Plan De Seguridad Informtica

CAPITULO IV

74

Plan De Seguridad Informtica

ESTRATEGIAS PARA EL CUMPLIMIENTO DE POLITICAS DE SEGURIDAD.

4.1 INTRODUCCION

Para poder llegar a las estrategias para el cumplimiento de polticas de seguridad es necesario la creacin de mltiples capas de seguridad para los equipos e informacin valiosa, para as evitar que un solo nivel comprometa a la red entera. Esta proteccin por capas es requerida ante la llegada de las amenazas combinadas y el permetro de la red.

A continuacin describimos componentes fundamentales que nos pueden ayudar a brindar proteccin garantizando en gran parte el cumplimiento de las polticas de seguridad:

El software antivirus: Porque brinda proteccin contra los archivos

que entran a la red a travs de las solicitudes, las descargas, los disquetes, etc. El software antivirus busca automticamente las amenazas ms recientes, explora con frecuencia los sistemas en busca de estas amenazas y tambin realiza vigilancia en tiempo real. El software antivirus no solo proteger al servidor de aplicaciones y de base de datos, sino tambin a los firewalls y aplicaciones importantes, para evitar muchos problemas antes de que surjan.

Los firewalls son una importante lnea de defensa de la red y de toda

la informacin al explorar la informacin que entra y sale de la red para garantizar que no sucedan accesos no autorizados y evitar sufrir algunos de los ataques de DoS- Denied of Service (Denegacin de servicios) y de participar involuntariamente en uno de ellos. Los Firewalls son una herramienta importante cuando se tiene trfico de Internet.

El software de deteccin de intrusos: Con el fin de monitorear

constantemente la red en busca de actividades sospechosas o ataques directos y que alerte para que pueda actuar inmediatamente.

75

Plan De Seguridad Informtica

Determina cuando un parmetro enviado por el usuario puede ser errneo o cuando necesariamente involucra un intento de intrusin. Cierra las sesiones (y puede llegar a suspender los privilegios del usuario) ante estas situaciones. Genera como mnimo un log, estas situaciones implican siempre a un usuario autenticado.

IDS basados en equipo host: Se sitan en el servidor local y

monitorean el trfico incluyendo los registros de auditora y de incidentes.

Las redes privadas virtuales (VPN) Hoy en da son vitales si existen

conexiones remotamente a la red de la empresa. Las VPN protegen las conexiones remotas ms all del permetro para poder establecer comunicaciones seguras en Internet. Las VPN se implementarn usando: IPSec. Se implementar, aparte del servidor, un software firewall en todas las computadoras que tengan acceso a las VPN, y una eficaz proteccin antivirus.

VLANS: La implementacin de las VLAN combina la conmutacin

de Capa 2 y las tecnologas de enrutamiento de Capa 3 para limitar tanto los dominios de colisin como los dominios de broadcast. Las VLAN tambin ofrecen seguridad con la creacin de grupos VLAN que se comunican con otras VLAN a travs de routers. Una asociacin de puerto fsico se utiliza para implementar la asignacin de VLAN. La comunicacin entre VLANs se puede producir solamente a travs del router. Esto limita el tamao de los dominios de broadcast y utiliza el router para determinar si se comunicar las VLANs. pueden

Configuracin del disco: Algunas veces es difcil saber con certeza el

alcance del ataque por lo cual sera prudente volver atrs y partir de un punto seguro. La solucin de configuracin del disco puede hacer copias de seguridad de la informacin y recuperarla en su estado inicial seguro para que se pueda confiar en la integridad de la informacin

76

Plan De Seguridad Informtica

4.2 DEL USUARIO:

El usuario mediante un compromiso firmado acepta dar cumplimiento de las medidas de seguridad definidas en la poltica de seguridad informtica, destacando especficamente el mantenimiento de la confidencialidad de las claves de acceso, la no divulgacin de informacin de la organizacin, el cuidado de los recursos, la utilizacin de software sin licencia y el reporte de situaciones anormales. Debe confirmarse este compromiso anualmente o cada vez que se produzcan cambios en las funciones asignadas al personal.

Borrar los archivos innecesarios, estos son los intermedios, las versiones sin corregir, etc.

Asegurarse de que los usuarios cambien con frecuencia las contraseas y tengan cuidado de no anunciar pblicamente sus nombres y contraseas de usuario. Fomentar la creacin de claves seguras a travs del uso de las siguientes especificaciones : o Conjunto de caracteres alfa-numrico y smbolos.
o Diferenciar maysculas y minsculas

o La contrasea no deber contener datos personales ni datos de la entidad en la que se desempea. o Longitud mnima de 6 y mxima de 10 caracteres. En cada acceso se verificar el usuario que accede y se le presentan los sistemas que est autorizado a operar. Todas las transacciones que involucran el ingreso de contraseas se realizan en un ambiente seguro (protocolo SSL) con encriptacin de datos tanto para el servidor de aplicaciones como para el de Base de datos.

