Técnico en Seguridad de Redes y Sistemas © 2012, Juan ... · POLÍTICAS Y PRÁCTICAS DE SEGURIDAD...
Transcript of Técnico en Seguridad de Redes y Sistemas © 2012, Juan ... · POLÍTICAS Y PRÁCTICAS DE SEGURIDAD...
POLÍTICAS Y PRÁCTICAS DE
SEGURIDAD DE REDES Y SISTEMAS
EN LAS ORGANIZACIONESTécnico en Seguridad de Redes y Sistemas
© 2012, Juan Pablo Quesada Nieves
POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE
REDES Y SISTEMAS EN LAS ORGANIZACIONES
� Tipos de Políticas
� Política de Contraseñas
� Política de Copias de Seguridad
� Recomendaciones para Usuarios Finales
� Monitorización de Nuevas Vulnerabilidades
Técn
ico en S
eguridad de R
edes y Sistem
as
� Monitorización de Nuevas Vulnerabilidades
� Planes de Contingencia
� Bibliografía y Recursos Web
2
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE
REDES Y SISTEMAS EN LAS ORGANIZACIONES
� Tipos de Políticas
� Política de Contraseñas
� Política de Copias de Seguridad
� Recomendaciones para Usuarios Finales
� Monitorización de Nuevas Vulnerabilidades
Técn
ico en S
eguridad de R
edes y Sistem
as
� Monitorización de Nuevas Vulnerabilidades
� Planes de Contingencia
� Bibliografía y Recursos Web
3
Técn
ico en S
eguridad de R
edes y Sistem
as
TIPOS DE POLÍTICAS
� La RAE define el término política como “orientacioneso directrices que rigen la actuación de una persona oentidad en un asunto o campo determinado”
� En Seguridad Informática podríamos hablar de
Técn
ico en S
eguridad de R
edes y Sistem
as
� En Seguridad Informática podríamos hablar de“procedimientos y mecanismos a utilizar para llevar acabo la protección de los sistemas informáticos y de suinformación”
� A mencionar tres tipos:� Política de contraseñas� Política de cuentas� Política de copias de seguridad 4
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE
REDES Y SISTEMAS EN LAS ORGANIZACIONES
� Tipos de Políticas
� Política de Contraseñas
� Política de Copias de Seguridad
� Recomendaciones para Usuarios Finales
� Monitorización de Nuevas Vulnerabilidades
Técn
ico en S
eguridad de R
edes y Sistem
as
� Monitorización de Nuevas Vulnerabilidades
� Planes de Contingencia
� Bibliografía y Recursos Web
5
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICA DE CONTRASEÑAS
� No deben estar formadas por palabras queencontremos en un diccionario
� No deben usarse sólo letras mayúsculas o minúsculas� No deben estar formadas exclusivamente por
Técn
ico en S
eguridad de R
edes y Sistem
as
� No deben estar formadas exclusivamente pornúmeros
� No debemos utilizar información personal� No debemos invertir palabras reconocibles� No debemos repetir los mismos caracteres en la
misma contraseña� No debemos escribir la contraseña en ningún sitio� No debemos enviarlas en ningún correo electrónico
que nos las solicite6
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICA DE CONTRASEÑAS
� No debemos comunicarlas a nadie por teléfono� Debemos limitar el número de intentos fallidos� Debemos cambiar las contraseñas de acceso dadas
por defecto
Técn
ico en S
eguridad de R
edes y Sistem
as
por defecto� No debemos utilizar la misma contraseña en las
distintas máquinas o sistemas� Las contraseñas deben caducar y exigir que se
cambien cada cierto tiempo� No debemos permitir que las aplicaciones recuerden
las contraseñas� La longitud de la contraseña debe ser superior a 8
caracteres, recomendable superior a 157
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE
REDES Y SISTEMAS EN LAS ORGANIZACIONES
� Tipos de Políticas
� Política de Contraseñas
� Política de Copias de Seguridad
� Recomendaciones para Usuarios Finales
� Monitorización de Nuevas Vulnerabilidades
Técn
ico en S
eguridad de R
edes y Sistem
as
� Monitorización de Nuevas Vulnerabilidades
� Planes de Contingencia
� Bibliografía y Recursos Web
8
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICA DE COPIAS DE SEGURIDAD
� Una copia de seguridad es una copia de lainformación que se almacena en lugar diferente aloriginal
Técn
ico en S
eguridad de R
edes y Sistem
as
� Las copias de seguridad deben realizarse de todos losarchivos que sean difíciles o imposibles dereemplazar
� Garantizan dos objetivos de la seguridad informática:� Disponibilidad� Integridad
9
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICA DE COPIAS DE SEGURIDAD
� Una política de copia de seguridad debe definir:� Tipo de copia
� Periodicidad
Técn
ico en S
eguridad de R
edes y Sistem
as
� Soporte
� Ubicación de los centros de respaldo
10
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICA DE COPIAS DE SEGURIDAD
� Tipo de copia� Completa� Diferencial� Incremental
Técn
ico en S
eguridad de R
edes y Sistem
as
� Soporte� CDs, DVDs, Blu-rays regrabables� Cinta� Memorias flash� Discos duros mecánicos� SSDs� … 11
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE
REDES Y SISTEMAS EN LAS ORGANIZACIONES
� Tipos de Políticas
� Política de Contraseñas
� Política de Copias de Seguridad
� Recomendaciones para Usuarios Finales
� Monitorización de Nuevas Vulnerabilidades
Técn
ico en S
eguridad de R
edes y Sistem
