Centro de la tecnologa de manufactura avanzada

Gestin de redes de datos

Instructor
ALBER MONTOYA BENITEZ
POLITICAS DE SEGURIDAD




Jhon Dario Garcia Montoya
Daniel Fernando Martnez









7 trimestre noche
Sena
2014


La norma ISO/IEC 27000 Es un conjunto de estndares en fase de desarrollo por ISO (International
Organization For Standardization) e IEC (International Electrotechnical Commision) que provee un
marco de trmite de la seguridad de la informacin disponible por cualquier tipo de organizacin,
pblica o privada, grande o pequea. E indica cmo puede una organizacin implantar un sistema
de gestin de seguridad de la informacin (SGSI) basado en la ISO 27001.

La implantacin de una ISO 27000 en una organizacin permite proteger la informacin de sta de
la forma ms fiable posible. Se persiguen 3 objetivos:
1. Preservar la confidencialidad de los datos de la empresa

2. Conservar la integridad de estos datos

3. Hacer que la informacin protegida se encuentre disponible

Una empresa que tiene implantada la ISO 27000 garantiza, tanto de manera interna como al resto
de las empresas, que los riesgos de la seguridad de la informacin son controlados por la
organizacin de una forma eficiente.

El estndar ISO 27000 es totalmente compatible con otras normas de sistemas de gestin (ISO
9001, ISO 14001, OHSAS 18001, ) y puede ser implantado de forma integrada con estas.

Partiendo del fundamento de que el estndar ISO/IEC 27001 indica qu requisitos deben
conformar un SGSI pero no cmo cumplirlos, algunas de las normas que conforman la serie 27000
van orientadas precisamente a documentar mejores prcticas en aspectos o incluso clusulas
concretas de la norma ISO/IEC 27001 de modo que se evite reinventar la rueda con el sustancial
ahorro de tiempo en la implantacin.






SGSI Es la abreviatura que se utiliza para referirse a un sistema de gestin de la seguridad
de la informacin. ISMS es el concepto equivalente en idioma ingles, siglas de Information Security
Management System.

Un sistema de gestin de la informacin (SGSI) es el diseo e implementacin que una
organizacin estn influenciados por las necesidades y objetivos, los requisitos de seguridad, los
procesos empleados y el tamao y estructura de la organizacin para disminuir los riesgos a los
que se encuentran expuestos, enfocados en la proteccin y el resguardo de la informacin a travs
de la confidencialidad, integridad y disponibilidad.

Confidencialidad: La informacin no se pone a disposicin ni se revela a individuos, entidades o
procesos no autorizados.

Integridad: Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de
proceso.

Disponibilidad: Acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma
por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe hacer
uso de un proceso sistemtico, documentado y conocido por la organizacin, desde un enfoque de
riesgo empresarial. Este proceso es el que constituye un SGSI. El (SGSI) es el concepto central
sobre el que se construye iso 27001.



Estos link son videos que nos permiten comprender mucho mejor la seguridad de la informacin.