Si un usuario olvida la contrasea, la aplicacin no deber mostrarle la misma al administrador, y permitir que el usuario ingrese una nueva desde su terminal, la prxima vez que intente logearse.

La contrasea deber inicializarse como expirado para obligar el cambio. 77

Plan De Seguridad Informtica

4.3 DEL DEPARTAMENTO DE SISTEMAS INFORMTICOS:

Definir conjuntamente con la administracin los periodos en los que se brindar capacitacin a los empleados con respecto a seguridad informtica y al uso de recursos.

Las PCs deben tener instalado un protector de pantalla con contrasea.

Se debern definir niveles de informacin, se sugiere : o Crtica: se considera recurso crtico a aquel recurso interno que debe estar disponible solamente para un conjunto determinado de personas. o Confidencial: Se considera recurso confidencial a todo aquel que solo deber utilizarse y ser del conocimiento de miembros de la empresa. o Pblica: informacin de libre circulacin; se considera recurso disponible al pblico aquel que no requiere permanecer como de uso interno.

Proceso de mnimo privilegio, es uno de los principios ms fundamentales de seguridad. La estrategia consiste en conceder a cada objeto (usuario, programa, sistema, etc) solo aquellos permisos o privilegios que son necesarios para realizar las tareas que se program para ellos. Permite limitar los ataques y limitar el dao causado por ataques particulares. Est basada en el razonamiento de que todos los servicios ofrecidos por una red o sistema estn pensados para ser utilizados por algn perfil de usuario en particular, y no que todos los usuarios pueden utilizar todos los servicios de la red. De esta forma es posible reducir los privilegios requeridos para varias operaciones sin afectar al servicio prestado a los usuarios de la red.

Estructurar un mecanismo para prueba de fallos en la seguridad de redes ya que si un mecanismo de seguridad fallara, debera negarse el acceso a todo usuario, inclusive aquellos usuarios permitidos (no podemos determinar si lo son o si la funcin de autenticacin no est funcionando), es decir debe fallar en un estado seguro.

78

Plan De Seguridad Informtica

Generar una defensa en profundidad que se basa en la implementacin de varios mecanismos de seguridad y que cada uno de ellos refuerce a los dems. La idea es hacerle ms difcil y costoso a un atacante la tarea de violar la seguridad de la red. Esto se logra con la multiplicidad y redundancia de la proteccin, es decir, con cada mecanismo respaldando a los dems mecanismos de seguridad, de forma que si uno de esos mecanismos falla, existen otras barreras ms que vencer.

Todas las actividades crticas que se realicen en el centro de cmputo debe tener su respectiva documentacin.

Debemos instalar programas antiespas, su funcionamiento es similar al de un antivirus solamente que este software analiza el sistema en busca de programas espas como Adaware y Spyware y los eliminan.

Actualizar los antivirus con frecuencia (cada 15 das o una vez al mes sera lo ideal), ya que el grado de velocidad de aparicin de nuevos virus o variaciones de los mismos es tan alto.

Para

los computadores que tienen acceso a Internet se podra utilizar un

antivirus online que chequean su computadora mientras est conectado a Internet. Es una forma cmoda y segura de inspeccionar la computadora para encontrar todos los virus.

Instalar un cortafuegos o firewall ya que es un software destinado a garantizar la seguridad en sus comunicaciones va Internet al bloquear las entradas de su computador sin autorizacin y restringir la salida de informacin.

Estar pendiente de buscar las actualizaciones de software y aprovechar las soluciones o parches de seguridad para los agujeros que podran hacernos vulnerable a un ataque.

79

Plan De Seguridad Informtica

Adquirir el hardware necesario para la implementacin de los respaldos y definir un plan para llevar a cabo este procedimiento.

Desactivar los puntos de red que no estn siendo utilizados.

Generar documentacin de la red.

Utilizar herramientas de monitoreo de red que permitan ver y verificar el trfico de la red.

Configurar los dispositivos de acuerdo a los requerimientos del municipio y no utilizando los valores que vienen por defecto

4.4 DE LOS SISTEMAS DE INFORMACIN:

Actualizar las aplicaciones con parches de seguridad, las vulnerabilidades que se detectan en los programas informticos mas utilizados como navegadores, procesadores de texto, programas de correo, etc., son el blanco habitual de ataques. Como norma bsica debemos visitar peridicamente los sitios Web de estas compaas e instalar dichas actualizaciones.

Se deber mantener un control sobre las transacciones que sean realizadas por los usuarios en el Sistema de Gestin Municipal.

