Universidad Latina de Panam Sede Santiago Maestra en Seguridad Informtica

Modulo Seguridad en Base de datos y redes Polticas de Seguridad Esqupulas Caf

Profesor: Itzel de Jurez

Estudiantes: Jorge Jaramillo Arnold Surez 2-713-2134 2-718-674

31 de marzo de 2012

ndice General

ndice... Agradecimiento.... Prologo... Introduccin.....

ii iii iv v

Captulo I Marco Conceptual... Aspectos generales. Estado o situacin actual del problema Objetivos Justificacin.. Captulo II Marco Institucional.. Descripcin.... Misin y Visin Objetivo Generales...... Objetivos Especficos. Capital de La Empresa. Estudio del Mercado ... 8 8 9 9 9 9 6 6 6 7

Captulo II Marco Terico Seguridad con que cuenta el Local En la actualidad.. Responsabilidades Personales.. Uso Apropiado de los recursos...... Recursos red.... Beneficios... 13 14 20 21 22 23

Conclusiones Bibliografa

AGRADECIMIENTO Agradezco a la Universidad Latina de Panam, sede Santiago, por haberme abierto las puertas de este prestigioso templo del saber, cuna de buenos profesionales. A la Profesora Itzel de Juarez por brindarnos Tan sabios

conocimientos, al entregar a la sociedad buenos profesionales capaces para el desarrollo de la tecnologa de nuestro pas. Y a todos mis compaeros.

PROLOGO

Es importante tener una poltica de seguridad de red bien concebida y efectiva que pueda proteger la inversin y los recursos de informacin de la compaa. Vale la pena implementar una poltica de seguridad si los recursos y la informacin que la organizacin tiene en sus redes merecen protegerse. La mayora de las organizaciones tienen en sus redes informacin delicada y secretos importantes; esto debe protegerse del acceso indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los edificios de oficinas. Una organizacin puede tener muchos sitios, y cada uno contar con sus propias redes. S la organizacin es grande, es muy probable que los sitios tengan diferente administracin de red, con metas y objetivos diferentes. Si esos sitios no estn conectados a travs de una red interna, cada uno de ellos puede tener sus propias polticas de seguridad de red. Sin embargo, si los sitios estn conectados mediante una red interna, la poltica de red debe abarcar todos los objetivos de los sitios interconectados. En general, un sitio es cualquier parte de una organizacin que posee computadoras y recursos relacionados con redes. Algunos, no todos, de esos Un aspecto importante de la poltica de seguridad de red es asegurar que todos conozcan su propia responsabilidad para mantener la seguridad. Es difcil que una poltica de seguridad se anticipe a todas las amenazas posibles. Sin embargo, las polticas s pueden asegurar que para cada tipo de problema haya alguien que lo pueda manejar de manera responsable. Puede haber muchos niveles de seguridad relacionados con la poltica de seguridad.

Introduccin A la crea una poltica de seguridad, es importante que comprender la razn para crear una poltica es, en primer lugar, asegurar que los esfuerzos dedicados a la seguridad impliquen un costo razonable. Esto significa que debemos conocer cuales recursos vale la pena proteger, y cuales son ms importantes que otros. Por lo tanto en el siguiente trabajo presentamos la seguridad de la empresa Esqupulas Caf la cual consideramos, la infraestructura, los software, hardware, red y el compromiso que deben poseer los colaboradores al cumplir con la poltica de seguridad que se han establecido. Tambin identificamos la fuente de amenazas de la cual la empresa se

enfrenta protegiendo los recursos de la empresa. A pesar de toda la publicidad acerca de los intrusos que irrumpen en una red, muchos estudios indican que, en el caso de la mayora de las organizaciones, las verdaderas prdidas causadas por los usuarios internos son mucho mayores.

Aspectos Generales Una vez que internet comenz a captar una cantidad considerable de usuarios, qued claro, para el sector comercial, el potencial para sus negocios. Es aqu donde es necesario analizar cmo las pequeas empresas pueden mejorar su poltica de seguridad informtica. Estado o situacin actual del problema Actualmente, existen muchas empresas en que cuentan con unos equipos informticos mas sin embargo no cuentan con las polticas de seguridad para asegurar la informacin y el equipo informtico. El ciber caf Esqupulas de comienza a brindar sus servicios de internet como medio de comunicacin orientando a una vasta cantidad de cibernautas desde el ao 2007. Con esto nace la idea de crear polticas de seguridad. Objetivos del trabajo Objetivo General Implementar polticas de seguridad informtica que vayan en beneficio de la empresa y de los usuarios.

