Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 TRABAJO COLABORATIVO 2 SEGURIDAD EN REDES ELABORADO POR: ING.GILBERT JAIR SANCHEZ AVILA TUTORA: ING-ESP. ELEONORA PALTA VELASCO UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA ABRIL DEL 2015 2 INTRODUCCIÓN La seguridad informática juega un papel muy importante en las organizaciones, ya que se definen los datos como uno de los activos más importantes para el funcionamiento de los servicios prestados, por tal motivo se hace indispensable generar herramientas de protección de los mismos a nivel físico y lógico, en la empresa del esposo vigilado la implementación de una serie de políticas de seguridad buscara de forma segura brindar la confidencialidad, disponibilidad e integridad de la información, con la que cuenta dicha empresa y que se ha visto comprometida por la ausencia de dichos controles. El informe lo podemos distribuir de la siguiente manera , primero vamos a mostrar la tabla con los ítems mencionados , luego vamos a mostrar la política de seguridad de manera más detallada , luego daremos recomendaciones técnicas tanto a nivel corporativo como de hogar para el equipo del esposo , recomendaciones de seguridad para el PC del esposo vigilado , estos puntos complementaran más a fondo la información de la tabla mostrada y por ultimo testimonios en el área de seguridad informática de los integrantes del grupo. Esperemos que este informe de solución y sea usado para implantar medidas de seguridad informática tanto en la empresa como en el hogar. 3 CONTENIDO INTRODUCCION ...................................................................................................................... 2 OBJETIVOS .............................................................................................................................. 4 OBJETIVO GENERAL .............................................................................................................. 4 OBJETIVOS ESPECIFICOS ..................................................................................................... 4 ENUNCIADO DEL PROBLEMA ............................................................................................... 5 DESARROLLO DE LA ACTIVIDAD .......................................................................................... 6 1. PLANTEAMIENTO DE UNA SOLUCIÓN TÉCNICA AL PROBLEMA EN MENCIÓN ........... 6 2. NIVEL DE IMPORTANCIA EN EL MUNDO ACTUAL DE ESTE PROBLEMA PLANTEADO, SEGÚN SU EXPERIENCIA, Y OBSERVACIÓN DE SITUACIONES SEMEJANTES EN EL MEDIO EN QUE SE DESENVUELVE .................................................................................... 11 3. PROPUESTA PARA SOLUCIONAR EL PROBLEMA DEL ESPOSO VIGILADO .............. 12 MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD PARA LA EMPRESA ......... 13 Seguridad del personal .................................................................................................... 13 Seguridad física................................................................................................................ 14 Seguridad y administración de operaciones de cómputo ................................................. 15 Administración y monitoreo de servidores ........................................................................ 16 Bases de datos................................................................................................................. 16 RECOMENDACIONES TECNICAS .................................................................................... 18 Protección a la base de datos .......................................................................................... 18 Protección redes inalámbricas ......................................................................................... 19 Protección a nivel físico .................................................................................................... 20 Protección a nivel de programación y software ................................................................ 20 Protección a nivel de redes .............................................................................................. 21 MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD PARA EL HOGAR ............. 23 Protección a nivel de sistema operativo y software .......................................................... 24 Protección a nivel físico .................................................................................................... 27 RECOMENDACIONES DE SEGURIDAD BASICA PARA LO DE LA ESPOSA .................. 27 4. CONCLUSIONES ............................................................................................................... 29 5. REFERENCIAS .................................................................................................................. 30 4 OBJETIVOS OBJETIVO GENERAL Aplicar una solución técnica de hardware y software en un caso específico de seguridad en redes para el entorno empresarial y personal, para asegurar la red y por ende la seguridad de la información de manera efectiva. OBJETIVOS ESPECIFICOS Validar para cada ítem de seguridad, una explicación técnica de su elección como posible solución al problema relacionado. Presentar la solución más adecuada al problema propuesto, tanto en hardware, software y políticas y estándares de seguridad. Realizar un manual de políticas para la empresa y el hogar en el manejo de la seguridad informática, basado en el problema propuesto. 5 ENUNCIADO DEL PROBLEMA En el siguiente video pueden observar un caso de inseguridad informática: https://www.youtube.com/watch?v=EQmkBHTcsbw TENER ENCUENTA LA SIGUIENTE INFORMACION: El esposo de la señora curiosa almacena la siguiente información de la Empresa donde Él trabaja, en su equipo de cómputo, donde tiene acceso su esposa: Bases de datos Las bases son de tipo dinámicas por procesar información que se está modificando diariamente y estáticas por guardar información histórica, entre ellas se pueden destacar: • Base de datos para procesar información financiera y administrativa. Considerada como muy sensible y de alto valor; estas bases de datos en Oracle 11G es administrada en conjunto con el aplicativo que se encuentra en desarrollo por el mismo profesional especializado del departamento financiero. • Base de datos de información comercial. En ella se realizan todos los procesos que involucre al usuario, como la información básica del cliente, información de atención al usuario, cartera y módulos de control del servicio ofrecido. • Base de datos documentales. Esta base administra la información documental que debe tramitarse en la compañía a nivel interno y externo, instalada en el mismo servidor del aplicativo. • Base de datos cuadros de mando. Esta base hace interfaz con todas las bases de datos de la compañía como: la base de datos financiera, facturación, información de control de calidad, de producción, actividades propias de la compañía, control o avance de proyectos. https://www.youtube.com/watch?v=EQmkBHTcsbw 6 DESARROLLO DE LA ACTIVIDAD 1. PLANTEAMIENTO DE UNA SOLUCIÓN TÉCNICA AL PROBLEMA EN MENCIÓN Una vez observado el video y de acuerdo a los aportes individuales de cada