Materia: Unidad 2: Actividad 1:

Aplicacin de procesos de Seguridad informtica Anlisis de la seguridad fsica Diseo de pautas y sugerencias para la seguridad en trminos de Administradores, Usuarios y Personal

Carrera: Nombre del estudiante: Cdigo de estudiante: Semestre: Nombre del asesor: Fecha de ltima modificacin: Objetivo: El participante

Licenciatura en Tecnologas e Informacin Jorge Valdez Muozcano 209200622 Sexto Elizabeth Cristina Hernndez Hernndez 2 de octubre de 2011

elaborar un conjunto de pautas o sugerencias para la prevencin de ataques en trminos de las operaciones de seguridad. Introduccin a la actividad: La seguridad dentro de un espacio donde se trabaja con informacin, diseo de software o produccin del conocimiento tiene que contar con pautas en trminos de un esquema de seguridad que contemple de manera integral diversos componentes de esta. En muchos casos la seguridad de un establecimiento de tecnologa se compromete por descuidos del conjunto de usuarios y para prevenir esto un administrador de tecnologas puede establecer medidas de seguridad precisas. Instrucciones: Antes que nada vamos a documentarnos con mediante el apoyo de la lectura del captulo llamado "administradores, usuarios y personal, del libro, "Seguridad en Redes y UNIX" de Antonio Villaln Huerta, que puedes localizar en el apartado de recursos generales. Presta atencin en los puntos como en la ingeniera social y los diversos descuidos de los usuarios, esto para que al realizar el anlisis basado en las experiencias y comentarios del autor, elabores diversas pautas y sugerencias de seguridad. Las pautas o normas de seguridad tienen que contener los siguientes puntos: 1. Nombre del documento. 2. Marco o contexto que regula. (Descripcin de algn antecedente que genera la norma) 3. Prevencin de: (que se busca prevenir) 4. Norma (descripcin) 5. Personal a quien va dirigido. 6. Personal que supervisa el cumplimiento de la norma.

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

Nombre del documento.- Polticas de uso de los espacios y servicios de la Direccin General Adjunta del Diario Oficial de la Federacin. Marco o contexto que regula.- Acceso a espacios fsicos y lgicos administrados por la Subdireccin de Informtica del Diario Oficial de la Federacin (SI-DOF). Prevencin de: Uso inadecuado de espacios y/o servicios administrador por la Subdireccin de Informtica del Diario Oficial de la Federacin. Norma.- El presente documento tiene como objeto establecer los lineamientos mnimos a cubrir por cualquier persona ajena a la Subdireccin de Informtica del Diario Oficial de la Federacin (SI-DOF), que requiera utilizar espacio o recursos provistos para la ejecucin de las funciones del personal adscrito a dicha rea. Personal a quien va dirigido.- Personal que no est suscrito a la Subdireccin de Informtica del Diario Oficial de la Federacin y requiera acceso a espacios o servicios administrados por dicha Subdireccin. Personal que supervisa el cumplimiento de la norma.- Jorge Valdez Muozcano, Subdirector de Informtica del Diario Oficial de la Federacin. Para que una empresa, ya sea proveedor o consultor, de alguna rea del DOF, y an empleados de otras reas internas del DOF, puedan tener acceso a las instalaciones y hacer uso de un espacio para trabajar o desempear sus actividades en la SI-DOF, debern cumplirse las siguientes condiciones: 1. Sobre el acceso a las instalaciones: 1.1. El personal de la empresa proveedora deber de identificarse a la entrada, entregando una identificacin oficial y recibiendo un gafete de visitante o proveedor, mismo que portar a la vista y registrndose en la Bitcora de Seguridad Institucional de acceso y salida de personal externo. 1.2. Todo el tiempo de permanencia de los proveedores dentro de las instalaciones estarn sujetos al reglamento de personal de la Secretara debiendo observar y cumplir las normas de personal y seguridad institucionales. 2. Sobre el espacio: 2.1. La empresa que tenga acceso a las instalaciones de la SI-DOF podr instalarse en el lugar que se le indico por parte de personal responsable de esta Subdireccin, si requiriera mobiliario especial o de su propiedad tendr que solicitar mediante orden de entrada ante Seguridad

