Beruflich Dokumente
Kultur Dokumente
INTRODUCCIN
La organizacin en la parte de las redes de comunicaciones de computadores es un punto de viraje bastante importante; es por ello, que uno de los modelos de red ms conocidos, es el modelo OSI. A grandes rasgos, el modelo OSI, dado por capas
Capa fsica Capa de red Capa de transporte Capa de sesin Capa de presentacin Capa de aplicacin
Capa de enlace
INDICE
LO ANTERIOR, NOS PERMITE DESCRIBIR 3 TIPOS DE FALLOS EN LA SEGURIDAD DE LA RED:.................................................................................4 LA COMPAA PUEDE DEFINIR 2 TIPOS EXTREMOS DE POLTICAS DE SEGURIDAD:...................................................................................................4 AUDITORIA DE COMUNICACIONES..................................................................5 CUMPLIENDO COMO OBJETIVOS DE CONTROL:...........................................5 PARA LO CUAL SE DEBE COMPROBAR:........................................................5 AUDITORIA DE LA RED FSICA.........................................................................6 AUDITORIA DE LA RED LOGICA.......................................................................6 CRIPTOGRAFIA................................................................................................7 CONSIDERACIONES PARA ELABORAR UN SISTEMA DE SEGURIDAD INTEGRAL .......................................................................................................................8 SISTEMA INTEGRAL DE SEGURIDAD...............................................................8 ETAPAS PARA IMPLEMENTAR UN SISTEMA DE SEGURIDAD............................9 DEBE CONTEMPLAR REAS DE USO EXCLUSIVO.........................................9 CONSIDERACIONES PARA CON EL PERSONAL...........................................10 ETAPAS PARA IMPLANTAR UN SISTEMA DE SEGURIDAD EN MARCHA...........11 PASOS PARA COMPLEMENTAR UN SISTEMA DE SEGURIDAD EN REDES ......12 BENEFICIOS DE UN SISTEMA DE SEGURIDAD...............................................13
DE FALLOS
1 Alteracin de bits: Se corrige por cdigo de redundancia cclico. 2 Ausencia de tramas: Las tramas se desaparecen por el ambiente o una sobrecarga del sistema; para ello, se debe tener un nmero de secuencia de tramas.
Alteracin de la secuencia en la cual el receptor reconstruye mensaje. Otro de los tipos de modelos de referencia ms conocidos, es el TCP/IP, hoy da, con algunas variaciones, como el de encapsular varios protocolos, como el NetBIOS; el TCP/IP da replicacin de los canales para posibles cadas del sistema. Bajo sta poltica, entonces se ha definido como clases de redes: Intranet = Red interna de la empresa. Extranet = Red externa pero directamente relacionada a la empresa.
Estas empiezan probando la fiabilidad de las contraseas de usuario usando algunas tcnicas de indagacin como es el leer el trfico de la red buscando en tal informacin sobre nombres de usuarios y contraseas respectivas, probar la buena fe de los usuarios mandndoles mensajes de la administracin solicitando su contrasea a una especificada por la herramienta o probando contraseas comunes o por defecto en muchos sistemas.
AUDITORIA DE COMUNICACIONES
Ha de verse: La gestin de red = los equipos y su conectividad. La monitorizacin de las comunicaciones. La revisin de costes y la asignacin formal de proveedores. Creacin y aplicabilidad de estndares.
Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos). La responsabilidad en los contratos de proveedores, La creacin de estrategias de comunicacin a largo plazo, Los planes de comunicacin a alta velocidad como fibra ptica y ATM ( tcnica de conmutacin de paquetes usada en redes MAN e ISDN). Planificacin de cableado. Planificacin de la recuperacin de las comunicaciones en caso de desastre. Ha de tenerse documentacin sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line. La facturacin de los transportistas y vendedores ha de revisarse regularmente.
La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de
cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retrollamada, cdigo de conexin o interruptores.
Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores.
Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasadosLos datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un anlisis del riesgo de aplicaciones en los procesos.
Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados.
La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: Servidores = Desde dentro del servidor y de la red interna. Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.
CRIPTOGRAFIA
La criptografa se define como las tcnicas de escrituras tales que la informacin est oculta de intrusos no autorizados. Aunque el cifrado de informacin es una excelente tcnica para proteger los datos, no debera convertirse en el desvelo de la compaa, pues existen otros tipos de debilidades ms importantes para tratar por la compaa, ello, adems porque ya existen diferentes programas, hasta gratuitos, como algunas
versiones de PGP, tales que toda la potencia informtica del mundo, podra romperlos
Un sistema integral debe contemplar: Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades
Definir prcticas de seguridad para el personal Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidotes. Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros
de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico. Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc. Consideracin de las normas ISO 1400
Debe proteger a los empleados contra tentaciones o sospechas innecesarias Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc) Medidas pre.. (Polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc)
Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar Se debe desarrollar mtodos de participacin reflexionando sobre lo que
significa la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual.
Capacitacinn General
En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo. Implantacin la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preventivas y correctivas. Practica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, que tengan repercusin a nivel personal e institucional
1. Introducir el tema de seguridad en la visin de la empresa. 2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de rea. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
Aumento de la
productividad.
Aumento de la motivacin
del personal.