integrante del grupo, presentamos la solución más adecuada para el problema en cuestión. TABLA CONSOLIDADA CON LOS ITEMS ITEMS POSIBLES SOLUCIONES VALIDACIÓN Y EXPLICACIÓN Protección de memoria Protege el equipo en contra de código malintencionado en áreas de la memoria del equipo reservadas para código no ejecutable,mediante la implementación de un conjunto de tecnologías de hardware y software conocidas como Prevención de ejecución de datos (DEP); son capaces de supervisar los programas instalados para ayudar a determinar si la memoria del sistema se está utilizando de manera segura. Políticas de seguridad, software y elementos de hardware Resguardo de información que contengan datos importantes para la empresa, evitando el plagio y garantizando la disponibilidad, integridad y confidencialidad de los datos Controles de acceso Es el proceso de conceder permisos a usuarios o grupos de acceder a objetos tales como ficheros o impresoras en la red. El control de acceso está basado en tres conceptos fundamentales: identificación, autenticación y autorización. Lo que permite autenticar la identidad de los usuarios o grupos y autorizar el acceso a datos o recursos; son necesarios para proteger la Políticas de seguridad y herramientas biométricas Se debe regular y controlar el acceso a las áreas de misión crítica de la empresa evitando el acceso no autorizado mediante la implementación de dispositivos de seguridad. 7 confidencialidad, integridad y disponibilidad de los objetos, y por ende la información que contienen, pues permiten que los usuarios autorizados accedan solo a los recursos que ellos quieren para realizar sus tareas. Protección de los dispositivos hardware La protección física de dispositivos y un apropiado acceso aellos. Implementación de y normativas de seguridad a nivel industrial. Sistemas propensos a cambios de fluido eléctrico, interferencia, corte de cables y deterioro. Matrices de acceso Los derechos de acceso definen que acceso tienen varios sujetos sobre varios objetos, es decir permisos de lectura, escritura y ejecución sobre los objetos, mediante una matriz de control de acceso formada por: Filas para los sujetos, Columnas para los objetos y Celdas de la matriz para los derechos de acceso que un usuario tiene a un objeto. Dominios de protección y políticas de seguridad Implementar modelo que nos proporcione un mecanismo apropiado para especificar distintas políticas y definir e implementar un control estricto. Estructuras de datos Una estructura de datos define la organización e interrelación de éstos y un conjunto de operaciones que se pueden realizar sobre ellos. Definir políticas de seguridad, roles y funcionalidades. Declarar necesidades de información mediante la división de grupos de usuarios, derechos sobre la estructura de los datos, elaboración de informes, rutinas de trabajo y responsabilidades. Protección basada en lenguajes La protección se logra con la ayuda del núcleo del SO que valida los intentos de acceso a recursos. La especificación de Kernel del sistema operativo y políticas para uso de recursos. Especificar el control de acceso deseado a un recurso compartido con un sistema, políticas para la asignación y uso de recursos. http://www.monografias.com/trabajos6/napro/napro.shtml http://www.monografias.com/trabajos6/diop/diop.shtml 8 protección en un lenguaje de programación permite describir en alto nivel las políticas de asignación y uso de recursos. El programador de aplicaciones necesita un mecanismo de control de acceso seguro y dinámico para distribuir capacidades a los recursos del sistema entre los procesos de usuario. Las construcciones que permiten al programador declarar las restricciones tienen tres operaciones básicas: Distribuir capacidades de manera segura y eficiente entre procesos clientes. Especificar el tipo de operaciones que un proceso podría invocar en un recurso asignado. Especificar el orden en que un proceso dado puede invocar las operaciones de un recurso. Control de acceso por dominio Denegar el acceso a ciertos sitios de red permite hacer un uso más racional del ancho de banda con el que se dispone. El funcionamiento es verdaderamente simple y consiste en denegar el acceso a nombres de dominio o direcciones de Internet que contengan patrones en común Definir políticas de seguridad, roles y funcionalidades. Es importante realizar un estudio adecuado, segmentando las zonas, los grupos de acceso, horarios permitidos, nivel de acceso de cada usuario estableciendo claramente los objetos de cada control de acceso. Validación Es un mecanismo para admitir o denegar el acceso de usuarios. Administración de privilegios, contraseñas, derechos de acceso. Políticas y controles para asegurar la autenticidad del usuario mediante sistemas de verificación de identidad. 9 Técnicas de intrusión Una técnica de intrusión es un conjunto de actividades que tienen por objetivo violar la seguridad de un sistema informático. Estas técnicas no solo deben ser conocidas por los atacantes, es imprescindible que sean conocidas por todos aquellos profesionales de las tecnologías de información a fin de proteger y resguardar los sistemas y medios de información de manera veráz y oportuna Políticas de seguridad, controles de acceso lógico y físico. Conjunto de técnicas que permiten resguardar la información, con el fin de proteger y asegurar los sistemas y medios de información de manera veraz y oportuna. Contraseñas La contraseña es un mecanismo de protección, muy fácil de utilizar. Definir contraseñas seguras difíciles de descifrar, seleccionando criterios de generación. Se deben definir contraseñas seguras tanto en su longitud, estructura hexadecimal, alfa numéricas y que no estén asociadas a la vida personal, ni al trabajo, tampoco se deben almacenar en programas ni escribirlas en medios físicos. Antivirus Es el sistema defensivo contra virus, gusanos, troyanos y otras amenazas. Hoy en día un ordenador sin antivirus o con uno no actualizado, está expuesto a todo tipo de ataques cuyos nefastos resultados van desde la pérdida de datos vitales hasta el espionaje de todo lo que hacemos con él. Antivirus corporativo y de uso personal Permitirá la detección, bloqueo y eliminación, de virus que pueden afectar los datos teniendo un control sobre los dispositivos de almacenamiento, vías de comunicación, correo electrónico y páginas web. Protección del sistema operativo El sistema operativo es el Antivirus, firewall,actualizaciones del sistema. Permanecer en constante vigilancia, verificando y validandoposibles amenazas informáticas 10 entorno físico en el que se ejecuta la aplicación. Cualquier vulnerabilidad en el sistema operativo puede comprometer la seguridad de la aplicación. La protección del sistema operativo garantiza la estabilidad del entorno, el control del acceso a los recursos y el control del acceso externo al entorno. que pueden generar riesgos para nuestro sistema operativo. Protección para el usuario Tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma de cada usuario. Capacitaciones, recomendaciones y políticas de seguridad física y lógica. Todo usuario debe tener una inducción al buen uso de los diferentes sistemas de información, así como las políticas de seguridad y estándares. 