Polticas de Seguridad de la Informacin

POLITICAS DE SEGURIDAD DE LA INFORMACIN ALCANCE DE LAS POLTICAS Las polticas definidas el presente documento aplican a todos los funcionarios pblicos , contratistas y pasantes del ICETEX, IES, Constituyentes de Fondos, personal temporal y otras personas relacionadas con terceras partes que utilicen recursos informticos del ICETEX. DEFINICIONES Entindase para el presente documento los siguientes trminos: IES: Instituto de Educacin Superior Poltica: son instrucciones mandatorias que indican la intencin de la alta gerencia respecto a la operacin de la organizacin. Recurso Informtico: Elementos informticos (base de datos, sistemas operacionales, redes, sistemas de informacin y comunicaciones) que facilitan servicios informticos. Informacin: Puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o utilizando medios electrnicos, presentada en imgenes, o expuesta en una conversacin. Cualquiera sea la forma que adquiere la informacin, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. Usuarios Terceros: Todas aquellas personas naturales o jurdicas, que no son funcionarios del ICETEX , pero que por las actividades que realizan en la Entidad, deban tener acceso a Recursos Informticos Ataque ciberntico: intento de penetracin de un sistema informtico por parte de un usuario no deseado ni autorizado a accederlo, por lo general con intenciones insanas y perjudiciales. Brecha de seguridad: deficiencia de algn recurso informtico o telemtico que pone en riesgo los servicios de informacin o expone la informacin en si misma, sea o no protegida por reserva legal. Criptografa de llave publica: es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas matemticas que hagan posible el intercambio de mensajes de manera que slo puedan ser ledos por las personas a quienes van dirigidos. Cifrar: quiere decir transformar un mensaje en un documento no legible, y el proceso contrario se llama `descodificar" o `descifrar". Los sistemas de ciframiento se llaman `sistemas criptogrficos". Certificado Digital: un bloque de caracteres que acompaa a un documento y que certifica quin es su autor (autenticacin) y que no haya existido ninguna manipulacin de los datos (integridad). Para firmar, el firmante emisor utiliza una clave secreta que le vincula al documento. La validez de la firma podr ser comprobada por cualquier persona que disponga de la clave pblica del autor No repudio: este mecanismo genera registros especiales con alcances de "prueba judicial" acerca de que el contenido del mensaje de datos es la manifestacin de la voluntad del firmante y que se atiene a las consecuencias de su decisin.

DESCRIPCIN DE LAS POLITICAS POLITICA 1: ACCESO A LA INFORMACIN Todos los funcionarios pblicos, contratistas, IES, Constituyentes de Fondos y pasantes que laboran para el ICETEX deben tener acceso slo a la informacin necesaria para el desarrollo de sus actividades. En el caso de personas ajenas a el ICETEX , la Secretaria General, Subdirectores, jefes de Oficina y jefe de proyecto de ACCES responsable de generar la informacin debe autorizar slo el acceso indispensable de acuerdo con el trabajo realizado por estas personas, previa justificacin. El otorgamiento de acceso a la informacin est regulado mediante las normas y procedimientos definidos para tal fin. Todas las prerrogativas para el uso de los sistemas de informacin de la Entidad deben terminar inmediatamente despus de que el trabajador cesa de prestar sus servicios a la Entidad Proveedores o terceras personas solamente deben tener privilegios durante el periodo del tiempo requerido para llevar a cabo las funciones aprobadas. Para dar acceso a la informacin se tendr en cuenta la clasificacin de la misma al interior de la Entidad, la cual deber realizarse de acuerdo con la importancia de la informacin en la operacin normal de la Entidad. Mediante el registro de eventos en los diversos recursos informticos de la plataforma tecnolgica se efectuar un seguimiento a los accesos realizados por los usuarios a la informacin de la Entidad, con el objeto de minimizar el riesgo de prdida de integridad de la informacin. Cuando se presenten eventos que pongan en riesgo la integridad, veracidad y consistencia de la informacin se debern documentar y realizar las acciones tendientes a su solucin. POLITICA 2: ADMINISTRACION DE CAMBIOS Todo cambio (creacin y modificacin de programas, pantallas y reportes) que afecte los recursos informticos, debe ser requerido por los usuarios de la informacin y aprobado formalmente por el responsable de la administracin del mismo, al nivel de jefe inmediato o a quienes estos formalmente deleguen. El responsable de la administracin de los accesos tendr la facultad de aceptar o rechazar la solicitud. Bajo ninguna circunstancia un cambio puede ser aprobado, realizado e implantado por la misma persona o rea. Para la administracin de cambios se efectuar el procedimiento correspondiente definido por el ICETEX, de acuerdo con el tipo de cambio solicitado en la plataforma tecnolgica. Cualquier tipo de cambio en la plataforma tecnolgica debe quedar formalmente documentado desde su solicitud hasta su implantacin. Este mecanismo proveer herramientas para efectuar seguimiento y garantizar el cumplimiento de los procedimientos definidos. Todo cambio a un recurso informtico de la plataforma tecnolgica relacionado con modificacin de accesos, mantenimiento de software o modificacin de parmetros debe realizarse de tal forma que no disminuya la seguridad existente. POLITICA 3: SEGURIDAD DE LA INFORMACION Los funcionarios pblicos, contratistas, IES, Constituyentes de Fondos y pasantes del ICETEX son responsables de la informacin que manejan y debern cumplir los lineamientos generales y especiales dados por la Entidad, por la Ley para protegerla y evitar prdidas, accesos no

autorizados, exposicin y utilizacin indebida de la misma. Los funcionarios pblicos, contratistas, IES, Constituyentes de Fondos y pasantes no deben suministrar cualquier informacin de la entidad a ningn ente externo sin las autorizaciones respectivas. Todo funcionario que utilice los Recursos Informticos, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la informacin que maneje, especialmente si dicha informacin est protegida por reserva legal o ha sido clasificada como confidencial y/o crtica. Los funcionarios, contratistas IES, Constituyentes de Fondos y pasantes deben firmar y renovar cada ao, un acuerdo de cumplimiento de la seguridad de la informacin, la confidencialidad, el buen manejo de la informacin. Despus de que el trabajador deja de prestar sus servicios a la Entidad, se compromete entregar toda la informacin respectiva de su trabajo realizado. Una vez retirado el funcionario, contratistas, IES, Constituyentes de Fondos y pasantes del ICETEX deben comprometerse a no utilizar, comercializar o divulgar los productos o a informacin generada o conocida durante la gestin en la entidad, directamente o travs de terceros, as mismo, los funcionarios pblicos que detecten el mal uso de la informacin est en la obligacin de reportar el hecho al grupo de control interno disciplinario . Como regla general, la informacin de polticas, normas y procedimientos de seguridad se deben revelar nicamente a funcionarios y entes externos que lo requieran, de acuerdo con su competencia y actividades a desarrollar segn el caso respectivamente. POLITICA 4: SEGURIDAD PARA LOS SERVICIOS INFORMATICOS El sistema de correo electrnico, grupos de charla y utilidades asociadas de la entidad debe ser usado nicamente para el ejercicio de las funciones de competencia de cada funcionario y de las actividades contratadas en el caso de los contratistas y pasantes. La entidad se reserva el derecho de acceder y develar todos los mensajes enviados por medio del sistema de correo electrnico para cualquier propsito. Para este efecto, el funcionario o contratista autorizar a la entidad para realizar las revisiones y/o auditorias respectivas directamente o a travs de terceros. Los funcionarios pblicos, contratistas IES, Constituyentes de Fondos y pasantes no deben utilizar versiones escaneadas de Firmas hechas a mano para dar la impresin de que un mensaje de correo electrnico cualquier otro tipo de comunicacin electrnica haya sido firmada por la persona que la enva. La propiedad intelectual desarrollada o concebida mientras el trabajador se encuentre en sitios de trabajo alternos, es propiedad exclusiva de la entidad. Esta poltica incluye patentes, derechos de reproduccin, marca registrada y otros derechos de propiedad intelectual segn lo manifestado en memos, planes, estrategias, productos, programas de computacin, cdigos fuentes, documentacin y otros materiales. Los funcionarios pblicos, contratistas IES, Constituyentes de Fondos y pasantes que hayan recibido aprobacin para tener acceso a Internet a travs de las facilidades de la entidad, debern aceptar, respetar y aplicar las polticas y prcticas de uso de Internet. En cualquier momento que un trabajador publique un mensaje en un grupo de discusin de Internet, en un boletn electrnico, o cualquier otro sistema de informacin pblico, este mensaje debe ir acompaado de palabras que indiquen claramente que su contenido no representa la posicin de la entidad. Si los usuarios sospechan que hay infeccin por un virus, deben inmediatamente llamar a la oficina de informtica, no utilizar el computador y desconectarlo de la red.

