1. GENERALIDADES 2. OBJETIVOS DE LA PROPUESTA. 2.1 Objetivo General

Tamaño: px
Comenzar la demostración a partir de la página:

Download "1. GENERALIDADES 2. OBJETIVOS DE LA PROPUESTA. 2.1 Objetivo General"

Transcripción

1 CAPITULO IV. DISEÑO DE UN SISTEMA DE MEDIDAS DE SEGURIDAD DE APLICACIÓN INTEGRAL, QUE EVITE QUE LOS ATAQUES INFORMÁTICOS TRASPASEN LAS PAREDES DE FUEGO 1. GENERALIDADES El contenido de este capítulo versa sobre la propuesta de un Diseño de un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego, con el que se busca maximizar la protección entre las computadoras y la Internet, ya que los problemas a los que se están enfrentando las grandes empresas comerciales en este momento, hacen que surja la necesidad de reforzar las medidas de seguridad que hay en las unidades informáticas, en especial, con el fin de proteger la información. Para elaborar el sistema se tomó en cuenta el marco teórico conceptual sobre sistemas de computación administrativa, sistema, medidas de seguridad, ataques informáticos, paredes de fuego y seguridad informática, así como también la información que se recopiló a través de la investigación de campo. Después de planificar, organizar, ejecutar y analizar la investigación de campo, así como obtenidos los resultados de la misma, se analizaron los elementos de juicio necesarios para comprobar que las grandes empresas comerciales, no cuentan con sistema propuesto, en este sentido, es necesario plantear la conveniencia de la implementación de un Diseño de un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego, dentro de las grandes empresas del Sector Comercio. 2. OBJETIVOS DE LA PROPUESTA 2.1 Objetivo General Diseñar un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego, para lograr

2 incrementar la seguridad informática en las gran empresas comerciales que poseen página Web, ubicadas en el área metropolitana de San Salvador. 2.2 Objetivos Específicos Diseñar un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego que sirva como herramienta de trabajo para una mayor seguridad de la información que se maneja. Proporcionar medidas de seguridad que contribuyan a la seguridad de la información al evitar que los ataques informáticos traspasen las paredes de fuego. Planificar y organizar la puesta en marcha de un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego que sirva como herramienta de trabajo para una mayor seguridad de la información que se maneja. 3. IMPORTANCIA Y BENEFICIOS DE LA PROPUESTA 3.1 Importancia de la Propuesta Desde la consolidación de Internet como medio de interconexión global y al volverse una herramienta necesaria para las grandes empresas comerciales, los incidentes de seguridad relacionados con sistemas informáticos vienen incrementándose de manera alarmante. Este hecho, unido a la progresiva dependencia de la mayoría de organizaciones hacia sus sistemas de información, viene provocando una creciente necesidad de implantar mecanismos de protección que reduzcan al mínimo los riesgos asociados a los incidentes de seguridad.

3 Partiendo de lo anterior, la presente propuesta aporta una visión general de los aspectos más relevantes de la seguridad informática, observando esta disciplina desde un punto de vista estratégico y táctico, para lo cual mencionaremos las amenazas y las contramedidas más frecuentes que deberían considerarse en toda organización para evitar que los ataques informáticos traspasen las Paredes de Fuego. 3.2 Beneficios de la Propuesta Para las Grandes Empresas Comerciales La propuesta de este sistema proporcionará a las empresas los lineamientos necesarios para establecer una eficaz gestión de la seguridad informática y a su vez fortalecer la capacidad empresarial para enfrentar la creciente competencia de mercado. A medida que el comercio de las empresas, y su publicación a través de páginas Web se hace más generalizado, la inseguridad en las transacciones comerciales se vuelve un problema crucial y en constante crecimiento que debe ser contemplado por la alta gerencia en la toma de decisiones y en la implementación de soluciones. Al hablar sobre la seguridad informática de las empresas que poseen página Web, nos referimos al gran índice de inseguridad interna de la infraestructura informática de las empresas, así como la falta de una cultura informática necesaria para contemplar estos problemas. El alto grado de vulnerabilidad de la información transferida por la Internet y la facilidad de ataques externos e internos que se traducen en pérdidas que ascienden hasta miles de dólares en términos de información alterada, robada o

4 perdida, hacen imprescindible que toda organización deba estar a la vanguardia de los procesos de cambio. Donde disponer de información continua, confiable y en el tiempo preciso, constituye una ventaja fundamental. Sabiendo que la identificación de los riesgos de la información es de vital importancia, un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego viene a ser una herramienta para las empresas que son cada vez más conscientes de la seguridad informática y no escatiman esfuerzos para evitar ser vulneradas Para el Sistema Económico La importancia para el Sistema Económico y para el país es que todas las empresas pueden acceder a esta herramienta que necesitan. Los costos de las diferentes herramientas de protección se están haciendo accesibles, en general, incluso para las organizaciones más pequeñas. Esto hace que la implementación de mecanismos de seguridad se dé prácticamente en todos los niveles. Empresas grandes, medianas, chicas y las multinacionales más grandes, saben que los atacantes mejoran sus armas y metodologías de penetración de forma incesante, el recambio y la revisión constantes en los mecanismos de seguridad se convierten en imprescindibles. Y éste es un verdadero punto crítico. Los constantes cambios de la tecnología hacen que para mantener un nivel parejo de seguridad cada empresa deba actualizar permanentemente las herramientas con las que cuenta. Contar con un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego es importante por que garantizará el manejo de la información de forma segura, lo cual contribuye a una buena imagen de las empresas. Y de esta forma se podrá ser más atractivos en el mercado mundial, y servir de referencia favorable para inversionistas.

5 3.2.3 Para el Usuario La importancia para el usuario es que el personal de las grandes empresas comerciales, estará manejando la información de manera segura, de tal manera que alcancen o superen las expectativas de los clientes, poniéndose a la orden tanto a nivel nacional como internacional. Además los clientes se verán beneficiados al proporcionárseles un servicio informático eficiente y seguro. Pero también se deben considerar clientes a los otros usuarios, al personal que a diario trabaja con los sistemas y aplicaciones y que son los primeros se favorecerán al trabajar en una plataforma confiable al aplicarse planes de calidad y seguridad informática. El eslabón más débil de la cadena en la seguridad la constituye el humano y no el tecnológico, lo cual destaca la importancia de tener en las empresas, políticas de seguridad, porque no existe, en muchas empresas, un responsable de la seguridad. 4. ALCANCE DE LA PROPUESTA Un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego ha sido elaborado para que sea implementado, de manera principal, en el área informática de las grandes empresas comerciales, sin embargo, debe abarcar a toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.

