Upload File

tesisv7.docx

29
5/25/2018 Tesisv7.docx-slidepdf.com http://slidepdf.com/reader/full/tesisv7docx 1/29  UNIVERSIDAD AUTÓNOMA DE ZACATECAS  Francisco García Salinas Titulo de Tesis Marco Allan Ramírez Ovalle Tesis de Licenciatura  presentada a la Unidad Académica de Ingeniería Eléctrica de acuerdo a los requerimientos de la Universidad para obtener el título de INGENIERO EN COMPUTACIÓN Asesores de tesis: M. I. A. Carlos Héctor Castañeda Ramírez M. I. A. Santiago Villagrana Barraza Zacatecas, Zac., mes de 2012 

Upload: rockzaneska-reyesoto

Post on 15-Oct-2015

34 views

Category:

Documents


0 download

Report

TRANSCRIPT

UNIVERSIDAD AUTNOMA DE ZACATECASFrancisco Garca Salinas

Titulo de Tesis

Marco Allan Ramrez Ovalle

Tesis de Licenciaturapresentada a la Unidad Acadmica de Ingeniera Elctricade acuerdo a los requerimientos de la Universidad para obtener el ttulo de

INGENIERO EN COMPUTACIN

Asesores de tesis:M. I. A. Carlos Hctor Castaeda RamrezM. I. A. Santiago Villagrana Barraza

Zacatecas, Zac., mes de 2012

v

ndice de Tesisndice de Tesisindice de Figurasivndice de TablasvCapitulo 1.Descripcin del Problema11.1.Introduccin11.2.Justificacin11.3.Objetivos3Capitulo 2.Marco Terico42.1.Seguridad Reactiva/Proactiva42.2.Riesgos, amenazas y vulnerabilidades62.2.1.Riesgos62.2.2.Amenazas72.2.3.Vulnerabilidades102.3.Seguridad de una capa112.4.Defensa en Profundidad (DiD)12Capitulo 3.Aplicacin de la Defensa en Profundidad.163.1.Polticas, Procedimientos y Concientizacin163.1.1.Poltica de Seguridad de la Informacin.163.1.2.Organizacin de Seguridad.163.1.3.Roles y Responsabilidades de Seguridad.173.1.4.Procedimientos y Estndares.183.1.5.Programa de Educacin de Seguridad.183.2.Seguridad Fsica183.2.1.Control de Acceso Fsico183.2.2.Monitoreo183.2.3.Vigilancia183.2.4.Alarmas183.2.5.Seguridad Perimetral183.2.6.Controles Ambientales183.3.Permetro183.3.1.Firewall183.3.2.Pruebas de Penetracin183.3.3.Web Application Firewalls (WAF)183.3.4.Sistemas de Deteccin/Prevencin de Intrusos (IDS/IPS)193.3.5.VPN, NAC193.4.Red Interna193.4.1.VLANs193.4.2.ACLs193.4.3.Auditora de seguridad193.4.4.IDS/IPS193.4.5.802.1X, NAC193.4.6.SSL/TLS, SSH, Kerberos193.5.Host193.5.1.Controles de Contraseas193.5.2.Estndares de Endurecimiento193.5.3.Gestin de Parches de Seguridad193.5.4.Prevencin de Intrusos de Hosts (HIPS)193.5.5.Anti-malware203.5.6.Logs de Seguridad203.5.7.Escaneo de vulnerabilidades203.6.Aplicacin203.6.1.Tcnicas de Programacin Segura203.6.2.Polticas de Contraseas203.6.3.Controles de Acceso203.6.4.Web Application Firewall203.6.5.Evaluacin de Seguridad203.7.Datos203.7.1.Encriptacin, Ofuscacin203.7.2.Clasificacin203.7.3.ACLs203.7.4.Data Leak Prevention (DLP)203.7.5.Sanitizacin de datos213.7.6.Digital Rights Management (DRM)21Capitulo 4.Conclusiones22Capitulo 5.Referencias23

ndice de Figuras

Figura 1. Una capa de proteccin12Figura 2. Defensa en capas13Figura 3. Capas de la Defensa en Profundidad15

ndice de TablasNo se encuentran elementos de tabla de ilustraciones.

