SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN"

Transcripción

1 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN

2 UNIDADES DIDÁCTICAS

3 Gabriel Díaz Francisco Mur Elio Sancristóbal Manuel Castro Juan Peire SEGURIDAD EN LAS COMUNICAClONES Y EN LA INFORMACI~N

4 UNIDADES DIDÁCTICAS (555 17UDOlA01) SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN Quedan rigurosamente prohibidas, sin la autorización escrita de los titulares del «Copyright,>, bajo las sanciones establecidas en las leyes, la reproducción total o parcial de esta obra por cualquier medio o procedimiento, comprendidos la reprografia y el tratamiento informático, y la distribución de ejemplares de ella mediante alquiler o prdstamo públicos. O UNIVERSIDAD NACIONAL DE EDUCACIÓN A DISTANCIA - Madrid, 2004 Librería UNED: Bravo Murillo, 38; Madrid Tels.: , libreria@adm.uned,es O G. Díaz, F. Mur, E. Sancristóbal, M. Castro, J. Peire ISBN: Depósito legal: M Primera edición: enero de 2004 Impreso en España - Printed in Spain Imprime: LERKO PRINT, S.A. Paseo de la Castellana, Madrid

5 CAP~TULO 1. Descripción del problema de la seguridad en las comunicaciones y en la información. Tipos de ataques...., 1.l. Introduccion Las preguntas que deben hacerse para definir el problema Soluciones aparentemente perfectas y soluciones razonables Conclusiones Evaluación... CAP~TULO 2. La seguridad en los elementos físicos existentes en una red...., 2.1. Introduccion Los sistemas de cableado o inalámbricos Repetidores, hubs y conmutadores (o switches) Encaminadores Los servidores y otras máquinas Conclusiones...., 2.7. Evaluacion... CAP~TULO 3. La seguridad en los elementos software existentes en una red Introducción Los sistemas operativos de estaciones y servidores...

6 3.3. Los protocolos y aplicaciones Mejoras de seguridad con IPv Criterios de evaluación de seguridad Conclusiones Evaluacion... CAPITULO 4. Métodos de ataque a equipos y redes Introduccion Taxonomía de los tipos de ataques Ataques orientados a la obtención de información sobre el.. objetivo Ataques orientados a la obtención no autorizada de información confidencial. basados en la mala administración de sistemas Ataques orientados a la obtención no autorizada de información confidencial. basados en vulnerabilidades del software Ataques de tipo denegación de sewicio (DOS) Ataques N creativos,, Conclusiones Evaluacion CAP~TULO 5. Defensas básicas ante ataques Introduccion Controles de acceso físico a sistemas Controles de acceso lógico a sistemas Otros controles simples de acceso a la información Conclusiones Evaluacion... CAPITULO 6. La política de seguridad como respuesta razonable a los problemas de seguridad en las comunicaciones y en la informacion Introduccion Qué es una política de seguridad? Aspectos físicos de la política de seguridad Aspectos lógicos de la política de seguridad Aspectos humanos y organizativos de la política de seguridad 6.6. Aspectos legales de la política de seguridad Conclusiones Evaluacion.....

7 CAPITULO 7. Introducción: métodos no criptográficos en la implantación de la política de seguridad Introduccion Herramientas que implementan la política de seguridad Otros elementos típicos a tener en cuenta Evaluación... CAP~TUL~ 8. Los cortafuegos íjirewalls) y SUS aplicaciones como elemento básico de una política de seguridad de redes Los gateways de aplicación o servidores proxy Qué se puede mejorar? Conclusione Evaluacion... CAP~TUL~ 9. Tecnología de última generación en cortahegos Caso práctico: el modelo Cisco PIX Firewall Caso práctico: el modelo Checkpoint Firewall Introduccion La confusión reinant 9.5. Conclusiones Evaluació CAP~TUL~ 10. Herramientas de análisis de vulnerabilidades para la auditona de seguridad en las comunicaciones Introduccion Caso práctico: el modelo Cisco Secure Scanner Caso práctico: los programas de Intemet Security Systems Conclusiones Evaluación... CAP~TULO 11. Herramientas de detección de intrusiones para la monitorización de la seguridad en las comunicaciones Introducció Caso prácti Caso práctico: los sistemas Real Secure de ISS Qué son los Honey pots? Conclusiones Evaluacion......

8 10 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMA( CAP~TULO 12. Diseño seguro de redes. Concepto de alta disponibilidad y diseños redundante..... Introduccion... Diseño de soluciones de alta disponibilidad... Los problemas de infraestmctura y soluciones... Los problemas en el nivel 2 de OS1 y soluciones... Los problemas en el nivel 3 de OS1 y soluciones... Consideraciones para el resto de los niveles OS1... Consideraciones para el almacenamiento en red: SAN (Storage Area Networks)... Consideraciones para los dispositivos de seguridad... Conclusiones..... Evaluacion... CAP~TULO 13. Introducción a la criptografía como herramienta de obtención de una mayor seguridad en las comunicaciones Introducción Elementos básicos de cualquier método criptográfico Distintos niveles criptográficos en el software de redes y sistemas Tipos de ataques a sistemas criptográficos Conclusiones Evaluacion..... CAP~TULO 14. Métodos criptográficos: sistemas de clave privada. sistemas de clave pública y sistemas de una sola vía (one-way hash) Introduccion Algoritmos de clave privada o de criptografia simétrica Funciones de una sola vía Algoritmos de clave pública o de criptografía asimétrica Conclusione Evaluacion... CAP~TULO 15. Certificación. autenticación e integridad de la informa-.... cion. Firma digital y PKI Introduccion Autenticación. integridad y no repudio Los sistemas de firma digital La necesidad de certificación. El estándar X.509 y las autoridades de certihcacion......

9 15.5. Los modelos de infraestructura de clave pública o PKI Problemas de seguridad de las Firmas digitales y de las PKI Conclusiones Evaluacion Protocolos criptográficos: SSL. PGP. IPSec y otros Introduccion Los protocolos de seguridad y comercio electrónico: SSL y SET Protocolos de tunneling de IP: PPTP y L2TP Los protocolos IPSec Los proto E Conclusiones Evaluació... CAP~TULO CAP~TULO 17. Redes privadas virtuales Introducción Caracterización de las re Ventajas e inconvenientes de las redes privadas virtuales Arquitecturas de redes privadas virtuales Diseño y planificación de redes privadas virtuales Problemas de rendimiento. mantenimiento y seguridad Conclusiones Evaluación... CAP~TULO 18. El comercio electrónico. Seguridad en las transacciones comerciales Introducció Tipos de co Ventajas de La LSSICE y cómo afecta al comercio electrónico en España Datos sobre el comercio electrónico en España Asuntos pendientes Conclusione Evaluacion..... Comentario bibliográfico Índice de acrónimos... Soluciones a las preguntas de evaluación......

10

11 En este mundo, cada vez más globalizado, todo tipo de organizaciones realizan sus funciones y tratan de cumplir sus objetivos basándose en estructuras de red. Las redes no son ya un lujo sino una pieza básica de las organizaciones, y su funcionamiento incorrecto o su falta de seguridad genera obstáculos que pueden resultar insalvables. Por estas razones, el estudio y conocimiento de los temas expuestos en este libro son, cada vez más, una necesidad para el personal informático de cualquier organización. Lo que pretenden los autores con este libro es ayudar a entender y, en la medida de lo posible, popularizar los problemas (y las soluciones disponibles) relacionados con la seguridad de las redes de ordenadores. Basta con abrir cualquier revista o periódico que se dedique a la informática, en cualquiera de sus aspectos, para encontrar referencias a problemas de seguridad informática, ya sea problemas de seguridad en sistemas o aplicaciones o problemas relacionados con la seguridad en dispositivos de red. Sólo a modo de referencias, se enumeran algunas de las más signiñcativas en los últimos meses: - Según el CERT (Computer Emergency Response Team), en los 6 primeros meses de 2003 ha aumentado el número de incidentes de seguridad, destacando entre los más peligrosos para las organizaciones los debidos a desbordamientos de memoria en sistemas y aplicaciones como el sistema de correo sendmail, librenas de los sistemas Windows, la aplicación SAMBA, etc, y distintas vulnerabilidades en implementaciones de protocolos como el SIP, el SSH o aplicaciones como Lotus Notes o Snorí o sistemas como Linux. - Según un estudio sobre la seguridad informática en la empresa española, llevado a cabo por la Asociación Española de Empresas de Tecnologías de la Información (SEDISI), seis de cada diez compañías

