Changeset f6f92c7 in libros
- Timestamp:
- Oct 16, 2014, 8:55:14 AM (10 years ago)
- Branches:
- revisionfinal
- Children:
- cbd37f3
- Parents:
- 9eaa9ea
- git-author:
- Dhionel Díaz <ddiaz@…> (12/10/14 18:57:37)
- git-committer:
- aaraujo <aaraujo@…> (16/10/14 08:55:14)
- Location:
- maquetacion/capitulo2
- Files:
-
- 8 edited
Legend:
- Unmodified
- Added
- Removed
-
maquetacion/capitulo2/gestionIncidenteSeguridad.tex
rc1c9daf rf6f92c7 3 3 Un incidente de seguridad es cualquier evento que pueda ocasionar la 4 4 interrupción o degradación de los servicios de los sistemas. 5 Estos incidentes pueden ser ocasionados de forma intencional, por error de aplicación de las políticas y procedimientos de 5 Estos incidentes pueden ser ocasionados de forma intencional, por 6 error de aplicación de las políticas y procedimientos de 6 7 seguridad, de desastre natural o del entorno como las inundaciones, 7 8 incendios, tormentas, fallos eléctricos entre otros. … … 12 13 \begin{itemize} 13 14 14 \item Se debe contar con un equipo de personas para la solución del incidente, que será el equipo encargado de activar y coordinar el plan de contingencia. 15 Este equipo debe estar constituido por personas que cuenten con la experiencia y 16 formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad. 17 Debe existir una lista de números telefónicos y direcciones actualizadas para la 15 \item Se debe contar con un equipo de personas para la 16 superación del incidente, que será el equipo encargado 17 de activar y coordinar el plan de contingencia. 18 Este equipo debe estar constituido por personas que cuenten 19 con la experiencia y 20 formación necesaria que pueda dar respuesta 21 ante cualquier incidente de seguridad. 22 Debe existir una lista de números telefónicos y 23 direcciones actualizadas para la 18 24 ubicación de las personas que conforman este equipo en el momento que 19 25 ocurra un incidente de seguridad. … … 24 30 25 31 \item Hacer inventario de los equipos y servicios. Se requiere de una descripción 26 detallada de la ubicación, configuración, características, y procedimientos de respaldo y recuperación. 32 detallada de la ubicación, configuración, características, 33 y procedimientos de respaldo y recuperación. 27 34 28 35 \item Considerar los posibles escenarios de incidentes de seguridad que puedan 29 ocurrir en cada área crítica identificada. Los mismos deben estar bien documentados. 36 ocurrir en cada área crítica identificada. Los mismos deben estar 37 bien documentados. 30 38 31 39 \item Describir clara y detalladamente los planes de contingencia de todos los … … 33 41 procedimientos de actuación necesarias para la restauración rápida y eficiente. 34 42 35 \item Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia, 43 \item Efectuar reuniones al menos una vez al año para 44 la revisión del plan de contingencia, 36 45 en función de evaluar y actualizar las condiciones del sistema informático. 37 46 38 47 \item Detectar incidentes de seguridad. La institución debe prestar 39 48 especial atención a los indicadores de incidentes de seguridad, 40 como una actividad a contemplar dentro del plan de respuesta a incidentes. Entre estos indicadores se tienen: 49 como una actividad a contemplar dentro del plan de respuesta 50 a incidentes. Entre estos indicadores se tienen: 41 51 42 52 \begin{itemize} 43 \item Cambio de configuración de los equipos de red con acciones tales como la activación de nuevos servicios, la verificación de puertos abiertos no autorizados, entre otros. 53 \item Cambio de configuración de los equipos de red 54 con acciones tales como la activación de nuevos servicios, 55 la verificación de puertos abiertos no autorizados, entre otros. 44 56 45 \item Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos. 57 \item Caída en el rendimiento de la red o algún servidor 58 debido a un incremento inusual del trafico de datos. 46 59 47 \item Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio. 60 \item Caída o mal funcionamiento de servidores como: 61 reinicio inesperado, fallos en algún servicio. 48 62 49 63 \item Existencia de herramientas no autorizadas en el sistema. 50 64 51 \item Aparición de nuevas cuentas de usuarios o registro de actividades inusuales 52 en algunas cuentas como: conexión de usuarios en horarios poco usuales. 65 \item Aparición de nuevas cuentas de usuarios o registro 66 de actividades inusuales 67 en algunas cuentas como: conexión de usuarios en horarios 68 poco usuales. 53 69 \end{itemize} 54 70 … … 57 73 \subsection{Durante el incidente de seguridad:} 58 74 59 Cuando ya se tiene certeza del incidente a través de datos que lo confirman, se debe actuar de forma oportuna y diligente. En esta fase del incidente, se pueden seguir las siguientes recomendaciones: 75 Cuando ya se tiene certeza del incidente a través de datos 76 que lo confirman, se debe actuar de forma oportuna y diligente. 77 En esta fase del incidente, se pueden seguir las siguientes recomendaciones: 60 78 61 79 62 80 \begin{itemize} 63 \item Analizar el incidente de seguridad con el objetivo de determinar el alcance (aplicaciones afectadas, 64 información confidencial comprometida, equipos afectados, entre otras), para ayudar al 65 equipo de solución a tomar soluciones adecuadas y permitan establecer prioridades 81 \item Analizar el incidente de seguridad con el objetivo 82 de determinar el alcance (aplicaciones afectadas, 83 información confidencial comprometida, equipos afectados, 84 entre otras), para ayudar al 85 equipo de solución a tomar soluciones adecuadas y permitan 86 establecer prioridades 66 87 en las actividades que se deben llevar a cabo. 67 88 68 \item Poner en marcha el plan de contingencia de acuerdo al incidente de seguridad presentado. 