Presentación

Nombre:
Crisander Moreno
Matricula:
2020-10708
Materia:
Desarrollo de Políticas
Tema:
Capitulo #2- Componentes de Políticas de Seguridad
Maestro:
Maria Antonia Pineda Pereyra
Contenido
Introducción...............................................................................................................................3
Políticas de Seguridad Informática...........................................................................................4
DATO IMPORTANTE..........................................................................................................4
Tipos de Políticas de Seguridad informática........................................................................4
Normas de Seguridad informática............................................................................................5
¿Cuáles son las normas de seguridad informática?.............................................................5
Métodos y/o Procedimientos de Seguridad informática..........................................................6
Vulnerabilidades comunes de las páginas WEB..................................................................6
Modificación de parámetros..................................................................................................7
Técnicas de codificación segura.............................................................................................7
Cosas para hacer cuando no confiamos en las entradas:....................................................7
Pruebas de Intrusión..............................................................................................................8
Seguridad en Infraestructura de TI......................................................................................8
Concientización del personal.................................................................................................9
Instrucciones Técnicas de Seguridad informática.................................................................10
Sensibilización y capacitación de empleados......................................................................10
Realizar copias de seguridad fiables de toda la información relevante............................10
Contar con un servidor propio............................................................................................10
Instalación de antivirus y antispam....................................................................................10
Cifrar información...............................................................................................................10
Establecer contraseñas robustas y cambiarlas periódicamente........................................10
Análisis de riesgo y creación de plan de contingencia........................................................10
Conclusión................................................................................................................................11
¿Qué hemos aprendido?......................................................................................................11
Bibliografía...............................................................................................................................12
Introducción
El tema por tratar en este trabajo es “Políticas de Seguridad”, pero ¿Qué es la política de
seguridad? Son un conjunto de reglas, normas y protocolos de actuación que se
encargan de velar por la seguridad de la empresa.
Una vez tenemos claro el concepto de Políticas en general, pasamos a las Políticas de
Seguridad informática, cuyo objetivo de esta es hacer un buen uso de los activos
informáticos en cualquier empresa, así gracias a estas ya sabemos como actuar ante
cualquier ciberataque o problema informático que puedan provocar personas no
vinculadas con nuestra organización.
Ahora vamos a desarrollar el tema, viendo subtemas muy interesantes que van a llenar
nuestra mente de conocimiento.
Políticas de Seguridad Informática
Cuando hablamos de una política de seguridad de TI, nos referimos a un documento que
establece las reglas, regulaciones y pautas de una organización para proteger los datos
de una empresa y reducir los riesgos asociados con el uso de la tecnología por parte de
otra empresa.
La política informática está diseñada para proteger la confidencialidad y privacidad de
los datos, y la disponibilidad de los sistemas y equipos informáticos propiedad de la
empresa, para que pueda continuar con el desarrollo de sus actividades habituales.
DATO IMPORTANTE
No solo los miembros del departamento de tecnología de la información (si los hay)
deben conocer las políticas de seguridad. Todos los empleados o miembros de una
organización deben ser conscientes de que los problemas de seguridad informática
afectan a quienes les rodean. Es por esto por lo que se deben seguir las reglas que
acompañan las acciones de cada empleado y departamento.
Tipos de Políticas de Seguridad informática
Políticas de buenas prácticas informáticas
Son aquellas que están orientadas a definir qué es lo que hay que hacer. Es decir,
aquellas acciones que todos los empleados deben realizar por razones de seguridad
informática.
Por ejemplo, introducir la contraseña en el ordenador, entrar a la red informática virtual
de la empresa, mantener limpios los ordenadores o cualquier acción positiva de
mantenimiento que deban seguir los empleados para darle un buen mantenimiento al
hardware y el software.
Políticas de riesgos informáticos
La política de riesgos informáticos, por su parte, se enfoca en lo que no se debe hacer o
debemos evitar a toda costa. Por ejemplo, compartir las contraseñas de la empresa con
terceros ajenos a la compañía. O descargar programas desde páginas web ajenas al
fabricante y sin hacer un análisis de virus. Hacer clic en enlaces dudosos que puedan
llegar a través de las redes sociales. En definitiva, todas las malas prácticas que pueden
dar lugar a problemas para la privacidad, confidencialidad e integridad de los datos.
Importancia de tener una política de seguridad informática en tu empresa
Es de gran importancia que todas las empresas puedan disponer de una política de
seguridad. De no hacerlo, los miembros de la organización actuarán por su cuenta y
habrá riesgo en el mantenimiento de los sistemas de hardware y software de la empresa.