12 14 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACI~N españolas sufrieron ataques contra sus sistemas informáticos durante el año Según el mismo estudio, tan sólo una de cada diez empresas españolas posee planes de continuidad y otro de los problemas graves es la carencia de formación de los empleados. - En los primeros días de mayo se produjo un incremento exponencial de las incidencias protagonizadas por el gusano ~Fizzer,,. Además del correo electrónico, como principal vía de propagación masiva, se sirve del popular software de intercambio de archivos ~Kazaax para intentar llegar a más usuarios, y tiene funciones de puerta trasera, que permiten controlar de forma remota el sistema infectado. - También durante el mes de mayo, en EE.UU., se anunció haber confiscado más de 17 millones de euros procedentes del cibercrimen. Al menos 135 personas han sido inculpadas de estafa, robo de identidad u otro tipo de fraude mediante Internet. - Durante los meses de abril y mayo se detectó un envío de correos electrónicos engañosos, con la intención de estafar a clientes del banco BBVA, basado en el envío de una comunicación a los usuarios en el que se les pide que se den de alta cuanto antes en un servicio del banco. El mensaje está confeccionado con el propósito de obtener los datos de las personas que aun no han utilizado el servicio de banca electrónica. - El gusano ~BtcgBea~B. protagonizó una de las distribuciones más explosivas que se recuerdan, por el gran número de mensajes infectados que circularon en las primeras horas de su infección. El gusano tiene funcionalidades propias de un gusano, un virus, y un troyano de puerta trasera. Además de distribuirse de forma masiva a través del correo electrónico y por los recursos compartidos de las redes locales, es capaz de infectar determinados ejecutables del sistema Windows, captura todas las pulsaciones de teclado, y abre una puerta trasera en los sistemas infectados que permite el acceso y control indiscriminado de forma remota. - Se anunció la existencia de una vulnerabilidad de denegación de servicio en determinados encaminadores de Cisco Systems a través de la característica Sewice Assurance Agent y que permite a un atacante remoto la parada de los dispositivos vulnerables. - Microsoft distribuyó un parche acumulativo para Internet Explorer versiones y 6.0 para Windows Server Además de incluir todas las correcciones anteriores publicadas hasta la fecha, esta actualización soluciona dos nuevas vulnerabilidades consideradas como críticas.

13 - Las instalaciones LINUX con kemel de la serie 2.4.* (la actual) son susceptibles a un ataque de denegación de servicio remoto que permite consumos de CPU arbitrariamente elevados y, eventualmente, la caída de la máquina. Por otro lado, los informes de las distintas consultoras y organizaciones de defensa e investigación siguen afirmando, como se verá en alguno de los capítulos de este libro, que los ataques informáticos hacen perder muchos millones de euros todos los años y que tales ataques no tienen sólo un origen externo, (ataques provenientes de Intemet), sino que la mayor parte de ellos son debidos a toda una serie de problemas internos diversos, la mayor parte de ellos atribuible a malas configuraciones (o inexistentes) de dispositivos de seguridad o de soluciones criptográficas. Existe además un gran mercado de soluciones de seguridad, desde los productos (cortafuegos. encaminadores especiales, analizadores de vulnerabilidades, sistemas de detección de intrusiones, redes privadas virtuales) hasta los servicios (análisis de riesgos, creación de políticas de seguridad, implantación de las políticas y normas, auditorias de seguridad, monitorización extema del tráfico de redes) que dan una idea de la cierta madurez que ha alcanzado el mercado, huto de la necesidad de obtener, y mantener, un buen grado de seguridad en las redes de todo tipo de organizaciones. Parece bastante evidente que todos estos datos apuntan a la necesidad de personas bien formadas en todos estos campos y dispositivos y este libro tiene como uno de sus objetivos ayudar a esa formación necesaria, haciendo una introducción, más extensiva que intensiva, a casi todos los campos que forman, actualmente, el mundo de la seguridad en redes de ordenadores. PRESENTACI~N DEL LIBRO La estructura del libro presenta tres unidades didácticas. En la primera se hace una introducción a los problemas de seguridad en las comunicaciones e información y se hace un examen de los principales problemas de seguridad tanto en los elementos hardware como en los elementos software, es decir, tanto en medios y dispositivos como en sistemas operativos, aplicaciones y protocolos. Se hace también una clasificación de los ataques conocidos, utilizando para ello distintos criterios de clasificación y pretendiendo ser más didácticos que extensivos. Después de una primera aproximación a las defensas, en este caso sólo las más elementales y básicas, se pasa a definir lo qué se entiende, hoy en día, por política de seguridad. Este concepto es básico, pues todo el enfoque actual de la seguridad descansa sobre la idea de que la seguridad no se consigue únicamente con productos, sino que es, más bien, un proceso continuo, basado en una serie de normas de sentido común (la política de seguridad) adecuadas a cada entorno específico.

14 16 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN Con esa idea base comienza la segunda unidad didáctica, dedicada a los métodos no criptográficos de implantación de normas de seguridad. Se analizan todas las tecnologías típicas de cortafuegos actuales, desde los más sencillos hasta los que utilizan tecnología de filtros dinámicos de conexiones (stateful inspection), que, como se trata en la última unidad, suelen permitir también el uso de distintos métodos criptográficos para la creación de redes privadas virtuales. Asimismo se analizan las técnicas de análisis de vulnerabilidades y de detección de intrusiones, para acabar con las técnicas de creación de redes seguras con diseños de alta disponibilidad. La tercera y última unidad didáctica trata los métodos cnptográficos de obtención de seguridad informática. Se empieza enlazando la criptografía tradicional con sus usos informáticos, analizando los distintos algoritmos utilizados y qué propiedades de seguridad proporcionan. Se hace un análisis de conceptos y técnicas que ya son utilizados y que, aparentemente, lo serán cada vez más como los certificados electrónicos, la firma digital y sus aplicaciones y problemas, etc. A continuación se analizan algunos de los principales protocolos criptográficos de uso en sistemas de seguridad actuales, como IPSec o SSL. Uno de estos sistemas, quizás uno de los más populares por la cantidad de implantaciones actuales, es el de las redes privadas virtuales, analizado en otro de los capítulos de esta unidad didáctica. Finalmente se analizan las ventajas y problemas actuales del comercio electrónico, verdadero motor nuevo de creación de riqueza, que está cambiando claramente la forma de vivir en muchos sentidos.

15

16

17 Capítulo 3 DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN LAS COMWICACIONES Y EN LA INFORMACI~N. TIPOS DE ATAQUES

18

19 ESQUEMA 1.1. Introducción 1.2. Las preguntas que deben hacerse para definir el problema 1.3. Soluciones aparentemente perfectas y soluciones razonables 1.4. Conclusiones 1.5. Evaluación

20

21 Nuestro mundo está repleto de sistemas. compuestos por máquinas y por programas. Casi cada objeto que nos rodea es un sistema, compuesto por una o vanas máquinas, controladas por una o vanas piezas de componentes que se denominan software, que no son sino programas de ordenador. Muchos de esos sistemas (por ejemplo, los ordenadores) forman parte de redes, privadas o de empresa, públicas, grandes o pequeñas, interconectadas unas con otras y comunicándose entre sí mediante otro gran sistema hardware (cables o inalámbnco), gestionado, a su vez, por un conjunto de aplicaciones con distintos objetivos, a los que se denominan protocolos. La red Internet es, con una muy alta probabilidad, el sistema más complejo que se haya desarrollado jamás. Está compuesto por muchos millones de ordenadores interconectados mediante una red física de complejidad sin igual. Además, cada ordenador contiene gran cantidad de programas que interactúan entre sí (en el mismo sistema) o con otros programas en otros ordenadores de la red. Este sistema, al que se denomina Internet, suele estar recibiendo, y procesando, información de millones de personas a la vez. Desde el punto de vista del objetivo de este libro, todos los sistemas exhiben una serie de propiedades interesantes. Los sistemas son complejos y capaces de interactuar. Tomando como ejemplo un ordenador: sus miles de programas tienen cada uno su propio trabajo que realizar, pero, también, desarrollan este trabajo basándose en la interacción con sus semejantes en el mismo ordenador y en otros ordenadores. Otra propiedad curiosa (y, a veces, desagradable) de los sistemas es que muchos de ellos hacen cosas no pensadas (ni diseñadas) por sus creadores y usuarios. Se puede decir que los sistemas tienen propiedades no buscadas. Como ejemplos, se puede citar la forma en que los automóviles han cambiado la manera en la que las personas quedan para verse o, a veces, la forma en la que se enamoran, etc. 0, también, se puede pensar en cómo los aparatos de aire acondicionado han cambiado la manera en la cual se transmiten las