El intercambio electrnico de informacin se realizar con base en estndares de documentos electrnicos y mensajes de datos de dominio pblico, regidas por organismos idneos de carcter nacional e internacionales, y utilizando mecanismos criptogrficos de clave pblica que garanticen la integridad, confidencialidad, autenticidad y aceptacin de la informacin. Cuando se considere necesario, los servicios de intercambio de informacin tambin incluirn garantas de "no repudio". El Asesor de seguridad informtica en conjunto con la oficina asesora de comunicaciones debe proveer material para recordar regularmente a los empleados, temporales y consultores acerca de sus obligaciones con respecto a la seguridad de los recursos informticos. POLITICA 5: SEGURIDAD EN RECURSOS INFORMATICOS Todos los recursos informticos deben cumplir como mnimo con lo siguiente: Administracin de usuarios: Establece como deben ser utilizadas las claves de ingreso a los recursos informticos. Establece parmetros sobre la longitud mnima de las contraseas, la frecuencia con la que los usuarios deben cambiar su contrasea y los perodos de vigencia de las mismas, entre otras. Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos debern contar con roles predefinidos o con un mdulo que permita definir roles, definiendo las acciones permitidas por cada uno de estos. Debern permitir la asignacin a cada usuario de posibles y diferentes roles. Tambin deben permitir que un rol de usuario administre el Administracin de usuarios. Plan de auditora: Hace referencia a las pistas o registros de los sucesos relativos a la operacin. Las puertas traseras: Las puertas traseras son entradas no convencionales a los sistemas operacionales, bases de datos y aplicativos. Es de suma importancia aceptar la existencia de las mismas en la mayora de los sistemas operacionales, bases de datos, aplicativos y efectuar las tareas necesarias para contrarrestar la vulnerabilidad que ellas generan. El control de acceso a todos los sistemas de computacin de la entidad debe realizarse por medio de cdigos de identificacin y palabras claves o contraseas nicos para cada usuario. Las palabras claves o contraseas de acceso a los recursos informticos, que designen los funcionarios pblicos , contratistas IES, Constituyentes de Fondos y pasantes del ICETEX son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona. Los usuarios son responsables de todas las actividades llevadas a cabo con su cdigo de identificacin de usuario y sus claves personales. Se prohbe tener identificaciones de usuario genricos basados en sus funciones de trabajo. Las identificaciones de usuario deben nicamente identificar individuos especficos. Todo sistema debe tener definidos los perfiles de usuario de acuerdo con la funcin y cargo de los usuarios que acceden a l. El nivel de superusuario de los sistemas crticos debe tener un control dual, de tal forma que exista una supervisin a las actividades realizadas por el administrador del sistema. Toda la informacin del servidor de base de datos que sea sensible, crtica o valiosa debe tener controles de acceso y sometida a procesos de ciframiento para garantizar que no sea inapropiadamente descubierta, modificada, borrada o no recuperable. Antes de que un nuevo sistema se desarrolle o se adquiera, los subdirectores, jefes de oficina, en conjunto con el asesor de seguridad informtica, debern definir las especificaciones y

requerimientos de seguridad necesarios. La seguridad debe ser implementada por diseadores y desarrolladores del sistema desde el inicio del proceso de diseo de sistemas hasta la conversin a un sistema en produccin. Los ambientes de desarrollo de sistemas, pruebas y produccin deben permanecer separados para su adecuada administracin, operacin, control y seguridad y en cada uno de ellos se instalarn las herramientas necesarias para su administracin y operacin. POLITICA 6: SEGURIDAD EN COMUNICACIONES Las direcciones internas, topologas, configuraciones e informacin relacionada con el diseo de los sistemas de comunicacin, seguridad y cmputo de la Entidad, debern ser considerados y tratados como informacin confidencial. La red de amplia cobertura geogrfica a nivel nacional e internacional debe estar dividida en forma lgica por diferentes segmentos de red, cada uno separado con controles de seguridad perimetral y mecanismos de control de acceso. Todas las conexiones a redes externas de tiempo real que accedan a la red interna de la entidad, debe pasar a travs de los sistemas de defensa electrnica que incluyen servicios de ciframiento y verificacin de datos, deteccin de ataques cibernticos, deteccin de intentos de intrusin, administracin de permisos de circulacin y autenticacin de usuarios. Todo intercambio electrnico de informacin o interaccin entre sistemas de informacin con entidades externas deber estar soportado con un acuerdo o documento de formalizacin. Los computadores de ICETEX se conectarn de manera directa con computadores de entidades externas, conexiones seguras, previa autorizacin del rea de seguridad informtica y/o la oficina de informtica. Toda informacin secreta y/o confidencial que se transmita por las redes de comunicacin de la Entidad e Internet deber estar cifrada POLITICA 7: SEGURIDAD PARA USUARIOS TERCEROS Los dueos de los Recursos Informticos que no sean propiedad de la entidad y deban ser ubicados y administrados por sta, deben garantizar la legalidad del recurso para su funcionamiento. Adicionalmente debe definir un documento de acuerdo oficial entre las partes. Cuando se requiera utilizar recursos informticos u otros elementos de propiedad de ICETEX para el funcionamiento de recursos que no sean propios de la entidad y que deban ubicarse en sus instalaciones, los recursos sern administrados por el rea tcnica del ICETEX. Los usuarios terceros tendrn acceso a los Recursos Informticos, que sean estrictamente necesarios para el cumplimiento de su funcin, servicios que deben ser aprobados por quien ser el Jefe inmediato o coordinador. En todo caso debern firmar el acuerdo de buen uso de los Recursos Informticos. Si se requiere un equipo con mdem, este equipo no podr en ningn momento estar conectado a la Red al mismo tiempo. La conexin entre sistemas internos de la entidad y otros de terceros debe ser aprobada y certificada por el rea de Seguridad Informtica con el fin de no comprometer la seguridad de la informacin interna de la entidad.

Los equipos de usuarios terceros que deban estar conectados a la Red, deben cumplir con todas las normas de seguridad informtica vigentes en la Entidad. Como requisito para interconectar las redes de la entidad con las de terceros, los sistemas de comunicacin de terceros deben cumplir con los requisitos establecidos por la entidad. La entidad se reserva el derecho de monitorear estos sistemas de terceros sin previo aviso para evaluar la seguridad de los mismos. La entidad se reserva el derecho de cancelar y terminar la conexin a sistemas de terceros que no cumplan con los requerimientos internos establecidos por la entidad. POLITICA 8: SOFTWARE UTILIZADO Todo software que utilice el ICETEX ser adquirido de acuerdo con las normas vigentes y siguiendo los procedimientos especficos de la Entidad o reglamentos internos. Todo el software de manejo de datos que utilice el ICETEX dentro de su infraestructura informtica, deber contar con las tcnicas ms avanzadas de la industria para garantizar la integridad de los datos. Debe existir una cultura informtica al interior de la Entidad que garantice el conocimiento por parte de los funcionarios pblicos, contratistas IES, Constituyentes de Fondos y pasantes de las implicaciones que tiene el instalar software ilegal en los computadores del ICETEX. Existir un inventario de las licencias de software del ICETEX que permita su adecuada administracin y control evitando posibles sanciones por instalacin de software no licenciado. Deber existir una reglamentacin de uso para los productos de software instalado en demostracin los computadores del ICETEX. POLITICA 9: ACTUALIZACION DE HARDWARE Cualquier cambio que se requiera realizar en los equipos de cmputo de la entidad (cambios de procesador, adicin de memoria o tarjetas) debe tener previamente una evaluacin tcnica y autorizacin del rea responsable. La reparacin tcnica de los equipos, que implique la apertura de los mismos, nicamente puede ser realizada por el personal autorizado. Los equipos de microcomputadores (PC, servidores, LAN etc.) no deben moverse o reubicarse sin la aprobacin previa del administrador, jefe o coordinador del rea involucrada. POLITICA 10 : ALMACENAMIENTO Y RESPALDO La informacin que es soportada por la infraestructura de tecnologa informtica del ICETEX deber ser almacenada y respaldada de acuerdo con las normas emitidas de tal forma que se garantice su disponibilidad. Debe existir una definicin formal de la estrategia de generacin, retencin y rotacin de las copias de respaldo. La entidad definir la custodia de los respaldos de la informacin que se realizar externamente con una compaa especializada en este tema. El almacenamiento de la informacin deber realizarse interna y/o externamente a la Entidad, esto de acuerdo con la importancia de la informacin para la operacin del ICETEX. El rea duea de la informacin en conjunto con la oficina Informtica definir la estrategia a seguir

para el respaldo de la informacin. Los funcionarios pblicos son responsables de los respaldos de su informacin en los microcomputadores, siguiendo las indicaciones tcnicas dictadas por la oficina de informtica. La oficina de informtica ser la autorizada para realizar el seguimiento y control de esta poltica. POLITICA 11: CONTINGENCIA La administracin de la Entidad debe preparar, actualizar peridicamente y probar en forma regular un plan de contingencia que permita a las aplicaciones crticas y sistemas de cmputo y comunicacin estar disponibles en el evento de un desastre de grandes proporciones como terremoto, explosin, terrorismo, inundacin etc. POLITCA 12: AUDITORIA Todos los sistemas automticos que operen y administren informacin sensitiva, valiosa o crtica para la Entidad, como son sistemas de aplicacin en produccin, sistemas operativos, sistemas de bases de datos y telecomunicaciones deben generar pistas (adicin, modificacin, borrado) de auditora. Todos los archivos de auditoras deben proporcionar suficiente informacin para apoyar el monitoreo, control y auditorias. Todos los archivos de auditoras de los diferentes sistemas deben preservarse por periodos definidos segn su criticidad y de acuerdo a las exigencias legales para cada caso. Todos los archivos de auditoras deben ser custodiados en forma segura para que no puedan ser modificados y para que puedan ser ledos nicamente por personas autorizadas; los usuarios que no estn autorizados deben solicitarlos al rea encargada de su administracin y custodia. Todos los computadores de la Entidad deben estar sincronizados y tener la fecha y hora exacta para que el registro en la auditoria sea correcto. POLITICA 13 : SEGURIDAD FISICA La Entidad deber contar con los mecanismos de control de acceso tales como puertas de seguridad, sistemas de control con tarjetas inteligentes, sistema de alarmas y circuitos cerrados de televisin en las dependencias que la entidad considere crticas. Los visitantes de las oficinas de la entidad deben ser escoltados durante todo el tiempo por un empleado autorizado, asesor o contratista. Esto significa que se requiere de un escolta tan pronto como un visitante entra a un rea y hasta que este mismo visitante sale del rea controlada. Todos los visitantes requieren una escolta incluyendo clientes, antiguos empleados, miembros de la familia del trabajador. Siempre que un trabajador se d cuenta que un visitante no escoltado se encuentra dentro de reas restringidas de la entidad, el visitante debe ser inmediatamente cuestionado acerca de su propsito de encontrarse en rea restringida e informar a las responsables de la seguridad del edificio. Los centros de cmputo o reas que la entidad considere criticas, las cintotecas deben ser lugares de acceso restringido y cualquier persona que ingrese a ellos deber registrar el motivo del ingreso y estar acompaada permanentemente por el personal que labora cotidianamente en estos lugares. Toda persona que se encuentre dentro de la entidad deber portar su identificacin en lugar