Debemos tener en cuenta que la tecnología de la información es un activo de la empresa
y puede afectar el desempeño de la empresa y el crecimiento económico. Si nuestros
sistemas no están adecuadamente protegidos, corremos enormes riesgos. Toda empresa
debe desarrollar una política de seguridad informática que afecte a toda la organización.
Normas de Seguridad informática
Las normas de seguridad informática se basan principalmente en el usuario.
Son una forma de comunicarse con el usuario indicándoles como deben guardar, y
cuidar su información en el momento de enfrentar un ataque informático.
¿Cuáles son las normas de seguridad informática?
Son estándares de confiabilidad, supervisados por el equipo de TI y mantenidos por
buenas prácticas. Las normas más utilizadas para esta finalidad pertenecen a la familia
ISO/IEC 27000.
¿Qué es ISO 27000?
La ISO 27000 es una familia de normas que define cómo implementar un Sistema de
Gestión de Seguridad de la Información (SGSI) en una empresa, creada por la
Organización Internacional de Normalización (ISO).
27001
Norma que define cómo planificar y verificar un SGSI. Tras un análisis de riesgo,
planifica acciones que mitigarán estos riesgos. Sus procedimientos abarcan rubros
legales, físicos y técnicos.
27002
Es un código de 12 buenas prácticas para la gestión de seguridad de la información,
destacando la creación de:
 Plan de análisis de riesgo
 Política de seguridad detallada
 Departamento de gestión de activos
 Administración de operación y puntos de acceso
 Departamento de sistemas y mantenimiento de información
 Sistema de control de incidentes
27004
Ofrece métricas para gestionar la seguridad, específicamente recomendaciones de quién,
cuándo y cómo se deben medir estos parámetros.
27005
Se especializa en la gestión y evaluación de riesgos de seguridad. Para implementar
cada norma, una entidad externa deberá elaborar dos auditorías minuciosas, una
relacionada con la documentación y otra con la implementación.
Métodos y/o Procedimientos de Seguridad informática
Los riesgos en los sistemas informáticos son principalmente cualquier usuario que tenga
un correo electrónico y acceso a Internet, donde periódicamente haga consultas y/o
actualizaciones en portales que le presten servicios: Tiendas virtuales, Bancos, portal de
correo, pago de servicios públicos, etc.
De igual manera se debe detectar que se tiene que proteger:
 Datos. - La Integridad, disponibilidad y confidencialidad
 Personas e Instituciones. - Integridad, Imagen y la reputación
 Identidad. - Evitar suplantación de nombre, IP, Cuenta de correo electrónico,
URL.
De esta manera se propone seguir lo correspondiente a la Seguridad Informática en la
aplicación a los Sistemas WEB:
 Vulnerabilidades de las páginas WEB
 Técnicas de codificación segura
 Pruebas de intrusión
 Seguridad en Infraestructura de TI
 Concientización y capacitación al personal
Vulnerabilidades comunes de las páginas WEB
Las vulnerabilidades más comunes son las siguientes:
Confiabilidad de los datos del lado del cliente. - Esta consta de modificar los datos
que se le proporcionan a la aplicación con la finalidad de obtener diferentes respuestas
por parte del servidor.
Manipulación de entradas: Dentro del contexto de un ataque a una aplicación Web, un
atacante primero tratará de probar y manipular los campos de entrada para ganar acceso
al servidor Web esto puede categorizarse de la siguiente manera:
 Manipulación de URL o parámetros de CGI
 Inyecciones en el encabezado HTML
 Evasión de filtros / detección de intrusos
 Manipulación de protocolos / métodos
 Buffer Overflow
 Filtrado de caracteres de salida de HTML. -
 Accesibilidad a la raíz (“root”) de las aplicaciones Web.-
 Falta de autentificación de los usuarios antes de realizar tareas críticas. -
 Requerimiento directo de la página (navegación forzada).-
Modificación de parámetros
Ejemplo de Modificación de parámetros
 Predicción del identificador de sesión. - Varias aplicaciones Web administran
autentificación usando valores de identificación de sesión (SESSION ID). Si el
identificador de sesión es generado de una forma predecible, un usuario
malicioso puede obtener un número de sesión válido y obtener acceso no
autorizado a la aplicación, sustituyendo a un usuario previamente autentificado.
