Mi foto para la gente de la fiis:
jueves, 18 de diciembre de 2008
Seguridad en los Terminales!!!!!!! Ten cuidado con los terminales que administras
Para el tema de seguridad de los Terminales en cualquier empresa, se presentan las siguientes sugerencias:- Las PCs sólo deberán usarse en un ambiente seguro, donde se han implantado las medidas de control apropiadas para proteger el software, el hardware y los datos. Es decir se debe usar un cableado certificado, preferentemente cable utp Categoria 6 con pozo a tierra, (Obviamente esta prohibido que lleves líquidos cerca a tu computadora de trabajo...)- Debe respetarse y no modificar la configuración de hardware y software establecida por el Departamento de Informática.-Cualquier falla en los computadores o en la red debe reportarse inmediatamente ya que podría causar problemas serios como pérdida de la información o indisponibilidad de los servicios.-No está permitido el uso de módems en PCs que tengan también conexión a la red local (LAN), para prevenir la intrusión de hackers, a menos que sea debidamente autorizado. Todas las comunicaciones de datos deben efectuarse a través de la LAN de la Institución.-Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse actualizada. Si se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar.· No debe utilizarse software que provenga de fuentes no confiables (Internet)· Periódicamente debe hacerse el respaldo de los datos guardados en PCs y servidores y las copias de respaldo deben guardarse en un lugar seguro, a prueba de hurto, incendio e inundaciones. La información que es vital para la operación de la Institución debe guardarse en otra sede, lejos del edificio principal.
Asociados en la APESOL
Para participar se necesita básicamente de una gran motivación de trabajar por el desarrollo del software libre en el país. El proceso de ingreso a la asociación es el siguiente:
Debes expresar tu deseo de participar como asociado a través de una comunicación por correo electrónico o ser presentado por alguno de los asociados activos y ser respaldado por no menos de dos de éstos.
Seguidamente toda persona debe pasar por un «periodo de prueba» en el que deberá demostrar y/o confirmar su voluntad de trabajar por el desarrollo del software libre en nuestro pais, esto es participando activamente en los quehaceres de la asociación, eventos, grupos de trabajo, proyectos, etc. Una forma de involucrarse es suscribiendose a la lista de «activismo» (activismo@listas.apesol.org). El tiempo de este periodo está especificado en el reglamento interno de la asociación. Durante este tiempo la persona tendrá participación en la asociación con voz pero no con voto.
Debes expresar tu deseo de participar como asociado a través de una comunicación por correo electrónico o ser presentado por alguno de los asociados activos y ser respaldado por no menos de dos de éstos.
Seguidamente toda persona debe pasar por un «periodo de prueba» en el que deberá demostrar y/o confirmar su voluntad de trabajar por el desarrollo del software libre en nuestro pais, esto es participando activamente en los quehaceres de la asociación, eventos, grupos de trabajo, proyectos, etc. Una forma de involucrarse es suscribiendose a la lista de «activismo» (activismo@listas.apesol.org). El tiempo de este periodo está especificado en el reglamento interno de la asociación. Durante este tiempo la persona tendrá participación en la asociación con voz pero no con voto.
Software Libre
.jpg)
El Software Libre nace como un esfuerzo para desarrollar una sólida, abierta, democrática y participativa comunidad de usuarios, desarrolladores y activistas del software libre en el Perú.
Entre los objetivos de la asociación destacan el de promover el desarrollo e investigación de tecnologías de la información basadas en software libre como una alternativa económica y tecnológica, innovando el acceso a la educación, desarrollo e independencia tecnológica en igualdad de condiciones.
La asociación también busca estimular el desarrollo de la comunidad peruana, al estimular el uso y desarrollo de proyectos y programas libres, partiendo de un nuevo modelo de desarrollo sostenible, que ubica el tema tecnológico en el contexto de la construcción de un mundo con inclusión social e igualdad de acceso a los avances tecnológicos. Para ello intenta brindar los recursos necesarios, con los cuales se puedan desarrollar comunidades de usuarios y desarrolladores en las diferentes localidades del país, poniendo énfasis en la participación de estudiantes, así como en servir de enlace integrador de éstas.
Entre los objetivos de la asociación destacan el de promover el desarrollo e investigación de tecnologías de la información basadas en software libre como una alternativa económica y tecnológica, innovando el acceso a la educación, desarrollo e independencia tecnológica en igualdad de condiciones.