Objetivos especficos Garantizar que los datos sean los que se supone que son. Asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambian. Certificar el correcto funcionamiento de los sistemas de informacin. Afirmar que slo los individuos autorizados tengan acceso a los recursos.

Justificacin Al utilizar herramientas las polticas de seguridad en el ciber caf Esqupulas, se pretende aumentando de esta manera la credibilidad, popularidad y seguridad de los equipos y servicios informticos. La contribucin de nuestro trabajo radica en establecer mejores niveles seguridad que vayan en beneficio de la empresa y de los usuarios del ciber caf Esqupulas, que pueda ser utilizado como marco documentado en aquellas que estn por crear nuevas polticas de seguridad informtica adems, debe ser una fuente de referencia para profesionales y estudiantes.

Descripcin Nombre de la empresa: Esqupulas Caf Generalidades: La creacin de un ciber caf, cuya caracterstica es: la contribucin al desarrollo tecnolgico y la mejora en las comunicaciones de la zona. Servicio de renta de computadoras, impresiones, escaneo, quemado de cds y dvds, captura de datos, diseos por computadora, diseos de pginas web, sistemas, redes de computadoras, reparacin de computadoras, mantenimiento de computadoras, y mas. Visin Nuestra vision es: internet en tus manos 1. - soluciones de acceso al mundo del internet 2. - llegar lo ms cercas posible al pblico en general 3. - cumplir con los requerimientos que nuestros clientes exijan.

Misin Nuestra misin es: enfoque al cliente

1. - facilitamos su trabajo 2. - brindamos una amplia y duradera amistad, dando toda nuestra confianza en cada trabajo. 3. - ponemos en sus manos los beneficios tecnolgicos para que su produccin sea con mayor rapidez y calidad.

Objetivos generales: Colaboracin con el desarrollo tecnolgico y mejorar la comunicacin en la zona. Objetivos Especficos: Entregar un servicio expedito de fcil acceso en el horario ms conveniente para cada persona. Establecer una mejora en la educacin de nios, jvenes y adultos de la zona, permitindoles tener acceso a esta herramienta tan potente en el mundo de hoy. Entregar una alternativa a la escasa oferta existente en la zona. Crear una empresa rentable. Capital de la empresa Para la creacin de ciber caf, es por medio de una sociedad Los inversionistas cuentan con el 27% de la inversin inicial y el 73% de la inversin restante ser aportado por un crdito de una entidad financiera. Estudio de Mercado Para poder consolidar esta empresa se realizo el siguiente estudio de mercado el cual tiene como objetivo establecer la existencia de mercado para la

elaboracin de un ciber caf; adems de conocer aspectos tales como: Caractersticas de los consumidores. Evolucin en la produccin. Sistemas actuales de comercializacin, entre otros aspectos.

Estudio de Mercado Encuesta al Mercado Tienen acceso a una computadora o a tenido acceso a Internet? Objetivo a establecer: cuantos adultos estn Familiarizados con la computacin o Internet.

Acceso a los Servicios

No Si

Si 45% No 55%

Considera usted la computacin e Internet una herramienta necesaria para el mundo de hoy? Objetivo a establecer: determinar cuantos de ellos utilizaran nuestro servicio.

Utilizacion del servicio

No 19%

No Si

Si 81%

Est dispuesto a probar un nivel de educacin bsico en el rea progreso propio y el de sus hijos?

para el

Objetivos a establecer: cuantos de ellos se inscribiran en una capacitacin o permitiran a sus hijos hacerlo.
Dispuestos a Capacitacion

No 23%

No Si Si 77%

Te interesa aprender computacin y tener acceso a Internet? Objetivos a establecer: Analizar el inters de los Adultos, jvenes y nios para involucrarse con el rea.
Interes de los Jovenes y nios

No 8%

No Si

Si 92%

Segmentacin de Mercado

El segmento de los interesados en los cursos y en la utilizacin del servicio esta diversificado de forma tal que hay nios, jvenes y adultos de clase social media, medio-alto y alto. Siendo stos los ms dispuestos a pagar por un desarrollo tecnolgico basada en la computacin e Internet que

complementara y facilitara la educacin regular de los colegios o escuelas y les permitira aspirar a un mayor desarrollo laboral segn sea el caso. Mercado Objetivo El mercado de consumo estar dirigido hacia los nios, jvenes y

adultos de clase media, media-alta y alta, desde los 8 hasta los 75 aos de edad, es decir desde que comienzan primero bsico. Estructura Tamao de la infraestructura Es necesario una dependencia de 30 mt2, ms 2 baos. Diseo de instalaciones Cubculo de 1,70 mts x 1,40 mts. Para la ubicacin de cada computador. Adems de un sector para el administrador del sistema, donde se ubique la impresora y el PC para control de costos.