89 \item Poner en marcha el plan de contingencia de acuerdo al 90 incidente de seguridad presentado. 69 91 70 \item Contener, erradicar y recuperar. El equipo de solución debe llevar a71 cabo72 una rápida actuación para evitar que el incidente de seguridad vaya a73 tener mayores consecuencias a la institución.92 \item Contener, erradicar y recuperar. El equipo responsable 93 debe llevar a cabo 94 una rápida actuación para evitar que el incidente de 95 seguridad vaya a tener mayores consecuencias a la institución. 74 96 \end{itemize} 75 97 … … 77 99 \subsection{Después del incidente de seguridad:} 78 100 79 Después de la ocurrencia del incidente de seguridad, es decir, cuando ya se encuentre en pleno funcionamiento el sistema informático, se recomiendan ejecutar las siguientes actividades: 101 Después de la ocurrencia del incidente de seguridad, es decir, cuando 102 ya se encuentre en pleno funcionamiento el sistema informático, se 103 recomiendan ejecutar las siguientes actividades: 80 104 81 105 \begin{itemize} 82 106 83 \item Análisis y revisión del incidente. Causas del incidente, valoración inicial de los daños y sus posibles consecuencias 107 \item Análisis y revisión del incidente. Causas del incidente, 108 valoración inicial de los daños y sus posibles consecuencias. 84 109 85 \item Una completa documentación del incidente facilitará su posterior estudio. 110 \item Una completa documentación del incidente facilitará 111 su posterior estudio. 86 112 Entre los aspectos que debe tener reflejado la documentación se tiene: 87 113 88 114 \begin{itemize} 89 \item Descripción del tipo de incidente: ataque a la seguridad, procedimientos de seguridad, desastres naturales. 115 \item Descripción del tipo de incidente: ataque a la 116 seguridad, procedimientos de seguridad, desastres naturales. 90 117 91 \item Hechos registrados (como por ejemplo: logs de los equipos). 118 \item Hechos registrados (como por ejemplo: bitácoras 119 de los equipos). 92 120 93 121 \item Daños producidos en los sistemas informáticos. … … 95 123 \item Decisiones y actuación del equipo de respuesta. 96 124 97 \item Lista de evidencias obtenidas durante el análisis y la investigación 125 \item Lista de evidencias obtenidas durante el análisis 126 y la investigación 98 127 99 \item Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro. 128 \item Posibles actuaciones y recomendaciones para reforzar 129 la seguridad y evitar incidentes similares en un futuro. 100 130 \end{itemize} 101 131 … … 106 136 vulnerabilidades omitidos o recreados luego de la recuperación de los sistemas. 107 137 108 \item Aplicación de \textit{informática forense}. Esta proporciona los principios y técnicas que facilitan la 109 investigación de los eventos informáticos ocurridos, mediante la identificación, captura, 110 reconstrucción y análisis de evidencias. Entre las etapas para el análisis forense se tienen: 138 \item Aplicación de \textit{informática forense}. Esta proporciona 139 los principios y técnicas que facilitan la 140 investigación de los eventos informáticos ocurridos, mediante 141 la identificación, captura, 142 reconstrucción y análisis de evidencias. Entre las etapas para 143 el análisis forense se tienen: 111 144 112 145 \begin{itemize} … … 117 150 \item Análisis de la información obtenida. 118 151 119 \item Elaboración de informe con las conclusiones del análisis forense. 152 \item Elaboración de informe con las conclusiones 153 del análisis forense. 120 154 \end{itemize} 121 155 \end{itemize} -
maquetacion/capitulo2/planRecuperacionDesastres.tex
rc1c9daf rf6f92c7 1 1 \section{Plan de recuperación ante desastres} 2 2 3 El "Plan de recuperación ante desastre" es un elemento que contribuye a la práctica efectiva de 4 medidas de seguridad para garantizar una adecuada recuperación de la operatividad mínima 5 luego de una contingencia, en donde se vean afectados los procesos y 6 recursos informáticos que funcionen en la organización. 3 El ``Plan de recuperación ante desastres'' es un 4 elemento que contribuye a la práctica efectiva de 5 medidas de seguridad para garantizar una adecuada 6 recuperación de la operatividad mínima 7 luego de una contingencia, en donde se vean 8 afectados los procesos y recursos informáticos que 9 funcionen en la organización. 7 10 8 Los desastres pueden ser naturales o accidentales como incendios, inundaciones, corte en el 9 suministro de energía eléctrica, entre otros eventos no planificados. El plan de 11 Los desastres pueden ser naturales o accidentales 12 como incendios, inundaciones, corte en el 13 suministro de energía eléctrica, entre otros eventos 14 no planificados. El plan de 10 15 recuperación ante desastres debe especificar 11 los objetivos y prioridades a tener en cuenta por las instituciones. Es necesario 12 contemplar la disponibilidad de los recursos y medios adecuados que permitan restaurar 13 el funcionamiento de los sistemas informáticos de la institución, así como de la 14 recuperación 15 de los datos, aplicaciones y servicios básicos. La práctica de recuperación 16 que se acostumbra a realizar es: 16 los objetivos y prioridades a tener en cuenta por 17 las instituciones. Es necesario 18 contemplar la disponibilidad de los recursos y medios 19 adecuados que permitan restaurar 20 el funcionamiento de los sistemas informáticos de la 21 institución, así como de la recuperación 22 de los datos, aplicaciones y servicios básicos. La 23 práctica de recuperación que se acostumbra a realizar es: 17 24 18 25 19 26 \begin{itemize} 20 27 21 \item Disponibilidad de un centro alternativo para la ubicación de los principales recursos informáticos 22 (servidores, aplicaciones, bases de datos, entre otros). Este centro debe contar 28 \item Disponibilidad de un centro alternativo para la 29 ubicación de los principales recursos informáticos 30 (servidores, aplicaciones, bases de datos, entre otros). 