visible. En los centros de cmputo o reas que la entidad considere criticas debern existir elementos de control de incendio, inundacin y alarmas. Los centros de computo o reas que la entidad considere criticas debern estar demarcados con zonas de circulacin y zonas restringidas Las centrales de conexin o centros de cableado deben ser catalogados como zonas de alto riesgo, con limitacin y control de acceso. Todos los computadores porttiles, mdems y equipos de comunicacin se deben registrar su ingreso y salida y no debe abandonar la entidad a menos que est acompaado por la autorizacin respectiva y la validacin de supervisin de la oficina de informtica. Todos los visitantes deben mostrar identificacin con fotografa y firmar antes de obtener el acceso a las reas restringidas controladas por la entidad. Los equipos de microcomputadores ( PCs, servidores ,equipos de comunicaciones, entre otros) no deben moverse o reubicarse sin la aprobacin previa. Los funcionarios pblicos se comprometen a NO utilizar a la red regulada de energa para conectar equipos elctricos diferentes a su equipo de computo, como impresoras, cargadores de celulares, grabadoras, electrodomsticos, fotocopiadoras y en general cualquier equipos que generen cadas de la energa. Los particulares en general, entre ellos, los familiares de los funcionarios pblicos , no estn autorizados para utilizar los recursos informticos de la entidad. POLITICA 14 : ESCRITORIOS LIMPIOS Todos los escritorios o mesas de trabajo deben permanecer limpios para proteger documentos en papel y dispositivos de almacenamiento como CD,s, usb memory key, disquetes, con fin de reducir los riesgos de acceso no autorizado, perdida y dao de la informacin durante el horario normal de trabajo y fuera del mismo. POLITICA 15 : ADMINISTRACION DE LA SEGURIDAD La evaluacin de riesgos de seguridad para los Recursos Informticos en produccin se debe ejecutar al menos una vez cada dos aos. Todas las mejoras, actualizaciones, conversiones y cambios relativos asociados con estos recursos deben ser precedidos por una evaluacin del riesgo. Cualquier brecha de seguridad o sospecha en la mala utilizacin en el Internet, la red corporativa o Intranet, los recursos informticos de cualquier nivel (local o corporativo) deber ser comunicada por el funcionario que la detecta, en forma inmediata y confidencial al Asesor de Seguridad Informtica . Los funcionarios pblicos , contratistas IES, Constituyentes de Fondos y pasantes del ICETEX que realicen las labores de administracin del recurso informtico son responsables por la implementacin, permanencia y administracin de los controles sobre los Recursos Computacionales. La implementacin debe ser consistente con las prcticas establecidas por la oficina informtica. El asesor de Seguridad Informtica divulgar, las polticas, estndares y procedimientos en materia de seguridad informtica. Efectuar el seguimiento al cumplimiento de las polticas de seguridad y

reportara a la direccin General, los casos de incumplimiento con copia a las oficinas de control interno e informtica.

Seguridad Informtica y Proteccin de Datos

Cul es la seleccin de aplicaciones de seguridad informtica para cualquier pequea empresa u organizacin? Esta es la gran pregunta que se formulan todos los responsables con los que se suele hablar. Algunos lo tienen claro y aplican soluciones de seguridad informtica antes de que se produzca algn problema ms o menos grave, ya sea porque solicitan asesoramiento experto o porque poseen una base de conocimientos para emprender tales acciones. Mientras que otros han odo hablar del miedo generalizado que hay sobre lo que podra ocurrir con los datos contenidos en sus sistemas de informacin si no se adoptan las medidas preventivas adecuadas. Y hay que tener en cuenta que, la mayora de pymes y pequeas organizaciones no poseen un responsable de tecnologas de la informacin. En Seguridad, a diario nos encontramos con estos casos. La mayora de pymes espaolas, por desgracia, pertenecen al segundo grupo expuesto anteriormente. Lo peor viene cuando preguntas si, al menos, han tomado alguna prevencin. Las respuestas suelen ser desoladoras. En realidad, para abordar la implantacin de medidas de seguridad informtica, existen algunas metodologas de trabajo. Una de las ms usadas es la OSSTMM (Open Source Security Testing Methodology Manual) de Pete Herzog. En resumen, lo que se propone es medir la seguridad de los siguientes factores: revisin de privacidad y recoleccin de documentos, seguridad de los procesos fsicos (personas confiables), verificacin de posibles vulnerabilidades, identificacin de sistemas y puertos, implantacin de sistemas de seguridad de intrusos y cortafuegos, elaboracin de polticas de seguridad, testeo de mdems, seguridad inalmbrica, entre otros. El OSSTMM entrega plantillas para cumplimentar con los datos declarados por el responsable de sistemas, y as el consultor, en funcin de los resultados, conoce qu es lo que debe hacer. A todo esto podramos agregar un mayor control en las medidas de seguridad que se pueden adoptar para el correo electrnico corporativo, ya sea contra los virus entrantes como contra la continua avalancha de correo basura o spam. Teniendo en cuenta lo anterior, por dnde deberamos comenzar? Proteccin de datos Para la revisin de privacidad y cumplir con la legislacin, la LOPD obliga a la declaracin de los ficheros electrnicos que contengan datos de carcter personal (para evitar posible usos fraudulentos y abusivos) ante la Agencia Espaola de Proteccin de Datos (AGPD). Tambin existen una serie de medidas ocasionales en pginas web para cumplir con la legislacin vigente en materia de la LSSI. En ambos casos lo mejor es dejarse asesorar por despachos de abogados que traten estos temas.

El problema de la mayora de empresas es la especulacin que se ha generado en torno a la LOPD. Algunos despachos de abogados aprovechan la ocasin, y se han limitado a ofrecer un completo servicio, consistente en cumplimentar senillas plantillas con documentos de seguridad de nivel bajo, medio y avanzado. Por ltimo, presentan las bases de datos (no su contenido) a la AGPD y cobran autnticas fortunas por un proceso que habra costado unas pocas horas de la vida de cualquier profesional informtico con unos conocimientos adecuados. Por fortuna, la mayora de despachos de abogados tratan el asunto con excelente profesionalidad. En algunos casos, los procedimientos estn mejor elaborados. Se suele presentar una auditora con los ficheros encontrados y las medidas organizativas del archivo. Todo ello se entrega en una carpeta con esta auditora, los documentos de seguridad, y el resguardo de la presentacin de los ficheros ante la AGPD. Se aade a ello un mantenimiento anual por la posible modificacin de datos a lo largo del ao. Y ya est. Empresas como Efenet/Adhec han elaborado un software llamado Hcate, funcionando bajo licencias, y con un negocio de partners que implica un elevado desembolso inicial para comenzar a trabajar con ellos, ms una cantidad monetaria por cada auditora realizada. Todo un negocio esto de la LOPD. Nuestra recomendacin es ponerse en manos de consultores o asesores especializados en la seguridad informtica y la proteccin de datos, en quines se pueda confiar, para evitar ser vctimas de posibles abusos. Anlisis de vulnerabilidades Para la verificacin de posibles problemas de seguridad en ordenadores, sistemas y aplicaciones, lo ideal es utilizar un analizador de vulnerabilidades. Existen algunos que son excelentes y que ofrecen informes finales que no slo detallan los posibles agujeros de seguridad detectados, sino que aconsejan las soluciones a adoptar. En el mundo Linux, Nessus es un excelente software de cdigo abierto. Sin embargo, si se prefiere una solucin comercial que cuente con el soporte tcnico de un fabricante y una serie de consultoras especializadas, Shadow Security Scanner constituye una eleccin idnea, tanto por sus prestaciones como por su precio contenido. Cortafuegos Una vez obtenido el informe y parcheados los posibles agujeros de seguridad, debe acometerse la implementacin de algn cortafuegos e IDS. Aqu el abanico de eleccin es amplio. En el espectro de firewalls de nivel 1, tanto en software como en hardware, encontramos a Checkpoint y a Cisco. Sin embargo, sus precios pueden resultar inasumibles para las pymes y pequeos despachos, con lo que stas suelen dirigirse a aplicaciones como McAfee Firewall, Noton Internet Security y, en algunos casos, Zone Alarm. Una eleccin excelente la constituye una solucin como Securepoint Firewall & VPN Server. Se trata de un cortafuego avanzado, en espaol, que se instala en una mquina independiente, gestiona redes privadas virtuales externas, bloquea contenidos considerados inapropiados, realiza informes en tiempo real, detecta intrusos, filtra el spam del correo electrnico y, adems, hace de antivirus.