6 5. DISEÑO DE UN SISTEMA DE MEDIDAS DE SEGURIDAD DE APLICACIÓN INTEGRAL QUE EVITE QUE LOS ATAQUES INFORMÁTICOS TRASPASEN LAS PAREDES DE FUEGO Para dar a conocer el Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego y ofrecer una visión clara, se elaboró un esquema dentro del cual están representadas cada una de las etapas que lo conforman, así como también los ítems más importantes que se desarrollarán en cada una de ellas, para que al final se pueda obtener el resultado esperado. Luego se llevará a cabo la retroalimentación, la cual podrá permitir que exista un control del sistema y que el mismo tome medidas de corrección en base a la información retroalimentada. 5.1 Esquema Figura N 4 Diseño de un Sistema de Medidas de Seguridad de Aplicación Integral que evite que los Ataques informáticos Traspasen las Paredes de Fuego Etapa I: Diagnóstico del Estado Actual de la Empresa Etapa II: Planeación del Diseño Etapa III: Aplicación de Controles Etapa IV: Organización para la Implementación Etapa V: Evaluación y Control Retroalimentación Fuente: Autores de la Tesis

7 5.2 Objetivos del Diseño Objetivo General Constituir un aporte a través de una serie de etapas y pasos que la empresa deba seguir en forma ordenada y secuencial para implementar y dar vida al Sistema de Medidas de Seguridad propuesto Objetivos Específicos Promover la retroalimentación en Sistema Continuo para que éste sea permanente en la empresa. Permitir enriquecer el Sistema y mejorarlo a través de la participación de los involucrados en su desarrollo. 6. CONTENIDO DEL DISEÑO DE UN SISTEMA DE MEDIDAS DE SEGURIDAD DE APLICACIÓN INTEGRAL QUE EVITE QUE LOS ATAQUES INFORMÁTICOS TRASPASEN LAS PAREDES DE FUEGO Los resultados de la investigación de campo realizada a las Grandes empresas comerciales afiliadas a la ANEP, que están ubicadas en el área metropolitana de San Salvador hasta el mes de noviembre del año dos mil cuatro, respecto a la seguridad informática que poseen para evitar que los ataques informáticos traspasen las paredes de fuego, se evidenció que la mayoría ha detectado intrusos que podrían causar daños a la información de la empresa, evidentemente, arriba del 50% de la población encuestada cree que las medidas que actualmente se toman no son suficientes para mantener la seguridad de la información. Un alto porcentaje de las empresas investigadas manifestó que la seguridad de la información y la integridad y confiabilidad de la información son los beneficios principales que buscan en un sistema de medidas de seguridad.

8 ETAPA I: Diagnóstico del Estado Actual 1. Objetivo Elaborar un análisis que permita conocer los elementos del ambiente tanto internos como externos que puedan llegar a poner en riesgo la seguridad informática de las grandes empresas comerciales que poseen página Web ubicadas en el área metropolitana de San Salvador. 2. Evaluación de Riesgos El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas. Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir). Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado. Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto. La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; es de gran beneficio, analizar las repuestas a algunas interrogantes que ayudan a identificar lo anteriormente expuesto, como ejemplo se tiene:

9 " Qué puede ir mal?" " Con qué frecuencia puede ocurrir?"." Cuáles serían sus consecuencias?" " Qué fiabilidad tienen las respuestas a las tres primeras preguntas?" " Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?" " Cuál es el costo de una hora sin procesar, un día, una semana...?" " Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia? " Se tiene forma de detectar a un empleado deshonesto en el sistema?" " Se tiene control sobre las operaciones de los distintos sistemas?" " Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?" " A que se llama información confidencial y/o sensitiva?" " La información confidencial y sensitiva permanece así en los sistemas?" " La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?" " A quien se le permite usar que recurso?" " Quién es el propietario del recurso? y quién es el usuario con mayores privilegios sobre ese recurso?" " Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario? " Cómo se actuará si la seguridad es violada?" Una vez obtenida la respuesta se hace un cruce de la información, y se examina, de acuerdo al tipo de riego-factor, que se ejemplifica en el cuadro N 7 siguiente:

10 Cuadro N 7 Tipo de Riesgo-Factor Fuente: Site securite handbook, J Reynolds-p Holbrook, julio 1991 Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios según el factor de riesgo representado. 3. Evaluar los Riesgos Disponibles. Para comenzar el análisis de la Seguridad Informática se deberá conocer las características de lo que se pretende proteger: la Información. Establecer el valor de la información es algo totalmente relativo, pues constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, las aplicaciones y la documentación. Existe Información que debe o puede ser pública: puede ser visualizada por cualquier persona; y aquella que debe ser privada: sólo puede ser visualizada por un grupo selecto de personas que trabaja con ella. En esta última se debe maximizar los esfuerzos para preservarla, por lo que es importante reconocer las siguientes características en la Información:

11 a) Es Crítica: es indispensable para garantizar la continuidad operativa. b) Es Valiosa: es un activo con valor en sí misma. c) Es Sensitiva: debe ser conocida por las personas que la procesan y sólo por ellas. Algunas de las características de la información, a preservar son: a) La Integridad de la Información que es la característica que hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada para posteriores controles o auditorias. Una falla de integridad puede estar dada por anomalías en el hardware, software, virus informáticos y/o modificación por personas que se infiltran en el sistema. b) La Disponibilidad u Operatividad de la Información que es su capacidad de estar siempre disponible para ser procesada por las personas autorizadas. Esto requiere que la misma se mantenga correctamente almacenada con el hardware y el software funcionando perfectamente y que se respeten los formatos para su recuperación en forma satisfactoria. c) La Privacidad o Confidencialidad de la Información que es la necesidad de que la misma sólo sea conocida por personas autorizadas. En casos de falta de confidencialidad, la Información puede provocar severos daños a su dueño o volverse obsoleta (por ejemplo: los planes de desarrollo de un producto que se "filtran" a una empresa competidora, facilitarán a esta última desarrollar un producto de características semejantes). d) El Control sobre la información que permite asegurar que sólo los usuarios autorizados pueden decidir cuando y como permitir el acceso a la misma.

12 e) La Autenticidad que permite definir que la información requerida es válida y utilizable en tiempo, forma y distribución. Esta propiedad también permite asegurar el origen de la información, validando el emisor de la misma, para evitar suplantación de identidades. Adicionalmente pueden considerarse algunos aspectos adicionales, relacionados con los anteriores, pero que incorporan algunos aspectos particulares: Protección a la Réplica: mediante la cual se asegura que una transacción sólo puede realizarse una vez, a menos que se especifique lo contrario: No se deberá poder grabar una transacción para luego reproducirla, con el propósito de copiar la transacción para que parezca que se recibieron múltiples peticiones del mismo remitente original. No Repudio: mediante la cual se evita que cualquier entidad que envió o recibió información alegue, ante terceros, que no la envió o recibió. Consistencia: se debe poder asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda. Aislamiento: este aspecto, íntimamente relacionado con la confidencialidad, permite regular el acceso al sistema, impidiendo que personas no autorizadas hagan uso del mismo. Auditoria: es la capacidad de determinar qué acciones o procesos se están llevando a cabo en el sistema, así como quién y cuando las realiza. 4. Amenazas para la Seguridad Cabe definir Amenaza, en el entorno informático, como cualquier elemento que comprometa al sistema.