iii

Descripcin del ProblemaIntroduccinActualmente, cuando hablamos de seguridad en redes computacionales, hacemos una gran referencia a Internet, pues es dentro de esta red mundial que se producen con mayor frecuencia los ataques a nuestras computadoras. Es necesario preguntarse qu alcance tiene el trmino "seguridad".Los expertos en seguridad han intentado capacitar a los usuarios y a los administradores de Tecnologas de Informacin, por medio de manuales, checklists, polticas de uso y capacitacin, para que la informacin quede dentro de la misma organizacin o institucin; pero con el avance tan rpido que se da en la tecnologa, es muy difcil estar al da en todas las vulnerabilidades que se descubren en los sistemas. Es por eso que existen varias instituciones y organizaciones que se han dedicado a estandarizar la manera en que se realizan las diferentes variantes de las Tecnologas de Informacin de una manera segura.El diseo, la instalacin y el mantenimiento de sistemas de informacin constituyen una parte fundamental y cada vez ms importante de los costos en las empresas, y la proteccin de estos una preocupacin principal. JustificacinLos principales objetivos de la seguridad en informacin son: reducir el riesgo de que los sistemas y las organizaciones cesen sus operaciones, mantener la confidencialidad de la informacin, asegurar tanto la integridad, la confiabilidad, y la disponibilidad del acervo de datos, as como el cumplimiento de las leyes de seguridad nacionales, como la Ley Federal de Proteccin de Datos en Posesin de Particulares, y de las directivas y reglas de privacidad. Estos objetivos pueden estar en peligro, quiz en mayor medida por el incontrolado aumento de la actividad en internet y del uso de intranets. Para planear medidas que ayuden a lograr estos objetivos, las organizaciones primero deben estar conscientes de los riesgos potenciales a los que se enfrentan sus recursos de informacin, entonces deben establecer medidas de seguridad para protegerse contra esos riesgos. Segn Martnez-Santos (2009), La seguridad est finamente ligada a la certeza, es decir, no existe seguridad absoluta, lo que se intenta es minimizar el impacto y/o riesgo. Por tal motivo, cuando se habla de seguridad, se debe hacer en trminos relativos con el fin de lograr llegar a los niveles ms altos.Actualmente existe un desarrollo significativo de las Tecnologas y Medios de Comunicacin, principalmente cuando se trata de transmitir informacin; siendo sta la parte ms importante en el mundo de los negocios. Sin embargo, paralelamente al incremento de nuevas tecnologas, equipos y medios de comunicacin, se presentan da a da nuevas formas de acceder a la informacin al igual que se presentan vulnerabilidades que se deben prevenir. Por lo tanto, se requiere tomar las medidas necesarias para su proteccin (Chaln-Troya, Mideros-Romero, & Caraguay-Ambuludi, 2006). La idea del aseguramiento de cualquier sistema es que cualquier organizacin debe ser capaz de acceder a la informacin, procesarla y hacerla disponible en cualquier lugar, cumpliendo con los requerimientos mnimos de seguridad: confidencialidad, integridad y disponibilidad. (Zaragoza-Hernndez, 2005).El 5 de Julio de 2010 se publica en el Diario Oficial de la Federacin la Ley Federal de Proteccin de Datos en Posesin de Particulares, que establece de forma breve, en que los datos personales en posesin de instituciones privadas tienen que protegerse y regularlos, de tal manera sean usados nicamente para la finalidad que fueron entregados, que se tenga un control de quin y para qu los tiene y que el titular o dueo de los datos siempre est informado del trato de dichos datos, buscando garantizar la privacidad y el derecho a la autodeterminacin informativa de los individuos.La ley define a los datos personales como cualquier informacin que haga a una persona identificada o identificable, y a su vez menciona que, son datos personales sensibles aquellos datos que afecten a la esfera ms ntima de su titular, como podran ser estado de salud, preferencias religiosas o sexuales.ObjetivosDada la construccin del nuevo edificio de los programas de Ingeniera en Computacin e Ingeniera de Software, surge la necesidad de aplicar los diferentes modelos para la proteccin de la informacin como la Seguridad en Profundidad de la National Security Agency, NSA, el estndar ISO-27002 y/o la Ley Federal de Proteccin de Datos en Posesin de Particulares. Con esto poder beneficiar al personal administrativo, docente y alumnado, manteniendo seguros los datos, documentos e informacin que tengan dentro de los servidores o algn equipo que est dentro de la red de rea local (LAN) del edificio.En este trabajo se busca proponer la aplicacin de la metodologa de Seguridad en Profundidad (Defense in Depth, DiD) para el aseguramiento de la red del edificio de Ingeniera en Computacin e Ingeniera de Software, con la finalidad de garantizar la privacidad de los datos, optimizar el uso de la red y que se ofrezca el servicio de acuerdo a las necesidades de la institucin.

