DISEO Y SEGURIDAD EN REDES

POLITICAS DE SEGURIDAD

PRESENTADO POR
DAVID HERNANDO SALAMANCA SIACHOQUE
C.C. 1088248080

PRESENTADO A
ING. RICARDO LOPEZ

GRUPO 30102

CORPORACIN UNIFICADA NACIONAL DE EDUCACIN SUPERIOR CUN

FACULTAD DE INGENIERA
DISEO Y SEGURIDAD EN REDES
BOGOT
2013

INTRODUCCION
Las polticas de seguridad informtica es el rea que se enfoca en la seguridad de
la informacin, siendo as esencial para la proteccin de la informacin de las
diferentes amenazas que existen en la actualidad y que se irn actualizando.
Estas medidas de seguridad se orientan y son instrucciones que indican cmo
manejar los asuntos de seguridad el no repudio de la informacin; las polticas de
seguridad desencadenan varias ramas, entre ellas estn la seguridad informtica y
la seguridad de informacin son un factor vital para una organizacin, para ello
hay que tomar acciones, para tener protegidos muchas clases de amenazas y
riesgos tales como fraude, sabotaje, espionaje industrial, extorsin, violacin de la
privacidad, intrusos, hackers, interrupcin de servicio, accidentes y desastres
naturales, deben emplearse medidas de seguridad sin importar como la
informacin sea guardada.

OBJETIVOS

Uno de los objetivos de las polticas de seguridad es establecer las

caractersticas generales que permitan la gestin de la seguridad de la
Informacin de manera integrada y coordinada con los requerimientos propios,
las leyes que en su caso apliquen y la normativa interna de la empresa.

La autorizacin da garanta de que la persona tiene permiso para llevar a cabo

la peticin ya que es para determinar quin o qu puede acceder a los
recursos de sistema o ejecutar ciertas actividades en un sistema.

Integridad de los datos est en contra de riesgos de seguridad de la

informacin para esto es necesario proteger los datos para evitar que los
descifren o asegurar que no hayan sido alterados.

Integridad de la informacin la cual puede ser verificada mediante certificados

digitales, adems de la criptografa que permite asegurar la informacin
mediante claves.

Para garantizar las buenas prcticas de la seguridad de la informacin existen

normas publicadas por las Organizacin Internacional de Estandarizacin.

POLITICAS DE SEGURIDAD
Las polticas de seguridad suelen definir el conjunto de requisitos definidos para
garantizar la vulnerabilidad que puede tener la informacin, siendo esto
indispensable para las personas. Al tratarse de `trminos generales', aplicables a
situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de
la poltica para convertirlos en indicaciones precisas de qu es lo permitido y lo
denegado en cierta parte de la operacin del sistema, lo que se denomina poltica
de aplicacin especfica.
En el ao 2000 fue publicado por primera vez por la International Organization for
Standardization y por la Comisin Electrotcnica Internacional la ISO/IEC 17799,
siendo esta un estndar de seguridad de la informacin y que tena como titulo
Information technology - Security techniques - Code of practice for information
security management y que define las siguientes lneas de actuacin:

Seguridad organizacional
Clasificacin y control de activos
Seguridad del personal
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Controles de acceso
Desarrollo y mantenimiento de sistemas
Gestin de continuidad de negocio
Requisitos legales

Tras un periodo de revisin para el ao 2005 se publico el documento denominado

ISO/IEC 27002, est da recomendaciones sobre las mejores prcticas en la
gestin de la seguridad de la informacin, la ltima versin de incluye las
siguientes principales secciones:

Poltica de Seguridad de la Informacin.

Organizacin de la Seguridad de la Informacin.
Gestin de Activos de Informacin.
Seguridad de los Recursos Humanos.
Seguridad Fsica y Ambiental.
Gestin de las Comunicaciones y Operaciones.
Control de Accesos.
Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.

Gestin de Incidentes en la Seguridad de la Informacin.

Gestin de Continuidad del Negocio.
Cumplimiento.

Adicionalmente existe la norma ISO/IEC 27001 (Information technology - Security

techniques - Information security management systems - Requirements), la cual
fue publicada para el ao 2005 y es mediante la cual se especifican los requisitos
necesarios para establecer, implantar, mantener y mejorar un sistema de gestin
de la seguridad de la informacin.
Adicionalmente una poltica de seguridad puede ser prohibitiva, si todo lo que no
est expresamente permitido est denegado, o permisiva, si todo lo que no est
expresamente prohibido est permitido. Evidentemente la primera aproximacin es
mucho mejor que la segunda de cara a mantener la seguridad de un sistema; en
este caso la poltica contemplara todas las actividades que se pueden realizar en
los sistemas, y el resto - las no contempladas - seran consideradas ilegales.
Cualquier poltica ha de contemplar seis elementos claves en la seguridad de un
sistema informtico:

Disponibilidad: Es necesario garantizar que los recursos del sistema se

encontrarn disponibles cuando se necesitan, especialmente la informacin
crtica.
Utilidad: Los recursos del sistema y la informacin manejada en el mismo
ha de ser til para alguna funcin.
Integridad: La informacin del sistema ha de estar disponible tal y como se
almacen por un agente autorizado.
Autenticidad: El sistema ha de ser capaz de verificar la identidad de sus
usuarios, y los usuarios la del sistema.
Confidencialidad: La informacin slo ha de estar disponible para agentes
autorizados, especialmente su propietario.
Posesin: Los propietarios de un sistema han de ser capaces de
controlarlo en todo momento; perder este control en favor de un usuario
malicioso compromete la seguridad del sistema hacia el resto de usuarios.

Dentro de la Legislacin Colombiana, existen algunas Leyes y Decretos que tratan

sobre la seguridad informtica, dentro de estos encontramos:
Ley 527 de Agosto de 1999:
Se implement para definir y reglamentar el acceso y uso de los mensajes de
datos, del comercio electrnico y de las firmas digitales, y se establecen las
entidades de certificacin y se dictan otras disposiciones.

Decreto 1747, Septiembre de 2000, adiciones a la ley 527 del 99.

Certificados y firmas digitales, entidades certificadoras. Contiene definiciones
sobre la relacin de las entidades certificadoras con la Superintendencia de
Industria y Comercio, tambin se refiere a certificados expedidos por entidades
extrajeras y los estndares que deben regir en Colombia para las firmas y
certificados digitales.
Ley 555 de Febrero de 2000, PCS (Sistemas de Comunicacin Personal)
Se define que es un servicio pblico de telecomunicaciones, no domiciliario, mvil
o fijo, de cubrimiento nacional. Prestado por red terrestre con interconexin con
otras redes de telecomunicaciones del Estado, PCS en una responsabilidad de la
nacin, que lo puede prestar directamente o a travs de concesiones otorgadas a
empresas del estado, privadas o mixtas.
SEGURIDAD INFORMATICA
Est seguridad informtica debe establecer las normas que se encarguen de
minimizar los riesgos que existen sobre la informacin informtica, adems de
enfocarse en la proteccin de la infraestructura computacional y todo lo
relacionado con sta, para ello existen una serie de estndares, protocolos,
mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles
riesgos a la infraestructura o a la informacin.
La seguridad informtica comprende software, bases de datos, metadatos,
archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta
llega a manos de otras personas. Este tipo de informacin se conoce como
informacin privilegiada o confidencial.
El concepto de seguridad de la informacin no debe ser confundido con el de
seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el
medio informtico, pero la informacin puede encontrarse en diferentes medios o
formas, y no solo en medios informticos.
La seguridad informtica est concebida para proteger los activos informticos,
entre los que se encuentran:

La infraestructura computacional: Es una parte fundamental para el

almacenamiento y gestin de la informacin, as como para el
funcionamiento mismo de la organizacin. La funcin de la seguridad
informtica en esta rea es velar que los equipos funcionen
adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot,
desastres naturales, fallas en el suministro elctrico y cualquier otro factor
que atente contra la infraestructura informtica.
Los usuarios: Son las personas que utilizan la estructura tecnolgica, zona
de comunicaciones y que gestionan la informacin. Debe protegerse el
sistema en general para que el uso por parte de ellos no pueda poner en

entredicho la seguridad de la informacin y tampoco que la informacin que

manejan o almacenan sea vulnerable.
La informacin: es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios.
AMENAZAS

Una vez que la programacin y el funcionamiento de un dispositivo de

almacenamiento (o transmisin) de la informacin se consideran seguras, todava
deben ser tenidos en cuenta las circunstancias "no informticas" que pueden
afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo
que la nica proteccin posible es la redundancia (en el caso de los datos) y la
descentralizacin -por ejemplo mediante estructura de redes (en el caso de las
comunicaciones).
Estos fenmenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema

informtico (porque no le importa, no se da cuenta o a propsito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso
ilcito de los recursos del sistema. Es instalado (por inatencin o maldad) en el
ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos
programas pueden ser un virus informtico, un gusano informtico, un troyano,
una bomba lgica o un programa espa o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los
cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy,
viruxer, etc.).
Un siniestro (robo, incendio, inundacin): una mala manipulacin o una
malintencin derivan a la prdida del material o de los archivos.
El personal interno de Sistemas. Las pujas de poder que llevan a
disociaciones entre los sectores y soluciones incompatibles para la seguridad
informtica.
TIPOS DE AMENAZAS

El hecho de conectar una red a un entorno externo nos da la posibilidad de que

algn atacante pueda entrar en ella, con esto, se puede hacer robo de informacin
o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no sea
conectada a un entorno externo no nos garantiza la seguridad de la misma. De
acuerdo con el Computer Security Institute (CSI) de San Francisco
aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados
desde adentro de la misma. Basado en esto podemos decir que existen 2 tipos de
amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser ms

serias que las externas por varias razones como son:

 Los usuarios conocen la red y saben cmo es su funcionamiento.