13 Las amenazas pueden ser analizadas en tres momentos: antes del ataque durante y después del mismo. Los siguientes mecanismos conformarán se deben tomar en cuenta para cuando se conformen las políticas que garantizarán la seguridad del sistema informático. a) La Prevención (antes): mecanismos que aumentan la seguridad (o fiabilidad) de un sistema durante su funcionamiento normal. Por ejemplo el cifrado de información para su posterior transmisión. b) La Detección (durante): mecanismos orientados a revelar violaciones a la seguridad. Generalmente son programas de auditoria. c) La Recuperación (después): mecanismos que se aplican, cuando la violación del sistema ya se ha detectado, para retomar éste a su funcionamiento normal. Por ejemplo recuperación desde las copias de seguridad (backup) realizadas. Las preguntas que se hace un técnico en sistemas de información ante un problema de seguridad, normalmente, están relacionadas con medidas defensivas que no solucionan un problema dado, sólo lo transforma o retrasa. La amenaza o riesgo sigue allí y las preguntas que este técnico debería hacerse son: Cuánto tardará la amenaza en superar la "solución" planteada? Cómo se hace para detectarla e identificarla a tiempo? Cómo se hace para neutralizarla? Para responderlas definiremos Riesgo como "la proximidad o posibilidad de daño sobre un bien". Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales, cada riesgo debería ser atacado de las siguientes maneras:

14 1. Minimizando la posibilidad de su ocurrencia. 2. Reduciendo al mínimo el perjuicio producido, si no ha podido evitarse que ocurriera. 3. Diseño de métodos para la más rápida recuperación de los daños experimentados. 4. Corrección de las medidas de seguridad en función de la experiencia recogida. Luego, el Daño es el resultado de la amenaza; aunque esto es sólo la mitad del axioma. El daño también es el resultado de la no-acción, o acción defectuosa, del protector. El daño puede producirse porque el protector no supo identificar adecuadamente la amenaza y, si lo hizo, se impusieron criterios comerciales por encima de los de seguridad. De allí que se deriven responsabilidades para la amenaza (por supuesto) pero también para la figura del protector. Luego, el protector será el encargado de detectar cada una de las vulnerabilidades (debilidades) del sistema que pueden ser explotadas y empleadas, por la amenaza, para comprometerlo. También será el encargado de aplicar las contramedidas (técnicas de protección) adecuadas. Luego para garantizar que un sistema sea fiable se deberá garantizar las características ya mencionadas de Integridad, Operatividad, Privacidad, Control y Autenticidad. Se deberá conocer "qué es lo que queremos proteger", "de quién lo queremos proteger", "cómo se puede lograr esto legislativa y técnicamente"; para luego concluir con la formulación de estrategias adecuadas de seguridad tendientes a la disminución de los riesgos. Comprender y conocer de seguridad ayudará a llevar a cabo análisis sobre los Riesgos, las Vulnerabilidades, Amenazas y Contramedidas; evaluar las ventajas o desventajas de la situación; a decidir medidas técnicas y tácticas metodológicas, físicas, e informáticas, en base de las necesidades de seguridad.

15 5. Determinar las Razones de la Seguridad. Comprender el significado de intranet, Extranet, e Internet es importante porque son términos y conceptos básicos a la hora de diseñar la seguridad de las redes. Los términos definen los segmentos generales de la red. En SOHO, para las implementaciones de empresas, la demarcación intranet para Internet requiere un nivel de seguridad que variara en escala, ámbito y tamaño, como refleja los requisitos de conectividad específicos. Las intranets más complejas y visibles necesitan un a seguridad más sofisticada, porque tal vez los piratas informáticos o los empleados descontentos y curiosos las codicien más como objetivo. Estos términos existen para proporcionar clasificaciones o demarcaciones de varios extremos de red para una diferenciación clara. Para el contexto de nuestra tesis, remítase a estos términos según se describen en esta etapa. La seguridad general comienza con la compresión de cómo estas redes diferentes se interconectan o interactúan entre ellas. Cada una necesita un nivel y un tipo de seguridad diferentes. Estos términos pueden parecer obvios, pero son la base de este capitulo. Las siguientes secciones describen tipos comunes de redes y destacan los componentes de diseño importantes para la seguridad. a) Intranet: las intranets se definen como redes internas sobre las que un usuarios su empresa tienen control. Como punto de referencia formal, definiremos una intranet como una red privada contenida dentro de una empresa. Puede consistir en muchas redes del área local vinculadas entre si, y también utilizar líneas concedidas en la red de área extensa. Normalmente, una intranet incluye conexiones a Internet a través de uno o más equipos de puerta de enlace. El propósito principal de una intranet es compartir la información de una empresa y los recursos informáticos entre los empleados. Las intranets son las LAN y las WAN que interactúan una empresa; también pueden contener puntos de entradas y salidas (extranets e Internet) fuera de su control.

16 Para aclarar el concepto de una intranet, tenga en cuenta lo siguiente: los usuarios necesitan tener acceso a los datos de la empresa. Sin embargo, no todos los usuarios necesitarán tener acceso a toda la red, por ejemplo: Necesita el departamento de operaciones tener acceso a la documentación sobre el servidor y la red?, Necesita el departamento jurídico tener acceso sa los servidores de correo electrónico?, necesita el departamento de ventas tener acceso a la configuración del enrutador o del conmutador? Seguramente la respuesta es no en la mayoría de los casos. Para obtener el nivel mas elevado de seguridad, tal vez los administradores deseen clasificar estas redes en dominios de seguridad con diferentes requisitos de seguridad e implementar paredes de fuego para controlar y filtrar el traficó de acuerdo con esa clasificación. b) Extranet: Las extranets son redes de acceso externo para los asociados de empresa a empresa BSB, (Business-to- Business). Principales u otras redes sobre que el usuario no tiene control. Se define como una extranet a una red privada que utiliza protocolo Internet y el sistema de telecomunicaciones público para compartir de forma segura parte de la información de la empresa u operaciones con proveedores, colaboradores, clientes u otras empresas. Una extranet se puede ver como parte de la intranet de una empresa que se extiende a usuarios que están fuera de la empresa. También se ha descrito como un un estado ánimo en el que Internet se percibe como una forma de hacer negocio con otras empresas así como de vender productos a otros clientes Las relaciones empresariales pueden maximizar la productividad y disminuir el costo de hacer negocios con asociados, proporcionando acceso especializado entre las intranets de las empresas. Las grandes empresas manufactureras a las operaciones al por menor quizás tengan acceso directo al inventario de sus proveedores para proporcionar un registro de cobros o actualizaciones de los