22 24 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACI~N enfermedades y catarros. Incluso han cambiado las fechas del año en las es que es más frecuente constiparse. Finalmente, los sistemas, especialmente los ordenadores de todas clases y con cualquier tipo de software, tienen estas propiedades no buscadas (bugs). Un bug es una clase de *fallo del sistema,, muy típico de la informática; es, simplemente, una propiedad no deseada de un sistema, que no se debe confundir con que el sistema no Funcione correctamente. Estas propiedades hacen que sea difícil conseguir que un sistema, como una red de Universidad, o de empresa, o, más aún, la red Intemet, sea seguro. Los sistemas seguros son difíciles de obtener. Los sistemas complejos seguros son aún más difíciles de realizar. Como se verá más adelante. los ataaues a los sistemas en redes se avrovechan de esa complejidad de la que se está hablando, ya sean ataques de obtención de información (de contraseñas de sistemas y aplicaciones o de datos), ataques de acceso no autorizado a sistemas, aplicaciones, etc., ataques de modificación de información o de borrado de información o ataques de denegación de servicio, que tienen como consecuencia la inhabilitación de un servidor Web o de correo y, en general, no poder usar un recurso concreto. Contra este tipo de problemas, se desarrollan tecnologías informáticas que, como los cortafuegos o la criptografía de comunicaciones, parecen impecables. Desde luego, son necesarios, como se verá más adelante, pero, a su vez, están compuestos de sistemas, que pueden (y, por desgracia, suelen) exhibir los mismos problemas citados. Si uno repasa los ejemplos de problemas de seguridad en las comunicaciones citados en la introducción general, comprobará que prácticamente todos (incluidos los que tienen que ver con problemas en sistemas de seguridad) están relacionados con esas propiedades de los sistemas que se han citado previamente. Ayudará bastante pensar, desde el principio (y a lo largo de todo el libro), que, con todos sus componentes hardware, software, etc., la seguridad es un sistema dentro de sistemas mayores, que más que un producto o un conjunto de ellos, más que una o vanas tecnologías, la seguridad es un proceso, que hace intervenir todas las tecnologías, todos los productos y, especialmente, el sentido común de los seres humanos que la gestionan, ese mismo sentido común que.es el menos común de los sentidos.. Por otro lado, ano hay nada nuevo bajo el sol,,. La seguridad en las redes y comunicaciones usa nuevas herramientas, nuevas tecnologías, pero no será digna de uso si no utiliza las viejas técnicas de seguridad humana que se llevan usando (cuando se usan) miles de años en muy diversas circunstancias. Esto último se puede ver más en detalle. Así, se va a dejar de pensar durante un rato en ordenadores, redes, virus, Internet, etc.

23 DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN LAS COMUNICACIONES Piense en un buen sistema de seguridad de un banco: debe tener en cuenta la prevención, la detección y la respuesta al problema concreto. Debe tener una cámara acorazada para proteger el dinero, joyas, etc. (prevención), debe tener alarmas para identificar a los posibles ladrones (detección) y debe contactar con los guardias (o la policía) para que los detenga (respuesta). La seguridad informática de hoy en día suele tener muy en cuenta la prevención (cortafuegos. criptografía, etc., como se verá más adelante) pero está evolucionando en cuanto a las otras dos (que también se tratarán en el libro). Empiezan, poco a poco, a verse herramientas de detección (como los sistemas de detección de intrusiones) y herramientas y sistemas (muchas veces humanos) de auditoria de vulnerabilidades. En la lista, de la introducción general del curso, de problemas de seguridad, hoy por hoy, casi todos tienen que ver con cómo vencer los mecanismos de prevención, pues, aún, los otros no suelen tenerse en cuenta suficientemente. Con todo esto en mente, se tratará en este capítulo de identificar cuáles son las preguntas que uno debe hacerse para definir mejor el sistema que uno quiere asegurar, explorando alguna solución aparentemente perfecta (pero solo aparentemente), y llegando a una solución imperfecta pero realista, basada en lo que se llamará política de seguridad del sistema, herramienta básica para la seguridad y concepto del que se hablará constantemente en este libro, pues será la.idea-motor. del resto del libro. Finalmente, se repasarán las ideas y conceptos Fundamentales enunciados en este capítulo LAS PREGUNTAS QUE DEBEN HACERSE PARA DEFINIR EL PROBLEMA En primer lugar, se debe recordar que el objetivo prioritario es conseguir la seguridad más completa para los sistemas y redes de comunicación. Para ello, se va a delimitar más el problema usando una vieja táctica pedagógica: hacerse preguntas clave. Nuestra primera pregunta clave debe resultar evidente, es de esperar, a estas alturas: A) Qué es lo que se quiere tener protegido?, o, expresado de otra forma, qué se puede perder? Esta pregunta debe llevar a realizar un inventario de los activos, entendiendo como tales los sistemas, redes, aplicaciones, elementos de red, bases de datos y, en general, cualquier tipo de activo, físico o no, que se quiera tener asegurado. Por supuesto, no todos los activos tendrán el mismo valor y éste será un criterio muy importante a la hora de establecer una estrategia de cara a la

24 26 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN seguridad. Por ejemplo, supóngase una empresa con una base de datos con información de sus productos. Digamos que esta base de datos es accesible a los posibles clientes por Internet. Supóngase que se tiene una copia de seguridad de la base de datos suficientemente buena y que se tiene un plan de recuperación de la base de datos en caso de pérdida de datos. Supóngase que el coste de tal recuperación se estima en Tiene sentido poner en marcha un sistema de prevención de ataques que cueste ? La respuesta suele ser NO!, pero, y si la empresa solo vende por Intemet, en cuánto dañana su imagen ese ataque y perdida? Esta situación hay que evaluarla con detalle en lo que se denomina el análisis de riesgos, que se tratará más adelante. Como ya se ha comentado, esto no es más que aplicar ideas generales a la informática. Cuando se va a contratar un seguro para nuestra casa, también se realiza un inventario para la compañía de seguros. El objetivo del inventano es poder obtener una idea precisa de la cuantía de las perdidas en caso de robo. Otra pregunta que ayudará mucho a definir el problema es: B) Contra quién se quiere proteger? o, expresado de otra forma, en quién se puede confiar y en quién no?, quiénes son los posibles atacantes? En otros libros, refiriéndose a esta idea, se desarrolla lo que se llama el modelo de confianza. Con este análisis, se debe decidir qué empleados tienen acceso a que activos y por qué, qué tipo de acceso (si es que alguno) se va a dar a cada persona de cada organización que colabore con la empresa, qué tipo de acceso (físico o lógico), es decir, acceso a ordenadores, redes y datos. Asimismo, se deberá pensar en qué tipo de acceso van a tener los posibles clientes de la organización. La cosa se complica un poco (y suele hacerlo) si alguno de los clientes es, además, colaborador de la organización. Además, se debe meditar (estrujamos la cabeza) lo más posible sobre quién y por qué querría atacar a la organización. Esto, que está muy ligado con lo anterior, hará incluir una categoría de individuos que no ha aparecido aún: los smalosx de la película. Podría parecer que son clases separadas, que estos últimos son de una categoría distinta a la de los empleados, compañeros, colaboradores o clientes; pero esto no suele ser así, desgraciadamente. Si uno estudia distintas encuestas serias sobre perdidas económicas debidas a ataques informáticos ( observa que se dan una serie de características comunes:

25 DESCRlPCIbN DEL PROBLEMA DE LA SEGURIDAD EN LAS COMUNICACIONES Alrededor del 65% (el 55% en unas encuestas, el 75% en otras) de los encuestados reconocen haber sido atacados (perdidas de datos, perdida de información, inhabilitación de servidores o de acceso a redes, cambio de información, robo, fraude, etc.) en el último año. 2. Alrededor del 60% de los encuestados reconocen que algunos de sus ataques fueron realizados desde el interior de sus organizaciones. 3. Alrededor del 60% de los encuestados reconocen que algunos de sus ataques fueron realizados mediante conexiones desde la red Internet. 4. Prácticamente todos los encuestados reconocen haber sufrido más incidentes de este estilo que en el año anterior. Con esto se llega a la conclusión de que el perfil del posible atacante no hay que buscarlo solo en un <asuario. de la red Internet, sino también dentro de la organización. Sin pretender ser completamente exhaustivo, se van a enumerar los tipos de atacantes más habituales y sus posibles motivaciones. En cuanto a los tipos, se debe empezar hablando del hacker. Es ésta una palabra que ha cambiado de significado con el tiempo. Al principio, los hackers eran simplemente personas muy expertas en un sistema operativo, protocolos, etc., que, en el caso de encontrarse fallos de seguridad de un sistema, lo notificaban al fabricante, incluso, a veces, facilitando, además, una posible solución. Tales personas existen todavía y, aunque sus hallazgos suelen ser bien interesantes, hay una polémica, hoy en día, sobre si hacen bien o mal a la industria informática. Pero más bien se le da hoy un sentido peyorativo a la palabra hacker, pensando en alguien que, por distintas motivaciones (venganza, ira, cuestiones religiosas, políticas o simplemente reto intelectual), ataca las redes o sistemas de una organización. Algunos ejemplos de tales motivaciones son: Empleados que son despedidos injustamente, desde su punto de vista y que dejan en los sistemas de la empresa.sorpresas,> que destruyen datos de la organización. Empleados que entienden que son injustamente pagados, a menudo en comparación con algún compañero suyo, y alteran los registros de personal propios o de los compañeros o de ambos. Defensores de los derechos civiles (principalmente en los EE.UU.) que atacan a los servidores Web de organizaciones racistas y, por supuesto, el caso contrario. Hackers que roban mensajes de correo electrónico de unos políticos, para otros políticos.

