Como Diseñar Una Política De Red.

Antes de construir una barrera de protección, como preparación para conectar una

red con el resto de Internet, es importante que se entienda con exactitud que recursos

de red y servicios hay que proteger. Una política de red es un documento que describe

los asuntos de seguridad de red de una organización. Este documento se convierte en

el primer paso para construir barreras de protección efectivas. Deben tenerse en

cuenta, la planificacion de seguridad de la red, la política de seguridad del sitio y el

análisis de riesgos; cómo identificar los recursos y amenazas, uso de la red y

responsabilidades y planes de acción cuando la política de seguridad ha sido violada.

3.1. Planeación De La Seguridad En La Red

Un aspecto fundamental de toda estrategia de seguridad de la información es

disponer de unos principios y objetivos claramente identificados y definidos. Bajo el

concepto de política de seguridad se engloba el desarrollo normativo y

procedimental de las prácticas de seguridad de la Organización. Desde el

establecimiento del apoyo por parte de la Dirección a través de la Declaración de la

Política de Seguridad, pasando por la redacción de las normativas, estándares,

procedimientos e instrucciones, GMV proporciona el conocimiento y experiencia

necesarios para garantizar la correcta publicación, difusión y concienciación

características de un buen Gobierno de la Seguridad.

El Plan de Seguridad determina las acciones, controles y proyectos adecuados para

alcanzar a corto y medio plazo la seguridad apropiada para una Organización. Uno

de sus principales objetivos es encontrar un equilibrio entre las necesidades, la

viabilidad tecnológica y los recursos humanos, y económicos de una Organización.

Para la consecución de este objetivo el Plan de Seguridad se realiza

fundamentalmente en tres fases. Una de captación de requisitos y análisis, otra de

consolidación de los resultados y una final correspondiente a la planificación de

acciones y proyectos.

3.2. Política De Seguridad Del Sitio.

La política de seguridad del sitio es una política global destinada a la protección de

los recursos de información de la organización. Incluye desde escáners hasta el

acceso remoto a unidades de discos. Es una política de alto nivel que especifica

lineamientos y requerimientos generales como por ejemplo:

La información es vital para la economía de la organización

Se realizará todo esfuerzo rentable para asegurar la confidencialidad,

integridad, autenticidad, disponibilidad y utilidad de la información,

La protección de la confidencialidad, integridad, y disponibilidad de

recursos de información es prioridad de todos los empleados en todos los

niveles de la compañía

A partir de esta política de seguridad surgen políticas específicas del sitio que cubren

el acceso físico a la propiedad, acceso general a sistemas de información y acceso

específico a los servicios de esos sistemas. La política de acceso a servicios de red es

formulada en este nivel.

3.3. Planteamiento De La Política De Seguridad

Definir una política de seguridad de red significa desarrollar procedimientos y planes

que salvaguarden los recursos de la red contra pérdidas y daños. En general, el costo

de proteger las redes de una amenaza debe ser menor que el costo de la

recuperación. Si no se tiene el conocimiento suficiente de lo que desea proteger y de

las fuentes de la amenza, lograr un nivel aceptable de seguridad sera difícil. Es

importante involucrar al tipo adecuado de presonas en el diseño de la política de

seguridad de red. Tal vez tenga ya grupos de usuarios que podrían considerar que su

especialidad es la implantación de una política de seguridad en red. Estos grupos

podrían incluir a aquellos involucrados con control de auditoría, grupos de sistemas

de información de campo y organizaciones relacionadas con la seguridad física.

3.4. Cómo Asegurar La Responsabilidad De Una Política De

Seguridad

Es difícil para una política de seguridad de red anticipar todas las amenazas posibles.

La política puede, sin embargo, garantizar que cada tipo de problema tiene a alguien

que puede manejarlo de manera responsable. Así mismo, pueden existir varios niveles

de responsabilidad asociados con una política de seguridad de red. Cada usuario de

la red, por ejemplo, deberá ser responsable resguardar su contraseña. Un usuario que

pone en riesgo su cuenta aumenta la probabilidad de comprometer otras cuentas y

recursos. Por otro lado, los administradores de red y de sistema son responsables de

mantener la seguridad general de la red.

Un análisis de riesgos implica determinar lo siguiente:

Qué necesita proteger

De quién debe protegerlo

Cómo protegerlo

Los riesgos se clasifican por el nivel de importancia y por la severidad de la pérdida.

