Normas de Seguridad

NORMAS DE SEGURIDAD Y USO ADECUADO DE LOS RECURSOS TECNOLOGICOS EN UN CENTRO DE COMPUTACION:

El profesional de tecnología de información es el responsable de esta tarea, y seguirá las directrices que emanan de la dirección del centro.

Los procedimientos y reglas a definir incluyen lo siguiente:

•  Normas de seguridad: por ejemplo, definir niveles de acceso y seguridad de los recursos informáticos a su cargo.
•  Reglas de mantenimiento de hardware y software: por ejemplo, frecuencia de actualización de software y equipamiento.
• Procedimientos de respaldo: por ejemplo, frecuencia y tipo de respaldo de datos.
• Directivas de documentación: por ejemplo, pasos para documentar nuevos productos desarrollados por el centro.
• Normas de almacenaje e inventario de recursos informáticos: por ejemplo, cómo mantener actualizado el estado de materiales y equipos de centros de cómputo.
• Procedimientos de reporte para la gerencia: por ejemplo, con qué regularidad se entregan reportes de uso de los servicios electrónicos a la gerencia.
• Todos estos procedimientos y reglas deben ser actualizados con regularidad o cuando sea necesario.

GESTIÓN DE LA SEGURIDAD Y MANTENIMIENTO DE LAS TECNOLOGÍAS DE INFORMACIÓN:

Las actividades de seguridad y mantenimiento de las tecnologías son vitales y permanentes. Estas actividades deben tomar en cuenta los procedimientos, reglas definidas y las mejores prácticas profesionales posibles. Además son los objetivos de las estrategias para la seguridad de la información. Estas deben definir políticas, controles de seguridad, tecnologías y procedimientos que permitan detectar cualquier tipo de amenaza.

La seguridad de la información garantiza la confidencialidad, integridad y disponibilidad de la información. ¿De qué se trata?

·   La confidencialidad: Se refiere a mantener la información privada fuera del acceso de personas o procesos no autorizados.

·  La integridad: Es la propiedad de controlar que la información no sea modificada cuando no se desea.

·    La disponibilidad: Consiste en que las personas autorizadas tengan disponible la información a la que se les ha dado acceso.

CONCIENTIZAR A LOS/AS USUARIOS/AS SOBRE LOS ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN:

Es fundamental entrenar y concientizar al personal del centro sobre los aspectos de seguridad de la información. El personal del centro debe involucrarse y asumir un rol protagónico y responsable como parte de un sistema integral de seguridad.

Deben existir políticas de formación clara, concisas y permanentes orientadas a formar a los/as empleados/as del centro sobre los siguientes aspectos:

    *Entender los tipos de riesgos de seguridad de los recursos informáticos y su implicación en el desempeño del centro.

     *Lineamientos para realizar los respaldos de información. 

   *Buenas prácticas en el manejo y conservación de los soportes informáticos (dispositivos USB, discos compactos, DVD, etc.).

     *Manejo del correo electrónico. 

     *Normas para el intercambio de información.

 * Principios de comportamiento ético profesional que guíen a los/as empleados/as en sus decisiones en el manejo y utilización de los recursos informáticos.

REFORZAR LA SEGURIDAD DE LOS SISTEMAS:

Garantizar la seguridad de los sistemas en la red de datos permite el buen funcionamiento tecnológico de todo el centro de información. Para ello se recomienda utilizar como mínimo los siguientes mecanismos de seguridad:

•        Listas de acceso
•        Traductor de direcciones de red (Network Address Translation-NAT)
•        Firewall
•        Redes inalámbricas (caso especial de seguridad)

LISTAS DE ACCESO:

Es el conjunto de reglas que permiten o prohíben cierto tipo de tráfico en la red. Esto permite controlar diferentes aplicaciones y servicios ofrecidos a través de la red y quiénes están autorizados a acceder a ellos. Estas listas de acceso pueden ser implementadas en el firewall o en el router.

Para definir las listas de acceso considere:

• Usar una lista de acceso por protocolo y por dirección. 
• Las sentencias se procesan en forma secuencial desde el principio hasta el final de la lista buscando una concordancia; si no se encuentra ninguna, se rechaza el paquete. 
• Existe un “deny any” (denegar cualquiera) implícito al final de todas las listas de acceso. 
• Las entradas de la lista de acceso deben establecer un filtro desde lo particular hasta lo general.
• Documentar la lógica de cada una de las sentencias de la lista.
• Las listas de acceso están diseñadas para filtrar el tráfico que pasa por el router más no el tráfico que se origina en el router.

