BUSCA

Links Patrocinados

Destaques NetSaber:
- Apostilas para Concursos Públicos
- Resumo de O Mundo de Sofia
- Telecurso 2000
- Apostila para Concursos
- Apostilas de Direito
- Apostilas de Contabilidade
- Resumo de O Guarani
- Resumo de Iracema
- Resumo de Dom Quixote
- Apostilas de Inglês
- Resumo de Dom Casmurro
- Apostilas de Informática
- Resumo de A Moreninha
- Apostilas para Vestibular
- Resumo de A Arte da Guerra
- Receitas Culinárias
- Dicionário de Português
- Frases e Citações
- Interpretação dos Sonhos
- Fontes Grátis
- Notícias
- Artigos
- Artigos sobre Fisioterapia
- Livros de Machado de Assis
- Livros de Casimiro de Abreu
- Download de Livros
- Livros de Filosofia
- Livros de Administração
- Livros de Direito
- Livros de Agronomia

Metodologia de desarrollo
Un esquema de políticas de seguridad debe llevar ciertos pasos, para garantizar su funcionalidad y permanencia en la institución que. Nuestra propuesta es seguir los pasos detallamos a continuación:
Preparación ? Es la recopilación de todo tipo de material relacionado con cuestiones de seguridad en la organización:
¿Qué quiero proteger? Mis recursos: Personal, información, hardware, software, documentación, consumibles, etc.
Hacer preguntas relacionadas con el uso externo: por ejemplo:
¿Necesitará la intranet protección de acceso externo?
¿Se concederá a usuarios autorizados el acceso remoto?
¿Cómo se determinará el acceso no autorizado cuanto ocurra?
¿Existen restricciones de acceso a la información importante? Etc.
Hacer preguntas relacionadas con el uso interno: por ejemplo
¿A qué grupos, departamentos o usuarios se les restringirá el acceso a información interna?
¿Qué constituye una brecha de seguridad interna?
¿El sistema de seguridad impide la productividad?
¿Cómo determina cuando el acceso inautorizado ha ocurrido? Etc.



Hacer preguntas concernientes a la administración
¿Se planea implementar diferentes niveles de acceso?
¿Quién está autorizado para tomar decisiones acerca de la seguridad?
¿Se tiene un sistema de rastreo confiable instalado?
¿Se usará el cifrado?, ¿ Será el adecuado? Etc.
¿De quién necesito protegerlo? De cualquiera que constituya una amenaza, ya sea interna o externa en cualquiera de estos rubros:



Acceso no autorizado: Utilizar recursos de cómputo sin previa autorización


Daño a la información: Modificación o eliminación de la información en el sistema


Robo de información: Acceso a cierta información sin previa autorización


Divulgación de la información: Publicar detalles del sistema, como podrían ser las contraseñas, secretos, investigaciones, etc.


Negación del servicio: Obligar al sistema a negar recursos a usuarios legítimos

¿Qué tantos recursos estoy dispuesto a invertir?
¿Cómo puedo / debo protegerlo?
En general, se tiene que lograr que las políticas de seguridad cumplan con todos los servicios de seguridad:
Autenticación
Confidencialidad
Integridad
No repudio
Disponibilidad de los recursos a personas autorizadas
Control de Acceso


Redacción - Escribir las políticas de una manera clara, concisa y estructurada. Requiere de la labor de un equipo en el que participen abogados, directivos, usuarios y administradores.


Edición - Reproducir las políticas de manera formal para ser sometidas a revisión y aprobación


Aprobación - Probablemente, la parte más difícil del proceso, puesto que es común que la gente afectada por las políticas se muestre renuente a aceptarlas. En esta etapa es fundamental contar con el apoyo de los directivos.


Difusión - Dar a conocer las políticas a todo el personal de la organización mediante proyecciones de video, páginas Web, correo electrónico, cartas compromiso, memos, banners, etc.


Revisión - Las políticas son sometidas a revisión por un comité, que discutirá los comentarios emitidos por las personas involucradas.


Aplicación - Es peor tener políticas y no aplicarlas que carecer de ellas. Una política que no puede implementarse o hacerse cumplir, no tiene ninguna utilidad. Debe predicarse con el ejemplo.


Actualización -En el momento requerido, las políticas deberán ser revisadas y actualizadas, respondiendo a los cambios en las circunstancias. El momento ideal es justo después de que ocurra un incidente de seguridad.

Mientras las políticas indican el "qué", los procedimientos indican el "cómo". Los procedimientos son los que nos permiten llevar a cabo las políticas. Ejemplos que requieren la creación de un procedimiento son:


Otorgar una cuenta


Dar de alta a un usuario


Conectar una computadora a la red


Localizar una computadora


Actualizar el sistema operativo


Instalar software localmente o vía red


Actualizar software crítico


Exportar sistemas de archivos


Respaldar y restaurar información


Manejar un incidente de seguridad

Un punto muy importante dentro de las políticas es el que tienen que ir acompañadas de Sanciones, las cuales deberán también ser redactadas, revisadas, autorizadas, aplicadas y actualizadas.
Otros métodos de Autenticación.
Funciones Hash.
¿Qué es?
Usando el password que el usuario teclea, el browser crea una cadena usando el password y otra información incluyendo la AuthRealm (autenticación de dominio) y la pasa a través de la función MD5. Esta cadena es entonces pasada a través de la red hacia el servidor, el cual toma la información almacenada en el archivo .htpasswd para crear la misma cadena y pasarla a través de la función MD5 y luego compara los resultados; de ésta manera no es posible obtener el password, porque el password no esta siendo enviado.
Bajo MD5 se necesita información almacenada en el archivo .htpasswd y no se puede usar la función crypt() sobre él. Aunque se use la función MD5 sobre el password antes de almacenarlo, si se tiene el código almacenado, y un pequeño conocimiento, se puede crear un programa para usarlo en lugar del password y funcionará.
La solución es reforzar los permisos de archivos
¿Cómo se hace?
Sintaxis.
AuthDigestFile /u/web/.htdigest stantdar
AuthTypeDigest
El AuthDigestFile es una nueva directriz que toma dos argumentos, la ruta completa del archivo en el cual los datos de la función digest de autenticación son almacenados y el formato del archivo usualmente estándar.
Para indicar que un directorio está protegido con MD5, se especifica una Autenticación del tipo Digest. Ref <1> pp. 181-209, <6>
Control de Acceso Externo.
Firewalls
¿Para qué sirven?
Son un tipo de seguridad muy efectiva en redes. Intentan prevenir los ataques de usuarios externos a la red interna. Tienen múltiples propósitos:



Restringir la entrada a usuarios.


Prevenir los ataques.


Restringir los permisos de los usuarios a puntos bien controlados.