17 depósitos a las bases de datos internas de los inventarios, que, a su vez, pueden activar una transacción con el proveedor para reponer las reservas cuando éstas alcancen un nivel determinado. Otro buen ejemplo de extrenets es el acceso que comparten las entidades gubernamentales como los contratistas militares, las extranets requieren procesos de seguridad adicionales y procedimientos que vayan más allá que los de las intranets. c) Internet: El término de Internet se utiliza sobre todo para describir la ínter conectividad entre redes autónomas (diferentes empresas o redes fuera de su control) que sirven para proporcionar una conectividad colectiva. Una Internet también puede verse como una intranet o una extranet. Con los años, las empresas han ampliado las redes para satisfacer los requisitos departamentales de las empresas o las empresas que se han adquirido y que ya tienen redes que necesitan conectividad con otras intranets. En vez de crear una única red autónoma volviendo a diseñar y a configurar redes existentes, estas redes se pueden unir para crear su propia Internet. Otra razón es el coste y la dificultad asociados a la migración de los protocolos de enrutamiento a un solo protocolo. La mayor Internet es, por supuesto, el World Wide Web, a la que se hace referencia como Internet, el acceso a Internet representa un tipo de riesgo especial para la seguridad. Las amenazas pueden proceder de ubicaciones muy lejanas imposibles de rastrear, para así poder llegar hasta una persona o incluso un origen. Las instrucciones en su red y sus sistemas pueden pasar desapercibidas a menos que haya implantado medidas de seguridad apropiadas y una pared de fuego. d) Proveedores de Servicios de Internet y Empresas Descentralizadas: Los proveedores de Internet (ISP. Internet Service Providers) ofrecen servicios que

18 varían desde la conectividad a Internet para usuarios que necesitan acceso telefónico directo para una PC, hasta los accesos a intranets corporativas que necesitan un acceso enrutador, con velocidades que varían entre los 56 Kbps y los 2,5 Gbps (por ejemplo OC-48). Los ISP proporcionan resúmenes de ruta y acceso para los millones de usuarios que necesitan tener acceso a los innumerables puntos de salida que ofrece el Internet. Para un ISP o una red corporativa grande, hay que prestar gran atención a la seguridad. En este caso, la seguridad tiene que servir para lo siguiente: Proporcionar flujo de tráfico IP ilimitados a ISP o clientes. Proporcionar componentes de acceso muy seguros (conmutadores y enrutadores de la capa 3) que puedan proporcionar acceso compartido en la misma estructura de red a empresas que compiten directamente entre sí. Proporcionar acceso de alta velocidad y una convergencia de enrutamiento rápida con una fragmentación de direcciones IP mínima mediante el resumen de rutas de las direcciones IP sin clase. Estos se haría utilizando el Enrutamiento entre dominios sin clase (CIDR, Classless Inter-Domain Routing). Prevenir el acceso no autorizado a los componentes de enrutamiento de entrada y salida. Controlar la publicidad y el enrutamiento de direcciones IP para evitar los problemas de enrutamiento, las direcciones suplicadas y anuncios del ámbito de las direcciones privadas.

19 Los proveedores de servicios y los diseños de grandes redes corporativas muy descentralizadas necesitan prestar atención especial a la seguridad. Los ISP tienen cientos, o incluso miles, de puntos de entrada/salida a sus redes y todos han de tener la atención puesta en la seguridad. Las empresas globales muy descentralizadas pueden tener empresas subsidiarias que hayan diseñado sus propias redes y que pueden llegar a superar el centenar, es básico conocer los puntos de accesos de entradas y salidas en las ubicaciones de la Intranet a la Internet o extranet. En estos puntos es donde pueden producirse las amenazas y los ataques. Por tanto, resulta básico documentarse, asegurar y controlar el acceso para cada punto de salida de una intranet, extranet o Internet, dado que es la primera línea de defensa en los diseños correctos de una Pared de Fuego. e) Seguridad Departamental: la seguridad en los puntos de entrada y salida departamentales de la intranet es importante para proteger las LAN y los servidores de Recursos Humanos, investigación y Desarrollo, Ingeniería, administración ejecutiva y finazas (por nombrar algunos). Hay muchas amenazas que deberían controlarse y mitigarse cuando se diseña la seguridad departamental. Las amenazas departamentales más habituales son PC desatendidos pero autorizados que cualquiera pueda aprovechar y utilizar, comandos y puertos de red que están activados pero que no se utilizan y que permiten a un individuo no autorizado entrar y conectar un equipo portátil para así tener acceso a la red. Si el protocolo de configuración dinámica del Host (DHCP, Dynamic Host Configution Protocol) está activado en este puerto, obtener una dirección IP disponible resulta aún más fácil, porque DHCP asigna la dirección al dispositivo de conexión. Mientras existan controles simples para mitigar estos riesgos, las paredes de fuego internas pueden reducir el riesgo de un daño global se omitieran estos controles.

20 6. Determinar los Puntos Débiles de la Seguridad de la Información. a) Las Paredes de fuego no ofrecen protección ante lo que se está autorizando. Se estará preguntando qué significa esto. Las Paredes de Fuego protege las aplicaciones y permiten el tráfico normal de comunicaciones hacia dichas aplicaciones; si no, para qué sirve? Si las propias aplicaciones tienen defectos, una Pared de Fuego no detendrá el ataque, dado que para que la Pared de Fuego la comunicación está autorizada. b) Las Paredes de Fuego son tan eficaces como las reglas que tienen que aplicar de acuerdo con su configuración. Un conjunto de reglas demasiado permisivo disminuiría la efectividad de la pared de Fuego. c) La Pared de Fuego no puede detener la ingeniería social o a un usuarios autorizado que utilice su acceso con propósito maliciosos. d) Las paredes de fuego no pueden solucionar las prácticas administrativas débiles o un diseño inadecuado de una directiva de seguridad. e) Las Paredes de Fuego no pueden detener ataques si el tráfico no pasa a través de ellos. 7. Determinar los Puntos Fuertes de la Seguridad de la Información. a) Las Paredes de fuego son excelentes para reforzar las políticas de seguridad de una empresa. Deberían configurarse para restringir la comunicación a lo que los administradores han determinado como aceptable. b) Las Paredes de fuego se utilizan para restringir el acceso a servicios específicos. Por ejemplo, la Pared de Fuego permite el acceso público a un

21 servidor Web pero evita el acceso a Telnet y otros dominios no públicos. La mayoría de las Paredes de Fuego pueden incluso proporcionar acceso selectivo mediante las funciones de autenticación. c) Las Paredes de Fuego tiene un propósito. Por tanto, no hay que comprometer ni la seguridad ni el uso. d) Las paredes de Fuego son excelentes auditores. Dada una gran cantidad de espacios de disco o capacidades de conexión remotas, una Pared de Fuego puede registrar parte o todo el tráfico que pasa a través de él. e) Las paredes de Fuego son excelentes para alertar a las personas apropiadas acerca de los sucesos que se producen. 8. Estudiar las Medidas de Seguridad Actuales de la Empresa. La directiva de seguridad de información de la empresa es el fundamento que establece la información de la empresa como un valor que se debe ser protegido, define la vulnerabilidad de la empresa ante el peligró y las consecuencias de la violación de la seguridad. La directiva de seguridad también define cómo deberían protegerse los datos; la pared de fuego es la implementación de esta directiva. Para las empresas más pequeñas que no dispones de una gran base de datos de directivas formalizadas, es increíblemente útil documentar los propósitos de la red y el uso de la pared de fuego para restringir el uso en función de esto. Las directivas permiten a los administradores denegar muchas solicitudes de nuevo acceso a la pared de fuego que siempre se presenta. Si no se define claramente lo que se debería permitir y lo que no, la efectividad de las paredes de fuego se reduce con el tiempo, ya que cada vez se permite más Servicios.

