Gestión y configuración de la seguridad ennavegadores Web

Navegadores de Internet Los navegadores de Internet son de las aplicaciones más importantes que ex istenen la actualidad, los cuales pueden formar parte del S.O en uso o pueden serinstalados independientemente, dándose el caso de poder tener instaladosdiferentes navegadores para una segmentación de la información a la que sequiere acceder. Estas aplicaciones nos conectan con Internet, así como ainfinidad de servicios disponibles, lo cuál nos debe llevar a tomar las medidas oprecauciones necesarias para un uso seguro. Este apartado pretende determinar las características más significativas en lo quea la seguridad de estas aplicaciones se refiere, para minorizar en lo máx imo de loposible la ex posición de nuestros terminales a riesgos innecesarios comoposibles infecciones al visitar una página maligna, fugas de datos confidencialeso engaños. Se deben configurar los navegadores con la máx ima seguridad posible, sin que enello se vea afectada la operabilidad y eficacia del Terminal en la navegación porInternet, por lo que se debe mantener una relación equilibrada entre la seguridad yla ex periencia-formación del usuario. En terminales de alta importancia, comopueden ser aquellos en los que se necesite tener acceso a datos bancarios,transferencia de información reservada, documentos confidenciales-reservados,etc.-, es necesario tener la máx ima seguridad disponible.

1.1 - Elementos de seguridad Desde el punto de vista de la seguridad, es importante destacar los elementosdisponibles ex istentes en los navegadores de Internet, distinguiendoprincipalmente los directamente implicados con la gestión de la informaciónconfidencial-reservada y aquellos que protegen al usuario de posibles ataques

ex istentes. Los elementos principales para salvaguardar la información reservada-confidencialo privada desde el punto de vista legal son los que se ex ponen a continuación: Contraseñas Esta característica permite a nuestro navegador el almacenamiento centralizadode multitud de usuarios y sus contraseñas. La configuración de esta característicadebe realizarse correctamente para evitar que un usuario no autorizado puedaacceder a esta información sensible y de vital importancia. Generalmente losnavegadores disponen de una contraseña maestra para gestionar el acceso. Sesiones Esta característica permite a nuestro navegador recuperar páginas ya visitadascon anterioridad. La buena configuración de esta característica también es de vitalimportancia para la integridad de la información. Navegación privada Esta característica nos permite configurar el navegador para que no almacene lainformación generada por la navegación, es decir, ni Cookies ( altamenteempleadas por los hackers ), usuarios y contraseñas, caché, historial, etc.. . Elrequerimiento de privacidad debe ser muy alto. Cookies Los Cookies no son más que archivos que guardan cierta información del usuarioen el Terminal cada vez que visitamos la mayoría de las páginas Web tal como,

accesos o personalizaciones, de tal manera que cada vez que volvamos a algunade ellas estas tienen dicha información disponible. Por consiguiente se debe prestar principal atención, ya que estos pequeñosarchivos pueden proporcionar información de una forma no transparente a tercerosde nuestros hábitos de navegación, nombres de usuarios e información sensible. Historial Todo navegador actual almacena una información secuencial de todas las páginasque se visitan. Esta característica nos permite nos permite eliminar estainformación. Desde el punto de vista de la seguridad no es de vital importancia. Descargas Esta característica es muy similar a la del Historial (almacenamiento de losarchivos descargados de Internet), con la ex cepción de que el riesgo con respectoa la seguridad es más alta. Es aconsejable el borrado de esta información porparte del usuario a la finalización de la sesión con el Terminal de trabajo. Sesiones Esta característica permite a nuestro navegador recuperar páginas ya visitadascon anterioridad. La buena configuración de esta característica también es de vitalimportancia para la integridad de la información. Caché Todo navegador almacena ficheros con páginas Web, imágenes, característicascomunes, etc.-que utiliza para volver a cargar con más rapidez las páginas

nuevamente solicitadas, permitiendo una navegación al usuario más rápida ymenos cansina. El riesgo con respecto a la seguridad es muy alto, estainformación es susceptible de ser ex traída. 1.1-Protección contra ataques Durante una sesión de navegación Web es posible que algunas de estas páginasque se visitan intenten infectar el Terminal de trabajo. Por consiguiente se debeconcienciar a los usuarios para que eviten la visita a páginas Web de dudosaprocedencia, no obstante, el ASRS tiene la posibilidad de filtrar las páginas quesean oportunas desde un punto de vista global, departamental o individual, asícomo el filtrado de formatos o características determinadas desde el servidorcentral de la empresa. Además todo navegador dispone de herramientas queminimizan el riesgo de estos ataques. Elementos emergentes Esta característica permite a nuestro navegador evitar la aparición de ventanas depublicidad (pop-ups), que son susceptibles de infectar el Terminal de trabajo. En la actualidad ex isten navegadores que permiten clasificar diferentes niveles defuncionalidad, permitiendo esta funcionalidad a páginas de confianza. Suplantación de identidad Esta característica nos protege y avisa de la suplantación de identidad, es decir,que la página Web que se está visualizando es realmente la que debería ser, y nouna fraudulenta ex actamente igual, que lo único que pretende es el robo deinformación sensible como por ejemplo el usuario y contraseña de una acceso a labanca electrónica.

Lenguaje Java - JavaScript Java como lenguaje de programación de altas prestaciones y JavaScript comolenguaje interpretado de gran uso en Web , ambos lenguajes de programaciónutilizados como parte del desarrollo de las páginas Web actuales, sonsusceptibles de ser utilizados por terceros para realizar un ataque contra elTerminal de trabajo, sea para el robo de información sensible, infección, etc.-. Losnavegadores disponen de herramientas que nos permiten controlar estos riegos,aunque en algunos casos asumiendo perdida de funcionalidad.

Gestión y configuración de navegadores principales Sistema Operativo: WindowsNavegador: Internet ex plorerConfiguración:

Configuración general para Windows XP, Windows Vista , Windows 7:

Ir al navegador: 'Internet Ex plorer->Herramientas ->Opciones de Internet' La configuración de este navegador pasa principalmente por la gestión delcontenido encontrado en las pestañas o elementos : Seguridad yPrivacidad. Mediante el control deslizante es posible configurar las principalesopciones de seguridad y privacidad, además se tiene la posibilidad deaumentar la misma con las opciones más avanzadas.

Configuraciones más habituales : Seguridad media y Seguridad alta

Nivel de seguridad media

Con esta configuración se obtiene una seguridad bastante aceptable en lanavegación Web más habitual , no siendo apta en ningún caso paratransacciones, compras online o accesos a la banca electrónica.

1.-Ir a 'Herramientas ->Opciones de Internet->Seguridad', deslizar la barradeslizante hasta nivel de seguridad de la zona “ Medio-Alto “ , o pulsar enel botón “ Nivel predeterminado“ , para la configuración predeterminada porWindows. 2.-Ir a 'Herramientas ->Opciones de Internet->Privacidad', deslizar la barradeslizante hasta nivel de seguridad de la zona “ Medio-Alto “ , o pulsar enel botón “ Predeterminada“ , para la configuración predeterminada porWindows. 3.-Ir a 'Herramientas ->Bloqueador de elementos emergentes->Activar elbloqueador de elementos emergentes'. Es posible permitir elementosemergentes personalizados de sitios Web de confianza o específicos, ir a'Herramientas ->Bloqueador de elementos emergentes->Configuración delbloqueador de elementos emergentes ', así como especificar el nivel defiltro deseado. 4.-Ir a 'Herramientas ->Opciones de Internet->Privacidad', deslizar la barradeslizante hasta nivel de seguridad de la zona “ Media “ , o pulsar en elbotón “ Predeterminada“ , para la configuración predeterminada porWindows. 5.-Ir a 'Herramientas->Opciones de Internet->Contenido->Autocompletar

(Configuración)', seleccionar “ Nombres de usuario y contraseñas enformularios” . En esta misma pestaña se activa “ Preguntar si se guardanlas contraseñas” . 6.- Ir a Herramientas->Opciones de Internet->General'. En esta pestaña sepueden realizar diferentes tareas de administración como, administrar elHistorial, Cookies o archivos temporales” .

Nivel de seguridad alta

Con esta configuración se obtiene una característica de seguridad alta parauna navegación en la que los requerimientos de la misma son necesariosproteger, como realizar transacciones, compras online o accesos a la bancaelectrónica. Se considera este nivel un complemento al nivel de seguridadmedio, por lo que es necesario configurar con anterioridad este para alcanzareste último con total garantía.

1.- Ir a Herramientas ->Opciones de Internet->Seguridad', deslizar la barradeslizante hasta nivel de seguridad de la zona “ Alta “ . 2.- Ir a Herramientas ->Opciones de Internet->Privacidad', deslizar la barradeslizante hasta nivel de seguridad de la zona “ Alta “ . 3.- Ir a Herramientas->Opciones de Internet->Contenido->Autocompletar(Configuración)', En esta ventana se puede activar la protección de losdatos introducidos en los formularios, así como el borrado de los mismos. 4.-Ir a 'Herramientas->Opciones de Internet->Seguridad->Nivelpersonalizado', En esta ventana se debe activar el apartadoAutomatización de los subprogramas Java (applets de Java), por lo

anteriormente citado. Sistema Operativo: Windows-Linux -MacNavegador: FirefoxConfiguración:

La seguridad preventiva en este navegador de alta prestaciones se estableceprincipalmente en dos modelos de configuración :

Seguridad mediaSeguridad Alta

El elemento común entre estos dos modelos de configuración es “ Lainformación de seguridad de la página” , que nos determina la autenticidad dela página. Este navegador nos da la posibilidad de configuración múltiples niveles denotificaciones, importantes desde el punto de vista que nos permitencuantificar de una forma más ex acta una posible situación de riesgo.

'Herramientas ->Información de página' 'Herramientas ->Opciones (Preferencias)->Seguridad->Configuración'

Nivel de seguridad media


1.- Ir a ' Firefox ->Opciones (Preferencias)->Contenido', activar el botón ocheckbox de “ Bloquear ventanas emergentes” . Es posible configurar eneste elemento o pestaña que sitios Web queremos que sí puedan abrirventana emergentes, además de otras opciones.

La seguridad preventiva en este navegador de alta prestaciones se estableceprincipalmente en dos modelos de configuración :

Seguridad mediaSeguridad Alta

El elemento común entre estos dos modelos de configuración es “ Lainformación de seguridad de la página” , que nos determina la autenticidad dela página. Este navegador nos da la posibilidad de configuración múltiplesniveles de notificaciones, importantes desde el punto de vista que nospermiten cuantificar de una forma más ex acta una posible situación deriesgo.

'Herramientas ->Información de página' 'Herramientas ->Opciones (Preferencias)->Seguridad->Configuración'

Nivel de seguridad alta


1.- Ir a ' Firefox ->Opciones (Preferencias)->Contenido', activar el botón o

checkbox de “ Bloquear ventanas emergentes” . Es posible configurar eneste elemento o pestaña que sitios Web queremos que sí puedan abrirventana emergentes, además de otras opciones.

PSI.1.6 - Clientes de correo electrónico En este apartado definiremos los comportamientos y configuraciones a seguir paraun correcto funcionamiento de los mismos, estableciendo una serie de normasbásicas pero eficaces. Es de vital importancia establecer unas normas deactivación y desactivación de las cuentas de correo electrónico, asociado a lagran variación de puestos de trabajo y asignación de tareas ex istente en laactualidad.

1.- Toda cuenta de nueva creación, baja o modificación será registrada en eldocumento PSI16-A o similar. Se establece el siguiente formato, enminúsculas y sin acentos para las cuentas de correo electrónico:

usuario.departamento sección puesto@ISP Usuario: Nombre real del usuario que está utilizando esta cuentaelectrónica. Departamento: Especificar el departamento al que pertenece el usuario;Contabilidad, Facturación, Recursos humanos, etc. Sección: Sección interna a la que pertenece dentro de su departamento,ejemplo; dentro del departamento de Contabilidad, la sección podría serCompras. Puesto: Puesto dentro de la empresa que actualmente representa elpropietario de la cuenta de correo en el departamento asociado.

