Академический Документы
Профессиональный Документы
Культура Документы
ASIGNATURA
SEGURIDAD INFORMATICA
DOCENTE
ALUMNOS
AYACUCHO PER
2014
INDICE
POLTICAS DE SEGURIDAD DE LA INFORMACIN........................................................................ 3
RIESGOS DE SEGURIDAD ............................................................................................................ 12
DISEO DE TRANSMISION DE DATOS ........................................................................................ 17
DISEO DE SEGURIDAD PARA TRANSMISIN DE DATOS ......................................................... 22
Estructura Organizacional
En la administracin de la seguridad de la informacin participan todos los empleados
siguiendo uno o ms de los siguientes roles:
-
Usuario
Custodio de informacin
Propietario de informacin
Capacitacin de usuarios
Es responsabilidad del rea de seguridad informtica promover constantemente la importancia
de la seguridad a todos los usuarios de los sistemas de informacin. El programa de
concientizacin en seguridad debe de contener continuas capacitaciones y charlas,
adicionalmente se puede emplear diversos mtodos como afiches, llaveros, mensajes de login, etc., los cuales recuerden permanentemente al usuario el papel importante que cumplen
en el mantenimiento de la seguridad de la informacin.
Concientizacin peridica
Estudios muestran que la retencin y el conocimiento aplicable se incrementan
considerablemente cuando el tema es sujeto a revisin. Los usuarios deben de ser informados
anualmente sobre la importancia de la seguridad de la informacin. Un resumen escrito de la
informacin bsica debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitacin en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos:
-
Programas de cumplimiento
Proteccin Fsica
Centro de datos
Tener una puerta de acceso de vidrio templado transparente, para favorecer el control
del uso de los recursos de cmputo.
Recibir limpieza al menos una vez por semana, que permita mantenerse libre de polvo.
Control de humedad
Sistemas de extincin.
Contar por lo menos con dos extintores de incendio adecuado y cercano al centro de
dataos
Infraestructura
Las dependencias debern considerar los estndares vigentes de cableado estructurado
durante el diseo de nuevas reas o en el crecimiento de las reas existentes.
El resguardo de los equipos de cmputo deber quedar bajo el rea de Tecnologa contando
con un control de los equipos que permita conocer siempre la ubicacin fsica de los mismos.
Instalaciones de equipos de cmputo
La instalacin del equipo de cmputo, quedar sujeta a los siguientes lineamientos:
Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo y
trfico de personas.
El rea de Tecnologa, as como las reas operativas debern contar con un plano
actualizado de las instalaciones elctricas y de comunicaciones del equipo de cmputo
en red.
Los usuarios debern solicitar apoyo al rea de Tecnologa ante cualquier duda en el manejo
de los recursos de cmputo de la Caja.
El correo electrnico no se deber usar para envo masivo, materiales de uso no institucional o
innecesarios (entindase por correo masivo todo aquel que sea ajeno a la empresa, tales como
cadenas, publicidad y propaganda comercial, poltica, social, etctera).
Nadie puede ver, copiar, alterar o destruir la informacin que reside en los equipos sin
el consentimiento explcito del responsable del equipo.
No se permite el uso de los servicios de la red cuando no cumplan con las labores
propias de La Caja.
Las cuentas de ingreso a los sistemas y los recursos de cmputo son propiedad de La
Caja y se usarn exclusivamente para actividades relacionadas con la labor asignada.
Todas las cuentas de acceso a los sistemas y recursos de las tecnologas de informacin
son personales e intransferibles. Se permite su uso nica y exclusivamente durante la
vigencia de derechos del usuario.
Servidores
Configuracin e instalacin
El Personal Tcnico se encargarn de asignar las cuentas a los usuarios para el uso de
correo electrnico en los servidores que administra.
Humanos deber llenar una solicitud en formato establecido para tal fin y entregarlo al
rea de Tecnologa, con su firma y la del Gerente del rea.
La cuenta ser activada en el momento en que el usuario ingrese por primera vez a su
correo y ser obligatorio el cambio de la contrasea de acceso inicialmente asignada.
Usuarios
Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recurso que
precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por
La Gerencia.
Si un usuario viola las polticas de uso de los servidores, los ATI podrn cancelar
totalmente su cuenta.