22 9. Identificación de las Metodologías de Ataque. A pesar de que los muchos intentos por tener acceso no autorizado en una red son síntomas de un ataque relativamente poco sofisticado que utiliza a ciegas y aleatoriamente herramientas fácil de obtener y de utilizar, hay casos en los que no sólo sucede esto. Cuando un ataque no es un simple incidente del azar, si no de un esfuerzo bien organizado para atacar y comprometer la red de datos de una organización especifica, o si crea dudas sobre la seguridad y la fiabilidad de la empresa, se utiliza una metodología más lógica y, a veces, muy eficaz. En la figura Nº 5 se muestra el método sencillo para encontrar y atacar o desactivar una Pared de Fuego. Este método es conocido entre los CRACKERs y, como tal, deberían conocerlo los administradores de las Paredes de Fuego. Esto permite a todos los administradores de sistemas preocupados por la seguridad, estar totalmente preparados para minimizar el impacto de esta metodología de ataque cuando se utilice en contra de sus propios sistemas.

23 Figura N 5 Diagrama de flujo de la metodología de auditoria de una Pared de Fuego Metodología de auditoria de las Paredes de Fuego Selección de destino Creación de Huellas Identificación Escrutinio Omitir y buscar destino Pasar por alto o explotar Denegación de servicios Fuente: Manual de Referencia, Firewalls, Keith E. Strassberg 9.1 Selección de Destino: Hay muchos motivos por los que una empresa puede ser objeto de una ataque. La mayoría de empresas de tamaño medio o grande tienen algún tipo de presencia de Internet. El simple hecho de esta presencia puede ser suficiente para que su empresa se convierta en el objetivo. Por el contrario, puede ser parte de una venganza personal contra organizaciones específicas, como un ex empleado enfadado, o una persona que no esta de acuerdo con una postura política o social concreta de la empresa. El hecho de tener empleados descontentos o relaciones públicas impopulares es casi imposible evitarlo. Pues no se pueden tener satisfechos a todos los empleados

24 y no es posible estar fuera de la presencia de Internet. Esto hace que la empresa, en general, y la pared de fuego, en concreto, sea el destino de un ataque. Independientemente de las razones o las motivaciones, una vez que se haya elegido un destino el siguiente paso es siempre el mismo: la creación de huellas. 9.2 Creación de Huellas: Recopilar información, detalles y especificaciones con la arquitectura de red de la empresa es necesario para un atacante serio. Los métodos utilizados son muchos y variados. Normalmente, cuando más moderna sea la identificación técnica de la red y sus diversas partes, más obvios son los métodos para aquellas empresas y administradores que saben lo que buscan. Por ejemplo, es bastante inocuo buscar información técnica en los registros públicos o las listas de correo. Sin embargo, realiza un examen detallado del sistema operativo o del servicio en el perímetro de red es otra cosa. Las siguientes subsecciones proporcionan una descripción detallada de las distintas fases de la recopilación de inteligencia, junto con algunas de las herramientas más conocidas y ejemplos de los tipos de información que se puede descubrir. 9.3 Poner Demasiada Información en Usenet: A menudo, una búsqueda en Usenet es una gran fuente de información para posibles infiltrados. Es habitual que los administradores, sin darse cuenta, expongan información sobre sus sistemas internos, que sería recomendable que fuera privada, el intercambio de información es la contramedida más eficaz para una exposición de Usenet, es una directiva global que describa lo que es información apropiada para publicarla y lo que no es, así como concienciar a los empleados acerca de la seguridad.

25 9.4 Determinación de Agujeros de la Pared Filtros de Paquetes Los filtros de paquete, como Check point firewall-1 y cisco PIX, analiza el tráfico de red en la capa del protocolo de transporte. Cada paquete se examina para determinar si la comunicación está permitida en función de la información de los encabezados de las capas de transporte y de red, y la dirección a la que va dirigido el paquete. Los filtros de paquetes habilitan al administrador para permitir o prohibir la transferencia de datos en función de la interfaz física de la red a la que llega el paquete, la dirección IP de origen a la que van los datos, el tipo de capa de transporte, el tipo de puerto de origen de la capa de transporte, Pared de Fuego Proxy de Nivel de Aplicación Las paredes de fuego Proxy de nivel de paquete operan en la capa de aplicación de la pila del protocolo. Una pared de fuego de nivel de aplicación ejecuta una aplicación del servidor Proxy que actúa un camino entre dos sistemas. Un cliente inicia una solicitud al servidor que se ésta ejecutando en la pared de fuego de nivel de aplicación, para conectarse a un servidor externo como FTP o HTTP. A continuación, evalúa la solicitud y admite o la deniega basándose en un conjunto de reglas que se aplica aun servidor determinado. La pared de fuego Proxy de nivel de aplicación son inteligentes porque pueden comprender el protocolo del servicio que ésta evaluando por lo tanto, sólo permite pasar a los paquetes compatibles con el protocolo de ese servicio. Una vez identificado una pared de fuego de forma positiva, puede iniciar el ataque. Seguramente, lo primero que un atacante hará es buscar en la red una o todas las vulnerabilidades que tiene una pared de fuego específico. Esta sección describe algunas vulnerabilidades y errores de configuración habítales que pueden sufrir las implementaciones de la pared de fuego, cómo las descubre y las explota el

26 atacante, y algunos ejemplo específicos de algunos incidentes que se han publicado Simulación de la Sesión Una simulación IP es una técnica en la que el atacante envía mensajes a un host con una dirección IP de origen que el host considera de confianza. Esto se ilustra en la siguiente figura N 6. Figura N 6 Representación visual simplificada de la simulación IP Fuente: Manual de Referencia, Firewalls, Keith E. Strassberg Si la pared de fuego no está configurada para verificar las solicitudes de conexión en función de la dirección IP de origen así como para determinar en que interfaz se origina la solicitud de conexión, esto podría permitir al atacante tener acceso libre a los host que aceptan las conexiones. La contramedida frente a la simulación IP consiste en configurar la pared de fuego para rechazar todos los paquetes que se originen a la interfaz externa de la pared

27 de fuego que contiene las direcciones IP de los host ubicados en la interfaz interna, o redes de confianza Apropiación de la Sesión Uno de los usos avanzados de la simulación de IP se conoce como apropiación de la sesión. Este es ataque que aprovecha un error fundamental en el protocolo TCP, permitiendo que un paquete se inunde y se inserte en una cadena de datos. A continuación, el atacante puede controlar la cadena de datos y enmascararse como un usuario real. Esto sólo es posible si el atacante tiene la capacidad de espiar de forma promiscua en la cadena de datos. Al referirnos de accesos no autorizados de las paredes de fuego, se supone que el atacante no tiene acceso a la red que aloja al servidor de destino de estas secciones. Por lo tanto, el atacante tiene que ser capaz de ver el tráfico de la victima bien en la misma red de la victima o bien en cualquier punto de la ruta entre la victima y el destino antes de llegar a la pared de fuego Lista de Control de Accesos Liberales Una lista de control de accesos (ACL, Access Control List) es una regla que determina que trafico tiene autorización para entrar a una red interna o salir de ella. Las ACL son muy eficaces cuando se implementa correctamente. Sin embargo, cuando se necesita un complejo conjunto de reglas, se puede introducir errores de forma inadvertida en una configuración, y permitir a un atacante crear correspondencia para toda la red. Se pueden utilizar muchas herramientas para comprobar la regla de ACL de una pared de fuego.