ISP: Proveedor del servicio, este puede ser de naturaleza ex terna,cuentas Gmail, Yahoo, etc-, no deseable desde el punto de la seguridad yconfidencialidad de la información, o de naturaleza interna, es decir, elservicio lo proporciona un servidor interno, con lo cuál el transito de lainformación de las cuentas en uso estará restringido al máx imo, con laex cepción de la información derivada del mensaje. Ejemplos: [email protected] : ISP ex terno asociado asu [email protected]: ISP ex ternoasociado a la [email protected] : ISP internoasociado a la empresa

2.- Se establecerá una o más cuentas Spam a criterio de la dirección ogerencia de la empresa, para el correo basura o informativo, dónde todos losusuarios remitirán a los proveedores de dudosa procedencia, informacióncomercial, publicidad, o de otra naturaleza, para minimizar al máx imo eltráfico en las cuentas de vital importancia. La comunicación de dichascuentas a terceros, sean estas la cuentas Spam establecidas, como lacuenta o cuentas de trabajo, el usuario tiene la obligación de notificar conanterioridad al administrador del sistema o responsable de seguridad lasmismas a través del documento PSI16-B, para recibir la autorización porescrito pertinente a través del documento interno PSI16-C. El ASRS, comoentidad máx ima autorizada en la seguridad de la empresa, autorizará o no alusuario la totalidad o parte de las solicitudes recibidas, asimismo informará ala gerencia o dirección de dicha solicitud antes de realizar la contestación

pertinente. Si se establece una buena relación de confidencialidad, seconseguirá afinar al máx imo el tráfico realmente importante tanto de losproveedores ex ternos subcontratados, clientes, proveedores de la actividadreal, etc.-, de los que no lo son.

Ejemplos : [email protected], [email protected],[email protected]

3.- La capacidad máx ima de almacenamiento del buzón de correo noex cederá de: 10 MB 4.- Toda cuenta de correo será desactivada y registrada en la ficha general,PSI16-A en un plazo de 10 días a partir del cese del usuario, sea esto porcese del mismo en el departamento asociado, puesto, sección, baja en laempresa , o cualquiera que sea el motivo, la cuál será realizada por el ASRS,siendo este último el responsable de la misma durante este periodo, teniendola obligación de comunicar por escrito según el modelo PSI16-D, a losclientes, proveedores, departamentos, colaboradores, etc.- que posean dichacuenta, la situación de la misma, así mismo se les indicará la nueva cuentade contacto a la que se pueden dirigir, sea esta temporal o permanente.

5.- La cuenta de correo electrónico es personal e intransferible en todomomento, por lo que el ASRS, es el responsable último de establecer ymantener en todo momento las claves asociadas a las mismas,estableciendo las medidas de seguridad necesarias para los ficheros, basesde datos o documentos escritos que contengan dicha información. Lasclaves deben modificarse como mínimo cada tres meses para garantizar almáx imo la protección y evitar un acceso no autorizado a las mismas. 6.- Aunque la empresa disponga de sistemas locales o generales de

detección de virus u otro malware, el usuario responsable de la cuenta decorreo deberá verificar en todo momento que los mensajes que se envíen oreciban no incluyan ningún tipo de virus. En caso de cualquier incidencia oduda deben dirigirse al ASRS. 7.- El usuario de la cuenta tiene la responsabilidad de tener copias deseguridad (Backup’s) de los mensajes de sus carpetas de correo electrónicoy agenda de direcciones. 8.- El correo electrónico en la actualidad no tiene ninguna garantía deprivacidad, denominado coloquialmente en el mundo Hacker, como textoplano. En la red, los hackers pueden capturar dicha información usando unainfinidad de herramientas disponibles o mediante programación específica deanálisis, por lo que se deben ex tremar las medidas de seguridad en lo que adestino, origen y contenido de los mensajes se refiere (una buena práctica esencriptar los archivos adjuntos que se envían y no especificar en el cuerpodel mensaje ninguna información de relevancia). Es imposible garantizar almáx imo la seguridad de este medio, por lo que la prevención yresponsabilidad es la mejor arma para luchar contra estos sistemas deanálisis. 9.- Es aconsejable revisar al menos por parte del usuario el “ asunto(subject)” antes de proceder a responder a un mensaje, así como asegurarseque los mensajes recibidos son realmente para dicha cuenta y usuario. 10.- El usuario no suministrará en ningún concepto la cuenta a cualquiersistema de propaganda, sorteo, red social, lista de correo de generación demensajes, etc.- cuya naturaleza no tenga que ver con la empresa. 11.- El usuario no se debe enviar en ningún caso por correo electrónico

“ Links internos a la empresa, ni externos provenientes de Internet o decualquier otra fuente” , para evitar con ello el envío de informaciónconfidencial como puede ser ; direcciones IP, rutas a servidores, nombres deusuarios, departamentos, etc.- fácilmente obtenible por herramientas deanálisis de metadatos o en su caso el reenvío de enlaces malignos aterceros con lo que ello conlleva. 12.- El tamaño máx imo de los mensajes no debe ser superior a 3 MB reales.Para un envío superior a este, se debe fraccionar el mismo en variosmensajes para evitar de esta forma la saturación o sobrecarga del sistema. 13.- En todo mensaje se debe especificar el siguiente tex to deconfidencialidad, sea este de una forma puntual o a través del uso de unaplantilla específica para tal fin:

AVISO LEGAL :Esta información es privada y de uso confidencial. En el caso de queusted reciba este mensaje por error, o no sea una de las personasindicadas en el encabezamiento del mismo, le rogamos que lo elimine sinser copiado ni comunicado a terceros, y nos lo haga saber a esta mismadirección de correo electrónico en la mayor brevedad posible. Ademásaprovechamos para informarle que la distribución o copia de estemensaje esta prohibida, así como el contenido del mismo, el cuál estaprotegido por la Ley 15/1999 de Protección de Datos, entre otras.

14.- El ASRS, es el único autorizado para el alta, baja o modificación de lascuentas ex istentes, sean estás las cuentas de trabajo de los usuarios o lascuentas destinadas al desvío del Spam, las cuales serán reflejadas en eldocumento PSI16-A, destacando en el mismo el usuario, cuenta de correo,

alta, baja y clave. Ningún usuario del sistema tendrá autorización para crearcuentas personales o asociadas a la empresa en ninguno de los clientes decorreo ex istentes. 15.- El ASRS, es el encargado de la migración de las cuentas de correo detrabajo ex istentes, sean estas de carácter interno o ex terno, dando de bajalas mismas, generando las cuentas de nueva creación según se especificaen el apartado número (1) de esta sección, así como la obligación decomunicar por escrito a los clientes, proveedores, departamentos,colaboradores, etc.- que posean la cuenta anterior, la nueva cuenta de correoestablecida.

PSI.1.7 – Cortafuegos. Firewalls Desde siempre los sistemas de comunicación en la red de redes (Internet) estánbasados en un protocolo muy conocido denominado TCP/ P. Este protocolo decomunicaciones de orígenes militares es totalmente inseguro, por lo que lautilización de un sistema de protección basado en cortafuegos, que no son másque dispositivos físicos o programas informáticos que ayudan a proteger nuestrosistema de protocolos inseguros como este y de múltiples vulnerabilidades,proporcionan a la red una forma de establecer una política de seguridad quepermita controlar el acceso al sistema. El nivel de protección que un cortafuegos nos puede ofrecer esta en función de lasnecesidades que tengamos. Generalmente suelen configurarse para protegernosante cualquier intento de acceso no permitido desde la red ex terna hacia nuestrared, o viceversa, estableciendo un punto único dónde el ASRS podrá centralizarlas medidas de seguridad que estime oportunas. Aún así, un cortafuego no proporciona protección contra las posibles amenazas

que se detallan a continuación:

Todo el tráfico de red que no pasa o se filtra a través de él, por lo quepodemos deducir que la efectividad del mismo es sólo parcial , y debe iracompañado en todo momento de una buena política de seguridad paraelevar su consistencia. Contra amenazas que se deriven desde la red interna de la empresa ,comopueden ser, usuarios con malas intenciones , virus, troyanos de resolucióninversa, etc. Contra clientes , servicios o programas informáticos descargados einstalados que admitamos en nuestra red como válidos, pero que el fondo nodejan de ser vulnerables. Estas vulnerabilidades suelen ser aprovechadaspor los hackers para obtener a distancia accesos no autorizados al sistema. Contra mecanismos de Tunneling HTTP, SMTP, etc.-, aunque en laactualidad se han realizando grandes avances al respecto en este campo,por las empresas de desarrollo de los mismos.

En general podemos resumir y constatar que los cortafuegos coloquialmenteconocidos como firewalls, no pueden ni debe sustituir a otros mecanismos deseguridad ex istentes en la actualidad, por lo que deben ser en todo momento uncomplemento a los mismos. Las políticas básicas a definir en un sistema cortafuegos se pueden resumir endos, las cuáles cambian de una forma radical la filosofía de la seguridad de laempresa:

1.- Política permisiva Este tipo de política permite el tránsito de todo el tráfico, ex ceptuando aquelque esté ex plícitamente denegado. Es necesario el aislamiento de aquellosservicios del sistema potencialmente peligrosos, mientras que el resto deltráfico no será filtrado. Cabe señalar que los hackers informáticos utilizandeterminadas herramientas y técnicas para la determinación de puertosfiltrados o silenciosos, utilizados para comprometer el sistema a través dealguno de los servicios asociados. 2.- Política restrictiva En este tipo de política deniega todo el tráfico, ex ceptuando aquel que estáex plícitamente permitido. En él, se obstruye todo el tráfico de transito,habilitando únicamente aquellos servicios que realmente vayan a serutilizados. En el ASRS, recae la total responsabilidad de implantación de los sistemascortafuegos correctamente en el ámbito de la empresa, por lo que en estapolítica se definirán las dos principales configuraciones básicasrecomendadas para lograr un objetivo óptimo .

1.- Cortafuegos por Hardware En la actualidad se dispone de una gran variedad de hardware disponible paratrabajar como cortafuegos, para ser instalados como punto de entrada a unsistema, como pueden ser los dispositivos registrados CISCO ®, Linksys ®, 3com®, entre otros. La principal ventaja de estos dispositivos es la independencia totaldel sistema, no afectando directamente al consumo de los recursos del mismo.

La configuración de estos dispositivos específicos suele estar perfectamentedocumentada por el fabricante , por lo que el ASRS debe documentarse, formarse oasesorarse adecuadamente por terceros para la perfecta configuración de losmismos , ya que de ello depende la integridad de toda la red.

2.- Cortafuegos por Software Este tipo de cortafuegos son programas que suelen estar integrados en losSistemas Operativos o instalados ex teriormente, como los presentados en lapolítica PSI.1 3:

agnitum , http://www.outpost-es.com/home/index .htmlSquid , http://www.squid-cache.org/Download/ZoneAlarm,http://www.zonealarm.com/security/es/zonealarm-pc-security-free-firewall htm?lid=es

La principal desventaja son los recursos que suelen consumir, así como lanecesaria reinstalación y configuración de las reglas de filtrado cada vez que seainstalado o reinstalado el Sistema Operativo en el que resida. En la actualidad los mecanismos de filtrado en red suelen ser híbridos, unacombinación entre los sistemas basados en hardware y los sistemas basados ensoftware, así como sistemas autónomos basados en computadoras aisladas consoftware específico de alto rendimiento, como puede ser, entre otras, la soluciónbasada en servidores ®Zentyal (www.zentyal.com), que monitorizan lascomunicaciones de red, y proporcionan además servicios integrados de altasprestaciones para la empresa. Al igual que en los dispositivos por hardware, elASRS, debe documentarse, formarse o asesorarse adecuadamente por tercerospara la perfecta configuración de los mismos.