Responsabilidades Personales
-
Los usuarios son responsables de toda actividad relacionada con el uso de su acceso
autorizado.
Los usuarios no deben revelar bajo ningn concepto su identificador y/o contrasea a
otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros.
Los usuarios no deben utilizar ningn acceso autorizado de otro usuario, aunque
dispongan de la autorizacin del propietario.
El Usuario debe utilizar una contrasea compuesta por un mnimo de ocho caracteres
constituida por una combinacin de caracteres alfabticos, numricos y especiales.
Queda Prohibido
-
El uso de estos recursos para actividades no relacionadas con el propsito del negocio,
o bien con la extralimitacin en su uso.
Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos,
programas o documentos electrnicos.
Antivirus
Todos los equipos de cmputo de La Caja debern tener instalada una Solucin Antivirus.
Peridicamente se har el rastreo en los equipos de cmputo de La Caja, y se realizar la
actualizacin de las firmas de antivirus proporcionadas por el fabricante de la solucin
antivirus en los equipos conectados a la Red.
Responsabilidad del Personal Tcnico
Implementar la Solucin Antivirus en las computadoras de La Caja.
Solucionar contingencias presentadas ante el surgimiento de virus que la solucin no se haya
detectado automticamente.
SEGURIDAD PERIMETRAL
La seguridad perimetral es uno de los mtodos posibles de proteccin de la Red, basado en el
establecimiento de recursos de seguridad en el permetro externo de la red y a diferentes
niveles. Esto permite definir niveles de confianza, permitiendo el acceso de determinados
usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a
otros.
-
Permitir slo ciertos tipos de trfico (p. ej. correo electrnico, http, https).
Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet
Firewall
La solucin de seguridad perimetral debe ser controlada con un Firewall por Hardware (fsico)
que se encarga de controlar puertos y conexiones, es decir, de permitir el paso y el flujo de
datos entre los puertos, ya sean clientes o servidores.
-
Este equipo deber estar cubierto con un sistema de alta disponibilidad que permita la
continuidad de los servicios en caso de fallo.
El firewall debe bloquear las conexiones extraas y no dejarlas pasar para que no
causen problemas.
Controlar las aplicaciones que acceden a Internet para impedir que programas a los
que no hemos permitido explcitamente acceso a Internet, puedan enviar informacin
interna al exterior (tipo troyanos).
Conectividad a Internet
-
RIESGOS DE SEGURIDAD
En la Financiera Los Andes pensando en la seguridad de nuestros clientes, usuarios y
funcionarios, exponemos las principales amenazas informticas y los posibles riesgos que
podran materializarse, para evitar que su informacin caiga en manos inescrupulosas o sea
vctima de fraude electrnico.
SPAM
Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva. La
va ms utilizada es la basada en el correo electrnico (SPAM) pero puede presentarse por
programas de mensajera instantnea (SPIM) , por telfono celular (SPAM SMS), por telefona
IP (SPIT) ; el objetivo de esta amenaza es recolectar direcciones de correo electrnico reales
para obtener beneficios econmicos, transmitir de virus, capturar de contraseas mediante
engao (phisihing), entre otros.
Recomendaciones:
No enviar mensajes en cadena ya que los mismos generalmente son algn tipo de
engao (hoax).
No publicar una direccin privada en sitios webs, foros, conversaciones online, etc., ya
que slo facilita la obtencin de las mismas a los spammers (personas que envan
spam).
Si desea navegar o registrarse en sitios de baja confianza hgalo con cuentas de emails destinadas para tal fin.
Nunca responder este tipo de mensajes ya que con esto slo estamos confirmando
nuestra direccin de e-mail y slo lograremos recibir ms correo basura.
Es bueno tener ms de una cuenta de correo (al menos 2 o 3): una cuenta laboral que
slo sea utilizada para este fin, una personal y la otra para contacto pblico o de
distribucin masiva.
Gusanos: Tiene la propiedad de duplicarse a s mismo; los gusanos utilizan las partes
automticas de un sistema operativo que generalmente son invisibles al usuario. A
diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino
que reside en la memoria y se duplica a s mismo. Los gusanos casi siempre causan
problemas en la red (aunque sea simplemente consumiendo ancho de banda),
mientras que los virus siempre infectan o corrompen los archivos de la computadora
que atacan.
