UNIDAD 5

SEGURIDAD

5.1. PERSONAL RESPONSABLE DE LA SEGURIDAD 5.1.1. POLITICAS DE SEGURIDAD Las polticas de seguridad tienen por objeto establecer los lineamientos en los cuales deben conducirse los usuarios en el uso de recursos informticos, de manera que permita garantizar la seguridad en las tecnologas de informacin. Una poltica de seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en trminos generales que est y que no est permitido en el rea de seguridad durante la operacin general del sistema se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, una poltica de seguridad es una forma de comunicarse con los usuarios. La seguridad debe ser considerada desde la fase de diseo de un sistema, como parte integral del mismo. Las polticas de seguridad deben ser definidas por los funcionarios de alto nivel, los cuales deben ser motivados de manera que tengan un rol importante. Sin perjuicio que los responsables sean todos los que participan en el sistema. Los encargados de soporte, son aquellos responsables de gestionar la seguridad informtica en la organizacin. Entre una de las maneras de establecer un sistema de seguridad tenemos que tomar en cuenta que deben de existir sealamientos en nuestro centro de cmputo. La aplicacin de los colores de seguridad se hace directamente sobre los objetos, partes de edificios, elementos de mquinas, equipos o dispositivos, los colores aplicables son los siguientes: Rojo.- Denota parada o prohibicin e identifica adems los elementos contra incendio. Se usa para indicar dispositivos de parada de emergencia o dispositivos relacionados con la seguridad cuyo uso est prohibido en circunstancias normales, por ejemplo: - Botones de alarma. - Botones, pulsador o palancas de parada de emergencia. - Botones o palanca que accionen sistema de seguridad contra incendio (rociadores, inyeccin de gas extintor, etc.). Amarillo.- Se usar solo o combinado con bandas de color negro, de igual ancho, inclinadas 45 respecto de la horizontal para indicar precaucin o advertir sobre riesgos en: Partes de mquinas que puedan golpear, cortar, electrocutar o daar de cualquier otro modo; adems se usar para enfatizar dichos riesgos en caso de quitarse las

protecciones o tapas y tambin para indicar los lmites de carrera de partes mviles. Interior o bordes de puertas o tapas que deben permanecer habitualmente cerradas, por ejemplo de: tapas de cajas de llaves, fusibles o conexiones elctricas, contacto del marco de las puertas cerradas (puerta de la caja de escalera y de la antecmara del ascensor contra incendio), de tapas de piso o de inspeccin.

Verde.- Denota condicin segura. Se usa en elementos de seguridad general, excepto incendio, por ejemplo en: Puertas de acceso a salas de primeros auxilios. Puertas o salidas de emergencia. Botiquines.

Azul.- Denota obligacin. Se aplica sobre aquellas partes de artefactos cuya remocin o accionamiento implique la obligacin de proceder con precaucin, por ejemplo: - Tapas de tableros elctricos. - Tapas de cajas de engranajes. - Cajas de comando de aparejos y mquina.

5.2 APLICACIN DEL SISTEMA DE SEGURIDAD EN UN CENTRO DE CMPUTO.

Una de las prioridades en un centro de cmputo son las prcticas de seguridad orientadas a usuarios, personal informtico y bienes informticos. La seguridad de un sistema de cmputo se da cuando: Hay confianza en l. El comportamiento del software es el esperado. La informacin almacenada es: inalterada y accesible. No solo basta que se concreten los conceptos anteriores sino se necesita un mtodo de proteccin que debe consolidar la confidencialidad de los datos que estn en circulacin en el centro de cmputo. Las diversas tcnicas que existen son las siguientes:

Confidencialidad: Ocultan datos frente a accesos no autorizados y aseguran que la informacin transmitida entre el emisor o receptor no haya sido interceptada. Integridad y autenticidad: Garantiza que los datos sean autnticos y no hayan sido alterados basndose de la identificacin de los usuarios.

 Disponibilidad: Garantiza que la informacin este habilitada para el uso comn sin hacer condicin de algn elemento privativo. No Repudio: Sirve como prueba de que un mensaje ha sido enviado por un emisor especifico y as evitar que este pueda ocultar quien es el propietario

Si se cumplen estos puntos, diremos en general que los datos estn protegidos y seguros. Ahora bien los objetivos principales de un sistema de seguridad son los siguientes: Disuadir Detectar Minimizar el impacto de prdida o desastre Investigar Recuperar

5.2.1 SEGURIDAD FISICA CONTRA CATASTROFES Cuando la prevencin es difcil por cualquier motivo (tcnico, econmico, humano) es deseable que un potencial ataque sea detectado cuanto antes, para minimizar as sus efectos. Aunque en la deteccin de problemas, generalmente accesos fsicos no autorizados, intervienen medios tcnicos, como cmaras de vigilancia de circuito cerrado o alarmas, en entornos ms normales el esfuerzo en detectar estas amenazas se ha de centrar en las personas que utilizan los sistemas y en las que sin utilizarlos estn relacionadas de cierta forma con ellos; sucede lo mismo que con la seguridad lgica: se ha de ver toda la proteccin como una cadena que falla si falla su eslabn ms dbil. Un problema que no suele ser tan habitual, pero que en caso de producirse puede acarrear gravsimas consecuencias, es el derivado de los desastres naturales y su (falta de) prevencin. Es importante distinguir entre contingencia y un desastre en materia de seguridad. El primero es una situacin que puede afectar la continuidad de las operaciones normales de la empresa y el segundo impide totalmente las operaciones. En grandes organizaciones, se realizan medidas preventivas que llegan hasta el uso de centros de cmputo alternos sobre los cuales la informacin se est replicando en tiempo real, para el caso de que si el centro principal es inhabilitado las operaciones continen sin interrupcin desde el centro alterno y as no haya Dos (Deny of Service). Pero qu hacer cuando la seguridad se ve comprometida? O cuando hay un desastre de cualquier tipo? Para esto como administradores debemos implementar planes de seguridad, estos determinan qu se debe hacer en una situacin crtica y estos mismos deben de ser actualizados constantemente cuando se presenten problemas que no estn contemplados en el manual.

