1. República Bolivariana De Venezuela
Ministerio Del Poder Popular Para La Defensa
Universidad Nacional Experimental Politécnica De La Fuerza Armada
Bolivariana
Núcleo Carabobo
Extensión Guacara
Ingeniería En Sistemas Medina Víctor C. I: 7.145.543
Semestre VIII Nery Osdalis C. I: 16.582.243
Sección G-002-N Pérez Johan C. I: 18.836.071
Admón.De Centros de Cómputo Rivero César C: I: 15.975.478
Sánchez Angi C: I: 18.857.710
Guacara, Febrero 2.011
2. Seguridad de los Centros de Cómputo
Seguridad es el conjunto de normas preventivas y operativas, con apoyo de
procedimientos, programas, sistemas, y equipos de seguridad y protección,
orientados a neutralizar, minimizar y controlar los efectos de actos ilícitos o
situaciones de emergencia, que afecten y lesionen a las personas o los bienes de
esta.
La seguridad en un centro de cómputo no solo se refiere a la protección del
hardware, si no también del software. Algunas medidas de seguridad de un centro
de cómputo son:
1.- Impartir instrucciones a los asociados o responsables de no suministrar
información.
2.- Revisar los planes de seguridad de la organización.
3.- Establecer simples y efectivos sistemas de señales.
4.- Contar con resguardo de la información que se maneja.
5.- Establecer contraseñas para proteger información confidencial y privada.
6.- Evitar introducir alimentos, tales como refrescos, para impedir que
puedan derramarse sobre las maquinas.
7.- No fumar.
8.- Cada equipo de cómputo debe contar con un regulador de corriente para
evitar problemas o daños en caso de falla eléctrica.
9.- Escanear un dispositivo de almacenamiento antes de introducirlo a la
computadora para así evitar infectarlas con algún virus.
Seguridad en todos los niveles.
Esto se puede expresar más sencillamente como: no confiar el sistema a un único
mecanismo de seguridad. La información fluye a través de los distintos
componentes y/o capas del sistema y son muchas las instancias en las que se
puede mejorar su seguridad. La recomendación estipula que utilicemos todas
estas instancias a pesar de que en principio puedan parecer redundantes.
3. Educar a los usuarios
Una de las mayores ayudas que puede recibir un hacker que intenta infiltrarse en
el sistema de una organización consiste en obtener información acerca de Este.
En este sentido, las prácticas empleadas por el atacante comprenden muchas
veces la interacción encubierta con los usuarios de la organización a los cuales se
les extrae (sin que tomen conciencia de esto) una serie de datos útiles para el
hacker. El caso más evidente consiste en obtener como jugando" una contraseña
de parte de este incauto.
No confiar (totalmente) en nosotros mismos
Esto puede sonar extraño, sin embargo lo único que se quiere indicar es la
necesidad de que otra persona verifique la seguridad de nuestro sistema. Como
se sabe, existen empresas consultoras especializadas en auditar nuestra
organización con este fin. Si esta Ultima opción no es posible (por ejemplo, por el
costo involucrado) entonces es de rigor solicitar a otro administrador o ingeniero
que verifique las medidas que hemos considerado.
En sistemas y redes complejas es muy posible que una sola persona (nosotros)
hayamos dejado pasar alguna puerta insegura. Mientras más personas verifiquen
nuestro trabajo, habrá más probabilidades de que éste esté
adecuadamente realizado. Esta es la idea que está detrás de mucho software
Open Source, siendo el Kernel de Linux el caso más conspicuo.
Ejecutar solo los servicios imprescindibles.
Algunas personas tienen la manía de instalar los sistemas con la mayor cantidad
posible de opciones que puedan entrar en el disco duro. Los administradores de
sistemas seguros deben ir exactamente en sentido inverso: en un sistema de alto
riesgo es de rigor que se ejecute únicamente lo imprescindible. El ejemplo más
conocido corresponde a los servicios de red, los cuales muchas veces vienen
configurados para estar activos tan pronto como se instala un sistema operativo,
creándose automáticamente nuevas oportunidades para los atacantes.
4. Mantenerse al día
Esta recomendación cada vez es más crítica. El software, pese a los esfuerzos y
la propaganda, continuará teniendo errores y puertas ocultas. Y al parecer la
tendencia sigue en aumento con la complejidad del mismo. Esto implica que los
vendedores deberán proporcionar parches o versiones mejoradas a sus clientes
cada vez que se descubra alguna vulnerabilidad.
Escaneos regulares
Un "scanner" es un programa que intenta indagar acerca de qué servicios
proporciona un computador de la red. Una vez que se conocen estos servicios, un
atacante puede centrar sus ataques hacia los mismos.
Establecer planes de contingencia y sistemas de respaldo
No existe ninguna garantía de que nuestro sistema sea invulnerable. Más
allá de las medidas que podamos adoptar, siempre existirá la posibilidad de ser
atacados. Esto nos obliga a tener presentes ciertas medidas de contingencia
traducidas preferentemente en políticas de seguridad bien establecidas.
En otras palabras, debemos imaginarnos sucesivamente un conjunto de
escenarios de ataques exitosos. ¿Qué hacemos si...
• Sospechamos que un hacker está atacando el firewall?
• Sospechamos que ya ha tomado control del firewall?
• Comprobamos que ya ha tomado control del firewall?