Contratar mantenimiento necesario para el sistema de informacin que se est implantando actualmente, de tal manera que se logre satisfacer todos los requerimientos de los usuarios.

Adquirir un algoritmo de encriptacin de libre distribucin, utilizar la herramienta de la base de datos que permite encriptar las claves.

80

Plan De Seguridad Informtica

CONCLUSIONES

A lo largo de esta tesina pudimos comprender que la seguridad informtica es un conjunto de recursos destinados a lograr que la informacin y los activos de una organizacin sean confidenciales, ntegros y disponibles para todos sus usuarios.

Somos conscientes de que no existe un esquema de seguridad que cubra en su totalidad los posibles riesgos, sin embargo se debe estar preparado y dispuesto a reaccionar con rapidez ya que las amenazas y las vulnerabilidades estn cambiando constantemente, de tal forma que el objetivo sea mitigarlas.

Todas las organizaciones, sin importar su tamao, ameritan contar con polticas de seguridad.

Disponer de una poltica de seguridad es importante, pero entendemos que hacer de la poltica de seguridad una parte del entorno de trabajo diario es esencial. La comunicacin con los usuarios del sistema es la clave para hacer que esta poltica sea efectiva y se genere una cultura de la seguridad.

La implantacin de una poltica de seguridad informtica en una organizacin implica un gran desafo, pero sabemos adems que es imprescindible, sobre todo si se tiene en cuenta que cada vez se produce un mayor nmero de ataques.

Nunca es fcil mencionar el tema de las amenazas de intrusos internos. En un mundo ideal, confiaramos incondicionalmente en todos nuestros empleados. Sin embargo, la realidad es que se trabaja en un entorno imperfecto donde las amenazas pueden surgir desde el interior de las cuatro paredes. Aunque las

81

Plan De Seguridad Informtica

polticas y procedimientos son esenciales para confrontar este problema, se necesitan diligencia y determinacin para resolverlo.

La clave para desarrollar con xito un programa efectivo de seguridad de la informacin consiste en recordar que las polticas, estndares y

procedimientos de seguridad de la informacin son un grupo de documentos interrelacionados.

Ponemos de manifiesto que los resultados obtenidos en el presente trabajo sean de utilidad para la Ilustre Municipalidad de Paute, de tal forma que esperamos haber contribuido en algo el desarrollo de una cultura de seguridad informtica.

Asimismo podemos afirmar que las expectativas personales tambin fueron cubiertas con xito. Nos fue posible aprender nuevos conceptos, desarrollando un trabajo de investigacin sobre temas vigentes y volcar toda la teora asimilada a un caso prctico.

Por ltimo, esperamos con este trabajo generar en el lector una inquietud que incentive a futuras investigaciones o proyectos que profundicen en el campo de la seguridad informtica.

82

Plan De Seguridad Informtica

RECOMENDACIONES

Se recomienda cada ao a la Ilustre Municipalidad de Paute llevar a cabo un anlisis de riesgos y de revisar las polticas de seguridad. As mismo, preparar un informe que muestre el estado actual en cuanto a seguridad informtica y los progresos que se han logrado, y que queden documentados dichos informes de tal manera que se permita hacer un seguimiento y a futuro hacer un anlisis de la evolucin que ha tenido la seguridad informtica en la Ilustre Municipalidad de Paute.

El cumplimiento de las polticas y estndares que surgieren respecto a seguridad informtica debera ser obligatorio y se recomienda que sea

considerado como una condicin en los contratos del personal.

Se recomienda considerar algn tipo de excepcin a las polticas tratando de que sea en el menor nmero posible, que sea para casos extremos, pero dichas excepciones deben ser documentadas y aprobadas por el rea de seguridad informtica y sean documentos auditables, se deber detallar el motivo que justifica el no-cumplimiento de la poltica.

Se recomienda seguir un esquema similar al que se expone para que se pueda alinear las medidas de seguridad con las polticas de seguridad elaboradas: o Clasificacin de la informacin o Seguridad de red y comunicaciones o Inventario de acceso a los sistemas o Campaa de concientizacin de usuarios o Estandarizar la configuracin del software base o Revisin y adaptacin de procedimientos complementarios Para cada actividad se deber implementar una serie de tareas por etapas, la

relacin de precedencia que presenta con otras actividades y un tiempo estimado de duracin. Se podra usar herramientas con fines de planificacin como puede ser Microsoft Project. 83

Plan De Seguridad Informtica

La administracin debe brindar el apoyo necesario para la implementacin exitosa de este plan de seguridad.

Debe resaltarse la importancia de apegarse a las buenas prcticas de la seguridad informtica de una forma sutil y comprensible, para que no se tome como una imposicin y cause molestias en el usuario.

84

Plan De Seguridad Informtica

ANEXOS

85