Keyloggers: Son programas maliciosos que monitorizan todas las pulsaciones del
teclado y las almacenan para un posterior envo al creador; por ejemplo al introducir
un nmero de tarjeta de crdito el keylogger guarda el nmero, posteriormente lo
enva al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta.
Stealers: Tambin roban informacin privada pero slo la que se encuentra guardada
en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si
tienen contraseas recordadas, por ejemplo en los navegadores web o en clientes de
mensajera instantnea, descifran esa informacin y la envan al creador.
INGENIERA SOCIAL
Es una accin o conducta social destinada a conseguir informacin de las personas cercanas a
un sistema de informacin; es el arte de conseguir lo que nos interese de un tercero por medio
de habilidades sociales. Estas prcticas estn relacionadas con la comunicacin entre seres
humanos.
Las acciones realizadas suelen aprovecharse de engaos, tretas y artimaas para lograr
que un usuario autorizado revele informacin que, de alguna forma, compromete al
sistema.
El usuario es tentado a realizar una accin necesaria para daar el sistema: este es el
caso en donde el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto o
abrir la pgina web recomendada que terminar daando el sistema.
El usuario es llevado a confiar informacin necesaria para que el atacante realice una
accin fraudulenta con los datos obtenidos. Este es el caso del phishing, en donde el
usuario entrega informacin al delincuente creyendo que lo hace a una entidad de
confianza.
Recomendaciones
PHISHING
Es una modalidad de estafa con el objetivo de intentar obtener de un usuario informacin
personal como: contraseas, cuentas bancarias, nmeros de tarjeta de crdito, nmero de
identificacin, direcciones, nmeros telefnicos, entre otros, para luego ser usados de forma
fraudulenta; para esto el estafador, conocido como phisher, se hace pasar por una persona o
empresa de confianza en una aparente comunicacin oficial electrnica, por lo comn un
correo electrnico, sistema de mensajera instantnea o incluso utilizando tambin llamadas
telefnicas, de esta manera hacen "creer" a la posible vctima que realmente los datos
solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
Recomendaciones
SMISHING
VISHING
El atacante cuando se vale de la tcnica de vishing, enva mensajes de correo fraudulentos que
sugieren llamar a un nmero de telfono, en el cual un contestador automtico va solicitando
toda la informacin requerida para acceder a nuestros productos a travs de medios
electrnicos.
Un ejemplo de vishing es:
Cuando la llamada es contestada, una grabacin toca y alerta que al "consumidor" que
por ejemplo su tarjeta de crdito est siendo utilizada de forma fraudulenta y que este
debe llamar al nmero que sigue inmediatamente. El nmero puede ser un nmero
gratuito falseado para la compaa financiera que se pretende representar.
Cuando la vctima llama a este nmero, es contestada por una voz computarizada que
le indica al "cliente" que su cuenta necesita ser verificada y le requiere que ingrese los
16 dgitos de su tarjeta de crdito.
La llamada puede ser tambin utilizada para obtener detalles adicionales como el PIN
de seguridad, la fecha de expiracin, el nmero de cuenta u otra informacin
importante.
Recomendaciones:
Recuerde que para hacer transacciones usted es quien inicia la comunicacin con las
lneas telefnicas que la Financiera Los Andes ha definido.
El primer problema al que hay que hacer frente en el diseo de la estructura lgica de la
red consiste en la asignacin de nombres y direcciones de red a todos los ordenadores que
vayan a convivir con ella. Tanto los nombres como las direcciones han de ser nicos en la
red, pues identifican a los equipos.
Cuentas de usuario
Las cuentas de usuario son el modo habitual de personalizar el acceso a la red. As, toda
persona que utilice la red con regularidad debe tener una cuenta de acceso. Para que el
control de este acceso sea suficientemente bueno, las cuentas deben ser personales, es
decir, dos usuarios no deben compartir la misma cuenta.
La cuenta proporciona el acceso a la red y lleva asociadas todas las caractersticas y
propiedades del usuario tiles en las labores de administracin. Para ello se debe contar
con:
-
Nombre de usuario
Contrasea
Caducidad
Directorio particular
Pata ello usaremos el directorio Activo, al ser una herramienta que permitir una gestin
adecuada de los usuarios y respectivos dominios.