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

Institucional el registro y la constancia de entrada de dichos muebles justificando el objetivo y/o finalidad para el que se estarn ocupando, as como la fecha de salida de dicho mobiliario. 2.2. El espacio destinado depender de los metros cuadrados disponibles del rea asignada al proveedor o consultor y en cualquier momento estn sujetos a disposicin por parte de la Dependencia. 2.3. Todo el mobiliario propiedad del proveedor o consultor deber permanecer en el rea establecida que le fue asignada. 2.4. En el caso del mobiliario de la Secretara se le debe informar mediante carta compromiso especificando que el espacio y los muebles que se le estn asignando son propiedad de la Secretara y que al finalizar su trabajo motivo por el cual labora en la Secretara deber entregarlo en las mismas condiciones de cmo lo recibi. 2.5. Como mobiliario se contempla el uso de mesas, sillas, gabinetes, botes de basura, equipo de oficina, etc. 3. Sobre el uso de equipo de computo del proveedor: 3.1. La empresa podr utilizar su equipo de cmputo, una vez que haya sido registrado en la libreta de entrada de equipo de cmputo de la Secretara. 3.2. El uso de este equipo deber ser exclusivamente para la actividad o trabajo del proveedor, cualquier otro fin deber ser reportado a la SIDOF y/o Seguridad Institucional, quienes definirn si procede o no la entrada de equipo. 3.3. La Dependencia as como el personal que labora para ella, quedan exentos de cualquier tipo de dao, prdida y/o robo del equipo del proveedor, por lo que es responsabilidad del proveedor resguardar su equipo de cmputo. 4. Sobre el uso de equipo de comunicaciones y Red de Datos: 4.1. De acuerdo a la naturaleza del trabajo y actividad del personal de la empresa proveedora, se deber de solicitar los accesos a la red de datos, tomando en cuenta las siguientes consideraciones: 4.1.1. El equipo de cmputo del proveedor se conectara a una VLAN diferente de las institucionales para evitar trfico malicioso o posibles infecciones a los equipos de la red de la Direccin General Adjunta del Diario Oficial de la Federacin (DGA-DOF).

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

4.1.2.

En caso de requerir acceso a la red de la DGA-DOF el rea responsable deber solicitar los permisos de acceso a la SIDOF a los sistemas indicando objetivo, tipo de permisos, horario y tiempo en el que se requiere estn habilitados los servicios, as mismo se requerir se nombre un responsable del rea solicitante, el cual deber acompaar al personal externo durante su estancia en las instalaciones de la SI-DOF.

4.1.3.

El enlace de soporte tcnico de la SI-DOF, deber validar que el equipo del proveedor est libre de virus y de software malicioso.

4.1.4.

Respecto al acceso a Internet ser a travs de un servidor de Proxy y el rea responsable solicitara dichos permisos a la SIDOF, para que esta a su vez los tramite ante la Subdireccin de Seguridad de Tecnologas de la Informacin de la Direccin General de Tecnologas de la Informacin).

4.1.5.

El personal del proveedor es responsable de su informacin y de su equipo de cmputo, por lo que la Dependencia no se har responsable por daos lgicos o prdida de informacin de los equipos de cmputo del proveedor.

4.1.6.

En caso de detectarse mal uso de los servicios de red, ser reportado al rea que gestion los servicios, dicha rea ser la responsable de notificar la anomala al responsable de la empresa proveedora.

4.1.7.

La SI-DOF se reserva el derecho de autorizar o no dichos servicios y accesos de red al considerarlos una amenaza o considerarlos no competentes a la actividad o trabajo del proveedor.

4.1.8.

El personal de la empresa proveedora quedar sujeto a los lineamientos de proteccin de datos personales y cuando sea necesario se le harn firmar cartas de confidencialidad en las cuales se detallara el objeto de la informacin que est utilizando, as como el compromiso de no divulgarla o utilizarla con otros fines que no sea el del trabajo o actividad para el cual fue contratado.

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

5.

