Ciber Cafe Esquipulas

5/16/2018 Ciber Cafe Esquipulas - slidepdf.com

http://slidepdf.com/reader/full/ciber-cafe-esquipulas 1/32

Universidad Latina de Panamá

Sede Santiago

Maestría en Seguridad Informática

Modulo Seguridad en Base de datos

y redesPolíticas de Seguridad Esquípulas

Café

Profesor:Itzel de Juárez

Estudiantes:

Jorge Jaramillo 2-713-2134

Arnold Suárez 2-718-674

31 de marzo de 2012



Índice General

Índice…………………………………………………………………….…………..

Agradecimiento...……………………………………………………………….

Prologo...……………………………………………………………………………

Introducción...…………………………………………………………………..

Capítulo I – Marco Conceptual……………………………………….……..

Aspectos generales…………………………………………………………………………….

Estado o situación actual del problema………………………………………………

Objetivos……………………………………………………………………………………………

Justificación………………………………………………………………………………………..

Capítulo II – Marco Institucional……………………………………….………………………………….

Descripción………………..………………………………………………………………………..

Misión y Visión……………………………………………………………………………………

Objetivo Generales.……..….………………………………………………………………..

Objetivos Específicos………………………………………………………………………….

Capital de La Empresa………………………………………………………………………. Estudio del Mercado ………………………………………………………………………...

Capítulo II – Marco Teórico

Seguridad con que cuenta el Local

En la actualidad……………………………………….……………………………………….

Responsabilidades Personales…………………………….………………………….

Uso Apropiado de los recursos.…...………………………………………………..

Recursos red………..………………………………………………………………………..

Beneficios……………………………………………………………………………………...

Conclusiones

Bibliografía

ii

iii

iv

v

6

6

6

7

8

8

9

9

99

13

14

20

21

22

23



AGRADECIMIENTO

Agradezco a la Universidad Latina de Panamá, sede Santiago, por haberme

abierto las puertas de este prestigioso templo del saber, cuna de buenos

profesionales. A la Profesora Itzel de Juarez por brindarnos Tan sabios

conocimientos, al entregar a la sociedad buenos profesionales capaces para el

desarrollo de la tecnología de nuestro país. Y a todos mis compañeros.



PROLOGO

Es importante tener una política de seguridad de red bien concebida y efectiva

que pueda proteger la inversión y los recursos de información de la compañía.

Vale la pena implementar una política de seguridad si los recursos y la

información que la organización tiene en sus redes merecen protegerse. La

mayoría de las organizaciones tienen en sus redes información delicada y

secretos importantes; esto debe protegerse del acceso indebido del mismo

modo que otros bienes valiosos como la propiedad corporativa y los edificios deoficinas.

Una organización puede tener muchos sitios, y cada uno contar con sus

propias redes. Sí la organización es grande, es muy probable que los sitios

tengan diferente administración de red, con metas y objetivos diferentes. Si

esos sitios no están conectados a través de una red interna, cada uno de ellos

puede tener sus propias políticas de seguridad de red. Sin embargo, si los

sitios están conectados mediante una red interna, la política de red debe

abarcar todos los objetivos de los sitios interconectados.

En general, un sitio es cualquier parte de una organización que posee

computadoras y recursos relacionados con redes. Algunos, no todos, de esos

Un aspecto importante de la política de seguridad de red es asegurar que todos

conozcan su propia responsabilidad para mantener la seguridad. Es difícil que

una política de seguridad se anticipe a todas las amenazas posibles. Sin

embargo, las políticas s pueden asegurar que para cada tipo de problema haya

alguien que lo pueda manejar de manera responsable. Puede haber muchos

niveles de seguridad relacionados con la política de seguridad.



Introducción

A la crea una política de seguridad, es importante que comprender la razón

para crear una política es, en primer lugar, asegurar que los esfuerzos

dedicados a la seguridad impliquen un costo razonable. Esto significa que

debemos conocer cuales recursos vale la pena proteger, y cuales son más

importantes que otros. Por lo tanto en el siguiente trabajo presentamos la

seguridad de la empresa Esquípulas Café la cual consideramos, la

infraestructura, los software, hardware, red y el compromiso que deben poseer

los colaboradores al cumplir con la política de seguridad que se han

establecido.

También identificamos la fuente de amenazas de la cual la empresa se

enfrenta protegiendo los recursos de la empresa. A pesar de toda la publicidad

acerca de los intrusos que irrumpen en una red, muchos estudios indican que,

en el caso de la mayoría de las organizaciones, las verdaderas pérdidas

causadas por los usuarios internos son mucho mayores.



Aspectos Generales

Una vez que internet comenzó a captar una cantidad considerable de

usuarios, quedó claro, para el sector comercial, el potencial para sus negocios.

Es aquí donde es necesario analizar cómo las pequeñas empresas pueden

mejorar su política de seguridad informática.