15

Marco TericoSeguridad Reactiva/ProactivaEn una organizacin sin importar el tamao, cuando los procedimientos de seguridad no han sido una prioridad en la empresa, ya sea por la falta de necesidad o por negligencia, la seguridad siempre se ha considerado como un procedimiento reactivo, es decir, que en esa organizacin se tomarn medidas y acciones encaminadas a la seguridad cuando se haya sido vctima de un incidente.Dentro de una actitud totalmente reactiva no todos los incidentes que ocurren generan una reaccin hacia la seguridad, s ocurren relativamente menores en cuanto a su magnitud, las autoridades de la institucin lo pueden tomar como un hecho aislado y no considerarn tomar medidas en lo inmediato.Si un incidente de baja magnitud se presenta de manera constante, por ejemplo un virus o un gusano, debido a la falta de cultura de seguridad existente en muchas organizaciones, se observa que las autoridades de la empresa y los encargados de la administracin de la red y los sistemas toman una actitud de resignacin ante los hechos, pensando que se trata de problemas naturales e inevitables de mundo de la informtica y nada pueden hacer para evitarlos.Pondremos la analoga de los resfriados para los seres humano, siendo esta enfermedad una de las ms comunes pero de relativo bajo impacto comparado con otras enfermedades, la mayora de las personas reaccionan hasta que ya tienen los sntomas avanzados, cuando en el caso de las personas que han llevado una vida sana y buena alimentacin, la amenaza de esa enfermedad no desaparece completamente del todo, pero las probabilidades de contraer un resfriado son mucho menores, y en caso de obtener uno, la recuperacin es mucho ms rpida que aquellas personas con un organismo dbil y propenso al contagio.Las empresas que toman un enfoque reactivo solamente lo hacen cuando han sentido una grave prdida principalmente monetaria como consecuencia se los daos que puede provocar un incidente de seguridad informtica, por ejemplo la prdida directa o robo de dinero, prdida de productividad detenida, prdida de oportunidades de negocio desaprovechadas, prdida por publicidad negativa, etc.De cualquier manera, existe una situacin an de mayor riesgo para las empresas que siguen un esquema de seguridad reactiva, y ste se da cuando el incidente de seguridad es grave pero no se manifiesta de manera visible, es decir, que se trata de un ataque sigiloso, persistente, y bien planeado donde un elemento hostil consigue invadir la red y obtener algn beneficio sin provocar un dao que revele su presencia, y por lo tanto, no se puede defender ante lo que no se puede ver.Con el aumento progresivo de vulnerabilidades en sistemas y tecnologas de redes, y el creciente inters en aprovecharlas para propsitos negativos, la necesidad para empresas de cualquier tipo es la de mejorar sus esquemas de seguridad para que sus recursos informticos, y los procedimientos de negocio que sostienen, no sean aprovechados por elementos ajenos y no se conviertan en fuente de prdidas para la organizacin.Un proceso de seguridad se debe establecer entonces de manera proactiva, es decir, que los problemas de seguridad y las consecuencias de ellos se deben atender antes de que se manifiesten.En este esquema de seguridad, la empresa toma como una poltica institucional respaldada a los ms altos niveles, el compromiso por hacer de la seguridad de la informacin una prioridad en las operaciones de la misma.Para lograr esto, el proceso de seguridad se integra como una importante parte de la toma de decisiones de negocio, y se respalda por un equipo de trabajo que recopila, analiza y determina los procedimientos a incorporar en la empresa.De esta manera, la seguridad sigue un firme proceso como parte esencial de la misma organizacin para que pueda ofrecer resultados certeros que reafirmarn la confianza en las operaciones de negocio soportadas por las tecnologas de la informacin.