Ubicacin Avenida 1 Transito, #2717 el bajo Esto se ubica en un sector transitado, puesto que est a un costado de la catedral san Juan bautista de Antn.

Seguridad con que cuenta el local La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. Estos riesgos que se enfrentan han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa Esqupulas caf S.A. Al Desarrollar un sistema de seguridad deseamos plasmar las actividades de "planear, organizar, dirigir y controlar para mantener y garantizar la integridad fsica de los recursos informticos, as como resguardar los activos de la empresa".

Gallego Carlos (2009) http://dominandoadword.com. Estrategias de seguridad en internet

En la actualidad la empresa Esqupulas caf siguientes medidas de seguridad:

S.A. cuenta con las

Para la adquisicin de Hardware se observar lo siguiente: El equipo que se desee adquirir deber estar dentro de las listas de Ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estndares de Esqupulas Caf. Los equipos complementarios debern tener una garanta mnima de un ao y debern contar con el servicio tcnico correspondiente en el pas. Debern ser equipos integrados de fbrica o ensamblados con

Componentes previamente evaluados por el Comit. La marca de los equipos o componentes deber contar con presencia y permanencia demostrada en el mercado nacional e internacional, as como con asistencia tcnica y refaccionaria local. microcomputadores, Tratndose de

a fin de mantener actualizada la arquitectura

informtica de Esqupulas Caf, el Comit emitir peridicamente las especificaciones tcnicas mnimas para su adquisicin. Los dispositivos de almacenamiento, as como las interfaces de

entrada / salida, debern estar acordes con la tecnologa de punta vigente, tanto en velocidad de transferencia de datos, como en procesamiento. Las impresoras debern apegarse a los estndares de Hardware y Software vigentes en el mercado y en Esqupulas Caf, corroborando que los suministros (cintas, papel, etc.) se consigan fcilmente en el mercado y no estn sujetas a un solo proveedor. Conjuntamente con los equipos, se deber adquirir el equipo

complementario adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los fabricantes, y que esta adquisicin se manifieste en el costo de la partida inicial.

Sin embargo consideramos que estos puntos se pueden fortalecer incluyndole las siguientes recomendaciones: Si la computadora misma no est fsicamente segura, pueden ignorarse fcilmente los mecanismos de seguridad del software. En el caso de las estaciones de trabajo DOS(Windows ni siquiera existe un nivel de contrasea de proteccin. Si se deja desatendida una estacin de trabajo Unix, sus discos pueden ser cambiados o si se deja en modo privilegiado, la estacin estar por completo abierta. Asimismo, el intruso puede parar la mquina y regresarla a modo privilegiado, y despus plantar programas tipo caballo de Troya, o tomar cualquier medida para dejar al sistema abierto para ataques futuros. Los equipos adquiridos deben contar, de preferencia con asistencia tcnica durante la instalacin de los mismos. En lo que se refiere a los servidores, equipos de comunicaciones, concentradores de medios (HUBS) y otros equipos que se justifiquen por ser de operacin crtica y/o de alto costo, deben de contar con un programa de mantenimiento preventivo y correctivo que incluya el suministro de refacciones al vencer su perodo de garanta. En lo que se refiere a los computadores denominados personales, al vencer su garanta por adquisicin, deben de contar por lo menos con un programa de servicio de mantenimiento correctivo que incluya el suministro de refacciones. Para la operacin del software de red en caso de manejar los datos empresariales mediante sistemas de informacin, se deber tener en consideracin lo siguiente: Toda la informacin institucional deber invariablemente ser operada a travs de un mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos de integridad, seguridad y recuperacin de informacin en caso de presentarse alguna falla. El acceso a los sistemas de informacin, deber contar con los

privilegios niveles de seguridad de acceso suficientes para garantizar la seguridad total de la informacin institucional. Los niveles de