Para llevar buenas prcticas de seguridad en un centro de cmputo hay ciertos protocolos que se tiene que llevar a cabo para garantizar la seguridad, recordemos que no podemos garantizar 100% de seguridad pero podemos decir que nuestro sistema cubre la mayor parte de eventualidades negativas. Entre los requisitos que se necesitan son los siguientes: A) PRACTICA DEL PERSONAL DE SEGURIDAD Es la persona responsable encargada de resolver problemas dentro del centro de cmputo como: Les est estrictamente prohibir, fumar, comer y beber en el Centro de Cmputo, y se deben de colocar sealamientos en lugares visibles que recuerden dicha prohibicin. Se debe restringir el acceso a la red a todo el personal especializado del rea del Centro Cmputo, teniendo como permisos de administrador nicamente la persona que se encuentra como responsable de los servidores (Administrador de red). B) ELEMENTOS TECNICOS PARA LA APLICACION DEL SISTEMA DE SEGURIDAD En este apartado se deben tomar en cuenta las medidas de seguridad que debe de tener el centro de cmputo, as como sealamientos que debe de tener este la normalizacin de seales y colores de seguridad sirve para evitar, en la medida de lo posible, el uso de palabras en la sealizacin de seguridad. Estos es necesario debido al comercio internacional as como a la aparicin de grupos de trabajo que no tienen un lenguaje en comn o que se trasladan de un establecimiento a otro. Por tal motivo en nuestro pas se utiliza la norma IRAM 10005- Parte 1, cuyo objeto fundamental es establecer los colores de seguridad y las formas y colores de las seales de seguridad a emplear para identificar lugares, objetos, o situaciones que puedan provocar accidentes u originar riesgos a la salud. C) PROCEDIMIENTO PARA LA APLICACION DE SISTEMA DE SEGURIDAD 1. 2. 3. 4. 5. 6. 7. 8. Elaborar un mapa de riesgos. Disear un plan o programa estratgico de seguridad de la informacin. Definir e implementar polticas y lineamentos de seguridad. Capacitar al personal. Tener un equipo o personal para cualquier emergencia. Mantener todo bajo control. Medir el nivel de seguridad. Probar un Plan de Recuperacin en Caso de Desastres.

D) PROCEDIMIENTO DE LA SEGURIDAD PARA HADWARE Y SOFTWARE Bien tenemos conocimiento que los dos componentes importantes en un Centro de computo son los usuario y los bienes informticos. Los componentes ms comunes pero necesarios que facilitan la proteccin a los sistemas son los antivirus, herramientas de respaldo, de monitoreo de la infraestructura de red y enlaces de telecomunicaciones, firewalls, soluciones de autentificacin y servicios de seguridad en lnea; que informen al usuario sobre los virus ms peligrosos. En el caso del hardware tenemos que es importante que los equipos que se estn utilizando tengan un mantenimiento adecuado para que no existan problemas.

5.2.2 PRCTICAS DE SEGURIDAD La seguridad informtica consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida, as como su modificacin, slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin

Los activos son los elementos que la seguridad informtica tiene como objetivo proteger. Son tres elementos que conforman los activos:

Informacin.- Es el objeto de mayor valor para una organizacin, el objetivo es el resguardo de la informacin, independientemente del lugar en donde se encuentre registrada, en algn medio electrnico o fsico. Equipos que la soportan.- Software, hardware y organizacin. Usuarios.- Individuos que utilizan la estructura tecnolgica y de comunicaciones que manejan la informacin. Las practicas se seguridad deben cumplir ciertos objetivos para llevar a cabo su funcin, entre las que tenemos son sus funciones y obligaciones.

FUNCIONES Coordinar y controlar las medidas definidas en el documento de seguridad Analizar los informes de auditora Controlar los mecanismos que permiten el control de accesos

OBLIGACIONES Elevar al responsable del fichero las conclusiones del anlisis del informe de auditora Revisar peridicamente la informacin de control registrada Mensualmente elaborar un informe de las revisiones efectuadas Conocer la normativa interna en materia de seguridad, y especialmente la referente a proteccin de datos de carcter personal. Conocer las consecuencias que se pudieran derivar y las responsabilidades en que pudiera incurrir en caso de incumplimiento de la normativa, que podran derivar en sanciones. Sustituir responsables de seguridad. El responsable de seguridad principal que permanece debe revocar e inhabilitar al responsable anterior, y se debe registrar al responsable de seguridad.