11 2. NIVEL DE IMPORTANCIA EN EL MUNDO ACTUAL DE ESTE PROBLEMA PLANTEADO, SEGÚN SU EXPERIENCIA, Y OBSERVACIÓN DE SITUACIONES SEMEJANTES EN EL MEDIO EN QUE SE DESENVUELVE El problema planteado es de gran importancia en el mundo, ya que día a día la tecnología es más usada y en muchas ocasiones los usuarios no conocen las medidas que se deben tener en cuenta para no poner en peligro la información que guarda en su PC. En realidad, el asunto de la seguridad es algo que no sólo depende de todos los programas que vigilan” nuestroequipo, sino también de nosotros mismos. Aquí el factor humano (o sentido común) es tan importante como las estrategias de seguridad que implementamos con los programas adecuados. Actualmente ha habido continuas intrusiones a bases de datos de prestigiosas empresas como Sony han ubicado al tema de la fuga de información entre los más discutidos y controversiales de la agenda de medios Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma. 12 3. PROPUESTA PARA SOLUCIONAR EL PROBLEMA DEL ESPOSO VIGILADO Para poder dar solución al caso se deben tener en cuenta varios aspectos tanto técnicos como humanos. Iniciando por el usuario, el esposo de la señora curiosa no debe tener información correspondiente a la empresa en la que labora, en un equipo fuera de las instalaciones de la empresa, más precisamente información confidencial y vital como lo son las bases de datos financieras y administrativas, bases de datos de información comercial, base de datos documentales y cuadros de mando, código fuente, datos de gestión interna y copias de respaldo y sobre todo en un equipo sin protección alguna el cual es utilizado por su esposa para consulta y trabajo normal de un equipo de hogar. La empresa debe realizar implementación de políticas de seguridad en las cuales se establezcan claramente el uso de la información, el uso de los equipos de cómputo, los derechos de acceso a la información, los procesos y la confidencialidad de la información. Y basados en estas políticas realizar implementaciones de hardware y software que permitan el fortalecimiento de la seguridad de la información mediante el cumplimiento de estas políticas. En las implementaciones la empresa debe realizar una matriz de acceso en las cuales se establezca los permisos, restricciones y derechos de uso sobre la información, equipo de cómputo y recurso de red. Esta matriz se establecen mediante agrupaciones de roles sobre los cuales se establece reglas, aplicando todas las reglas a los usuarios pertenecientes al grupo y aun mejor también poder establecer reglas personalizadas a un usuario determinado, que en dado caso deba tener privilegios diferentes a los demás usuarios. Se deben establecer controles de acceso a equipos de cómputo, bases de datos, servidores, archivos, códigos fuente, etc. Mediante el uso de usuarios y contraseñas, certificados de seguridad y niveles de acceso. Una de las formas para realizar control de acceso es mediante la implementación de Directorio Activo el cual permite el establecimiento de reglas y políticas de seguridad, mediante la creación de un dominio para control de equipos de cómputo, creación de una matriz de acceso fácil de administrar, adicionalmente se puede utilizar para diferentes tipos de autenticación de software, bases de datos y sistemas operativos. También se debe realizar una implementación de software antivirus actualizado y configurado de acuerdo a las políticas de empresa, entre las cuales se recomiendo es escaneo constante de correos electrónicos, bloqueo de memoria extraíbles, hasta que sean analizadas en buscas de virus y software malicioso, etc. Para las copas de seguridad la empresa ya tiene contractada una compañía la cual se encarga de hacer custodia de estas, para esto se deben garantizar la autenticidad, integridad y confidencialidad de la copias de seguridad, por lo cual es recomendable la encriptación de las copias de seguridad permitiendo generar un código hash el cual se pueda validar en caso de requerir la copia para efectos de restauración garantizando que la copia es auténtica y no ha sufrido modificación alguna, conservando la estructura de datos. 13 Para protección de la información en discos duros y o memorias extraíbles es recomendable la encriptación de estos mediante software especializados para tal efecto. En Windows existe el software BitLocker el cual permite el cifrado completo de unidades de disco duro o memorias extraíbles. Para protección de sistema operativo se debe establecer controles de acceso, lo cual se puede realizar mediante directorio activo, así garantiza el acceso al equipo de cómputo y la información contenida en el equipo se únicamente por el usuario dueño del mismo. También se deben verificar los programas instalados, eliminado los que no se usen, realizar una optimización del firewall del sistema operativo permitiendo solo lo necesario y restringiendo lo demás. Se deben establecer ciertos parámetros de seguridad en las aplicaciones de software mediante el código, una buena aplicación debe estar desarrollada en tres capas, capas de presentación, capa negocio y capa de datos, igualmente debe contar con un módulo de autenticación y roles el cual restrinja el uso del mismo. También se debe realizar capacitaciones contantes al personal de la empresa del buen uso de los sistemas informáticos enfocados en los procesos de la empresa, dar a conocer la normatividad interna como también las políticas de seguridad, dar a conocer las legislación del país y sus implicaciones legales. De acuerdo a la situación presentada realizamos un manual para el empleado tanto para la empresa como para el hogar. MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD PARA LA EMPRESA Para la elaboración del manual de políticas de seguridad para la empresa del esposo vigilado se tendrán en consideración los siguientes aspectos Seguridad del personal Política: Todo usuario deberá firmar un documento que garantice la confidencialidad de la información manipulada en sus diferentes sistemas de información de la empresa. Obligaciones: Es obligatorio para todo usuario cumplir con las políticas y normas establecidas por la empresa. Acuerdos de uso y confidencialidad: Todo usuario debe firmar el convenio de aceptación de la confidencialidad y uso adecuado de los sistemas de información de la empresa. Entrenamiento en seguridad informática: Todo usuario nuevo debe tener una inducción al buen uso de los diferentes sistemas de información, así como las políticas y estándares orientados por la oficina de sistemas donde se dan a conocer las respectivas obligaciones. 