Un documento describe los pasos para diseñar una política de seguridad de red, incluyendo: 1) identificar los recursos y amenazas de la red, 2) definir el uso autorizado de la red y las responsabilidades de los usuarios, y 3) establecer un plan de acción para cuando se viola la política.
1. Como Diseñar Una Política De Red.
Antes de construir una barrera de protección, como preparación para conectar una
red con el resto de Internet, es importante que se entienda con exactitud que recursos
de red y servicios hay que proteger. Una política de red es un documento que describe
los asuntos de seguridad de red de una organización. Este documento se convierte en
el primer paso para construir barreras de protección efectivas. Deben tenerse en
cuenta, la planificacion de seguridad de la red, la política de seguridad del sitio y el
análisis de riesgos; cómo identificar los recursos y amenazas, uso de la red y
responsabilidades y planes de acción cuando la política de seguridad ha sido violada.
3.1. Planeación De La Seguridad En La Red
Un aspecto fundamental de toda estrategia de seguridad de la información es
disponer de unos principios y objetivos claramente identificados y definidos. Bajo el
concepto de política de seguridad se engloba el desarrollo normativo y
procedimental de las prácticas de seguridad de la Organización. Desde el
establecimiento del apoyo por parte de la Dirección a través de la Declaración de la
Política de Seguridad, pasando por la redacción de las normativas, estándares,
procedimientos e instrucciones, GMV proporciona el conocimiento y experiencia
necesarios para garantizar la correcta publicación, difusión y concienciación
características de un buen Gobierno de la Seguridad.
El Plan de Seguridad determina las acciones, controles y proyectos adecuados para
alcanzar a corto y medio plazo la seguridad apropiada para una Organización. Uno
de sus principales objetivos es encontrar un equilibrio entre las necesidades, la
viabilidad tecnológica y los recursos humanos, y económicos de una Organización.
Para la consecución de este objetivo el Plan de Seguridad se realiza
fundamentalmente en tres fases. Una de captación de requisitos y análisis, otra de
consolidación de los resultados y una final correspondiente a la planificación de
acciones y proyectos.
2. 3.2. Política De Seguridad Del Sitio.
La política de seguridad del sitio es una política global destinada a la protección de
los recursos de información de la organización. Incluye desde escáners hasta el
acceso remoto a unidades de discos. Es una política de alto nivel que especifica
lineamientos y requerimientos generales como por ejemplo:
La información es vital para la economía de la organización
Se realizará todo esfuerzo rentable para asegurar la confidencialidad,
integridad, autenticidad, disponibilidad y utilidad de la información,
La protección de la confidencialidad, integridad, y disponibilidad de
recursos de información es prioridad de todos los empleados en todos los
niveles de la compañía
A partir de esta política de seguridad surgen políticas específicas del sitio que cubren
el acceso físico a la propiedad, acceso general a sistemas de información y acceso
específico a los servicios de esos sistemas. La política de acceso a servicios de red es
formulada en este nivel.
3.3. Planteamiento De La Política De Seguridad
Definir una política de seguridad de red significa desarrollar procedimientos y planes
que salvaguarden los recursos de la red contra pérdidas y daños. En general, el costo
de proteger las redes de una amenaza debe ser menor que el costo de la
recuperación. Si no se tiene el conocimiento suficiente de lo que desea proteger y de
las fuentes de la amenza, lograr un nivel aceptable de seguridad sera difícil. Es
importante involucrar al tipo adecuado de presonas en el diseño de la política de
seguridad de red. Tal vez tenga ya grupos de usuarios que podrían considerar que su
especialidad es la implantación de una política de seguridad en red. Estos grupos
podrían incluir a aquellos involucrados con control de auditoría, grupos de sistemas
de información de campo y organizaciones relacionadas con la seguridad física.
3. 3.4. Cómo Asegurar La Responsabilidad De Una Política De
Seguridad
Es difícil para una política de seguridad de red anticipar todas las amenazas posibles.
La política puede, sin embargo, garantizar que cada tipo de problema tiene a alguien
que puede manejarlo de manera responsable. Así mismo, pueden existir varios niveles
de responsabilidad asociados con una política de seguridad de red. Cada usuario de
la red, por ejemplo, deberá ser responsable resguardar su contraseña. Un usuario que
pone en riesgo su cuenta aumenta la probabilidad de comprometer otras cuentas y
recursos. Por otro lado, los administradores de red y de sistema son responsables de
mantener la seguridad general de la red.
Un análisis de riesgos implica determinar lo siguiente:
Qué necesita proteger
De quién debe protegerlo
Cómo protegerlo
Los riesgos se clasifican por el nivel de importancia y por la severidad de la pérdida.
