ESPECIALIZACION EN SEGURIDAD DE REDES DE DATOS

ACTIVIDAD 15:

Bloqueando la identificación de recursos de la red

SENA
REGIONAL ANTIOQUIA

2012

INTRODUCCION
Es importante tener una política de seguridad de red bien concebida y efectiva
que pueda proteger la inversión y los recursos de información de nuestras
compañías. Vale la pena implementar una política de seguridad si los recursos
y la información que nuestra organización tiene en sus redes merecen
protegerse. La mayoría de las organizaciones tienen en sus redes información
delicada y secretos importantes; esto debe protegerse del vandalismo del
mismo modo que otros bienes valiosos como la propiedad corporativa y los
edificios de oficinas.

Las políticas de seguridad son los documentos que describen, principalmente,

la forma adecuada de uso de los recursos de un sistema de cómputo, las
responsabilidades y derechos que tanto usuarios como administradores tienen
y qué hacer ante un incidente de seguridad.

OBJETIVOS

Un atacante no debería ser capaz de descubrir los dispositivos existentes en la

red, es por esto que se debe crear un plan de seguridad básico que plantee
controles para evitar que esto suceda. ¿Cómo lo haría Usted?

Evidencia: Documento básico de norma de seguridad (10 pág. máx.) que

explique la forma en que se pueden aplicar controles para esta
vulnerabilidad. Debe haber por lo menos un control técnico y un control
normativo.

Evidencia2: Implementación de los controles técnicos en la red que eviten

el descubrimiento de recursos.

 Implementar procedimientos administrativos y técnicos que permitan

mantener y aumentar el nivel de la seguridad de la información y de los
recursos de la red con los que actualmente cuenta la empresa con miras
a garantizar la disponibilidad, confidencialidad e integridad de la
información.
 Desarrollar e implementar el procedimiento que se debe llevar a cabo
para la adquisición de equipos de tecnología en la empresa.

DESARROLLO

La seguridad de la información, según ISO 27001, consiste en la preservación

de su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización. Así pues, estos tres
términos constituyen la base sobre la que se cimienta todo el edificio de la
seguridad de la información:

• Confidencialidad: la información no se pone a disposición ni se revela a

individuos, entidades o procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y
sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.

Mientras las normas indican el “qué”, los procedimientos indican el “cómo”. Los
procedimientos son los que nos permiten llevar a cabo las normas. Ejemplos
que requieren la creación de un procedimiento son:

 Otorgar una cuenta.

 Dar de alta a un usuario.
 Conectar una computadora a la red.
 Localizar una computadora.
 Actualizar el sistema operativo.
 Instalar software localmente o vía red.
 Actualizar software crítico.
 Exportar sistemas de archivos.
 Respaldar y restaurar información.
 Manejar un incidente de seguridad.

Para que esto sirva de algo, las políticas deben ser:

 Apoyadas por los directivos.
 Únicas.
 Claras (explícitas).
 Concisas (breves).
 Bien estructurado.
 Servir de referencia.
 Escritas.
 Revisadas por abogados.
 Dadas a conocer.
 Entendidas por los usuarios.
 Firmadas por los usuarios.
 Mantenerse actualizadas.

Plan básico de seguridad.

Definiciones:
  IDS:
 IPS:
 SGSI: Sistema de Gestión de la Seguridad de la información
 Token USB:
 VPN

Responsables de Cumplimiento

Son responsables de velar por la correcta implementación, el cumplimiento y la

continua actualización de la norma serán: en la parte administrativa (diseño y
Actualización) el Jefe del departamento de sistemas y el jefe de seguridad; en
la parte de implementación de la norma, la parte operativa la responsabilidad
será del ingeniero de infraestructura y de soporte, quien estará supervisado y
dirigido por su jefe inmediato.

Estas personas responsables del cumplimiento son única y exclusivamente las

autorizadas para tener acceso a las interfaz administrativa de cualquiera de los

Responsabilidades de Incumplimiento

 El incumplimiento de la normatividad siguiente tiene como consecuencia:

o Llamado de atención verbal
o Llamado de atención por escrito con reporte a la Hoja de vida
o Restricción de la cuenta de usuario (en caso de que tenga
algunos privilegios.
o Despido.

Normas a aplicar
1. Control de Acceso a la red.

1.1. Política de uso de los servicios en red

.
1.1.1. Objetivo:
Impedir el acceso no autorizado a los servicios en red.

1.1.2. Principios: Se deben controlar los accesos a servicios internos y

externos conectados en red.