26 28 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFOR~MCIÓN Individuos que acceden a sitios Web muy conocidos (por ejemplo, el del periódico New York Times) para cambiar su contenido, por razones de línea editorial u otras. Otro tipo de atacante cada vez más extendido es el -amateur que juegan (en EE.UU., se les llama wannabes, despectivamente). El perfil suele ser el de una persona joven (o muy joven), sin experiencia de sistemas ni de redes, que usa herramientas automatizadas contra sistemas por Internet, para ver qué pasa. Como citaba uno de ellos en una revista, para qué voy a jugar *a matar marcianitos,, en mi PC, pudiendo desconectar redes enteras de Internet?, esto es mucho más emocionante. En este caso si hay una diferencia con la vida *no informática.. En la <<vida real., un ladrón profesional puede llegar a.formar. a una serie de aprendices con disciplina, esfuerzo, entrenamiento y, sobre todo, mucho tiempo, hasta conseguir que alguno consiga el «título» de ladrón profesional. Hay que insistir, cuesta mucho tiempo. Una persona, suficientemente brillante, pero desequilibrada, puede crear una aplicación que desconecte redes (o solo sistemas) de Intemet, valiéndose de las numerosas vulnerabilidades existentes en ellos, hacerla fácil de uso, crear un manual de usuario de la herramienta y publicarla en Internet, accesible a mucha gente a la vez, que la podrán usar de forma incontrolada para estas y otras muchas aplicaciones. Se está hablando de herramientas reales, que llevan siendo observadas desde hace más de 3 años en Internet, que han causado muchos problemas y que forman parte de lo que, más adelante, se definirán como.herramientas de ataque por denegación de servicio.. Suelen pedir como entrada de datos el nombre del sistema que se quiere desconectar y, como mucho, el nombre de otro sistema por el que se quiera hacer pasar el atacante. Colocadas <<sabiamente. en determinados Web o servidores ftp, son accesibles a decenas de miles de camateurss en pocos días y estos solo tienen que probar repetidamente contra multitud de sitios <<a ver qué pasan. Los amateurs son muy peligrosos. Finalmente, se hablará de un tercer tipo de atacante, el menos numeroso pero el más peligroso: el profesional. Se conoce como tal al individuo que presta (interesada o desinteresadamente) sus conocimientos y experiencia para atacar con un objetivo concreto, que puede ser el robo, la alteración de información con fines delictivos o el sabotaje. Lo que les caracteriza especialmente es el modo <cprofesionaln de atacar. Al igual que un ladrón que pretende robar en una serie de casas de una calle obtiene primero la mayor cantidad de información de cada casa, piso, vecino, portero, automóviles, etc., el profesional obtiene una gran cantidad de información para estar bien seguro de cuales son los puntos débiles y por dónde puede empezar su trabajo. El siguiente paso suele ser el ataque de acceso a

27 DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN LAS COMUNICACIONES algún sistema, pero borrando sus huellas y sin alterar nada (o lo menos posible). Suele dejarse varios caminos de huida posibles, suele atacar mediante saltos (conexiones de equipo a equipo) y tener muy claro dónde, cuándo y durante cuánto tiempo estará seguro en su ataque. Suele tener muy claro que el atacado debe defender todas sus posiciones, el solo tiene que encontrar el eslabón más débil y aprovecharse del dicho de que.una cadena es tan segura como su eslabón más débil.. Otra pregunta muy importante para caracterizar finalmente el problema es: C) Cómo se quiere proteger? o, más concretamente qué tecnologías, mecanismos, sistemas concretos, procesos se van a utilizar para protegerlo? Para contestar bien a esta pregunta se tienen que conocer dos temas complejos: a) los distintos tipos de ataques posibles. b) las distintas defensas posibles. y a esto se va a tratar de contestar durante la mayoría de capítulos de este libro. Antes de seguir, hay que hacer un comentario muy importante. Nunca se van a conocer todos los distintos tipos de ataques posibles. Es imposible que lo haga nadie, pues nadie puede abarcar todo lo hecho y todo lo que se puede estar haciendo ahora y se podrá hacer más adelante. Así, un buen profesional ha de conformarse con conocer el mayor número posible y estar bien informado sobre todos los nuevos que van apareciendo. No obstante, y antes de estudiarlos con más detalle en el capítulo 4 de este libro, se van a enumerar, como introducción, los tipos más importantes: 1. Ataques para obtener información. Son ataques -no intrusivos~, que tienen como objetivo obtener información (como direcciones IP de redes y sistemas, sistemas operativos de cada equipo, números de puerto abiertos, aplicaciones y sus versiones, contraseñas, etc.). 2. Ataques de acceso no autorizado. Son ataques de acceso de personas no autorizadas a los sistemas. Suelen ser pruebas, sin mayor interés que demostrarse a sí mismos que pueden llegar a ese sistema. Pueden ser peligrosos si el acceso se hace, además, a través de una cuenta privilegiada del sistema. 3. Ataques con revelación de información. Una vez se tiene el acceso anterior, se puede utilizar ese acceso para acceder a información secreta, con idea de aprovecharse de esa información, de borrarla o, peor aún, de modificarla con algún fin no demasiado lícito.

28 30 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN 4. Ataques de denegación de servicio. Buscan dejar no disponible un sistema, un servicio o una red, habitualmente agotando el recurso, sea este el ancho de banda, espacio en disco, conexiones TCP, etc. Desafortunadamente, este tipo de ataques no suele necesitar ningún acceso previo a ningún sistema. Éstos serían los más importantes, pero, además, hay que recordar que el atacante no tiene por que cumplir fielmente con un tipo de ataque determinado. Cada vez más, los ataques suelen ser combinaciones de vanos de estos ataques. En cuanto a las defensas posibles, aspecto éste completamente ligado con el anterior, se van a incluir igualmente en este libro, algunas de las más importantes: 1. Esquemas de seguridad de sistemas operativos. Especialmente para el caso de servidores con información muy relevante y de dispositivos de gestión de red, se deben mantener unos buenos esquemas de seguridad de ficheros, usuarios y aplicaciones, así como de servicios de red controlados desde tales sistemas. 2. Sistemas de identificación o autenticación seguros. Hay muchos y muy razonables, desde las contraseñas hasta los sistemas biométricos, certificados digitales, tarjetas de identificación o distintas combinaciones. Se pueden usar tanto para acceso local a dispositivos como para acceso remoto. 3. Sistemas de cortafuegos (o firewalls). Sistemas de control de la información en forma de mensajes que entran o salen de una red. Son muy populares hoy en día y los hay de muchos tipos distintos. 4. Sistemas criptográficos. Son sistemas que permiten, de varias formas distintas, mantener la integridad y la autenticación de mensajes o datos, así como la privacidad o confidencialidad de los mismos. Finalmente, como se verá, se integran en protocolos y parte de distintos sistemas operativos y aplicaciones, que usan algoritmos criptográficos suficientemente probados. 5. Sistemas antivirus. Son aplicaciones locales, o distribuidas, que permiten defenderse de los virus informáticos, nombre que reciben algunas aplicaciones utilizadas para cualquiera de los ataques citados más arriba y que se explorarán en más detalle a lo largo del libro. 6. Sistemas de análisis de vulnerabilidades. Son aplicaciones que permiten buscar en sistemas y aplicaciones instaladas distintos bugs o vulnerabilidades conocidas, para decidir si se corrigen (parchean), se cambian de versión o se dejan como están. 7. Sistemas de detección de intmsiones. Son sistemas o aplicaciones que permiten, en tiempo real, detectar determinados tipos de ataques y alertar sobre ellos, a la vez que, en algunos casos, pueden pararlos.