seguridad de acceso debern controlarse por un administrador nico y poder ser manipulado por software. Se deben delimitar las responsabilidades en cuanto a quin est autorizado a consultar y/o modificar en cada caso la informacin, tomando las medidas de seguridad pertinentes. Sin embargo consideramos que estos puntos se pueden fortalecer incluyndole las siguientes recomendaciones: Al aumentar la complejidad del software, tambin aumenta el nmero y la complejidad de los problemas de un sistema determinado. A menos que se encuentren formas revolucionarias de crear software, ste nunca estar por completo libre de errores. Las fallas de seguridad conocidas pblicamente se vuelven mtodos comunes de acceso no autorizado. Si la implementacin de un sistema es abierta y muy conocida (como es la de Unix), el intruso puede usar los puntos dbiles del cdigo de software que se ejecuta en modo privilegiado para tener acceso privilegiado al sistema. Los administradores de sistemas deben estar conscientes de los puntos dbiles de sus sistemas operativos y tienen la responsabilidad de obtener las actualizaciones y de implementar las correcciones cuando se descubran esos problemas. Tambin usted debe tener la poltica de reportar al proveedor los problemas cuando se encuentren, de modo que pueda implementarse y distribuirse la solucin. Los datos de los sistemas de informacin, deben ser respaldados de

acuerdo a la frecuencia de actualizacin de sus datos, rotando los dispositivos de respaldo y guardando respaldos histricos

peridicamente. Es indispensable llevar una bitcora oficial de los respaldos realizados, asimismo, los CDs de respaldo debern guardarse en un lugar de acceso restringido con condiciones ambientales suficientes para garantizar su conservacin. En cuanto a la informacin de los equipos de cmputo personales, la Unidad de Informtica recomienda a los usuarios que realicen sus propios respaldos en la red o en medios de almacenamiento alternos.
GALLEGO CARLOS (2009) http://www.carlosgallego.com/como-inver-menos-en-adwords.html. Como Invertir

Menos y Vender ms con seguridad en la Web

 Todos los sistemas de informacin que se tengan en operacin, deben contar con sus respectivos manuales actualizados. Un tcnico que describa la estructura interna del sistema as como los programas, catlogos y archivos que lo conforman y otro que describa a los usuarios del sistema y los procedimientos para su utilizacin. Los sistemas de informacin, deben contemplar el registro histrico de las transacciones sobre datos relevantes, as como la clave del usuario y fecha en que se realiz (Normas Bsicas de Auditoria y Control). Se deben implantar rutinas peridicas de auditoria a la integridad de los datos y de los programas de cmputo, para garantizar su confiabilidad.

IDENTIFICADORES DE USUARIO Y CONTRASEAS -Todos los usuarios con acceso a un sistema de informacin o a una red informtica, dispondrn de una nica autorizacin de acceso compuesta de identificador de usuario y contrasea. -Ningn usuario recibir un identificador de acceso a la Red de Comunicaciones, Recursos Informticos o Aplicaciones hasta que no acepte formalmente la Poltica de Seguridad vigente. - Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable de la informacin. Sin embargo consideramos que estos puntos se pueden fortalecer incluyndole las siguientes recomendaciones: - La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y estarn constituidas por combinacin de caracteres

alfabticos, numricos y especiales. - Los identificadores para usuarios temporales se configurarn para un corto perodo de tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas.

Adicional a estos puntos mencionados, la empresa carece ciertos aspectos de seguridad como: LINEAMIENTOS EN INFORMTICA: INFORMACIN -La informacin almacenada en medios magnticos se deber inventariar, anexando la descripcin y las especificaciones de la misma, clasificndola en tres categoras: Informacin histrica para auditorias. Informacin de inters de la Empresa Informacin de inters exclusivo de alguna rea en particular. - Los jefes de rea responsables de la informacin contenida en los departamentos a su cargo, delimitarn las responsabilidades de sus subordinados y determinarn quien est autorizado a efectuar operaciones emergentes con dicha informacin tomando las medidas de seguridad pertinentes. - Se establecen tres tipos de prioridad para la informacin: Informacin vital para el funcionamiento del rea; Informacin necesaria, pero no indispensable en el rea. Informacin ocasional o eventual. - En caso de informacin vital para el funcionamiento del rea, se debern tener procesos colaborativos, as como tener el respaldo diario de las modificaciones efectuadas, rotando los dispositivos de respaldo y guardando respaldos histricos semanalmente. - La informacin necesaria pero no indispensable, deber ser respaldada con una frecuencia mnima de una semana, rotando los dispositivos de respaldo y guardando respaldos histricos mensualmente. - El respaldo de la informacin ocasional o eventual queda a criterio del rea. - La informacin almacenada en medios magnticos, de carcter histrico, quedar documentada como activos del rea y estar debidamente resguardada en su lugar de almacenamiento.