14 ✓ Todos los usuarios serán capacitados en cuestiones de seguridad de la información según las funciones que desarrollen. Medidas disciplinarias: Cuando el departamento de sistemas identifique el incumplimiento de las políticas de seguridad será reportado o denunciado a la dependencia interna de control para efectos de hacerlas cumplir. Seguridad física Política: Los mecanismos de control de acceso físico del personal a las diferentes áreas de infraestructura tecnológica deben ser permitidos únicamente a personal autorizado, salvaguardando la integridad de los equipos de cómputo y comunicaciones. Resguardo y protección de la información: El usuario deberá reportar cualquier tipo de incidente que suceda dentro de la organización evitando posibles daños tecnológicos y de infraestructura. ✓ El usuario debe proteger los diferentes medios de respaldo de información que contengan datos importantes o confidenciales de la empresa. ✓ Es responsabilidad del usuario evitar el plagio de información de la empresa que se encuentre en los equipos de cómputo asignado. Controles de acceso físico: Las personas que pretendan ingresar con algún elemento físico, dispositivos móviles y portátiles, debe ser registrado. ✓ Se debe regular y controlar el acceso a las áreas de misión crítica de la empresa, data center, evitando el acceso no autorizado. ✓ Se debe contar con un sistema de credenciales que permita la identificación del personal de la empresa. Seguridad en áreas de trabajo: las diferentes áreas de la empresa son restringidasy se ingresan a ellas solo personal autorizado. Protección y ubicación de los equipos: Los usuarios no deben trasladar los equipos de cómputo, de telecomunicaciones, instalar o desinstalar dispositivos sin la autorización previa. ✓ El área de control de seguridad se encargara de generar el resguardo y recolectar la firma del usuario responsable de los activos informáticos que se le asignen. ✓ El equipo asignado deberá ser de uso exclusivo de las funciones de la empresa. ✓ Se deberá realizar capacitaciones a los usuarios de las herramientas informáticas con el fin de evitar riesgos de mal uso. 15 Seguridad y administración de operaciones de cómputo Política: Los usuarios deberán utilizar los mecanismos de la empresa para realizar las copias de seguridad protegiendo la información y garantizando la confidencialidad, deben conocer y aplicar las medidas para la prevención de código malicioso como virus, troyanos y gusanos de red. Uso de medios de almacenamiento: Para el uso de información compartida, medios USB, FTP, y discos virtuales deberá contar con la autorización de las directivas de la empresa. ✓ Los usuarios deben respaldar la información crítica que se encuentre en sus estaciones de trabajo. ✓ Los usuarios deben conservar la información que se encuentra activa y aquella que se ha almacenado para la realización de auditorías. Instalación de software: Los usuarios que necesiten realizar instalación de software deben contar con aprobación previa del departamento de seguridad y director del área. Identificación del incidente: Los usuarios que detecten cualquier situación sospechosa como información importante revelada, modificada, alterada o borrada sin la autorización se debe reportar al área correspondiente. Administración de la configuración: Los usuarios de las diferentes áreas de la empresa no deben modificar las configuraciones de los equipos sin autorización previa por parte del área encargada. Seguridad para la red: Sera considerado un ataque a la seguridad informática cualquier actividad realizada por un usuario que realice la exploración de los recursos informáticos de la red de la empresa en busca de una posible vulnerabilidad. Uso de correo electrónico: Los usuarios deben de contar con un correo institucional previamente asignado para el desarrollo de sus actividades y no deben usar cuentas de correo electrónico asignadas a otras personas, ni recibir mensajes en cuentas diferentes al correo asignado. ✓ Los usuarios deben tratar la información enviada por los correos como confidencial y propiedad de la empresa. ✓ Los usuarios podrán enviar información reservada y confidencial vía correo electrónico siempre y cuando vaya encriptada y destinada exclusivamente a personas autorizadas. ✓ El usuario debe hacer uso del correo electrónico única y exclusivamente para los recursos que le hayan sido asignados y las facultades que se le hayan sido atribuidas para el desempeño de su empleo o cargo. 16 Controles contra código malicioso: Para prevenir infecciones por virus los usuarios no deben hacer uso de cualquier clase de software que no haya sido proporcionado por la empresa. ✓ Los usuarios deben verificar que la información almacenada en los diferentes medios de respaldo y en equipos de trabajo estén libres de código malicioso, ejecutando el antivirus de la organización. ✓ Todos los archivos provenientes de fuentes internas o externas deben ser verificados que estén libres de virus utilizando el antivirus autorizado. ✓ Cualquier usuario que tenga sospechas de virus deberá dejar de usar inmediatamente el equipo y llamar al área encargada para la eliminación del mismo. ✓ Los usuarios no deberán alterar las configuraciones de seguridad establecidas por la empresa. Internet: el acceso a internet provisto por la empresa es de uso exclusivo a actividades relacionadas con el puesto y función que desempeña. ✓ Todos los accesos a internet tienen que ser realizados atreves de los canales de la empresa. ✓ Prohibición al acceso a páginas no autorizadas Administración y monitoreo de servidores Para llevar a cabo el control de los diferentes servicios que presta la empresa se hace necesario contar con las siguientes recomendaciones: ✓ La administración de los servidores se debe realizar únicamente por personal autorizado por el área de seguridad de la empresa ✓ Se debe implementar firewall para el control de acceso a los servicios definiendo políticas de seguridad y llevando control sobre los diferentes eventos y posibles ataques. ✓ El acceso a la configuración de los servidores se debe realizar únicamente por el usuario administrador Bases de datos Que contienen toda la información financiera, administrativa y comercial de la empresa del esposo vigilado deberán contar con los siguientes controles para evitar posibles fallas de seguridad que pondría afectar la confidencialidad y disponibilidad de la información. 17 ✓ El administrador de base de datos es el encargado de asignar los roles para acceso a consultas y reportes. ✓ La asignación de contraseñas se realiza por medio del administrador de base de datos y con autorización previa de la dirección. ✓ El administrador de base de datos no deberá eliminar información del sistema, se deberá garantizar copias de seguridad. Controles de acceso lógico Política: El coordinador del área de sistemas proporcionará toda la documentación necesaria y accesoria para la utilización de los sistemas de información de la empresa, así como los roles y funcionalidades correspondientes para el buen desempeño de sus funciones, también asignará identificador de usuario y contraseñas necesarios para acceder a la información y a la infraestructura tecnológica de la empresa. El acceso a la infraestructura tecnológica de la empresa por personal externo debe ser autorizado por el Director de área y notificado a las directivas. ✓ Todos los usuarios son responsables de su UserID y Password para uso y acceso a los recursos informáticos. ✓ Los usuarios no deben proporcionar información a personal externo, de los mecanismos de control de acceso a las instalaciones tecnológicas de la empresa. ✓ Los usuarios son responsables de todas las tareas realizadas por su identificador (UserID), por lo tanto es prohibido que otros usuarios utilicen sus identificadores de usuario. Administración de privilegios: Cualquier cambio de los roles y responsabilidades de los usuarios deben ser solicitados al área de seguridad de la empresa y con visto bueno del Director del área. Equipo desatendido: Los usuarios deberán de mantener los equipos de cómputo con controles de acceso como contraseñas y protectores de pantalla previamente instalados y autorizados. Control de accesos remotos: Se debe hacer solicitud al área de seguridad y directivas, para conexiones externas. Administración y uso de contraseñas: La asignación de contraseña se debe realizar de forma individual y no se debe compartir. 