PSI.1.8 - Eliminación de serv icios innecesarios en el sistema Como norma general los Sistemas Operativos durante su instalación, así comonuevos programas instalados o los ex istentes nuevamente configurados, suelenactivar servicios, que pueden o no abrir al ex terior nuevos puertos decomunicaciones, por consiguiente se deben establecer unas pautas biendefinidas, dónde el ASRS, debe priorizar y considerar en cada momento cuál ocuáles de ellos son de vital importancia para cada puesto en concreto, desde elpunto de vista local, y cuál o cuáles de ellos son importantes desde un punto devista global, es decir, desde el servidor o servidores principales establecidos en lared de la empresa. Hay que tener en cuenta que un servicio innecesario en el sistema puede ser uncanal de acceso no autorizado, ataque o fuga de información confidencial, con loque es necesario determinar el grado de necesidad del mismo para el correctofuncionamiento y operabilidad de la red o del puesto del trabajo. Por consiguientesiendo el ASRS, el único autorizado dentro de la empresa para la instalación,reinstalación, modificación o configuración del software de los puestos de trabajoy servidores de red, este riesgo se minoriza al máx imo, evitando de esta forma lainstalación masiva y descontrolada de software que puede poner en peligro laintegridad de la información en el sistema. Se debe verificar en todo momento el origen del software, evitando las descargasa través de los navegadores como Google, Bing o Yahoo, las descargas a travésde páginas de contenido de origen dudoso, software pirata de terceros, entre otros.Por consiguiente se recomienda la instalación siempre desde la páginascorporativas del fabricante o desarrollador, y evitar en todo momento, todo tipo de“ mirrows” que puedan comprometer el sistema.

Gestión de serv icios en los principales Sistemas Operativosactuales Sistema Operativo: WindowsActualizaciones:


Vaya a 'Inicio->Panel de Control->Rendimiento y mantenimiento->Herramientas administrativas->Servicios' La desactivación de servicios en Windows Xp es sencilla e intuitiva,además cuenta con una ex plicación resumida de la función del mismo. Laventana general de servicios nos muestra información como el nombre delservicio a gestionar, descripción, estado, tipo de inicio, entre otras. Elinicio y detención de un servicio se puede realizar de las siguientes dosformas :

Básica: Directamente desde la ventana de la aplicación. Avanzada: Situarse encima del servicio a gestionar, pulsar el botónderecho->propiedades , accedemos a una ventana en dónde se podrágestionar el mismo, o simplemente accediendo pulsando doble-clicksobre el servicio.

2.- * Para Windows 7 :

Vaya a 'Inicio->Panel de Control->Sistema y seguridad->Herramientasadministrativas->Servicios'

El inicio y detención de un servicio se puede realizar de las siguienteforma :

Avanzada: Situarse encima del servicio a gestionar, pulsar el botónderecho->propiedades , accedemos a una ventana en dónde se podrágestionar el mismo, o simplemente accediendo pulsando doble-clicksobre el servicio.

En Windows 7 es aconsejable por seguridad y eficiencia desactivar lossiguientes servicios :

1.- Windows Search (WSearch): Index a archivos, correo electrónico yotro tipo de contenido que ayudan a agilizar las búsquedas en elsistema. Puede ser utilizado por los hackers para la ex ploración decontenidos. 2.- Servicio de uso compartido de Windows Media (WMPNetworkSvc):Comparte las bibliotecas del Reproductor de Windows Media con otrosdispositivos multimedia y reproductores en red. Puede ser utilizadopara transmisión de virus. 3.-Tarjetas inteligentes (SCPolicySvc): Permite configurar el sistemapara bloquear el escritorio del usuario al quitar la tarjeta inteligente. 4.- Tarjeta inteligente (SCardSvr): Administra el acceso a tarjetasinteligentes leídas por el equipo. 5.- Registro remoto (RemoteRegistry): Permite modificar el registro ausuarios remotos. Muy peligroso, cualquier intruso o malware puedeaprovecharse de esto.

6.- Ubicador de llamada a procedimiento remoto (RpcLocator): Utilizadopara RPC en versiones anteriores de Windows. Actualmente sólo estápresente por motivos de compatibilidad. 7.- Parental Controls (WPCSvc): Utilizado para el control parental enWindows Vista. Se mantiene sólo por motivos de compatibilidad. 8.- Propagación de certificados (CertPropSvc): Copia los certificados deusuario y certificados raíz de tarjetas inteligentes en el almacén decertificados del usuario actual, detecta la inserción de una tarjetainteligente en un lector de tarjetas inteligentes y, si es necesario,instala el minicontrolador Plug and Play para tarjetas inteligentes. Esaltamente recomendable tener desactivada este servicio. 9.- Servicio de compatibilidad con Bluetooth (bthserv): Permite ladetección y asociación de dispositivos Bluetooth remotos. Esaltamente recomendable desactivar esta opción. 10.- Administración remota de Windows (WinRM) : La desactivación deeste servicio es altamente recomendable . 11.- Servicio Informe de errores de Windows (WerSvc): Servicio deenvio de informes de error a Microsoft. 12.- Configuración de Escritorio remoto (SessionEnv) 13.- Servicios de Escritorio remoto (TermService) 14.- Redirector de puerto en modo usuario de Servicios de Escritorio

remoto (UmRdpService) 15.- Servicio de entrada de Tablet PC (TabletInputService) 16.- Servicio biométrico de Windows (WbioSrvc)

Sistema Operativo: Linux UbuntuActualizaciones:

La habilitación o des-habilitación de un servicio en *Linux -Ubuntu esrecomendable realizarla desde una ventana de acceso Shell, ejecutando loscomandos o acciones que se detallan a continuación :

$ sudo cd /etc/init.d/ , En este archivo se pueden observar los serviciosque esta distribución de Linux tiene activada por defecto en su arranque.La habilitación o deshabilitación de los mismos se basa simplemente enla modificación de su permiso de ejecución .

chmod -x "nombre del servicio"

Los servicios que se pueden prescindir en Linux -Ubuntu desde el punto devista de la seguridad y rendimiento, considerando que Linux sigue siendomás robusto que cualquiera de los Windows desarrollados hasta laactualidad , con la ex cepción clara del Windows 7, que representa un saltosignificativo en lo que a la seguridad se refiere , limitando la memoria físicadel sistema y supuestamente estableciendo un control más preciso contraataques de desbordamiento de pila, heap, entre otros, marcando unatendencia futura de especial seguimiento, son los que se detallan acontinuación :

1.- Ancharon y Atd: Ejecución de tareas programadas. Evitar por todos losmedios la automatización, puede llevar aconfusión y errores delcomportamiento ( Heurísticos ) a los sistemas de detección 2.- Alsa-utils: Gestión de la tarjeta de sonido. Aunque suene importante, laverdad es que no lo necesitas 3.- Bluetooth: Activación para dispositivos Bluetooth 4.- Britty: Gestión de gráficos en braille. Siempre y cuando el usuario delpuesto de trabajo no lo necesite 5.- HDParm: Permite optimizar las distintas particiones de tu disco duro

Sistema Operativo: Mac OxActualizaciones:

Para la gestión y administración de los procesos ;

Vaya al Finder->Aplicaciones->Utilidades->Monitor de Actividad app' Esta aplicación permite la monitorización de los procesos ex istentes, loscuáles están divididos por categorías como procesos del sistema, deusuario, activos, inactivos o procesos en ventanas, además deproporcionarnos gran información desde un punto de vista general de lo queesta ocurriendo en el puesto de trabajo. La seguridad en los sistemas Apple son de una elevada consideración, perono se debe olvidar que los mismos son vulnerables, y su ex posición alhacking esta directamente asociada a la cantidad de usuarios que lo utilizan.

( * ) Sistemas Operativos comerciales de uso más extendido en lasempresas y organizaciones en las diferentes plataformas

A continuación se muestra una lista con los servicios y puertos asignados pordefecto más interesantes desde el punto de vista de un Hacker, por lo que el ASRSdebe realizar un continuo seguimiento o monitorización de los mismos, parasalvaguardar los puntos de acceso al sistema y garantizar su integridad. Principales puertos vulnerables y técnicas de ataque

21 TCP – FTP- Localización de directorios de lectura/escritura. Ex ploits engeneral22 TCP – SSH - Ex ploits, fuerza bruta23 TCP – TELNET - Software de captación de información. Ex ploits fuerzabruta25 TCP – SMTP - Ex ploits de correo y fuerza bruta, entre otros53 TCP/UDP – DNS - Software de captación de información. Ex ploits67 TCP/UDP – DHCP - Ex ploits en general69 UDP – TFTP - Acceso a contraseñas y gestión del sistema de archivosdel sistema79 TCP – F NGER - Software de captación de información. Ex ploits80/81 TCP – http - Software de captación de información. Ex ploits fuerzabruta88 TCP - HTTP / KERBEROS - Software de captación de información.Fuerza bruta109 TCP - POP2 - Ex ploits en general110 TCP - POP3 - Ex ploits en general111 TCP/UDP - PORTMAPPER RPC - Identificación servicios NFS/RPC.

113 TCP – IDENTD - Software de captación de información. Ex ploits engeneral135 TCP/UDP – RPC - Software de captación de información137 UDP – NETBIOS - Software de captación de información139 TCP - PRINT W NDOWS - Información de archivos compartidos, info ytopologías143 TCP – IMAP - Ataques por desbordamiento de buffer en general161 TCP/UDP – SNNP - Captación de información y configuración en elsistema177 - X WINDOWS - Ex ploits para monitorizar el monitores259 TCP – RDP - Ex ploits o acceso mediante técnicas de fuerza bruta, entreotras389 TCP/UDP – LDAP - Software de captación de información443 TCP – HTTPS - Ex ploits en general. Accesos por fuerza bruta445 TCP - PRINT W NDOWS - Información, conex iones, info, shares, etc512 TCP - R-EXEC - Ataques remotos contra el sistema, a través decomandos513 TCP - RLOGIN / RWHO - Ataques remotos contra el sistema, a través decomandos514 TCP/UDP – SHELLS - Muy peligroso. Permite ejecución remota decomandos1433/1434 TCP - MICROSOFT SQL - Accesos por fuerza bruta. Ex ploits engeneral2049 TCP/UDP – NFS - Ataques a bases de datos y contraseñas en general5500 TCP – VNC - Accesos por fuerza bruta. Ex ploits en general8000/8005 TCP – HTTP - Ex ploits de difusión directa o intrusiones aservidores Web

PSI.1.9- Eventos o incidentes de seguridad

Se considera este apartado uno de los más importantes definidos en el manual deseguridad de la empresa , estableciendo las medidas preventivas necesarias paraaveriguar cualquier posible fallo de protección y configuración de nuestro sistema,y así definir las acciones a tomar necesarias para su solución. Es obligación del ASRS, realizar controles o inspecciones periódicas paraasegurar la integridad del sistema. Estas inspecciones serán meramenteadministrativas y no de un carácter puramente técnico, las cuál deberá serrealizada por una empresa especializada ex terior a la empresa, para garantizar lomáx imo posible la objetividad de dichas pruebas. Si el sistema ha sido comprometido está en función del grado de ataque y de lanaturaleza del mismo, sea este desde el interior o ex terior a ella. Los hackersinformáticos emplean principalmente dos técnicas de ataque principales, caballosde Troya y Rootkits. La función principal de los caballos de Troya son la superación de los controlesde acceso, activar un acceso remoto, reunir todo tipo de información, saturacióndel ancho de banda de comunicaciones, destrucción en algunos casos de losdatos, o simplemente la instalación de software espía. Los Rootkits se definen como un grupo o colección de herramientas utilizadas porun atacante, sea cuál se la naturaleza del mismo, para instalar una “ puertatrasera” , ocultarla a los sistemas de detección, así como a posibles nuevosatacantes. Estas puertas son utilizadas a conveniencia por el atacanteactivándolas o no a su gusto. La detección de un problema ex istente puede ser pasiva, a través del software ohardware instalado o implementado para la protección del sistema, o activa, através de análisis periódicos realizados por el ASRS, o una empresa técnica

especializada ex terna. Este tipo de análisis se denomina Pentesting (PenetraciónTesting). 1.- Pentesting Cualquier prueba de test utilizada deberá centrar sus esfuerzos principalmente enel análisis de la topología de la red, cuentas de usuarios y grupos, procesos ysistemas de archivos y registro logs, todo ello englobado en lo que denominamosproceso de análisis activo . Por lo tanto se definen dos tipos de Pentesting activos; Pentesting Preventivo Técnico . PPTPentesting Preventivo Administrativo. PPA 1.1- Pentesting Preventivo Técnico. PPT La metodología principal del PPT se enfoca principalmente en el reconocimiento yanálisis , determinación del mapa estructural de la red , enumeración de serviciosactivos , vulnerabilidades físicas y/o lógicas ex istentes , shells de acceso a lainformación y control del sistema y generación de los informes pertinentes a laempresa , para la corrección o minoración de los problemas de seguridadex istentes. Los ataques a nuestro sistema pueden estar motivados por diferentes objetivos ,fraude , ex torsión , información confidencial , venganza , acceso no autorizado aun sistema , desafío intelectual , espionaje industrial , etc .. Estos ataques pueden provenir de dos fuentes claramente diferenciadas :