Copias de seguridad La elaboracin de polticas de seguridad es algo sencillo. Consiste en saber cmo actuar en un plan de contingencia, redactando un documento para ello. Por ejemplo, qu hacer en caso de prdidas de datos, dnde se localizan las copias de seguridad, y cules son las contraseas para acceder a cada uno de los ordenadores de una red. Este Manual de Calidad debe estar redactado en su totalidad y puesto a salvo en un archivador bajo llave. As, en caso de necesidad, el manual es consultado en aquello que se precisa, y la rapidez de actuacin conlleva a la restauracin inmediata ante un desastre. Dicho esto, sobra decir que es necesario establecer una poltica de copias de seguridad. Aqu es donde el abanico de aplicaciones es inmenso. Acronis True Image es una solucin que genera imgenes de disco completas e incrementales, y que permite la programacin de tareas. El acceso a un men restaura una imagen previa, sin arrancar el sistema operativo, dejndolo todo tal y como estaba. El testeo de mdems y la seguridad inalmbrica deberan dejarse en manos de unos auditores de seguridad informtica o para el administrador de sistemas. Antivirus En la parte final de la pirmide se encuentran los antivirus. Existen tantos que uno nunca saber por cul decantarse. Lo ideal es que el antivirus se encuentre centralizado y, si es posible, integrado con el propio protocolo que cubre. Por ejemplo, puede utilizarse un antivirus de servidor y, adems, uno integrado con el propio servidor de correo, ya que constituye la principal va de contagio. La oferta es variada. Todo el mundo conoce un antivirus u otro, gracias a su divulgacin a travs de revistas especializadas. Sin embargo, Avast!, es un antivirus nada conocido en el mercado espaol, pero que opera en versiones servidor para Windows y Linux, estaciones de trabajo y PDA. Por descontado, tambin est en espaol. Como punto negativo, no dispone de distribuidor en Espaa. Otras mejoras Colasoft Capsa es un estupendo sniffer que analiza todo el trfico de red, y resulta ideal para conocer en todo momento qu est sucediendo en la LAN. Lo que ms sorprende a las empresas usuarias es que el administrador de la red puede conocer en todo momento por dnde navega cada estacin de trabajo o a dnde se estn enviando correos electrnicos. Linspire, por su parte, es un sistema operativo Linux Debian, con un entorno similar al de Windows y tan fcil de usar como ste. Lo mejor de este sistema operativo es que puede ejecutar aplicaciones Windows a travs de un emulador, que se conecta a cualquier entorno de red de Windows (compartiendo aplicaciones, recursos e impresoras), y que instala cualquier aplicacin de Internet open source o gratuita con un simple clic de ratn (uno

solo, aunque parezca mentira) a travs de una lista o catlogo que se actualiza desde Internet (llamado CRN). Linspire cuenta con las ventajas de seguridad informtica de Linux. No le afectan para nada la entrada de virus que slo operan con Windows, es muy fcil de usar y muy amigable. Se instala en apenas 10 minutos de reloj (comprobado), y ya viene preinstalado con OpenOffice. Los ms necesitados pueden instalar el cliente de correo Ximian, compatible con Outlook y con plug-in para Exchange. Conclusiones Con todo lo anterior, cuando menos, ciertas medidas de seguridad informtica pueden darse por adoptadas. Nunca se puede dogmatizar que la seguridad perfecta existe. Eso no es cierto, lo afirme quien lo afirme. Pero, al menos, si que se pueden adoptar medidas preventivas y polticas de seguridad que impidan o minimicen una hecatombe. Lo explicado aqu es lo mnimo que debera conocer el responsable de una red o el asesor externo de una empresa, para poder implementar el software necesario. Eso s, teniendo siempre presente que todo esto es slo la punta del iceberg.

Aumenta un 600% el nmero de nuevos cdigos maliciosos detectados en septiembre

Trend Micro, lder en servicios y software antivirus para redes y de seguridad de contenidos de Internet, detect 1.485 nuevos cdigos maliciosos durante el mes de septiembre, una cifra que contrasta claramente respecto a los 250 detectados durante el mismo perodo de 2003. Del total de cdigo detectados, los programas Troyanos representan el 61% (se incluyen las puertas traseras, que son fundamentalmente Troyanos remotos), mientras que los gusanos representan el 29%, inform hoy jueves. Es de destacar el hecho de que el 79% (ms de 400 ejemplares) de los gusanos que TrendLabs ha detectado en septiembre sean programas robot, lo que muestra la difusin de redes zombi controladas remotamente. Existen diversos factores que podran explicar este hecho. Es evidente el cambio de motivacin en la creacin de virus. Mientras que en el pasado los autores de virus buscaban sus 15 minutos de gloria, actualmente hay pruebas de que su inspiracin responde ms a ganancias y recompensas monetarias. Ello queda ilustrado en el creciente numero de cdigos maliciosos diseados para crear redes zombi, que pueden darse en cualquier momento al mejor postor (vase ms adelante), as como por los sucesivos lanzamientos de Troyanos capaces de robar informacin, como las variantes de TROJ_BANKER y TROJ_BANCOS, que intentan hacerse con informacin confidencial (datos bancarios, etc.) de los usuarios infectados.

Existe un solo motivo por el cual se pierde informacin: la falta de backups

Un Plan de Contingencia de Seguridad Informtica consiste en los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas. Se entiende por Recuperacin, tanto la capacidad de seguir trabajando en un plazo mnimo despus de que se haya producido el problema, como la posibilidad de volver a la situacin anterior al mismo, habiendo reemplazado o recuperado el mximo posible de los recursos e informacin. Esto es la teora As, la recuperacin de la informacin se basa en el uso de una poltica de copias de seguridad (Backup) adecuada. La realidad indica que al no respetarse este enunciado, en la prctica, slo existe un motivo por el que se pierde informacin: la falta de backups. El Backup de archivos permite tener disponible e ntegra la informacin para cuando sucedan los accidentes. Sin un backup, simplemente, es imposible volver la informacin al estado anterior al desastre. La falta de concientizacin de los usuarios en este sentido es muy alta. Ms all de lo que cabe esperar, y de lo que sera normal; un alto porcentaje de usuarios sabe lo que es un Backup o Copia de Seguridad pero nadie sabe cmo hacerlo, o peor an: saben cmo hacerlo pero NADIE LO HACE. Los motivos para esto son muy variados pero siempre podemos concluir que hacer una copia de seguridad es molesto, tedioso e involucra una prdida de tiempo que nadie est dispuesto a afrontar. Estos son motivos vlidos, pero entonces el usuario pierde su disco y su preciada carpeta mis documentos y no la puede recuperar por lo pensamos que ya aprendi la leccin. Pero no no es as: el hombre es el nico animal que comete el mismo error n veces. Como indicaba ms arriba los motivos por los cuales no hacer backup puede ser mucho y muy variado pero nunca superarn al beneficio de tener un backup funcional en el momento de perder la informacin (cosa que siempre acurrir, tarde o temprano Ya lo deca nuestro amigo Murphy). Observar que digo backup funcional; porque tambin es muy normal hacer backups en lugares en los cuales no estamos 100% seguros que podemos recuperarlos. Esto es: Hacer copias en disquetes o cintas que pueden estar daados; Hacer copias en CD ms baratos. Recordar que lo barato sale caro. Hacer backups parciales porque creo que eso ya lo copie; Hacer backup cada 6 meses ms o menos;

 Hacer backup y guardarlo en lugar seguro ms all de lo que cualquiera entienda por lugar seguro. Hacer backup no es una tarea trivial, e involucra recursos y costos que generalmente ni los usuarios finales ni las empresas consideran. En el caso de los usuarios es relativamente fcil hacer backup, pero como ya mencion lo difcil es crear una concientizacin adecuada. Las posibilidades para realizar un backup son muchas, si bien unas mas adecuadas que otras segn se considere el caso: Se puede realizar una simple copia con el viejo, conocido y querido COPY/CP de DOS/UNIX. Se puede grabar un CD. Se puede grabar una cinta. Se puede copiar la informacin a un disco removible/PC espejo del original. Se puede subir la informacin a la web a hostings que cuenten con backups. Aunque parezca obvio, todas estas posibilidades SIEMPRE deben contemplar que la copia se realiz correctamente y como requisito extra esta verificacin debe realizarse cada cierto tiempo prudencial. En lo que respecta a empresas las acciones a realizar son un poco ms complejas pero el concepto es el mismo: hacer backup es ahorrar tiempo y dinero. En este caso ser necesario realizar un anlisis costo/beneficio para determinar qu informacin ser almacenada, los espacios de almacenamiento destinados a tal fin, la forma de realizacin, las estaciones de trabajo que cubrir el backup, etc. Para una correcta realizacin y seguridad de backups se debern tener en cuenta estos puntos: Se debe contar con un procedimiento de respaldo de los sistemas operativos y de la informacin de los usuarios, para poder reinstalar fcilmente en caso de sufrir un accidente. Se debe determinar el medio y las herramientas correctas para realizar las copias, basndose en anlisis de espacios, tiempos de lectura/escritura, tipo de backup a realizar, etc. El almacenamiento de los Backups debe realizarse en locales diferentes de donde reside la informacin primaria. De este modo se evita la prdida si el desastre alcanza todo el edificio o local. Se debe verificar, peridicamente, la integridad de los respaldos que se estn almacenando. No hay que esperar hasta el momento en que se necesitan para darse cuenta de que estn incompletos, daados, males almacenados, etc.

 Se debe contar con un procedimiento para garantizar la integridad fsica de los respaldos, en previsin de robo o destruccin. Se debe contar con una poltica para garantizar la privacidad de la informacin que se respalda en medios de almacenamiento secundarios. Por ejemplo, la informacin se puede encriptar antes de respaldarse. Se debe contar con un procedimiento para borrar fsicamente la informacin de los medios de almacenamiento, antes de desecharlos. Mantener equipos de hardware, de caractersticas similares a los utilizados para el proceso normal, en condiciones para comenzar a procesar en caso de desastres fsicos. Puede optarse por: - Modalidad Externa: otra organizacin tiene los equipos similares que brindan la seguridad de poder procesar la informacin, al ocurrir una contingencia, mientras se busca una solucin definitiva al siniestro producido. - Modalidad Interna: se tiene ms de un local, en donde uno es espejo del otro en cuanto a equipamiento, caractersticas tcnicas y capacidades fsicas. Ambos son susceptibles de ser usados como equipos de emergencia. En todos los casos se debe asegurar reproducir toda la informacin necesaria para la posterior recuperacin sin pasos secundarios ni operacin que dificulte o imposibilite la recuperacin.

Polticas de Seguridad
Leer en Google Leer en Yahoo RSS

RSS es un sencillo formato de datos que es utilizado para redifundir contenidos a suscriptores de un sitio web. El formato permite distribuir contenido sin necesidad de un navegador, utilizando un software diseado para leer estos contenidos RSS (agregado). Las polticas de seguridad son las reglas y procedimientos que regulan la forma en que una organizacin previene, protege y maneja los riesgos de diferentes daos.
Seguridad

Casos reales de problemas solucionados por nosotros Clientes representativos de auditorias informticas. Seguridad Informtica indicando mbitos que incluye y artculos relacionados. Auditoria de seguridad incluyendo anlisis de vulnerabilidades, cumplimiento legal y de estndares.