Riesgos, amenazas y vulnerabilidadesRiesgosLa seguridad de los sistemas de informacin se establece dependiendo de los bienes de informacin que se quieran proteger y contra quin o qu se quieren proteger.Un proceso de administracin de riesgos sistemticamente usa la informacin disponible para determinar la frecuencia con la que puede suceder un evento y la magnitud de las consecuencias.Este proceso de anlisis de riesgos al ser aplicado en el rea de seguridad informtica, ayuda a determinar cuales son los bienes de informacin de mayor importancia y valor para una organizacin, y el nivel de riesgo en que se encuentran ante situaciones potencialmente dainas, de forma que puedas determinarse las protecciones ms precisas y eficaces que ayuden a reducir la probabilidad de ocurrencia de un incidente de seguridad informtica y mitigar los potenciales daos si llegase a ocurrir.Las tcnicas utilizadas para la seguridad de la informacin estn basadas en tres pilares fundamentales que hacen que la informacin se encuentre protegida. Estos pilares se ocupan principalmente de proteger distintos aspectos de la informacin como son:a) La confidencialidad. La informacin puede ser accedida nicamente por las personas que tienen autorizacin para hacerlo.b) La integridad. Integridad de la informacin implica total seguridad acerca de que sta no ha sido alterada por ningn agente no autorizado.c) Disponibilidad. La informacin debe estar disponible a los usuarios legtimos cundo stos los necesiten.El conectar un sistema a internet lo expone a numerosas amenazas que se incrementan diariamente.De esta forma, tenemos varias posibles violaciones de seguridad a un sistema, o sea, varias amenazas, entre las cuales destacamos:

Destruccin de informacin. Modificacin de la informacin. Robo, remocin o prdida de la informacin o los recursos. Interrupcin de servicios.

Ante los riesgos de la inseguridad en las redes, muchas empresas adoptan polticas de seguridad, que son conjuntos de reglas, leyes y prcticas de gestin que tienen como objetivo la proteccin. Pueden ser implementadas a travs de varios mecanismos, como por ejemplo:

Criptografa.Firma digital.Autenticacin.Control de acceso.Rtulos de seguridad.Deteccin, registro e informe de eventos.Llenado de trfico.Control de ruteo.AmenazasUna amenaza es la expresin deliberada o accidental de la intencin de realizar un acto que pueda resultar en un dao para un bien.En la seguridad informtica, las amenazas se generan constantemente a la medida que transcurre el tiempo.Las amenazas accidentales se pueden presentar de forma inesperada en cualquier ambiente o como consecuencia de la presencia y actividades de las personas alrededor del sistema de informacin. Este tipo de amenazas pueden ser identificadas oportunamente y aminoradas, con el riesgo de que ocurra algn evento excepcional.Las amenazas deliberadas son provocadas por humanos, y su afectacin para los sistemas de una organizacin pueden ser directos o indirectos y presentarse con poco o sin previo aviso.Una afectacin directa se da cuando el sistema es el objetivo final del ataque, y la accin del atacante en cuanto a su velocidad puede ser muy rpida o pacientemente efectuada por un largo tiempo, y en cuanto a su precisin puede llegar a ser casi indetectable hasta completamente descontrolada si el atacante no tiene la suficiente experiencia y conocimiento.La afectacin indirecta en una red se da cuando se ha lanzado un ataque no dirigido, esto es, que el atacante simplemente libera un ataque automatizado sin objetivo en particular ms que las vctimas de oportunidad como un gusano electrnico o un spyware, el cul se dispersar progresivamente conforme vaya encontrando objetivos vulnerables. De esta manera se puede llegar a saturar y colapsar cualquier red eventualmente, adicionalmente de la carga daina especfica que el ataque pudiera contener.Los ataques no dirigidos pueden ser detectados fcilmente por el alto impacto que provocan en una red y por tener un patrn de actividad bien definido, sin embargo, estos ataques pueden llegar a ser tan rpidos que una respuesta humana es prcticamente imposible para preparar alguna defensa apropiada.Una ataque se puede definir como: intentar de alguna manera quebrar el sistema destino, los mecanismos de redes y de seguridad. Segn Martnez-Santos (2009) como ejemplos de ataques en computacin, tenemos:

Ataques basados en diccionarios. Inicialmente, el hacker, trata de entrar a un sistema en la red por medio de teclear un nombre de usuario y contrasea. Para averiguar la contrasea, se valdr de mtodos manuales o programas que lleven a cabo su decodificacin mediante una combinacin de todas las palabras y letras de diccionarios en varios idiomas con signos de puntuacin y nmeros.