Ataques ex ternos a las instalaciones de la empresa, por un acceso remoto, através de Troyanos, Ip static, Routers, etc .. Ataques internos por empleados o trabajadores de la empresa ocolaboradores ex ternos con acceso al sistema dentro de la red

Utilizando una gran variedad de técnicas, un hacker puede conocer con facilidadcontraseñas, detalles de la topología de la red y puntos de acceso e informaciónconfidencial sensible, saltándose todas las medidas de seguridad ex istentes. No se debe desestimar en ningún momento que nuestra empresa no essusceptible de ser atacada por un pirata informático, la dimensión de la misma, sulocalización y su ámbito no son un criterio válido para descartar un posible ataque“ Por lo general, el objetivo principal en este tipo de Test es la determinación de lasiguiente información:

Mapa de red (Rangos de direcciones IP’ s , Equipos activos en la red ,Puertos y Servicios en los diferentes Hosts activos , Elementos activos ypasivos , etc ..) Ataque activo y pasivo del sistema Compromiso y Escalabilidad Informes técnicos y documentales ( Reports ) Correcciones y Formación (Especificadas e implementadas en un Plan deSeguridad Informática

Las fases establecidas en el PPT son secuenciales y por lo tanto escalables enel tiempo, implican a ambas partes (la empresa técnica especializada encolaboración con el administrador del sistema o responsable de seguridad), ysintetizan al máx imo el trabajo de Pentesting de la red . En el ASRS, recae la última decisión en comunicación estrecha con la dirección ogerencia de la empresa, de solicitar un servicio PPT a una empresa técnicaespecializada en Hacking Ético o en Seguridad Informática, ante la más mínimasospecha de cualquier posible vulnerabilidad o compromiso del sistema. 1.2- Pentesting Preventivo Administrativo. PPA La metodología principal del PPA se enfoca principalmente en el análisis delsistema a través de las herramientas de software instaladas para la detección devulnerabilidades, correcto funcionamiento de los puestos de trabajo, correctofuncionamiento de los elementos hardware ex istentes en la red y confiabilidad desus conex iones, buen uso del mismo por parte de los usuarios, adecuación alplan de seguridad informático, etc. La realización de dichas comprobaciones de seguridad recae única y solamenteen el ASRS, en su equipo técnico o en el proveedor de servicios informáticos deseguridad. Los periodos de comprobación serán establecidos por el mismo, nuncaex cederán de dos meses entre ellos y serán documentados y establecidoscronológicamente en el tiempo. 2.- Procedimiento ante un evento o incidente de seguridad Un evento o incidente de seguridad puede ser local a un puesto de trabajo oglobal, afectando a varios puestos o a la totalidad del sistema. El grado derespuesta ante un compromiso o vulnerabilidad del sistema será establecido en

función del grado de intensidad y el ámbito del mismo, siendo el ASRS quiénproceda a implementar un modelo u otro. Dichos modelos se ex ponen acontinuación:

Compromiso de grado bajo . PPA Compromiso local asociado a cada puesto de trabajo. En este tipo decompromiso se incluyen virus de bajo nivel detectables a través de lossistemas de protección, tanto sean estos de tipo binario o macro, boots decaptación de información no autorizada de publicidad o estadísticos, cookiesmalignas, o cualquier tipo de amenaza que pueda ser eliminada sin querepresente una amenaza para el resto de los puestos y el sistema en general. Compromiso de grado medio . PPA Compromiso local o global asociado a cada puesto de trabajo o servidoresde la red. Se incluyen virus de alto nivel poco detectables, troyanos queestablezcan puertas traseras, spyboots residentes, Keyloggers de detecciónde teclado, visores gráficos y todo tipo de malware que pueda comprometerel sistema y romper con los principios de seguridad. Se considera elcompromiso más empleado en la actualidad. Compromiso de grado alto . PPT Compromiso local o global a cada puesto de trabajo o al sistema en general.Se considera el compromiso más peligroso para la integridad del sistema,suelen ser ataques directos no detectables en tiempo real, de difícil solucióny de un riesgo elevado, asociado a la instalación por parte del atacante desistema lógicos de destrucción de información como ficheros o bases dedatos en general. El origen del ataque puede provenir desde el interior de la

empresa, siendo estos generalmente de menor cuantía por lo que acapacidad técnica se refiere o desde el ex terior, muy peligrosos.

2.1.-Procedimientos . Compromiso de grado bajo. PPA 2.1.1.- La gestión de dicho procedimiento correrá a cargo del ASRS o equipotécnico. 2.1.2.- Ejecutar escaneo y limpieza total del puesto a través de los sistemas deprotección general, antivirus, anti-boots y software de protección actualizados, asícomo la actualización o parches en el Sistema Operativo. No se deben usar paraeste proceso Antivirus on-line o de dudosa procedencia. Es un proceso meramenteadministrativo que puede ser evitado con mantenimiento y seguimientos regulares. 2.1.3.- Registro pertinente de la incidencia a través del documento PSI19-B. Elregistro debe ser único para cada puesto. 2.1.4.- Ante la posibilidad de infección por salto a otros puestos de trabajo, sepresentan dos posibles acciones a tomar en consideración, la Activa o la Pasiva.

1.- Activa: Se debe realizar el mismo proceso en todos los puestos detrabajo que estén en el mismo segmento de red o que hayan tenido contactocon el puesto de trabajo desde el punto de vista administrativo o corporativode la empresa en las últimas 24 horas a la detección de la incidencia. 2.- Pasiva: Mantener durante varios días en observación todos los puestosde trabajo que estén en el mismo segmento de red o que hayan tenidocontacto con el puesto de trabajo desde el punto de vista administrativo ocorporativo de la empresa en las últimas 24 horas a la detección de laincidencia.

2.1.5.- No se requiere reportar la incidencia a la dirección o gerencia de laempresa.

2.2.- Procedimientos. Compromiso de grado medio. PPA 2 2.1.- .- La gestión de dicho procedimiento correrá a cargo del ASRS, equipotécnico o en el proveedor de servicios informáticos de la empresa. 2 2.2.- Si el PPA de grado medio es realizado por el proveedor de serviciosinformáticos, este deberá reportar a la empresa un informe detallado sobre lasincidencias encontradas, respaldos realizados y medidas adoptadas para lasolución del problema. Todo ello debe ser supervisado y registrado en todomomento por el ASRS y será registrado y adjuntado al documento PSI19-D decarácter interno.

S u p u e s t o

“ El proveedor de servicios informáticos necesita actualizar la base de datos delprograma antivirus ® Comodo instalado en uno de los puestos de trabajo, por loque el ASRS, deberá registrar dicha actualización en el documento PSI13-Adestinado para tal fin “ 2 2.3.- Si el PPA de grado medio es realizado por el ASRS o su equipo técnico, sedeberán seguir los siguientes pasos y consejos de actuación:

1.- Desconex ión inmediata del equipo afectado de la red o accesos remotos.Evitaremos con esta opción la ejecución de bombas lógicas y así evitar ladestrucción de información.

2.- Proceder a la realización de una copia de seguridad total del sistemalocal afectado. La copia debe ser local aun dispositivo físico ex terior, nuncase conecte en red. Efectuar PPA sobre el dispositivo ex terior dealmacenamiento para garantizar que no pueda comprometer o falsear aúnmás las pruebas. El dispositivo debe estar formateado (formateado rápido noestá autorizado) y limpio. 3.- Proceder al duplicado del almacenamiento físico (discos duros) delTerminal. De esta forma nos permitirá realizar un análisis e investigaciónposterior ex terna en caso de ser necesaria. Se debe realizar un copiadofísico y lógico de los discos duros. Efectuar PPA sobre el dispositivo ex teriorde almacenamiento para garantizar que no pueda comprometer o falsear laspruebas. El dispositivo debe estar formateado (formateado rápido no estáautorizado) y limpio. 4.- Ejecutar escaneo y limpieza total del Terminal. Debe realizarse a travésde los sistemas de protección general, antivirus, anti-boots y software deprotección para la búsqueda de Troyanos ocultos que abran sockets decomunicaciones estableciendo puertas traseras así como, Rootkitsinstalados por el atacante. 5.- Conex ión del equipo afectado a la red o accesos remotos. Observaremosel Terminal conjuntamente con el usuario del puesto de trabajo, sininteractuar físicamente con él, durante aprox imadamente media hora, paradeterminar visualmente posibles reacciones ex trañas que puedanproducirse. 6.- Ejecutar nuevamente escaneo y limpieza total del Terminal a través delos antivirus, anti-boots y software de protección, así como la actualización o

parches en el Sistema Operativo. 6.- Se requiere informar a la dirección o gerencia de la empresa. a través deldocumento PSI19-C , así como registrar la misma a través del documentoPSI19-D.

2.3.-Procedimientos. Compromiso de grado alto. PPT

2 3.1.- La gestión de dicho procedimiento correrá a cargo de una empresa técnicaespecializada en Hacking Ético o Seguridad Informática. El ASRS y equipotécnico, colaborarán directamente con dicho proceso facilitando a la empresa dePentesting todos los medios técnicos necesarios para desarrollar con integridad yceleridad dicho proceso. A continuación se detallan los pasos y consejos previosde actuación a seguir:

1.- Desconex ión inmediata del equipo afectado de la red o accesos remotos.Evitaremos con esta opción la ejecución de bombas lógicas y así evitar ladestrucción de información. Un atacante a distancia puede activardispositivos de software lógicos y producir destrucción de información tantosa sistemas de ficheros como a bases de datos al verse detectado. Si elcompromiso es a nivel de sistema, se procederá a la paralización total delmismo. 2.- Se reportará a la dirección o gerencia de la empresa el grado decompromiso alcanzado, a través del escrito PSI19-E. 3.- El ASRS establecerá contacto una vez recibida autorización, con laempresa de Hacking Ético o Seguridad Informática especializada a travésdel escrito PSI19-F.

4.- El ASRS, como máx ima autoridad de seguridad en la información de laempresa y en estrecha relación con la dirección o gerencia de la misma, asímismo con la empresa de Hacking Ético o Seguridad Informáticaespecializada, determinarán si procede notificar o presentar una denunciaantes las autoridades legales competentes, Policía Nacional (B.I.T) o elDepartamento de delitos informáticos de la Guardia Civil. 5.- Es de vital importancia la discreción y celeridad en este proceso paradeterminar el origen del ataque y naturaleza del mismo. 6.- Se deberá registrar internamente dicha incidencia a través del documentoPSI19-G, que complementará al informe final presentado por la empresaex terior especializada. Se podría resumir la eficacia del procedimiento mediante tres palabras:

D ISCRECCIÓN . CELERIDAD . ACTUACIÓN

PSI.1.10 - Firmas y certificados digitales 1.- Firmas Digitales La determinación de la autenticidad en los documentos electrónicos es subsanadaen la actualidad a través de la denominada “ firma digital” , basada enprocedimientos meramente criptográficos, la cuál viene a ser como la firma enpuño y letra en los documentos impresos tradicionales, que como bien es sabido,permite atribuir a un usuario algo escrito o su conformidad en un documento. La firma digital básicamente está compuesta de dos partes principales: un métodoo técnica informática que asegure al máx imo la no alteración de la misma y otro

que permita a terceros verificar inequívocamente que dicha firma pertenece sinninguna duda al firmante. Todo ello es posible a la utilización de un algoritmo en la que cualquier usuarioobtiene una serie de números denominados “ claves” , una pública y otra privada,dónde la primera de ellas es conocida por todos, mientras que la otra es mantenidaen secreto por el usuario. La relación entre dichas claves se basa en que todo loque sea encriptado por alguna de ellas sólo podrá ser desencriptado única ysolamente por la otra. Cabe destacar que las firmas digitales a diferencia de las tradicionales sobrepapel escrito generadas por un usuario son diferentes entre sí, es decir, cambiacon cada documento firmado. Además si dos usuarios firman digitalmente unmismo documento, también se producen dos diferentes documentos firmados, todoello debido a que la clave privada utilizada es diferente. Par validad laautenticidad de un documento recibido se realiza un proceso de obtención devalores (hash) y desepcriptación de la firma digital usando la clave pública delfirmante, tras ello es posible determinar la autenticidad del documento. Por consiguiente, cada usuario en el proceso de autentificación de un documentofirmado deberá contar con un archivo que contenga la clave pública del supuestofirmante. Todo esto acarrea un problema, si por ejemplo, un documento firmado por40 personas deberá contar con 40 archivos de clave pública en una base de datos,si el mismo documento es firmado por 500 usuarios diferentes el problema crececonsiderablemente así como la determinación con seguridad de la identidad deltitular de cada clave pública. Todo ello nos lleva a lo que se denomina CertificadoDigital, el cuál es emitido por una Autoridad Certificadora (CA) que atestigua queuna clave pública pertenece a un determinado usuario o empresa . Así pues, si un usuario o empresa, firma un documento y en el mismo anex a su

certificado digital, cualquiera que conozca la clave pública del CA podrá autenticardicho documento. 2.- Certificados Digitales Desde el punto de vista de la seguridad y autentificación de un usuario se puedendefinir los certificados digitales básicamente como los equivalentes digitales alD N.I, ya que permiten que una empresa o un individuo demuestre finalmente quees quien dice ser, y por lo tanto, que está en posesión de la clave secretaasociada a su certificado. Para los usuarios proporcionan un mecanismo válidopara verificar la autenticidad de los sitios visitados en Internet, redes privadasVPN o departamentos internos. Todo certificado digital obtenido a través de una Autoridad Certificadora (CA)garantiza que la clave pública pertenece a la empresa y que la misma posee lacorrespondiente clave privada. Para evitar todo tipo de falsificaciones, la entidadcertificadora después de autentificar la identidad de la empresa, firma el certificadodigitalmente. Cabe destacar que estos certificados proporcionan un mecanismocriptográfico para llevar a cabo la autentificación. Los certificados digitales ex ponen en general los siguientes campos de datosprincipales:

Versión: Este campo contiene el número de versión del certificadocodificado. Número de serie del certificado: Este campo contiene un entero asignado porla autoridad certificadora. Cada certificado emitido debe tener un número deserie único.

Identificador del algoritmo de firmado: Este campo identifica el algoritmousado para firmar el certificado (RSA o DSA, por ejemplo). Nombre del emisor: Nos identifica la CA que ha firmado y emitido elcertificado. Periodo de validez: Indica el periodo de tiempo de validez del certificado y laCA está obligada a mantener información sobre el estado del mismo. En estecampo se distinguen, fecha inicial, fecha en la que el certificado empieza aser válido y la fecha de caducidad del mismo. Nombre del sujeto: Este campo identifica la empresa o individuo cuya clavepública está certificada. Es posible emitir más de un certificado con elmismo nombre para una misma entidad o individuo. Información de clave pública del sujeto: Este campo contiene la clavepública, sus parámetros y el identificador del algoritmo con el que se empleadicha clave. Política de certificación: Este campo contiene las condiciones en las que laCA emitió el certificado y el propósito final del mismo. Uso de la clave: Este campo establece condiciones o restricciones a laclave pública certificada.

Los certificados tienen un periodo de validez desde unos meses a unos pocosaños, sin embargo, es posible la anulación de los mismos por diferentes razonesde seguridad como en el caso de que la clave privada ha sido comprometida o queun usuario abandone la empresa.

Las entidades certificadoras establecen listas de anulación de certificados(Certification Revocation Lists o CRL), las cuales son un mecanismo mediante elcual se distribuye información a cerca de los certificados anulados a lasaplicaciones que los emplean. Una CRL es una estructura de datos que contienesu fecha y hora de publicación, el nombre de la entidad certificadora y los númerosde serie de los certificados anulados que aun no han ex pirado. Cuando unaaplicación trabaja con certificados debe obtener la última CRL de la entidad quefirma el certificado que está empleando y comprobar que su número de serie noestá incluido en él. Para la obtención de un certificado por parte de una Autoridad Certificadora (CA) :

1.- Procederemos a rellenar un formulario y enviarlo a la CA solicitando uncertificado. 2.- La Autoridad Certificadora (CA) verificará nuestra identidad tomando lasmedidas oportunas para la validación. 3.- Después de recibir nuestra solicitud y determinar la validez de los datosrecibidos, la CA generará el certificado correspondiente y lo firmará con suclave privada, así mismo lo enviará al subscriptor y, opcionalmente, lo envíaa un almacén de certificados para su distribución. La CA puede proporcionarun servicio de distribución de certificados para que las aplicaciones tenganacceso y puedan obtener los certificados de sus subscriptores a través delcorreo electrónico, LDAP, etc. En la actualidad ex isten bases de datos encalidad de “ almacén” , donde se guardan los certificados y la información delas anulaciones dando fiabilidad y confianza a los mismos.

Ejemplos de autoridades certificadoras ( CA)

ABA ECOM Root CAFNMT de EspañaBaltimore EZ by DSTDeutsche Telecom Root CA 1 , 2Equifax Secure certificate AuthorityMicrosoft Root AuthoritySecure Server Certification AuthorityVisa eCommerce RootThawte Server CAGlobalSign Root CA

Gestión de certificados en los Sistemas Operativos principales Sistema Operativo: WindowsCertificados:


Vaya a 'Inicio->Panel de Control->Conex iones de red e Internet->Opcionesde Internet->Contenido->Certificados/Compañias'

2.- Para Windows 7 :

Vaya a 'Inicio->Panel de Control->Redes e Internet->Opciones de Internet->Contenidos->Certificados/Editores' Puede acceder también a los certificados a través de los navegadoresWeb más habituales en este Sistema Operativo :

1.- Internet Ex plorer : 'Herramientas->Opciones de Internet->Contenido-

>Certificados/Compañias' 2.- Google Chrome: 'Herramienta de llave->Opciones->Avanzada->HTTPS/SSL->Administrar certificados'

Sistema Operativo: Linux UbuntuCertificados:

El navegador predeterminado para Linux más usado en la actualidad esFirefox , por lo que será el método más normal de acceder a la gestión decertificados y así evitar la gestión a través de la ventana Shell del sistema:

1.- Firefox : Menú Editar->Preferencias->Avanzado->Cifrado->Vercertificados'

Es posible acceder también a través de otros navegadores como puede serGoogle Chrome.

Sistema Operativo: Mac OxCertificados:

Para la gestión y administración de los certificados ;

Vaya al Finder->Aplicaciones->Utilidades->Acceso a llaveros app->Raízdel sistema'

Puede acceder también a los certificados a través de los siguientesnavegadores :

1.- Firefox : Firefox ->Preferencias->Avanzado->Cifrado->Ver certificados'

2.- Google Chrome: 'Herramienta de llave->Preferencias->Avanzada->HTTPS/SSL->Gestionar certificados'

En estos accesos se gestionan los certificados instalados en el Terminalrealizando copias del mismo, importaciones, ex portaciones, evaluaciones osimplemente obtener la información sobre los mismos. Se deberán registrar internamente a través del documento PSI110-A todos losCertificados Digitales instalados en cada Terminal o puesto servidor del sistema. 2.- Protección de datos Legislación, Reales Decretos y Normas. Marco normativo En esta sección se ex pone la legislación vigente que afecta al desarrollo de lasactividades empresariales en las Pymes, que viene establecido por la siguientelegislación:

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos deCarácter Personal, BOE de 14 de diciembre (en lo sucesivo denominadoLOPD) Real Decreto 994/1999, de 11 de junio, sobre Medidas de Seguridad de losficheros automatizados que contengan datos de carácter personal (en losucesivo denominado RM994) Directiva de la Unión Europea 95/46/CE, de 24 de octubre, sobre protecciónde las personas físicas en lo que respecta al tratamiento de datos personalesy a la libre circulación de éstos (DOCE 24-VII-1995)

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información yde comercio electrónico

Como complemento adicional a la legislación vigente en protección de datos decarácter personal, se establece la norma internacional UNE ISO/IEC 17799 2005 “ Código de Buenas Prácticas para la gestión de la seguridad de la información” .

PSI.2.1 – La protección de datos: Activo principal de la empresa La protección de datos de carácter personal o empresarial en la empresa serácatalogada de primer orden por su gran importancia, la cuál el ASRS, deberáadoptar las medidas de índole técnica y organizativas necesarias que garanticenla seguridad de los datos y eviten su alteración, perdida, tratamiento o acceso noautorizado, habida cuenta de la naturaleza de los datos almacenados y los riegosa que están ex puestos, ya provengan de la acción humana o del medio físico onatural. Es aconsejable digitalizar todos los documentos escritos y garantizar respaldos losuficientemente estables, que contengan datos de carácter personal o empresarialque ex istan o sean incorporados a la empresa, destruyéndolos o archivándolos deuna forma segura para garantizar la integridad y confidencialidad de los mismos. La dirección y gerencia de la empresa definirá bajo su responsabilidad ladiferenciación de la información de los datos de carácter personal de lospropiamente empresariales a través del listado de clasificación PSI21-NI-PERSONAL para datos personales, y del PSI21-NI-EMPRESARIAL para los decarácter empresarial. Catalogaremos en este plan los datos en dos niveles deseguridad, como se presenta a continuación:

1.- Nivel personal Se incluyen en este nivel todos los ficheros o bases de datos de carácterpersonal que contengan datos de ideología, afiliación a un sindicato,creencias, salud, vida sex ual, orientación racial, nombre, D N.I, etc.-, entreotros. La LOPD distingue tres niveles, Bajo, Medio y Alto. En este Plan deseguridad se considerarán todos los datos de carácter personal de nivel alto,por lo que se establecerán las máx imas medidas de seguridad en elalmacenamiento y tratamiento de los mismos. 2.- Nivel empresarial Se incluyen en este nivel todos los ficheros o bases de datos de carácterempresarial que contengan datos relativos a la información Tributariaderivada del o los ejercicios, de las entidades financieras, entidades degestión, Seguridad Social, mutuas de accidentes de trabajo, enfermedadesprofesionales de la Seguridad Social, facturas, presupuestos, escritos,notificaciones, informes de tesorería, entre otros. Se incluyen todos losdocumentos necesarios para el funcionamiento normal de la empresa.

Por consiguiente, en los siguientes apartados se definirán las medidas, normas,procedimientos, y estándares encaminados a garantizar por parte de la empresalos niveles de seguridad ex igidos. 1.- Identificación y autentificación Las medidas y normas relativas a la identificación del personal autorizado porparte del ASRS para el acceso a los datos de la empresa se especifican conclaridad en el apartado PSI.1.1. Gestión y Administración de cuentas de usuarioy contraseñas.

2.- Control de acceso Los usuarios del sistema sólo accederán a aquellos datos y recursos que seannecesarios para la realización de sus funciones dentro de la empresa, por lo quese deben establecer los mecanismos necesarios para evitar que algún usuariopueda acceder a recursos o servicios dentro del sistema en los que no tengaautorización. Por consiguiente, el control de acceso al igual que en el apartado anterior, esespecificado con claridad en el apartado PSI.1.1,- Gestión y Administración decuentas de usuario y contraseñas -. Es importante señalar que un usuario puedeacceder a diferentes niveles de autorización con su correspondienteautentificación, en los cuáles tendrá acceso a diferentes recursos en los que leserán establecidos los permisos correspondientes, por lo que en la ficha PSI11-Ase deberá especificar o crear una hoja nueva, aún siendo el mismo usuario, paracada nivel nuevo de acceso, recayendo esta tarea en el ASRS. 3.- Registros de acceso El acceso por parte de algún usuario a ficheros o datos de carácter personaldeberá ser autorizado y registrado por el ASRS, o usuarios debidamenteautorizados por él (- los usuarios autorizados por el administrador se establecen enel documento PSI21-ACCESS, el cuál será único para cada usuario -), a través deldocumento de registro único PSI21-A, autorizando al mismo al acceso a lainformación requerida. Se debe autorizar a cada usuario a través de estedocumento de forma independiente. El acceso por parte de algún usuario a losdatos de carácter empresarial estará condicionado única y solamente por el nivelde acceso que se tenga al Terminal o a las aplicaciones que lo conforman. No esnecesario el registro de los accesos a ese tipo de información.