28 9.4.6 Túnel Túnel hace referencia al uso de un puerto abierto en una pared de fuego para pasar tráfico no esperado a través de dicha pared de fuego. Esto se ilustra en la Figura siguiente. Existen varias herramientas que facilitan esta tarea, tal y como se describe en las siguientes subsecciones, pero todas necesitan que un atacante haya comprometido ya al sistema dentro del perímetro configurado. Por suerte para los atacantes, es relativamente fácil conseguir que un usuario final abra el archivo adjunto de un correo electrónico, cosa que de lo contrario no harían. Figura N 7 Puerto abierto en una pared de fuego para pasar tráfico no esperado a través de una pared de fuego Fuente: Manual de Referencia, Firewalls, Keith E. Strassberg Acceso Externo Mediante Proxy Permitir el acceso externo a un servidor proxy habilita a los atacantes para utilizar sistema como un trampolín para atacar de forma anónima otros sistemas ese

29 empleando las vulnerabilidades que se han encontrado en los servicios de proxy (especialmente HTTP, FTP Y SOCKS). Para solucionar este ataque, siga las instrucciones del fabricante para desactivar el acceso de proxy desde la interfaz externa de la pared de fuego. También puede configurar el enrutador de borde de flujo ascendente de las ACL para restringir el tráfico de proxy entrante Sistemas Operativos y Aplicaciones Como los servicios externos protegidos por las paredes de fuego de proxy a nivel de aplicación en realidad están alojados en máquinas internas, estas conexiones están a merced de cualquier debilidad o error que se encuentre en esos servicios o el sistema operativo en el que se ejecutan esos servicios. La contramedida a este ataque es una batalla continua. Es muy importante descargar e instalar las revisiones y actualizaciones de los fabricantes tan pronto como estén disponibles No Especifico de la Pared de Fuego. Uno de los problemas más graves al que se puede enfrentar un administrador es una mala configuración o un error en la implementación de la capacidad de acceso remota del la pared de fuego. Es muy importante que sólo se proporcione acceso remoto a la pared de fuego bajo el control más estricto y con el mayor cuidado y preocupación. Comprometer la capacidad de administración remota es como dejar las llaves de casa puestas. Por desgracia, los errores en este importante servicio ya se han descubierto.éste es otro motivo para controlar, realizar auditorias y actualizar la pared de fuego y su configuración. Es muy importante que los administradores comprendan completamente lo que están haciendo cuando activan las capacidades de acceso

30 remoto, así como tener buenos conocimientos sobre la configuración de estas capacidades derivadas de la documentación de cada fabricante Denegación de Servicio. La denegación de servicio es un incidente en el que se priva a un usuario, red u organización de los servicios de los recursos que normalmente tienen. Generalmente, la pérdida está asociada a la desactivación de un servicio individual de red, como el correo electrónico, o la pérdida temporal de conectividad y servicios de red. Las paredes de fuego son susceptibles de varios tipos de ataques de denegación de servicio. ETAPA II: Planeación del Sistema 1. Objetivo. Estructurar un plan para llevar a cabo la implementación del Sistema 2. Diseño De Estrategias para la Aplicación del Sistema. 2.1 Estrategia de Seguridad Para establecer una estrategia adecuada es conveniente pensar una política de protección en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre estos factores. En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva BENSON, Christopher. Estrategias de Seguridad. Inobis Consulting Pty Ltd. Microsoft Solutions.

31 La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. Para determinar el daño que un ataque va a provocar en un sistema, deberían explotarse las debilidades y puntos vulnerables durante los ataque s que han sucedido, ya que esto ayudará a desarrollar una mejor estrategia. La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible. Con respecto a la postura que puede adoptarse ante los recursos compartidos: Lo que no se permite expresamente está prohibido: significa que la organización proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa está prohibida. Lo que no se prohíbe expresamente está permitido: significa que, a menos que se indique expresamente que cierto servicio no está disponible, todos los demás sí lo estarán. Estas posturas constituyen la base de todas las demás políticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qué acciones se toleran y cuáles no. Actualmente, y gracias a las, cada día más repetitivas y eficaces, acciones que atentan contra los sistemas informáticos los expertos se inclinan por recomendar la primera política mencionada.

32 2.2 Diseño de una Directiva de Seguridad Aceptable para la Empresa. Se necesitarán varias directivas específicas para asegurar que los sistemas se utilizan y administran de acuerdo con las expectativas de la administración. Las directivas especificas hacen referencia a los métodos de seguridad detallados necesarios para salvaguardar la red y los sistemas de la red ante acciones perjudiciales, ya sean intencionadas o no. Las directivas específicas incluyen lo expuesto a continuación, pero no se deberían limitar sólo a ello. 2.3 Políticas de Seguridad para Empresas Específicas Dadas las diferencias entre las organizaciones, es conveniente analizar algunas cuestiones importantes que deben considerarse para escribir una política, por ejemplo: A quién se le permite tener una cuenta en su sitio? Tiene cuentas para huéspedes Qué hacer al respecto de los contratistas, proveedores y clientes? Pueden compartirse las cuentas entre varias personas? Qué pasa si una secretaria usa la cuenta de un ejecutivo para procesar el correo electrónico de esa persona? Qué de los proyectos en común? Qué hay de los miembros de la familia? Se comparte cuenta si permite que alguien tome prestada por un momento una ventana máquina? Cuándo pierde la gente el derecho de tener una cuenta y qué hacer al respecto? Qué -pasa si la gente se va o se le niega el acceso? Quién puede instalar módems para entrar a la red? Es correcto que otras personas instalen módems para hacer llamadas externas? Hay algo especial acerca de las líneas PPP, SUP o ISDN?