Estado o situación actual del problema

Actualmente, existen muchas empresas en que cuentan con unos

equipos informáticos mas sin embargo no cuentan con las políticas de

seguridad para asegurar la información y el equipo informático. El ciber café

Esquípulas de comienza a brindar sus servicios de internet como medio de

comunicación orientando a una vasta cantidad de cibernautas desde el año

2007. Con esto nace la idea de crear políticas de seguridad.

Objetivos del trabajo

Objetivo General

Implementar políticas de seguridad informática que vayan en beneficio

de la empresa y de los usuarios.

Objetivos específicos

Garantizar que los datos sean los que se supone que son.

Asegurar que sólo los individuos autorizados tengan acceso a los

recursos que se intercambian.

Certificar el correcto funcionamiento de los sistemas de información.

Afirmar que sólo los individuos autorizados tengan acceso a los recursos.



Justificación

Al utilizar herramientas las políticas de seguridad en el ciber café

Esquípulas, se pretende aumentando de esta manera la credibilidad,

popularidad y seguridad de los equipos y servicios informáticos.

La contribución de nuestro trabajo radica en establecer mejores niveles

seguridad que vayan en beneficio de la empresa y de los usuarios del ciber

café Esquípulas, que pueda ser utilizado como marco documentado en

aquellas que están por crear nuevas políticas de seguridad informática

además, debe ser una fuente de referencia para profesionales y estudiantes.



Descripción

Nombre de la empresa: Esquípulas Café

Generalidades:

La creación de un ciber café, cuya característica es: la contribución al

desarrollo tecnológico y la mejora en las comunicaciones de la zona.

Servicio de renta de computadoras, impresiones, escaneo, quemado de cds y

dvds, captura de datos, diseños por computadora, diseños de páginas web,

sistemas, redes de computadoras, reparación de computadoras, mantenimiento

de computadoras, y mas.

Visión

Nuestra vision es: internet en tus manos

1. - soluciones de acceso al mundo del internet

2. - llegar lo más cercas posible al público en general

3. - cumplir con los requerimientos que nuestros clientes exijan.

Misión

Nuestra misión es: enfoque al cliente

1. - facilitamos su trabajo

2. - brindamos una amplia y duradera amistad, dando toda nuestra confianza

en cada trabajo.

3. - ponemos en sus manos los beneficios tecnológicos para que su producción

sea con mayor rapidez y calidad.



Objetivos generales:

Colaboración con el desarrollo tecnológico y mejorar la comunicación en

la zona.

Objetivos Específicos:

Entregar un servicio expedito de fácil acceso en el horario más

conveniente para cada persona.

Establecer una mejora en la educación de niños, jóvenes y adultos de la

zona, permitiéndoles tener acceso a esta herramienta tan potente en el

mundo de hoy.

Entregar una alternativa a la escasa oferta existente en la zona.

Crear una empresa rentable.

Capital de la empresa

Para la creación de ciber café, es por medio de una sociedad Los

inversionistas cuentan con el 27% de la inversión inicial y el 73% de la

inversión restante será aportado por un crédito de una entidad

financiera.

Estudio de Mercado

Para poder consolidar esta empresa se realizo el siguiente estudio de mercado

el cual tiene como objetivo establecer la existencia de mercado para la

elaboración de un ciber café; además de conocer aspectos tales como:

Características de los consumidores.

Evolución en la producción.

Sistemas actuales de comercialización, entre otros aspectos.



Estudio de Mercado

Encuesta al Mercado

¿Tienen acceso a una computadora o a tenido acceso a Internet?

Objetivo a establecer: cuantos adultos están Familiarizados con la computación

o Internet.

¿Considera usted la computación e Internet una herramienta necesaria para el

mundo de hoy?

Objetivo a establecer: determinar cuantos de ellos utilizarían nuestro servicio.

Acceso a los Servicios

No

55%

Si

45%No

Si

Utilizacion del servicio

No

19%

Si81%

No

Si



Está dispuesto a probar un nivel de educación básico en el área para el

progreso propio y el de sus hijos?

Objetivos a establecer: cuantos de ellos se inscribirían en una capacitación o

permitirían a sus hijos hacerlo.

¿Te interesa aprender computación y tener acceso a Internet?

Objetivos a establecer: Analizar el interés de los Adultos, jóvenes y niños para

involucrarse con el área.

Segmentación de Mercado

Dispuestos a Capacitacion

No

23%

Si

77%

No

Si

Interes de los Jovenes y niños

No8%

Si

92%

No

Si



El segmento de los interesados en los cursos y en la utilización del

servicio esta diversificado de forma tal que hay niños, jóvenes y adultos de

clase social media, medio-alto y alto. Siendo éstos los más dispuestos a pagar

por un desarrollo tecnológico basada en la computación e Internet que

complementaría y facilitaría la educación regular de los colegios o escuelas y

les permitiría aspirar a un mayor desarrollo laboral según sea el caso.