La asociación también busca estimular el desarrollo de la comunidad peruana, al estimular el uso y desarrollo de proyectos y programas libres, partiendo de un nuevo modelo de desarrollo sostenible, que ubica el tema tecnológico en el contexto de la construcción de un mundo con inclusión social e igualdad de acceso a los avances tecnológicos. Para ello intenta brindar los recursos necesarios, con los cuales se puedan desarrollar comunidades de usuarios y desarrolladores en las diferentes localidades del país, poniendo énfasis en la participación de estudiantes, así como en servir de enlace integrador de éstas.
Mecanismos de Seguridad
Mecanismos de seguridad
No existe un único mecanismo capaz de proveer todos los servicios, pero la mayoría de ellos hacen uso de técnicas criptográficas basadas en el cifrado de la información. Los más importantes son los siguientes:
Intercambio de autenticación: corrobora que una entidad, ya sea origen o destino de la información, es la deseada, por ejemplo, A envía un número aleatorio cifrado con la clave pública de B, B lo descifra con su clave privada y se lo reenvía a A, demostrando así que es quien pretende ser. Por supuesto, hay que ser cuidadoso a la hora de diseñar estos protocolos, ya que existen ataques para desbaratarlos.
Cifrado: garantiza que la información no es inteligible para individuos, entidades o procesos no autorizados (confidencialidad). Consiste en transformar un texto en claro mediante un proceso de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado. Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico. Estos sistemas son mucho más rápidos que los de clave pública, resultando apropiados para funciones de cifrado de grandes volúmenes de datos. Se pueden dividir en dos categorías:* Cifradores de bloque, que cifran los datos en bloques de tamaño fijo (típicamente bloques de 64 bits).* Cifradores en flujo, que trabajan sobre flujos continuos de bits.Cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, puede ser conocida por todos. De forma general, las claves públicas se utilizan para cifrar y las privadas, para descifrar. El sistema tiene la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada. Los criptosistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para las funciones de autenticación, distribución de claves y firmas digitales.
Integridad de datos: este mecanismo implica el cifrado de una cadena comprimida de datos a transmitir, llamada generalmente valor de comprobación de integridad (Integrity Check Value o ICV). Este mensaje se envía al receptor junto con los datos ordinarios. El receptor repite la compresión y el cifrado posterior de los datos y compara el resultado obtenido con el que le llega, para verificar que los datos no han sido modificados.
Firma digital: este mecanismo implica el cifrado, por medio de la clave secreta del emisor, de una cadena comprimida de datos que se va a transferir. La firma digital se envía junto con los datos ordinarios. Este mensaje se procesa en el receptor, para verificar su integridad. Juega un papel esencial en el servicio de no repudio.
Control de acceso: esfuerzo para que sólo aquellos usuarios autorizados accedan a los recursos del sistema o a la red, como por ejemplo mediante las contraseñas de acceso.
Tráfico de relleno: consiste en enviar tráfico espurio junto con los datos válidos para que el atacante no sepa si se está enviando información, ni qué cantidad de datos útiles se está transmitiendo.
Control de encaminamiento: permite enviar determinada información por determinadas zonas consideradas clasificadas. Asimismo posibilita solicitar otras rutas, en caso que se detecten persistentes violaciones de integridad en una ruta determinada.
Unicidad: consiste en añadir a los datos un número de secuencia, la fecha y hora, un número aleatorio, o alguna combinación de los anteriores, que se incluyen en la firma digital o integridad de datos. De esta forma se evitan amenazas como la reactuación o resecuenciación de mensajes.
Los mecanismos básicos pueden agruparse de varias formas para proporcionar los servicios previamente mencionados. Conviene resaltar que los mecanismos poseen tres componentes principales:
Una información secreta, como claves y contraseñas, conocidas por las entidades autorizadas.
Un conjunto de algoritmos, para llevar a cabo el cifrado, descifrado, hash y generación de números aleatorios.
Un conjunto de procedimientos, que definen cómo se usarán los algoritmos, quién envía qué a quién y cuándo.
Asimismo es importante notar que los sistemas de seguridad requieren una gestión de seguridad. La gestión comprende dos campos bien amplios:
Seguridad en la generación, localización y distribución de la información secreta, de modo que sólo pueda ser accedida por aquellas entidades autorizadas.
La política de los servicios y mecanismos de seguridad para detectar infracciones de seguridad y emprender acciones correctivas.