Objetivos de las polticas de seguridad Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y

mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organizacin. Componentes de una poltica de seguridad * Una poltica de privacidad * Una poltica de acceso * Una poltica de autenticacin * Una poltica de contabilidad * Una poltica de mantenimiento para la red * Una poltica de divulgacin de informacin. Hemos seleccionado los siguientes artculos para usted:

Para los CEOs, la seguridad informtica no es prioritaria, sin reacciones, cifras preocupantes, Fuente externa: infobaeprofesional.com POLTICAS DE SEGURIDAD INFORMTICA, generalidades, Definicin de Polticas de Seguridad Informtica Elementos de una Poltica de Seguridad Informtica, parmetros para Establecer Polticas de Seguridad, Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica, Fuente externa: monografias.com Introduccion a los sniffers y anti-sniffers, Fuente externa: todo-linux.com

Para los CEOs, la seguridad informtica no es prioritaria

La percepcin de los ejecutivos es que los virus representan el mayor riesgo, aunque la realidad indica que el fraude es la prctica ms peligrosa. Aparece el spam en escena Aunque la industria tecnolgica aumenta los esfuerzos para evangelizar en materia de seguridad informtica, los mximos responsables de las compaas no toman conciencia sobre el asunto. Y para el 80% de los CEOs, el tema no es prioritario. Los datos surgieron de la encuesta anual sobre seguridad informtica que realiza Ernst & Young (E&Y) en todo el mundo. La postal tomada de la situacin en el planeta se replica en forma idntica en la Argentina. La principal conclusin es que no ha cambiado significativamente el cuidado por la seguridad informtica en las empresas cuando los riesgos han crecido considerablemente en los ltimos aos, dijo Fernando Conesa, socio de E&Y. Sin reacciones El ejecutivo explic que la costumbre en las empresas es que siguen sin actuar despus de que haya habido un problema. Las inversiones en seguridad informtica aparecen despus que hubo un problema, explic.

Adems de la aparicin de nuevos virus, una inadecuada utilizacin de los sistemas y la prdida de confidencialidad, entre otros aspectos, este ao apareci por primera vez en el sondeo de percepcin el spam. El envo masivo de e-mails no solicitados produce la denegacin de servicio, situacin que puede poner en riesgo la evolucin de un negocio. Cifras preocupantes En El 67% de las empresas consultadas considera muy importante a las polticas de seguridad informtica. Pero slo el 15% reporta a los directorios de las empresas el estado de seguridad o incidentes informticos sucedidos cada mes. Un 16% lo hace cada cuatro meses, un 8% cada seis meses, un 11% nunca y el 10% slo una vez por ao. Al ser consultadas sobre los obstculos que encuentran para implementar un plan efectivo en la materia, destacan que hay falta de conciencia en los usuarios finales, limitaciones de presupuesto, disponibilidad de personal especializado, dificultad para probar el valor de la seguridad informtica (el retorno de la inversin) y el ritmo acelerado de los cambios tecnolgicos. El nivel de concientizacin entre los empleados de una organizacin crece en la medida en que el CEO lo establece como poltica prioritaria.

Polticas de Seguridad Informtica

Generalidades La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. En este sentido, las polticas de seguridad informtica surgen como una herramienta organizacional para concientizar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas. Definicin de Polticas de Seguridad Informtica

Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la organizacin. No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y l por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos. Elementos de una Poltica de Seguridad Informtica Como una poltica de seguridad debe orientar las decisiones que se toman en relacin con la seguridad, se requiere la disposicin de todos los miembros de la empresa para lograr una visin conjunta de lo que se considera importante. Las Polticas de Seguridad Informtica deben considerar principalmente los siguientes elementos: o Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. o Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. o Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos los niveles de la organizacin. o Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el alcance de la poltica. o Definicin de violaciones y sanciones por no cumplir con las polticas. o Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso. Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, debern establecer las expectativas de la organizacin en relacin con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est sin sacrificar su precisin. Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc. Parmetros para Establecer Polticas de Seguridad

Es importante que al momento de formular las polticas de seguridad informtica, se consideren por lo menos los siguientes aspectos: * Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas a la realidad de la empresa. * Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las polticas. * Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. * Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos su rea. * Monitorear peridicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las polticas puedan actualizarse oportunamente. * Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas. Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el xito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informtica. Otros inconvenientes lo representan los tecnicismos informticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informtica o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: ms dinero para juguetes del Departamento de Sistemas. Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen informacin sensitiva y por ende su imagen corporativa. Ante esta situacin, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos. Si se quiere que las polticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misin y visin, con el propsito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compaa. Finalmente, es importante sealar que las polticas por s solas no constituyen una garanta para la seguridad de la organizacin, ellas deben responder a intereses y necesidades organizacionales basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad

informtica factores que facilitan la formalizacin y materializacin de los compromisos adquiridos con la organizacin.

Introduccion a los sniffers y anti-sniffers

Dsniff nos demuestra lo inseguras que son nuestras redes, sobretodo si nos empenamos en enviar contrasenas en formato texto plano. Con este sniffer, nos daremos cuenta de los realmente importante que puede llegar a ser la utilizacion de la encriptacion en nuestras comunicaciones diarias Tal y como dice el autor del programa Dug Song, el desarrollo esta potentisima aplicacion para auditar sus propias redes y para demostrar la necesidad de usar encriptacion de un modo habitual. Please do not abuse this software Gracias a dsniff, tenemos un motivo mas para usar diariamente herramientas como ssh (la version 2, porque la 1 tiene algunos problemas de seguridad y es vulnerable) y gpg (Gnu pgp) Para haceros una idea de las posibilidades del dsniff, conectaros a Internet como lo haceis habitualmente, en otra sesion como root teclear: (sigue) # dsniff -i ppp0 Ahora bajaros el correo, entrad en algun servidor/servicio que os pida contrasena y vereis como por arte de magia vais capturando los pares usuario:contrasena. Entrad ahora usando ssh y vereis como en este caso nuestro sniffer no captura la contrasena. dsniff esta formado por una serie de programas que son: * dsniff: simple password sniffer. (Yo realmente no lo consideria nada simple) * arpspoof: redirect packets from a target host (or all hosts) on the LAN intended for another host on the LAN by forging ARP replies. * dnsspoof: forge replies to arbitrary DNS address / pointer queries on the LAN. * filesnarf: saves selected files sniffed from NFS traffic in the current working directory. * macof: flood the local network with random MAC addresses. * mailsnarf: a fast and easy way to violate the Electronic Communications Privacy Act of 1986 (18 USC 2701-2711), be careful. * msgsnarf: record selected messages from sniffed AOL Instant Messenger, ICQ 2000, IRC, and Yahoo! Messenger chat sessions. * sshmitm: SSH monkey-in-the-middle. * tcpkill: kills specified in-progress TCP connections. * tcpnice: slow down specified TCP connections via active traffic shaping. (Se puede usar para evitar virus/gusanos tipo NIMDA). Os recomiendo que os paseis por: http://bulmalug.net/body.phtml?nIdNoticia=865 * urlsnarf: output all requested URLs sniffed from HTTP traffic in CLF (Common Log Format, used by almost all web servers), suitable for offline post-processing

* webmitm: HTTP / HTTPS monkey-in-the-middle. * webspy: sends URLs sniffed from a client to your local Netscape browser for display, a fun party trick Pagina web del dsniff: http://www.monkey.org/~dugsong/dsniff/ Ademas de la version actual la 2.3, podemos encontrar una beta de la nueva version que esta en desarrollo con nuevas caracteristicas. http://www.monkey.org/~dugsong/dsniff/beta/dsniff-2.4b1.tar.gz Mas informacion: ftp://www6.software.ibm.com/software/developer/library/s-sniff.pdf ftp://www6.software.ibm.com/software/developer/library/s-sniff2.pdf Simplemente I M P R E S I O N A N T E . En el proximo articulo os mostrare como detectar sniffers en nuestra red local. - http://bulmalug.net/body.phtml?nIdNoticia=928 Deteccion de sniffers usando Linux ================================== Un sniffer es un programa que captura todo el trafico que pasa por la red,de forma que ejecutado en una red local, permiten obtener pares (usuario:contrasena) rapidamente. Suele funcionar de forma pasiva, siendo muy dificiles de detectar, aunque existen algunas tecnicas que nos permitiran averiguar si tenemos espias en nuestra red Existen multitud de sniffers en Linux, cada cual con sus peculiaridades y caracteristicas, pero uno de los mas potentes y que mas me gusta, es dsniff, os recomiendo la lectura del articulo:Maxima seguridad con dsniff. El sniffer total. _________________________________________________________________ Advertencia: Detectar un sniffer es sumamente dificil, por no decir, que si esta correctamente configurado y oculto usando otras tecnicas, es practicamente imposible detectarlos. Aqui intentare dar algunas ideas y consejos para que conozcais de que va el tema. _________________________________________________________________ Se dan 2 situaciones distintas: * Consulta directa de las interfaces de red. * NO es posible la consulta directa de las interfaces de red. Consulta directa de las interfaces de red.