29 DESCRIPCI~N DEL PROBLEMA DE LA SEGURIDAD EN LAS COMUNICACIONES Una vez conocidos los ataques y las posibles defensas, se deberá decidir qué defensas se eligen frente a que ataques, pero aún no se puede del todo, faita todavía una última pregunta más, bastante delicada: D) Cuánto dinero se puede emplear en implantar y mantener el sistema de seguridad? La seguridad en las comunicaciones puede ser más o menos completa, pero siempre tiene un componente (como cualquier problema de seguridad) económico. Se debe tener en cuenta el dinero (o recursos de todo tipo) que van a ser empleados en cada una de las siguientes tareas; 1. Adquisición de herramientas hardware y sofrware, que implementen algunas de las defensas citadas. 2. El tiempo empleado en configurarlas y educar a los usuarios en su uso. 3. El tiempo empleado en la administración, mantenimiento y reconfiguración para permitir nuevos servicios, auditar las herramientas, etc. 4. El tiempo empleado, en muchos casos, en volver a una situación estable, después de la inconveniencia para los usuarios de alguno de los nuevos sistemas. Así pues, resumiendo, para tratar de enfocar el problema con acierto se debe tener cuanto más conocimiento mejor de qué se puede perder, qué se quiere proteger, de quién se quiere proteger, quién puede querer atacar, cómo pueden ser los ataques, cuáles pueden ser las defensas y cuánto se puede invertir. Finalmente, se debería tratar de condensar todo este conocimiento en un análisis de riesgos que, de manera condensada, tendría 4 puntos clave: 1. Valorar los activos 2. Entender todas las posibles amenazas. 3. Monitorizar y conocer todas las debilidades y vulnerabilidades del sistema. 4. Tratar de poner en marcha todas las medidas posibles para disminuir la probabilidad de tener perdidas SOLUCIONES APARENTEMENTE PERFECTAS Y SOLUCIONES RAZONABLES Aunque este capítulo es únicamente descriptivo (como su nombre indica), ya se ha visto qué tipos de problemas se pueden encontrar para asegurar, en lo posible, las redes. Éstos son realmente complejos y con muchas connotaciones físicas y lógicas.

30 32 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN Contra problemas tan complejos como éstos se puede hacer una aproximación completa, en el sentido de tratarlos como problemas científicos, estudiarlos de manera analítica, teniendo como objetivo que, en el sistema concreto, la probabilidad de sufrir un ataque sea lo más cercana a cero. A esta aproximación, que ahora se va a desarrollar, se le da el nombre de aproximación militar. Tal aproximación, que sería perfecta si lograra su objetivo -probabilidad de sufrir un ataque igual a cer* pasa por cumplir y hacer cumplir una serie de requisitos formidables sobre todas las partes de la organización que va a ser asegurada y lleva a tomar una serie de decisiones de mucho peso, como por ejemplo: No aceptación de ningún código de aplicación no desarrollado siguiendo las propias normas de seguridad. No aceptación de ningún sistema operativo no suficientemente comprobado, lo que suele querer decir, tecnología menos moderna. No aceptación de ninguna actualización de ningún sistema operativo hasta que hubiera pasado un margen suficiente de xexposiciónn al mundo real como para estar stranquilos~. No conectarse a Intemet o, si ya se estuviese conectado, desconectarse de ella y constituir una red propia. Hay organizaciones, como los ejércitos, algunos sistemas del transporte ferroviario japonés, proyectos de investigación de tecnología militar, etc., que tienden a esta solución perfecta, pero la mayoría de las organizaciones de cualquier otro tipo no suelen ah-ontar el problema de la seguridad de las comunicaciones de esa manera, debido al altísimo coste económico que tiene, no suele ser un lujo al alcance de cualquiera y, en el caso del comercio electrónico, se podría decir que de nadie. Para cualquiera que lea una revista de informática actual, podría parecerle que con la cantidad de herramientas disponible de todo tipo, esto no debería ser así; pero conviene recordar que la seguridad no es un producto, sino un proceso, en el que están involucrados desde sistemas software y hardware, redes, aplicaciones, organizaciones y personas. La criptografía, por ejemplo, no ha sido nunca en su historia tan potente y nunca ha sido tan fácilmente burlada como hoy en día. Existen muchas herramientas, pero hay que saber usarlas, no solo en el sentido de configurarlas, sino en el sentido de dirigirlas en el sentido adecuado, con la estrategia válida, que, por supuesto, tiene que tener en cuenta el componente económico. En este sentido es en el que se habla de una aproximación realista, en la cual se tienen en cuenta todos los factores citados en el apartado anterior, pero también el de no gastarse todo el presupuesto de la organización y sus recursos, que debe seguir funcionando y cumpliendo sus objetivos, sean éstos

31 DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN LAS COMUNICACIONES de negocio (telecomunicaciones, financieros, energéticos, etc.) o públicos (sanidad, transporte, educación, etc.). Y en el marco de esta aproximación se define lo que se denomina poiítica de seguridad. Siguiendo los criterios más comúnmente aceptados, como los del KIETF Site Security Handbook~, se puede definir la política de seguridad como:.una serie de sentencias formales (normas) que deben cumplir todas las personas que tengan acceso a cualquier información y10 tecnología de una organización. B El propósito principal de una política de seguridad es informar a los usuarios, trabajadores y personal de dirección de los requisitos obligatorios para proteger los valores tecnológicos e información de la empresa. La política debería especificar los mecanismos a través de los cuales estos requisitos puedan ser conocidos. Otro propósito es proporcionar una base para adquirir, configurar y auditar los sistemas de ordenadores y las redes. Por tanto, emplear un conjunto de herramientas de seguridad sin una política de seguridad implícita, no tendría mucho sentido. Una buena política de seguridad debe cumplir una serie de normas generales, una vez más, de sentido común: 1. Debe poderse implantar. Como consecuencia de ella, se deben tener unas normas de comportamiento para los usuarios y administradores, unas «políticas de uso aceptable,,. 2. Debe entenderse. Debería de explicarse a todo el personal de la organización el alcance de no cumplirla, así como el significado técnico y legal de una serie de conceptos que se irán analizando en detalle en el libro, como confidencialidad, integridad, identificación, autenticación, etc. 3. Debe cumplirse. Debe contemplar una serie de procedimientos de auditoria, para comprobar que no es.papel mojado., sino que está, realmente, cumpliéndose. Debe contemplar, igualmente, sanciones adecuadas a cada una de las posibles infracciones. En este sentido, es muy importante señalar que debe estar respaldada completamente por la dirección de la organización, sin tal apoyo nunca se puede llevar a cabo. 4. Debe definir responsabilidades. No puede ser igual el papel de un usuario que el de un administrador de una gran red, en el sentido de las distintas responsabilidades. 5. Debe permitir que siga realizándose el trabajo normal. Si no fuera así, se estaría en la aproximación militar: no se permite un nuevo ser-

32 34 SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACION vicio, hasta que sea completamente seguro. Debe oh-ecerse seguridad, pero no al precio de que no funcione la empresa. Debe implicar un análisis de riesgos, teniendo en cuenta el precio de la seguridad frente a la probabilidad de pérdida. 6. Debe ser exhaustiva. Debe tener en cuenta todos los componentes del sistema, es decir, debe incluir como objetivos asegurar: Componentes físicos. Sistemas informáticos (ordenadores personales, portátiles, servidores, hosts, etc.) y su software. Aplicaciones en red de los sistemas. Sistemas de red (encaminadores, puentes, conmutadores, etc.) y su sofrware. Sistemas de gestión de red Organizaciones humanas, individuos, departamentos, divisiones, colaboradores externos, clientes, etc. 7. Debe incluir mecanismos de respuesta. Habrá que tener en cuenta qué se debe hacer al sufrir un ataque, cómo pararlo, cómo identificar al atacante y cómo responder al ataque. 8. Debe tener mecanismos de actualización. Esto es, simplemente, por el principio enunciado de que la seguridad es un proceso. Al descubrir mediante una auditoria por ejemplo, un fallo en el sistema de seguridad no contemplado en la política, hay que poder hacer una nueva versión de la misma e implementarla. Además, como se verá en el capítulo 6, hay que tener en cuenta muchos otros detalles importantes. No es este el momento de profundizar en ellos, pero su enumeración dará una idea de conjunto de su importancia: Contemplar el principio de privilegio mínimo necesario. El principio de defensa en profundidad, con la existencia de más de un nivel de defensas. El principio de diversidad de defensa, con la existencia de defensas de distintos tipos. Conocimiento permanente del punto débil de la organización Participación universal del personal de la organización. Simplicidad de los mecanismos de seguridad. Se debería pensar en la política de seguridad de un sistema como en la política de asuntos exteriores de un gobierno: define sus intenciones y sus objetivos y mantiene una consistencia en todas sus acciones, especialmente