18 ✓ Cuando un usuario olvide, bloquee o extravié su clave, deberá levantar una solicitud haciendo uso de los formatos de calidad de la empresa, para que sea generado y luego ser cambiado por el usuario. ✓ Se prohíbe dejar las contraseñas visibles o escritas en lugares que pueden ser descubiertas por personal no autorizado. ✓ Sin importar las circunstancias las claves no se deben compartir es responsabilidad del usuario mantener confidencialidad. Para la asignación y construcción de contraseñas se deben de tener en cuenta las siguientes características: • Las contraseñas deben de tener una longitud segura entre 6 a 10 caracteres, dichos caracteres deben de ser alfa numéricos • Las contraseñas deben ser difíciles de adivinar y no estar asociadas a la vida personal o trabajo del usuario. • Se debe cambiarperiódicamente. • Las contraseñas no se deben almacenar en ningún programa que facilite recordarlo. RECOMENDACIONES TECNICAS Protección a la base de datos En vista de que la base de datos del empleado maneja mucha información clasificada y confidencial de la empresa unas alternativas de protección a las bases de datos serian: Usar procedimientos almacenados ya que los usuarios no necesitan permisos para acceder a las tablas, sino permisos de ejecución a procedimientos y funciones para las respectivas operaciones de manipulación de datos, por ejemplo consultar una factura. Usar vistas a la hora de diseñar las bases de datos, ya que con estas se restringe la información que ve el usuario acerca de la estructura de bases de datos y tablas. Establecer niveles de acceso en los sistemas de bases de datos por medio de creación de privilegios de grupos según el cargo en la empresa y la dependencia o departamento de esta, ya que habrá algunos departamentos que no necesitan manipular tanta información, podemos conceder permisos para: creación de cuentas, concesión y revocación de privilegios y asignación de los niveles de seguridad, también podemos establecer mecanismos de autentificación a usuarios y de acceso a objetos de la bases de datos. Por ejemplo en el lenguaje SQL podemos hacer esto con las órdenes GRANT y REVOKE para conceder privilegios. 19 Evitar la inyección de SQL ,controlando los strings o cadena de caracteres como puntos y comas sueltos , instrucciones como droptable o delete , también para ayudarnos en este tema podemos usar firewall de bases de datos por ejemplo: green SQL , lo que hace la herramienta es evaluar los comandos SQL recibidos y basándose en una lista que podemos definir como sentencias peligrosas para la integridad de nuestra aplicación Web y base de datos, como por ejemplo: DROP, CREATE, ALTER, INSERT, etc, trabajando en modo proxy revisando las conexiones a puertos de bases de datos y evaluando comandos SQL enviados o ORACLE DATABASE FIREWALL , el cual proporciona una primera línea de defensa para bases de datos y consolida los datos de auditoría de bases de datos, sistemas operativos y directorios. A muy precisos monitores y bloques tecnológicos basados gramática-SQL tráfico no autorizado de SQL antes de que llegue la base de datos. Información de la red se combina con la información de auditoría detallada de los informes de cumplimiento fácil y alerta. Con Oracle Audit Vault y Database Firewall, controles de monitoreo pueden ser fácilmente adaptados para satisfacer los requisitos de seguridad de la empresa. Estos son los firewall de protección de bases de datos más importantes que hay en el mercado actual. Establecer medidas para hacer las respectivas copias de seguridad diaria , semanal , mensual usando mecanismos como de almacenamiento de bases de datos como : full Backup o copia completa de la base de datos , incremental , diferencial , por logs que son los registros del sistema , snapshots que son los famosos ISO o imagen de sistema , se puede hacer ISO de bases de datos , incluso ISO de sistemas operativos demás software contenido en un equipo. Todos los sistemas de información que se tengan en operación, deben contar con sus respectivos manuales actualizados. Un técnico que describa la estructura interna del sistema así como los programas, catálogos y archivos que lo conforman y otro que describa a los usuarios del sistema y los procedimientos para su utilización. Los datos guardados en las bases de datos deben contemplar registro histórico de las transacciones, entre ellos principalmente la clave del usuario y fecha en que se realizó la consulta y/o modificación Protección redes inalámbricas Si la organización cuenta con red inalámbrica implantar mecanismos de seguridad como Access Point con parámetros de seguridad, estándares WPA, WEP, 802.11X, ya que las redes inalámbricas son más susceptibles a interceptaciones de la señal porque esta va en el aire que las redes cableadas. 20 Protección a nivel físico Proteger los datos contra fuego, robo y sabotaje estableciendo medidas de acceso al personal ajeno a las dependencias de sistemas por medio de tarjetas con algún código definido, cámaras de seguridad para vigilar las instalaciones y medidas de protección física a las instalaciones como UPS para evitar pérdidas en cuanto al aumento de voltaje eléctrico o ausencia de luz, extintores, alarmas, también podemos complementar lo dicho anteriormente con los siguientes conceptos: ✓ Protección electrónica: La empresa deberá contar con sistema de seguridad mediante sensores que estarán conectados a centrales de alarmas que alertaran al personal de seguridad sobre cualquier situación de emergencia. ✓ Circuitos cerrados de televisión: Mediante la implementación de cámaras de seguridad colocadas en lugares estratégicos de forma visible para ser utilizada como medida disuasiva u ocultas para evitar que el intruso sepa que está siendo monitoreado, estos elementos deberán contar con un sistema de control contra sabotaje, de tal manera que si se produce algún daño se envíe una alerta a la central de seguridad. ✓ Sistemas biométricos: la empresa debe contar con sistemas de autenticación la cual guarda y compara características únicas para la identificación de los usuarios, se debe definir una persona la cual será encargada de actualizar la base de datos y mantenimiento de los dispositivos, para ello se podrían realizar autenticaciones por medio de Huella digital, verificación de voz y patrones oculares. ✓ Instalación eléctrica: La empresa debe contar con todas las normativas de seguridad a nivel industrial, puesto que los sistemas