http://www.youtube.com/watch?v=zV2sfyvfqik#t=90




Open Web Application Security Project (OWASP)
El proyecto abierto de seguridad en aplicaciones web es una comunidad abierta dedicada a
facultar a las organizaciones a desarrollar, adquirir y mantener aplicaciones que pueden ser
confiables. En OWASP encontrara
Sin fines de lucro, organizacin de voluntarios
Todos los miembros son voluntarios
Todo el trabajo es donado por los patrocinadores
Proporcionar recursos gratuitos para la comunidad
Publicaciones, artculos, normas
Software de Testeo y Capacitacin
Captulos locales & Listas de correo
Soportada a travs de patrocinios
Apoyo financiero a travs de empresas o patrocinadores
Patrocinios personales de los miembros
Promueve el desarrollo de software seguro
Orientada a la prestacin de servicios orientados a la Web
Se centra principalmente en el "back-end" ms que en cuestiones de diseo web
Un foro abierto para el debate
Un recurso gratuito para cualquier equipo de desarrollo de software.
De acuerdo al ranking, el top 10 de este ao es el siguiente:
1. M1 Weak Server Side Controls: corresponde a las inyecciones de cdigo. Los atacantes buscan
vulnerabilidades en los servidores para poder explotarlas inyectando cdigos maliciosos.
2. M2 Insecure Data Storage: se trata mayormente de dispositivos mviles perdidos y/o robados,
aunque tambin est la posibilidad de acceder a dichos dispositivos sin la necesidad de tenerlos
fsicamente a travs de exploits in-the wild y/o distintos cdigos maliciosos.
3. M3 Insufficient Transport Layer Protection: cuando se desarrolla una aplicacin normalmente
los datos son intercambiados entre un cliente y un servidor. Si la codificacin de dicha aplicacin
es dbil, existen diversas tcnicas para visualizar datos sensibles mientras viajan entre el cliente y
el servidor.
4. M4 Unintended Data Leakage: las aplicaciones mviles tienen que interactuar con sistemas
operativos, infraestructuras digitales, hardwares nuevos, etc. que no son propiedad de los
desarrolladores, por lo que no pueden controlar cambios y/o fallas que estn por fuera de sus
aplicaciones. En este sentido, es posible que se pierdan datos si no se realizan evaluaciones para
entender cmo las aplicaciones interactan con todos los elementos de los dispositivos.
5. M5 Poor Authorization and Authentication: existen patrones de autenticacin considerados
inseguros y que deben ser evitados. Algunos ejemplos son: Recurdame (cuando existe la opcin
de que la aplicacin guarde la contrasea de forma automtica), la falta de tokens de seguridad,
etc.
6. M6 Broken Cryptography: en algunas ocasiones, los mtodos de encriptacin de datos se vuelve
una prctica casi obsoleta. Crear y utilizar su propio algoritmo de encriptacin y utilizar algoritmos
desfasados son ejemplos de malas prcticas.
7. M7 Client Side Injection: siempre y cuando exista la posibilidad de que usuarios externos,
internos y la aplicacin misma puedan enviar datos no confiables al sistema, un atacante podra
inyectar exploits sencillos a las aplicaciones mviles, lo que causa un potencial riesgo de robo de
informacin.
8. M8 Security Decisions Via Untrusted Inputs: para entender mejor este caso, tenemos que
entender el concepto de IPC (Comunicacin entre procesos en ingls). Los procesos entre
aplicaciones y sistemas operativos comparten espacios de memoria para permitir la comunicacin
y sincronizacin entre los mismos. Para minimizar los riesgos de ataque, la aplicacin mvil
debera permitir solamente comunicacin con otras aplicaciones confiables, las acciones sensibles
deberan requerir la interaccin del usuario, la informacin sensible no debera ser enviada a
travs de IPC, etc.
9. M9 Improper Session Handling: el manejo incorrecto de la informacin es muy similar a la
autenticacin dbil (M5). Es tan importante manejar bien la sesin una vez abierta como
establecer la misma sesin. Si no se aplican cuidados sencillos pero importantes como validar la
sesin a nivel servidor y no solamente a nivel cliente, establecer un tiempo de expiracin de sesin
o la creacin de tokens seguros puede que terceros no autorizados accedan a informacin de
otros usuarios.
10. M10 Lack of Binary Protections: la falta de proteccin a nivel binario facilita el ataque a travs
de ingeniera reversa. Si un programador no es creador del cdigo de su programa a nivel binario y
no lo tiene protegido, un atacante puede fcilmente buscar fallas en el cdigo, copiarlo, hacer
cambios menores y revender una aplicacin mvil nueva como si fuese suya.
La gran mayora de las vulnerabilidades pueden ser evitadas si se llevan a cabo las consideraciones
mencionadas en cada uno de los puestos del ranking. Sin embargo, muchas veces estos cuidados
son ignorados por razones ajenas a los usuarios (costos, necesidad de lanzar la aplicacin antes
que la competencia, etc.), pero estas deficiencias pueden ser contrarrestadas si nos informamos y
estamos atentos a reportes como el Top 10 de OWASP.