33 de defensa ante las amenazas. Si no existieran amenazas, no haría falta ninguna política de seguridad. España la tiene como estado, pero Galicia, por ejemplo, no la necesita como parte del estado. Esta aproximación es, en el fondo, la aplicación (compleja a veces, sencilla otras veces) del sentido común al problema existente. Aún así, la mayor parte de las organizaciones en las que debería estar utilizándose no se hace. En las encuestas previamente citadas, se sigue teniendo alrededor de un 30% de los encuestados sin ninguna política de seguridad y un i70%! con una política de seguridad que reconocen que no se cumple, ni se mantiene. En el mundo actual, y se está haciendo día a día, la mayor parte de las organizaciones adoptarán, más tarde o temprano, una aproximación semejante. En España, el cumplimiento de leyes como la LOPD (Ley Orgánica de Protección de Datos) y la LSSICE (Ley de Servicios de la Sociedad de Información y Comercio Electrónico) está obligando ya a muchas empresas a poner en marcha esta aproximación. Solo se verá la solución perfecta (que nunca lo es del todo) en contadas ocasiones CONCLUSIONES Se ha hecho una descripción introductoria de cuál es el objetivo que se quiere definir y en el que se quiere profundizar a lo largo de este libro: Las redes de comunicaciones están presentes, hoy en día, en todos los sitios. Tales redes son, en realidad, complejos *sistemas de sistemas», formados por máquinas trabajando e interactuando entre sí, almacenando e intercambiando datos de todas clases, y usadas y gestionadas por seres humanos. Las máquinas, los sistemas y subsistemas exhiben una serie de propiedades que hacen que no sean completamente predecibles cuando trabajan solas o en comunicación, como por ejemplo los bugs, algunos de los cuales se traducen en problemas de falta de fiabilidad y precisión, otros en falta de seguridad. Tales problemas, unidos a una posible mala gestión técnica y la aceleración del trabajo del día a día, hacen que se hayan desarrollado, y lo sigan haciendo, todo tipo de ataques de obtención de información, de robo, sabotaje, denegación de servicio, etc. Todas las organizaciones están, de una manera u otra, expuestas a ese tipo de ataques, pero pocas tienen en cuenta algo más que sistemas de prevención que, como se ve todos los días en la vida real, no son sufi-

34 36 SECUNDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN ciente para parar tales ataques. Pocas tienen en cuenta temas como son los mecanismos de detección y respuesta. Para precisar más el problema, deben plantearse una serie de preguntas: Qué es lo que se quiere tener protegido? Contra quién se quiere proteger? Cómo se quiere proteger? Cuánto dinero se puede emplear en implantar y mantener el sistema de seguridad? que ayudarán a identificar muchos detalles necesarios, como los datos más importantes de la organización, el modelo de confianza en la organización, qué tipo de ataques se puede sufnr más probablemente, y a un análisis de riesgos, que permita abordar el problema con mucha más información. Se ha visto, también, la importancia que tiene, hoy en día, una buena política de seguridad, verdadero eje maestro del sistema de seguridad, modificable, implantable y resultado de una decisión consciente de la dirección, en un mundo en el que, raramente, se puede permitir el lujo de abordar el problema con el objetivo de que el ataque sea completamente imposible. Finalmente, hay que remarcar, otra vez, la idea de que la seguridad a aplicar a un sistema no es el resultado de una ecuación matemática, no se consigue comprando uno u otro producto, o ambos, ni contratando el mayor experto anti-hacker (o hacker) del mundo. Es un proceso complejo que debe apoyarse, obviamente, en las herramientas sofisticadas de seguridad de que se dispone actualmente, pero no deja de ser un proceso, que hay que vigilar, mantener y alimentar. En los siguientes capítulos, se explorará, ya con más detalle, muchos de estos aspectos descritos aquí, empezando por los elementos hardware y software habituales en las redes de comunicación, siguiendo con los métodos de ataque (se intentará entrar en la mente de un hacker), tratando de normalizarlos, y viendo sus posibles defensas, para llegar a una definición más exhaustiva de una buena política de seguridad en el capítulo 6 del libro. 1. Un bug es: a) Una consecuencia, imposible de evitar, del mal diseño de los compiladores actuales. b) Una herramienta de seguridad, diseñada para detectar problemas en las comunicaciones.

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Qué son y cómo combatirlas

Qué son y cómo combatirlas Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas

Más detalles

SEMANA 12 SEGURIDAD EN UNA RED

SEMANA 12 SEGURIDAD EN UNA RED SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

e-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.

e-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red. Comercio electrónico. (e-commerce) Las empresas que ya están utilizando la red para hacer comercio ven como están cambiando las relaciones de la empresa con sus clientes, sus empleados, sus colaboradores

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

Test de intrusión (Penetration Test) Introducción

Test de intrusión (Penetration Test) Introducción Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA Documento de trabajo elaborado para la Red Temática DocenWeb: Red Temática de Docencia en Control mediante Web (DPI2002-11505-E)

Más detalles

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,

Más detalles

Escritorio remoto y VPN. Cómo conectarse desde Windows 7

Escritorio remoto y VPN. Cómo conectarse desde Windows 7 Escritorio remoto y VPN. Cómo conectarse desde Windows 7 Hay ocasiones en las que es necesario conectarnos a un equipo informático situado a mucha distancia de donde nos encontramos para realizar sobre

Más detalles

Ley Orgánica de Protección de Datos

Ley Orgánica de Protección de Datos Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener

Más detalles

Un sistema adecuadamente refrigerado debe mantener una temperatura de 90 110 grados.

Un sistema adecuadamente refrigerado debe mantener una temperatura de 90 110 grados. Informáticas I 2. Protección de información y Hardware Debemos tomar medidas cuando usar computadoras no sólo para mantener nuestros archivos e identidad fuerte y segura, sino también nuestros equipos.

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Módulos: Módulo 1. El núcleo de Linux - 5 Horas

Módulos: Módulo 1. El núcleo de Linux - 5 Horas Módulos: Módulo 1 El núcleo de Linux - 5 Horas En este módulo se centrará en el estudio en profundidad del núcleo de Linux. Los estudiantes tendrán que ser capaces de conocer en profundidad los distintos

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

Infraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos

Infraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos Infraestructura Tecnológica Sesión 2: Mejoras adicionales al servidor de archivos Contextualización Los servidores como cualquier equipo de cómputo pueden contar con varias mejoras con las que se pueden

Más detalles

Operación Microsoft Windows

Operación Microsoft Windows Entornos de red Concepto de red En el nivel más elemental, una red consiste en dos equipos conectados entre sí mediante un cable de forma tal que puedan compartir datos. Todas las redes, no importa lo

Más detalles

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado

Más detalles

Infraestructura Tecnológica. Sesión 1: Infraestructura de servidores

Infraestructura Tecnológica. Sesión 1: Infraestructura de servidores Infraestructura Tecnológica Sesión 1: Infraestructura de servidores Contextualización La infraestructura de cualquier servicio o mecanismo es importante, define el funcionamiento de los elementos en que

Más detalles

SIEWEB. La intranet corporativa de SIE

SIEWEB. La intranet corporativa de SIE La intranet corporativa de SIE por ALBA Software Acceso a los servicios SIE desde páginas Web para los usuarios de sistema *. Administración del Sistema (cuentas de usuarios, permisos, servicios, etc...)

Más detalles

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad

Más detalles

RECETA ELECTRÓNICA Informe de Seguridad

RECETA ELECTRÓNICA Informe de Seguridad RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada

Más detalles

ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE

ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE MARZO 2007 Este documento contesta las preguntas más frecuentes que se plantean las organizaciones que quieren

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA Nuestra política de privacidad se aplica al uso de las aplicaciones informáticas de los siguientes medios de comunicación: LaTercera, LaCuarta,

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

ALOJAMIENTO DE SERVIDORES EN EL C.P.D.

ALOJAMIENTO DE SERVIDORES EN EL C.P.D. ALOJAMIENTO DE SERVIDORES EN EL C.P.D. Descripción del servicio. Los Servicios Informáticos ofrecen el servicio de housing o alojamiento de servidores en las instalaciones existentes de la planta sótano

Más detalles

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 1 de 12 Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 3 Bienvenida. 4 Objetivos. 5 Interacciones de Negocios

Más detalles

Dispositivos de Red Hub Switch

Dispositivos de Red Hub Switch Dispositivos de Red Tarjeta de red Para lograr el enlace entre las computadoras y los medios de transmisión (cables de red o medios físicos para redes alámbricas e infrarrojos o radiofrecuencias para redes

Más detalles

Análisis de los datos

Análisis de los datos Universidad Complutense de Madrid CURSOS DE FORMACIÓN EN INFORMÁTICA Análisis de los datos Hojas de cálculo Tema 6 Análisis de los datos Una de las capacidades más interesantes de Excel es la actualización

Más detalles

GATEWAYS COMO FIREWALLS

GATEWAYS COMO FIREWALLS GATEWAYS COMO FIREWALLS Ricardo Sánchez Q. Estudiante Ingeniería Telemática Aunque las empresas que han experimentado un ataque a su red por mano de usuarios no deseados, son recientes a hablar sobre sus

Más detalles

Aviso Legal. Entorno Digital, S.A.