están propensos a cambios en el fluido eléctrico afectando los sistemas de cómputo y al usuario en general, los riesgos más comunes son la interferencia, corte del cable, daños por deterioro, el cableado de red también genera métodos de ataque que van desde la desviación de la red y escucha de la misma sin conexión, para mitigar este tipo de inconvenientes se hace necesario: • Cableado de alto Nivel de seguridad • Pisos de placas extraíbles • Sistemas de aire acondicionado Protección a nivel de programación y software Encriptar la información de conexión de la base de datos (usuario –password-servidor) haciendo uso de los ficheros de configuración de las aplicaciones o usando los recursos por el servidor de aplicaciones para tal fin. Los programadores deben diseñar los software a prueba de intrusiones por lo tanto no deben saltarse los controles, ya que muchas veces la parte software es susceptible a 21 ataques como backdoors o puertas traseras o rookits, de los cuales son diseñados para acceder a los sistemas de información de una organización. Los usuarios temporales deben ser configurados por el administrador por un periodo tiempo determinado. Una vez expirado dicho período, se desactivará su acceso automáticamente. Toda persona o usuario debe renovar contraseña, con el fin de contribuir a la seguridad de los servicios de autorización, cuando ésta sea una contraseña débil o de fácil acceso, en la posibilidad de que crea que ha sido violada la contraseña de alguna manera. Al Antivirus, la cual mínimo cada mes se le debe realizar verificación de actualización de las firmas de antivirus y licenciamiento proporcionadas por el fabricante de la solución antivirus ya que dicho equipo se conecta tanto a la red mundial internet y administra o reposa información de la empresa. Copias de códigos fuente manejados por los diferentes proveedores del software y encargados de estar actualizando los requerimientos propios de la compañía. Protección a nivel de redes Usar técnicas de cifrado para proteger la información contenidas en bases de datos distribuidas o con acceso a internet, ejemploservidores de bases de datos que están en la DMZ (sección de red que está en un punto medio entre la red internet y la red de intranet interna de la empresa).podemos usar también redes privadas o VPN para acceder a la red empresarial de forma confiable aun si el usuario no está en la oficina con su equipo sino en el hogar , utilizando protocolos como el IPSEC para implantar una red más segura en nuestra organización. Hacer monitoria de los usuarios conectados a la base de datos, estableciendo cual su dirección IP, puertos que usan para la conexión a las bases de datos y registrando los movimientos que hacen .para esto nos podemos ayudar revisar los LOGS o registros de auditoría de las aplicaciones, también existen programas que nos ayudan en el monitoreo de la red como WIRESHARK el cual es es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica, examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete, además cuenta con interfaz gráfica y filtrada de información. Implementar mecanismos de prevención y protección a nivel de hardware como de software como: Firewalls, IDS/IPS (sistemas de prevención y detección a intrusos), sistemas AAA, pasarelas antivirus y anti-spam UTM (gestor integrado de amenazas, el cual fusiona dentro de un solo dispositivo o software las características mencionadas), usando técnicas de seguridad perimetral. 22 Podemos complementar lo dicho aquí con los siguientes conceptos para mayor profundización: ✓ Firewall: Es un elemento de hardware o software ubicado entre dos redes y que ejerce una política de seguridad establecida, para la empresa se debe implementar dicho sistema con el fin de evitar que cualquier atacante se aproveche de las vulnerabilidades de la red de la empresa. ✓ Criptografía: Permitirá a la empresa cifrar los documentos transmitidos por una red de datos, protegiéndolo mediante la generación de contraseñas cifradas, que solo el emisor y el receptor conocen, eso permite establecer una conexión segura para la empresa. ✓ Sistemas de detección de intrusos (IDS): La empresa deberá contar con herramientas que detecten y alerten sobre las instrucciones realizadas por ataques informáticos en un sistema de información o en red de datos. 23 MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD PARA EL HOGAR Es esencial mantener la computadora segura para proteger la privacidad, reducir el riesgo del robo de identidad y evitar que los hackers la controlen. Desafortunadamente, no siempre es fácil esta labor. Los hackers con frecuencia parecen estar un paso más adelante del público, incluso de las personas que utilizan los mejores métodos de seguridad. Para proteger la privacidad e información sensitiva se requiere tomar varias medidas, incluyendo prevenir, detectar y responder a una gran variedad de ataques. Hay muchos riesgos, y unos son más serios que otros. Algunos de los peligros son: • Virus que infectan todo su sistema. • Personas que entran a su sistema y hacen modificaciones a sus archivos. • Hackers que usan su computadora para atacar a otros. • Ladrones que roban su computadora y su información personal. No existen garantías de que algunas de estas cosas no sucedan, incluso tomando las mejores precauciones. Sin embargo se pueden tomar medidas para minimizar los riesgos de la computadora e información personal. Finalmente, la seguridad de su computadora depende de cada uno de los usuarios. Se recomienda: 1) Tener siempre activo un programa antivirus y un antispyware; lo recomendable es noconfiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus y antispywares en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar. 2) Igual de importante que el tener el antivirus instalado es tenerlo actualizado al máximo. Actualmente, las actualizaciones son diarias en la mayoría de los programas, o como mínimo semanales, por lo que si el antivirus que tenemos no se actualiza con una frecuencia máxima de una semana, lo mejor sería cambiarnos a otro que tuviese actualizaciones diarias o varias semanales. Lo mismo ocurre con un programa antispyware, debemos tenerlo lo más actualizado posible, ya que así se corrigen agujeros de seguridad que pueden poner en riesgo nuestra seguridad. Muchos gusanos en la actualidad tienen éxito debido a la pereza de los usuarios a actualizar sus programas, por lo que una conciencia de renovación continua de los programas de nuestros ordenadores, en especial aquellos más delicados como navegadores, sistemas operativos, clientes de P2P y otros, es básica para estar seguros. Probar varios antivirus, firewalls, antispyware etc., descargando su versión trial (versión de prueba) que suele durar entre 15 y 30 días, con lo que podremos probar varios antes de decidirnos por comprar el que más se adapte a nuestras necesidades. 3) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben tomar igualmente las precauciones correspondientes. Asegurarse con esa persona del envío, y nunca ejecutarlos antes de pasar el antivirus actualizado a estos archivos. Ante cualquier duda, simplemente se debe optar por borrar el mensaje y los archivos adjuntos. 