En el primer caso lo que tendremos que hacer es mirar el estado de las diferentes interfaces de redes que tengamos en dicho equipo. La forma mas habitual e utilizar el comando ifconfig (paquete net-tools), aunque podemos usar otros como ifstatus o cpm (check for network interfaces in promiscuous mode). Aqui os muestro como el resultado del comando ifconfig antes y despues de ejecutar el sniffer en una maquina FreeBSD: $ ifconfig fxp0: flags=8843 mtu 1500 Estando el sniffer en ejecucion, podemos ver en la primera linea la palabra PROMISC, que nos revela el estado de la tarjeta de red: $ ifconfig fxp0: flags=8943 mtu 1500 Normalmente cuando la interface pasa a modo promiscuo, queda reflejado en el fichero de logs, tal y como podemos ver aqui. # cat /var/log/messages . Nov 20 08:51:20 maquineta /kernel: fxp0: promiscuous mode enabled . Aunque es la forma mas sencilla y directa de detectar un sniffer, tampoco es infalible, puesto que aun estando en marcha el sniffer puede que no aparezca la interfaz como promiscuos sobretodo si han crackeado la maquina y le han metido un LKM del estilo del RhideS v1.0 (rhides.c en 7a69#12): Is usualy to install a sniffer when you hack some system, but if you do it,the net device is established to promisc mode and if the admin is inteligent must to discover the sniffer.Using RhideS you can to hide some promisc mode interface easily. Inserting the module you can specify magic words. Otras posibles medidas para detectar el sniffer son: * Controlar y detectar los logs que genera el sniffer. * Controlar las conexiones al exterior, por ejemplo, el envio sospechoso de e-mail a cuentas extranas. * Utilizar la herramienta lsof (LiSt Open Files), de forma que tengamos monitorizados los programas que acceden al dispositivo de red. NO es posible la consulta directa de las interfaces de red. En caso de que no podamos acceder y consultar el estado de las interfaces de red, puesto que el sniffer no esta en nuestra maquina sino que se encuentra en alguna otra maquina de la red. Lo que tendremos que hacer, es utilizar algun defecto en la implementacion concreta del protocolo TCP/IP por algun programa/comando (tal y como hace el programa neped respecto a el arp) o ingeniarnoslas para averiguar de alguna forma si tenemos algun sniffer corriendo en la red:

Una de las posibles tecnicas, consiste en enviar paquetes a una maquina inexistente y cuya direccion no esta dada de alta en el servidor de nombres. Sabremos que tenemos un sniffer en nuestra red si posteriormente detectamos cualquier intento de acceso a la maquina ficticia. Antisniff, del que tenemos incluso el codigo fuentes en la version Unix, es una de las mejores herramientas de deteccion de sniffer de forma remota, aunque quizas este un poquitin obsoleto, sobretodo porque no contempla la nueva generacion de sniffers. AntiSniff is a new class of proactive security monitoring tool.It has the ability to scan a network and detect whether or not any computers are in promiscuous mode This is often a sign that a computer has been compromised. With AntiSniff, administrators and security teams can finally get a handle on who is watching network traffic at their site. Antisniff was designed to detect compromized machines with IP stacks that a remote attacker could utilize to sniff network traffic. It was not designed to detect hardware based network probes or special purpose network analyzers which an attacker would need physical access to install. Sentinel es otra interesante herramienta, cuyo objetivo principal es la deteccion remota de sniffers. Utiliza las librerias libcap y libnet y tenemos el codigo fuente disponible. The sentinel project is an implementation of effective remote promiscuous detection techniques.For portability purposes, the sentinel application uses the libpcap and libnet libraries. Por ultimo comentar la existencia de una curiosa herramienta: AntiAntiSniffer Sniffer, cuyo objetivo es detectar la ejecucion en la red del Antisniff, evitando ser detectado por el mismo. Conclusion: Recordar (una vez mas) la necesidad de usar encriptacion a diario en TODAS nuestras comunicaciones: S/key, gpg, SSH, SSL, Firewall, VPNs, etc Enlaces: * dsniff: http://www.monkey.org/~dugsong/dsniff/ * sniffit: http://reptile.rug.ac.be/~coder/sniffit/sniffit.html * net-tools:http://www.tazenda.demon.co.uk/phil/net-tools/ * neped.c:http://www.securityfocus.com/data/tools/neped.c * Ifstatus: http://www.ja.net/CERT/Software/ifstatus/ifstatus2.2.tar.gz * cpm, ifsolstat: http://www.ja.net/CERT/Software/sniffdetect/ * 7a69ezine: http://www.7a69ezine.org/ * lsof: http://freshmeat.net/redir/lsof/6029/url_changelog/ * Antisniff: http://www.l0pht.com/antisniff/ http://www.securityfocus.com/data/tools/anti_sniff_researchv1-1-2.tar.gz * Sentinel: http://www.packetfactory.net/Projects/sentinel/ * libnet: http://www.packetfactory.net/Projects/libnet * libpcap: http://www.tcpdump.org * Anti Antisniff: http://www.securityfocus.com/data/tools/aass.c * sniffing-faq: http://www.robertgraham.com/pubs/sniffing-faq.html

* Sniffing (network wiretap, sniffer) FAQ: http://cs.baylor.edu/~donahoo/tools/sniffer/sniffingFAQ.htm

OTRAS POLITICAS

Poltica oficial de Seguridad Informtica del CICESE

Vigente a partir del 28 de mayo de 2001
Direccin de Telemtica Carretera Tijuana-Ensenada Km. 107 Ensenada, B.C. (61) 74-5050 al 53 seguridad@cicese.mx i

Contenido
Exposicin de motivos 1 I. Introduccin 2 II. Polticas de seguridad: II.1 Equipo a) De la instalacin de equipo de cmputo b) Para el mantenimiento de equipo de cmputo c) De la actualizacin del equipo d) De la reubicacin del equipo de cmputo 3 4 4 4 II.2 Control de accesos a) Del acceso a reas crticas b) Del control de acceso al equipo de cmputo c) Del control de acceso local a la red d) De control de acceso remoto e) De acceso a los sistemas administrativos f) Del WWW 5 5 6 6 6 7 II.3. Utilizacin de recursos de la red-CICESE 8 II.4 Software a) De la adquisicin de software b) De la instalacin de software c) De la actualizacin del software d) De la auditora de software instalado

e) Del software propiedad de la institucin f) Sobre el uso de software acadmico g) De la propiedad intelectual 8 9 10 10 10 11 11 II.5 Supervisin y evaluacin 11 III. Generales 12 IV. Sanciones 12 Referencias 12 Glosario 13
1

Exposicin de motivos
Ante el esquema de globalizacin que las tecnologas de la informacin han originado principalmente por el uso masivo y universal de la Internet y sus tecnologas, las instituciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informticos universales conocidos como Hackers, Crakers, etc., es decir en transgresores. Conforme las tecnologas se han esparcido, la severidad y frecuencia las han transformado en un contnuo riesgo, que obliga a las entidades a crear medidas de emergencia y polticas definitivas para contrarestar estos ataques y transgresiones. En nuestro pas no existe una sola institucin que no se haya visto sujeta a los ataques en sus instalaciones, tanto desde el interior como del exterior, basta decir que cuando en el centro estamos sujetos a un ataque un grupo de gente se involucran y estn pendientes de ste, taratando de contrarestar y anular estas amenazas reales. Despus del diagnstico que llev a cabo el proyecto de ao 2000, se observ que cerca del 30% del equipo que se encuentra en la Institucin no est en inventario. Nuestra carencia de recursos humanos involucrados en seguridad, la escasa concientizacin, la falta de visin y las limitantes econmicas han retrasado el plan rector de seguridad que se requiere. El objetivo principal de la Direccin de Telemtica es brindar a los usuarios los recursos informticos con la cantidad y calidad que demandan, esto es, que tengamos continuidad en el servicio los 365 das del ao confiable. As, la cantidad de recursos de cmputo y de telecomunicaciones con que cuenta el Centro son de consideracin y se requiere que se protejan para garantizar su buen funcionamiento. La seguridad de las instituciones en muchos de los pases se ha convertido en cuestin de seguridad nacional, por ello contar con un documento de polticas de seguridad es imprecindible, y debe de plasmar mecanismos confiables que con base en la poltica institucional proteja los activos del Centro. As pues, ante este panorama surge el siguiente proyecto de polticas rectoras que harn que la Direccin de Telemtica pueda disponer de los ejes de proyeccin que en materia de seguridad la Institucin requiere.
2

Resumen
El presente es una propuesta de las polticas de seguridad que en materia de informtica y de comunicaciones digitales de la Direccin de Telemtica del CICESE, ha elaborado, para normar a la institucin en estos rubros. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la prctica como son: los inventarios y su control, se mencionan, as como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologas de la informacin; se han contemplado tambin las polticas que reflejan la visin de la actual administracin respecto a la problemtica de seguridad informtica institucional. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantas bsicas del individuo, y no pretende ser una camisa de fuerza, y ms bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institucin.

I. Introduccin
Los requerimientos de seguridad que involucran las tecnologas de la informacin, en pocos aos han cobrado un gran auge, y ms an con las de carcter globalizador como los son la de Internet y en particular la relacionada con el Web, la visin de nuevos horizontes explorando ms all de las fronteras naturales, situacin que ha llevado la aparicin de nuevas amenazas en los sistemas computarizados [1]. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales [2][3] desarrollen polticas que norman el uso adecuado de estas destrezas tecnolgicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las polticas de seguridad en informtica del CICESE emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la informacin y servicios crticos, de la superacin de las fallas y de las debilidades, de tal forma que permiten al Centro cumplir con su misin. El proponer esta poltica de seguridad requiere un alto compromiso con la institucin, agudeza tcnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha poltica en funcin del ambiente dinmico que nos rodea.
3

II. Polticas de seguridad

La Direccin de Telemtica est conformada por tres departamentos de servicio, y una direccin. Los departamentos son Informtica, Cmputo, y Redes, estos se encargan de brindar servicio directo al usuario, por el mbito de competencia que tiene cada uno de ellos en materia de informtica, desde el equipamiento, instalacin, alteracin, cambio de lugar, programacin, etc. Por lo que ha sido necesario emitir polticas particulares para la Red-CICESE, que es el nombre oficial de un conjunto de recursos y facilidades informticas, de la infraestructura de telecomunicaciones y servicios asociados a ellos, provistos por la Direccin de Telemtica. As pues este apartado contiene una clasificacin de estas polticas, y son:

II.1 Del equipo

De la instalacin de equipo de cmputo. 1. Todo el equipo de cmputo (computadoras, estaciones de trabajo, supercomputadoras, y equipo accesorio), que est o sea conectado a la Red-