Mercado Objetivo

El mercado de consumo estará dirigido hacia los niños, jóvenes y

adultos de clase media, media-alta y alta, desde los 8 hasta los 75 años de

edad, es decir desde que comienzan primero básico.

Estructura

Tamaño de la infraestructura

Es necesario una dependencia de 30 mt2, más 2 baños.

Diseño de instalaciones

Cubículo de 1,70 mts x 1,40 mts. Para la ubicación de cada computador.Además de un sector para el administrador del sistema, donde se ubique la

impresora y el PC para control de costos.

Ubicación

Avenida 1 Transito, #2717 el bajo Esto se ubica en un sector transitado, puesto

que está a un costado de la catedral san Juan bautista de Antón.



Seguridad con que cuenta el local

La seguridad informática ha tomado gran auge, debido a las cambiantes

condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad

de interconectarse a través de redes, ha abierto nuevos horizontes a las

empresas para mejorar su productividad y poder explorar más allá de las

fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de

nuevas amenazas para los sistemas de información. Estos riesgos que se

enfrentan han llevado a que se desarrolle un documento de directrices que

orientan en el uso adecuado de estas destrezas tecnológicas y

recomendaciones para obtener el mayor provecho de estas ventajas, y

evitar el uso indebido de la mismas, lo cual puede ocasionar serios

problemas a los bienes, servicios y operaciones de la empresa Esquípulas

café S.A.

Al Desarrollar un sistema de seguridad deseamos plasmar las actividades

de "planear, organizar, dirigir y controlar para mantener y garantizar la

integridad física de los recursos informáticos, así como resguardar los

activos de la empresa"¹.

¹Gallego Carlos (2009) http://dominandoadword.com. Estrategias de seguridad en internet



En la actualidad la empresa Esquípulas café S.A. cuenta con las

siguientes medidas de seguridad:

Para la adquisición de Hardware se observará lo siguiente:

El equipo que se desee adquirir deberá estar dentro de las listas de

Ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro

de los estándares de Esquípulas Café.

Los equipos complementarios deberán tener una garantía mínima de

un año y deberán contar con el servicio técnico correspondiente en el

país.

Deberán ser equipos integrados de fábrica o ensamblados con

Componentes previamente evaluados por el Comité.

La marca de los equipos o componentes deberá contar con presencia

y permanencia demostrada en el mercado nacional e internacional, así

como con asistencia técnica y refaccionaria local. Tratándose de

microcomputadores, a fin de mantener actualizada la arquitectura

informática de Esquípulas Café, el Comité emitirá periódicamente las

especificaciones técnicas mínimas para su adquisición.

Los dispositivos de almacenamiento, así como las interfaces de

entrada / salida, deberán estar acordes con la tecnología de punta

vigente, tanto en velocidad de transferencia de datos, como en

procesamiento.

Las impresoras deberán apegarse a los estándares de Hardware y

Software vigentes en el mercado y en Esquípulas Café, corroborando

que los suministros (cintas, papel, etc.) se consigan fácilmente en el

mercado y no estén sujetas a un solo proveedor.

Conjuntamente con los equipos, se deberá adquirir el equipo

complementario adecuado para su correcto funcionamiento de acuerdo

con las especificaciones de los fabricantes, y que esta adquisición semanifieste en el costo de la partida inicial.



Sin embargo consideramos que estos puntos se pueden fortalecer

incluyéndole las siguientes recomendaciones:

Si la computadora misma no está físicamente segura, pueden ignorarse

fácilmente los mecanismos de seguridad del software. En el caso de lasestaciones de trabajo DOS(Windows ni siquiera existe un nivel de contraseña

de protección. Si se deja desatendida una estación de trabajo Unix, sus discos

pueden ser cambiados o si se deja en modo privilegiado, la estación estar por

completo abierta. Asimismo, el intruso puede parar la máquina y regresarla a

modo privilegiado, y después plantar programas tipo caballo de Troya, o tomar

cualquier medida para dejar al sistema abierto para ataques futuros.¹

Los equipos adquiridos deben contar, de preferencia con asistencia

técnica durante la instalación de los mismos.

En lo que se refiere a los servidores, equipos de comunicaciones,

concentradores de medios (HUBS) y otros equipos que se justifiquen por

ser de operación crítica y/o de alto costo, deben de contar con un

programa de mantenimiento preventivo y correctivo que incluya el

suministro de refacciones al vencer su período de garantía.

En lo que se refiere a los computadores denominados personales, al

vencer su garantía por adquisición, deben de contar por lo menos con un

programa de servicio de mantenimiento correctivo que incluya el

suministro de refacciones.

Para la operación del software de red en caso de manejar los datos

empresariales mediante sistemas de información, se deberá tener en

consideración lo siguiente:

Toda la información institucional deberá invariablemente ser operada a

través de un mismo tipo de sistema manejador de base de datos para

beneficiarse de los mecanismos de integridad, seguridad y recuperación

de información en caso de presentarse alguna falla.