La asignacin del password debe ser realizada de forma individual, por lo que el uso de
password compartidos est prohibido.
Est prohibido que los passwords se encuentren de forma legible en cualquier medio
impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos.
Sin importar las circunstancias, los passwords nunca se deben compartir o revelar.
Hacer esto responsabiliza al usuario que prest su password de todas las acciones que
se realicen con el mismo.
Todos los usuarios debern observar los siguientes lineamientos para la construccin de
sus passwords:
-
Deben estar compuestos de al menos seis (6) caracteres y mximo diez (10), estos
caracteres deben ser alfanumricos.
Deben ser difciles de adivinar, esto implica que los passwords no deben relacionarse
con el trabajo o la vida personal del usuario, y no deben contener caracteres que
expresen listas secuenciales y caracteres de control.
El password tendr una vigencia de 90 das, finalizando este periodo el usuario deber
realizar el cambio de contrasea.
Todo usuario que tenga la sospecha de que su password es conocido por otra persona,
deber cambiarlo inmediatamente.
Los usuarios no deben almacenar los password en ningn programa o sistema que
proporcione esta facilidad.
El usuario deber reportar de forma inmediata al rea de sistemas, cuando detecte que
existan riesgos reales o potenciales para equipos de cmputo o comunicaciones, como
pueden ser fugas de agua, conatos de incendio u otros.
El usuario tiene la obligacin de proteger los discos, disquetes, cintas magnticas y CDROM
que se encuentren bajo su administracin, aun cuando no se utilicen y contengan
informacin reservada o confidencial.
Prdida de Equipo
El usuario que tenga bajo su resguardo algn equipo de cmputo, ser responsable de su
uso y custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad
vigente en los casos de robo, extravo o prdida del mismo.
El resguardo para las laptops, tiene el carcter de personal y ser intransferible. Por tal
motivo, queda prohibido su prstamo.
El usuario deber dar aviso inmediato a las reas de Patrimonio institucional, rea de
sistemas, as mismo levantar un acta del robo o extravo del equipo de cmputo o
accesorios bajo su resguardo.
CORRUPCIN DE DATOS
Se tomaran las siguientes medidas preventivas:
Proceso de Backup
Descripcin de actividades:
1. La oficina de informtica defini, que el proceso de backup se realice de forma automtica
(tareas programadas de Windows), con una periodicidad:
2. Diaria final del da: Su ejecucin se llevar a cabo en horario nocturno, de la siguiente
manera:
Diferencial .Bkf para imgenes y .Backup para base de datos, copias que se
realizarn en la unidad LTO IBM 800GB.
Desplegamos hacienda clic en + LTO ultrium y verificamos la fecha del backup que se
halla realizado.
3. Diaria: se realiza al final del da, esta copia se har por medio de una tarea programada,
dicho backup se almacenar en el disco duro externo HITACHI de 2TB. El proceso inicia y
termina automticamente.
3.1. Fecha de modificacin o creacin: Para verificar si el backup se realiz en la fecha
estipulada se debe ubicar en la carpeta Back_Diferencial.bkf en el disco duro
externo Hitachi de 2TB, para verificar el tamao del archivo, haga clic derecho
propiedades y seleccione size o tamao posteriormente copie el tamao a la
bitcora.
4.
Diligenciar en los formatos de control las copias realizadas con sus respectivas bases de
datos, fecha de creacin y tamao utilizar el formato oficial Bitacora Backup Diario en
formato Excel.
Responsable: Coordinador o Administrador Centro de Cmputo.
Para qu tener una Red Privada Virtual apoyados con un Firewall y Proxy? Para integrar de
manera segura la sede central y los sucursales deben contar con un sistema de seguridad para
el control de trfico mediante el firewall y proxy.
Quines sern los usuarios?
Los usuarios remotos de las sucursales.
Qu servicios se colocarn primero, cules despus?
El servicio al que se dar prioridad ser Systur (Sistema de turnos para atencin de Planillas,
Credicaserito y Cooperativas Comunales), ya que es un sistema web que acceden los usuarios
remotos de las sucursales.
Tipo de servidores que posee la empresa
Servidor de Aplicaciones
Servidor web
Servidor de Correo
Servidor de Archivos Servidor de Base de Datos
rea de Sistemas
Banca electrnica
a travs de
Internet.