Ud., no debe llegar a una situación donde gasta más para proteger aquello que es
menos valioso. En el análisis de riesgos es necesario determinar los sgtes. Factores:
1. Estimación del riesgo de pérdida de recurso (Ri)
2. Estimación de la importancia del recurso (Wi)
Para la cuantificación del riesgo de perder un recurso, es posible asignar un valor
numérico. Por ejemplo al riesgo (Ri) de perder un recurso se le asigna un valor de
cero a diez, donde cero indica que no hay riesgo y diez es el riesgo más alto. De
manera similar, a la importancia de un recurso (Wi) también se le puede asignar un
valor de cero a diez, donde cero significa que no tiene importancia y diez es la
importancia más alta. La evaluación general del riesgo será entonces el producto
numérico del valor del riesgo y su importancia. Esto puede escribirse como sigue:
Wri= Ri*Wi
Wri= Peso del riesgo del recurso "i"
Ri= Riesgo del recurso "i"
Wi= Importancia de recurso "i"
4. En una red simplificada con un enrutador, un servidor y un puente. Suponga que en
esta red y los administradores de sistemas han producido las estimaciones siguientes
para el riesgo y la importancia de los dispositivos de red.
Servidor:
R3=10
W3=1
El cálculo de los recursos evaluados de estos dispositivos se muestra a continuación:
Ruteador:
WR1= R1*W1=6*.7=4.2
Puente:
WR2=R2*W2=6*0.3=1.8
Servidor:
WR3=R3*W3=10*1=10
Con la siguiente fórmula es posible calcular el riesgo general de los recursos de la
red:
WR= (R*Wi + R2*W2 +.......) / (Wi + W2 +......Wn)
El cálculo del riesgo general es el sgt.:
WR= (R1*W1 +R2*W2 +R3*W3) / (W1+W2+W3)
= (4.2 + 1.2 +10 ) / (0.7 +0.3+1 )
= 15.4/2
= 7.7
3.5. Análisis De Riesgos
El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus
siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles
amenazas y probables eventos no deseados y los daños y consecuencias que éstas
puedan producir.
Este tipo de análisis es ampliamente utilizado como herramienta de gestión en
estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y
otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
5. El primer paso del análisis es identificar los activos a proteger o evaluar. La
evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el
proceso de análisis con criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de
consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que
permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos
para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones
que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento
y ejecutarlos.
Métodos de análisis de riesgo
Método Mosler o Navarrete
Método cuantitativo mixto
Método cuantitativo
HACCP
Safety IntegrityLevel
3.6. Cómo Identificar Los Recursos
Al realizar un análisis de riesgo se deben identificar todos los recursos cuya
seguridad está en riesgo de ser quebrantada, estos recursos en red son:
Hardware (procesador, terminal de trabajo, computadoras personales,
impresoras, servidores, enrutadores, etc.)
Software (programas fuentes, sistema operativo, programas de
comunicación, etc.)
6. Datos (almacenados en línea, apoyos, base de datos)
Gente (usuarios, personal de sistema)
Documentación (sobre programas, hardware, sistemas)
Accesorios (papel,cinta,informacion grabada)
3.7. Cómo Identificar Las Amenazas
Tiene como objetivo ayudarle a identificar y detectar las amenazas que existan en la
red
3.8. Uso De La Red Y Responsabilidad
Comprende diversos aspectos importantes tales como:
¿a quién se le permite utilizar los recursos?
¿Cuál es el uso correcto de los recursos?
¿Quién está autorizado para garantizar acceso y aprobar el uso?
¿Quién debe tener privilegios de administración de sistema?
¿Cuáles son los derechos y responsabilidad de los usuarios?
3.9. Cómo Identificar A Quién Se Le Permite Utilizar Los
Recursos De La Red
Se puede hacer una lista de usuarios que requieren ingresar a los recursos de la red.
La mayoría de los usuarios de la red se divide en grupos como usuario de cuenta,
abogados corporativos, ingenieros, etc.
También se puede incluir una clase de usuarios llamados usuarios externos.
3.10. Plan De Acción Cuando La Política De Seguridad Ha Sido
Violada
El plan de política de seguridad debe evitar fallos en el sistema.
Sin importar que política de seguridad que utilizes, es muy probable a que ser
violada, para lo cual a ser violada y lo detectes debe clasificar si la violación por una
7. negligencia personal, un accidente o un error, ignorancia de la política actual o
ignorancia deliberada a la política
Cuando la seguridad ha sido violada el plan de acción es tratar de realizar una
investigación de violación de seguridad, y como o porque ocurrió.
3.11. Selección De La Política De Control
Los controles que seleccione son la primera línea de defensa que en la red.
Los mismos deberían estar enfocados lo que se intenta proteger como fue definido en
la política de seguridad.
3.12. Detectar Y Vigilar La Actividad No Autorizada
Es necesario establecer herramientas y software de seguridad, para el uso no
autorizado de sistemas de cómputo.