31 Este centro debe contar 23 32 con las mismas medidas de seguridad que las instalaciones principales 24 33 de la institución. 25 34 35 \begin{comment} 26 36 % Entre las diferentes alternativas de centro alterno tenemos: 27 37 % \begin{itemize} … … 32 42 % \item Centro alterno “Caliente” en una configuración en “espejos”. Se trata de un centro con el mismo equipamiento que el centro principal y que trabajo de modo paralelo a este, pudiendo entrar en acción inmediatamente a la caída del centro principal. 33 43 % \end{itemize} 44 \end{comment} 34 45 35 46 \item Existencia de políticas de respaldo y recuperación. 36 47 37 \item Herramientas para llevar a cabo una replicación de los documentos y las bases de datos. 48 \item Herramientas para llevar a cabo una replicación de los 49 documentos y las bases de datos. 38 50 39 \item Detección y respuesta al desastre en el centro principal, adoptando las medidas de contención previstas 51 \item Detección y respuesta al desastre en el centro principal, 52 adoptando las medidas de contención previstas 40 53 dependiendo del tipo de desastre: incendio, inundación, explosión, entre otros. 41 54 42 \item Traslado de las actividades a un centro alternativo, junto con el personal necesario para la puesta 55 \item Traslado de las actividades a un centro alternativo, 56 junto con el personal necesario para la puesta 43 57 en marcha de los servicios, equipos informáticos, copias de seguridad más 44 58 recientes y con las medidas de seguridad que correspondan, entre otros. -
maquetacion/capitulo2/politicasRespaldoRecuperacion.tex
rc1c9daf rf6f92c7 2 2 \label{politicasDeRespaldoYRecuperacion} 3 3 4 Es imprescindible contar con políticas de respaldo y recuperación para garantizar el continuo 5 funcionamiento de los sistemas de la organización. La recuperación de los sistemas posterior 6 a la interrupción de índole natural o accidental como incendios, mal funcionamiento de los 7 sistemas, errores humanos, entre otros, resulta necesario, requiriendo de una acción rápida para asegurar la disponibilidad. 4 Es imprescindible contar con políticas de respaldo 5 y recuperación para garantizar el continuo 6 funcionamiento de los sistemas de la organización. La 7 recuperación de los sistemas posterior 8 a la interrupción de índole natural o accidental como 9 incendios, mal funcionamiento de los 10 sistemas, errores humanos, entre otros, resulta necesario, 11 requiriendo de una acción rápida para asegurar la disponibilidad. 8 12 9 13 % \begin{figure}[ht!] … … 16 20 % \end{figure} 17 21 18 Con el objetivo de garantizar la disponibilidad de los servicios es necesario contar con planes 19 de contingencias ante desastres y para esto se requiere aplicar las políticas de respaldo y recuperación: 22 Con el objetivo de garantizar la disponibilidad de los servicios 23 es necesario contar con planes 24 de contingencias ante desastres y para esto se requiere 25 aplicar las políticas de respaldo y recuperación: 20 26 21 27 %En la figura \ref{fig:interrupcionServicios} se muestra un bosquejo sobre un proceso de interrupción de servicios. … … 23 29 \subsection{Normas para las políticas de respaldo y recuperación} 24 30 25 Entre las normas a aplicar para el respaldo y la recuperación se pueden mencionar las siguientes: 31 Entre las normas a aplicar para el respaldo y la recuperación se pueden 32 mencionar las siguientes: 26 33 27 34 28 35 \begin{itemize} 29 \item Las copias de respaldo de datos y archivos de servidores deben ser realizadas y30 supervisadas por personal debidamente autorizado.36 \item Las copias de respaldo de datos y archivos de servidores 37 deben ser realizadas y supervisadas por personal debidamente autorizado. 31 38 32 39 33 \item Planificar las copias de respaldo que se deben realizar en función del volumen y del tipo de información generada por los sistemas informáticos. 40 \item Planificar las copias de respaldo que se deben realizar 41 en función del volumen y del tipo de información generada por 42 los sistemas informáticos. 34 43 35 \item Todas las copias de respaldo y medios de almacenamiento utilizados deben estar bien identificadas 36 con información tal como: a qué equipo de computación pertenece, contenido de la copia de 37 respaldo, fecha y hora de ejecución del respaldo, cronogramas de ejecución del respaldo, 38 tipo de respaldo (completos, incrementales, diferenciales), cuantos medios de almacenamiento 39 fueron utilizados, identificación de la persona que ejecuta el respaldo, 40 ubicación asignada para su almacenamiento, personas responsables del almacenamiento. 44 \item Todas las copias de respaldo y medios de almacenamiento 45 utilizados deben estar bien identificadas 46 con datos tales como: a qué equipo de computación pertenece, 47 contenido de la copia de 48 respaldo, fecha y hora de ejecución del respaldo, cronogramas 49 de ejecución del respaldo, 50 tipo de respaldo (completos, incrementales, diferenciales), 51 cuantos medios de almacenamiento 52 fueron utilizados, identificación de la persona que ejecutó el respaldo, 53 ubicación asignada para su almacenamiento, 54 personas responsables del almacenamiento. 