Metodología MG-1

TABLA DE CONTENIDO

SEGURIDAD EN REDES - METODOLOGIA MG1 .............................................................................................. 4 METODOLOGIA ............................................................................................................................................ 5 MEDIR EL LÍMITE Y EL ALCANCE DE LA RED................................................................................................................. 5 VALORAR LOS RECURSOS ....................................................................................................................................... 6 VALORACIÓN DE LA AMENAZA ................................................................................................................................ 7 a) b) c) d) e) Acceso desautorizado a la red. ......................................................................................................... 7 Revelación desautorizada de información. ...................................................................................... 7 Modificación desautorizada de los datos y/o software. .................................................................. 7 Ruptura de funciones de la red (la indisponibilidad de datos o servicios). ....................................... 7 Acciones engañosas en la red. ......................................................................................................... 7

ESTIMACIÓN DE LOS IMPACTOS POTENCIALES .......................................................................................................... 11 PROBABILIDAD DE OCURRENCIA DE AMENAZAS ....................................................................................................... 11 CLASIFICACIÓN DE LA EXPOSICIÓN ......................................................................................................................... 12 VULNERABILIDADES DE LA RED.............................................................................................................................. 12 MITIGACIÓN DE RIESGOS .................................................................................................................................... 14 POLÍTICAS DE SEGURIDAD.................................................................................................................................... 15 a) b) c) d) e) Aplicabilidad y objetivo. ................................................................................................................. 15 Activos y valor de la información. .................................................................................................. 15 Mecanismos de seguridad. ............................................................................................................. 15 Responsabilidades. ......................................................................................................................... 15 Compromiso ................................................................................................................................... 15

SATISFACER LOS REQUISITOS DE SEGURIDAD EN LA RED ........................................................................... 16 CONFIDENCIALIDAD ........................................................................................................................................... 16 LA CONFIDENCIALIDAD DE CONTROL DE ACCESO ....................................................................................................... 17 LOS DISPOSITIVOS DE COMUNICACIÓN PARA AUMENTAR LA CONFIDENCIALIDAD DE TRÁFICO ............................................. 17 CIFRADO .......................................................................................................................................................... 18 CIFRADO DE GESTIÓN DE CLAVES ........................................................................................................................... 18 INTEGRIDAD DE LOS DATOS .................................................................................................................................. 19

1

Metodología MG-1

CUESTIONES DE GESTIÓN DE CLAVES ...................................................................................................................... 19 a) Criptografía checksums (cc) ........................................................................................................... 20

UBICACIÓN DE LOS SERVICIOS DE INTEGRIDAD EN LAS COMUNICACIONES EN CAPAS ......................................................... 20 DISPONIBILIDAD ................................................................................................................................................ 20 CONTENCIÓN .................................................................................................................................................... 21 LA FALTA DE TOLERANCIA .................................................................................................................................... 21 RENDICIÓN DE CUENTAS ..................................................................................................................................... 21 IDENTIFICACIÓN Y AUTENTICACIÓN ........................................................................................................................ 22 MECANISMOS DE AUTENTICACIÓN ........................................................................................................................ 22 AUDITORÍA....................................................................................................................................................... 23 NO REPUDIO..................................................................................................................................................... 23 SEGURIDAD FÍSICA ............................................................................................................................................. 24 ASEGURAMIENTO .............................................................................................................................................. 24 EJEMPLO PRÁCTICO: EVALUACIÓN E IMPLEMENTACIÓN DE SEGURIDAD EN LA RED.................................. 24 INTRODUCCIÓN ................................................................................................................................................. 24 PASOS A SEGUIR ........................................................................................................................................ 25 a) b) Definir la red e identificar activos................................................................................................... 25 Evaluación de Riesgos para cada activo......................................................................................... 25