Aviso Legal. Entorno Digital, S.A. Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos

Más detalles

Introducción a la Firma Electrónica en MIDAS

Introducción a la Firma Electrónica en MIDAS Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento

Más detalles

Sistemas de Gestión de Calidad. Control documental

Sistemas de Gestión de Calidad. Control documental 4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4

Más detalles

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

DECLARACIÓN DE PRIVACIDAD DE FONOWEB DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones

Más detalles

AGREGAR UN EQUIPO A UNA RED Y COMPARTIR ARCHIVOS CON WINDOWS 7

AGREGAR UN EQUIPO A UNA RED Y COMPARTIR ARCHIVOS CON WINDOWS 7 Tutoriales de ayuda e información para todos los niveles AGREGAR UN EQUIPO A UNA RED Y COMPARTIR ARCHIVOS CON WINDOWS 7 Como agregar a una red existente un equipo con Windows 7 y compartir sus archivos

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

El esquema lógico de la red de la empresa. Switch. PCs Windows 7. La descripción del funcionamiento de la red es el siguiente

El esquema lógico de la red de la empresa. Switch. PCs Windows 7. La descripción del funcionamiento de la red es el siguiente Ejercicio 1 DataIsFirst es una pequeña empresa que se dedica a proporcionar servicios de almacenamiento en bases de datos (BBDD) a clientes de terceras empresas. Su oficina central se localizada en el

Más detalles

LiLa Portal Guía para profesores

LiLa Portal Guía para profesores Library of Labs Lecturer s Guide LiLa Portal Guía para profesores Se espera que los profesores se encarguen de gestionar el aprendizaje de los alumnos, por lo que su objetivo es seleccionar de la lista

Más detalles

Notas para la instalación de un lector de tarjetas inteligentes.

Notas para la instalación de un lector de tarjetas inteligentes. Notas para la instalación de un lector de tarjetas inteligentes. Índice 0. Obtención de todo lo necesario para la instalación. 3 1. Comprobación del estado del servicio Tarjeta inteligente. 4 2. Instalación

Más detalles

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación Vicerrectorado de Tecnologías de la Información y la Comunicación Conexión mediante Escritorio Remoto de Windows Última Actualización 16 de septiembre de 2013 Histórico de cambios Fecha Descripción Autor

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

2. QUE ENTENDEMOS POR COMERCIO ELECTRONICO

2. QUE ENTENDEMOS POR COMERCIO ELECTRONICO 1. INTRODUCCION. LA TECNOLOGIA AVANZA MAS RAPIDO QUE LA LEGISLACION. ES NECESARIO QUE EXISTA SEGURIDAD Y PRIVACIDAD PARA LOGRAR CONFIANZA: DE CONSUMIDORES Y EMPRESAS EN EL MEDIO. 1 2. QUE ENTENDEMOS POR

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Normas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura

Normas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura Vicerrectorado de Tecnología de la Información y las Comunicaciones Normas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura Febrero 2008 Tabla de contenido 1 Antecedentes

Más detalles

Oficina Online. Manual del administrador

Oficina Online. Manual del administrador Oficina Online Manual del administrador 2/31 ÍNDICE El administrador 3 Consola de Administración 3 Administración 6 Usuarios 6 Ordenar listado de usuarios 6 Cambio de clave del Administrador Principal

Más detalles

Tecnología IP para videovigilancia... Los últimos avances han hecho posible conectar cámaras directamente a una red de ordenadores basada en el

Tecnología IP para videovigilancia... Los últimos avances han hecho posible conectar cámaras directamente a una red de ordenadores basada en el para videovigilancia....... Los últimos avances han hecho posible conectar cámaras directamente a una red de ordenadores basada en el protocolo IP. La tecnología de las cámaras de red permite al usuario

Más detalles

Introducción a las redes de computadores

Introducción a las redes de computadores Introducción a las redes de computadores Contenido Descripción general 1 Beneficios de las redes 2 Papel de los equipos en una red 3 Tipos de redes 5 Sistemas operativos de red 7 Introducción a las redes

Más detalles

DE VIDA PARA EL DESARROLLO DE SISTEMAS

DE VIDA PARA EL DESARROLLO DE SISTEMAS MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso

Más detalles

NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)

NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.) NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.) Normas de Uso Aceptable y Seguridad de la Red de datos de la Universidad Autónoma de Madrid (U.A.M.)

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

COMERCIO ELECTRÓNICO UNA INTRODUCCIÓN GENERAL

COMERCIO ELECTRÓNICO UNA INTRODUCCIÓN GENERAL This project funded by Leonardo da Vinci has been carried out with the support of the European Community. The content of this project does not necessarily reflect the position of the European Community

Más detalles

V Estudio CRM en España. Resultados cuantitativos

V Estudio CRM en España. Resultados cuantitativos V Estudio CRM en España Resultados cuantitativos El concepto CRM en este estudio El cambio de formato No se ha llevado a cabo una encuesta masiva (en el anterior estudio fueron aproximadamente 200 respuestas).

Más detalles

Teléfono: +34-96-398-5300 Telefax: +34-96-196-1781 Email: csirtcv@gva.es https://www.facebook.com/csirtcv https://twitter.

Teléfono: +34-96-398-5300 Telefax: +34-96-196-1781 Email: csirtcv@gva.es https://www.facebook.com/csirtcv https://twitter. Como identificar phishing Sobre CSIRT-cv CSIRT-cv es el Centro de Seguridad TIC de la Comunitat Valenciana. Nace en junio del año 2007, como una apuesta de la Generalitat Valenciana por la seguridad en

Más detalles

ATAQUE Y CONTRAMEDIAS

ATAQUE Y CONTRAMEDIAS Unidad 3 4-5 3. AUTENTICACIÓN 4. CONTROL DE ACCESO 5. ATAQUE Y CONTRAMEDIAS jun-10 M.C. Gustavo A. Gutiérrez Carreón DEFINICIÓN AUTENTICACIÓN Autenticación o autentificación es el acto de establecimiento

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

TELEPROCESOS Y SISTEMAS DISTRIBUIDOS

TELEPROCESOS Y SISTEMAS DISTRIBUIDOS TELEPROCESOS Y SISTEMAS DISTRIBUIDOS Semana 11 Integrantes: Cantera Salazar, Julissa A. Yalico Tello, Diana Accho Flores, Wilber En una red Trabajo en Grupo se puede compartir, o hacer disponibles a través

Más detalles

Gestión de la Configuración

Gestión de la Configuración Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de

Más detalles

Elementos requeridos para crearlos (ejemplo: el compilador)

Elementos requeridos para crearlos (ejemplo: el compilador) Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción

Más detalles

TERMINOS DE USO DE LOS SITIOS WEB PROPIEDAD DE COMERCIALIZADORA SIETE S.A. DE C.V

TERMINOS DE USO DE LOS SITIOS WEB PROPIEDAD DE COMERCIALIZADORA SIETE S.A. DE C.V TERMINOS DE USO DE LOS SITIOS WEB PROPIEDAD DE COMERCIALIZADORA SIETE S.A. DE C.V El sitio web www.gruposiete.com.mx es propiedad de Comercializadora Siete S.A de C.V. Este sitio como todos aquellos que

Más detalles

2. Gestionar dispositivos de almacenamiento, describir los procedimientos efectuados y aplicar técnicas para asegurar la integridad de la información.

2. Gestionar dispositivos de almacenamiento, describir los procedimientos efectuados y aplicar técnicas para asegurar la integridad de la información. 0226. SEGURIDAD INFORMÁTICA Atendiendo a lo establecido en la Orden de 7 de julio de 2009 (BOJA núm. 165 de 25 de agosto), que desarrolla el currículo correspondiente al título de Técnico en Sistema Microinformáticos

Más detalles

UNIVERSIDAD DE SALAMANCA

UNIVERSIDAD DE SALAMANCA UNIVERSIDAD DE SALAMANCA FACULTAD DE CIENCIAS INGENIERÍA TÉCNICA EN INFORMÁTICA DE SISTEMAS Resumen del trabajo práctico realizado para la superación de la asignatura Proyecto Fin de Carrera. TÍTULO SISTEMA

Más detalles

Interoperabilidad de Fieldbus

Interoperabilidad de Fieldbus 2002 Emerson Process Management. Todos los derechos reservados. Vea este y otros cursos en línea en www.plantwebuniversity.com. Fieldbus 201 Interoperabilidad de Fieldbus Generalidades Qué es interoperabilidad?

