{"id":15,"date":"2015-07-20T23:58:35","date_gmt":"2015-07-21T04:58:35","guid":{"rendered":"http:\/\/naps.com.mx\/blog\/?p=15"},"modified":"2017-11-16T12:16:31","modified_gmt":"2017-11-16T18:16:31","slug":"para-que-me-sirve-una-politica-de-seguridad","status":"publish","type":"post","link":"https:\/\/naps.com.mx\/blog\/para-que-me-sirve-una-politica-de-seguridad\/","title":{"rendered":"Pol\u00edtica de seguridad inform\u00e1tica: Qu\u00e9 incluir"},"content":{"rendered":"<p>\u00bfQu\u00e9 es una pol\u00edtica de seguridad inform\u00e1tica? \u00bfQu\u00e9 debe incluir? \u00bfEs realmente necesario tener ese tipo de medidas?<\/p>\n<p><!--more--><\/p>\n<h2>Todos somos vulnerables<\/h2>\n<p>Los \u00faltimos a\u00f1os se han visto envueltos en muchos ataques a la seguridad en internet. Podemos mencionar solo como ejemplo el descubrimiento de una vulnerabilidad en los protocolos OAuth y OpenID en el pasado a\u00f1o de 2014, algo que pon\u00eda en riesgo a millones de usuarios de los servicios de <strong>autenticaci\u00f3n<\/strong> de Facebook y Google entre otros. Un atacante podr\u00eda hacer uso de estas vulnerabilidades para obtener contrase\u00f1as de acceso, robar datos personales de los usuarios y redirigir a sitios maliciosos (Ranchal, 2014).<\/p>\n<p>Ante esta perspectiva, una peque\u00f1a empresa o un usuario com\u00fan f\u00e1cilmente pudiera pensar: \u201csi esas grandes empresas son tan vulnerables, con cu\u00e1nta m\u00e1s raz\u00f3n nuestros sistemas podr\u00edan ser f\u00e1cilmente atacados\u201d. All\u00ed es donde entra en juego una adecuada <strong>Pol\u00edtica de Seguridad<\/strong>.<\/p>\n<h2>\u00bfQu\u00e9 es una pol\u00edtica de seguridad inform\u00e1tica?<\/h2>\n<p>Una <strong>Pol\u00edtica de Seguridad Inform\u00e1tica<\/strong> es un documento o conjunto de documentos que \u201crecoge las directrices u objetivos de una organizaci\u00f3n con respecto a la seguridad de la informaci\u00f3n\u201d (Aguilera, 2011).<\/p>\n<p>Generalmente, engloba cuatro grupos:<\/p>\n<ul>\n<li>Identificaci\u00f3n de riesgos y amenazas.<\/li>\n<li>Medidas de seguridad para afrontar esos riesgos.<\/li>\n<li>Reglas y procedimientos que deben aplicarse para afrontar los riesgos.<\/li>\n<li>Detecci\u00f3n de vulnerabilidades.<\/li>\n<li>Plan de contingencia.<\/li>\n<\/ul>\n<h2>\u00bfQu\u00e9 debe incluir una pol\u00edtica de seguridad inform\u00e1tica?<\/h2>\n<p>Es por eso que podemos concluir que los siguientes son <strong>los 5 puntos m\u00e1s importantes que deben incluirse en las pol\u00edticas de seguridad de una red:<\/strong><\/p>\n<ol>\n<li><strong>Manejo de un IDS (Sistema de Detecci\u00f3n de Intrusos). <\/strong>Considerar la implementaci\u00f3n de un IDS, su manejo (De Host o de Red, Reactivo o Pasivo), el mecanismo de detecci\u00f3n de ataques (por Patr\u00f3n, o por Heur\u00edstica), as\u00ed como todas las bit\u00e1coras que \u00e9ste arroje. Un ejemplo de software de IDS es <strong>Snort<\/strong>, quien dispone de un lenguaje de creaci\u00f3n de reglas para definir los patrones que se utilizar\u00e1n para monitorear el sistema, asi como reglas y filtros ya predefinidos. (Snort.org)<\/li>\n<li><strong>Registro de todos los recursos de c\u00f3mputo activos en la empresa. <\/strong>Esto implica tener el registro de todas las computadoras, as\u00ed como de los sistemas operativos y software instalado en ellas, y los usuarios asociados a ellas. Tambi\u00e9n se debe tener en registro los dispositivos de red en uso dentro de la empresa, para <a href=\"http:\/\/naps.com.mx\/blog\/que-es-un-rogue-ap-y-como-protegernos\/\">evitar que los mismos empleados instalen por su cuenta dispositivos sin protecci\u00f3n<\/a> (por ejemplo un Acces Point). As\u00ed mismo, es preciso contemplar el control sobre el uso de tel\u00e9fonos inteligentes y tabletas electr\u00f3nicas.<\/li>\n<li><strong>Pol\u00edticas de contrase\u00f1as. <\/strong>Deben existir contrase\u00f1as en cualquier nivel de acceso al equipo. Las computadoras deben tener como m\u00ednimo tres niveles de acceso: contrase\u00f1a a nivel Bios, a nivel sistema operativo y a nivel aplicaci\u00f3n. El acceso a la red tambi\u00e9n deber\u00e1 estar protegido por contrase\u00f1a. Los usuarios deben estar enterados de en qu\u00e9 consiste una contrase\u00f1a segura, as\u00ed como de los m\u00e9todos para cambiar \u00e9sta y la periodicidad con la que debe hacerlo. Existen varias herramientas de software que pueden ser \u00fatiles, una de ellas es MaxPassword (para Windows) o Cryptix (para OS X).