41 55 42 \item Establecer los sistemas técnicos que se van a emplear para garantizar la privacidad e integridad de los datos que se almacenen. 56 \item Establecer los sistemas técnicos que se van a emplear 57 para garantizar la privacidad e integridad de los datos que se almacenen. 43 58 44 \item Contar con un lugar de resguardo para los respaldos, físicamente seguro y45 que posea controles de acceso.59 \item Contar con un lugar de resguardo para los respaldos, 60 físicamente seguro y que posea controles de acceso. 46 61 47 \item Generar en un tiempo determinado dos copias de los respaldos, unas de esas copias, se 48 debe resguardar en otro sitio fuera del edificio, este sitio debe igualmente 62 \item Generar en un tiempo determinado dos copias de los respaldos, 63 unas de esas copias, se debe resguardar en otro sitio fuera del edificio, 64 este sitio debe igualmente 49 65 cumplir con determinados características de seguridad al sitio principal. 50 66 Además, el acceso y traslado de las copias deben ser realizados por 51 67 personal debidamente identificado y autorizado para ejecutar el procedimiento. 52 68 53 \item Efectuar las pruebas de recuperación en un tiempo determinado y definido para verificar el estado de los soportes y el correcto funcionamiento de las copias de respaldo. 69 \item Efectuar las pruebas de recuperación en un tiempo determinado y 70 definido para verificar el estado de los soportes y el correcto 71 funcionamiento de las copias de respaldo. 54 72 55 \item Para los casos de aplicaciones críticas se recomienda implementar técnicas de 73 \item Para los casos de aplicaciones críticas 74 se recomienda implementar técnicas de 56 75 sincronización automática, por hardware y software de forma que si la aplicación 57 76 principal deja de funcionar la otra aplicación espejo tome el control 58 inmediatamente o en un tiempo mínimo requerido para su ejecución, este procedimiento es llamado redundancia. 77 inmediatamente o en un tiempo mínimo requerido para su ejecución, 78 este procedimiento es denominado despeje automático de fallas basado en 79 la redundancia de los sistemas. 59 80 \end{itemize} -
maquetacion/capitulo2/politicasSeguridadCentroDatos.tex
rc1c9daf rf6f92c7 7 7 \item Los procedimientos para la creación de nuevas cuentas críticas. 8 8 9 \item Los niveles de acceso físico y lógico de los recursos computacionales, para establecer quiénes están autorizados para realizar determinadas actividades y operaciones; a qué datos, aplicaciones y servicios, desde qué equipo computacional puede acceder, quiénes pueden acceder al centro de datos. 9 \item Los niveles de acceso físico y lógico de los recursos computacionales, 10 para establecer quiénes están autorizados para realizar determinadas 11 actividades y operaciones; a qué datos, aplicaciones y servicios, desde 12 qué equipo computacional puede acceder, quiénes pueden acceder 13 al centro de datos. 10 14 11 15 \item Los procedimientos para eliminar o bloquear las cuentas y los posibles 12 16 escenarios que puedan incurrir en esta medida. 13 17 14 \item El personal que delegará la responsabilidad del control de: usuarios, claves, entre otros, en los momentos cuando no esté el responsable principal. 18 \item El personal en que se delegará la responsabilidad del control de: 19 usuarios, claves, entre otros, en los momentos cuando no esté 20 el responsable principal. 15 21 16 \item Las políticas de respaldo y recuperación ante incidentes para garantizar el continuo funcionamiento de los sistemas de la institución. 22 \item Las políticas de respaldo y recuperación ante incidentes 23 para garantizar el continuo funcionamiento de los sistemas 24 de la institución. 17 25 18 \item Los procedimientos para respaldar o eliminar información o sistemas de los equipos de computación 26 \item Los procedimientos para respaldar o eliminar información 27 o sistemas de los equipos de computación 19 28 (ver sección \ref{politicasDeRespaldoYRecuperacion}). 20 29 21 \item Las posibles violaciones y consecuencias derivadas del incumplimiento de las políticas de seguridad. 30 \item Las posibles violaciones y consecuencias derivadas del 31 incumplimiento de las políticas de seguridad. 22 32 23 \item Las sanciones a los responsables por la violación de las políticas de seguridad. 33 \item Las sanciones a los responsables por la violación de 34 las políticas de seguridad. 24 35 25 36 \item Clasificar la información e identificar los activos de información. … … 32 43 33 44 \begin{itemize} 34 \item Mantener en óptimas condiciones el funcionamiento de la red para garantizar su disponibilidad. 45 \item Mantener en óptimas condiciones el funcionamiento de la 46 red para garantizar su disponibilidad. 35 47 36 \item Revisar periódicamente el estado físico del cableado horizontal y vertical de la red de la institución. 48 \item Revisar periódicamente el estado físico del cableado 49 horizontal y vertical de la red de la institución. 37 50 38 \item Realizar periódicamente mantenimientos preventivos y correctivos a los equipos de telecomunicaciones. Se recomienda que el mantenimiento se realice semestral, además deberá ser registrado en bitácoras. 51 \item Realizar periódicamente mantenimientos preventivos y 52 correctivos a los equipos de telecomunicaciones. Se recomienda 53 que el mantenimiento se realice semestral, además deberá ser 54 registrado en bitácoras. 