TEMAS SELECTOS DE REDES COMPUTACIONALES
 
  DATOS
  Contacto
  Libro de visitantes
  INDICE
  INTRODUCCION
  TEMARIO
  AUTOBIOGRAFÍA
  ESTRACTOS DEL DIARIO
  ENTREVISTAS O COMENTARIOS
  VPN
  ESQUEMA DE ELEMETOS DE UNA RED Y TOPOLOGIAS DE RED
  RESUMEN DE METODOS DE COMUNICACION Y CODIGOS DE TRANSMICION
  PRACTICA CON CABLES Y CONECTORES
  MEDIOS DE TRANSMICION
  TRABAJO ESCRITO SOBRE VENTAJAS Y DESVENTAJAS DE TECNOLOGIAS INALAMBRICAS
  RESUMEN CON ESQUEMAS DE DESCRIPCION FUNCIONAL CON ESTRACTOS Y NIVELES
  REPORTE ESCRITO SOBRE EL MODELO OSI
  ENSAYO DE LOS DIFERENTES TIPOS Y CARACTERISTICAS DEL EQUIPO UTILIZADO PARA SEGURIDAD FISICA Y TELECOMUNICACIONES
  IMPACTO SOCIAL DE LA SEGURIDAD TANTO EN REDES COMO EN TELECOMUNICACIONES
  LECTURAS Y REPORTES ECRITOS
  BORRADORES REVISADOS Y VERSIONES CORREGIDAS
  CONCLUSION
 
IMPACTO SOCIAL DE LA SEGURIDAD TANTO EN REDES COMO EN TELECOMUNICACIONES

SEGURIDAD INFORMATICA

En este breve resumen señalo algunos métodos para poder dar protección a nuestra información. Podemos dar protección a nuestro sistemas dependiendo lo que se quiera proteger las medidas de seguridad muy superiores a lo normal serán muy costosas y pueden llegar a ser desfavorables pudiendo llamar la atención. La seguridad debe ser adecuada a la necesidad de protección de lo asegurado y a los recursos disponibles. Conviene hacer una valoración de riesgos y de los costos de la protección de forma que los costos no superen a los riesgos. Para evaluar los riesgos conviene describir: qué deseamos proteger
cuál es su valor qué riesgos existen quién puede atacar.
Seguridad con respecto a la naturaleza de la amenaza:
Existen dos tipos de seguridad con respecto a la naturaleza de la amenaza:

Seguridad lógica: aplicaciones para seguridad, herramientas informáticas, etc.
Seguridad física: mantenimiento eléctrico, anti-incendio, humedad, etc.

La seguridad lógica de un sistema informático incluye:
Restringir al acceso a programas y archivos mediante claves y/o encriptación.
Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo. Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático.
Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió.
Los controles anteriormente mencionados se pueden hacer a nivel sistema operativo, a nivel aplicación, a nivel base de datos o archivo, o a nivel firmware.

Los mecanismos de seguridad física:
Deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza.
Básicamente, las amenazas físicas que pueden poner en riesgo un sistema informático son:

Desastres naturales, incendios accidentales, humedad e inundaciones.
Amenazas ocasionadas involuntariamente por personas.
Acciones hostiles deliberadas como robo, fraude o sabotaje.

Son ejemplos de mecanismos o acciones de seguridad física:
Cerrar con llave el centro de cómputos.
Tener extintores por eventuales incendios.
Instalación de cámaras de seguridad.
Guardia humana.
Control permanente del sistema eléctrico, de ventilación, etc.

Ejemplos de barreras de seguridad a nivel software (seguridad lógica):
Cortafuegos.
Antivirus.
Antispam.
Antispyware.
Números de serie.
Protección anti copia.

Ejemplos de barreras de seguridad a nivel software (seguridad física):
UPS o SAI (Sistema de alimentación ininterrumpida).
Extintores, guardia humana, cámaras de seguridad, etc.

ALGUNOS METODOS DE PROTECCIÓN O BARRERAS
Encriptación:
Es el proceso mediante el cual una rutina es codificada de tal manera que no pueda ser interpretada fácilmente. Es una medida de seguridad utilizada para que al momento de transmitir la información ésta no pueda ser interceptada por intrusos.

Sistemas de protección de Cortafuegos o firewalls:
Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red.

Antivirus: Es un software que se instala en tu ordenador y que permite prevenir que programas diseñados para producir daños, también llamados virus, dañen tu equipo. También tiene la misión de limpiar ordenadores ya infectados.

Antispam: Es un método de protección contra la publicidad no deseada de este modo se evita los molestos avisos publicitarios

Anti troyanos:
Un Anti Troyano es un programa desarrollado para combatir software malicioso -malware- como los llamados troyanos o backdoors.
Los troyanos son programas creados para a través de un archivo servidor abrir un puerto y luego ponerse a la escucha para que el atacante desde el programa cliente se conecte al servicio y pueda utilizar la computadora de la victima de forma remota.

SEGURIDAD LOGICA

Dentro de la estructura de la organización deberá comprobar si existe una función para la administración y control de la seguridad de acceso a los datos, un responsable de seguridad que sea independiente del área de Sistemas de Información y que se reporte al máximo nivel de autoridad.

Debe observar si existe una política formal de seguridad informática, en la que se detallen como mínimo los siguientes aspectos: nivel de confidencialidad de los datos, procedimiento de otorgamiento de claves de usuarios para el ingreso a los sistemas, y estándares fijados para el acceso de usuarios.

El auditor debe determinar si las claves son personales y secretas. Debe verificar la existencia de un procedimiento de inhabilitación automática de claves de usuarios que no hagan uso de la misma por un período predeterminado y si  existe un procedimiento formal para la baja de usuarios que dejen de pertenecer al sector o repartición.