<\/li>\n<li><strong>Actualizaci\u00f3n de las aplicaciones. <\/strong>Debido a que en todo sistema siempre se est\u00e1n descubriendo huecos de seguridad, es imprescindible que los usuarios entiendan el valor de actualizar sus sistemas en todos los niveles, incluyendo lenguajes de programaci\u00f3n, protocolos y software base. Una forma sencilla de mantenerse protegido es actualizando el software.<\/li>\n<li><strong>Capacitaci\u00f3n a los usuarios. <\/strong>Todo usuario de un equipo de c\u00f3mputo conectado a la red empresarial deber\u00e1 saber los riesgos que existen dentro de internet, como es el pishing, la ingenier\u00eda social, los virus (como los que vienen en el 90% del software pirata), as\u00ed como a desconfiar de mensajes y correos electr\u00f3nicos de desconocidos.<\/li>\n<\/ol>\n<blockquote><p>Un ejemplo de software de IDS es <strong>Snort<\/strong>, quien dispone de un lenguaje de creaci\u00f3n de reglas<\/p><\/blockquote>\n<h2><strong>\u00bfSon realmente necesarias tantas y tan estrictas medidas?<\/strong><\/h2>\n<p>Algunas personas consideran que disponiendo de un buen software de seguridad pueden ser flexibles con las normas de las pol\u00edticas de seguridad. Sin embargo, es obvio que <strong>esto no es posible<\/strong>. Debido a la naturaleza del software, no podemos predecir cuando uno de los recursos en los que confiamos puede llegar a ser vulnerable, por lo que nada sustituye la prevenci\u00f3n y control de riesgos. Algo tan simple como cambiar esa contrase\u00f1a que no has modificado desde hace m\u00e1s de un a\u00f1o puede hacer la diferencia.<\/p>\n<h3>Referencias:<\/h3>\n<ol>\n<li>Aguilera P. (2011). <strong><a href=\"https:\/\/books.google.com.mx\/books?id=jofTAwAAQBAJ&amp;printsec=frontcover&amp;hl=es&amp;source=gbs_ge_summary_r&amp;cad=0\" target=\"_blank\">Introducci\u00f3n a la seguridad inform\u00e1tica<\/a><\/strong>. Editex. Espa\u00f1a.<\/li>\n<li>Inteco (2015). <strong>Pol\u00edtica de contrase\u00f1as y seguridad de la informaci\u00f3n<\/strong>. Disponible en [<a href=\"http:\/\/www.unirioja.es\/servicios\/si\/seguridad\/difusion\/politica_contrasenas.pdf\" target=\"_blank\" class=\"broken_link\">http:\/\/www.unirioja.es\/servicios\/si\/seguridad\/difusion\/politica_contrasenas.pdf<\/a>]<\/li>\n<li>Ranchal J. (2014). <strong>Vulnerabilidad cr\u00edtica en OAuth y OpenID.<\/strong> Consultado en [<a href=\"http:\/\/muyseguridad.net\/2014\/05\/04\/vulnerabilidad-critica-oauth-y-openid\/\" target=\"_blank\">http:\/\/muyseguridad.net\/2014\/05\/04\/vulnerabilidad-critica-oauth-y-openid\/<\/a>].<\/li>\n<li><strong>Software MaxPasswords disponible en<\/strong> [<a href=\"http:\/\/www.max2k.com\/programs.php?id=3\" target=\"_blank\">http:\/\/www.max2k.com\/programs.php?id=3<\/a>]<\/li>\n<li><strong>Software Cryptix disponible en<\/strong> [<a href=\"http:\/\/www.rbcafe.com\/cryptix-rbcafe\/\" target=\"_blank\">http:\/\/www.rbcafe.com\/cryptix-rbcafe\/<\/a>]<\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfQu\u00e9 es una pol\u00edtica de seguridad inform\u00e1tica? \u00bfQu\u00e9 debe incluir? \u00bfEs realmente necesario tener ese tipo de medidas?<\/p>\n","protected":false},"author":1,"featured_media":18,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"amp_status":"","footnotes":""},"categories":[3],"tags":[21,23,22],"class_list":["post-15","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-ids","tag-maxpassword","tag-snort"],"_links":{"self":[{"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/posts\/15","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/comments?post=15"}],"version-history":[{"count":7,"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/posts\/15\/revisions"}],"predecessor-version":[{"id":473,"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/posts\/15\/revisions\/473"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/media\/18"}],"wp:attachment":[{"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/media?parent=15"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/categories?post=15"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/naps.com.mx\/blog\/wp-json\/wp\/v2\/tags?post=15"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}