-Es obligacin del responsable del rea, la entrega conveniente de la informacin, a quien le suceda en el cargo.

- Los sistemas de informacin en operacin, como los que se desarrollen debern contar con sus respectivos manuales. Un manual del usuario que describa los procedimientos de operacin y el manual tcnico que describa su estructura interna, programas, catlogos y archivos.

- Ningn colaborador en proyectos de software y/o trabajos especficos, deber poseer, para usos no propios de su responsabilidad, ningn material o informacin confidencial de Esqupulas Caf tanto ahora como en el futuro. RESPONSABILIDADES PERSONALES - Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado. - Los usuarios no deben revelar bajo ningn concepto su identificador y/o contrasea a otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros. - Los usuarios no deben utilizar ningn acceso autorizado de otro usuario, aunque dispongan de la autorizacin del propietario. - Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contrasea) est siendo utilizado por otra persona, debe proceder al cambio de su contrasea e informar a su jefe inmediato y ste reportar al responsable de la administracin de la red. - El Usuario debe utilizar una contrasea compuesta por un mnimo de ocho caracteres constituida por una combinacin de caracteres alfabticos, numricos y especiales.

- La contrasea no debe hacer referencia a ningn concepto, objeto o idea reconocible. Por tanto, se debe evitar utilizar en las contraseas fechas significativas, das de la semana, meses del ao, nombres de personas, telfonos. - En caso que el sistema no lo solicite automticamente, el usuario debe cambiar la contrasea provisional asignada la primera vez que realiza un acceso vlido al sistema.

- En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar su contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr denegar el acceso y se deber contactar con el jefe inmediato para solicitar al administrador de la red una nueva clave. - Proteger, en la medida de sus posibilidades, los datos de carcter personal a los que tienen acceso, contra revelaciones no autorizadas o accidentales, modificacin, destruccin o mal uso, cualquiera que sea el soporte en que se encuentren contenidos los datos. USO APROPIADO DE LOS RECURSOS

Queda Prohibido

- El uso de estos recursos para actividades no relacionadas con el propsito del negocio, o bien con la extralimitacin en su uso. especificados como parte del Software o de los Estndares de los Recursos Informticos propios de Esqupulas Caf. contenidos obscenos, amenazadores, inmorales u ofensivos.

Queda prohibido

ActiveX o cualquier otro dispositivo lgico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteracin o dao en los Recursos Informticos. El personal contratado por Esqupulas Caf tendr la obligacin de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en los Sistemas de cualquier elemento destinado a destruir o corromper los datos informticos. datos, programas o documentos electrnicos. los computadores de trabajo. - Cualquier fichero introducido en la red corporativa o en el puesto de trabajo del usuario a travs de soportes automatizados, Internet, correo electrnico o cualquier otro medio, deber cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual y control de virus.

RECURSOS DE RED De forma rigurosa, ninguna persona debe: comunicaciones (Ej. mdem) que posibilite la conexin a la Red Corporativa. los definidos. hayan sido asignados.

de la Red Corporativa. Informacin. -

Sistemas de Informacin o

otro elemento de seguridad que intervenga en los procesos telemticos. trabajo de otros Usuarios, ni daar o alterar los Recursos Informticos.

BENEFICIOS DE IMPLANTAR POLTICAS DE SEGURIDAD INFORMTICA Los beneficios de un sistema de seguridad con polticas claramente concebidas bien elaboradas son inmediatos, ya que Esqupulas Caf trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos:

Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los Recursos Humanos.

Debido a las pocas medidas de seguridad que se cuentan en la actualidad consideramos como un material adicional y de ayuda para la empresa Esqupulas Caf y otras empresa las siguientes sugerencias. Al realizar el anlisis de riesgo, se debe identificar todos los recursos que corran el riesgo de sufrir una violacin de seguridad. Los recursos como el hardware son bastante obvios para incluirlos en este clculo, pero en muchas ocasiones se ignoran recursos tales como las personas que en realidad utilizan los sistemas. Es importante identificar a todos los recursos de la red que puedan ser afectados por un problema de seguridad. Una vez identificado los recursos que requieren proteccin, usted debe

