Unidad III: Planificacin de Seguridad

Planificacin de la seguridad de un sistema:

Un aspecto fundamental de toda estrategia de seguridad de la informacin es
disponer de unos principios y objetivos claramente identificados y definidos. Bajo el
concepto de poltica de seguridad se engloba el desarrollo normativo y procedimental de
las prcticas de seguridad de la Organizacin.
No hay un mtodo nico y exclusivo para formular polticas de seguridad. El siguiente
proceso aporta un enfoque general.
Formule una poltica de seguridad. Esta poltica le ayudar a tomar las opciones
adecuadas cuando, posteriormente, tenga que tomar decisiones difciles.

Identifique lo que tiene que proteger. Se trata de su activo: los trabajadores, el

equipamiento fsico, los datos (en las instalaciones y fuera de las instalaciones) y
la documentacin.

Identifique las amenazas potenciales en relacin con el activo. stas incluyen las
amenazas de la naturaleza (inundaciones, terremotos), la ignorancia y la falta de
capacitacin, y la vulneracin deliberada de la seguridad.

Evale la probabilidad de que las mencionadas amenazas perjudiquen a su

activo.

Clasifique los riesgos segn el nivel de gravedad y determine el costo que

conlleva su reduccin, lo que tambin se denomina evaluacin de los riesgos.

Por ltimo, aplique medidas que protejan el activo de forma rentable.

El personal tcnico y la direccin deben colaborar en el establecimiento de la poltica de

seguridad. La poltica de seguridad debe ajustarse a las leyes y las disposiciones a las
que est sujeta la empresa.
El Plan de Contingencias:
Proporciona una ayuda inestimable en caso de ocurrencia de determinados
escenarios o eventos que puedan causar indisponibilidad total o parcial de los Sistemas
de Informacin de una Organizacin. El objetivo final del Plan es determinar los
recursos necesarios, establecer los equipos de intervencin y procedimental las acciones
pertinentes para recuperar los servicios crticos en un periodo de tiempo reducido con el
fin de minimizar perjuicios econmicos o de imagen. Para ello, se determinan los
servicios y sus activos asociados para su posterior dimensionamiento.
Se tendr en cuenta:
1.
2.
3.
4.
5.
6.

Anlisis de Riegos.
Evaluacin del riesgo (en cada sucursal).
Asignacin de prioridades.
Elaboracin de un documento.
Mantenimiento del plan de contingencia.
Implementacin del plan (acciones correctivas y preventivas).

7. Costos del plan de contingencia.

8. Distribucin y mantenimiento del plan.
Anlisis de riegos y poltica de seguridad:
Anlisis de riego:
El Anlisis de Riesgos, Identificacin y Control de Puntos Crticos es un sistema
que identifica, evala y controla la posibilidad de presencia de peligros
Poltica de seguridad:
Se suele definir como el conjunto de requisitos definidos por los responsables
directos o indirectos de un sistema que indica en trminos generales qu est y qu no
est permitido en el rea de seguridad durante la operacin general de dicho sistema.
Pueden cubrir cualquier cosa desde buenas prcticas para la seguridad de un solo
ordenador.
Cualquier poltica ha de contemplar seis elementos claves en la seguridad de un
sistema informtico

Disponibilidad
Es necesario garantizar que los recursos del sistema se encontrarn disponibles
cuando se necesitan, especialmente la informacin crtica.
Utilidad
Los recursos del sistema y la informacin manejada en el mismo ha de ser til
para alguna funcin.
Integridad
La informacin del sistema ha de estar disponible tal y como se almacen por un
agente autorizado.
Autenticidad
El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los
usuarios la del sistema.
Confidencialidad
La informacin slo ha de estar disponible para agentes autorizados,
especialmente su propietario.
Posesin
Los propietarios de un sistema han de ser capaces de controlarlo en todo
momento; perder este control en favor de un usuario malicioso compromete la
seguridad del sistema hacia el resto de usuarios.

Las Polticas de seguridad comunes incluyen:

Restrinja el acceso al software mediante un inicio de sesin a quienes

verdaderamente lo necesiten.