Sobre el personal autorizado: 5.1. La empresa proveedora deber informar cual es el personal que realizar la tarea o trabajo y sus horarios correspondientes, as como el objetivo de dicho trabajo. 5.2. En el caso de que sea ms de una persona del proveedor, debe de haber un responsable de su grupo de trabajo, el cual debe ser notificado a la SI-DOF. 5.3. La(s) persona(s) por parte del proveedor o consultor quedan sujetas al reglamento de seguridad institucional de la Secretara de Gobernacin (SEGOB), entendindose que la Secretara se reservara el derecho de admitir al personal de acuerdo a las polticas de seguridad institucionales. 5.4. El personal autorizado por la empresa proveedora deber permanecer en el rea asignada, queda prohibido transitar en reas que no son objeto de su trabajo o labor dentro de las instalaciones de la DGA-DOF, as mismo deber observar y sujetarse al reglamento de personal de la Secretara.

6.

Sobre el tiempo de estancia: 6.1. La empresa podr permanecer dentro de las instalaciones de la DGTI por el tiempo que le fue autorizado y en los horarios convenidos de acuerdo a la naturaleza de su trabajo o actividad. 7. En todo momento deber de haber personal de la SI-DOF y del rea responsable del trabajo, que observar, asistir y/o colaborar con el proveedor, por lo que ningn proveedor puede permanecer solo en alguna rea de la DGA-DOF sin la supervisin del personal responsable de la misma.

8.

Indicaciones generales: 8.1. En caso de que el personal de la empresa proveedora incurra en algn dao o perjuicio a las instalaciones de la SEGOB quedar sujeto al reglamento institucional, el rea solicitante ser la responsable notificarlo a Recursos Materiales y al rgano Interno de Control. Lo anterior en funcin de que pueda reparar el dao y vigilarse el evento.

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

8.2. La persona responsable del grupo de trabajo por parte de la empresa o proveedor, tiene la obligacin de vigilar y asegurar que el presente reglamento sea respetado. En caso de que esto no se cumpla, el rea solicitante del trabajo o servicio ser la responsable de notificar a Recursos Materiales y a Seguridad Institucional cualquier tipo de eventualidad, as como de tramitar el cierre de servicios ante la SI-DOF, cuando resulte procedente (ello sin olvidar que la SI-DOF, podr suspender la entrega de servicios cuando exista alguna causa que as lo justifique). 8.3. Estos lineamientos aplican para cualquier tipo de solicitud de espacio o uso de servicios de la SI-DOF Otros: Cualquier punto no contemplado en el presente reglamento, ser evaluado y resuelto por personal de: Seguridad Institucional de la SEGOB; la Direccin General de Tecnologas de la Informacin de la SEGOB; la Direccin General de Recursos Materiales y Servicios Generales de la SEGOB, o la Direccin General Adjunta del Diario Oficial de la Federacin, segn corresponda a las atribuciones de cada una de dichas entidades.

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

Nombre del documento.- Polticas de Seguridad Mnima para el establecimiento de un Centro de Datos del Diario Oficial de la Federacin, y los Sistemas que ah se alojen. Marco o contexto que regula.- Seguridad Fsica del Centro de Datos (entendindose como seguridad fsica a todos aquellos mecanismos de prevencin y deteccin destinados a proteger fsicamente los recursos del Centro de Datos). Prevencin de.- Acceso, mal uso o prdida de: datos personales, informacin sensible y/o confidencial. Norma.- El presente documento tiene como objeto establecer los lineamientos mnimos a cubrir por cualquier persona y/o sistema que tenga relacin directa con el Centro de Datos, y de forma ms especfica se orienta hacia los sistemas contenidos en l, que resguardan informacin que por su naturaleza no se considera pblica. Personal a quien va dirigido.- Responsables de la contratacin del Centro de Datos y Administradores del mismo Personal que supervisa el cumplimiento de la norma- Administradores del Centro de Datos La ubicacin del Centro de datos donde residirn los sistemas de datos personales deber ser seleccionado minimizando el riesgo de prdida por desastres naturales: temblores, tormentas elctricas, inundaciones y humedad. 1. El centro de datos deber de ser capaz de solventar problemas de: 1.1. Interrupcin de Energa elctrica, teniendo dispositivos como UPS (unidades de energa ininterrumpida), planta elctrica, supresores de pico, inversores, tierras fsicas etc., con el fin de proporcionar corriente regulada a los equipos que soportan los sistemas de datos personales. 1.2. Incendios. Proporcionando sistemas de prevencin y control de incendios a travs de sensores de humo y extintores, que se activan automticamente al detectar humo. 1.3. Temperaturas extremas. Se debern contemplar sistemas de Aire acondicionado para regular la temperatura y una humedad de acuerdo a las especificaciones tcnicas que requieren los equipos que protegern y almacenaran los sistemas de datos personales.