El acceso a los sistemas de información, deberá contar con los

privilegios ó niveles de seguridad de acceso suficientes para garantizarla seguridad total de la información institucional. Los niveles de



seguridad de acceso deberán controlarse por un administrador único y

poder ser manipulado por software.

Se deben delimitar las responsabilidades en cuanto a quién está

autorizado a consultar y/o modificar en cada caso la información,

tomando las medidas de seguridad pertinentes.



“Al aumentar la complejidad del software, también aumenta el número y la

complejidad de los problemas de un sistema determinado ”². A menos que se

encuentren formas revolucionarias de crear software, éste nunca estar porcompleto libre de errores. Las fallas de seguridad conocidas públicamente se

vuelven métodos comunes de acceso no autorizado. Si la implementación de

un sistema es abierta y muy conocida (como es la de Unix), el intruso puede

usar los puntos débiles del código de software que se ejecuta en modo

privilegiado para tener acceso privilegiado al sistema. Los administradores de

sistemas deben estar conscientes de los puntos débiles de sus sistemas

operativos y tienen la responsabilidad de obtener las actualizaciones y de

implementar las correcciones cuando se descubran esos problemas. También

usted debe tener la política de reportar al proveedor los problemas cuando se

encuentren, de modo que pueda implementarse y distribuirse la solución.

Los datos de los sistemas de información, deben ser respaldados de

acuerdo a la frecuencia de actualización de sus datos, rotando los

dispositivos de respaldo y guardando respaldos históricos

periódicamente. Es indispensable llevar una bitácora oficial de losrespaldos realizados, asimismo, los CDs de respaldo deberán guardarse

en un lugar de acceso restringido con condiciones ambientales

suficientes para garantizar su conservación. En cuanto a la información

de los equipos de cómputo personales, la Unidad de Informática

recomienda a los usuarios que realicen sus propios respaldos en la red o

en medios de almacenamiento alternos.

² GALLEGO CARLOS (2009) http://www.carlosgallego.com/como-inver-menos-en-adwords.html. Como Invertir

Menos y Vender más con seguridad en la Web



Todos los sistemas de información que se tengan en operación, deben

contar con sus respectivos manuales actualizados. Un técnico que

describa la estructura interna del sistema así como los programas,

catálogos y archivos que lo conforman y otro que describa a los usuarios

del sistema y los procedimientos para su utilización.

Los sistemas de información, deben contemplar el registro histórico de

las transacciones sobre datos relevantes, así como la clave del usuario y

fecha en que se realizó (Normas Básicas de Auditoria y Control).

Se deben implantar rutinas periódicas de auditoria a la integridad de

los datos y de los programas de cómputo, para garantizar su

confiabilidad.



IDENTIFICADORES DE USUARIO Y CONTRASEÑAS

-Todos los usuarios con acceso a un sistema de información o a una red

informática, dispondrán de una única autorización de acceso compuesta de

identificador de usuario y contraseña.

-Ningún usuario recibirá un identificador de acceso a la Red de

Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no

acepte formalmente la Política de Seguridad vigente.

- Los usuarios tendrán acceso autorizado únicamente a aquellos datos y

recursos que precisen para el desarrollo de sus funciones, conforme a los

criterios establecidos por el responsable de la información.



- La longitud mínima de las contraseñas será igual o superior a ocho

caracteres, y estarán constituidas por combinación de caracteres

alfabéticos, numéricos y especiales.

- Los identificadores para usuarios temporales se configurarán para un cortoperíodo de tiempo. Una vez expirado dicho período, se desactivarán de los

sistemas.



Adicional a estos puntos mencionados, la empresa carece ciertos

aspectos de seguridad como:

LINEAMIENTOS EN INFORMÁTICA: INFORMACIÓN

-La información almacenada en medios magnéticos se deberá inventariar,

anexando la descripción y las especificaciones de la misma, clasificándola

en tres categorías:

Información histórica para auditorias.

Información de interés de la Empresa

Información de interés exclusivo de alguna área en particular.

- Los jefes de área responsables de la información contenida en los

departamentos a su cargo, delimitarán las responsabilidades de sus

subordinados y determinarán quien está autorizado a efectuar operaciones

emergentes con dicha información tomando las medidas de seguridad

pertinentes.

- Se establecen tres tipos de prioridad para la información:

Información vital para el funcionamiento del área; Información necesaria, pero no indispensable en el área.

Información ocasional o eventual.

- En caso de información vital para el funcionamiento del área, se deberán

tener procesos colaborativos, así como tener el respaldo diario de las

modificaciones efectuadas, rotando los dispositivos de respaldo y

guardando respaldos históricos semanalmente.

- La información necesaria pero no indispensable, deberá ser respaldada

con una frecuencia mínima de una semana, rotando los dispositivos de

respaldo y guardando respaldos históricos mensualmente.