Los usuarios deben cerrar la sesin cuando no utilicen los terminales; para ello,
utilice el comando lock en los terminales sencillos o defina un bloqueo de
pantalla. Consulte la pgina de manual de lock (1).

Muchos sistemas con ventanas, como el entorno CDE, se pueden configurar para
cerrarse automticamente una vez transcurrido un periodo definido de
inactividad. Asimismo, se pueden configurar las caractersticas de cierre de
sesin automtico del comando csh y otros shells.

Descentralice los servicios computacionales alternando las responsabilidades

entre los operadores.

Almacene las cintas de copia de seguridad en almacenes de productos aceptados

ubicados fuera de las instalaciones.

Borre los datos anticuados y elimine sin riesgo los archivos de registro de la
consola y las copias impresas.

Borre los discos y los disquetes antes de eliminarlos.

Proteccin contra virus:

Los anti-virus se han convertido en compaeros inseparables de nuestro trabajo
diario. Hoy en da no se concibe ningn equipo conectado a Internet que carezca de una
buena proteccin contra virus. Las situaciones de riesgo se multiplican cuando un
equipo se conecta a la Red de redes.
Cuando tenemos una buena proteccin contra virus te ayuda a:

Impedir a la diseminacin de ciertos virus que son propagados por aplicaciones

de e-mail y mensajes instantneos
Navegar por Internet con confianza, sabiendo que cuentas con un nivel adicional
de proteccin contra la descarga de algunos programas malintencionados
Mejorar la integridad de tu red en el hogar o en la empresa

Uso de Contraseas
Biometra:
Es la aplicacin de tcnicas matemticas y estadsticas sobre los rasgos fsicos o de
conducta de un individuo, para verificar identidades o para identificar individuos.
En las tecnologas de la informacin (TI), la autentificacin biomtrica se refiere a las
tecnologas para medir y analizar las caractersticas fsicas y del comportamiento
humanas con propsito de autentificacin.
Las huellas dactilares, las retinas, el iris, los patrones faciales, de venas de la mano o la
geometra de la palma de la mano, representan ejemplos de caractersticas fsicas
(estticas), mientras que entre los ejemplos de caractersticas del comportamiento se
incluye la firma, el paso y el tecleo (dinmicas). La voz se considera una mezcla de
caractersticas fsicas y del comportamiento, pero todos los rasgos biomtricos
comparten aspectos fsicos y del comportamiento.

Funcionamiento:
En un sistema de Biometra tpico, la persona se registra con el sistema cuando una o
ms de sus caractersticas fsicas y de conducta es obtenida, procesada por un algoritmo
numrico, e introducida en una base de datos. Idealmente, cuando entra, casi todas sus
caractersticas concuerdan; entonces cuando alguna otra persona intenta identificarse, no
empareja completamente, por lo que el sistema no le permite el acceso. Las tecnologas
actuales tienen tasas de error que varan ampliamente (desde valores bajos como el
60%, hasta altos como el 99,9%).

Ojo
(Iris)

Ojo
(Retina)

Huellas
dactilares

Geometra
de la mano

Escritura y
firma

Voz

Cara

Fiabilidad

Muy
alta

Muy alta

Alta

Alta

Media

Alta

Alta

Facilidad de
uso

Media

Baja

Alta

Alta

Alta

Alta

Alta

Prevencin
de ataques

Muy
alta

Muy alta

Alta

Alta

Media

Media

Media

Aceptacin

Media

Media

Alta

Alta

Muy alta

Alta

Muy
alta

Estabilidad

Alta

Alta

Alta

Media

Baja

Media

Media

Contraseas:
Una contrasea o clave (en ingls password), es una forma de autenticacin que utiliza
informacin secreta para controlar el acceso hacia algn recurso. La contrasea
normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el
acceso. Aquellos que desean acceder a la informacin se les solicita una clave; si
conocen o no conocen la contrasea, se concede o se niega el acceso a la informacin
segn sea el caso.
Tarjeta Inteligente:
Una tarjeta inteligente (smart card), o tarjeta con circuito integrado (TCI), es cualquier
tarjeta del tamao de un bolsillo con circuitos integrados que permiten la ejecucin de
cierta lgica programada. Aunque existe un diverso rango de aplicaciones, hay dos
categoras principales de TCI. Las Tarjetas de memoria contienen slo componentes de
memoria no voltil y posiblemente alguna lgica de seguridad. Las tarjetas
microprocesadores contienen memoria y microprocesadores.