Implicancia de seguridad
Se debe contar con controles de acceso a informacin de los sistemas que
soportan el negocio de la Compaa.
El servidor Web se encuentra en calidad de "hosting" en Telefnica Data, se
debe asegurar que el equipo cuente con las medidas de seguridad
necesarias, tanto fsicas como lgicas.
La transmisin de los datos es realizada a travs de un medio pblico
(Internet), se debe contar con medidas adecuadas para mantener la
confidencialidad de la informacin (encriptacin de la data).
El servidor Web que es accedido por los clientes puede ser blanco potencial
de actividad vandlica con el propsito de afectar la imagen de la
Cooperativa.
La disponibilidad del sistema es un factor clave para el xito del servicio.
El sistema central es el sistema que soporta gran parte de los procesos del
negocio de la Cooperativa, por lo tanto, todo acceso no autorizado al
servidor representa un riesgo potencial para el negocio.
Sistema Central
MIS (Management
Information
Estndar o medida de
seguridad a aplicar
Estndar de mejores prcticas de seguridad para
bases de datos
Estndares de encriptacin de informacin
transmitida.
Clusulas de confidencialidad y delimitacin de
responsabilidades en contratos con proveedores.
Acuerdos de nivel de servicios con proveedores,
en los cuales se detalle el porcentaje mnimo de
disponibilidad del sistema.
Evaluacin independiente de la seguridad del
servidor que brinda el servicio, o acreditacin de la
misma por parte del proveedor.
Estndar de mejores prcticas de seguridad
Revisin peridica de los accesos otorgados a los
usuarios del sistema.
Monitoreo peridico de la actividad realizada en el
servidor.
Verificacin del control dual de aprobacin en
transacciones sensibles.
Adecuados controles de acceso y otorgamiento de
perfiles a la aplicacin.
System)
Computadoras
personales.
Correo electrnico
Conexin a
Internet y redes
Pblicas / Firewall.
Implicancia de Seguridad
Estndar o medida de
seguridad a aplicar
Estndares de seguridad para
servidores
Control de acceso a las
aplicaciones de la Cooperativa.
Revisin y depuracin peridica de
los accesos otorgados.
Restricciones en el manejo de
informacin enviada por correo
electrnico hacia redes externas,
extrada en disquetes o cds e
Verificacin de la informacin
impresa en reportes, evitar
mostrar informacin innecesaria
en ellos.
Polticas de seguridad.
Controles de accesos a los mens
de las aplicaciones.
Revisiones
peridicas
de
informacin por parte
del
propietario de la misma.
Revisiones peridicas de los
registros (logs) de los sistemas y
operaciones realizadas.
Actividad
Vandlica realizada por
hackers o crackers
Prdida de informacin
producto de infeccin por virus informtico.
Fuga de informacin a
travs del personal que ingresa de manera temporal en sustitucin
de empleados en vacaciones.
Mejores
prcticas
para
configuracin
de
firewalls,
servidores
y
equipos
de
comunicaciones.
Estndares de seguridad para
servidores.
Delimitacin de responsabilidades
y sanciones en los contratos con
proveedores de servicios en
calidad de hosting.
Verificacin
de
evaluaciones
peridicas o certificaciones de la
seguridad de los sistemas en
calidad de hosting.
Concientizacin y compromiso
formal de los usuarios en temas
relacionados a la seguridad de
informacin.
Polticas de Seguridad.
Adecuada
arquitectura
e
implementacin
del
sistema
antivirus.
Verificacin peridica de la
actualizacin del antivirus de
computadoras
personales
y
servidores.
Generacin peridica de reportes
de virus
Control adecuado de los accesos
otorgados.
Depuracin peridica de accesos
Vulnerabilidades
Programa de capacitacin de la
Cooperativa
en
temas
relacionados a la seguridad de
informacin.
Capacitacin mediante charlas,
videos, presentaciones, afiches,
etc.,
los
cuales
recuerden
permanentemente al usuario la
importancia de la seguridad de
informacin.
Capacitacin del personal tcnico
en temas de seguridad de
informacin o inclusin nuevo de
personal con conocimientos de
Almacenamiento
de
copias de respaldo
realizado por Hermes.