- El respaldo de la información ocasional o eventual queda a criterio del

área.

- La información almacenada en medios magnéticos, de carácter histórico,

quedará documentada como activos del área y estará debidamente

resguardada en su lugar de almacenamiento.



-Es obligación del responsable del área, la entrega conveniente de la

información, a quien le suceda en el cargo.

- Los sistemas de información en operación, como los que se desarrollen

deberán contar con sus respectivos manuales. Un manual del usuario que

describa los procedimientos de operación y el manual técnico que describa

su estructura interna, programas, catálogos y archivos.

- Ningún colaborador en proyectos de software y/o trabajos específicos,

deberá poseer, para usos no propios de su responsabilidad, ningún material

o información confidencial de Esquípulas Café tanto ahora como en el

futuro.

RESPONSABILIDADES PERSONALES

- Los usuarios son responsables de toda actividad relacionada con el uso de

su acceso autorizado.

- Los usuarios no deben revelar bajo ningún concepto su identificador y/o

contraseña a otra persona ni mantenerla por escrito a la vista, ni al alcance

de terceros.

- Los usuarios no deben utilizar ningún acceso autorizado de otro usuario,

aunque dispongan de la autorización del propietario.

- Si un usuario tiene sospechas de que su acceso autorizado (identificador

de usuario y contraseña) está siendo utilizado por otra persona, debe

proceder al cambio de su contraseña e informar a su jefe inmediato y éste

reportar al responsable de la administración de la red.

- El Usuario debe utilizar una contraseña compuesta por un mínimo de ocho

caracteres constituida por una combinación de caracteres alfabéticos,

numéricos y especiales.



- La contraseña no debe hacer referencia a ningún concepto, objeto o idea

reconocible. Por tanto, se debe evitar utilizar en las contraseñas fechas

significativas, días de la semana, meses del año, nombres de personas,

teléfonos.

- En caso que el sistema no lo solicite automáticamente, el usuario debe

cambiar la contraseña provisional asignada la primera vez que realiza un

acceso válido al sistema.

- En el caso que el sistema no lo solicite automáticamente, el usuario debe

cambiar su contraseña como mínimo una vez cada 30 días. En casocontrario, se le podrá denegar el acceso y se deberá contactar con el jefe

inmediato para solicitar al administrador de la red una nueva clave.

- Proteger, en la medida de sus posibilidades, los datos de carácter

personal a los que tienen acceso, contra revelaciones no autorizadas o

accidentales, modificación, destrucción o mal uso, cualquiera que sea el

soporte en que se encuentren contenidos los datos.

USO APROPIADO DE LOS RECURSOS

Queda Prohibido

- El uso de estos recursos para actividades no relacionadas con el propósito

del negocio, o bien con la extralimitación en su uso.

-

especificados como parte del Software o de los Estándares de los Recursos

Informáticos propios de Esquípulas Café.

-

contenidos obscenos, amenazadores, inmorales u ofensivos.



Queda prohibido

-

ActiveX o cualquier otro dispositivo lógico o secuencia de caracteres que

causen o sean susceptibles de causar cualquier tipo de alteración o daño en

los Recursos Informáticos. El personal contratado por Esquípulas Café

tendrá la obligación de utilizar los programas antivirus y sus actualizaciones

para prevenir la entrada en los Sistemas de cualquier elemento destinado a

destruir o corromper los datos informáticos.

-

datos, programas o documentos electrónicos.

-

los computadores de trabajo.

- Cualquier fichero introducido en la red corporativa o en el puesto de

trabajo del usuario a través de soportes automatizados, Internet, correo

electrónico o cualquier otro medio, deberá cumplir los requisitos

establecidos en estas normas y, en especial, las referidas a propiedad

intelectual y control de virus.

RECURSOS DE RED

De forma rigurosa, ninguna persona debe:

-comunicaciones (Ej. módem) que posibilite la conexión a la Red

Corporativa.

-

los definidos.

-

hayan sido asignados.



- Sistemas de Información o

de la Red Corporativa.

-

Información.

-

otro elemento de seguridad que intervenga en los procesos telemáticos.

-

trabajo de otros Usuarios, ni dañar o alterar los Recursos Informáticos.

BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA

Los beneficios de un sistema de seguridad con políticas claramente

concebidas bien elaboradas son inmediatos, ya que Esquípulas Café

trabajará sobre una plataforma confiable, que se refleja en los siguientes

puntos:

Aumento de la productividad.

Aumento de la motivación del personal.

Compromiso con la misión de la compañía.

Mejora de las relaciones laborales.

Ayuda a formar equipos competentes.

Mejora de los climas laborales para los Recursos Humanos.



Debido a las pocas medidas de seguridad que se cuentan en la actualidad

consideramos como un material adicional y de ayuda para la empresa

Esquípulas Café y otras empresa las siguientes sugerencias.