Mtodo de autenticidad y firma digital:

Mtodo de autenticidad:
La autenticacin es el proceso de intento de verificar la identidad digital del
remitente de una comunicacin como una peticin para conectarse. El remitente siendo
autenticado puede ser una persona que usa un ordenador, un ordenador por s mismo o
un programa del ordenador. En un web de confianza, "autenticacin" es un modo de
asegurar que los usuarios son quin ellos dicen que ellos son - que el usuario que intenta
realizar funciones en un sistema es de hecho el usuario que tiene la autorizacin para
hacer as.

Mtodos de autenticacin:
Los mtodos de autenticacin estn en funcin de lo que utilizan para la
verificacin y estos se dividen en tres categoras:

Sistemas basados en algo conocido. Ejemplo, un password (Unix) o

passphrase (PGP).
Sistemas basados en algo posedo. Ejemplo, una tarjeta de identidad, una
tarjeta inteligente (smartcard), dispositivo usb tipo epass token,
smartcard o dongle criptogrfico.
Sistemas basados en una caracterstica fsica del usuario o un acto
involuntario del mismo: Ejemplo, verificacin de voz, de escritura, de
huellas, de patrones oculares.

Cualquier sistema de identificacin ha de poseer unas determinadas caractersticas para

ser viable:

Ha de ser fiable con una probabilidad muy elevada (podemos hablar de

tasas de fallo de en los sistemas menos seguros).
Econmicamente factible para la organizacin (si su precio es superior al
valor de lo que se intenta proteger, tenemos un sistema incorrecto).
Soportar con xito cierto tipo de ataques.
Ser aceptable para los usuarios, que sern al fin y al cabo quienes lo
utilicen.

La firma digital:
En la transmisin de mensajes telemticos y en la gestin de documentos
electrnicos, a un mtodo criptogrfico que asocia la identidad de una persona o de un
equipo informtico al mensaje o documento. En funcin del tipo de firma, puede,
adems, asegurar la integridad del documento o mensaje.
Este tipo de aplicaciones permiten almacenar un certificado digital de forma
segura dentro de la tarjeta y firmar con l documentos electrnicos sin que en ningn
momento el certificado (y ms concretamente su clave privada) salgan del

almacenamiento seguro en el que estn confinados. Con estas aplicaciones se abre todo
un abanico de posibilidades en el campo de la Administracin electrnica.
Reglas para el uso seguro del correo electrnico:
Netiquette:
Netiquette (una contraccin de las palabras "Net" y "etiquette") se refiere al
conjunto de reglas que rigen el comportamiento correcto en Internet con el fin de
respetar a los dems y ser respetados.
Actan como pautas de cortesa y conducta apropiadas para que todos los
usuarios puedan actuar respetuosamente con los dems.
Cuando se escribe y enva un mensaje:

Indique el asunto del mensaje con claridad en el campo "Asunto". Esto es

particularmente importante para el destinatario del mensaje. Si el asunto del
mensaje es claro, ser mucho ms fcil para el destinatario decidir cules son
ms importantes y cules no cuando lea todos los correos electrnicos recibidos.
Esto permitir al destinatario clasificar su correo con facilidad. Se puede hacer
una distincin entre el asunto general, normalmente ubicado entre parntesis
(como el nombre del proyecto) y un resumen corto del mensaje, por ejemplo:
[Proyecto X] Reunin el 13 de diciembre

Enve correos electrnicos a las personas que estn involucradas

nicamente No es aconsejable (y es molesto para los destinatarios) enviar
correos electrnicos a todos sus contactos. Los destinatarios pierden un tiempo
valioso clasificando los mensajes que realmente les interesa de aquellos que les
interesa poco o nada. Es ms, esta prctica ocupa los recursos de la red
innecesariamente.

o
o
o

El campo "Para": designa al destinatario principal. sta es la persona a

quien se le enva el correo electrnico.
El campo "CC": muestra las personas a las que se les informa sobre esta
comunicacin por correo electrnico.
El campo "CCO": designa los destinatarios que los otros destinatarios no
pueden ver. Se recomienda no usar este elemento. En cambio, se
recomienda enviarles una copia del mensaje anterior aparte.

