politica

Establezca su política de seguridad

1 POLÍTICAS DE SEGURIDAD PARA REDES
Antes de construir una barrera de protección, como preparación para conectar una red con el resto del mundo a través de internet, es importante entender con exactitud qué recursos de la red y servicios se desea proteger. Una política de red es un documento que describe los asuntos de seguridad de red de una organización. Este documento se convierte en el primer paso para construir barreras de protección efectivas.

1.1 Política de seguridad del sitio
Una organización puede tener muchos sitios y cada uno contar con sus propias redes. Si los sitios están conectados por una red interna, la política de red deberá agrupar las metas de todos los sitios que estén interconectados.

En general, un sitio es cualquier parte de una organización que posee computadoras y recursos relacionados con la red. Dichos recursos incluyen, pero no se limitan a lo siguiente:

Estaciones de trabajo.
Computadoras anfitrión y servidores.
Dispositivos de interconexión: compuertas, enrutadores, puentes, repetidoras
Servidores de terminal.
Software para red y aplicaciones.
Cables de red.
Información en archivos y bases de datos.

La política de seguridad del sitio debe tomar en cuenta la protección de estos recursos. El RFC 1244 discute la política de seguridad del sitio con bastante detalle.

1.2 Planteamiento de la política de seguridad
Un planteamiento posible para desarrollar esta política es el análisis de lo siguiente:

¿Qué recursos se quieren proteger?
¿De qué personas necesita proteger los recursos?
¿Qué tan reales son las amenazas?
¿Qué tan importante es el recurso?
¿Qué medidas se pueden implantar para proteger todos los bienes de una manera económica y oportuna?
Examinar con frecuencia la política de seguridad de red para verificar si sus objetivos y circunstancias, en la red, han cambiado.

1.3 Prácticas para mejorar la seguridad
Se debe establecer una política y conjunto de procedimientos que prepare a la organización para detectar signos de intrusiones.

Una política de seguridad define las reglas que regulan como la organización administra y protege su información y sus recursos computacionales para lograr objetivos de seguridad. Uno de los primeros propósitos de las políticas en la preparación para detectar signos de intrusión, es la de definir un rango de amenazas que la organización elige para protegerse y como se deberá lidiar con estas cuando tengan lugar.

Los procedimientos de preparación incluyen todas las acciones necesarias para observar los sistemas y las redes por signos de intrusiones. La observación puede tomar la forma de monitoreo, inspección y auditoría. Monitoreo es la observación de los datos para eventos específicos. Inspección es el examen de los recursos de datos o procesos. Auditoría es un examen sistemático de datos contra documentación. Desde estos procedimientos, todas las partes involucradas están facultadas para determinar que pasos operacionales necesitan para cumplir con las políticas y de esta forma mantener la seguridad de la información de su organización y sistemas de red.

Las políticas y procedimientos de seguridad deben estar bien documentadas, ser bien conocidas, visiblemente reforzada al establecer la conducta esperada de cada usuario e informar al usuario de sus obligaciones para proteger los recursos de computación. Usuarios son todos aquellos que accesan, administran y manejan sus datos, sistemas y redes. Los usuarios juegan un papel vital en la detección de intrusiones.

Esta práctica describe los tópicos hacia los cuales sus políticas y procedimientos deben direccionarse. Estos deben ser confeccionados para reflejar los objetivos específicos de la organización y los requerimientos de seguridad del entorno.

1.4 Por qué es importante
Manejar un mismo lenguaje de políticas y procedimientos provee la habilidad para ejercitar sus procedimientos de una forma oportuna y controlable y elimina errores potenciales u omisiones en el avance de un ataque. No debería ocurrir que mientras se efectúe un ataque o después de este, recién se trate de determinar las acciones a tomar, que datos recuperar y preservar, y como proteger sus datos, sistemas y redes de algún daño.

Con un avanzado planeamiento, documentación y educación, los miembros entrenados del grupo de seguridad pueden coordinar más efectiva y eficientemente, para la detección de intrusiones efectivas o intentos de estas. Sin el conocimiento y habilidades necesarias, los usuarios pueden inadvertidamente exponer partes vitales de la organización.

1.5 Como hacerlo
Introducir un lenguaje común para la política de seguridad de sistemas.

1.5.1 Documentación
Documentar las actividades que indican posibles signos de intrusión y para las cuales se debe tomar alguna acción. Los sistemas e información que deben ser considerados cuando se documenta políticas y procedimientos de detección de intrusiones incluyen:

Datos (sistemas y usuarios)
Sistemas (hardware y software)
Redes (hardware y software)
Aplicaciones
Herramientas
Entorno y sistemas de archivos de los usuarios.