identificar las amenazas a las que estn expuestos. Pueden examinarse las amenazas para determinar que posibilidad de perdida existe. Tambin debe identificar que amenazas esta usted tratando de proteger a sus recursos. La revelacin de informacin, ya sea voluntaria o involuntaria, es otro tipo de amenaza. Usted debe determinar el valor y delicadeza de la informacin guardada en sus computadoras. En el caso de vendedores de hardware y software, el cdigo fuente, los detalles de diseo, los diagramas y la informacin especfica de un producto representan una ventaja competitiva. Existen numerosas cuestiones que deben abordarse al elaborar una poltica de seguridad: Quin est autorizado para usar los recursos? Cul es el uso adecuado de los recursos? Quin est autorizado para conceder acceso y aprobar el uso? Quin puede tener privilegios de administracin del sistema? Cules son los derechos y las responsabilidades del usuario? Cules son los derechos y las responsabilidades del administrador del sistema, en Comparacin con los de los usuarios! Qu hace usted con la informacin delicada?

Muchas veces, el administrador del sistema necesita recabar informacin del directorio privado de un usuario para diagnosticar problemas del sistema. Los

usuarios, por otra parte, tienen el derecho de conservar su privacidad. Existe, por lo tanto, una contradiccin entre el derecho del usuario a la privacidad y las necesidades del administrador del sistema. Cuando se presentan amenazas a la seguridad de la red, el administrador del sistema tendr mayor necesidad de recabar informacin de los archivos, incluidos los del directorio base de los usuarios. La poltica de seguridad de la red debe especificar el grado al que el administrador del sistema pueda examinar los directorios y archivos privados de los usuarios para diagnosticar problemas del sistema e investigar violaciones de la seguridad. Si la seguridad de la red esta en riesgo, la poltica debe permitir mayor flexibilidad para que el administrador corrija los problemas de seguridad. Es necesario contar con un plan de contingencia, cuando la poltica de seguridad ha sido vulnerada. Cada vez que se viola la poltica de seguridad, el sistema est sujeto a amenazas. Si no se producen cambios en la seguridad de la red cuando esta sea violada, entonces debe modificarse la poltica de seguridad para eliminar aquellos elementos que no sean seguros. La poltica de seguridad y su implementacin deben ser lo menos obstructivas posible. Si la poltica de seguridad es demasiado restrictiva, o esta explicada inadecuadamente, es muy probable que sea violada o desactivada. Al margen del tipo de poltica que se implemente, algunos usuarios tienen la tendencia a violarla. En ocasiones las violaciones a la poltica son evidentes; otras veces estas infracciones no son detectadas. Los procedimientos de seguridad que usted establezca deben reducir al mnimo la posibilidad de que no se detecte una infraccin de seguridad. Cuando usted detecte una violacin a la poltica de seguridad, debe determinar si esta ocurri debido a la negligencia de un individuo, a un accidente o error, por ignorancia de la poltica vigente o si deliberadamente la poltica fue pasada por alto. En este ltimo caso, la violacin quizs haya sido efectuada no solo por una persona, sino por un grupo que a sabiendas realiza un acto en violacin directa de la poltica de seguridad. En cada una de estas

circunstancias, la poltica de seguridad debe contar con lineamientos acerca de las medidas que se deben tomar. Cuando ocurre una violacin, la respuesta puede depender del tipo de usuario responsable del acto. Las violaciones a la poltica pueden ser cometidas por gran variedad de usuarios; algunos pueden ser locales y otros externos. Los usuarios locales son llamados usuarios internos y los externos, usuarios forneos. Por lo general, la distincin entre ambos tipos estn basada en los lmites de red, administrativos, legales o polticos. El tipo de limite determina cual debe ser la respuesta a la violacin de la seguridad. Los ejemplos de respuestas pueden ir desde una reprimenda o advertencia verbal, una carta formal o la presentacin de cargos judiciales. Usted necesita definir la accin segn el tipo de violacin. Estas acciones requieren ser definidas con claridad, con base en el tipo de usuario que haya violado la poltica de seguridad de computo. Los usuarios internos y externos de su red deben estar conscientes de la poltica de seguridad. Se podra tener una violacin de la poltica de seguridad en la que el agresor sea un usuario interno. Esto podr ocurrir en las siguientes situaciones:

Un usuario local viola la poltica de seguridad de un sitio local. Un usuario local viola la poltica de seguridad de un sitio remoto. En el primer caso, debido a que se viola la poltica de seguridad interna, usted tendr ms control sobre el tipo de respuesta ante esta violacin de seguridad. En el segundo caso, un usuario local ha violado la seguridad de la poltica de seguridad de otra organizacin. Estrategias que se surgieren Existen dos tipos de estrategias de respuesta ante incidentes de seguridad:

Proteja y contine Persiga y demande Si los administradores de la poltica de seguridad sienten que la compaa es bastante vulnerable, quizs se decidan por la estrategia de proteger y continuar. El objetivo de esta poltica es proteger de inmediato a la red y

restablecerla a su situacin normal, para que los usuarios puedan seguir usndola. Para hacer esto, usted tendr que interferir activamente con las acciones del intruso y evitar mayor acceso. A esto debe seguir el anlisis del dao causado. En ocasiones no es posible restablecer la red de inmediato a su funcionamiento normal; quizs tenga que aislar sus segmentos y apagar sistemas, con el objeto de evitar ms accesos no autorizados en el sistema. La desventaja de este procedimiento es que los intrusos saben que ya fueron detectados y tomaran medidas para evitar que sean rastreados. Asimismo, el intruso puede reaccionar a su estrategia de proteccin atacando el sitio con otro mtodo; por lo menos, es probable que el intruso contiene su vandalismo en otro sitio. La poltica de seguridad define lo que necesita protegerse, pero no seala explcitamente como deben protegerse los recursos y el enfoque general para manejar los problemas de seguridad. En una seccin separada de la poltica de seguridad deben abordarse los procedimientos generales que deben implementarse para evitar problemas de seguridad. La poltica de seguridad debe remitirse a la gua del administrador de sistemas del sitio respecto a detalles adicionales acerca de la implementacin de los procedimientos de seguridad. Antes de establecer los procedimientos de seguridad, debe evaluar el nivel de importancia de los recursos de la red y su grado de riesgo. Establecer una poltica de seguridad eficaz requiere considerable esfuerzo. Se necesita cierto esfuerzo para considerar todos los aspectos y cierta disposicin para establecer las polticas en papel y hacer lo necesario para que los usuarios de la red la entiendan adecuadamente. La confiabilidad en la poltica de seguridad La confidencialidad puede definirse como el hecho de mantener las cosas ocultas o secretas. Esta es una consideracin muy importante para varios tipos de datos delicados.

Las siguientes son algunas de las situaciones en las que la informacin es vulnerable de ser divulgada:

Cuando la informacin est almacenada en un sistema de cmputo. Cuando la informacin est en trnsito hacia otro sistema en la red. Cuando la informacin est almacenada en cintas de respaldo. Poltica de control Los controles que usted seleccione sern la primera lnea de defensa en la proteccin de su red. Estos controles deben representar con precisin lo que usted intenta proteger, tal como est definido en la poltica de seguridad. Si las intrusiones externas son una gran amenaza contra su sistema, quiz no sea econmicamente emplear dispositivos biomtricos para autentificar a los usuarios internos. En cambio, si la amenaza mayor a sus sistemas es el uso no autorizado de los recursos de computadora por los usuarios internos, usted necesitar establecer buenos procedimientos de contabilidad automatizados. Estrategias reservadas Si el anlisis de riesgo indica que proteger un recurso es vital para la seguridad de la red, necesitar usar diversas estrategias para hacerlo, lo cual le da a usted la seguridad de que, si una estrategia falla o es alterada, otra puede entrar en accin y seguir protegiendo el recurso de la red. Puede resultar ms econmico y sencillo usar varias estrategias, de fcil implementacin pero eficaces, que seguir una sola estrategia complicada y sofisticada. Este ltimo es el principio del todo o nada. Si el mecanismo elaborado es vencido, no hay ninguno de reserva que proteja al recurso. Ejemplos de controles sencillos son los mdems de devolucin de llamada, que pueden usarse en combinacin con mecanismos tradicionales de conexin. Esto puede reforzarse con tarjetas inteligentes y autentificando manuales de un paso. La importancia del sistema en la poltica de seguridad Si el anlisis de riesgo indica que proteger un recurso es vital para la seguridad de la red, necesitar usar diversas estrategias para hacerlo, lo cual le da a