33 Qué debe hacer la gente antes de conectar una computadora a la red principal? Qué tan seguras deben ser las computadoras antes de obtener servicios de máquinas que se mantienen en forma centralizada? Qué tan seguras deben ser las computadoras para conectarse a una red sin protección con acceso a Internet? Cómo se protegerá la información financiera? Cómo se protegerá la información confidencial sobre la gente? Qué tienen que hacer los usuarios para protegerse a sí mismos y al sitio? Qué clase de contraseñas deben tener y cuándo deben cambiarlas? Qué puede hacer la gente en Internet? Pueden transferir archivos ejecutables al azar y ejecutarlos? Qué precauciones debe tomar contra los virus de las computadoras personales? Quién puede conectar su sitio con redes externas y qué es una red externa? Es correcto que un administrador de proyecto conecte su sitio a otro sitio específico? Qué pasa si establece una segunda conexión a Internet? Cómo van a asegurarse las computadoras caseras? Cómo van a tener acceso seguro a su red? Cómo va a tener acceso a la red la gente que viaja?

34 Qué información de la compañía se considera confidencial? Cómo será protegida? Puede enviarse fuera del sitio por medio del correo electrónico? Si tiene sitios remotos, cómo van a asegurar el acceso hacia su red principal? 2.4 Lo que Debe Contener una Política de Seguridad Primero y más importante, la política de seguridad es una forma de comunicarse con los usuarios y los gerentes. Debe decirles lo que deben saber para tomar las decisiones que deben tornar respecto a la seguridad Explicaciones Es importante que la política sea explícita y comprensible sobre por qué deben tomarse ciertas decisiones. Casi nadie sigue las instrucciones a menos que entienda por qué son importantes. Una política que especifique lo que debe hacerse, pero no por qué, está destinada al fracaso. Tan pronto como la gente que la escribió se vaya u olvide por qué tomó esa decisión, dejará de tener efecto Las Responsabilidades de Todos Una política establece expectativas y responsabilidades entre usted, sus usuarios y su gerencia; le permite a todos saber qué esperar el uno del otro. Es un error publicar una política que se concentre totalmente en lo que deben hacer los usuarios para que el sitio sea seguro (suena hostil e injusto), o totalmente en lo que deben hacer los administradores del sistema (le da razones a los usuarios para creer que alguien más se encargará de la seguridad y, por lo tanto, que no tienen que preocuparse por ella).

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A

Más detalles

Qué es un firewall? cortafuegos firewall

Qué es un firewall? cortafuegos firewall FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

1. La falsa sensación de seguridad 2. La falsa creencia de que la seguridad de la información es meramente tecnológico.

1. La falsa sensación de seguridad 2. La falsa creencia de que la seguridad de la información es meramente tecnológico. Para la Gerencia de Negocios Estratégicos de SEGURIDAD ONCOR LTDA., es muy importante tener esta ventana de información, en la cual tratamos cada mes temas de gran sensibilidad para nuestros clientes en

Más detalles

Operación Microsoft Windows XP

Operación Microsoft Windows XP Entornos de red Concepto de red En el nivel más elemental, una red consiste en dos equipos conectados entre sí mediante un cable de forma tal que puedan compartir datos. Todas las redes, no importa lo

Más detalles

LA SEGURIDAD EN INTERNET RESUMEN

LA SEGURIDAD EN INTERNET RESUMEN CENTRO DE INVESTIGACIONES Y DESARROLLO FACULTAD DE INGENIERÍA LA SEGURIDAD EN INTERNET La seguridad en la Red todavía está lejos de ser total. Los Firewalls una esperanza en seguridad informática. Los

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3 Indice 1) Proxy, Cortafuegos, que son? Pág.2 2) Funcionamiento de un proxy Pág.3 3) Proxy NAT / Enmascaramiento Pág.3 4) Servidores proxy / Servidores de Sockets Pág.4 5) Proxy de web / Proxy cache de

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos.

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos. Pagina 1 de 5 INTRODUCCIÓN Dentro del FONAES, se tienen instalados un conjunto de recursos informáticos (computadoras personales, servidores, impresoras, programas, etc.) que son de gran importancia para

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Tiene o ha tenido alguno de estos incidentes en su empresa?

Tiene o ha tenido alguno de estos incidentes en su empresa? Tiene o ha tenido alguno de estos incidentes en su empresa? Pérdida de tiempo y dinero por no controlar navegación y acceso a redes sociales y páginas de ocio Ha Perdido Información y ha sido costoso recuperarla

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Redes de Área Local: Configuración de una VPN en Windows XP

Redes de Área Local: Configuración de una VPN en Windows XP Redes de Área Local: Configuración de una VPN en Windows XP Tatiana Echegoyen Blasco Facultad de Informática UPV - Curso 2005/2006 Índice 1. Qué es una VPN?...2 2. Cómo funciona una VPN?...2 3. Por qué

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

Seguridad de la información en SMart esolutions

Seguridad de la información en SMart esolutions Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII

OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII OBJETIVOS Tema VII Seguridad en el SID. INTERNET E INTRANET Identificar problemas de seguridad en los SID. Estudiar las características de los cortafuegos y aprender a seleccionarlos. Funciones de los

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Experiencia 5 : Firewall

Experiencia 5 : Firewall Experiencia 5 : Firewall 1 Material para utilizar: Cable de red (patch cord) construído en el laboratorio. Switch Cisco, modelo Catalyst 2912XL Router Cisco, modelo 2600 PC con FreeBSD 2 Firewalls 2.1

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

CAPÍTULO I PLANEACION DE SEGURIDAD EN REDES

CAPÍTULO I PLANEACION DE SEGURIDAD EN REDES CAPÍTULO I PLANEACION DE SEGURIDAD EN REDES Es importante tener una política de seguridad de red bien concebida y efectiva que pueda proteger la inversión y los recursos de información de la compañía.

Más detalles

Minimice los riesgos para la migración de red del centro de datos

Minimice los riesgos para la migración de red del centro de datos Minimice los riesgos para la migración de red del centro de datos Optimice su arquitectura e inversión de TI y, al mismo tiempo, reduzca la complejidad y los riesgos Los Servicios de migración de centros

Más detalles

Servicios remotos de Xerox Un paso en la dirección correcta

Servicios remotos de Xerox Un paso en la dirección correcta Servicios remotos de Xerox Un paso en la dirección correcta Diagnostica problemas Evalúa datos de la máquina Solución de problemas Seguridad de cliente garantizada 701P42953 Acerca de los Servicios remotos

Más detalles

plataforma gest.org Multi Gestión de Organizaciones Fundaciones y Asociaciones

plataforma gest.org Multi Gestión de Organizaciones Fundaciones y Asociaciones plataforma gest.org Multi Gestión de Organizaciones Fundaciones y Asociaciones ÍNDICE 1. INTRODUCCIÓN. PRESENTACIÓN DEL PRODUCTO Software como Servicio Características técnicas 2. ALCANCE FUNCIONAL DE

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

INTERNET - INTRANET - EXTRANET

INTERNET - INTRANET - EXTRANET INTERNET - INTRANET - EXTRANET Definiciones Internet es "una red de computación de alcance mundial constituida a su vez por miles de redes de computación que conectan entre sí millones de computadoras,

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana 1.- Globalización y avance tecnológico La infraestructura tecnológica disponible y el entorno de globalización han