La seguridad en la comunicación a través de redes, consistente en prevenir, impedir, detectar y corregir violaciones a la seguridad durante la transmisión de información.Autenticación y autorización en InternetLa publicación de grandes volúmenes de información a través de Internet constituye un medio conveniente de acceder a esa información de una manera ágil y eficaz, contando además con la importante base de una disponibilidad global. Más aún, la posibilidad de crear un canal de comunicaciones bidireccional, gracias al cual los usuarios no sólo son capaces de recuperar información de un servidor web, sino también de transmitírsela, principalmente a través de formularios, representa una forma igualmente eficiente de suministrar datos personales e información privada desde cualquier lugar del mundo.Sin embargo, no debería suministrarse información confidencial por Internet ni almacenarse en servidores web sin ningún tipo de protección, especialmente en lo que se refiere a datos financieros y comerciales sensibles. A medida que crece la cantidad de información públicamente disponible y transportada a través de Internet, también lo hace la necesidad de asegurarla en parte o en su totalidad, protegiéndola de ojos indiscretos, pero no en detrimento de su facilidad de acceso.Qué es el control de acceso?El control de acceso constituye una poderosa herramienta para proteger la entrada a un web completo o sólo a ciertos directorios concretos e incluso a ficheros o programas individuales. Este control consta generalmente de dos pasos:
En primer lugar, la autenticación, que identifica al usuario o a la máquina que trata de acceder a los recursos, protegidos o no.
En segundo lugar, procede la cesión de derechos, es decir, la autorización, que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como leerlos, modificarlos, crearlos, etc.
Por defecto, todas las páginas y servicios del servidor web se pueden acceder anónimamente, es decir, sin necesidad de identificarse ante el servidor y sin ningún tipo de restricción.Análogamente, toda la información que viaja por las redes de comunicaciones lo hace en claro, de manera que puede ser fácilmente interceptada por un atacante. De ahí la necesidad de proteger los datos mientras se encuentran en tránsito por medio de un canal cifrado, para lo que se utiliza normalmente SSL.
SEGURIDAD DE REDES
Actualmente millones de empresas, compañías, corporaciones, personas, etc. usan redes para realizar transacciones bancarias, compras, declaraciones de impuestos y la Seguridad aparece en el horizonte como un problema potencial de grandes proporciones.La seguridad se ocupa de garantiza que no se pueda leer correos, modificar datos, o cambiar mensajes dirigidos a otros destinatarios, quiere decir evitar que la gente intente acceder a servicios remotos no autorizados. Además la seguridad se ocupa de mecanismos para verificar que los mensajes enviados sean correctos y evitar que se realice transacciones a personas no adecuadas. Aquí se mencionan los casos más comunes de transgresores:
Debe quedar claro que esta lista que hacer segura una red comprende mucho más que mantener programas libres de errores de programación; implica ser más listos que los adversarios.Los problemas de Seguridad de Redes pueden dividirse en términos generales en 4 áreas interrelacionadas:
Confidencialidad: La cual consiste en mantener la información fuera de las manos de usuarios no autorizados.
Autenticación: Se encarga de determinar con quien se esta haciendo tratos antes de revelar información delicada o hacer negociación.
No repudio: La que se encarga de las firmas; por ejemplo en los negocios ¿Como saber que un cliente me hizo un pedido?
Control de integridad: Es para asegurarse que un mensaje recibido fue realmente enviado por un emisor y no por entes maliciosos.
La seguridad es amplia y compleja ya que comprende todas las capas del protocolo de red.
Debe quedar claro que esta lista que hacer segura una red comprende mucho más que mantener programas libres de errores de programación; implica ser más listos que los adversarios.Los problemas de Seguridad de Redes pueden dividirse en términos generales en 4 áreas interrelacionadas:
Confidencialidad: La cual consiste en mantener la información fuera de las manos de usuarios no autorizados.
Autenticación: Se encarga de determinar con quien se esta haciendo tratos antes de revelar información delicada o hacer negociación.
No repudio: La que se encarga de las firmas; por ejemplo en los negocios ¿Como saber que un cliente me hizo un pedido?
Control de integridad: Es para asegurarse que un mensaje recibido fue realmente enviado por un emisor y no por entes maliciosos.
La seguridad es amplia y compleja ya que comprende todas las capas del protocolo de red.
Suscribirse a:
Entradas (Atom)