Los datos deben ser almacenados en un elemento informático específico comodiscos duros (nunca discos duros ex traíbles o de fácil acceso), particionesespecíficas protegidas, carpetas protegidas, o servidores dedicados para tal fin,siendo esta última opción la establecida por defecto, siempre y cuando seestablezcan las medidas de seguridad tanto físicas como lógicas adecuadas paragarantizar la confidencialidad, integridad y disponibilidad de los datos y que lanaturaleza del mismo sea de carácter independiente. No se autoriza elalmacenamiento en soportes online basados en servidor, sea cuál sea sunaturaleza, aunque este condicionante será revisable en el tiempo en función de laevolución de la tecnología. Cabe señalar, que el registro de acceso para datos de carácter personal será parteintegrante del Plan de Seguridad Informática y que en ningún caso, será destruidoen un periodo inferior a dos años. El ASRS principal tiene la obligación de revisaral menos una vez al mes la información de dicho registro y elaborará un informe através del documento PSI21-B, el cuál será remitido a la dirección o gerencia de laempresa para su conocimiento. Los ficheros o bases de datos de carácter personal a los que un usuario tengaacceso, previa autorización y registro por parte del ASRS, o usuarios debidamenteautorizados por él, nunca deberán ser copiados del soporte a su disco duro, discosduros locales o dispositivos de almacenamiento ex terno, sean estos de tipo localo remoto. Estos datos tienen carácter de consulta, es decir de “ solo-lectura“ , porconsiguiente, es obligación del ASRS garantizar esta protección estableciendo lospermisos correspondientes en el servidor de datos. No sucede lo mismo con losdatos de carácter empresarial, que estarán condicionados por los permisos deacceso establecidos por el ASRS a cada cuenta de usuario, en función de la tareade este último dentro de la empresa.

En caso producirse alguna incidencia por el uso indebido o no autorizado de lamisma o por cualquier otra circunstancia en la que se pueda ver comprometido elsoporte o los datos tanto de carácter personal o empresarial, el ASRS principaltiene la obligación de comunicar inmediatamente verbalmente y por escrito através del documento de urgencia de datos PSI21- NC a la dirección o gerencia dela empresa dicha incidencia con carácter urgente. 4.- Gestión de soportes y documentos Los soportes informáticos que contengan los datos de carácter personal oempresarial, serán independientes uno del otro, sean estos físicos o virtuales, ypodrán formar parte o no del servidor o servidores principales, aunque esta opciónno es del todo aconsejable. Se especificarán en ambos casos la información quecontienen, así mismo, serán establecidos según la premisa de “ Accesorestringido” , es decir, serán ubicados en lugar seguro dentro de la empresa. Losaccesos a dichos soportes se limitarán al ASRS o usuarios debidamenteautorizados. Si por alguna circunstancia es necesario el acceso a dicho lugarrestringido por personal no autorizado, personal ajeno a la empresa o por razonesde urgencia o fuerza mayor, estos serán acompañados en todo momento por elASRS . Todos estos accesos al soporte serán registrados debidamente en el documentode registro PSI21-C. La ubicación y características de los mismos, así como losdatos que contienen, será registrado en el documento de registro PSI21-D. Queda terminantemente prohibido la salida de soportes y documentos quecontengan datos de carácter personal o empresarial fuera de la empresa, sea cuálsea el motivo o ámbito del mismo, sin la autorización por parte del ASRS, el cuállo deberá registrar a través del documento de registro PSI21-E, y será único paracada salida. Los mismos deben ser cifrados siempre que sea posible, para

garantizar su integridad y confidencialidad durante su transporte al lugar dedestino. Así mismo, se prohíbe la conex ión directa, inalámbrica o de cualquier otra índole onaturaleza al soporte de datos, con la única ex cepción del acceso previamenteestablecido basado en la red de la empresa. Ante reparaciones ex ternas del soporte de datos, sea esta realizada por elproveedor habitual de informática o por otro de iguales características, el ASRStiene la obligación de transmitir al proveedor la naturaleza de los datos quecontiene el soporte, advirtiéndole de la responsabilidad que adquiere a larecepción del mismo. Dicha responsabilidad deberá ser aceptada por el proveedor de informática yquedará reflejada en el documento de cesión PSI21-E-R, en el cuál se le informaal proveedor de las consecuencias que le reportaría el mal uso de la misma,pérdida o falta de medios de protección de dicha información. Cualquier acción realizada por el ASRS en el soporte, sea esta de carácterpuramente técnica o administrativa, como instalación de nuevos discos duros,componentes de almacenamiento nuevos, respaldos, traspaso de datos,reparaciones o cualquier acción, será registrada en el documento de registroPSI21-F. En caso de proceder a dar de alta un soporte de datos dentro de la empresa, estedeberá ser autorizado por la dirección o gerencia de la empresa, por lo que elASRS deberá remitir un informe según el modelo PSI21-ALTA-SOPORTE lo másdetallado posible indicando el motivo que origina dicha decisión, ubicación,naturaleza de los datos al que va a ser dedicado y las actuaciones en materia deseguridad que se adoptarán para la introducción de los mismos. Así mismo, la

dirección o gerencia de la empresa deberá autorizar el alta por escrito al ASRS, através del documento PSI21-SOPORTE-ALTA. El ASRS registrará el alta de lossoportes nuevos en el registro de altas materiales PSI21-MATERIALES-ALTA. En caso de proceder a la baja del soporte de datos sea esta por renovación,ampliación, capacidad, seguridad, etc.-, deberá ser autorizado en última instanciapor la dirección o gerencia de la empresa, por lo que el ASRS deberá remitir uninforme según el modelo PSI21-BAJA-SOPORTE lo más detallado posibleindicando las causas que originan a su parecer dicha decisión, así como, lasmedidas que se adoptarán para salvaguardar los datos que contienen durante eltiempo que dure el proceso. Así mismo, la dirección o gerencia de la empresadeberá autorizar por escrito al ASRS, a través del documento PSI21-SOPORTE-BAJA, la baja del mismo. El ASRS registrará la baja de los soportes en el registrode bajas materiales PSI21-MATERIALES-BAJA. 5.- Criterios de archivo Es importante garantizar en todo momento la correcta conservación de losarchivos, (- sean estos independientes o aquellos agrupados en una base de datos-), incluidos en el soporte de almacenamiento, así como garantizar si procede, elejercicio de los derechos de oposición al tratamiento, acceso, rectificación ycancelación de los mismos. En este último caso, cualquier acción de lasanteriormente citadas será registrada en el documento PSI21-G correspondiente. 6.- Copias de respaldo El ASRS, tiene la obligación de realizar copias de respaldo como mínimo una veza la semana. Estos respaldos serán realizados manualmente o automatizados, yserán ex ternos al soporte. Generalmente estos respaldos serán redirigidos a unservidor paralelo de iguales características a través de una red interna física,

independiente y segura de no acceso. Este servidor podrá estar ubicado o no en elmismo lugar del soporte origen, (- aunque es del todo recomendable su ubicaciónen una estancia diferente y alejada una de la otra -), para garantizar al máx imo lainformación por posibles desastres como por ejemplo, incendios o inundaciones. Se autoriza también el respaldo de los datos en un servidor ex terno propiedad dela empresa que cumpla con las características citadas anteriormente y que estéubicado en un domicilio social diferente, todo ello debe ser realizado por el ASRS,de una forma manual y a través de una red privada VPN o similar habilitada paratal fin. No se autoriza el respaldo en soportes online ex ternos basados en servidor,sea cuál sea su naturaleza. Las copias de respaldo serán registradas a través deldocumento de registro único e independiente por respaldo PSI21-BACKUP, seanestas de carácter manual o automático programado. En caso de respaldoautomático, el ASRS deberá registrar y comprobar el mismo para asegurarse deque la operación se ha realizado con éx ito. La opción de respaldo más segura esla manual, dónde el ASRS podrá comprobar en todo momento la cantidad de datosrespaldados por el total de Bytes en comparación realizados. 7.- Formación de los usuarios , directivos, gerencia y ASRS enmateria de seguridad La formación de los usuarios, directivos, gerencia o cualquier personal implicadodirectamente en funciones administrativas de la empresa, es de vital importanciapara garantizar que todo funcione correctamente. De nada vale tener un sistemainformático a nivel de hardware o software de primera calidad, sistemas devigilancia perimetral o interna, procedimientos o reglas definidas a través de unmanual de seguridad, si la falta de formación en el uso de los servicios o recursosde los usuarios del sistema puede ocasionar perdida de información, desastres enlos respaldos o peor aún, un compromiso total o parcial del sistema por parte deagente maligno ex terno o interno.

Por consiguiente es necesario que los usuarios, directivos, gerencia o cualquierpersonal que interactúe con el sistema, realicen un curso evaluable y certificadode formación básica de seguridad y uso de servicios o recursos empleados en supuesto de trabajo a través del curso básico de seguridad de los ex istentesen elmercado de formación .

Así mismo, el ASRS o usuarios debidamente autorizados por él, deberán formarsey certificarse en un curso avanzado de seguridad de la información o HackingÉtico, de índole técnico y evaluable, para garantizar al máx imo su preparación yasí conocer perfectamente el sistema que tienen en sus manos y susresponsabilidades frente a él. La designación del administrador del sistema o responsable de seguridad ASRS,estará condicionado en todo momento por la dimensión de la empresa, lainformación o datos que esta requiera protege o tratar y el efecto económicoindirecto o directo que representa en la misma dicho puesto. Es importante señalar que nuestras empresas y organizaciones suelen ser reaciasa la implantación de sistemas de seguridad de la información porque asumen queno es necesario ni de vital importancia para la continuidad de su negocio oactividad, nada más lejos de la realidad, dónde las tendencias empresariales yorganizativas son cada vez más dependientes de las tecnologías, si además, seles presenta la necesidad de establecer un responsable de seguridad, la reacciónadversa aún es mayor, ya que las mismas entienden que esto supondría gastos nopropios de la actividad a la que se dedican. Por consiguiente, en este modelo de Plan de Seguridad Informática (PSI) seproponen las siguientes opciones para la implantación de un responsable ASRS,tal y como se detallan a continuación:

1.- ASRS Residente: Entendemos como ASRS residente aquel personaldentro de la empresa con conocimientos básicos o medios de informática,con independencia del puesto que este desempeña, que voluntariamentequiera o desee optar a dicho puesto, con o sin perjuicio del actualmentedesempeñado. Este PSI no establece reglas, normas, ni actuaciones a larelación nueva que pueda surgir entre ambas partes, pero si ex ige que entrelas mismas se establezca un contrato de confidencialidad interno en lo que adatos, equipamientos, servicios o recursos confidenciales o reservados serefiere. El contrato de confidencialidad se regirá según el contrato PSIASRS.El ASRS deberá formarse y certificarse en seguridad informática a través delcurso evaluable de capacitación de índole técnico, en horarios no laborableso parcialmente laborables.

2.- ASRS Incorporado: Entendemos como ASRS Incorporado aquel nuevopersonal contratado específicamente por la empresa con conocimientosmedios o altos de informática, (- no necesariamente se requiere un ingenierotécnico en informática -), con titulación mínima en formación profesional osimilar, con una ex periencia mínima demostrable de un año. Igualmente, elPSI no establece reglas, normas, ni actuaciones a la relación laboral quepueda surgir entre ambas partes, pero si ex ige que entre las mismas seestablezca un contrato de confidencialidad interno en lo que a datos,equipamientos, servicios o recursos confidenciales o reservados se refiere.El contrato de confidencialidad se regirá según el contrato PSIASRS. ElASRS deberá formarse y certificarse en seguridad informática a través delcurso evaluable de capacitación de índole técnico, en horarios no laborableso parcialmente laborables. 3.- ASRS Compartido: Entendemos como ASRS compartido a la relacióncontractual de servicios y colaboración técnica entre un proveedor de

servicios en seguridad informática o Hacking ético y la empresa, a través delASRS Residente o Incorporado designado para tal efecto. Este PSI ex igeque entre ambas partes se establezca un contrato de confidencialidad internoen lo que a datos, equipamientos, servicios o recursos confidenciales oreservados se refiere. El contrato de confidencialidad se regirá según elcontrato PSISHARE.