Al realizar el análisis de riesgo, se debe identificar todos los recursos que

corran el riesgo de sufrir una violación de seguridad. Los recursos como el

hardware son bastante obvios para incluirlos en este cálculo, pero en muchas

ocasiones se ignoran recursos tales como las personas que en realidad utilizan

los sistemas. Es importante identificar a todos los recursos de la red que

puedan ser afectados por un problema de seguridad.

Una vez identificado los recursos que requieren protección, usted debe

identificar las amenazas a las que están expuestos. Pueden examinarse las

amenazas para determinar que posibilidad de perdida existe. También debe

identificar que amenazas esta usted tratando de proteger a sus recursos.

La revelación de información, ya sea voluntaria o involuntaria, es otro tipo de

amenaza. Usted debe determinar el valor y delicadeza de la información

guardada en sus computadoras. En el caso de vendedores de hardware y

software, el código fuente, los detalles de diseño, los diagramas y la

información específica de un producto representan una ventaja competitiva.

Existen numerosas cuestiones que deben abordarse al elaborar una política de

seguridad:

¿Quién está autorizado para usar los recursos?

¿Cuál es el uso adecuado de los recursos?

¿Quién está autorizado para conceder acceso y aprobar el uso?

¿Quién puede tener privilegios de administración del sistema?

¿Cuáles son los derechos y las responsabilidades del usuario?

¿Cuáles son los derechos y las responsabilidades del administrador del

sistema, en Comparación con los de los usuarios!

¿Qué hace usted con la información delicada?

Muchas veces, el administrador del sistema necesita recabar información del

directorio privado de un usuario para diagnosticar problemas del sistema. Los



usuarios, por otra parte, tienen el derecho de conservar su privacidad. Existe,

por lo tanto, una contradicción entre el derecho del usuario a la privacidad y las

necesidades del administrador del sistema. Cuando se presentan amenazas a

la seguridad de la red, el administrador del sistema tendrá mayor necesidad de

recabar información de los archivos, incluidos los del directorio base de los

usuarios.

La política de seguridad de la red debe especificar el grado al que el

administrador del sistema pueda examinar los directorios y archivos privados

de los usuarios para diagnosticar problemas del sistema e investigar

violaciones de la seguridad. Si la seguridad de la red esta en riesgo, la política

debe permitir mayor flexibilidad para que el administrador corrija los problemasde seguridad.

Es necesario contar con un plan de contingencia, cuando la política de

seguridad ha sido vulnerada.

Cada vez que se viola la política de seguridad, el sistema está sujeto a

amenazas. Si no se producen cambios en la seguridad de la red cuando esta

sea violada, entonces debe modificarse la política de seguridad para eliminar

aquellos elementos que no sean seguros.

La política de seguridad y su implementación deben ser lo menos obstructivas

posible. Si la política de seguridad es demasiado restrictiva, o esta explicada

inadecuadamente, es muy probable que sea violada o desactivada.

Al margen del tipo de política que se implemente, algunos usuarios tienen la

tendencia a violarla. En ocasiones las violaciones a la política son evidentes;

otras veces estas infracciones no son detectadas. Los procedimientos de

seguridad que usted establezca deben reducir al mínimo la posibilidad de que

no se detecte una infracción de seguridad.

Cuando usted detecte una violación a la política de seguridad, debe determinar

si esta ocurrió debido a la negligencia de un individuo, a un accidente o error,

por ignorancia de la política vigente o si deliberadamente la política fue pasada

por alto. En este último caso, la violación quizás haya sido efectuada no solo

por una persona, sino por un grupo que a sabiendas realiza un acto enviolación directa de la política de seguridad. En cada una de estas



circunstancias, la política de seguridad debe contar con lineamientos acerca de

las medidas que se deben tomar.

Cuando ocurre una violación, la respuesta puede depender del tipo de usuario

responsable del acto. Las violaciones a la política pueden ser cometidas porgran variedad de usuarios; algunos pueden ser locales y otros externos. Los

usuarios locales son llamados usuarios internos y los externos, usuarios

foráneos. Por lo general, la distinción entre ambos tipos están basada en los

límites de red, administrativos, legales o políticos. El tipo de limite determina

cual debe ser la respuesta a la violación de la seguridad. Los ejemplos de

respuestas pueden ir desde una reprimenda o advertencia verbal, una carta

formal o la presentación de cargos judiciales.

Usted necesita definir la acción según el tipo de violación. Estas acciones

requieren ser definidas con claridad, con base en el tipo de usuario que haya

violado la política de seguridad de computo. Los usuarios internos y externos

de su red deben estar conscientes de la política de seguridad.

Se podría tener una violación de la política de seguridad en la que el agresor

sea un usuario interno. Esto podrá ocurrir en las siguientes situaciones:

Un usuario local viola la política de seguridad de un sitio local.