Estas actividades incluyen:

Intentos (fallidos o exitosos) de acceso no autorizado a sistemas o datos.
Revelación no intencionada de información no autorizada.
“Denial of service”
El uso no autorizado de sistemas para el procesamiento o almacenamiento de datos.
Cambios de hardware, firmware o características del software, sin previo concentimiento o conocimiento.

Reconocer que hay amenazas difíciles de prevenir. Debe determinarse que acciones tomar cuando estas ocurren. Actividades de este tipo incluyen:

“Denial of service”
“e-mail bombing” (mandando una gran cantidad de mensajes electrónicos a un destino hasta que el sistema falla)
“flood attacks” (llenan un canal con basura, de esta forma obligan a denegar la comunicación a través de ese canal)
Amenazas; como nuevos “virus”, que no han sido detectados y eliminados por herramientas de verificación
Applets maliciosos (ActiveX, Java)
Intrusos probando vulnerabilidades de los sistemas para intentos de intrusión futuros.

Documentar la necesidad de establecer y mantener segura y disponible la información de configuración de los datos, sistemas y redes, esto representará el estado actual esperado. Esto incluye clavear e inventariar todos los recursos físicos de computación. Esta información debe ser periódicamente comparada con el estado actual para determinar si algo ha sido alterado de alguna forma no esperada.

Documentar los roles, responsabilidades y autoridad de los administradores de sistemas, personal de seguridad y usuarios con relación al uso y administración de los datos, sistemas y redes, cuando se detecten signos de intrusión.

Documentar los roles, responsabilidades, autoridad y condiciones para las pruebas de intrusiones, herramientas y procedimientos de detección, así como el examen de los datos, sistemas y redes sospechosas de haber sido comprometidas. Se recomienda que toda prueba se efectúe en un área aislada de las redes y sistemas de producción.

Documentar los procedimientos y las acciones que implementen la política de preparación de intrusiones.

Documentar los procedimientos de inspecciones regulares y auditorías de los datos grabados (por ejemplo los “logs”), para identificar evidencia o intentos de intrusión.

Documentar el procedimiento mediante el cual se hará auditoría física del hardware y software instalado.

Documentar el procedimiento mediante el cual será efectuado el monitoreo, por ejemplo de los datos cuando ocurran eventos específicos. Este procedimiento especifica:

Las actividades operacionales necesarias para alertar al personal adecuado para actuar ante sospechas de intrusión.
Cómo las herramientas de monitoreo serán adquiridas y mantenidas en forma segura.
La frecuencia de monitoreo.
Roles y responsabilidades de todos los pasos de estos procedimientos.

Instalar todas las herramientas necesarias para implementar el monitoreo, inspección y procedimientos de auditoría.

Documentar el procedimiento mediante el cual se verificará la integridad. Especificar:

Qué archivos deben ser verificados.
Cómo la información de integridad es generada, mantenida y verificada de forma segura.
Cómo las herramientas de verificación de integridad serán adquiridas y mantenidas en forma segura.
La frecuencia de verificación de integridad.
Roles y responsabilidades de todos los pasos de estos procedimientos.

Documentar el procedimiento mediante el cual la correlación de intrusiones a sido efectuada, por ejemplo determinando si las actividades de intrusión en un sistema puede estar relacionado a las actividades en otro sistema. Efectuando algún nivel de análisis de correlación durante el proceso de la detección de intrusiones ayudará a determinar la extensión total de la intrusión y sus características.

Para cada procedimiento, documentar los roles, responsabilidades y autoridad de los administradores de sistemas, personal de seguridad y usuarios. Identificar quien efectúa cada procedimiento y actividad, cuando y bajo que condiciones. Se debe efectuar una revisión legal de las políticas y procedimientos.

El área legal debe asegurar que las políticas y procedimientos:

Son legalmente correctos y defendibles
Cumplen con todas las políticas y procedimientos de la organización.
Refleja las mejores practicas conocidas de la industria.
Están de acuerdo con leyes y regulaciones nacionales e internacionales.
Protejan a la organización legalmente en casos de intrusiones.