24 4) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en la propia WEB respectiva. 5) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, debemos hacer como con los archivos adjuntos, examinarlos con el antivirus antes de ejecutarlos o descargarlos. 6) Concienciar a la familia del uso del computador y de las amenazas de seguridad que puede afectar la información almacenada en el Pc. 7) No se debe almacenar información confidencial de la empresa en el Pc del hogar. 8) Mínimo debe tener: Controles de acceso, Protección de los dispositivos hardware, Matrices de acceso, Validación, Contraseñas, Antivirus, Protección para el usuario, entre otros para minimizar las posibles amenazas que puede verse afectado su entorno familiar. Protección a nivel de sistema operativo y software Instalar un sistema operativo preferiblemente licenciado, ya que se ofrece mayor soporte ante los problemas técnicos y permite mayor facilidad de actualizaciones o parches de seguridad. Hacer operaciones de mantenimiento del sistema operativo como el scandisk para revisar la superficie del disco duro encontrar errores y corregirlos, desfragmentar el disco duro para que este funcione más rápido en cuanto a la búsqueda de archivos del sistema, también se puede liberar espacio en disco para que el equipo funcione mejor. Desinstalar programas que ya no se necesiten y si se va instalar algún programa nuevo en ese equipo preferiblemente descargar los instaladores de una página segura e instalar software licenciado. Instalar un antivirus, ojala sea corporativo y licenciado para mayor garantía y seguridad del equipo además más las versiones licenciadas de los antivirus cuenta con más funcionalidades de seguridad incluso su base de datos de definiciones de virus es más efectiva que un antivirus gratuito. Instalar y configurar un firewall personalizado en ese equipo en el caso de Windows este dispone de un firewall , si en inicio donde está la barra de búsqueda de los programas escribimos firewall nos sale una opción que dice firewall de seguridad avanzada: 25 En caso de que el equiposea Linux podemos configurar el firewall IPTABLES que es el firewall incorporado en Linux. cuando vayan a navegar en internet tanto el usuario como la esposa de este revisar que la barra de direcciones del navegador se muestre asíhttps:// que nos indica navegación segura y no descarga programas o archivos de sitios desconocidos. No abrir correos desconocidos, ni llenar información de formularios bancarios pidiendo información personal ya que se puede ser víctima del phishing, por lo general los bancos nunca piden datos por internet. En caso de alguna falla en el equipo podemos usar herramientas de mantenimiento de sistemas como IRON BOOT. Estas medidas las podemos complementar con los siguientes conceptos y recomendaciones: a. Antivirus: que permitirá la detección, bloqueo y eliminación de virus que puedan afectar los datos como el sistema del equipo, nos permite tener un control sobre los dispositivos de almacenamiento, las vías de comunicación de internet, correo electrónico y páginas web. Recomendaciones: • Se debe programar la actualización del antivirus. • Verificar los correos antes de abrirlo, sobre todo los que contengan archivos adjuntos y de fuentes sospechosas 26 • Evitar descargas de programas y archivos de páginas web no seguras. b. Anti espías: Es una herramienta que detectan, bloquean e impiden la ejecución de los mismos que son destinados a espiar las actividades realizadas en nuestros computadores con el fin de robar información. Recomendaciones: • Programar la actualización de la herramienta • Verificar procedencia de ficheros adjuntos al correo • No descargar ficheros de fuentes desconocidas c. Firewall: son herramientas personales que se encargan de controlar las conexiones entrantes y salientes del computador, realizando filtros de información según la configuración que realicemos y que vallan acordes a nuestras necesidades. Recomendaciones: • Instalar cortafuegos y mantenerlo actualizado. • Identificar las aplicaciones confiables y usuarios autorizados • Se debe complementar con un antivirus ya que este no brinda soluciones contra virus y software espía. • Revisión de los mensajes y actividad del firewall. d. Control parental: Es una herramienta que permite bloquear, restringir o filtrar el acceso a determinada información de internet, estableciendo límites de tiempo de uso del equipo, evita el uso de juegos, bloqueo de páginas y limita el uso de aplicaciones del sistema. Recomendaciones: • Se deben configurar la herramienta y el sistema de tal forma que no pueda ser desactivada por cualquier usuario. e. Protección web: Son herramientas encargadas de proteger al sistema y al usuario de páginas falsas, código malicioso e ingeniería social. Recomendaciones: • Mantener actualizado el sistema del computador • Mantener actualizados los motores de navegación • Utilizar esta herramienta combinada con antivirus y anti espías • No visitar páginas web no seguras 27 Protección a nivel físico En el equipo si es de escritorio debe usarse un estabilizador para regular la energía eléctrica, ojala este PC esté conectado a un polo a tierra para evitar sobrecargas eléctricas de ejemplos por rayos y truenos, si es portátil revisar la batería. Cuando no esté usando el equipo es preferible tenerlo apagado si es un PC de escritorio este debe estar en una ubicación segura de la casa y si es portátil guardarlo en un sitio con llave. Revisar el estado de las conexiones eléctricas cables o enchufes para evitar cortos circuitos. Además los datos de los sistemas de información, deben ser respaldados de acuerdo a la frecuencia de actualización, guardando respaldos, ya sea enCDs, DVDs, disco duros portables servidores de respaldo externo (Google Drive) o en medios de almacenamiento alternos, guardándolos en lugar de acceso restringido con condiciones ambientales aptas para garantizar su conservación. 28 RECOMENDACIONES DE SEGURIDAD BASICA PARA LO DE LA ESPOSA ❖ La recomendación más importante que doy es hablar con la esposa sobre la importancia de que ese equipo este en buen estado por la información importante que tiene el esposo en este y que sirve para los propósitos empresariales, arreglar o conciliar cualquier altercado que tenga con la mujer en caso de que exista sospecha de infidelidad o algún otro tipo de pleito ya que una esposa furiosa o despechada se desquita de cualquier manera. ❖ También debemos enseñarle a la esposa en aspectos como el manejo básico del computador, enseñarle a navegar por internet, uso del antivirus enseñarle aspectos básicos de seguridad informática y uso de sistemas operativos ya mencionados, en conclusión capacitarla. ❖ También los manejadores de bases de datos que tengan en ese equipo y los software corporativos para su acceso deben tener usuario y contraseña ❖ También en nuestro equipo podemos establecer sesiones de usuarios diferentes en los sistemas operativos, siendo el esposo el que tenga los privilegios del administrador ❖ Podemos configurarle el password a la BIOS para que la esposa no pueda acceder al equipo en caso de que quiera prender el equipo y nosotros no queramos que acceda