Un usuario local viola la política de seguridad de un sitio remoto.

En el primer caso, debido a que se viola la política de seguridad interna, usted

tendrá más control sobre el tipo de respuesta ante esta violación de seguridad.

En el segundo caso, un usuario local ha violado la seguridad de la política de

seguridad de otra organización.

Estrategias que se surgieren

Existen dos tipos de estrategias de respuesta ante incidentes de seguridad:

Proteja y continúe

Persiga y demande

Si los administradores de la política de seguridad sienten que la compañía es

bastante vulnerable, quizás se decidan por la estrategia de proteger y

continuar. El objetivo de esta política es proteger de inmediato a la red y



restablecerla a su situación normal, para que los usuarios puedan seguir

usándola. Para hacer esto, usted tendrá que interferir activamente con las

acciones del intruso y evitar mayor acceso. A esto debe seguir el análisis del

daño causado.

En ocasiones no es posible restablecer la red de inmediato a su funcionamiento

normal; quizás tenga que aislar sus segmentos y apagar sistemas, con el

objeto de evitar más accesos no autorizados en el sistema.

La desventaja de este procedimiento es que los intrusos saben que ya fueron

detectados y tomaran medidas para evitar que sean rastreados. Asimismo, el

intruso puede reaccionar a su estrategia de protección atacando el sitio con

otro método; por lo menos, es probable que el intruso contiene su vandalismo

en otro sitio.

La política de seguridad define lo que necesita protegerse, pero no señala

explícitamente como deben protegerse los recursos y el enfoque general para

manejar los problemas de seguridad. En una sección separada de la política de

seguridad deben abordarse los procedimientos generales que deben

implementarse para evitar problemas de seguridad.

La política de seguridad debe remitirse a la guía del administrador de sistemas

del sitio respecto a detalles adicionales acerca de la implementación de los

procedimientos de seguridad.

Antes de establecer los procedimientos de seguridad, debe evaluar el nivel de

importancia de los recursos de la red y su grado de riesgo.

Establecer una política de seguridad eficaz requiere considerable esfuerzo. Se

necesita cierto esfuerzo para considerar todos los aspectos y cierta disposiciónpara establecer las políticas en papel y hacer lo necesario para que los

usuarios de la red la entiendan adecuadamente.

La confiabilidad en la política de seguridad

La confidencialidad puede definirse como el hecho de mantener las cosas

ocultas o secretas. Esta es una consideración muy importante para varios tipos

de datos delicados.



Las siguientes son algunas de las situaciones en las que la información es

vulnerable de ser divulgada:

Cuando la información está almacenada en un sistema de cómputo.

Cuando la información está en tránsito hacia otro sistema en la red.

Cuando la información está almacenada en cintas de respaldo.

Política de control

Los controles que usted seleccione serán la primera línea de defensa en la

protección de su red. Estos controles deben representar con precisión lo que

usted intenta proteger, tal como está definido en la política de seguridad. Si las

intrusiones externas son una gran amenaza contra su sistema, quizá no seaeconómicamente emplear dispositivos biométricos para autentificar a los

usuarios internos. En cambio, si la amenaza mayor a sus sistemas es el uso no

autorizado de los recursos de computadora por los usuarios internos, usted

necesitar establecer buenos procedimientos de contabilidad automatizados.

Estrategias reservadas

Si el análisis de riesgo indica que proteger un recurso es vital para la seguridad

de la red, necesitará usar diversas estrategias para hacerlo, lo cual le da a

usted la seguridad de que, si una estrategia falla o es alterada, otra puede

entrar en acción y seguir protegiendo el recurso de la red.

Puede resultar más económico y sencillo usar varias estrategias, de fácil

implementación pero eficaces, que seguir una sola estrategia complicada y

sofisticada. Este último es el principio del todo o nada. Si el mecanismo

elaborado es vencido, no hay ninguno de reserva que proteja al recurso.

Ejemplos de controles sencillos son los módems de devolución de llamada, que

pueden usarse en combinación con mecanismos tradicionales de conexión.

Esto puede reforzarse con tarjetas inteligentes y autentificando manuales de un

paso.

La importancia del sistema en la política de seguridad

Si el análisis de riesgo indica que proteger un recurso es vital para la seguridad

de la red, necesitará usar diversas estrategias para hacerlo, lo cual le da a



usted la seguridad de que, si una estrategia falla o es alterada, otra puede

entrar en acción y seguir protegiendo el recurso de la red.

Puede resultar más económico y sencillo usar varias estrategias, de fácil

implementación pero eficaces, que seguir una sola estrategia complicada ysofisticada. Este último es el principio del todo o nada. Si el mecanismo

elaborado es vencido, no hay ninguno de reserva que proteja al recurso.

Ejemplos de controles sencillos son los módems de devolución de llamada, que

pueden usarse en combinación con mecanismos tradicionales de conexión.