En base a escuchar el trfico de la red. Posiblemente, uno de los ms difciles de llevar a cabo, pero, cuando se logra en una transaccin comercial, se convierte en uno de los ms serios. Para ello, se utiliza el llamado packet sniffer, que se encargar de interceptar los paquetes que viajan a travs de la red. Estos pueden contener informacin confidencial como las claves de usuarios, paquetes de transacciones comerciales con el nmero de una tarjeta de crdito, e-mail, etc. Ataques que explotan los accesos confiables. Son comunes en redes que usan un sistema operativo que incorpora mecanismos de accesos confiables. Los usuarios de estos sistemas pueden crear archivos de hosts confiables en los que se incluyan los nombres de mquinas o direcciones IP, con las cuales un usuario puede acceder el sistema sin una contrasea para ello.

Basndose en las direcciones IP. Mediante el duplicado de una direccin IP, el intruso da informacin falsa acerca de la identidad de su computadora, hacindose pasar por un host confiable dentro de una red.

Suplantando a una entidad de confianza. Este tipo de ataques se han convertido en comunes y mucho ms peligrosos en tanto ms usuarios se conectan a la red. Aprovechando la ingenuidad de ciertos usuarios, el hacker solicita informacin privilegiada por diferentes medios (emails, applets de Java, etc.) que emulen confianza ante la vctima, extrayendo los datos de usuario para una plataforma dada.

Secuestrando sesiones. En este tipo, el intruso encuentra una conexin existente entre dos computadoras, generalmente de un servidor y un cliente. Inmediatamente despus, penetrando a routers desprotegidos o cortafuegos inadecuados, obtiene los nmeros de direcciones TCP/IP en un intercambio entre las computadoras. Tras ello, el intruso secuestra la sesin del usuario simulando la direccin del usuario. Al lograr esto, el secuestrador se aduea de la sesin y el host desconecta al usuario legtimo, obteniendo as libre acceso a los archivos.

Ataques enfocados a explotar las debilidades de la tecnologa. Todos los sistemas operativos tienen sus propias debilidades, algunos son ms accesibles que otros. Al salir nuevos sistemas, pueden contener los llamados bugs que provocaran el colapso de un equipo conectado a la red.