Traductor de direcciones de red (Network Address Translation-NAT):

• El traductor de direcciones de red (NAT) permite el intercambio de paquetes de datos entre dos redes diferentes que se asignan mutuamente direcciones incompatibles.

El NAT le puede ayudar a:

• Mejorar la seguridad al presentarse al exterior como una única máquina permitiéndole concentrar un importante esfuerzo de seguridad en dicho punto.
• Superar el problema de la escasez de direcciones al permitir que múltiples usuarios/as se conecten a la red compartiendo una única dirección IP.
• Simplificar la gestión de redes al permitir migrar redes de forma transparente a los/as usuarios/as finales.

Si le interesa profundizar en este tema, los siguientes artículos le pueden resultar de utilidad:

FIREWALL:

El firewall es un filtro de seguridad ubicado entre la red local y la red Internet que permite controlar las comunicaciones que pasan de una red a otra utilizando políticas de seguridad, monitoreo y puntos de control. Puede ser un equipo que se conecta entre la red y el cable de conexión a Internet (hardware) o un programa que se instala en una computadora que incluye un módem que se conecta con Internet (software).

TENGA EN CUENTA QUE:

El firewall no puede proteger la red ante las siguientes situaciones: 

·    Ataques de fuentes externas o de los/as usuarios/as internos. 

·  Ataques provenientes de programas maliciosos ejecutados casualmente o intencionalmente en un computador dentro de la red (por ejemplo, archivos de programas recibidos adjuntos en correos electrónicos).

REDES INALÁMBRICAS:

Si el centro desea habilitar una red de acceso inalámbrico (Wi-Fi), debe establecer los mecanismos de seguridad necesarios para asegurar la privacidad de la red de datos. 

Para ello se recomienda:

Conectar la red utilizando Wired Equivalent Privacy (WEP). La mayoría de redes disponen de encriptación WEP de 64 bits y por lo general los Access points tienen el servicio WEP desconectado. Una vez instalado debe activarlos siguiendo el manual de configuración de su equipo. Se recomienda cambiar la clave de acceso a la red Wi-Fi al menos cada dos semanas o incrementar la encriptación a 128 bits haciendo la clave de acceso más compleja.

Cerrar la red. De ser posible, bloquear el Service Set Identifier (SSI) logrando que la red Wi-Fi permanezca oculta reduciendo las oportunidades de ataque de los hackers.

Asignar un nombre de red que no identifique a la institución. Si se elige usar un nombre de red (SSI), se recomienda utilizar uno que no identifique a la organización. Por ejemplo, el nombre puede ser una combinación arbitraria de letras y números.

• Usar tablas de control de acceso por identificador MAC. Haciendo uso de las direcciones MAC (Medium Access Control) de las computadoras, se puede limitar las conexiones inalámbricas solo a los equipos cuyas direcciones MAC estén registradas en la lista de control de acceso.
• Usar una Virtual Private Network (VPN). La VPN permite un acceso remoto seguro de una computadora autorizada a través del firewall a la red interna de la organización. Con eso se crean mecanismos de seguridad muy altos para evitar conexiones no autorizadas a la red interna y permitiendo, sin embargo, el acceso remoto de computadoras autorizadas.

MONITOREO DEL ESTADO Y USO DE LOS RECURSOS TECNOLÓGICOS:

Esta tarea involucra la observación permanente del funcionamiento y uso de los recursos tecnológicos. Esta observación requiere la generación de informes para mantener un registro de los eventos. 

ACTUALIZACIÓN DE TECNOLOGÍAS:

Estas actividades involucran la investigación de nuevas tendencias tecnológicas para actualizar los recursos del centro de computación a fin de mantener un nivel de servicios y eficiencia funcional acorde con las expectativas y requerimientos de los/as usuarios/as y de la misma organización.

DISEÑO E IMPLEMENTACIÓN DE SOLUCIONES TECNOLÓGICAS:

Esta tarea abarca las actividades necesarias para crear herramientas tecnológicas que resuelvan nuevas necesidades del centro de información. Por ejemplo, diseñar e implementar un nuevo producto de software, diseñar y adquirir equipamiento que permita procesar nuevos tipos de información.