Ud., no debe llegar a una situación donde gasta más para proteger aquello que es

menos valioso. En el análisis de riesgos es necesario determinar los sgtes. Factores:

1. Estimación del riesgo de pérdida de recurso (Ri)

2. Estimación de la importancia del recurso (Wi)

Para la cuantificación del riesgo de perder un recurso, es posible asignar un valor

numérico. Por ejemplo al riesgo (Ri) de perder un recurso se le asigna un valor de

cero a diez, donde cero indica que no hay riesgo y diez es el riesgo más alto. De

manera similar, a la importancia de un recurso (Wi) también se le puede asignar un

valor de cero a diez, donde cero significa que no tiene importancia y diez es la

importancia más alta. La evaluación general del riesgo será entonces el producto

numérico del valor del riesgo y su importancia. Esto puede escribirse como sigue:

Wri= Ri*Wi

Wri= Peso del riesgo del recurso "i"

Ri= Riesgo del recurso "i"

Wi= Importancia de recurso "i"

En una red simplificada con un enrutador, un servidor y un puente. Suponga que en

esta red y los administradores de sistemas han producido las estimaciones siguientes

para el riesgo y la importancia de los dispositivos de red.

Servidor:

R3=10

W3=1

El cálculo de los recursos evaluados de estos dispositivos se muestra a continuación:

Ruteador:

WR1= R1*W1=6*.7=4.2

Puente:

WR2=R2*W2=6*0.3=1.8

Servidor:

WR3=R3*W3=10*1=10

Con la siguiente fórmula es posible calcular el riesgo general de los recursos de la

red:

WR= (R*Wi + R2*W2 +.......) / (Wi + W2 +......Wn)

El cálculo del riesgo general es el sgt.:

WR= (R1*W1 +R2*W2 +R3*W3) / (W1+W2+W3)

= (4.2 + 1.2 +10 ) / (0.7 +0.3+1 )

= 15.4/2

= 7.7

3.5. Análisis De Riesgos

El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus

siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles

amenazas y probables eventos no deseados y los daños y consecuencias que éstas

puedan producir.

Este tipo de análisis es ampliamente utilizado como herramienta de gestión en

estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y

otras para evaluar riesgos (generalmente de naturaleza cuantitativa).

El primer paso del análisis es identificar los activos a proteger o evaluar. La

evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el

proceso de análisis con criterios de riesgo establecidos previamente.

La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de

consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que

permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.

Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos

para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones

que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento

y ejecutarlos.

Métodos de análisis de riesgo

Método Mosler o Navarrete

Método cuantitativo mixto

Método cuantitativo

HACCP

Safety IntegrityLevel

3.6. Cómo Identificar Los Recursos

Al realizar un análisis de riesgo se deben identificar todos los recursos cuya

seguridad está en riesgo de ser quebrantada, estos recursos en red son:

Hardware (procesador, terminal de trabajo, computadoras personales,

impresoras, servidores, enrutadores, etc.)

Software (programas fuentes, sistema operativo, programas de

comunicación, etc.)

Datos (almacenados en línea, apoyos, base de datos)

Gente (usuarios, personal de sistema)

Documentación (sobre programas, hardware, sistemas)

Accesorios (papel,cinta,informacion grabada)

3.7. Cómo Identificar Las Amenazas

Tiene como objetivo ayudarle a identificar y detectar las amenazas que existan en la

red

3.8. Uso De La Red Y Responsabilidad

Comprende diversos aspectos importantes tales como:

¿a quién se le permite utilizar los recursos?

¿Cuál es el uso correcto de los recursos?

¿Quién está autorizado para garantizar acceso y aprobar el uso?

¿Quién debe tener privilegios de administración de sistema?

¿Cuáles son los derechos y responsabilidad de los usuarios?

3.9. Cómo Identificar A Quién Se Le Permite Utilizar Los

Recursos De La Red

Se puede hacer una lista de usuarios que requieren ingresar a los recursos de la red.

La mayoría de los usuarios de la red se divide en grupos como usuario de cuenta,

abogados corporativos, ingenieros, etc.

También se puede incluir una clase de usuarios llamados usuarios externos.

3.10. Plan De Acción Cuando La Política De Seguridad Ha Sido

Violada

El plan de política de seguridad debe evitar fallos en el sistema.

Sin importar que política de seguridad que utilizes, es muy probable a que ser

violada, para lo cual a ser violada y lo detectes debe clasificar si la violación por una

negligencia personal, un accidente o un error, ignorancia de la política actual o

ignorancia deliberada a la política

Cuando la seguridad ha sido violada el plan de acción es tratar de realizar una

investigación de violación de seguridad, y como o porque ocurrió.

3.11. Selección De La Política De Control

Los controles que seleccione son la primera línea de defensa que en la red.

Los mismos deberían estar enfocados lo que se intenta proteger como fue definido en

la política de seguridad.

3.12. Detectar Y Vigilar La Actividad No Autorizada

Es necesario establecer herramientas y software de seguridad, para el uso no

autorizado de sistemas de cómputo.