VulnerabilidadesUna vulnerabilidad de seguridad informtica es un punto dbil en las herramientas, procesos y usuarios de un sistema de informacin que permitira a un atacante violar la integridad, confidencialidad, autenticidad y disponibilidad del sistema.Una vulnerabilidad puede ser la consecuencia de un error en la implementacin de un sistema (un bug), de un error en el diseo del mismo o una omisin en su operacin.La presencia de una vulnerabilidad en el sistema de informacin puede estar latente por mucho tiempo sin ser detectada, lo que el descubrimiento de sta puede darse en cualquier momento y el riesgo de seguridad que introducir en el sistema estar dada por las caractersticas del error y por las circunstancias en que fue descubierta, ya que podran haber sido descubiertas por los creadores del sistema o algn usuario, de los cuales se espera que colaboren oportunamente y de forma responsable en la solucin del error, pero en el pero de los casos, si el agujero de seguridad fue encontrado por una persona maliciosa, este atacante tendr una amplia ventaja y factor sorpresa a su favor sobre la seguridad del sistema.La gran mayora de las vulnerabilidades son descubiertas por personas ticamente responsables, quienes las reportan a los creadores de los productos para que un parche o actualizacin del sistema pueda ser creado y distribuido para los usuarios.Sin embargo, para una persona maliciosa el conocimiento de la vulnerabilidad se vuelve un producto de alto valor, entre ms desconocido sea el agujero por los creadores del producto, este adquiere un valor mucho mayor y puede ser aprovechado con mayor probabilidad de xito en un ataque.Las vulnerabilidades de seguridad son buscadas enrgicamente en los sistemas tanto por los protectores de las redes y sistemas como por los grupos de atacantes, particularmente en aquellos productos que son muy populares. La importancia de conocer un agujero de seguridad en un producto inclusive ha llegado a crear un mercado de trfico de informacin de vulnerabilidades.Cuando una vulnerabilidad sea nueva, no significa que llegue a tener una fecha de caducidad, sino que quedan de forma permanente presentes en el sistema hasta que no hata sido aplicado el respectivo parche, por lo que mucho tiempo despus una vulnerabilidad puede ser aprovechada por un atacante si se descuida el sistema.Seguridad de una capaDe una forma tradicional, la seguridad de una red se establece tratando de usar uno o algunos pocos mecanismos de proteccin alrededor de los bienes de informacin.Usualmente estas protecciones consisten exclusivamente en soluciones tecnolgicas como firewalls, antivirus, filtros de contenidos, etc., que por su costo o complejidad de aplicacin, se procuraba que uno solo de ellos cubriera la mayor cantidad de sistemas y la red.Tambin hay que hacer notar que el proceso de seguridad tradicional se enfocaba en controlar la seguridad en las computadoras y no siempre en la informacin que contienen. Y esto obligaba a que las pocas protecciones que se establecieran tambin trataran de cubrir la integridad del equipo de cmputo y la red.De esta manera, la mejor forma de establecer las protecciones y que brinden la mayor cobertura y menor costo, obligaba a crear un solo nivel de prot4ccin que envolviera la totalidad de la red y los sistemas que contiene. El punto ms eficaz para lograr este objetivo era enlace principal de la red con otras redes como el internet.Sin importar los tipos de mecanismos que se establecieran en esta envoltura, se conformaba un nico nivel de proteccin de forma especfica y administrada oficialmente sobre cualquier elemento contenido, y se forma as una coraza protectora alrededor de la red que se procuraba sea tan fuerte como sea posible.Pero los mecanismos de proteccin establecidos en la coraza protectora, al ser tambin productos tecnolgicos, eventualmente pudieran contener vulnerabilidades propias. Pudieran tratarse de agujeros de seguridad provocados por fallas en el producto, falta de precisin en su configuracin y uso, errores humanos, y por supuesto no podran proteger a elementos que hayan quedado fuera de la coraza.Adicionalmente por la forma en que operan algunos de los sistemas, ser necesario que ciertas partes de la coraza de proteccin sean abiertas intencionalmente ya que las restricciones que establece la proteccin afectaran la funcionalidad de esos sistemas.En esta situacin, la coraza protectora puede detener con una alta probabilidad los ataques que provengan desde el exterior de la red, pero eventualmente un ataque desde externos podra encontrar un agujero por el cual llegar a afectar un objetivo dentro de la red.

Figura 1. Una capa de proteccinSin embargo, con la complejidad de sistemas, servicios y usuarios que existen en las redes de cualquier organizacin moderna, este esquema de proteccin resulta completamente inefectivo cuando el origen del ataque se encuentra dentro de la red.Defensa en Profundidad (DiD)Una sola capa defensiva para toda la red pudiera llegar a ser tan fuerte como se quisiera, pero con la perdida de una frontera definida en la red, esa capa sigue siendo necesaria para proteger contra amenazas provenientes desde el exterior por el canal principal de comunicaciones, pero ya no es suficiente para enfrentar las amenazas que pueden o ya han logrado ingresar por los canales alternos que se han formado como accesos inalmbricos, sistemas mviles y porttiles, lneas telefnicas, etc., muchos de estos a veces sin tenerlos previstos por los administradores de la red.Para una efectiva proteccin contra las mltiples amenazas que pudieran presentarse desde cualquier punto de entrada a la red, se asume que toda la red corporativa ya no es una sola unidad, sino que est compuesta de varios segmentos y sub-segmentos con objetivos bien determinados y por lo tanto con riesgos y amenazas de seguridad especficos que requieren del establecimiento de mecanismos de proteccin adecuados para cada uno de ellos.De esta manera, al establecer protecciones sobre los segmentos y grupos de segmentos, se estarn formando capas de proteccin una sobre la otra, donde se apoyaran mutuamente amplificando la capacidad de proteccin al quedar las debilidades de una capa cubiertas por las fortalezas de la capa que le sigue, y as, si un elemento hostil llega a derrotar una proteccin, existe una gran probabilidad de que el ataque quede anulado, reducido o al menos se gane tiempo para actuar con la proteccin que brinda la capa siguiente.Esta estrategia para la colocacin de las defensas es conocida como Defensa en Profundidad y tiene su origen en el mundo militar, donde desde el punto de vista del atacante, las barreras que tiene que cruzar para llegar a su objetivo ya no solo se encuentran a lo largo del frente de batalla, sino tambin en lo profundo del rea enemiga.