El acceso de usuarios a redes y servicios en red no debería

comprometer la seguridad de los servicios en red si se garantiza:

 Que existen interfaces adecuadas entre la red de la organización y las

redes públicas o privadas de otras organizaciones.
 Que los mecanismos de autenticación adecuados se aplican a los
usuarios y equipos. Ver Anexo 1 (hacer clic)

 Cumplimiento del control de los accesos de los usuarios a los servicios

de información.
1.2. Autenticación de usuario para conexiones externas

Los métodos de autenticación que se pueden tener son: Sistemas

perimetrales de filtrado de paquetes IDS/IPS, implementación de redes
privadas virtuales, filtrados de direcciones a nivel de Host o de subredes.
También pueden ser Tokens USB.

1.3. Autenticación de nodos en la red

Se debería considerar la identificación automática de los equipos como

un medio de autenticación de conexiones procedentes de lugares y
equipos específicos.

1.3.1. Soluciones:

 NIST: CPE
 PAGLO
 SPICEWORKS

1.4. Protección a puertos de diagnóstico remoto

1.5. Control de conexiones a las redes

En el caso de las redes compartidas, especialmente aquellas que se
extienden más allá de los límites de la propia organización, se deberían
restringir las competencias de los usuarios para conectarse en red
según la política de control de acceso y necesidad de uso de las
aplicaciones del negocio.

2. Seguridad Física y del Entorno

2.1. Perímetro de seguridad física
2.2. Seguridad del cableado
Se debe proteger el cableado de energía y de comunicaciones que
transporten datos o servicios de la información contra posibles
interceptaciones o daños.
2.2.1. Soluciones:
 CALLIO http://www.callio.com/templates/download.php?
file=07.+Physical+and+environmental+security
%2F7.2+Equipment+security%2F41-
Measures+for+protecting+equipment.doc
 TIA http://www.tiaonline.org/standards/catalog/search.cfm?
standards_criteria=TIA-942

 ANIXTER
http://www.anixter.com/AXECOM/AXEDocLib.nsf/0/BCV9E8ZP/$file/8W0
091X0_IA_Stand_Ref_Guide.pdf

3. Adquisición de equipos de tecnología

3.1. Gestión de la vulnerabilidad técnica
  Objetivo: Reducir los riesgos originados por la explotación de
vulnerabilidades técnicas publicadas.
 Principios: se debería implantar una gestión de vulnerabilidades técnicas
siguiendo un método efectivo, sistemático y cíclico, con la toma de
medidas que confirmen su efectividad.
Ver anexo 2. (Hacer clic)

4. Gestión de Incidentes
4.1. Comunicación de Eventos y debilidades en la seguridad de la
información
 Objetivo: Garantizar que los eventos y debilidades en la
seguridad asociados con los sistemas de información se
comuniquen de modo que se puedan realizar acciones correctivas
oportunas
 Principios:
o Establecer el informe formal de los eventos y de los
procedimientos de escalado.
o Todos los empleados, contratistas y terceros deberían
estar al tanto de los procedimientos para informar de los
diferentes tipos de eventos y debilidades que puedan tener
impacto en la seguridad de los activos organizacionales.
o Se debe exigir que se informe de cualquier evento o
debilidad en la seguridad de información lo más rápido
posible y al punto de contacto designado.

 Consejos de implementación:
o Establecer un Help Desk para que las personas puedan
informar de incidentes, eventos y problemas de seguridad.
 BENEFICIOS
 Establecimiento de una metodología de gestión de la seguridad clara y
estructurada.
 Reducción del riesgo de pérdida, robo o corrupción de información.
 Los clientes tienen acceso a la información a través medidas de
seguridad.
 Los riesgos y sus controles son continuamente revisados.
 Confianza de clientes y socios estratégicos por la garantía de calidad y
confidencialidad comercial.
 Las auditorías externas ayudan cíclicamente a identificar las debilidades
del sistema y las áreas a mejorar.
 Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO
14001, OHSAS 18001…).
 Continuidad de las operaciones necesarias de negocio tras incidentes de
gravedad.
 Conformidad con la legislación vigente sobre información personal,
propiedad intelectual y otras.
 Imagen de empresa a nivel internacional y elemento diferenciador de la
competencia.
 Confianza y reglas claras para las personas de la organización.
 Reducción de costes y mejora de los procesos y servicio.
 Aumento de la motivación y satisfacción del personal.
 Aumento de la seguridad en base a la gestión de procesos en vez de en
la compra sistemática de productos y tecnologías.