Introducción
Definición de una INTRANET: Es una infraestructura basada en los estándares y tecnologías de Internet que soporta el compartir información dentro de un grupo bien definido y limitado.
Problema: Aunque una INTRANET sea una red privada en la que se tengan grupos bien definidos y limitados ésta no se encuentra exenta de ataques que pudiesen poner en riesgo la información que maneja, ya que la mayoría de éstos son provocados por sus mismos usuarios.
Antecedentes: La mayoría de las estadísticas de seguridad en cómputo indican que cerca del 80% de los fraudes relacionados con las computadoras provienen de los usuarios internos, por esto las intranets son las más vulnerables a ataques de ésta índole.
Según el CSI (Computer security institute) de San Francisco el 90 % de las empresas entrevistadas detectaron ataques a sus computadoras, el 70 % reporto que los más comunes fueron virus, robo de laptops y ataques de abuso de la red de sus empleados. Ref [9] , [10] , [11]
Modelo de la Solución:
Políticas de Seguridad
Control de Acceso
Transacciones Seguras
Virus
Cantidad de Seguridad a Implementar
Presentación de la Solución.
Políticas de Seguridad
¿Qué son las políticas de seguridad?
Políticas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y derechos tanto de usuarios como administradores, describe lo que se va a proteger y de lo que se esta tratando de proteger, éstos documentos son el primer paso en la construcción de Firewalls efectivos. Las políticas son parte fundamental de cualquier esquema de seguridad eficiente. Ref [7]
¿Cómo establecer políticas de seguridad para una INTRANET.
2. Metodologia de desarrollo
Un esquema de políticas de seguridad debe llevar ciertos pasos, para garantizar su funcionalidad y permanencia en la institución que. Nuestra propuesta es seguir los pasos detallamos a continuación:
Preparación – Es la recopilación de todo tipo de material relacionado con cuestiones de seguridad en la organización:
¿Qué quiero proteger? Mis recursos: Personal, información, hardware, software, documentación, consumibles, etc.
Hacer preguntas relacionadas con el uso externo: por ejemplo:
¿Necesitará la intranet protección de acceso externo?
¿Se concederá a usuarios autorizados el acceso remoto?
¿Cómo se determinará el acceso no autorizado cuanto ocurra?
¿Existen restricciones de acceso a la información importante? Etc.
Hacer preguntas relacionadas con el uso interno: por ejemplo
¿A qué grupos, departamentos o usuarios se les restringirá el acceso a información interna?
¿Qué constituye una brecha de seguridad interna?
¿El sistema de seguridad impide la productividad?
¿Cómo determina cuando el acceso inautorizado ha ocurrido? Etc.
Hacer preguntas concernientes a la administración
¿Se planea implementar diferentes niveles de acceso?
¿Quién está autorizado para tomar decisiones acerca de la seguridad?
¿Se tiene un sistema de rastreo confiable instalado?
¿Se usará el cifrado?, ¿ Será el adecuado? Etc.
¿De quién necesito protegerlo? De cualquiera que constituya una amenaza, ya sea interna o externa en cualquiera de estos rubros:
Acceso no autorizado: Utilizar recursos de cómputo sin previa autorización
Daño a la información: Modificación o eliminación de la información en el sistema
Robo de información: Acceso a cierta información sin previa autorización
Divulgación de la información: Publicar detalles del sistema, como podrían ser las contraseñas, secretos, investigaciones, etc.
Negación del servicio: Obligar al sistema a negar recursos a usuarios legítimos
¿Qué tantos recursos estoy dispuesto a invertir?
¿Cómo puedo / debo protegerlo?
En general, se tiene que lograr que las políticas de seguridad cumplan con todos los servicios de seguridad:
Autenticación
Confidencialidad
Integridad
No repudio
Disponibilidad de los recursos a personas autorizadas
Control de Acceso
Redacción - Escribir las políticas de una manera clara, concisa y estructurada. Requiere de la labor de un equipo en el que participen abogados, directivos, usuarios y administradores.
Edición - Reproducir las políticas de manera formal para ser sometidas a revisión y aprobación
Aprobación - Probablemente, la parte más difícil del proceso, puesto que es común que la gente afectada por las políticas se muestre renuente a aceptarlas. En esta etapa es fundamental contar con el apoyo de los directivos.
Difusión - Dar a conocer las políticas a todo el personal de la organización mediante proyecciones de video, páginas Web, correo electrónico, cartas compromiso, memos, banners, etc.
Revisión - Las políticas son sometidas a revisión por un comité, que discutirá los comentarios emitidos por las personas involucradas.
Aplicación - Es peor tener políticas y no aplicarlas que carecer de ellas. Una política que no puede implementarse o hacerse cumplir, no tiene ninguna utilidad. Debe predicarse con el ejemplo.
Actualización -En el momento requerido, las políticas deberán ser revisadas y actualizadas, respondiendo a los cambios en las circunstancias. El momento ideal es justo después de que ocurra un incidente de seguridad.
Mientras las políticas indican el "qué", los procedimientos indican el "cómo". Los procedimientos son los que nos permiten llevar a cabo las políticas. Ejemplos que requieren la creación de un procedimiento son:
Otorgar una cuenta
Dar de alta a un usuario
Conectar una computadora a la red
Localizar una computadora
Actualizar el sistema operativo
Instalar software localmente o vía red
Actualizar software crítico
Exportar sistemas de archivos
Respaldar y restaurar información
Manejar un incidente de seguridad
Un punto muy importante dentro de las políticas es el que tienen que ir acompañadas de Sanciones, las cuales deberán también ser redactadas, revisadas, autorizadas, aplicadas y actualizadas.