as
� Monitorización de Nuevas Vulnerabilidades
� Planes de Contingencia
� Bibliografía y Recursos Web
12
Técn
ico en S
eguridad de R
edes y Sistem
as
RECOMENDACIONES PARA USUARIOS
FINALES
� Evitar el acceso a la BIOS� Proteger el gestor de arranque GRUB� Controlar el acceso a los sistemas� Actualizar todos los parches de seguridad
Técn
ico en S
eguridad de R
edes y Sistem
as
� Actualizar todos los parches de seguridad� Instalar un antivirus y un cortafuegos� No instalar nada que no sea necesario� Cifrar las particiones� Asignar permisos y privilegios especiales� Mantener copias de seguridad
13
Técn
ico en S
eguridad de R
edes y Sistem
as
RECOMENDACIONES PARA USUARIOS
FINALES
� Monitorizar el sistema (auditoría)� Formar a los usuarios del sistema para que hagan
uso de buenas prácticas� Utilizar contraseñas fuertes
Técn
ico en S
eguridad de R
edes y Sistem
as
� Utilizar contraseñas fuertes� No confiar en correos SPAM con archivos adjuntos� Jamás enviar contraseñas, números de tarjetas de
crédito u otro tipo de información sensible a travésdel correo electrónico
� Hacer uso del sentido común
14
Técn
ico en S
eguridad de R
edes y Sistem
as
RECOMENDACIONES PARA USUARIOS
FINALES
� Control de acceso a los sistemas� Por algo que el usuario sabe
� Password� PIN� …
Técn
ico en S
eguridad de R
edes y Sistem
as
� Por algo que el usuario posee� Tarjeta de claves� Tarjeta ATM (tarjeta bancaria)� Certificado digital� …
� Por algo que el usuario es� Características biométricas (huella dactilar, iris,
pulsación de teclas, …) 15
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE
REDES Y SISTEMAS EN LAS ORGANIZACIONES
� Tipos de Políticas
� Política de Contraseñas
� Política de Copias de Seguridad
� Recomendaciones para Usuarios Finales
� Monitorización de Nuevas Vulnerabilidades
Técn
ico en S
eguridad de R
edes y Sistem
as
� Monitorización de Nuevas Vulnerabilidades
� Planes de Contingencia
� Bibliografía y Recursos Web
16
Técn
ico en S
eguridad de R
edes y Sistem
as
MONITORIZACIÓN DE NUEVAS
VULNERABILIDADES
� El objetivo final de la seguridad es proteger lo que laempresa posee
� Todo aquello que es propiedad de la empresa se
Técn
ico en S
eguridad de R
edes y Sistem
as
� Todo aquello que es propiedad de la empresa sedenomina activo
� Cualquier daño que se produzca sobre el activotendrá un impacto en la empresa
� Una vulnerabilidad es cualquier fallo quecompromete la seguridad
17
Técn
ico en S
eguridad de R
edes y Sistem
as
MONITORIZACIÓN DE NUEVAS
VULNERABILIDADES
� Un riesgo es la posibilidad de que se produzca unimpacto negativo para la empresa aprovechandoalguna de sus vulnerabilidades
Técn
ico en S
eguridad de R
edes y Sistem
as
18
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE
REDES Y SISTEMAS EN LAS ORGANIZACIONES
� Tipos de Políticas
� Política de Contraseñas
� Política de Copias de Seguridad
� Recomendaciones para Usuarios Finales
� Monitorización de Nuevas Vulnerabilidades
Técn
ico en S
eguridad de R
edes y Sistem
as
� Monitorización de Nuevas Vulnerabilidades
� Planes de Contingencia
� Bibliografía y Recursos Web
19
Técn
ico en S
eguridad de R
edes y Sistem
as
PLANES DE CONTINGENCIA
� El plan de contingencias es un sistema deprocedimientos que indican qué es lo que se debehacer en caso de ocurrir un desastre
Técn
ico en S
eguridad de R
edes y Sistem
as
� Se debe realizar previamente un análisis de riesgos ycontemplar unas medidas de seguridad
� El análisis de riesgos supone imaginarse lo que puedeir mal y, a continuación, estimar el coste quesupondría
20
Técn
ico en S
eguridad de R
edes y Sistem
as
PLANES DE CONTINGENCIA
� Las medidas de seguridad se basan en la definiciónde controles físicos, funciones, procedimientos yprogramas que conlleven no sólo a la protección de laintegridad de los datos, sino también a la seguridadfísica de los equipos y de los ambientes en los que
Técn
ico en S
eguridad de R
edes y Sistem
as
física de los equipos y de los ambientes en los queéstos se encuentran
� En caso de que se produzca un desastre, el primerpaso es que se reúna el comité de crisis para evaluarlos daños
� Habrá que poner en marcha el plan de contingencias 21
Técn
ico en S
eguridad de R
edes y Sistem
as
POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE
REDES Y SISTEMAS EN LAS ORGANIZACIONES
� Tipos de Políticas
� Política de Contraseñas
� Política de Copias de Seguridad
� Recomendaciones para Usuarios Finales
� Monitorización de Nuevas Vulnerabilidades
Técn
ico en S
eguridad de R
edes y Sistem
as
� Monitorización de Nuevas Vulnerabilidades
� Planes de Contingencia
� Bibliografía y Recursos Web
22
Técn
ico en S
eguridad de R
edes y Sistem
as
BIBLIOGRAFÍA Y RECURSOS WEB
� Quesada Nieves, J.P.: “Técnico en Seguridadde Redes y Sistemas”. [En línea]<http://tecnicoseguridadinformatica.blogspot.com>[Consulta 14/02/2012]
Técn
ico en S
eguridad de R
edes y Sistem
as
� Seoane Ruano, C.; Saiz Herrero, A.B.; FernándezÁlvarez, E.; Fernández Aranda, L.: “Seguridadinformática”. McGraw-Hill. 2010
23
Técn
ico en S
eguridad de R
edes y Sistem
as