8.- Información sobre normas, obligaciones, prohibiciones yconsecuencias al personal La empresa remitirá por escrito a todo el personal, las normas, obligaciones,prohibiciones y consecuencias del uso de su puesto de trabajo, el cuál deberá serfirmado y aceptado por cada usuario, a través del documento informativoPSI21 NFO. Estas normas establecen los principios básicos de uso de losdispositivos, servicios o recursos que serán puestos a su disposición en supuesto de trabajo y la interacción de este con el sistema en general, además seestablecerán las consecuencias que se originan del incumplimiento de lasmismos. 9.- Digitalización y clasificación de la información ex istente La digitalización de la información ex istente se deberá realizar en lasdependencias o instalaciones de la empresa, en un espacio reservado destinadopara dicha tarea y a través de un Terminal y dispositivo scanner técnico. La tareaencomendada será realizada única y solamente por los operarios de seguridadinformática especializada en colaboración estrecha con el personal de la empresa,que irá facilitando la documentación que estime oportuna para ser digitalizada. El criterio de clasificación de la información será responsabilidad única ysolamente de la empresa, a través de las indicaciones de los usuarios designados

para la colaboración o en contacto directo con la dirección o gerencia de la misma.Es habitual clasificar la información trasladándola al soporte digital tal cuál estáregistrada en formato tradicional, ya que esto garantizará al máx imo el manejoinmediato por el personal autorizado. La empresa técnica designada aconsejarásobre el ordenamiento de la misma, que debe ser jerárquica, ordenadaalfabéticamente o numerada, entre otras opciones de almacenamiento, las cualesquedarán reflejadas en el documento gráfico PSI21-CLS-PERSONAL, en el casode información de carácter personal, o en el documento gráfico PSI21-CLS-EMPRESARIAL, en el caso de información personal. Ambos documentos relejaránlas carpetas principales de almacenamiento. Las secciones o subcarpetas serándefinidas por el personal de acceso autorizado al recurso o carpeta principal, seráfijo o variable y se adaptará en todo momento a las variaciones de la empresa. La digitalización de los documentos será simple o agrupada, dependiendo de si sequiere digitalizar documentos independientes o agrupaciones de ellos, como porejemplo, los documentos de finiquito de una persona dentro de la empresa. Por consiguiente, se presentan a continuación los formatos y normas que seemplearán para la digitalización de los documentos:

Formato: El formato empleado en la digitalización será < PDF >, con lo quese garantizará la portabilidad de los mismos a diferentes sistemas. Esimprescindible tener actualizados las aplicaciones de gestión dedocumentos PDF en los terminales de trabajo, para garantizarcompatibilidades. Directorios: El nombre de los directorios/carpetas o subdirectorios-hijos/subcarpetas se establecerán en mayúsculas. Nombre fichero: El nombre del fichero estará condicionado por la naturaleza

del mismo y se especificará con el siguiente formato:

Datos de carácter personal: <per.nombre>.<ex tensión> Datos de carácter empresarial: <em.nombre>.<ex tensión>

En caso de nombres largos estos estarán separados únicamente por puntos:

Ejemplo ; per.18102011.finiquito.Ramon.doc

10.- Borrado de datos El borrado manual de datos con independencia de la naturaleza que sea, serárealizado de forma conjunta a través de una “ papelera” o carpeta específicacreada para dicha tarea, los mismos serán borrados única y solamente por elASRS. Es posible que el borrado de datos sea gestionado por una aplicaciónespecífica, en dónde en este caso, el borrado será realizado por los usuarios delsistema. Todo el proceso deberá ser autorizado por parte de la dirección o gerencia de laempresa a través del documento PSI21-CLS-DATOS que le será remitido al ASRS,el cuál deberá pedir autorización a la dirección o gerencia de la empresa para elborrado de dicha carpeta o registros de la aplicación específica, a través deldocumento de autorización PSI21-CLS-DATOS-AUT. Los usuarios autorizados eliminarán los archivos no necesarios enviándolos haciala “ papelera” o carpeta específica destinada para tal fin, en caso de tratamientomanual de la información. En el caso de borrado específico a través de unaaplicación de interface local o de acceso Web, los usuarios deberán antes deproceder al borrado de la misma, registrar los archivos que desean borrar a travésdel documento de registro PSI21-CLS-AUTOMA, el cuál será remitido al ASRS

para que este proceda a la solicitud de autorización de borrado a la dirección ogerencia de la empresa a través del documento citado con anterioridad PSI21-CLS-DATOS-AUT, adjuntando el registro PSI21-CLS-AUTOMA, y en caso afirmativoproceder al borrado total o parcial de los mismos.

Documentos

PSI21-ACCESS, PSI21-A, PSI21-B, PSI21- NC, PSI21-C, PSI21-D, PSI21-E,PSI21-E-R,PSI21-F,PSI21-ALTA-SOPORTE,PSI21-SOPORTE-ALTA,PSI21-MATERIALES-ALTA,PSI21-BAJA-SOPORTE,PSI21-SOPORTE-BAJA,PSI21-MATERIALES-BAJA, PSI21-G, PSI21-BACKUP, PSI21-CLS-PERSONAL YPSI21-CLS-EMPRESARIAL, PSI21-CLS-DATOS, PSI21-CLS-DATOS-AUT,PSI21-CLS-AUTOMA PSI.2.2 – Clasificación y Comunicación de información:Confidencial y Reservada La dirección o gerencia de la empresa establecerá los criterios de clasificación dela información, los cuáles se regirán en función del valor negativo que supondría laperdida, robo o filtración de la misma para la empresa. El acceso a dichosrecursos en el sistema es ex clusivo de la dirección, gerencia o personalex plícitamente autorizado, todos ellos debidamente autorizados por el Gerente oDirector general de la empresa a través del documento PSI22-AUTOR DAD, seráde carácter individual y se establecerán los permisos correspondientes. A continuación se establecen las dos clasificaciones de la información que seregirán en este PSI:

Confidencial: Datos o ficheros de carácter individual tanto empresarialescomo personales. La cesión interna de los mismos no podrá ex ceder de 24

horas, será de carácter físico por impresión y trasmitida personalmente.

Dichos documentos pueden ser autorizados por cualquier usuario de ladirección, gerencia o personal de la misma ex plícitamente autorizado.Son ficheros o documentos generalmente de carácter empresarial dóndeel riesgo no es muy elevado pero si interesa limitar su divulgación comomero hecho preventivo. La cesión interna de los mismos seráestablecida a través del documento de autorización PSI22-CORE-GESTOR-CONF- NT. La cesión de los mismos a terceros fuera delámbito de la empresa está ex presamente prohibida, con la ex cepciónfinal o autorización del Gerente o Director general de la empresa, será decarácter físico por impresión y trasmitida personalmente. La cesión serásiempre establecida a través del documento de autorización PSI22-CORE-GESTOR-CONF.

Reservado: Datos o ficheros de carácter individual tanto empresariales comopersonales. La cesión interna de los mismos no podrá ex ceder de 2 horas,será de carácter físico por impresión, trasmitida personalmente y de carácterúnicamente empresarial nunca personal. Dichos documentos pueden serúnicamente autorizados por el gerente de la empresa, además, la cesión delos mismos a terceros fuera del ámbito de la empresa está totalmenteprohibida. Así mismo, la cesión de documentos físicos reservados internosserá consensuada entre ambas partes a través del documento de cesiónPSI22-CORE-GESTOR-RESV, en dónde se indicará al destinatario laresponsabilidad única que adquiere en el uso y custodia del mismo.

El ASRS, establecerá los accesos a la información clasificada así como lospermisos correspondientes para cada usuario de la dirección, gerencia o personalex plícitamente autorizado, los cuáles tendrán acceso total o parcial a todos losrecursos del soporte de datos clasificados. El ASRS, establecerá todos los

recursos necesarios en el soporte de datos correspondiente para garantizar laintegridad y confidencialidad de la información, serán únicos e independientes nivinculantes unos con otros. Así mismo, autorizará los accesos y permisos a losrecursos de clasificación de la información por parte de los usuarios de ladirección, gerencia o personal ex plícitamente autorizado, a través del documentode registro PSI22-CORE. La impresión mecánica o digitalización de la información de carácter confidencialo reservada, deberá ser etiquetada con su sello correspondiente, así mismo seestablecerán unos registros de seguimiento de retorno a través de los documentosde cesión PSI22-RETORNO-CORE-CONF, para los datos Confidenciales y PSI22-RETORNO-CORE-RESV para los Reservados, los cuáles permanecerán abiertoshasta la devolución de los mismos, siendo responsabilidad única de la dirección,gerencia o personal ex plícitamente autorizado para los datos de carácterConfidencial y del Gerente de la empresa para los Reservados , el registro yseguimiento de los documentos que se ceden.

Documentos PSI22-AUTORIDAD, PSI22-CORE-GESTOR-CONF, PSI22-CORE, PSI22-RETORNO-CORE-CONF, PSI22-RETORNO-CORE-RESV, PSI22-CORE-CESTOR-RESV, PSI22-CORE-GESTOR-CONF-INT PSI.2.3 – Contratos con terceros La contratación de servicios ex ternos en la empresa y sobre todo en la Pymeactual es algo cotidiano, desde subcontratación de servicios de asesorías fiscaleso laborales, hosting Web, despachos de abogados o simplemente subcontrataciónde trabajos asociados a la actividad de la empresa.

El ámbito de actuación es muy variado y específico, no es lo mismo una empresasubcontratada de carácter administrativo que tendrá acceso a información limitadao no, que una empresa que realice trabajos de albañilería subcontratados asociadoa la actividad real de la empresa, en la que el acceso a datos es nula o muylimitada, además que la subcontratación se regirá por las leyes actuales en vigor,sí procede. En este Plan nos ceñiremos única y solamente a aquellos tipos desubcontratación en la que los datos de la empresa puedan verse comprometidos osimplemente se puedan acceder a los mismos por terceras personas. Porconsiguiente, es necesario regular formalmente los servicios entre la empresa yterceros, desde el punto de vista del personal y recursos. La redacción de contratos con terceros para la prestación de servicios estánregidos por la Ley de protección de Datos, así como definidos también en normasISO, en la que nos indica que :

El tratamiento de datos por terceros debemos regularla con un contrato entreambas partes. Dicho contrato lo estableceremos a través del documentocontractual interno PSI23-TERCEROS. El personal que se dedica al tratamiento de la información tendrá que adoptarlas medidas técnicas y organizativas necesarias para garantizar la seguridadde los datos, principalmente los de carácter personal, para de esta formaevitar la posible pérdida, alteración o acceso no autorizado a la misma. Debemos garantizar en todo momento que las medidas de seguridad,servicios implicados y niveles de entrega estipulados en el contrato deservicio con terceros, se ponen en práctica y se mantienen.

Debemos requerir en todo momento a la empresa subcontratada y a susempleados implicados directamente en el manejo de la información, laaplicación de las medidas de seguridad.

La relación contractual entre la empresa y terceros es posible que pueda sufrirvariaciones en el tiempo asociado al cambio en las condiciones, finalización deservicios subcontratados, revisión en la prestación de los serviciossubcontratados que puedan afectar a la confidencialidad o medidas de seguridad,revisión de las cláusulas de protección de datos de carácter personal, entre otrosposibles factores. Por consiguiente, cualquier modificación de las condiciones, servicios, etc.-,establecidos en el contrato que regulan el tratamiento de la información porterceros y la empresa, se anex ará al final del mismo y será, ordenadonuméricamente y hará referencia a la cláusula, apartado o sección a la que serefiere sin modificación de la misma. Una vez finalizada la subcontratación del servicio estipulado en el contrato, losdatos sean estos de carácter empresarial o personal, deberán ser devueltos a laempresa en un plazo no superior a siete días después de la firma del documentode finiquito consensuado entre ambas partes, que será establecido a través deldocumento de finalización de servicios PSI23-FINIQUITO-TERCEROS. PSI.2.4– Comunicación de información no clasificada conterceros subcontratados Los medios para la comunicación o intercambio de información no clasificada conterceros sean estos físicos o digitales como, cdroms, llaves usb, discos durosex ternos, correos electrónicos, documentos, etc.- generan amenazas para la

confidencialidad e integración de la información. Por consiguiente, la entrega de información no clasificada por parte de losusuarios, dirección o gerencia de la empresa a terceros, a través de soportesdigitales como cdroms, llaves usb, discos duros, memorias flash o cualquierdispositivo de almacenamiento, queda ex presamente prohibida, por lo que elASRS establecerá las medidas físicas necesarias en los terminales o puestos detrabajo que se regulan en cinco (5) normas en el documento PSI24-TERM NALES-SEG. Se establecerán tres niveles de seguridad, ALTO, MEDIO y NORMAL. Escompetencia de la dirección o gerencia de la empresa el empleo del niveladecuado para cada circunstancia o necesidad, tal como se ex ponen acontinuación:

1.- ALTO: A través de un recurso compartido designado para tal fin por elASRS en el soporte de datos, dónde se establecerán carpetas de envíoclasificadas por proveedor subcontratado, designadas en el documentoPSI241-RECO en dónde se asociará cada carpeta a unas cuentas de correopredeterminadas por usuarios. Los usuarios, dirección o gerencia de la empresa que deseen enviar datos noclasificados a los proveedores subcontratados depositarán una copiacomprimida de los mismos en las subcarpetas de los proveedores a los quedeseen enviar la información, la misma será comprimida a través delcompresor habitual del Terminal o puesto de trabajo, (-se recomienda usar elcompresor/descompresor de archivos Winrar, con formato rar-), en la queadjuntarán los archivos deseados, así como se establecerá en la pantalla deconfiguración en la pestaña comentario el cuerpo del mensaje a sudestinatario

El método de envío de la información podrá ser manual realizada por elASRS o automática realizada por un proceso o aplicación destinada para talfin.