Más detalles

Uso de la plataforma y aceptación de las condiciones de funcionamiento

Uso de la plataforma y aceptación de las condiciones de funcionamiento AVISO LEGAL PLATAFORMA E-CATALUNYA Qué es? e-catalunya es la plataforma promovida por el Gobierno de la Generalitat de Cataluña para grupos de trabajo colaborativo (Comunidades de Práctica, equipos de

Más detalles

Diseño y soporte de Redes de computadoras. 1.0 Introducción de conceptos de diseño de la red 1.1 Exploración de aspectos básicos del diseño de red

Diseño y soporte de Redes de computadoras. 1.0 Introducción de conceptos de diseño de la red 1.1 Exploración de aspectos básicos del diseño de red Diseño y soporte de Redes de computadoras. 1.0 Introducción de conceptos de diseño de la red 1.1 Exploración de aspectos básicos del diseño de red 1.1.1 Descripción general del diseño de red 1.1.2 Ventajas

Más detalles

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor Infraestructura Tecnológica Sesión 5: Arquitectura cliente-servidor Contextualización Dentro de los sistemas de comunicación que funcionan por medio de Internet podemos contemplar la arquitectura cliente-servidor.

Más detalles

Política y Procedimiento del uso de Firewalls

Política y Procedimiento del uso de Firewalls Fecha de aprobación: 27/mayo/2008 Página: 2 de 11 Control de Cambios Fecha Versión Descripción Autor 14/Enero/2008 1.0 Comenzando el desarrollo de las secciones Roberto García 21/Febrero/2008 1.0 Revisión

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

OBJETIVOS DE APRENDIZAJE

OBJETIVOS DE APRENDIZAJE PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

TUTORIAL PARA CREAR UN SERVIDOR FTP

TUTORIAL PARA CREAR UN SERVIDOR FTP TUTORIAL PARA CREAR UN SERVIDOR FTP A continuación ustedes podrán observar y luego implementar el informe que elaboré a fin de que TODOS puedan aprender a montar y mantener su propio Servidor FTP. Comenzaremos

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

Capitulo 6 VPN y Firewalls

Capitulo 6 VPN y Firewalls 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de

Más detalles

BYOD - Retos de seguridad

BYOD - Retos de seguridad BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir

Más detalles

Dispositivos de Red Hub Switch

Dispositivos de Red Hub Switch Dispositivos de Red Tarjeta de red Para lograr el enlace entre las computadoras y los medios de transmisión (cables de red o medios físicos para redes alámbricas e infrarrojos o radiofrecuencias para redes

Más detalles

APLICATECA. Guía para la contratación y gestión de Servidor Cloud

APLICATECA. Guía para la contratación y gestión de Servidor Cloud APLICATECA Guía para la contratación y gestión de Servidor Cloud INDICE 1 QUÉ ES SERVIDOR CLOUD?... 1 1.1 PARA QUÉ SIRVE?... 1 1.2 CARACTERÍSTICAS DE SERVIDOR CLOUD... 3 2 CONTRATACIÓN DE SERVIDOR CLOUD...

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

POLÍTICA DE PRIVACIDAD DE ROCHE

POLÍTICA DE PRIVACIDAD DE ROCHE POLÍTICA DE PRIVACIDAD DE ROCHE Declaración de Privacidad en línea de F. Hoffmann La-Roche AG Gracias por visitar una página de Roche en Internet o interactuar con nosotros a través del correo electrónico.

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

7. CONCLUSIONES Y RECOMENDACIONES

7. CONCLUSIONES Y RECOMENDACIONES CAPITULO VII 7. CONCLUSIONES Y RECOMENDACIONES 7.1 VERIFICACION DE LA HIPOTESIS Una vez terminada la investigación, se establece que la hipótesis planteada para el desarrollo de la Tesis "Metodología para

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Fundamentos de Redes LI. Unidad III Modelos de Comunicaciones 3.1 Modelo de referencia OSI.

Fundamentos de Redes LI. Unidad III Modelos de Comunicaciones 3.1 Modelo de referencia OSI. 3.1 Modelo de referencia OSI. Durante las últimas dos décadas ha habido un enorme crecimiento en la cantidad y tamaño de las redes. Muchas de ellas sin embargo, se desarrollaron utilizando implementaciones

Más detalles

Políticas para Asistencia Remota a Usuarios

Políticas para Asistencia Remota a Usuarios Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta

Más detalles

empresa Introducción al enrutamiento y la conmutación en la empresa. Capítulo1 Networkingenlaempresa

empresa Introducción al enrutamiento y la conmutación en la empresa. Capítulo1 Networkingenlaempresa CCNA Descubrimiento Introducción al enrutamiento y la conmutación en la empresa. Capítulo 1 Networking en la empresa Capítulo1 Networkingenlaempresa 1 Objetivos Describir una empresa. Identificar flujos

Más detalles

Norma Internacional ISO 9001:2000

Norma Internacional ISO 9001:2000 Norma Internacional ISO 9001:2000 Esta norma ha sido traducida por el Grupo de Trabajo "Spanish Translation Task Group" del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que han

Más detalles

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?)

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?) FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?) La Red Privada Virtual (VPN), cuyo nombre deriva del inglés Virtual Private Network,

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES Defensa equipo a equipo INTERNET Redes Externas Defensa perimetral Cliente Herramientas para la seguridad en Firewall Servicios

Más detalles

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation 9243059 Edición 1 ES Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation Cliente de VPN Guía de usuario 9243059 Edición 1 Copyright 2005 Nokia. Reservados todos los

Más detalles

Kalio.Server... Servicio de Productividad

Kalio.Server... Servicio de Productividad Kalio.Server... Servicio de Productividad Kalio.Server Servicio de Productividad 2 Tabla de contenido... Kalio.Server... Servicio de Productividad... Tabla de contenido...2 Descripción... 3 Ejemplo de

Más detalles

WHITE PAPER. Proteger sus servidores virtuales con Acronis True Image

WHITE PAPER. Proteger sus servidores virtuales con Acronis True Image Proteger sus servidores virtuales con Acronis True Image Copyright Acronis, Inc., 2000 2008 Las organizaciones dedicadas a la TI han descubierto que la tecnología de virtualización puede simplificar la

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

ÍNDICE DE CONTENIDO. 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa.

ÍNDICE DE CONTENIDO. 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa. Autor: Raisa Gruezo Vélez ÍNDICE DE CONTENIDO 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa. 5. Determinación del Problema. 6. Planteamiento

Más detalles

Pautas de Uso Responsable de los Recursos de Tecnología Distrito Escolar Independiente de Richardson 2014-2015

Pautas de Uso Responsable de los Recursos de Tecnología Distrito Escolar Independiente de Richardson 2014-2015 Pautas de Uso Responsable de los Recursos de Tecnología Distrito Escolar Independiente de Richardson 2014-2015 Propósito El distrito escolar independiente de Richardson (RISD o el Distrito) ofrece una

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:

Más detalles