Figura 2. Defensa en capas

Las polticas, procedimiento y concientizacin forman la primera capa en la metodologa de Defensa en Profundidad, siendo esta la primera fase en el aseguramiento de la red, en sta se cubren los siguientes aspectos: Poltica de Seguridad de la Informacin. Es un documento de alto nivel que denota el compromiso de los administrativos con la seguridad de la informacin. Contiene la definicin de la seguridad de la informacin bajo el punto de vista de cierta entidad. Organizacin de Seguridad. Roles y Responsabilidades de Seguridad. Procedimientos y Estndares. Programa de Educacin de Seguridad.La seguridad fsica forma la segunda capa de la DiD, la cual cubre: Control de Acceso Fsico Monitoreo Vigilancia Alarmas Seguridad Perimetral Controles AmbientalesLa tercera capa es la del permetro y se encarga de cubrir: Firewall Pruebas de Penetracin Web Application Firewall (WAF) Sistemas de Deteccin/Prevencin de Intrusos (IDS/IPS) Virtual Private Network (VPN), Network Access Control (NAC) Red interna: VLANs ACLs Auditoria de Seguridad IDS/IPS 802.1X NAC SSL / TLS, SSH, KerberosHost: Controles de Contraseas Estndares de endurecimiento Gestin de Parches de Seguridad Prevencin de Intrusiones de Host (HIPS) Anti-malware Logs de seguridad Escaneo de VulnerabilidadesAplicacin: Tcnicas de Programacin Segura Polticas de Contraseas Controles de Acceso WAF Evaluacin de SeguridadDatos: Encriptacin, Ofuscacin Clasificacin ACLs Data Leak Prevention (DLP) Sanitizacin de Datos Digital Rights Management (DRM)Al llevar a cabo las acciones de cada uno de los aspectos antes mencionados obtendremos un artefacto aplicable para as poder minimizar los riesgos de seguridad y poder actuar ante cualquier amenaza de una manera proactiva.La estrategia de proteccin en profundidad deber llegar incluso hacia el interior de los sistemas de la institucin incorporando a los productos que se construyan dentro de la corporacin, los requisitos de seguridad que encajen de la misma manera en la estrategia de defensa en profundidad, reduciendo los riesgos ms elementales que puedan presentarse cuando estos sistemas estn en contacto directo con las personas.