1. DEFINA LA RED E IDENTIFICAR ACTIVOS .............................................................................................................. 25 1.2 LAS FUNCIONES DE RED................................................................................................................................. 26 a) b) c) d) e) f) g) h) Red de Servicios de archivo ............................................................................................................ 27 Red de Servicios de impresión ........................................................................................................ 27 Red de Software de Aplicación ....................................................................................................... 27 Conexiones de red para varios servidores ...................................................................................... 28 Correo Electrónico .......................................................................................................................... 28 Acceso a la Red a través de PC Dial-in ............................................................................................ 28 Electronic Calendarios .................................................................................................................... 28 H. La función de fax de red ............................................................................................................. 29

2 ACTIVOS DE RED ............................................................................................................................................. 30 3 EVALUACIÓN DE RIESGOS DE LA RED................................................................................................................... 32

2

Metodología MG-1

TABLAS E ILUSTRACIONES

Tablas Tabla 1 - Amenazas en una organización ................................................................ 8 Tabla 2 - Probabilidad de ocurrencia y nivel de Impacto ....................................... 12 Tabla 3 - Medidas de riesgo. ................................................................................. 13 Tabla 4 - Calificaciones exposición del Activo ....................................................... 34 Tabla 5 - Riesgo actual .......................................................................................... 68

Ilustraciones Ilustración 1 - Límites y Alcances............................................................................. 6 Ilustración 2 - Vulnerabilidad .................................................................................. 13 Ilustración 3 - Mitigación de riesgos ....................................................................... 14 Ilustración 4 - Diagrama de la red de ejemplo ....................................................... 30

3

¿Cómo la red puede ser vulnerable?. Los requisitos de seguridad en redes llamados estándar MG1. ¿Cuáles son los riesgos y amenazas que pueden causar daño a la red considerado las vulnerabilidades de la red y los impactos resultantes del 1 Seguridad de Redes por http://www.dragonjar. La posibilidad de interconectarse a través de redes.METODOLOGIA MG1 En la actualidad. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados. 1 Con la aparición y modernización (actualización) de las redes y la necesidad de compartir información de manera más ágil y segura. Cuando pensamos en asegurar una red debemos hacernos varias preguntas: ¿Qué recursos requieren protección en la red?. dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. la probabilidad de ocurrencia y el impacto para la organización si las amenazas se materializaran con el fin de aplicarse soluciones de seguridad conocidas y moderadas. 4 .y=0 Niveles. ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización.x=0&sa.Metodología MG-1 SEGURIDAD EN REDES . apropiadas para reducir los riesgos a los niveles aceptables ofreciendo protección en la red garantizando un margen de confidencialidad.org/buscar?q=seguridad+en+redes&cx=partner-pub6843735058077130%3A4947344307&cof=FORID%3A10&ie=UTF-8&sa. la seguridad informática ha adquirido gran auge. han aparecido varios requisitos de seguridad en redes desarrollados y/o adquiridos por distintos entes empresariales y gubernamentales que se preocupan por el valor y la privacidad de la información que manejan. aparece en Canadá y permite a la organización identificar las amenazas latentes en su red. integridad y disponibilidad permitiendo a la organización llevar un nivel más elevado en el control de riesgos de sus procesos. ¿Cuáles son las amenazas a la red?.