Tienen algn nivel de acceso a la red por las mismas necesidades de
su trabajo.
Los IPS y Firewalls son mecanismos no efectivos en amenazas
internas.
Esta situacin se presenta gracias a los esquemas ineficientes de
seguridad con los que cuentan la mayora de las compaas a nivel
mundial, y porque no existe conocimiento relacionado con la planeacin
de un esquema de seguridad eficiente que proteja los recursos
informticos de las actuales amenazas combinadas.
El resultado es la violacin de los sistemas, provocando la prdida o
modificacin de los datos sensibles de la organizacin, lo que puede
representar un dao con valor de miles o millones de dlares.

Amenazas externas: Son aquellas amenazas que se originan fuera de la

red. Al no tener informacin certera de la red, un atacante tiene que realizar
ciertos pasos para poder conocer qu es lo que hay en ella y buscar la
manera de atacarla. La ventaja que se tiene en este caso es que el
administrador de la red puede prevenir una buena parte de los ataques
externos.

GLOSARIO DE TRMINOS

Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de

propiedad de una persona natural o jurdica que por lo general son
generadores de renta o fuente de beneficios, en el ambiente informtico
Amenaza: Es un evento que puede desencadenar un incidente en la
organizacin, produciendo daos materiales o perdidas inmateriales en sus
activos.
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.
Confidencialidad: Proteger la informacin de su revelacin no autorizada.
Esto significa que la informacin debe estar protegida de ser copiada por
cualquiera que no est autorizado por el propietario de dicha informacin
Desastre: Interrupcin de la capacidad de acceso a la informacin y
procesamiento de la misma a travs de computadoras necesarias para la
operacin normal de un negocio.
Disponibilidad: Los recursos de informacin sean accesibles, cuando
estos sean requeridos.
Encriptacin: Es el proceso mediante el cual cierta informacin o "texto
plano" es cifrado de forma que el resultado sea ilegible a menos que se
conozcan los datos necesarios para su interpretacin. Es una medida de
seguridad utilizada para que al momento de almacenar o transmitir
informacin sensible.
Integridad: Proteger la informacin de alteraciones no autorizadas por la
organizacin
Impacto: Consecuencia de la materializacin de una amenaza.
ISO:
(Organizacin
Internacional
de
Estndares)
Corporacin
mundialmente reconocida y acreditada para normar en temas de
estndares en una diversidad de reas, aceptadas y legalmente
reconocidas.
IEC: (Comisin Electrnica Internacional) Junto a la ISO, desarrolla
estndares aceptados internacionalmente.

Normativa de Seguridad ISO/IEC 17799: Cdigo de buenas prcticas para

el manejo de la seguridad de la informacin
Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado
por personal ajeno a la organizacin.
Responsabilidad: En trminos de seguridad, significa determinar qu
individuo en la organizacin ser directo de mantener seguros los activos.
SGSI: Sistema de Gestin de Seguridad de la Informacin.
Soporte Tcnico: (Personal en Outsourcing) Personal designado o
encargado de velar por el correcto funcionamiento de las estaciones de
trabajo, servidores, o equipo de oficina dentro de la organizacin.
Vulnerabilidad: Posibilidad de ocurrencia de la materializacin de una
amenaza sobre un Activo.

CONCLUSIONES

En conclusin la poltica de seguridad en general es un plan de accin para

prevenir y minimizar los riesgos de seguridad.
Para prevenir los riesgos de seguridad hay que analizar los riesgos en una
organizacin asegurando que los empleados tengan presente las normas y
polticas que se implementan en la compaa.
La seguridad informtica se encarga de la seguridad en el medio informtico,
pero la informacin puede encontrarse en diferentes medios o formas, y no
solo en medios informticos.
La seguridad informtica es el medio por el cual las personas pueden asegurar
su informacin, esta seguridad proporciona las normas mediante las cuales se
deben basar las compaas para mejorar la gestin en la seguridad
informtica.

BIBLIOGRAFIA

http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsechtml/node333.html
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
http://protegete.jccm.es/protegete/export/sites/default/Descargas/PYMES__Modelo_Polxtica_de_seguridad.pdf