• Sospechamos que el servidor de base de datos ha sido alterado?
• Descubrimos que las PCs Windows han sido infectadas con un virus?
Vigilancia
La vigilancia del buen funcionamiento del sistema es un asunto más
complicado de lo que parece. El problema es que los ataques frecuentemente
están disfrazados de conexiones más o menos válidas, y por otro lado, los
sistemas de cómputo normalmente no avisan cuando son alterados, a no ser que
esto se haya establecido de antemano. Los ataques generalmente tratan de
aparentar que no ha ocurrido nada, a fin de conseguir hacer más y más
modificaciones sin ser detectados y detenidos.
5. Establecimiento de políticas
Para terminar, una recomendación que en cierto modo engloba a todas las
anteriores. El establecimiento de políticas corresponde a un mecanismo que
permite asegurar que la seguridad se mantenga en todas las situaciones y se
deriva del "compromiso con la seguridad" de la organización. La idea detrás de
todo esto es que nadie puede saber de antemano lo que piensa el administrador o
el encargado de la seguridad sin ser informado. Muchas organizaciones no tienen
esto en cuenta y se da el caso en que un gerente se limita a reunir a los
empleados y decirles "no hagan nada que pueda atentar contra la seguridad de la
organización, o serán castigados..." El problema es que la gente normalmente no
piensa en términos de seguridad sino en términos de cumplimiento de
obligaciones y logro de resultados, y el camino más corto no siempre es el más
seguro.
Seguridad En Las Instalaciones
• La seguridad de contra incendios.
Las Siguientes Recomendaciones Pueden Prolongar La Vida De Los
Equipos:
• Ubique el equipo en un lugar donde no exista mucho movimiento de
personal.
• No traslade la computadora sin la autorización del asesor del Centro de
Cómputo.
• Instale la computadora sobre escritorios o muebles estables o
especialmente diseñados para ello.
• Ubique el equipo lejos de la luz del sol y de ventanas abiertas.
• La energía eléctrica debe ser regulada a 110 voltios y con polo a tierra.
Asesórese debidamente para garantizar una buena toma eléctrica.
• No conecte otros aparatos (Radios, maquinas de escribir, calculadoras,
etc.) en la misma toma de la computadora.
• Cada usuario, al momento de terminar las labores diarias, deberá apagar
los equipos (Computadora, Impresoras, Escáner).
6. • Evite colocar encima o cerca de la computadora ganchos, clips, bebidas y
comidas que se pueden caer accidentalmente dentro del equipo.
• No fume cerca del equipo, el alquitrán se adhiere a las piezas y circuitos
internos del equipo.
• Mantenga libre de polvo las partes externas de la computadora y de las
impresoras. Utilice un paño suave y seco. Jamás use agua y jabón.
• Mantenga la pantalla y el teclado cubiertos con fundas cuando no haga uso
de ellos por un tiempo considerable o si planea el aseo o reparaciones de la
computadora.
• Utilice en la impresora el ancho del papel adecuado. El contacto directo de
la cabeza de impresión sobre el rodillo puede estropear ambas partes.
(Usuarios con impresoras de matriz de punto)
• Esta prohibido destapar y tratar de arreglar los equipos por su cuenta. En
todos los casos el asesor del Centro de Cómputo es el encargado de esta
operación.
• No preste los equipos o asegúrese que la persona que lo utilizara conoce
su correcta operación.
Seguridad en los sistemas
La seguridad de los sistemas esta enfocada principalmente a la seguridad
en los equipos de computó como:
Software. La seguridad de la programación pretende:
• Restringir el acceso a los programas y archivos.
• Asegurar que los operadores puedan trabajar sin la supervisión minuciosa y
no modificar los programas ni los archivos.
• Asegurar que se estén utilizando los datos, archivos y programas correctos
en el procesamiento.
7. Redes y comunicaciones. El mayor riesgo reside en el acceso no autorizado a
las redes, con el propósito de obtener información confidencial o hacer uso
indebido de las instalaciones de procesamiento. La medida de seguridad realista
consiste en usar un código a fin de preservar la confidencialidad de la información
en caso de que exista una brecha en la seguridad.
Terminales. Al revisar la seguridad de las terminales, estas se deben de tratar
como pequeñas computadoras. Aquí se deben de revisar los siguientes aspectos:
• La ubicación de las terminales, el conocimiento general de ello y el acceso
físico a la terminal misma.
• El control sobre la operación autorizada de la terminal por medio de claves
físicas, códigos u otros métodos de identificación.
• El equipo, los programas y otras verificaciones que permitan garantizar que
los controles mencionados anteriormente se reforzaran.
Seguridad Lógica
La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos
que resguarden el acceso a los datos y sólo se permita acceder a ellos a las
personas autorizadas para hacerlo”.
Los objetivos que se plantean serán:
• Restringir el acceso a los programas y archivos
• Asegurar que los operadores puedan trabajar sin una supervisión minuciosa
y no puedan modificar los programas ni los archivos que no correspondan.
• Asegurar que se estén utilizando los datos, archivos y programas correctos
en y por el procedimiento correcto.
• Que la información transmitida sea recibida por el destinatario al cual ha
sido enviada y no a otro.
• Que la información recibida sea la misma que ha sido transmitida.
• Que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos.
8. • Que se disponga de pasos alternativos de emergencia para la transmisión
de información.