Para esto hay técnicas como la predicción de cookies
 Inyección de SQL. - Una inyección de SQL es una metodología de ataque que
tiene como objetivo los datos residentes en la base de datos. Intenta modificar
los parámetros de la aplicación Web con la finalidad de alterar las instrucciones
de SQL que son analizados para la recuperación de los datos de la base de datos.
El atacante toma ventaja de una mala codificación o administración del sitio
Web. Un ataque exitoso de inyección de SQL puede:
o Leer datos de la base de datos.
o Modificar datos (INSERT/UPDATE/DELETE).
o Ejecutar operaciones administrativas en la base de datos (bajar la base de
datos .(“shutdown”) .
o Recuperar el contenido de un archivo presente en el sistema de archivos
del DBMS.
o En algunos casos enviar comandos al sistema operativo.
Técnicas de codificación segura
Nunca confíe en las entradas: La defensa más importante que un desarrollador puede
tomar es validar la entrada que recibe su software, ya que la entrada no verificada o mal
verificada es la fuente de las vulnerabilidades más graves, incluidos los
desbordamientos de búfer, la inyección de SQL y varias otras. La situación siempre
llegará a un nivel en el que tendrá que confiar en la entrada correcta para producir el
resultado correcto. Usted no es responsable de saber si todas las entradas que recibe son
correctas; sin embargo, es responsable de aceptar entradas que no sean manifiestamente
incorrectas.
Cosas para hacer cuando no confiamos en las entradas:
 Realizar una revisión de sanidad
 Corroborarlas
 Tomar control de los límites y aceptar valores que se pueda saber con cierta
certeza que son aceptables
 Validar las entradas. - Validar la entrada aun:
o Si esta viene sobre una conexión segura
o Llega de una fuente “confiable”
o sí está protegida por permisos de archivo estrictos
Realice validaciones de entrada no sólo sobre las entradas de los usuarios, sino además
sobre los datos de cualquier fuente fuera del código.
La lista debe incluir, pero no limitada, a lo siguiente:
 Parámetros de línea de comando
 Archivos de configuración
 Datos recuperados de una base de datos
 Variables de ambiente
 Servicios de red
 Valores del Registro (Registry)
 Propiedades del sistema
 Archivos temporales
Pruebas de Intrusión
En el mercado del Software existen programas para verificar la seguridad de sitios WEB
como son el WGET, WEBSCARAB.
WGET es una herramienta de línea de comandos para Unix y Windows que permite
bajar el contenido de un sitio Web, trabaja en forma no interactiva, en el “background”,
trabaja particularmente bien con conexiones no estables y lentas.
WEBSCARAB es un marco de trabajo para analizar aplicaciones web que se comunica
usando los protocolos HTTP y HTTPS. Está escrito en Java, por lo que es portable a
muchas plataformas. WEBSCARAB tiene muchos modos de operación, implementados
por varios plugin. Su uso más común es operar WEBSCARAB como un proxy de
intercepción, que permite al operador revisar y modificar las peticiones creadas por el
navegador antes de que sean enviados al servidor, y para revisar y modificar respuestas
enviadas por el servidor antes de que sean recibidas por el navegador.
Seguridad en Infraestructura de TI
Implementación de:
 SOC (Security Operation Center):
o Administrar, monitorear, controlar, manejar incidentes de seguridad y
brindar soporte centralizado.
 Zonas Seguras:
o Definir los lineamientos y controles de los sistemas y redes para reforzar
la seguridad con diferentes tecnologías como firewalls, IPS y VPN.
 Endurecimiento:
o Desarrollar y aplicar guías de configuración segura a una muestra de
equipos para prevenir ataques o amenazas de seguridad.
Concientización del personal
Es importante concientizar al personal interno de la importancia de la Seguridad
Informática en las empresas, a través de políticas de difusión y/o de capacitación.
 Programa de concientización y entrenamiento.
 Modificar hábitos inseguros en la operación diaria.
 Capacitar a un grupo de entrenadores líderes en la cultura de la seguridad,
quienes a su vez concientizarán al personal sobre los riesgos de no utilizar
prácticas de seguridad.
 Diseñar e implantar un programa de comunicación a través de medios de
comunicación como: carteles correo electrónico, protectores de pantalla y
trípticos, para fomentar la cultura a toda la empresa.
 Controlar la navegación de los usuarios
 Establecer políticas que regulen el uso de aplicaciones y el acceso a estas.
 Controlar la fuga de información a través de correos electrónicos, control de
dispositivos de almacenamiento (pen drive, discos duros, etc)
 Políticas de uso de contraseñas fuertes
 Capacitación
Instrucciones Técnicas de Seguridad informática
A continuación, te presentamos una lista de las mejores prácticas de seguridad
informática que toda empresa debe seguir:
Sensibilización y capacitación de empleados.