1.5.2 Entrenamiento
Entrenar a los usuarios, incluye a todos aquellos que acceden a los datos, sistemas y redes de la organización. Durante el proceso de entrenamiento, los usuarios deberán aprender:

Que se espera de ellos.
Como identificar actividades sospechosas y a quien notificarlas.
Que actividades pueden reducir el comprometer datos, sistemas y redes (por ejemplo protección de claves y datos sensitivos, sabiendo como responder ante intentos de ingeniería social)
Que tipo de información es reunida como parte de una rutina de los procedimientos de seguridad y el grado en que los puede afectar.

Crear y conducir entrenamientos periódicos para los procedimientos de preparación y detección de intrusiones. Este entrenamiento debe ser obligatorio para todos los empleados nuevos y debe cubrir aspectos relevantes al conocimiento y responsabilidades de cada uno.

Probar la efectividad del entrenamiento y la preparación de cada empleado. Efectuar prácticas que prueben procedimientos y ejecuten actividades operacionales, asegurando que los miembros del grupo de seguridad estén atentos a sus roles y responsabilidades. Efectuar reuniones post-mortem con el personal entrenado.

Conducir regularmente entrenamiento de actualización. Remarcar cambios recientes a las políticas o procedimientos y resumir incidentes e intrusiones recientes. Hacer que esta actividad sea recurrente en el nivel ejecutivo y administrativo a objeto de mantener la atención continua.

Debido a la alta tasa de cambio de la tecnología, debe asegurarse que los administradores de red y sistemas, tengan tiempo para mantener y mejorar sus conocimientos y habilidades en aspectos técnicos requeridos para implementar las políticas y procedimientos de seguridad.

Si la organización ha sufrido una intrusión, revisar las políticas, procedimientos y entrenamiento para determinar si es necesaria su modificación para asegurar que intrusiones futuras del mismo tipo sean detectadas y controladas eficientemente, si no prevenidas.

1.6 Análisis de riesgos
Al crear una política de seguridad, se debe saber cuáles recursos de la red vale la pena proteger, y entender que algunos son más importantes que otros.
El análisis de riesgos implica determinar lo siguiente:

Qué necesita proteger.
De quién debe protegerlo.
Cómo protegerlo.

No se debe llegar a una situación donde se gaste más para proteger aquello que es menos valioso. En el análisis de riesgos es necesario determinar los siguientes factores:
1. Estimación del riesgo de pérdida del recurso ( Ri ).
2. Estimación de la importancia del recurso ( Wi ).
Como un paso hacia la cuantificación del riesgo de perder un recurso, es posible asignar un valor numérico.

Con la siguiente fórmula es posible calcular el riesgo general de los recursos de la red:
WR = ( R1*W1 + R2*W2 + ........ + Rn*Wn ) / ( W1 + W2 + ........ + Wn )

Otros factores que debe considerar para el análisis de riesgo de un recurso de red son su disponibilidad, su integridad y su carácter confidencial.

1.7 Como identificar recursos
El RFC 1244 lista los siguientes recursos de red que deben ser considerados al estimar las amenazas a la seguridad general:

1.8 Definiciones
1.8.1 Acceso no autorizado

Sólo se permite el acceso a los recursos de red a usuarios autorizados. A esto se le llama acceso autorizado. 1.8.2 Riesgo de divulgar información

La divulgación de información ya sea voluntaria o involuntaria, es otro tipo de amenaza. 1.8.3 Servicio denegado
Es difícil predecir en qué forma aparecerá la negación de servicio. A continuación se dan algunos ejemplos de cómo afecta a la red un servicio denegado:

Una red puede volverse inservible mediante los actos de un paquete extraviado.
Una red puede volverse inservible a causa del flujo de tráfico.
Una red podrá ser fraccionada al inhabilitar un componente crítico de la red, como un enrutador que une los segmentos de red.
Un virus podrá restar velocidad o inhabilitar un sistema de cómputo al consumir los recursos del sistema.
Los dispositivos para proteger la red podrían revertirse.

1.9 Como identificar a quién se le permite utilizar los recursos de la red
Puede hacerse una lista de los usuarios que requieren ingresar a los recursos de la red. La mayoría de los usuarios de la red se divide en grupos como usuarios de cuenta, abogados, analistas, etc. También deberá incluir una clase de usuarios llamada usuarios externos. Estos son los usuarios que pueden tener acceso a la red desde cualquier parte, como las estaciones individuales de trabajo u otras redes.