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

2. 3.

El centro de datos deber contar con una buena iluminacin. El rea de trabajo deber estar delimitada fsicamente (muros, rejas, puerta con chapa elctrica o puertas con cerradura mecnica) de manera que se impide el acceso a personas no autorizadas.

4.

El espacio de trabajo deber de mantenerse libre y Limpio, si es necesario se deber contar con escritorios, mostradores y dems muebles adecuados para asegurar el cuidado de los datos personales.

5.

Si es necesario se podrn utilizar anaqueles, archiveros, estantes y dems muebles adecuados para asegurar el cuidado de los datos personales almacenados en medios fsicos.

6.

Las llaves que abren los muebles, antes mencionados debern ser identificadas y resguardadas por el responsable del Centro de Datos y si as fuera necesario por el responsable de los sistemas de datos personales.

7.

Los encargados del centro de datos y sistemas de los datos personales debern estar identificados con una credencial con fotografa.

8.

Se deber documentar por medio de una lista a la gente responsable del centro de datos y de los sistemas de datos personales los cuales estn autorizados en acceder el centro de datos, dicha lista deber ser proporcionada a la guardia de seguridad del centro de datos.

9.

El acceso al rea de centro de datos es restringido, aun para las personas que laboran en esa dependencia o entidad, el acceso al Centro de Datos se logra mediante el cumplimiento de las siguientes condiciones: 9.1. Verificacin de identidad. Se deber comprobar que las personas que van a entrar se encuentran en la relacin de las personas autorizadas para el acceso (o, en su caso, el gafete y la autorizacin correspondiente si son ajenos a la Dependencia o Entidad). Las personas ajenas a la Dependencia o Entidad debern ser acompaadas por una persona que labora en la ella, adems de registrarse en un libro de visitas y dejando una identificacin oficial con fotografa en dicho punto de revisin.

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

9.2.

Si el acceso al centro de datos es por medio de una puerta elctrica el usuario deber contar con su clave personal de acceso; si el acceso es por medio de una puerta con cerradura se podr acceder a esta por medio de una llave la cual ser resguardada por el guardia en turno y dicha llave se encontrar en un sobre sellado y firmado por el responsable del centro de datos; el guardia solo tiene autorizado entregar la llave al personal autorizado. El responsable del centro de datos o de los sistemas de datos personales deber entregar la llave de cerradura al guardia en turno por medio de un sobre sellado y firmado.

9.3.

Deber quedar registrado en una bitcora los siguientes puntos: 9.3.1. 9.3.2. 9.3.3. 9.3.4. 9.3.5. Da y hora de entrada y salida, Nombre de la persona, Asunto de la visita, Empresa que representa. Tipo de Identificacin

Nota.- En caso de presentarse un incidente, se deber notificar al responsable del centro de datos, el cual debe ser designado por la Secretaria. Nombre del documento.- Polticas de usuario root en servidores. Marco o contexto que regula.- Mantener la seguridad e integridad de los datos almacenados en la infraestructura de la Direccin General Adjunta del Diario Oficial de la Federacin, a travs de reglas o polticas de uso de root. Prevencin de.- Comprometer un usuario con altos privilegios, derivado del uso innecesario del mismo Norma.- El presente documento tiene como objetivo especificar los usos adecuados de root, as como los momentos en que se debern realizar cambios al mismo. Personal a quien va dirigido.- Administradores de servidores y aplicaciones. Personal que supervisa el cumplimiento de la norma- Jorge Valdez Muozcano, Subdirector de Informtica del Diario Oficial de la Federacin.

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

1.

La Subdireccin de Informtica, especficamente los Administradores de Servidores y Aplicaciones, son los dueos de la cuenta root de los Sistemas Operativos.

2.