39 55 40 \item Supervisar y mantener adecuadamente las instalaciones de la infraestructura de red. 56 \item Supervisar y mantener adecuadamente las instalaciones de 57 la infraestructura de red. 41 58 42 59 43 60 \item Administrar y operar los servidores de la red interna de la organización. 44 61 45 \item La red interna no será instrumento de experimentos que pongan en riesgo la46 integridad de la información.62 \item Garantizar que la red interna no sea instrumento de experimentos que pongan 63 en riesgo la integridad de la información. 47 64 48 65 \item Configurar y supervisar los equipos de comunicaciones. 49 66 50 \item Construir un mapa de red y actualizarlo ante cambios.67 \item Construir un mapa de red y mantenerlo actualizado. 51 68 52 \item Asegurar las contraseñas críticas como: administrador (\textit{root}), aplicaciones como cortafuegos, servidores, entre otros. 69 \item Asegurar las contraseñas críticas como: administrador (\textit{root}), 70 aplicaciones como cortafuegos, servidores, entre otros. 53 71 54 \item Ubicar los equipos en salas (centro de datos) con acceso restringido y medidas de seguridad física, utilizando estándares o certificaciones. 72 \item Ubicar los equipos en salas (centro de datos) con acceso restringido 73 y medidas de seguridad física, utilizando estándares o certificaciones. 55 74 \end{itemize} -
maquetacion/capitulo2/seguridadFisicaCentroDatos.tex
rc1c9daf rf6f92c7 1 1 \section{Seguridad física en los centros de datos} 2 2 3 Para establecer la seguridad física se deben tener en consideración varios aspectos 4 (físico, lógico y ambiental) que permitirán una configuración apropiada y segura 5 para el centro de datos. En esta área por lo general se encuentra un alto 6 porcentaje de los activos de información de la institución. En él se concentran y se procesan todos los recursos 7 lógicos con que opera la institución. Para configurar un centro de datos confiable y seguro se debe 8 considerar: 3 Para establecer la seguridad física se deben tener 4 en consideración varios aspectos (físico, lógico y ambiental) 5 que permitirán una configuración apropiada y segura 6 para el centro de datos. En esta área por lo general se 7 encuentra un alto porcentaje de los activos de información de la institución, 8 por cuanto en él se concentran y se procesan la mayor parte de los recursos 9 lógicos con que opera la institución. Para configurar un 10 centro de datos confiable y seguro se debe considerar lo siguiente: 9 11 10 12 \subsection{Servicios que prestan o prestarán los centros de datos} … … 24 26 \end{itemize} 25 27 26 Con esta información se pueden establecer las relaciones con la capacidad de procesamiento, 28 Con esta información se pueden establecer las relaciones con la 29 capacidad de procesamiento, 27 30 cantidad de equipos computacionales requerido, espacio físico y acondicionamiento 28 31 del espacio (aire acondicionado, capacidad de la planta eléctrica, entre otros). 29 32 30 \subsection{Ubicación y condición física de los centros de datos} 31 32 La selección de la ubicación de un centro de datos, es un factor determinante en su correcto 33 \subsection{Ubicación y condiciones físicas para centros de datos} 34 35 La selección de la ubicación de un centro de datos es un factor 36 determinante en su correcto 33 37 funcionamiento, puesto que de esto depende la mayor protección y seguridad 34 de una de las áreas más importantes de cualquier institución.38 de una de las áreas más importantes de la institución a la que pertenezca. 35 39 36 40 Para la ubicación del centro de datos se recomienda que: 37 41 38 42 \begin{itemize} 39 \item Se encuentre alejado de instalaciones eléctricas como radares, microondas, u otro equipo que genere ondas electromagnéticas, para 40 que no influyan en el funcionamiento de los equipos de computación del centro de datos. 41 42 \item Se encuentre lejos de estaciones de materiales volátiles, estaciones de servicio (bombas de gasolina), 43 \item Se encuentre alejado de instalaciones eléctricas como radares, 44 microondas, u otro equipo que genere ondas electromagnéticas, para 45 que no influyan en el funcionamiento de los equipos de computación 46 del centro de datos. 47 48 \item Se encuentre lejos de estaciones de materiales volátiles, 49 estaciones de servicio (bombas de gasolina), 43 50 porque representan peligros por incidentes intencionados o fortuitos. 44 51 45 \item Se encuentre nen lugares no desolados o desprotegidos.52 \item Se encuentre en lugares no desolados o desprotegidos. 46 53 \end{itemize} 47 54 … … 49 56 50 57 \begin{itemize} 51 \item Que el terreno donde se encuentra ubicado no presente problemas de hundimiento. 58 \item Que el terreno donde se encuentra ubicado no presente 59 problemas de hundimiento. 52 60 53 61 \item Que no existan condiciones climatológicas adversas: áreas de constantes 54 62 lluvias y descargas eléctricas, altas temperaturas, u otra condición similar. 55 63 56 \item Que el centro de datos no esté ubicado en un área con constantes actividades sísmicas. 64 \item Que el centro de datos no esté ubicado en un área con 65 constantes actividades sísmicas. 57 66 58 67 \item Que el centro de datos no esté ubicado en áreas propensas a inundaciones. … … 76 85 77 86 \begin{itemize} 78 \item Espacios amplios disponibles por la organización con todos los servicios que requiere el centro de datos. 87 \item Espacios amplios disponibles por la organización con todos 88 los servicios que requiere el centro de datos. 