Que es BYOD
Las siglas BYOD corresponden a la expresin en ingls Bring your own device cuya traduccin es
traiga su dispositivo personal y en la practica significa que los empleados de la empresa pueden
aprovechar sus dispositivos inteligentes para llevar consigo la informacin y herramientas
necesarias para laborar.
Gracias a las funcionalidades que poseen los smartphones, as como la irrupcin de tablets que
con su gran capacidad de almacenamiento de datos, la conectividad, la estructura y diseo
practica para el trabajo con programas profesionales, ha posibilitado el surgimiento de una nueva
cultura empresarial que redefinir la forma de trabajar en las corporaciones.
Adaptar tales dispositivos para su uso profesional aporta muchas oportunidades: aumento de
rendimiento, flexibilizacin de la jornada laboral, movilidad total para trabajar desde cualquier
parte del mundo. Adems el ahorro en costes, ser muy significativo.
BYOD presenta un gran reto: como gestionar y realizar un buen seguimiento de la informacin a la
que se le da el acceso a los empleados.
Esta herramienta puede ser un gran paso hacia el aumento de la productividad y motivacin de los
empleados, pero podra convertirse en un gran problema si no se lleva un adecuado control de la
informacin confidencial de la empresa.

Seguridad CONPES
Enfatizar en temas de ciberseguridad y ciberdefensa la cual requiere un compromiso del Gobierno
Nacional por garantizar la seguridad de la informacin. Por ello, si bien este documento busca
como objetivo primordial centrar las bases de poltica para los tpicos de ciberseguridad y
ciberdefensa en particular, las entidades involucradas tendrn la responsabilidad de desarrollar
estas bases y generar mecanismos que permitan garantizar la seguridad de la informacin a nivel
nacional.
Teniendo en cuenta que el Gobierno Nacional requiere conocer y actuar de una forma integral
frente a las amenazas informticas, es necesario contar con una tctica que incluya la creacin de
instancias adecuadas que faciliten ejercer una labor de seguridad informtica frente a cualquier
amenaza o incidente informtico que pueda comprometer informacin muy valiosa, afectar la
infraestructura crtica del pas y poner en riesgo la seguridad y defensa del Estado.
Vale mencionar otros dos ataques cibernticos representativos. Colombia ocup el quinto puesto
entre los pases ms afectados por esta red. Adicionalmente, se identific que la falta de personal,
las nuevas iniciativas de tecnologas de la informacin y los problemas de cumplimiento de las
normas de tecnologas de la informacin son factores crticos para la seguridad. Ahora bien, en
Colombia se ha incrementado abundantemente el uso de las tecnologas de la informacin y las
comunicaciones elevando su nivel de presentacin a amenazas cibernticas. De estos, el 39%
corresponde a suscriptores de Internet fijo y el 61% a suscriptores internet mvil.
Internet ha evidenciado ser un medio de comunicacin cada vez ms utilizado por usuarios de
servicios bancarios. Este grupo ha atacado indistintamente entidades pblicas y privadas, entre las
que se cuentan PayPal, el banco suizo Post Finance, MasterCard, Visa y pginas web del gobierno
Suizo.
El uso de las tecnologas de la informacin y las comunicaciones trae consigo variaciones y retos
permanentes y se constituye como uno de los pilares del mundo globalizado. De manera
sincronizada el avance de estas tecnologas ha incrementado el uso de medios tecnolgicos con
fines delictivos alrededor del mundo.
La prolongada evolucin, crecimiento y sofisticacin de los ataques cibernticos, al igual que la
convergencia tecnolgica, ponen de manifiesto la necesidad de adoptar las medidas y controles
que permitan proteger al Estado ante estas nuevas amenazas. El aumento de la capacidad
delincuencial en el ciberespacio, as como la utilizacin de nuevas tecnologas para generar
amenazas informticas, constituyen una preocupacin comn a todos los pases, dado que
impactan de manera significativa la seguridad de la informacin, en los mbitos tanto pblico
como privado e incluyendo a la sociedad civil.
Como conclusiones de las actividades realizadas, las instituciones del Estado solicitaron al
Ministerio de Defensa Nacional asumir un liderazgo nacional que permitiera impulsar polticas en
seguridad ciberntica, as como crear mecanismos que pudieran dar respuesta a los incidentes y
delitos cibernticos que afectaran a la nacin.
Por ello, en los ltimos dos aos, el Ministerio de Defensa Nacional ha hecho un trabajo tendiente
a posicionar el tema de ciberseguridad y ciberdefensa dentro de la agenda nacional.
Las instituciones comprometidas en el desarrollo de este documento han identificado que la
capacidad actual del Estado para enfrentar las amenazas cibernticas presenta grandes
debilidades. Colombia es uno de los pases que actualmente no cuenta con una estrategia nacional
en ciberseguridad y ciberdefensa, que incluya un sistema organizacional y un marco normativo e
institucional lo suficientemente fuerte para afrontar los nuevos retos en aspectos de seguridad
ciberntica.
Las iniciativas y operaciones en ciberseguridad y ciberdefensa no estn coordinadas
adecuadamente.
A pesar de existir algunos esfuerzos institucionales (tanto privados como pblicos), se ha
identificado que no existen organismos a nivel nacional constituidos para coordinar y desarrollar
operaciones de ciberseguridad y ciberdefensa.
Debilidad en la oferta y cobertura de capacitacin especializada en ciberseguridad y
ciberdefensa.
El conocimiento en el rea de ciberseguridad y ciberdefensa tanto en el sector pblico como en el
privado es limitado. Pese a que existen instrumentos legales y regulatorios en seguridad de la
informacin, persisten falencias que impiden responder oportunamente a incidentes y delitos
cibernticos. El objetivo principal
Fortalecer las capacidades del Estado para enfrentar las amenazas que atentan contra su
seguridad y defensa en el mbito ciberntico (ciberseguridad y ciberdefensa), creando el ambiente
y las condiciones necesarias para brindar proteccin en el ciberespacio.
Este objetivo permitir conformar organismos con la capacidad tcnica y operativa necesaria para
la defensa y seguridad nacional en materia ciberntica. De la misma forma, el Ministerio de
Defensa Nacional buscar la implementacin gradual de asignaturas en seguridad de la
informacin, terico-prcticas en las escuelas de formacin y de capacitacin.
Las instituciones responsables de la ciberseguridad y ciberdefensa debern buscar y evaluar la
participacin en diferentes redes y mecanismos internacionales de cooperacin (Consejo de
Europa, OEA y FIRST), que permitan preparar al pas para afrontar los crecientes desafos del
entorno internacional en el rea de seguridad ciberntica, as como responder de una forma ms
eficiente a incidentes y delitos de seguridad ciberntica. Para ello, los lderes y expertos del tema
debern participar en conferencias, talleres y reuniones especializadas en los que se discutan
temas de seguridad ciberntica a nivel internacional.
Las recomendaciones ms relevantes que se presentan en el documento para implementar una
organizacin apropiada serian avalar los lineamientos de poltica para el desarrollo y fomento de
la estrategia de ciberseguridad y la ciberdefensa.
Solicitar al ministerio de defensa nacional apoyar con un plan estratgico de capacitacin en temas
de seguridad informtica, con el apoyo de organismos internacionales e implementar asignaturas
en seguridad de la informacin, en las escuelas de formacin y de capacitacin.