El auditor controlará que el sistema de seguridad  mantenga los archivos de claves o "passwords” encriptados , generar reportes de auditoría sobre intentos de violaciones, el uso de utilitarios sensitivos y las actividades de los usuarios con atributos de administración y accesos especiales, los que deberán mantenerse en archivo durante el tiempo que fijan las normas para cada caso, utilizando para ello soportes de almacenamiento (papel, CD, disco óptico u otras tecnologías de esa características).

 

Debe verificar la existencia de una adecuada planificación y documentación escrita y actualizada de las actividades que se desarrollan normalmente en el centro de procesamiento de información, que deberá incluir como mínimo el detalle de los procesos a realizar, los controles que se efectúan, los mecanismos de registración de los procesos y sus problemas, los procedimientos sobre cancelaciones y reprocesos, las relaciones con otras áreas y los mecanismos de distribución de información.

Debe constatarse la existencia de procedimientos de control para garantizar la efectivización correcta de cambios cuando corresponda, tales como: cambios de programas en bibliotecas de producción, en los archivos, cambios en las  definiciones de diccionarios de datos, en las órdenes de corrida de programas.

En los casos en que existan distintos centros de procesamiento debe considerar si existen responsables del control centralizado de las operaciones y procesos que se realicen en cada uno de ellos.

Debe verificar, si es necesario con pruebas, que los sistemas de información computarizados tengan incorporados en su aplicación, validaciones y controles mínimos para asegurar la integridad y validez de la información que procesan. Deben existir  procedimientos de control formales que aseguren la integridad de la información que se ingresa y procesa en los sistemas.

Debe comprobar que se dispone de equipamiento alternativo (propio o por convenios formales con terceros ) para el procesamiento y las telecomunicaciones, a efectos de poder superar posibles fallas o interrupciones de las actividades en sus equipos habituales. Deberá estar localizado en un edificio ubicado a una distancia razonable del centro de procesamiento.

SISTEMAS APLICATIVOS y REGISTRO DE MOVIMIENTOS.

Se debe verificar la existencia de un archivo en soporte magnético, con todas las transacciones y mensajes del sistema, para uso de los responsables del control y auditoria. Este archivo debe reunir todas las condiciones de seguridad e integridad con el fin de garantizar su confiabilidad y mantenerse disponible durante los años que fijan las normas correspondientes.

El auditor debe verificar que las operaciones que afecten a información sensible o crítica se registra, administra y procesa en los sistemas aplicativos correspondientes, no pudiendo registrarse o administrarse ninguna operación en forma manual, en planillas de cálculo u otro "software" utilitario. Debe comprobar que existan circuitos alternativos frente a posibles interrupciones del servicio.

Por cada sistema aplicativo, se deberá observar si se  mantiene actualizada la documentación técnica que contenga, como mínimo: Objetivos, alcances, diagrama del sistema, registro de modificaciones, lenguaje de programación, propiedad de los programas fuentes, problemas o limitaciones conocidas, descripción del "hardware" y “software” utilizados, descripción de las estructuras de datos, descripción de los módulos y procesos, descripción de las salidas impresas,  descripción de las pantallas que permiten la modificación directa de los datos de producción (cambio de parámetros, formulas,  datos, etc.) y su interrelación con las redes de telecomunicaciones.

TELEPROCESAMIENTO Y TELECOMUNICACIONES. REDES Y ACCESOS REMOTOS

Deberá observar si los sistemas que se utilicen para la transferencia de datos cumplen con los requisitos mínimos de controles internos establecidos en los puntos anteriores y todo lo que se refiera a la seguridad física, lógica y operación de los equipos, así como que existan circuitos alternativos frente a posibles interrupciones del servicio.

Se deberán verificar los mecanismos de protección de datos que se usan en la transmisión por la red de telecomunicaciones, si existen técnicas adecuadas de encriptación por "hardware" y/o "software".

ENCRIPTACIÓN

Se deberá insistir en la necesidad de contar, dentro de las redes de telecomunicaciones, con un "software” debidamente administrado, a fin de proveer una adecuada seguridad para los accesos a las redes, los cambios a su sistema operativo y el monitoreo de la actividad que se desarrolla en ellas.

Debe verificar que no existan usuarios con atributos similares de ingreso, verificación y/o envío de información, a fin de poder asegurar el adecuado control por oposición de intereses. Se deberán designar responsables individuales por cada uno de los atributos mencionados.

El auditor verificará las restricciones según los dominios, sus configuraciones, programas y aplicativos autorizados y los perfiles de usuarios. Debe comprobar que existan protecciones de distinto tipo, preventivas y de detección de ataques por acceso remoto o correo electrónico.

Debe describir en su informe:

        Tipo de red y conexiones

        Información transmitida, transferencia de archivos y controles existentes

        Programas y aplicaciones con acceso remoto

        Uso o no de cifrado

        Tipos de transacciones internas y externas

        Tipos de terminales

        Medidas de seguridad en las terminales y puestos de trabajo

        Como se separan Intranet e Internet, dominios, contrafuegos, proxys, etc.

        Seguridad en el correo electrónico (PGP u otros controles)

        Protección de la información y de las aplicaciones

        Como se controla la página Web, intentos de accesos, modificaciones, permisos, procedimientos ante ataques.

        Si existen archivos logs de accesos realizados a otras redes, por usuario y fecha, información transferida y política de control antivirus de las transacciones.

 

 

 

 

 
 
   
Hoy habia 1 visitantes (6 clics a subpáginas) ¡Aqui en esta página!
Este sitio web fue creado de forma gratuita con PaginaWebGratis.es. ¿Quieres también tu sitio web propio?
Registrarse gratis