CICESE, o aquel que en forma autnoma se tenga y que sea propiedad de la institucin debe de sujetarse a las normas y procedimientos de instalacin que emite el departamento de Redes de la Direccin de Telemtica. 2. La Direccin de Telemtica en coordinacin con el departamento de Control Patrimonial deber tener un registro de todos los equipos propiedad del CICESE. 3. El equipo de la institucin que sea de propsito especfico y tenga una misin crtica asignada, requiere estar ubicado en una rea que cumpla con los requerimientos de: seguridad fsica, las condiciones ambientales, la alimentacin elctrica, su acceso que la Direccin de Telemtica tiene establecido en su normatividad de este tipo. 4. Los responsables de las reas de apoyo interno de los departamentos debern en conjuncin con el departamento de Redes dar cabal cumplimiento con las normas de instalacin, y notificaciones correspondientes de actualizacin, reubicacin, reasignacin, y todo aquello que implique movimientos en su ubicacin, de adjudicacin, sistema y misin. 5. La proteccin fsica de los equipos corresponde a quienes en un principio se les asigna, y corresponde notificar los movimientos en caso de que existan, a las autoridades correspondientes (departamento de Mantenimiento, departamento de Cmputo, departamento de Control Patrimonial, y otros de competencia).
4

Del mantenimiento de equipo de cmputo. 1. Al departamento de Redes de la Direccin de Telemtica, corresponde la realizacin del mantenimiento preventivo y correctivo de los equipos, la conservacin de su instalacin, la verificacin de la seguridad fsica, y su acondicionamiento especfico a que tenga lugar. Para tal fin debe emitir las normas y procedimientos respectivos. 2. En el caso de los equipos atendidos por terceros la Direccin de Telemtica deber normar al respecto. 3. El personal tcnico de apoyo interno de los departamentos acadmicos se apegar a los requerimientos establecidos en las normas y procedimientos que el departamento de Redes emita. 4. Los responsables de las reas de Cmputo de un departamento pueden otorgar mantenimiento preventivo y correctivo, a partir del momento en que sean autorizados por el departamento de Redes. 5. Corresponde al departamento de Redes dar a conocer las listas de las personas, que puedan tener acceso a los equipos y brindar los servicios de mantenimiento bsico, a excepcin de los atendidos por terceros. 6. Por motivos de normatividad expedidos por la SECODAM queda extrictamente prohbido dar mantenimiento a equipo de cmputo que no es propiedad de la institucin. De la actualizacin del equipo. 1. Todo el equipo de cmputo (computadoras personales, estaciones de trabajo, supercomputadora y dems relacionados), y los de telecomunicaciones que sean propiedad del CICESE debe procurarse sea actualizado tendiendo a conservar e incrementar la calidad del servicio que presta, mediante la mejora sustantiva de su desempeo. De la reubicacin del equipo de cmputo. 1. La reubicacin del equipo de cmputo se realizar satisfaciendo las normas y procedimientos que el departamento de Redes emita para ello.

2. En caso de existir personal tcnico de apoyo de los departamentos acadmicos, ste notificar de los cambios tanto fsicos como de software de red que realice al departamento de Redes, y en su caso si cambiar de responsable (el equipo) al departamento de Control Patrimonial de la Subdireccin de Recursos Materiales y
5

Servicios. Notificando tambin los cambios de equipo inventariado (cambio de monitores, de impresoras etc.). 3. El equipo de cmputo a reubicar sea del CICESE o bien externo se har nicamente bajo la autorizacin del responsable contando el lugar a donde se har la ubicacin con los medios necesarios para la instalacin del equipo.

II.2 Del control de accesos

Del acceso a reas crticas. 1. El acceso de personal se llevar acabo de acuerdo a las normas y procedimientos que dicta la Direccin de Telemtica. 2. En concordancia con la poltica de la institucin y debido a la naturaleza de estas reas se llevar un registro permanente del trfico de personal, sin excepcin. 3. La Direccin de Telemtica deber proveer de la infraestructura de seguridad requerida con base en los requerimientos especficos de cada rea. 4. Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a las reas de servicio crtico estar sujeto a las que especifiquen las autoridades superiores de la institucin. Del control de acceso al equipo de cmputo. 1. Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos. 2. Las reas donde se tiene equipo de propsito general cuya misin es crtica estarn sujetas a los requerimientos que la Direccin de Telemtica emita. 3. Las reas de cmputo de los departamentos donde se encuentre equipo cuyo propsito reuna caractersticas de imprescindible y de misin crtica, debern sujetarse tambin a las normas que establezca la Direccin de Telemtica. 4. Los accesos a las reas de crticas debern de ser clasificados de acuerdo a las normas que dicte la Direccin de Telemtica de comn acuerdo con su comit de seguridad informtica.
6

5. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la red, la Direccin de Telemtica tiene la facultad de acceder a cualquier equipo de cmputo que no esten bajo su supervisin. Del control de acceso local a la red. 1. El departamento de Cmputo de la Direccin de Telemtica es responsable de proporcionar a los usuarios el acceso a los recursos informticos. 2. La Direccin de Telemtica es la responsable de difundir el reglamento para el uso de la red y de procurar su cumplimiento. 3. Dado el carcter unipersonal del acceso a la Red-CICESE, el departamento de Cmputo verificar el uso responsable, de acuerdo al Reglamento para el uso de la red. 4. El acceso lgico a equipo especializado de cmputo (servidores, enrutadores, bases de datos, equipo de supercmputo centralizado y distribuido, etc.) conectado a la red es administrado por el departamento de Cmputo.

5. Todo el equipo de cmputo que est o sea conectado a la Red-CICESE, o aquellas que en forma autnoma se tengan y que sean propiedad de la institucin, debe de sujetarse a los procedimientos de acceso que emite el departamento de Cmputo. De control de acceso remoto. 1. La Direccin de Telemtica es la responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informticos disponibles. 2. Para el caso especial de los recursos de supercmputo a terceros debern ser autorizados por la Direccin General o por la Direccin de Vinculacin. 3. El usuario de estos servicios deber sujetarse al Reglamento de uso de la RedCICESE y en concordancia con los lineamientos generales de uso de Internet. 4. El acceso remoto que realicen personas ajenas a la institucin deber cumplir las normas que emite la Direccin de Telemtica. De acceso a los sistemas administrativos. 1. Tendr acceso a los sistemas administrativos solo el personal del CICESE que es titular de una cuenta de gastos o bien tenga la autorizacin del responsable si se trata de personal de apoyo administrativo o tcnico.
7

2. El manejo de informacin administrativa que se considere de uso restringido deber ser cifrada con el objeto de garantizar su integridad. 3. Tendr acceso al sistema de informacin de la Direccin de Estudios de Posgrado slo aquellos usuarios de Red-CICESE o externos autorizados por dicha direccin. 4. La instalacin y uso de los sistemas de informacin se rigen por el reglamento de uso de la Red-CICESE y por las normas y procedimientos establecidos por el departamento de Informtica. 5. Los servidores de bases de datos administrativos son dedicados, por lo que se prohiben los accesos de cualquiera, excepto para el personal del departamento de Informtica. 6. El control de acceso a cada sistema de informacin de la Direccin Administrativa ser determinado por la unidad responsable de generar y procesar los datos involucrados. Del WWW. 1. En concordancia con la legislacin federal y de comn acuerdo con las polticas generales de informtica, la Direccin de Telemtica a travs del departamento de Cmputo es el responsable de instalar y administrar el o los servidor(es) WWW. Es decir, slo se permiten servidores de pginas autorizados por la Direccin de Telemtica. 2. El departamento de Cmputo deber emitir las normas y los requerimientos para la instalacin de servidores de pginas locales, de bases de datos, del uso de la Intranet institucional, as como las especificaciones para que el acceso a estos sea seguro. 3. Los accesos a las pginas de web a travs de los navegadores deben sujetarse a las normas que previamente se manifiestan en el Reglamento de acceso a la RedCICESE. 4. A los responsables de los servidores de Web corresponde la verificacin de respaldo y proteccin adecuada. 5. Toda la programacin involucrada en la tecnologa Web deber estar de acuerdo con las normas y procedimientos que la Direccin de Telemtica emita. 6. El material que aparezca en la pgina de Internet del CICESE deber ser aprobado

por la Direccin de Telemtica, respetando la ley de propiedad intelectual (derechos de autor, crditos, permisos y proteccin, como los que se aplican a cualquier material impreso).
8

7. En concordancia con la libertad de investigacin, se acepta que en la red del CICESE conectada a Internet pueda ponerse informacin individual sin autorizacin (siempre y cuando no contravenga las disposiciones que se aplican a las instituciones gubernamentales paraestatales), por ejemplo: corcho de difusin ("bulletin board"), pgina personal ("home page"), pero deber llevar el enunciado siguiente: "Las expresiones, opiniones o comentarios que aqu aparecen pertenecen al autor individual y no necesariamente al CICESE"; no debe Ilevar el logotipo oficial del Centro y deber siempre responder a un comportamiento profesional y tico. 9. Con referencia a la seguridad y proteccin de las pginas, as como al diseo de las mismas deber referirse a las consideraciones de diseo de pginas electrnicas establecidas por la Direccin de Telemtica. 10. La Direccin de Telemtica tiene la facultad de llevar a cabo la revisin peridica de los accesos a nuestros servicios de informacin, y conservar informacin del trfico.

II.3 De utilizacin de los recursos de la red

1. Los recursos disponibles a travs de la Red-CICESE sern de uso exclusivo para asuntos relacionados con las actividades sustantivas del centro. 2. La Direccin de Telemtica es la responsable de emitir y dar seguimiento al Reglamento para el uso de la Red. 3. De acuerdo con las disposiciones de la SECODAM, corresponde a la Direccin de Telemtica administrar, mantener y actualizar la infraestructura de la Red-CICESE. 4. La Direccin de Telemtica debe propiciar el uso de las tecnologas de la informacin con el fin de contribuir con las directrices econmicas y ecolgicas de la institucin. 5. Dado el carcter confidencial que involucra el correo electrnico el Comit de informtica del Centro emite su reglamentacin.