Sea breve y d un amplio contexto al mensaje. Para que se lea y se entienda,

es preferible usar oraciones cortas y precisas. Si el mensaje es largo, divdalo en
muchos prrafos para que sea ms fcil de leer. Un texto preciso, bien
estructurado, ayuda a evitar malentendidos o confusiones. Se puede enviar un
mensaje a otros usuarios rpida y fcilmente. Utilice lenguaje apropiado y evite
el humor, el sarcasmo y los insultos fuera de lugar. Para beneficiar a los
destinatarios profesionales, es til comenzar un mensaje con una de las
siguientes frases:
o Para su informacin
o Para su aprobacin
o Seguimiento

Si se deben adjuntar documentos al mensaje, tenga en cuenta los

destinatarios. Es posible que el destinatario de un archivo adjunto no tenga el
software para leerlo. Asegrese de que el archivo est guardado en un formato
que la mayora de los software actuales puedan leer. (por ej. .rtf en vez de .doc).
Adems, est atento al tamao del adjunto. Cuanto ms grande sea el archivo, se
necesitar ms tiempo para enviar y recibir. Un archivo enorme podra ser
bloqueado por el servidor de correo electrnico remoto o saturar la casilla de
entrada del destinatario, evitando la recepcin de otros mensajes. Utilice las
herramientas de compresin/descompresin (como ZIP) para reducir el tamao
de estos archivos. Antes de enviar un mensaje que supuestamente tiene un
adjunto, asegrese de que tenga el adjunto.

Evite usar letras maysculas. El texto escrito en mayscula es difcil de leer.

Es ms, usar palabras en letras maysculas en Internet sugiere que est
expresando emociones fuertes (tales como alegra o enojo), lo que puede no ser
bien visto por el destinatario. Para enfatizar un trmino, escrbalo entre comillas.

Antes de enviar un mensaje, tmese el tiempo para volver a leerlo. Trate de

corregir los errores tipogrficos o de lengua. El estilo del mensaje refleja la
imagen del remitente.

Asegrese de identificarse y dejar informacin de contacto al final del

mensaje. Considere poner su firma al final de los correos electrnicos, pero sin
quitar demasiado espacio (cuatro o cinco lneas como mximo), especificando,
por ejemplo, su ocupacin y la organizacin a la que pertenece. Los nmeros de
telfono pueden ser tiles si uno de los destinatarios necesita contactarlo
rpidamente. La costumbre seala que la firma debe estar precedida por una
lnea que no contenga nada ms que dos guiones ("--").

Cuando se recibe un mensaje:

Cuando haya ledo un mensaje, decida inmediatamente dnde guardarlo.

Los correos electrnicos se pueden administrar de la misma manera que el
correo tradicional. Para encontrar un mensaje fcilmente, acostmbrese a
colocar los mensajes recibidos en carpetas por temas. De esta manera, ser ms
fcil encontrar un mensaje viejo o las partes de un debate. Algunos clientes de
correo electrnico permiten asignar un color al mensaje. Puede ser til asignar
un cdigo de color para identificar ciertas categoras de mensajes.

Excepto que sea necesario, no imprima los correos electrnicos. Cuando el

correo electrnico est guardado correctamente, se podr encontrar fcilmente si
se lo necesita. Por esta razn, es intil imprimir todos los correos electrnicos.
Esto evita desperdiciar papel y ayuda a preservar el ambiente.

Respete la privacidad de los mensajes que recibe. Nunca enve o copie a otros
un correo electrnico que fue enviado a usted sin el consentimiento del remitente
original.

Uso de emoticonos (smileys):

Los emoticonos (a veces llamados smileys) son smbolos incluidos en los
mensajes que indican el humor (jocoso, sarcstico, irnico, etc.) de la persona que
escribi el mensaje. Generalmente, su uso se reserva para los mensajes no profesionales.