79 89 80 90 \item El acceso a los equipos de computación y del personal al centro de datos … … 83 93 desde y hacia el centro de datos. 84 94 85 \item Buen diseño de las instalaciones de suministro eléctrico, que garantice el suministro 86 y la disponibilidad de la energía eléctrica estable, y además sea independiente del resto de 95 \item Buen diseño de las instalaciones de suministro 96 eléctrico, que garantice el suministro 97 y la disponibilidad de la energía eléctrica estable, 98 y además sea independiente del resto de 87 99 las instalaciones del edificio del la institución. 88 100 … … 91 103 podría ocasionar serios problemas al utilizar los equipos. 92 104 93 Se requiere de la disposición de planta generadora de corriente para evitar94 la paralización de las actividades del centro de datos en los períodos de corte 95 de energía eléctrica. Las características96 de las pla tas eléctricas y su instalación estaráen función a las necesidades105 Se requiere de la disposición de planta generadora de energía electrica 106 para evitar la paralización de las actividades del centro de datos 107 en los períodos de corte del suministro principal. Las características 108 de las plantas y su instalación estarán en función a las necesidades 97 109 eléctricas del centro de datos. 98 110 99 Contar con sistemas de puesta a tierra, que permitan absorber las descargas 100 eléctricas. 101 Por último, contar con fuentes o suministro de poder (\textit{UPS}) para proteger a los equipos electrónicos por fluctuaciones de poder. 102 103 104 105 \item Se debe contar con un acondicionamiento térmico del local que controle la humedad 106 y la temperatura requeridas por los equipos computacionales del centro de datos. 107 108 \item Instalación de pisos falsos, para evitar que las descargas eléctricas 109 afecten a los 110 equipos por su característica conductiva, y para una óptima distribución de cableado, 111 canaletas, aire acondicionado. 112 113 \item Se debe considerar la resistencia del piso falso que soporte el peso de los 114 equipos de computación y personal que se encuentran en el centro de datos. 115 116 \item Se debe preservar las condiciones térmicas del local de los centros de datos y 117 para evitar la entrada de cualquier sustancia extraña que pueda generar algún incidente. 118 119 \item Para las paredes y techos de los centros de datos se recomienda usar 120 pinturas plásticas lavables 111 Contar con sistemas de puesta a tierra, que permitan absorber 112 las descargas eléctricas y proteger a las personas y equipos de 113 sus efectos. 114 Por último, contar con equipo para suministro de energía ininterrumpida 115 (\textit{UPS}) para proteger a los equipos electrónicos de las 116 fluctuaciones en los parámetros del suministro de energía principal 117 y garantizar la continuidad y calidad del suministro de energía a 118 los equipos del centro de datos. 119 120 121 122 \item Se debe contar con un acondicionamiento térmico del local 123 que mantenga controlada la humedad 124 y la temperatura en los rangos apropiados para el funcionamiento de 125 los equipos computacionales del centro de datos. 126 127 \item Instalación de pisos elevados, para evitar que las descargas 128 eléctricas afecten a los 129 equipos por su característica conductiva, y para una óptima distribución 130 de cableado, canaletas, bandejas y ductos de aire acondicionado. 131 132 \item Se debe considerar la resistencia del piso elevado 133 que soporte el peso de los equipos de computación y personal que se encuentren 134 en el centro de datos. 135 136 \item Se debe preservar las condiciones térmicas 137 del local de los centros de datos y 138 evitar la entrada de cualquier sustancia extraña 139 que pueda generar algún incidente. 140 141 \item Para las paredes y techos de los centros de datos 142 se recomienda usar pinturas plásticas lavables 121 143 para ser limpiados fácilmente y evitar la erosión. 122 144 123 \item La altura del techo debe estar entre los 2,70m y 3,30m para permitir la movilidad del aire dentro del centro de datos. 124 125 \item Se debe contar con ductos lisos y sin desprendimiento de partículas con el paso del aire que pudiera afectar a los equipos de computación 126 127 \item El cableado del centro de datos se recomienda que esté dispuesto por debajo 128 del piso falso, ubicado de forma separada en función al tipo de cable (de alto 129 voltaje, 130 de bajo voltaje, de telecomunicación, y los de señales para dispositivos de detección de fuego). 131 132 \item Evitar conectar múltiples dispositivos en el mismo toma corriente para evitar sobrecargas en los circuitos eléctricos del centro de datos. 145 \item La altura del techo debe estar entre los 2,70m y 3,30m 146 para permitir la movilidad del aire dentro del centro de datos. 147 148 \item Se debe contar con ductos lisos y sin desprendimiento de 149 partículas con el paso del aire, que pudieran afectar a los 150 equipos de computación. 151 152 \item El cableado de potencia del centro de datos se recomienda que 153 esté dispuesto por debajo del piso elevado, ubicado de forma separada 154 en función al tipo de cable (de alto voltaje, de bajo voltaje). Los cableados 155 de telecomunicaciones y los de señales para dispositivos de detección de fuego 156 es recomendable se encuentren canalizados en bandejas aéreas. 157 158 \item Evitar conectar múltiples dispositivos en el mismo sócate de energía 159 para evitar sobrecargas en los circuitos eléctricos del centro de datos. 