en ese momento. ❖ Otra precaución seria que cuando por alguna razón dejemos nuestro PC encendido coloquemos protector de pantalla y ojala por contraseña y se active el protector de pantalla en un periodo corto de inactividad. ❖ Otra precaución que debemos tener en cuenta es no prestar ese equipo, si en dado caso se presta hacer un formato que indique el nombre de la persona que lo uso junto con sus datos personales , fecha de entrega y que fue lo que hizo en el equipo. ❖ Programas como OSFORENCICS y AUTOPSY nos permite revisar el estado del equipo y que se ha hecho con este, incluso nos permite recuperar datos eliminados dado algún sabotaje. ❖ Sobra decir y ya lo hemos dicho la vez pasada ojala las contraseñas usen caracteres alfanuméricos y caracteres especiales y no sean largas y no sean predecibles como usar para contraseña el nombre del novia/novio , fecha de nacimiento, nombre de la mascota etc…ejemplo: GilbertJ@ir#7426$ En conclusión si seguimos al pie de la letra esta las políticas y recomendaciones técnicas que damos el riesgo de que pase algo grave con ese equipo será mínimo. 29 4. CONCLUSIONES ✓ La aplicación de un caso concreto sobre la seguridad de las redes, nos permite dar solución a los posibles problemas encontrados de manera integral combinando los componentes de hardware y software ✓ La organización o empresa y en los computadores personales debe establecer políticas de seguridad para asegurar de manera efectiva las redes y los sistemas de información. ✓ Concienciar al personal o al usuario final de un sistema mediante capacitaciones sobre la seguridad informática y las amenazas que asechan la red. ✓ La seguridad total no existe, incluso tomando las mejores precauciones. Sin embargo se pueden tomar medidas para minimizar los riesgos de la computadora e información personal. Para garantizar las propiedades de la información; la disponibilidad, la integridad y la confidencialidad. ✓ Las políticas y estándares de seguridad informática tienen por objeto establecer medidas y patrones técnicos de administración y organización de las Tecnologías e Información y Comunicaciones TIC´s de todo el personal comprometido en el uso de los servicios informáticos 30 5. REFERENCIAS [1] translate.google.com.co/, «Descripción de copias completas y copias de seguridad diferenciales,» [En línea]. Disponible: http://translate.google.com.co/translate?hl= es-419&sl=en&u=http://support.microsoft.com/en-us/kb/136621&prev=search. [Últimoacceso: 04 2015]. [2] criptored.upm.es y A. Ramos Fraile, «Lección 5: seguridad Perimetral,» 02 2011. [En línea]. Disponible: http://www.criptored.upm.es/intypedia/docs/es/video5/ DiapositivasIntypedia005.pdf. [Último acceso: 04 2015]. [3] datateca.unad.edu.co, «Manual de Seguridad Básica Informática,» 2009. [En línea]. Disponible:http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/ manual_seguridad_basico.pdf. [Último acceso: 04 2015]. [4] apuntesinformaticaforense.blogspot.com, «HERRAMIENTAS PARA INFORMATICA FORENSE,» 25 11 2014. [En línea]. Disponible: http://apuntesinformaticaforense.blogspot.com/. [Último acceso: 04 2015]. [5] taringa.net, «Atención con este xploit con asunto de Facebook,» 2010. [En línea]. Disponible: http://www.taringa.net/posts/info/5514631/Atencion-con-este- xploit-con-asunto-de-Facebook.html. [Último acceso: 04 2015]. [6] M. Benítez, «GESTION INTEGRAL,» 2013. [En línea]. Disponible: http://www.gestionintegral.com.co/wp- content/uploads/2013/05/Pol%C3% ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdf. [Último acceso: 04 2015]. [7] J. Correa López, «MANUAL DE POLITICAS Y ESTANDARES EN SEGURIDAD INFORMATICA,» [En línea]. Disponible: http://www.intenalco.edu.co/MP_V01.pdf. [Último acceso: 04 2015]. [8] A. ARRIETA , «POLÍTICAS Y NORMAS DE SEGURIDAD,» 2011. [En línea]. Disponible: http://www.cvs.gov.co/jupgrade/images/stories/docs/Alertas/Politicas_de_Seguridad_ Informatica_CVS_2011-.pdf. [Último acceso: 04 2015]. [9] ministeriodetecnologia.org, «MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS,» [En línea]. Disponible: http://ministeriodetecnologia.org/ayuda/Manual%20de%20Politicas%20y% 20Seguridad%20Informatica.pdf. [Último acceso: 04 2015]. [10] gitsinformatica.com, «Privacidad: Seguridad Lógica y Física,» [En línea]. Disponible: http://www.gitsinformatica.com/seguridad%20logica%20fisica.html. [Último acceso: 04 2015]. [11] Instituto Nacional de Tecnologias de la Comunicación, «Guia de Herramientas de Seguridad para Hogares,» 12 2008. [En línea]. Disponible: http://www.xarxasegura.net/attachment.php?key=47. [Último acceso: 04 2015]. 31 [12] oracle.com, «Oracle Audit Vault and Database Firewall,» [En línea]. Disponible: http://www.oracle.com/technetwork/database/database-technologies/ audit-vault-and-database-firewall/overview/index.html. [Último acceso: 04 2015]. [13] wireshark.org, [En línea]. Disponible: https://www.wireshark.org/. [Último acceso: 04 2015]. [14] es.kioskea.net/, «VPN - Redes privadas virtuales,» [En línea]. Disponible: http://es.kioskea.net/contents/258-vpn-redes-privadas-virtuales. [Último acceso: 04 2015]. [15] pello.info, «IPTABLES,» [En línea]. Disponible: http://www.pello.info/filez/firewall/iptables.html. [Último acceso: 04 2015]. [16] ocw.unican.es/, «Desarrollo de Sistemas de Información,» [En línea]. Disponible: http://ocw.unican.es/ensenanzas-tecnicas/desarrollo-de-sistemas- deinformacion/materiales/Sistemas-Informacion-6.pdf. [Último acceso: 04 2015]. [17] microsoft.com, «Cómo configurar la protección de la memoria en Windows XP SP2,» [En línea]. Disponible: https://www.microsoft.com/latam/technet/articulos/mediumbus/ depcnfxp.mspx. [Último acceso: 04 2015]. [18] ecured.cu, «Control de acceso,» [En línea]. Disponible: http://www.ecured.cu/index.php/Control_de_acceso. [Último acceso: 04 2015]. [19] recursostic.educacion.es, «Como proteger nuestro pc,» 30 09 2005. [En línea]. Disponible: http://recursostic.educacion.es/observatorio/web/gl/equipamiento- tecnologico/seguridad-y-mantenimiento/281-eduardo-e-quiroga-gomez. [Último acceso: 04 2015]. [20] M. Martinez Moreno, «Implementacion de matrices de acceso,» [En línea]. Disponible: http://sistemasoperativos.angelfire.com/html/6.3.html. [Último acceso: 04 2015]. [21] marroquin12.blogspot.com, «Protección basada en el leguaje,» 24 11 2012. [En línea]. Disponible: http://marroquin12.blogspot.com/2012/11/64-proteccion-basada-en-el- leguaje.html. [Último acceso: 04 2015]. [22] sopa.dis.ulpgc.es, «Seguridad y protección,» [En línea]. Disponible: http://sopa.dis.ulpgc.es/diplomatura/doc_9798/pryseg.htm. [Último acceso: 04 2015]. [23] IBM Knowledge Center, «Técnicas para proteger el sistema operativo,» [En línea]. Disponible: http://www- 01.ibm.com/support/knowledgecenter/SSEP7J_10.2.2/com.ibm.swg. ba.cognos.crn_arch.10.2.2.doc/c_securing_the_operating_system.html %23Securing_the_Operating_System?lang=es. [Último acceso: 04 2015]. [24] redyseguridad.fi-p.unam.mx, «Identificación de ataques y técnicas de intrusión,» [En línea]. [Último acceso: 04 2015]. [25] privacyrights.org, «Cómo proteger su computadora y su privacidad,» 08 2012. [En línea]. Disponible: https://www.privacyrights.org/pi36. [Último acceso: 04 2015]. 32
Compartir