Figura 3. Capas de la Defensa en Profundidad

Aplicacin de la Defensa en Profundidad.Polticas, Procedimientos y ConcientizacinPoltica de Seguridad de la Informacin.Se elaborar un documento de polticas de uso para cada uno de los diferentes lugares y/o dispositivos electrnicos que se encuentren dentro del edificio, por ejemplo que no se haga mal uso de las cuentas utilizadas para acceder a las computadoras dentro de las aulas activa, como: 1. Las contraseas de las cuentas debern de ser cambiadas cada inicio de semestre por el usuario de la misma.2. El respaldo de informacin deber hacerse al menos una semana antes de acabar las clases.3. Los archivos que se guarden en cada cuenta sern borrados al trmino del ciclo escolar.Organizacin de Seguridad.Se elegir a un comit se seguridad, el cual estar encargado de administrar la seguridad de la informacin y establecer un marco gerencial para iniciar y controlar su implementacin, as como para la distribucin de funciones y responsabilidades.El comit tendr a cargo el mantenimiento y la presentacin para la aprobacin de la presente poltica, ante los Responsables de los Programas de Ingeniera en Computacin e Ingeniera de Software, siendo ellos la mxima autoridad del edificio.Roles y Responsabilidades de Seguridad.Para que la seguridad sea efectiva, es importante definir roles individuales, responsabilidades y autoridades. Estas deben ser claramente comunicadas y entendidas por todos. En el mbito de la seguridad se identifican los siguientes roles:Dueos, es la entidad que descansa sobre una persona fsica o rol que es el responsable de la proteccin y uso del activo en cuestin. Es el dueo quien debe tomar las responsabilidades y ayudar para evitar cualquier acto de negligencia. Los dueos deciden sobre la clasificacin de sus activos y delegan la responsabilidad de mantener los niveles asociados a los custodios. El profesional de la seguridad debe ayudar a base de su experiencia y conocimientos al dueo.Custodio, es el rol que se encarga de mantener los niveles de proteccin adecuados en base a las especificaciones de los dueos. Las tareas que estos custodios deben realizar incluyen el respaldo peridico de los datos, implantacin de mecanismos de seguridad, verificacin regular de la integridad, restauracin a partir de los respaldos cuando sea necesario y cumplimiento de los lineamientos en las polticas de seguridad, estndares y guas pertinentes.El custodio no est autorizado a cambiar los niveles de seguridad ni clasificacin de los activos que cuida.Usuario, es considerado un individuo que utiliza regularmente a los activos para actividades relacionadas con su trabajo. Ellos deben tener los niveles necesarios de acceso de acuerdo a su posicin y deben seguir los procedimientos establecidos para salvaguardar la integridad, confidencialidad y disponibilidad para otros.Auditores, tienen un papel de tercero. Son responsables de proveer aseguramiento independiente a la administracin. Los auditores se encargan bsicamente de revisar y emitir reportes sobre el cumplimiento de los lineamientos de seguridad.Ser auditor es toda una disciplina aparte. Por esta razn se han desarrollado certificaciones profesionales para esta reaProcedimientos y Estndares.Programa de Educacin de Seguridad.Seguridad FsicaControl de Acceso FsicoMonitoreoVigilanciaAlarmasSeguridad PerimetralControles AmbientalesPermetroFirewallPruebas de PenetracinWeb Application Firewalls (WAF)Sistemas de Deteccin/Prevencin de Intrusos (IDS/IPS)VPN, NACRed InternaVLANsACLsAuditora de seguridadIDS/IPS802.1X, NACSSL/TLS, SSH, KerberosHostControles de ContraseasEstndares de EndurecimientoGestin de Parches de SeguridadPrevencin de Intrusos de Hosts (HIPS)Anti-malwareLogs de SeguridadEscaneo de vulnerabilidadesAplicacinTcnicas de Programacin SeguraPolticas de ContraseasControles de AccesoWeb Application FirewallEvaluacin de SeguridadDatosEncriptacin, OfuscacinClasificacinACLsData Leak Prevention (DLP)Sanitizacin de datosDigital Rights Management (DRM)

Conclusiones

Referencias[1] autor, titulo, editorial, edicin, ao de edicin.


TUBERIAS .docx

BIOLOGIA ++.docx

MATEM1. docx

PLANEFA .docx

M3_S4_Matriz_TPACK_para_el_diseño_de_actividades_mejorada .docx

Topografia Docx

CMOS .docx

fisuras .docx

Asiakolanabukatuta docx

SUELOS .docx

Doc2.Docx 10º GRADO. 9º - 8º Docx

La nutrició docx

CEFALEXINA .docx

SOLUCION_3 docx

recetas .docx

Revista2 docx

Insuficiencia cardiaca...docx

Manualdeusuariofedoraautoguardado docx

Danza Docx

costos-y-presupuestos (1).docx 6.docx

Docx 201512

analississs (2).docx 333.docx

Calderòn -.docx

UNIDADES .docx

Tic docx pagina docx 33

Singapur.hoy Docx

Nativoseinmigrantesdigitalesenlaescuela docx

Pakistán docx 25 docx luis

GEOFUENTES .docx

219157928-ANALISIS-DE-ARENA-docx (1).docx

NI !!!!!!!!!!!!!!!!!.docx

psiquiatria .docx

politica .docx

Realimentaciones docx

TESIS .docx