133 160 134 161 … … 138 165 139 166 Los sistemas de control de acceso deben ser flexibles y confiables para 140 controlar, supervisar, registrar y verificar los datos de acceso para permitir 167 controlar, supervisar, registrar y verificar los datos de acceso a efectos 168 de permitir 141 169 el acceso del personal autorizado para ingresar a las instalaciones 142 170 o áreas restringidas de la institución. Los sistema de control de acceso … … 152 180 el control debe ser tan estricto como en el horario normal. 153 181 154 \item Identificar, controlar y vigilar las actividades que realizan las terceras personas 155 durante su estadía en el centro de datos. Entre las personas que se consideran como 156 terceras personas están los visitantes, personal de limpieza, personal de 157 mantenimiento de los diferentes equipos. 182 \item Identificar, controlar y vigilar las actividades que 183 realizan las terceras personas 184 durante su estadía en el centro de datos. Entre las personas 185 que se consideran como terceras personas están los visitantes, 186 personal de limpieza, personal de mantenimiento de los diferentes equipos. 158 187 159 188 \item Instalación de Torniquetes. … … 165 194 \item Utilizar detectores de movimiento. 166 195 167 \item Utilizar tarjetas de identificación o cualquier otro mecanismo de por lo menos Nivel 2\footnote{El Nivel 2 indica que el usuario autorizado para ante un sistema de control debe presentar algo que sabe (contraseña) y algo que tiene (tarjeta)} . 196 \item Utilizar tarjetas de identificación o cualquier otro mecanismo 197 de por lo menos Nivel 2\footnote{El Nivel 2 indica que el usuario 198 autorizado para ante un sistema de control debe presentar algo 199 que sabe (contraseña) y algo que tiene (tarjeta)}. 168 200 169 201 \item Utilizar control de aperturas de puertas. 170 202 171 \item Utilizar control de acceso mediante sistemas electrónicos con tarjetas de172 proximidad.203 \item Utilizar control de acceso mediante sistemas electrónicos 204 con tarjetas de proximidad. 173 205 \end{itemize} 174 206 175 207 \subsection{Sistema de aire acondicionado} 176 208 177 Los equipos modernos de computación generan grandes cantidades de calor, es por ello que se debe contar con un sistema de aire acondicionado para mantener una temperatura o clima adecuado que permita que los equipos funcionen bien. En este sentido, se tiene que considerar lo siguiente: 178 179 \begin{itemize} 180 \item Considerar los riesgos que representa los aires acondicionado, el mal funcionamiento ocasiona que los equipos sean apagados, se pueden producir incendios e inundaciones. 181 182 \item El aire acondicionado debe ser exclusivo para el centro de datos por las condiciones especiales que se requieren. 183 184 \item Se debe contar con aire acondicionado de respaldo, en el caso que el principal presente problemas. 209 Los equipos modernos de computación generan grandes cantidades de calor, 210 es por ello que se debe contar con un sistema de aire acondicionado para 211 mantener una temperatura o clima adecuado que permita que los equipos 212 funcionen bien. En este sentido, se tiene que considerar lo siguiente: 213 214 \begin{itemize} 215 \item Considerar los riesgos que representan los aires acondicionado, 216 cuyo mal funcionamiento ocasiona que los equipos deban ser apagados, o se pueden 217 producir incendios e inundaciones. 218 219 \item El aire acondicionado debe ser exclusivo para el centro de datos 220 por las condiciones especiales que se requieren. 221 222 \item Se debe contar con aire acondicionado de respaldo, en el caso 223 que el principal presente problemas. 185 224 Con esto se evita que se tengan que apagar los equipos computacionales. 186 225 … … 189 228 computación. 190 229 191 \item Tener los controles y las alarmas de temperatura y humedad que permitan la detección y la acción oportuna de corrección de los niveles de temperatura y humedad sin afectar los equipos de computación del centro de datos. 192 193 \item Tener la suficiente capacidad de los equipos de aire acondicionado en función de las necesidades de los equipos instalados en el centro de datos y su posible tasa de crecimiento. 230 \item Tener los controles y las alarmas de temperatura y humedad 231 que permitan la detección y la acción oportuna de corrección de 232 los niveles de temperatura y humedad sin afectar los equipos de 233 computación del centro de datos. 234 235 \item Tener la suficiente capacidad de los equipos de aire acondicionado 236 en función de las necesidades de los equipos instalados en el centro de 237 datos y su posible tasa de crecimiento. 194 238 195 239 \end{itemize} … … 200 244 201 245 \begin{itemize} 202 \item Los materiales de las paredes y de los techos deben ser resistentes al fuego. 246 \item Los materiales de las paredes y de los techos 247 deben ser resistentes al fuego. 203 248 204 249 \item Se debe incorporar canales aislantes en los espacios físicos. … … 208 253 \item Se debe contar con detectores de fuego alejado del aire acondicionado. 209 254 210 \item Las alarmas de fuego deben estar conectadas al sistema de detección temprana de humo. 255 \item Las alarmas de fuego deben estar conectadas al sistema 256 de detección temprana de humo. 211 257 212 258 \item Disponer de equipos contra fuego como extintores. -
maquetacion/capitulo2/seguridadFisicaPuestosTrabajo.tex