Esto puede reforzarse con tarjetas inteligentes y autentificando manuales de un

paso.

Como proteger la conexión en la red.

Si es probable que el ataque del intruso se realice a través de una red de

conexión externa, como Internet, tal vez tenga que proteger las conexiones con

la red externa.

Puede usarse un dispositivo de firewall para ofrecer un punto de resistencia a

la entrada de intrusos en la red. Además de la firewall puede usarse routers de

selección.

Algunos sitios de la organización necesitan conectarse con otros sitios de la

misma organización, y está prohibido que se conecten a redes externas. Estas

redes son menos susceptibles de amenazas desde fuera de la red de la

organización. De todos modos, pueden ocurrir intrusiones inesperadas a través

de módems de acceso telefónico situados en las estaciones de trabajo de

escritorio de los usuarios.

Cuando se envían archivos o documentos a través de la red, usted debe tener

alguna forma de verificar que éstos no hayan sido alterados. Esto es lo que se

llama integridad de la información y se refiere al proceso de verificar que la

información enviada esté completa y sin cambios con respecto de la última vez

que se verificó. La integridad de la información es importante para instituciones

militares, de gobierno y financieras. También puede ser importante que no se

revele información clasificada, ya sea con o sin modificaciones. La información

que se modifica en forma maliciosa puede crear malas interpretaciones,

confusiones y conflictos.



Si la información se envía en forma electrónica a través de la red, una forma de

asegurar que no se modifique es mediante sumas de verificación. Cualquier

forma de encriptación también ofrece la integridad de la información, ya que el

interceptor tendría que descifrarla primero, antes de modificarla.

Como mantener una política de seguridad actualizada

“Su política de seguridad, además de identificar a las agencias con las que

debe hacer contacto en caso de incidentes de seguridad, debe también

designar a las personas que deban mantenerse actualizadas con las

cuestiones y problemas de seguridad”³.

Si su organización está conectada a Internet, quizá tenga que inscribirse en las

listas de correo o grupos de noticias en los que se discuten temas de seguridad

que son de interés para usted.

Recuerde que se requiere tiempo para mantenerse al día con la información de

las listas de correo y grupos de noticias. A menos que usted identifique a las

personas que deban mantener esta información, y que esta tarea sea parte de

su trabajo, el administrador del sistema probablemente no tendrá tiempo para

hacerlo.

³ Mendoza Alvaro (2009) http//www.programa.com/tutorial/sql/ La seguridad en redes



CONCLUSIONES Si bien día a día aparecen nuevos y complejos tipos de incidentes, aún se

registran fallas de seguridad de fácil resolución técnica, las cuales ocurren en

muchos casos por falta de conocimientos sobre los riesgos que acarrean. Por

otro lado, los incidentes de seguridad impactan en forma cada vez más directa

sobre las personas. En consecuencia, se requieren efectivas acciones de

concientización, capacitación y difusión de mejores prácticas.

Como hemos visto la seguridad en las redes se ha convertido en un factor

importante en el diseño e implementación de las redes. El administrador de la

red debe estar constantemente implementando medidas de seguridad en la red

con el fin de tener una red confiable y estable.

Las redes inalámbricas están en constante crecimiento y esto representa un

reto para los administradores que tendrán que desarrollar medidas eficaces

para mantener seguras las redes.

Aun con las medidas de seguridad que se implanten, siempre habrá amenazas

en contra de las redes.

Toda empresa, pública o privada, que posean Sistemas de Información

medianamente complejos, deben de someterse a un control estricto de

evaluación de eficacia y eficiencia. Hoy en día, la mayoría de las empresas

tienen toda su información estructurada en Sistemas Informáticos, de aquí, la

vital importancia que los sistemas de información funcionen correctamente.. Eléxito de una empresa depende de la eficiencia de sus sistemas de información.

Una empresa puede contar con personal altamente capacitado, pero si tiene un

sistema informático propenso a errores, lento, frágil e inestable; la empresa

nunca saldrá a adelante.



Bibliografía

Libros

Cook David (2007) Inicie su negocio en Web. Editorial Prentice Hall

Hispanoamericana, S. A.

Sitios Web

GALLEGO CARLOS (2009) http://www.carlosgallego.com/como-inver-menos-

en-adwords.html. Como Invertir Menos y Vender más con seguridad en la Web

Gallego Carlos (2009) http://dominandoadword.com. Estrategias de seguridad

en internet

Rentería Carolina (2008)

http://mercadeoglobal.com/articulos/articles/781/1/Tu-Negocio-en-Internet-

Camino-a-la-Me/Pagina1.html. Tu Negocio en Internet: Seguro a la Meta

Mendoza Alvaro (2009) http//www.programa.com/tutorial/sql/ La seguridad en

redes

Date post:	18-Jul-2015
Category:	Documents
Upload:	antonio-vargas
View:	808 times
Download:	0 times

Ciber Cafe Esquipulas

Documents