El administrador deber cambiar la clave de root en cualquiera de los siguientes casos: 2.1. Si alguno de los administradores dejar de laborar en la Secretara, se deber cambiar inmediatamente la clave de root y notificar a los dems administradores. 2.2. Cuando se proporcione la clave de la cuenta de root a los administradores de la empresa que proporciona servicios en la coubicacin del Centro de Datos de la SEGOB, debiendo enviar un correo que cumpla con los siguientes requisitos: 2.2.1. Justificacin. El administrador del proveedor que necesite la clave de root, deber enviar por correo el por qu y para qu necesita utilizar la cuenta del usuario root. 2.2.2. Responsable. Debe haber un administrador del proveedor que sea el responsable directo a quien se le va a dar la cuenta de root, debe mandar en el correo con su nombre completo y cargo. 2.2.3. Vigencia (Fecha y Hora).Deber incluir el correo la fecha y horario en el cual ocupar la cuanta de root. 2.2.4. Servidor. Debe incluir el nombre del servidor o servidores del que requieren la cuenta de root. 2.2.5. Acciones a realizar. Debern adjuntar el plan de trabajo de las actividades que vayan a realizar en el periodo de tiempo que piden. 2.2.6. La entrega de la clave deber entregarse en archivo cifrado en una ruta especficamente generada para ello, donde el propietario sea root y el usuario asignado al proveedor tenga permiso de lectura, anteriormente se ha

10

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

entregado la llave para pblica necesaria para descifrar los archivos. 2.2.7. El proveedor ser responsable del manejo de la cuenta de root, de los cambios realizados durante la vigencia definida, y de las fallas que haya debido a los cambios realizados. 2.2.8. El proveedor deber eliminar el archivo que contiene la clave, en cuanto acceda a ella. 2.2.9. El administrador deber verificar el borrado 10 minutos despus de haber subido el archivo, en caso de seguir dicho archivo, deber borrarlo. 3. Cada seis meses se cambiarn las claves de las cuentas de root, y de administracin tanto del DOF, como del proveedor. 4. Los usuarios solo podrn conectarse a los servidores a travs de servicios seguros, como ssh (consola segura), scp (copia segura), sftp (protocolo de transferencia de archivos segura). 5. Los usuarios solo podrn conectarse a los servidores de desarrollo, es decir que no podrn conectarse a los servidores de produccin. 6. No se debe acceder a los servidores a travs del usuario root, se proporcionar una cuenta de usuario sin privilegios a los administradores para acceder a los servidores. 7. Slo se utilizar el usuario root en cualquiera de los siguientes casos: 7.1. 7.2. 7.3. 7.4. 7.5. 7.6. 7.7. Aplicacin de parches Compilacin de software Configuracin de Interfaces de red Configuracin de rutas Creacin de usuarios Creacin de ambientes Cambio de archivos de configuracin

11

Jorge Valdez Muozcano Aplicacin de procesos de Seguridad informtica

Unidad 2, Actividad 1

8.

El administrador deber hacer una verificacin por lo menos una vez al mes de las cuentas de usuario y ver cuales han caducado para bloquearlas o eliminarlas.

9.

El administrador deber revisar los ambientes de desarrollo que haya caducado su fecha de utilizacin y darlos de baja.

10.

La cuenta de usuario y la clave que se les de a los usuarios de las aplicaciones es personal e intransferible.

11.

De la depuracin y bloqueo de cuentas: 11.1. Toda cuenta que no sea empleada durante un lapso igual o mayor a 3 meses tendr su acceso bloqueado. 11.2. Cuando una cuenta est bloqueada por ms de 3 meses, ser eliminada. 11.3. Toda cuenta que muestre actividad sospechosa de atentar contra la integridad y/o seguridad de la Base de Datos, ser bloqueada hasta que el dueo de la misma aclare dichas actividades identificadas como riesgosas para el sistema, de no tenerse una justificacin clara dentro de un lapso menor a 5 das, la cuenta ser eliminada y se notificar al rgano Interno de Control de la SEGOB.

Fuentes de consulta
Villaln H. A. (2002), Seguridad en Redes y UNIX (pgs. 35-43), Consultado el 2 de octubre de 2011, desde http://148.202.105.242/metacampus-liferayportlet/viewFile?id=100&persistence=AVACursosPersistenceF0104

Actividades previas
Valdez J. (2011), Acercamiento a la seguridad fsica, Consultado el 3 de octubre de 2011, desde http://148.202.105.242/metacampus-liferay-

portlet/viewFile?id=254&persistence=AVACursosPersistenceF0104

_______________________________

12