3.13. Vigilar El Uso Del Sistema
El administrador de dicho sistema debe implantar software de vigilancia de sistemas,
que los cual incluye la vigilancia de forma regular y no a cada semana o mes; así
como examinar la entrada y salida de datos a la red o sistema.
3.14. Vigilar Los Mecanismos
Tener recursos de registros al sistema es necesario para verificar los registros que
producen estas herramientas para detectar errores inusuales en los mensajes desde
el software al sistema.
Utilizar barras de protección para obtener un registro del acceso a la red.
3.15. Proteger Las Conexiones De La Red
La conexión en la red se puede proteger estableciendo dispositivos de barrera de
protección, así como enrutadores de selección. Cabe destacar que el sistema de
barrera de protección no es una garantía contra el ataque de un intruso hábil.
8. 3.16. Utilizar La Encriptación Para Proteger La Red
Para la protección es preciso utilizar encriptación o cifrado. Se trata de proteger la
red contra los intrusos encriptando, cifrando o codificando la red. Los routers
inalámbricos suelen llevar la función de encriptación desactivada y, por tanto se
tiene que activar.
Hay dos tipos principales de encriptación:
Acceso Protegido para Transferencia Inalámbrica de Datos o WPA (Wi-
Fi Protected Access)
Equivalencia de Privacidad Inalámbrica o WEP (Wired Equivalent
Privacy).
El WPA es conocido como el sistema de encriptación más efectivo pero el WEP
también está muy extendido.
Para proteger la red es imprescindible instalar software antivirus y spyware
antiespías actualizados permanentemente y, adicionalmente, tener activado el
firewall. Lo ideal es colocar un firewall de hardware entre la red Wireless y el
ordenador, pero adicionalmente hay que seguir una serie de preocupaciones:
Cambiar la contraseña predeterminada de instalación del enrutador.
no emitir el nombre de SSID (Service Set IDentifier) que traen de fábrica
los modem inalambricos.
no poner nombre a la red Wireless que permita identificar su actividad.
alejar el modem Wireless de los lugares más próximos al exterior como
balcones, terrazas o ventanas.
9. Dar acceso solo a ordenadores concretos. Cada ordenador habilitado para
comunicarse con una red tiene asignada una dirección exclusiva de
Control de Acceso a Medios o MAC (Media Access Control). Generalmente,
los enrutadores inalámbricos tienen un mecanismo que permite que
solamente los aparatos con una dirección MAC particular puedan acceder
a la red. Algunos hackers han imitado domicilios MAC, por lo tanto no se
confíe solamente en esta medida de protección.
Apagar la red inalámbrica cuando no se este utilizando.
Evitar redes inalámbricas públicas
3.17. Utilizar Kerberos
Kerberos es un protocolo de seguridad creado por MIT que usa una criptografía de
claves simétricas [1] para validar usuarios con los servicios de red — evitando así
tener que enviar contraseñas a través de la red. Al validar los usuarios para los
servicios de la red por medio de Kerberos, se frustran los intentos de usuarios no
autorizados que intentan interceptar contraseñas en la red.
Kerberos se basa en criptografía de clave simétrica y requiere un tercero de
confianza. Además, existen extensiones del protocolo para poder utilizar criptografía
de clave asimétrica
3.18. Mantenerse Actualizado
El personal del sistema debe mantenerse actualizados en asuntos de seguridad y
problemas, para que dicha organización trabaje de modo satisfactorio.
3.19. Listas De Correo
Las listas de correo electrónico son un uso especial del correo electrónico que permite
la distribución masiva de información entre múltiples usuarios de Internet a la
misma vez. En una lista de correo se escribe un correo a la dirección de la lista (ej:
silet@correo.org) y le llega masivamente a todas las personas inscritas en la lista,
10. dependiendo de como esté configurada la lista de correo, el receptor podrá o no tener
la posibilidad de enviar correos.
A veces se emplean listas de miles o incluso millones de direcciones de correo
electrónico para el envío de correo no deseado o spam.
Las listas de correo electrónico suelen funcionar de forma automática mediante el
uso de un gestor de listas de correo y una dirección de correo electrónico capaz de
recibir mensajes de correo electrónico (la dirección de correo de la lista).
En el modo individual, el usuario de la lista recibe todos los mensajes que han pasado
a formar parte de la misma.
En el modo resumen diario (digest en inglés) se recibe un solo mensaje que
incluye todos los mensajes incorporados a la lista en un día.
En el modo no correo el usuario no recibe los mensajes que se envían a la
lista pero puede enviar mensajes a la misma. Esta modalidad que tiene por
finalidad no saturar el buzón de correo del usuario suele ir acompañada
de la posibilidad de consultar los mensajes a través de una interfaz web,
por lo que a veces recibe el nombre de solo web.