rc1c9daf rf6f92c7 21 21 22 22 \item Las ubicación de los equipos y el cableado deben ser colocados de tal 23 manera que se evite golpes u otros hechos que puedan acarrear su daño o24 alteración. Los cables no pueden ser pisados ni cortados, ni se les debe colocar23 manera que se evite golpes u otros sucesos que puedan acarrear su daño o 24 alteración. Los cables no deben ser pisados ni cortados, ni se les debe colocar 25 25 otros objetos encima o contra ellos. 26 26 … … 29 29 30 30 \item Contar con planes de mantenimiento de los equipos de los puestos de 31 trabajo s, en concordancia con las especificaciones de valores y servicios32 recomendados por el proveedor de los equipos. De esta manera se pued aalargar33 su lavida útil y se pueden detectar a tiempo fallas graves.31 trabajo, en concordancia con las especificaciones de valores y servicios 32 recomendados por el proveedor de los equipos. De esta manera se puede alargar 33 su vida útil y se pueden detectar a tiempo fallas graves. 34 34 \end{itemize} -
maquetacion/capitulo2/seguridadLogicaCentroDatos.tex
rc1c9daf rf6f92c7 23 23 realizadas en los equipos de computación. 24 24 25 \item Utilizar buenas prácticas de seguridad en el uso y selección de las contraseñas (ver 25 \item Utilizar buenas prácticas de seguridad en el uso y selección 26 de las contraseñas (ver 26 27 sección \ref{section:gestionDeContrasenas}). 27 28 … … 35 36 36 37 \item Instalar los últimos parches de seguridad y actualizaciones 37 publicadas por el fabricante. Convendría comprobar su correcto funcionamiento 38 en otra maquina de pruebas antes de su uso en la máquina de 39 producción. 38 publicadas por el fabricante. Conviene comprobar 39 su correcto funcionamiento 40 en otra maquina de pruebas antes de su uso en la máquina 41 de producción. 40 42 41 43 \item Utilizar sólo los protocolos y servicios necesarios. 42 44 43 \item Activar los registros de actividades de los servidores (\textit{logs}). 45 \item Activar las bitácoras de actividades 46 en los servidores (\textit{logs}). 44 47 45 \item Disponer de una copia de seguridad completa del sistema operativo de 46 cada servidor tras una configuración correcta. 48 \item Disponer de una copia de seguridad completa del 49 sistema operativo de cada servidor tras una configuración 50 correcta. 47 51 48 \item Instalar herramientas que permitan comprobar la integridad de los49 archivos del sistema.52 \item Instalar herramientas que permitan comprobar 53 la integridad de los archivos del sistema. 50 54 51 \item Modificar el mensaje de inicio de sesión para evitar que no se pueda52 mostrar información sobre la configuración y recursos del sistema a un53 posible atacante.55 \item Modificar el mensaje de inicio de sesión para evitar 56 que no se pueda mostrar información sobre la configuración 57 y recursos del sistema a un posible atacante. 54 58 \end{itemize} 55 59 … … 57 61 respectivos roles y niveles de acceso a los activos de la institución 58 62 59 \item Eliminar o bloquear inmediatamente los privilegios de acceso de los usuarios que han cambiado de área, departamento o han dejado la institución. 63 \item Eliminar o bloquear inmediatamente los privilegios de acceso de 64 los usuarios que han cambiado de área, departamento 65 o han dejado la institución. 60 66 \end{itemize} -
maquetacion/capitulo2/seguridadLogicaPuestosTrabajo.tex
rc1c9daf rf6f92c7 4 4 asignado a un miembro de la organización, el cual tiene la responsabilidad de 5 5 usarlo siguiendo las políticas de la organización y en particular las 6 específicas sobre seguridad de la información. Entre las recomendaciones6 que sean específicas sobre seguridad de la información. Entre las recomendaciones 7 7 referentes a controles para los puestos de trabajo se listan las siguientes:\\ 8 8 9 9 \begin{itemize} 10 10 11 \item Determinar y clasificar el grado de criticidad de la información que se maneja en 11 \item Determinar y clasificar el grado de criticidad de la 12 información que se maneja en 12 13 los sistemas de almacenamiento ubicados en los puestos de trabajo. 13 14 14 \item Las contraseñas de administración de los equipos computacionales sólo deben ser conocidas por las personas responsables del 15 puesto de trabajo. La contraseña principal de acceso a cada equipo debe ser seleccionada siguiendo las recomendaciones propuestas en la 15 \item Las contraseñas de administración de los equipos computacionales 16 sólo deben ser conocidas por las personas responsables del 17 puesto de trabajo. La contraseña principal de acceso a cada equipo 18 debe ser seleccionada siguiendo las recomendaciones propuestas en la 16 19 sección \ref{section:gestionDeContrasenas}. 17 20 … … 21 24 22 25 \item Definir políticas para generar, eliminar, y modificar las claves de 23 usuarios en los puestos de trabajo evitando la carga de trabajo para las personas. 26 usuarios en los puestos de trabajo evitando la 27 carga de trabajo para las personas. 24 28 25 \item Mantener el sistema operativo y aplicaciones actualizadas.29 \item Mantener actualizados el sistema operativo y las aplicaciones. 26 30 27 31 \item Utilizar herramientas y procedimientos que verifiquen la integridad y 28 la fuente de los paquetes a instalar (mecanismos de verificación de integridad y autoría). 32 la fuente de los paquetes de software a instalar (mecanismos de verificación de 33 integridad y autoría). 29 34 30 \item Utilizar el correo institucional con la activación de métodos criptográficos 35 \item Utilizar el correo institucional con la 36 activación de métodos criptográficos 31 37 para proteger la confidencialidad e integridad de los mensajes. 32 38
Note: See TracChangeset
for help on using the changeset viewer.