1.10 Identifique el uso correcto de un recurso
El siguiente paso será el de proveer guías para el uso aceptable del recurso. Las guías dependerán de la clase de usuario y por consiguiente sus normas. La política debe establecer qué tipos de uso de red es aceptable e inaceptable, y qué tipo de uso será restringido. La política desarrollada se llamará política de uso aceptable ( AUP ) para su red. Si el acceso a un recurso se restringe, deberá considerar el nivel de acceso que tendrán las diferentes clases de usuarios.

Además, tal vez desee incorporar en sus políticas un enunciado concerniente al software con derechos de autor y con licencia.

También se debe tener una política en la selección de una contraseña inicial de usuario. Las políticas como aquellas donde la contraseña inicial es la misma que el nombre del usuario o que se deje en blanco, pueden dejar al descubierto las cuentas. También lo sería evitar establecer la contraseña inicial como una función del nombre de usuario, o alguna contraseña generada en forma de algoritmo que pueda adivinarse con facilidad. Algunos usuarios utilizan su cuenta hasta mucho tiempo después de creada; otros nunca se registran. En estas circunstancias, si la contraseña inicial no es segura, la cuenta y el sistema son vulnerables. Por tal razón se deberá tener una política para inhabilitar total o parcialmente las cuentas que nunca se han introducido durante cierto tiempo.
Si el sistema lo permite, deberá forzar a los usuarios a cambiar las contraseñas en el primer registro. Muchos sistemas tienen la política de caducidad de contraseña. Esto puede ser útil para proteger las contraseñas.
Hay utilerías Unix como password+ y npasswd que pueden emplearse para probar la seguridad de la contraseña.

1.11 Como determinar las responsabilidades del usuario
La siguiente es una lista de aspectos que se debe mencionar con respecto a las responsabilidades del usuario:

Guías respecto al uso de recursos de red en caso de que los usuarios estén restringidos y cuáles son las restricciones.
Lo que constituye abuso en los términos del uso de los recursos de red que afectan el desempeño del sistema y la red.
¿Podrán los usuarios compartir sus cuentas o permitir a otros utilizar sus cuentas?
¿Deberían los usuarios revelar sus contraseñas de manera temporal para permitir a quienes trabajan en un proyecto el acceso a sus cuentas?
Política de contraseña del usuario. ¿Con qué frecuencia deberían cambiar sus contraseñas los usuarios y cualesquiera otras restricciones de contraseña o requerimientos?
¿Son responsables los usuarios de brindar respaldo de sus datos o es responsabilidad del sistema?
Consecuencias para los usuarios que divulgan información que podría ser propietaria.
Una declaración sobre la privacidad de correo electrónico.
Una política sobre comunicaciones electrónicas como falsificación de correo.

1.12 Como determinar las responsabilidades de los administradores del sistema
Cuando ocurren las amenazas a la seguridad de la red, el administrador del sistema podrá examinar los directorios y archivos privados del usuario para el diagnóstico del problema hasta cierto límite estipulado por la política del sistema o red.

1.13 Plan de acción cuando la política de seguridad ha sido violada
Si no ocurre un cambio en la seguridad de la red después de ser violada, entonces la política de seguridad deberá ser modificada para retirar aquellos elementos que no estén asegurados.
Si la política de seguridad es demasiado restrictiva o no está bien explicada, es muy posible que sea violada.
Cuando se detecte una violación a la política de seguridad, debe clasificarse si la violación ocurrió por una negligencia personal, un accidente o error, ignorancia de la política actual o ignorancia deliberada a la política. En cada una de estas circunstancias, la política de seguridad debe ofrecer guías sobre las medidas a tomar de inmediato.

1.14 Estrategias de respuesta a violaciones
Hay dos tipos de estrategias de respuesta a incidentes de seguridad:

Proteger y proceder.
Perseguir y procesar.

La metodología de la primera estrategia es proteger de manera inmediata la red y restaurarla a su estado normal para que los usuarios puedan seguir utilizándola. Para hacer esto, quizá tenga que interferir en forma activa con las acciones del intruso y evitar mayor acceso.

El segundo enfoque adopta la estrategia de que la mejor meta es permitir a los intrusos seguir con sus acciones mientras se observan sus actividades. Las actividades del intruso deberán registrarse. Una forma posible de vigilar a los intrusos sin causar daño al sistema es construir una " cárcel ". Una cárcel, en este caso, define un medio simulado con datos falsos para que lo utilice el intruso, para que sus actividades puedan ser observadas.
En un sistema Unix el mecanismo chroot puede ser muy útil para hacer una cárcel.

indice