3.13. Vigilar El Uso Del Sistema

El administrador de dicho sistema debe implantar software de vigilancia de sistemas,

que los cual incluye la vigilancia de forma regular y no a cada semana o mes; así

como examinar la entrada y salida de datos a la red o sistema.

3.14. Vigilar Los Mecanismos

Tener recursos de registros al sistema es necesario para verificar los registros que

producen estas herramientas para detectar errores inusuales en los mensajes desde

el software al sistema.

Utilizar barras de protección para obtener un registro del acceso a la red.

3.15. Proteger Las Conexiones De La Red

La conexión en la red se puede proteger estableciendo dispositivos de barrera de

protección, así como enrutadores de selección. Cabe destacar que el sistema de

barrera de protección no es una garantía contra el ataque de un intruso hábil.

3.16. Utilizar La Encriptación Para Proteger La Red

Para la protección es preciso utilizar encriptación o cifrado. Se trata de proteger la

red contra los intrusos encriptando, cifrando o codificando la red. Los routers

inalámbricos suelen llevar la función de encriptación desactivada y, por tanto se

tiene que activar.

Hay dos tipos principales de encriptación:

Acceso Protegido para Transferencia Inalámbrica de Datos o WPA (Wi-

Fi Protected Access)

Equivalencia de Privacidad Inalámbrica o WEP (Wired Equivalent

Privacy).

El WPA es conocido como el sistema de encriptación más efectivo pero el WEP

también está muy extendido.

Para proteger la red es imprescindible instalar software antivirus y spyware

antiespías actualizados permanentemente y, adicionalmente, tener activado el

firewall. Lo ideal es colocar un firewall de hardware entre la red Wireless y el

ordenador, pero adicionalmente hay que seguir una serie de preocupaciones:

Cambiar la contraseña predeterminada de instalación del enrutador.

no emitir el nombre de SSID (Service Set IDentifier) que traen de fábrica

los modem inalambricos.

no poner nombre a la red Wireless que permita identificar su actividad.

alejar el modem Wireless de los lugares más próximos al exterior como

balcones, terrazas o ventanas.

Dar acceso solo a ordenadores concretos. Cada ordenador habilitado para

comunicarse con una red tiene asignada una dirección exclusiva de

Control de Acceso a Medios o MAC (Media Access Control). Generalmente,

los enrutadores inalámbricos tienen un mecanismo que permite que

solamente los aparatos con una dirección MAC particular puedan acceder

a la red. Algunos hackers han imitado domicilios MAC, por lo tanto no se

confíe solamente en esta medida de protección.

Apagar la red inalámbrica cuando no se este utilizando.

Evitar redes inalámbricas públicas

3.17. Utilizar Kerberos

Kerberos es un protocolo de seguridad creado por MIT que usa una criptografía de

claves simétricas [1] para validar usuarios con los servicios de red — evitando así

tener que enviar contraseñas a través de la red. Al validar los usuarios para los

servicios de la red por medio de Kerberos, se frustran los intentos de usuarios no

autorizados que intentan interceptar contraseñas en la red.

Kerberos se basa en criptografía de clave simétrica y requiere un tercero de

confianza. Además, existen extensiones del protocolo para poder utilizar criptografía

de clave asimétrica

3.18. Mantenerse Actualizado

El personal del sistema debe mantenerse actualizados en asuntos de seguridad y

problemas, para que dicha organización trabaje de modo satisfactorio.

3.19. Listas De Correo

Las listas de correo electrónico son un uso especial del correo electrónico que permite

la distribución masiva de información entre múltiples usuarios de Internet a la

misma vez. En una lista de correo se escribe un correo a la dirección de la lista (ej:

silet@correo.org) y le llega masivamente a todas las personas inscritas en la lista,

dependiendo de como esté configurada la lista de correo, el receptor podrá o no tener

la posibilidad de enviar correos.

A veces se emplean listas de miles o incluso millones de direcciones de correo

electrónico para el envío de correo no deseado o spam.

Las listas de correo electrónico suelen funcionar de forma automática mediante el

uso de un gestor de listas de correo y una dirección de correo electrónico capaz de

recibir mensajes de correo electrónico (la dirección de correo de la lista).

En el modo individual, el usuario de la lista recibe todos los mensajes que han pasado

a formar parte de la misma.

En el modo resumen diario (digest en inglés) se recibe un solo mensaje que

incluye todos los mensajes incorporados a la lista en un día.

En el modo no correo el usuario no recibe los mensajes que se envían a la

lista pero puede enviar mensajes a la misma. Esta modalidad que tiene por

finalidad no saturar el buzón de correo del usuario suele ir acompañada

de la posibilidad de consultar los mensajes a través de una interfaz web,

por lo que a veces recibe el nombre de solo web.