1.1.- En caso de envío manual, el ASRS o usuario autorizado por él para larealización de dicha tarea administrativa, enviará los ficheros por correoelectrónico a sus destinatarios.

Es importante recordar que las comunicaciones a través del correoelectrónico con terceros subcontratados deben llevar una certificación digitalpara garantizar la identidad de la misma en ambos sentidos, siendo laresponsabilidad del ASRS garantizar dicha premisa en los correos de laempresa, así mismo, deberá suministrar al proveedor el certificado digitalpertinente para que pueda recibir y autentificar la información que este últimoreciba la empresa. El ASRS, creará una cuenta de correo específica para el envío de lainformación a los proveedores, denominada:

asrs.NOMBREEMPRESA@ISP

Así mismo, notificará a los destinatarios que no respondan al correo enviadoy les recordará que en caso de querer enviar o reenviar correos lo hagan a lascuentas habituales de trabajo con la empresa. En caso de recibir algúncorreo en esta cuenta de alguno de los proveedores habilitados, el ASRS lesenviará un correo electrónico indicándoles tal circunstancia, reenviará elmismo al usuario destinatario de la empresa y borrará el correo entrante de labandeja de entrada de su cliente de correo.

1.2.- En caso de envío automático, este será realizado por un procesoscript o aplicación interna y local al soporte de datos. Esta opción liberaríapor completo del trabajo al ASRS, aunque no le ex imiría de suresponsabilidad de control. Es importante recordar que esta opcióngeneraría un costo considerable para la empresa asociado al desarrollo deun producto informático específico.

2.- MEDIO: Este nivel incluye la entrega de la documentación a través delcorreo electrónico del cliente al proveedor a través del personal de la mismaque este autorizado para ello. Las comunicaciones a través del correoelectrónico con terceros subcontratados deben realizarse certificadas paragarantizar la identidad de la misma en ambos sentidos del proceso, siendo laresponsabilidad del ASRS garantizar dicha premisa en los correos de laempresa, así mismo, suministrará al proveedor el certificado digital pertinentepara que pueda recibir y autentificar la información que este último reciba dela empresa. Esta suele ser la opción habitual más ex tendida en lasempresas en la actualidad. No se necesita realizar registro alguno. 3.- NORMAL: Este nivel incluye la entrega de la documentación físicamenteal proveedor a través del personal de la misma que este autorizado para ello.Esta será entregada única y solamente agrupada, ordenada y clasificada enuna carpeta A/Z o similar, con independencia del tamaño de la misma, y seráregistrada su salida y entrada a través del documento de cesión dedocumentación PSI243-CESION. Los plazos de devolución de la mismaserán consensuados entre ambas partes, así mismo, el personal que recibadicha documentación deberá firmar el documento de cesión PSI243-PROVEEDOR, en el cuál se le informa de las consecuencias que lereportaría el mal uso de la misma, pérdida o falta de medios de protección dedicha información.

En todos los casos o niveles, solo esta permitido la cesión de datos de carácterempresarial. En caso de la necesidad del envío por parte de la empresa de datosde carácter personal, la dirección, gerencia o personal de la mismaex clusivamente autorizado, deberá clasificar y enviar la documentación comoConfidencial, tal como se especifica en la norma o política PSI 2 2,desclasificándola y archivándola si procede, una vez recibida la misma delproveedor. Todo usuario deberá ser autorizado a través del documento PSI24-AUT por partede la dirección o gerencia de la empresa, para la cesión de documentaciónempresarial a terceros, independientemente del nivel designado.

Documentos

PSI241-RECO, PSI243-CESION, PSI243-PROVEEDOR, PSI24-AUT

PSI.2.5– Serv icios públicos de información El uso de los servicios públicos de información como puede ser Internet oconex iones seguras con terceros dentro de la empresa como canales VPN, puedeocasionar problemas de seguridad. Por consiguiente, aunque no ex iste en laactualidad ninguna normativa que regule ex presamente este punto, se debe limitarel uso de estos canales al personal debidamente autorizado para ello. Losusuarios debidamente autorizados por el ASRS, serán registrados en el documentode acceso público PSI25-PUBLICO, que será de carácter único y personal, asímismo, el ASRS deberá tomar las medidas de índole técnico o administrativasnecesarias para garantizar la limitación de estos canales a los usuarios de laempresa que no estén autorizados para su uso.

PSI.2.6– Respuesta ante incidencias detectadas por los usuariosdel sistema La formación o instrucción de los usuarios por parte del ASRS en la respuesta antecualquier incidencia en su Terminal o puesto de trabajo, es de vital importanciapara mantener y gestionar eficientemente el sistema de información de la empresa.Una inadecuada repuesta ante una incidencia, hace que los tiempos de reacciónpara poder solucionar el problema aumenten, originando posibles problemas deseguridad. Definiremos los dos posibles niveles o escenarios que pueden producirse en unpuesto de trabajo ante una incidencia: Incidencia Parcial e Incidencia Total.

1.- Incidencia Parcial Una incidencia parcial de seguridad es aquella incidencia que compromete opuede poner en peligro nuestro Terminal y que no impide el uso del mismopor parte del usuario. Cualquier usuario que detecte o tenga sospechas dealguna posible incidencia sobre su Terminal deberá seguir los pasos deactuación que se definen a continuación:

1.1- Comunicar en la mayor brevedad posible al ASRS o personaldebidamente autorizado por él, la incidencia observada o sufrida, a travésdel documento de incidencias PSI26- NC-PARCIAL. El proceso decomunicación al ASRS será por orden de preferencia tal y como se indicaa continuación: 1.1.1- A través del REGASRS (Registro compartido de comunicacionescon el administrador del sistema)

1.1 2- A través del Correo electrónico habitual 1.1 3- Entregado personalmente a mano al ASRS

1.2.- Paralizar inmediatamente la actividad en el Terminal, poniéndolo enreposo hasta la llegada o monitorización del ASRS. 1.3.- Mantener en todo momento la discreción y silencio con otrosusuarios del mismo o distinto departamento. No debemos olvidar que laaparición de una incidencia puede tener como origen una actividadmalintencionada interna como ex terna.

2.- Incidencia Total Una incidencia total de seguridad es aquella incidencia que compromete opuede poner en peligro nuestro Terminal y que impide el uso del mismo porparte del usuario. Cualquier usuario ante esta situación límite ocasionada ono por una incidencia, seguirá los pasos de actuación que se definen acontinuación:

2.1- Comunicar en la mayor brevedad posible al ASRS o personaldebidamente autorizado por él, la incidencia observada o sufrida, a travésdel documento de incidencias PSI26- NC-TOTAL. El proceso decomunicación al ASRS será entregado personalmente a mano. 2.2.- Mantener en todo momento la discreción y silencio con otrosusuarios del mismo o distinto departamento.

Así mismo, el ASRS activará los procedimientos establecidos en la norma opolítica PSI.1.9, activando la sección que corresponda o estime oportuna y

generando los registros e informes pertinentes, así mismo, deberá adjuntarlos documentos de incidencias enviados por los usuarios a los registros dedicho apartado que procedan.

PSI.2.7– Uso de dispositivos móviles Los dispositivos móviles como portátiles, agendas digitales, teléfonos de últimageneración, Ipads, etc.-, pueden generar todo tipo de vulnerabilidades en laseguridad de la empresa, por su facilidad de uso, gran movilidad y capacidad dealmacenamiento, que permiten el flujo de información sin control alguno. Por consiguiente, necesitamos realizar una clasificación de la información, queincluya básicamente la identificación de los dispositivos móviles y la informaciónque almacenan. Es importante reseñar que sólo esta permitido el almacenamientode información no clasificada de carácter empresarial, así mismo, la conex ión delos mismos a la red de la empresa será limitada por recursos específicos ydispositivo. A continuación, se establecen las siguientes normas o procedimientosde actuación:

1.- El ASRS procederá a realizar un inventario de todos los dispositivosmóviles ex istentes en la empresa, indicando el responsable del mismo,datos que contiene, accesos a los recursos compartidos disponibles,aplicaciones instaladas, permisos asignados, etc. Dichos dispositivosmóviles serán registrados a través del documento único por dispositivoPSI27-DISPOSITIVOS-REG. 2.- Queda prohibido la utilización de dispositivos personales o de otra índole,ajenos a la empresa para tareas administrativas, comerciales o de dirección.Así mismo, todos los dispositivos móviles autorizados y registrados nopodrán ser utilizados para otros fines para los cuáles han sido destinados.

Por consiguiente, no se podrán introducir datos personales, no se podráninstalar aplicaciones no registradas, conectarse a puntos de acceso noautorizados, etc.-. El ASRS entregará a todos los usuarios de dispositivosmóviles autorizados unas normas de comportamiento y uso para el manejo ycustodia de los mismos, especificado en el documento informativo PSI27-NORMAS-MOV LES. Así mismo, la autorización, tiempo de cesión y entregade los dispositivos móviles a los usuarios será reflejada en el documento decesión temporal PSI27-DISP-AUT. 3.- La conex ión a los recursos compartidos del sistema a través deordenadores portátiles, mini ordenadores, etc.-, se realizará al punto deacceso establecido, sea este inalámbrico o directamente por cable, en mododirectorio y autentificado. 4.-Los dispositivos inalámbricos como IPADS, IPHONES o teléfonos engeneral (1), sufren cambios prácticamente a diario en sus avancestecnológicos asociado principalmente a la gran competencia de las firmasque los desarrollan, por consiguiente, cada firma desarrolla sus productosteniendo en cuenta sus políticas de seguridad, tendencias del mercado,nuevos desarrollos o implementaciones, ideales, cuotas de mercado, etc.-,no es lo mismo la operatividad de un PAD de Apple que un Tablet con elSistema Operativo Android, basado en Linux .

Desde el punto de vista de la seguridad y no de la operatividad, este Plan deSeguridad y Protección de Datos, prohíbe el acceso de estos dispositivosinalámbricos (1) de una forma directa o a través de cualquier tipo de aplicación oprotocolo ex istente, con la ex cepción de una conex ión inalámbrica normal deacceso a Internet o a un servidor de aplicaciones a través de un navegador Web,el cuál deberá ser autentificada en todo momento.

El ASRS o usuarios autorizados por él, por seguridad, serán los únicosencargados de introducir la información no clasificada en dichos dispositivos enrequerimiento de los departamentos correspondientes, los cuales deberán indicara través del informe de actuación PSI27-DATOS-MOB LE, los mismos de unaforma detallada y clara, así mismo, suministrarán al ASRS dicho informe einformación digitalizada en PDF, para los documentos y JPG, para las imágenes,a través del recurso compartido para cada departamento MOB LEDPT.

5.- Queda prohibido la cesión, préstamo, reparación por cuenta propia, asícomo cualquier actuación que pueda poner en peligro la Confidencialidad eIntegración de la información que contienen. Los mismos tendrán a efectosde este Manual de Seguridad, carácter de “ Soporte móvil de datos” , por loque se les aplicarán las normas o procedimientos correspondientes encesión a terceros.

Documents

Plan de Seguridad Informatica