usted la seguridad de que, si una estrategia falla o es alterada, otra puede entrar en accin y seguir protegiendo el recurso de la red. Puede resultar ms econmico y sencillo usar varias estrategias, de fcil implementacin pero eficaces, que seguir una sola estrategia complicada y sofisticada. Este ltimo es el principio del todo o nada. Si el mecanismo elaborado es vencido, no hay ninguno de reserva que proteja al recurso. Ejemplos de controles sencillos son los mdems de devolucin de llamada, que pueden usarse en combinacin con mecanismos tradicionales de conexin. Esto puede reforzarse con tarjetas inteligentes y autentificando manuales de un paso. Como proteger la conexin en la red. Si es probable que el ataque del intruso se realice a travs de una red de conexin externa, como Internet, tal vez tenga que proteger las conexiones con la red externa. Puede usarse un dispositivo de firewall para ofrecer un punto de resistencia a la entrada de intrusos en la red. Adems de la firewall puede usarse routers de seleccin. Algunos sitios de la organizacin necesitan conectarse con otros sitios de la misma organizacin, y est prohibido que se conecten a redes externas. Estas redes son menos susceptibles de amenazas desde fuera de la red de la organizacin. De todos modos, pueden ocurrir intrusiones inesperadas a travs de mdems de acceso telefnico situados en las estaciones de trabajo de escritorio de los usuarios. Cuando se envan archivos o documentos a travs de la red, usted debe tener alguna forma de verificar que stos no hayan sido alterados. Esto es lo que se llama integridad de la informacin y se refiere al proceso de verificar que la informacin enviada est completa y sin cambios con respecto de la ltima vez que se verific. La integridad de la informacin es importante para instituciones militares, de gobierno y financieras. Tambin puede ser importante que no se revele informacin clasificada, ya sea con o sin modificaciones. La informacin que se modifica en forma maliciosa puede crear malas interpretaciones, confusiones y conflictos.

Si la informacin se enva en forma electrnica a travs de la red, una forma de asegurar que no se modifique es mediante sumas de verificacin. Cualquier forma de encriptacin tambin ofrece la integridad de la informacin, ya que el interceptor tendra que descifrarla primero, antes de modificarla. Como mantener una poltica de seguridad actualizada Su poltica de seguridad, adems de identificar a las agencias con las que debe hacer contacto en caso de incidentes de seguridad, debe tambin designar a las personas que deban mantenerse actualizadas con las cuestiones y problemas de seguridad. Si su organizacin est conectada a Internet, quiz tenga que inscribirse en las listas de correo o grupos de noticias en los que se discuten temas de seguridad que son de inters para usted. Recuerde que se requiere tiempo para mantenerse al da con la informacin de las listas de correo y grupos de noticias. A menos que usted identifique a las personas que deban mantener esta informacin, y que esta tarea sea parte de su trabajo, el administrador del sistema probablemente no tendr tiempo para hacerlo.

Mendoza

Alvaro (2009) http//www.programa.com/tutorial/sql/ La seguridad en redes

CONCLUSIONES Si bien da a da aparecen nuevos y complejos tipos de incidentes, an se registran fallas de seguridad de fcil resolucin tcnica, las cuales ocurren en muchos casos por falta de conocimientos sobre los riesgos que acarrean. Por otro lado, los incidentes de seguridad impactan en forma cada vez ms directa sobre las personas. En consecuencia, se requieren efectivas acciones de concientizacin, capacitacin y difusin de mejores prcticas. Como hemos visto la seguridad en las redes se ha convertido en un factor importante en el diseo e implementacin de las redes. El administrador de la red debe estar constantemente implementando medidas de seguridad en la red con el fin de tener una red confiable y estable. Las redes inalmbricas estn en constante crecimiento y esto representa un reto para los administradores que tendrn que desarrollar medidas eficaces para mantener seguras las redes. Aun con las medidas de seguridad que se implanten, siempre habr amenazas en contra de las redes. Toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, la mayora de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente.. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informtico propenso a errores, lento, frgil e inestable; la empresa nunca saldr a adelante.

Bibliografa Libros Cook David (2007) Inicie su negocio en Web. Editorial Prentice Hall Hispanoamericana, S. A. Sitios Web GALLEGO CARLOS (2009) http://www.carlosgallego.com/como-inver-menosen-adwords.html. Como Invertir Menos y Vender ms con seguridad en la Web Gallego Carlos (2009) http://dominandoadword.com. Estrategias de seguridad en internet Rentera Carolina (2008) http://mercadeoglobal.com/articulos/articles/781/1/Tu-Negocio-en-InternetCamino-a-la-Me/Pagina1.html. Tu Negocio en Internet: Seguro a la Meta Mendoza Alvaro (2009) http//www.programa.com/tutorial/sql/ La seguridad en redes