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Resumen del trabajo sobre DNSSEC

Resumen del trabajo sobre DNSSEC Resumen del trabajo sobre Contenido 1. -...2 1.1. - Definición...2 1.2. - Seguridad basada en cifrado...2 1.3. - Cadenas de confianza...3 1.4. - Confianzas...4 1.5. - Islas de confianza...4 2. - Conclusiones...5

Más detalles

Condiciones de servicio de Portal Expreso RSA

Condiciones de servicio de Portal Expreso RSA Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

INFORME UCSP Nº: 2011/0070

INFORME UCSP Nº: 2011/0070 MINISTERIO DE LA POLICÍA CUERPO NACIONAL DE POLICÍA COMISARÍA GENERAL DE SEGURIDAD CIUDADANA INFORME UCSP Nº: 2011/0070 FECHA 07/07/2011 ASUNTO Centro de control y video vigilancia integrado en central

Más detalles

David Erosa García Programador del C.G.A. de la D.G. de Innovación Educativa y Formación del Profesorado. Consejería de Educación, Junta de Andalucía

David Erosa García Programador del C.G.A. de la D.G. de Innovación Educativa y Formación del Profesorado. Consejería de Educación, Junta de Andalucía CENTRO DE GESTIÓN AVANZADO (C.G.A.) : LA GESTIÓN CENTRALIZADA DE LOS ORDENADORES DE LOS CENTROS TIC S DE LA CONSEJERÍA DE EDUCACIÓN DE LA JUNTA DE ANDALUCÍA Director del C.G.A. y jefe del Departamento

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo

Más detalles

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD Fecha última revisión: Diciembre 2010 Tareas Programadas TAREAS PROGRAMADAS... 3 LAS TAREAS PROGRAMADAS EN GOTELGEST.NET... 4 A) DAR DE ALTA UN USUARIO...

Más detalles

Buenas Prácticas en Correo Electrónico

Buenas Prácticas en Correo Electrónico Buenas Prácticas en Correo Electrónico Ataques mas frecuentes que se realizan por Correo Electrónico Tomado de: http://ceds.nauta.es/bpcorreo.ppt Modificado por Lidia Guerra Prevenir los problemas Actos

Más detalles

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN 28 6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN 6.1 Responsabilidad general Las empresas o profesionales que ofrezcan servicios de la sociedad de la información

Más detalles

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS Seguridad de los datos - Virus / Malware / Antivirus Seguridad de la información Son técnicas y actividades destinadas a preservar

Más detalles

Redes de Área Local: Configuración de una VPN en Windows XP

Redes de Área Local: Configuración de una VPN en Windows XP Redes de Área Local: Configuración de una VPN en Windows XP Tatiana Echegoyen Blasco Facultad de Informática UPV - Curso 2005/2006 Índice 1. Qué es una VPN?...2 2. Cómo funciona una VPN?...2 3. Por qué

Más detalles

Cuándo y qué virtualizar? Cuándo y qué virtualizar? 1

Cuándo y qué virtualizar? Cuándo y qué virtualizar? 1 Cuándo y qué virtualizar? Cuándo y qué virtualizar? 1 Por qué surge la virtualización? En proyectos de infraestructuras informáticas muchos responsables de IT se sienten más confortables con diseños basados

Más detalles

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA Para generar una transmisión segura de datos, debemos contar con un canal que sea seguro, esto es debemos emplear técnicas de forma que los datos que se envían de una

Más detalles

copias de seguridad remota (backup online)

copias de seguridad remota (backup online) copias de seguridad remota (backup online) 1 Descripción 2 3 10 razones para elegir Serviweb Backup Contacto * Los precios de este documento no incluyen I.V.A. Descripción: Las Copias de Seguridad son

Más detalles

5 razones por las que NO DEBERÍAS ABRIR UNA TIENDA ONLINE

5 razones por las que NO DEBERÍAS ABRIR UNA TIENDA ONLINE 5 razones por las que NO DEBERÍAS ABRIR UNA TIENDA ONLINE Cómo has llegado hasta aquí (y si aún estás a tiempo de darte la vuelta) Si estás pensando en abrir una tienda online, es posible que te encuentres

Más detalles

Todos los derechos están reservados.

Todos los derechos están reservados. Este documento y todos su contenido, incluyendo los textos, imágenes, sonido y cualquier otro material, son propiedad de ISMS Forum o de algún organismo vinculado a ésta, o de terceros que hayan autorizado

Más detalles

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad

Más detalles

MANUAL COPIAS DE SEGURIDAD

MANUAL COPIAS DE SEGURIDAD MANUAL COPIAS DE SEGURIDAD Índice de contenido Ventajas del nuevo sistema de copia de seguridad...2 Actualización de la configuración...2 Pantalla de configuración...3 Configuración de las rutas...4 Carpeta

Más detalles

G R U P O S INDICE Cómo crear una cuenta en ARQA? Cómo tener un grupo en ARQA? Secciones y funcionalidades de los grupos Configuración del grupo

G R U P O S INDICE Cómo crear una cuenta en ARQA? Cómo tener un grupo en ARQA? Secciones y funcionalidades de los grupos Configuración del grupo INDICE Cómo crear una cuenta en ARQA? 4 Cómo tener un grupo en ARQA? 5 Secciones y funcionalidades de los grupos 6 Muro del Grupo 6 Compartir Textos 8 Compartir Imágenes 9 Compartir videos 10 Compartir

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Tema II Comercio Electrónico 2.1 Concepto de e-commercee

Tema II Comercio Electrónico 2.1 Concepto de e-commercee UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE CONTADURIA Y ADMINISTRACIÓN Construcción de sitios web comerciales Tema II Comercio Electrónico 2.1 Concepto de e-commercee Presenta: ING. y M.A.. RENÉ

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Políticas: Servicio de Computo de Alto Rendimiento

Políticas: Servicio de Computo de Alto Rendimiento Políticas: Servicio de Computo de Alto Rendimiento La Coordinación General de Tecnologías de Información a través de la Unidad de Apoyo a la Academia y la Investigación, ha definido políticas para el servicio

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Bechtle Solutions Servicios Profesionales

Bechtle Solutions Servicios Profesionales Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora

Más detalles

Monitorización y gestión de dispositivos, servicios y aplicaciones

Monitorización y gestión de dispositivos, servicios y aplicaciones Monitorización y gestión de dispositivos, servicios y aplicaciones Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefa del Servicio de Informática - Secretaría General Técnica

Más detalles

Modelo de Política de Privacidad

Modelo de Política de Privacidad Queda prohibido cualquier tipo de explotación y, en particular, la reproducción, distribución, comunicación pública y/o transformación, total o parcial, por cualquier medio, de este documento sin el previo

Más detalles

Internet aula abierta

Internet aula abierta MINISTERIO DE EDUCACIÓN Y CIENCIA SECRETARÍA GENERAL DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE EDUCACIÓN, FORMACIÓN PROFESIONAL E INNOVACIÓN EDUCATIVA CENTRO NACIONAL DE INFORMACIÓN Y COMUNICACIÓN

Más detalles

Arquitectura de sistema de alta disponibilidad

Arquitectura de sistema de alta disponibilidad Mysql Introducción MySQL Cluster esta diseñado para tener una arquitectura distribuida de nodos sin punto único de fallo. MySQL Cluster consiste en 3 tipos de nodos: 1. Nodos de almacenamiento, son los

Más detalles

Enkarga.com LLC. Política de privacidad

Enkarga.com LLC. Política de privacidad Enkarga.com LLC. Política de privacidad Esta declaración de privacidad explica qué información recopilamos de usted se utiliza al ordenar productos Enkarga.com LLC y cuando usted visita nuestros sitios.

Más detalles

Normativa de Hosting Virtual de la Universidad de Sevilla

Normativa de Hosting Virtual de la Universidad de Sevilla Normativa de Hosting Virtual de la Universidad de Sevilla (SIC - Julio 2010) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

Políticas para Asistencia Remota a Usuarios

Políticas para Asistencia Remota a Usuarios Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta

Más detalles

Inteligencia aplicada a la protección de infraestructuras

Inteligencia aplicada a la protección de infraestructuras Inteligencia aplicada a la protección de infraestructuras En la última década, la mayor conciencia sobre las amenazas potenciales hacia la seguridad sobre las personas y las infraestructuras han hecho

Más detalles