II.4 Del Software

De la adquisicin de software. 1. En concordancia con la poltica de la institucin, el Comit de Informtica y la Direccin de Telemtica son los organismos oficiales del Centro para establecer los mecanismos de procuracin de sistemas informticos.
9

2. Del presupuesto de los proyectos que se otorga a las diferentes reas del CICESE una cantidad deber ser aplicada para la adquisicin de programacin con licencia. 3. De acuerdo con el Programa Nacional de Informtica, la Direccin General en conjunto con el Comit de Informtica y la Direccin de Telemtica, propiciar la adquisicin de licencias de sitio, licencias flotantes, licencias por empleado y de licencias en cantidad, para obtener economas de escala y de acorde al plan de austeridad del gobierno de la repblica. 4. Corresponder a la Direccin de Telemtica emitir las normas para el tipo de licenciamiento, cobertura, transferibilidad, certificacin y vigencia. 5. De acuerdo a los objetivos globales de la Direccin de Telemtica se deber propiciar la adquisicin y asesoramiento en cuanto a software de vanguardia. 6. En cuanto a la paquetera sin costo deber respetarse la propiedad intelectual intrnseca del autor.

7. La Direccin de Telemtica promover y propiciar que la adquisicin de software de dominio pblico provenga de sitios oficiales y seguros. 8. La Direccin de Telemtica deber promover el uso de sistemas programticos que redunden en la independencia de la institucin con los proveedores. De la instalacin de software. 1. Corresponde al departamento de Cmputo emitir las normas y procedimientos para la instalacin y supervisin del software bsico para cualquier tipo de equipo. 2. En los equipos de cmputo, de telecomunicaciones y en dispositivos basados en sistemas de cmputo, nicamente se permitir la instalacin de software con licenciamiento apropiado y de acorde a la propiedad intelectual. 3. Los departamentos de Cmputo y de Informtica son los responsables de brindar asesora y supervisin para la instalacin de software informtico, asmismo el departamento de Redes para el software de telecomunicaciones. 4. La instalacin de software que desde el punto de vista de la Direccin de Telemtica pudiera poner en riesgo los recursos de la institucin no est permitida.
10

5. Con el propsito de proteger la integridad de los sistemas informticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). 6. La proteccin lgica de los sistemas corresponde a quienes en un principio se les asigna y les compete notificar cualquier movimiento al departamento de Cmputo. De la actualizacin del software. 1. La adquisicin y actualizacin de software para equipo especializado de cmputo y de telecomunicaciones se llevar a cabo de acuerdo a la calendarizacin que anualmente sea propuesta por la Direccin de Telemtica. 2. Corresponde a la Direccin de Telemtica autorizar cualquier adquisicin y actualizacin del software. 3. Las actualizaciones del software de uso comn o ms generalizado se llevarn a cabo de acuerdo al plan de actualizacin desarrollado por la Direccin de Telemtica. De la auditora de software instalado. 1. El departamento de Contralora Interna del CICESE es el responsable de realizar revisiones peridicas para asegurar que slo programacin con licencia est instalada en las computadoras de la institucin. 2. La Direccin de Telemtica propiciar la conformacin de un grupo especializado en auditora de sistemas de cmputo y sistemas de informacin. 3. Corresponder al grupo especializado dictar las normas, procedimientos y calendarios de auditora. Del software propiedad de la institucin. 1. Toda la programtica adquirida por la institucin sea por compra, donacin o cesin es propiedad de la institucin y mantendr los derechos que la ley de propiedad intelectual le confiera. 2. La Direccin de Telemtica en coordinacin con el departamento de Control Patrimonial deber tener un registro de todos los paquetes de programacin propiedad del CICESE.
11

3. Todos los sistemas programticos (programas, bases de datos, sistemas operativos,

interfases) desarrollados con o a travs de los recursos del CICESE se mantendrn como propiedad de la institucin respetando la propiedad intelectual del mismo. 4. Es obligacin de todos los usuarios que manejen informacin masiva, mantener el respaldo correspondiente de la misma ya que se considera como un activo de la institucin que debe preservarse. 5. Los datos, las bases de datos, la informacin generada por el personal y los recursos informticos de la institucin deben estar resguardados. 6. Corresponder a la Direccin de Telemtica promover y difundir los mecanismos de respaldo y salvaguarda de los datos y de los sistemas programticos. 7. La Direccin de Telemtica en conjunto con el Direccin de Vinculacin propiciar la gestin de patentes y derechos de creacin de software propiedad de la institucin. 8. La Direccin de Telemtica administrar los diferentes tipos de licencias de software y vigilar su vigencia en concordancia con la poltica informtica. Sobre el uso de software acadmico. 1. Cualquier software que requiera ser instalado para trabajar sobre la Red-CICESE deber ser evaluado por la Direccin de Telemtica. 2. Todo el software propiedad de la institucin deber ser usado exclusivamente para asuntos relacionados con las actividades del Centro. De la propiedad intelectual. 1. Corresponde a la Direccin de Telemtica procurar que todo el software instalado en la Red-CICESE est de acuerdo a la ley de propiedad intelectual a que d lugar.

II.5 De supervisin y evaluacin

1. Cada uno de los departamentos de la Direccin de Telemtica donde est en riesgo la seguridad en la operacin, servicio y funcionalidad del departamento, deber emitir las normas y los procedimientos que correspondan. 2. Las auditoras de cada actividad donde se involucren aspectos de seguridad lgica y fsica debern realizarse peridicamente y deber sujetarse al calendario que establezca la Direccin de Telemtica y/o el grupo especializado de seguridad.
12

3. Para efectos de que la institucin disponga de una red con alto grado de confiabilidad, ser necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologas de la Internet e Intranet disponen. 4. Los sistemas considerados crticos, debern estar bajo monitoreo permanente.

III. Generales.
1. Cada uno de los departamentos debern de emitir los planes de contingencia que correspondan a las actividades crticas que realicen. 2. Debido al caracter confidencial de la informacin, el personal de la Direccin de Telemtica deber de conducirse de acuerdo a los cdigos de tica profesional y normas y procedimientos establecidos.

IV. Sanciones.
1. Cualquier violacin a las polticas y normas de seguridad deber ser sancionada de acuerdo al reglamento emitido por la Direccin de Telemtica. 2. Las sanciones pueden ser desde una llamada de atencin o informar al usuario hasta la suspencin del servicio dependiendo de la gravedad de la falta y de la malicia o perversidad que sta manifiesta. 3. Corresponder al Comit de Informtica hacer las propuestas finales sobre las

sanciones a quienes violen las disposiciones en materia de informtica de la institucin. 4. Todas las acciones en las que se comprometa la seguridad de la Red-CICESE y que no estn previstas en esta poltica, debern ser revisadas por la Direccin General y la Direccin de Telemtica para dictar una resolucin sujetndose al estado de derecho.

Referencias
1. Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Polticas de Seguridad Informtica (PSI). Universidad de los Andes, Colombia. 2. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992. 3. Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies.
13

Notas
1. Esta poltica de seguridad deber seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, desarrollo de nuevos servicios, entre otros. 2. El documento que contiene la poltica de seguridad deber ser difundido a todo el personal involucrado en la definicin de estas polticas.

Glosario.
Departamento de Cmputo. Es la entidad encargada del buen uso de las tecnologas de la computacin, organizacin y optimizacin de los recursos computacionales de la institucin. Departamento de Redes. Es la entidad encargada de desarrollar el plan estrategico de conectividad del centro (CICESE) que favoresca la prestacin de servicios eficientes, eficaces y de utilidad en la transmisin de datos, voz y video para apoyar efectivamente los requerimientos del usuario. Departamento de Informtica. Es la entidad encargada de ofrecer sistemas de informacin administrativa integral permitiendo en forma oportuna satisfacer necesidades de informacin, como apoyo en el desarrollo de las actividades propias del centro. Bases de Datos. Es un conjunto de datos interrelacionados y un conjunto de programas para accesarlos. Una recopilacin de datos estructurados y organizados de una manera disciplinada para que el acceso a la informacin de inters sea rpida. WWW (World Wide Web). Es una convergencia de conceptos computacionales para presentar y enlazar informacin que se encuentra dispersa a travs de internet en una forma fcilmente accesible. Sistema avanzado para navegar a travs de internet. Area Crtica. Es el area fsica donde se encuentra instalado el equipo de cmputo y telecomunicaciones que requiere de cuidados especiales y son indispensables para el funcionamiento contnuo de los sistemas de comuncacin del centro. ( o del CICESE).
14

Equipo de Telecomunicaciones. Todo dispositivo capaz de transmitir y/o recibir seales digitales o analgicas para comunicacin de voz, datos y video, ya sea individualmente o de forma conjunta. Equipo de Cmputo. Dispositivo con la capacidad de aceptar y procesar informacin en base a programas establecidos o instrucciones previas, teniendo la oportunidad de conectarse a una red de equipos o computadoras para compartir datos y recursos, entregando resultados mediante depliegues visuales, impresos o audibles. Bulletin Board System. Es un nombre elegante para un sistema electrnico de mensajes operado en una microcomputadora y que permite leer o dejar mensajes. El sistema es como una pizarra fsica de boletn. De ah es de donde viene el nombre. Algunas personas llaman a los sistemas de pizarra de boletin sistemas de correo electronico. SECODAM - Secretaria de Contraloria y Desarrollo Administrativo. IP - Internet Protocol. Parte de la familia de protocolos TCP/IP, que describe el sofware que supervisa las direcciones de nodo internet, encamina mensajes salientes y reconoce los mensajes entrantes. Direccin de INTERNET. Identificador nico de 32 bits para una computadora principal TCP/IP en una RED. Tambin llamada un Protocolo Intenet o direccion IP. Las direcciones IP estn normalmente impresas en una forma decimal de puntos, tal como 150.123.50.334 Auditora. Llevar a cabo una inspeccin y examen independiente de los registros del sistema y actividades para probar la eficiencia de la seguridad de datos y procedimientos de integridad de datos, para asegurar el cumplimiento con la poltica establecida y procedimientos operativos, y para recomendar cualquier cambio que se estime necesario. Control de Acceso. 1. Tcnica usada para definir el uso de programas o limitar la obtencin y almacenamiento de datos a una memoria. 2. Una caracterstica o tcnica en un sistema de comunicaciones para permitir