Normas bsicas de polticas de seguridad
Polticas de seguridad son los requisitos generalizados que deben ser escritos en papel y ser
comunicados a ciertos grupos de personas dentro y en algunos casos fuera de la organizacin.

Las normas son un conjunto de reglas generales y especficas de la seguridad de la informacin
que deben ser usadas por todos los segmentos involucrados en todos los procesos de negocio de
la institucin, y que deben ser elaboradas por activo, rea, tecnologa, proceso de negocio, pblico
a que se destina, etc. Las normas de seguridad para usuarios son dirigidas para el uso de
ambientes informatizados, basadas en aspectos genricos como el cuidado con las claves de
acceso, manejo de equipos o estaciones de trabajo, inclusin y exclusin de usuarios,
administracin de sistemas operativos, etc.
Los procedimientos e instrucciones de trabajo son un conjunto de orientaciones para realizar las
actividades operativas, que representa las relaciones interpersonales e nter-departamentales y
sus respectivas etapas de trabajo para su implementacin y mantenimiento de la seguridad de la
informacin.
Seguridad fsica: acceso fsico, estructura del edificio, centro de datos.

Seguridad de la red corporativa: configuracin de los sistemas operativos, acceso lgico y
remoto, autenticacin, Internet, disciplina operativa, gestin de cambios, desarrollo de
aplicaciones.

Seguridad de usuarios: composicin de claves, seguridad en estaciones de trabajo,
formacin y creacin de conciencia.

Seguridad de datos: criptografa, clasificacin, privilegios, copias de seguridad y
recuperacin, antivirus, plan de contingencia.

Auditoria de seguridad: anlisis de riesgo, revisiones peridicas, visitas tcnicas, monitoreo
y auditoria.

Aspectos legales: prcticas personales, contratos y acuerdos comerciales, leyes y
reglamentacin gubernamental.