Uno de los principales riesgos para la información de la empresa son las prácticas
descuidadas de sus empleados al utilizar Internet. Estas prácticas incluyen la apertura de
correos electrónicos con programas maliciosos, el uso de Wi-Fi gratuito que puede
comprometer la transmisión de información e incluso la pérdida de dispositivos de
almacenamiento, teléfonos inteligentes o tabletas que contienen información relevante o
códigos de acceso de la empresa. Por ello, es importante sensibilizarlos y capacitarlos
en buenas prácticas para el uso de internet y dispositivos.
Realizar copias de seguridad fiables de toda la información relevante.
La información corporativa no solo puede estar en riesgo por robo o malware, sino que
también puede estar en riesgo por eventos como inundaciones o incendios. En cualquier
caso, se recomienda un plan de copia de seguridad y recuperación. Estas copias de
seguridad se pueden realizar en dispositivos externos, desde discos duros hasta
servidores dedicados.
Contar con un servidor propio.
Es recomendable si en la empresa se usan más de cinco computadoras, ya que
disminuye el riesgo de pérdida de archivos.
Instalación de antivirus y antispam.
Dependiendo del tamaño de la empresa, existen diferentes productos en el mercado que
se adaptan a las necesidades y presupuesto de cada producto. Estos se utilizan para
evitar que el malware elimine o dañe archivos, phishing o robo de contraseña, etc. Se
recomienda instalarlo en todos los equipos que contengan o envíen información.
Cifrar información.
Es bastante común que los teléfonos inteligentes o tabletas se pierdan o sean robados y,
para que no se tenga acceso a la información que contienen, es importante que ésta se
encuentre cifrada.
Establecer contraseñas robustas y cambiarlas periódicamente.
Las claves de acceso a ordenadores, correos electrónicos o archivos deben ser
contraseñas fuertes, es decir, deben ser difíciles de descifrar. Deben evitarse nombres
comunes, fechas relacionadas o cumpleaños, preferentemente alfanuméricos y
cambiados periódicamente.
Análisis de riesgo y creación de plan de contingencia
Antes de que ocurra cualquier emergencia, lo mejor es realizar un análisis de riesgos y
vulnerabilidades para comprender las fortalezas y debilidades de los dispositivos, redes
internas, servidores, conexiones a Internet, etc. Una vez que comprende los riesgos y las
debilidades, se vuelve más fácil tomar decisiones sobre las medidas de seguridad que se
deben implementar y los protocolos a seguir si la información de la empresa se ve
comprometida.
Conclusión
¿Qué hemos aprendido?
Mientras elaboraba mi investigación he aprendido lo siguiente:
Aprendí que las políticas de seguridad informática son un conjunto de reglas,
procedimientos, padrones, normas y directrices a observar, seguidas por todas las
personas que utilizan la infraestructura de la empresa, el objetivo de las políticas de
seguridad es buscar proteger y garantizar los principios de seguridad de la información,
los cuales son: Confidencialidad, Integridad y Disponibilidad.
También saber que las normas y prácticas descritas en las políticas de seguridad siempre
se deben relacionar a uno o más de los principios mencionados en el párrafo anterior.
Es necesario que establezcamos cuales son los mecanismos de seguridad que nosotros
vamos a utilizar en nuestra empresa, ya que sea propia o solo seamos empleados de ella,
estos mecanismos se van a plantear en tres ámbitos de actuación diferentes, los cuales
son: La prevención, La detección y por último la Actuación.
Y por último un dato muy importante es que en los tiempos actuales la gente hace que la
información sea una herramienta valiosa para las demás empresas, al hacer esto se
provoca que la seguridad de la misma información tome una relevancia importante. Por
eso no basta con solo enfocarse en una seguridad física, sino que se tiene que
transformar a la seguridad de los Sistemas Informáticos que se consideran aspectos
como la Tecnología, La gente y los procesos.
Gracias
Bibliografía
https://www.gadae.com/blog/politicas-de-seguridad-informatica/
https://prezi.com/e5vxbsbkunoq/que-son-las-normas-de-seguridad-informatica/
https://whiteshield.io/blog/normas-de-seguridad-informatica/
https://www.gestiopolis.com/procedimientos-de-seguridad-informatica-en-sitios-web/
https://www.teamnet.com.mx/blog/las-mejores-medidas-de-seguridad-informatica