segu-info. teniendo en claro que las PSI son las decisiones de alto nivel que abarca la seguridad de los sistemas informáticos y proporcionan las bases para definir y delimitar las actuaciones técnicas y organizativas que se requerirán. entre otros. pag. pero todas las horas gastadas planeando la seguridad de la red son una inversión para la organización2. donde se puede incluir la red en conjunto o partes de la red como las funciones del servidor. 2 3 Network Security Analysis and Implementation.Metodología MG-1 daño?. 9 Políticas de seguridad. ya que alcance distingue las áreas de la red y el nivel de detalle al que queremos llegar a evaluar. el software que se encuentra en cada equipo anexo a la red.ar/politicas/ 5 . http://www. lo puede hacer porque es imposible de controlarlo. El alcance de la seguridad también debe definirse. ¿Cuáles son los riesgos aceptables? Las respuestas a estas preguntas podrían tomar varios días o semanas que dependen de la complejidad de la red. "Si un Hacker quiere gastar cien mil dólares en equipos para descifrar una encriptación. MG-1 propone una metodología que puede aplicarse para identificar áreas de la red que requieren protección a lo largo del su ciclo de vida permitiendo a futuro definir las políticas de seguridad informáticas (PSI) que se deben aplicar. y podría percibirse como inútil el tiempo consumido. teniendo en cuenta el origen de los riesgos y hasta donde podemos controlar.com. Government of Canada (CSE).3 METODOLOGIA Medir el límite y el alcance de la red El límite es definido por las partes de la red que deben ser consideradas. Y en tratar de evitarlo se podrían gastar millones de dólares".

Valorar los recursos Inicia por el valor que tiene la red en sí. usado distintos métodos para identificar y valorar los recursos. el valor del recurso puede representarse por lo que se refiere a una pérdida potencial. y la consecuencia a la organización. Una de las técnicas más simples para valorar la pérdida de un recurso es usar una 6 . y esta pérdida puede ser basada en el valor del reemplazo. como esa información fluye a través de la red. Dándonos un hológrafo (visión holística) de la red a tratar. la usabilidad. la información que se procesa en la red. por ejemplo. La configuración debe indicar el hardware y el software incorporados en los equipos anexos. el impacto inmediato de la pérdida.Límites y Alcances Uno de los resultados implícitos de este proceso es una configuración detallada de la red. Este paso indica que áreas deben recibir mayor enfoque o una prioridad alta. pero algunos recursos son definitivamente más valiosos que otros. y el uso que se le da a esta.Metodología MG-1 Ilustración 1 .

La tabla 1 que se expone a continuación revela una serie de impactos causados por amenazas voluntarias e involuntarias que se pueden presentar en una organización. Valoración de la amenaza Algo que tiene el potencial para causar acontecimientos "malos" o "indeseables" en cuanto a la transmisión en una red de computadoras deben identificarse como una amenaza. d) Ruptura de funciones de la red (la indisponibilidad de datos o servicios). accidental o intencional. y natural o fabricada. que permitirían los siguientes acontecimientos: a) Acceso desautorizado a la red. 7 . y los impactos directos de la amenaza en la red. La identificación de amenazas permite calcular las posibilidades de ocurrencia e incluso el origen. tomando no solo el reemplazo del recurso. e) Acciones engañosas en la red. medio y bajo. c) Modificación desautorizada de los datos y/o software.Metodología MG-1 clasificación jerárquica cualitativa de alto. en las cuales hay que predecir y tomar acciones para mitigar el impacto. se modifica o se destruye. medios. Una amenaza puede ser humana o ambiental. b) Revelación desautorizada de información. el grado en que se consideran las amenazas dependerá del límite y el alcance previamente definido. sino también los efectos en la organización si el recurso deja su privacidad.

Ruptura de funciones de la red y las acciones engañosas en la red. denegación del servicio Origen Error de Usuario Amenazas Accidentales Amenaza directa a las Impacto Inmediato en las Redes Redes Borrado de archivos. 8 . Formateo de disco. Error del Administrador Instalaciones incompletas defectuosas. temperatura Ruptura de funciones de la red. Errores datos. de empleados muerte Ruptura de funciones de la red. pérdida o degradación de electromagnetismo comunicaciones y destrucción de equipo y/o datos.Metodología MG-1 Tabla 1 . incluso pérdida o degradación de comunicaciones (particularmente para redes inalámbricas) Fenómenos biológicos Enfermedad. Fallo de equipo Problemas técnicos con los servidores o con los PCs anexos. Apagones.Amenazas en una organización Amenazas naturales Origen Amenaza directa a las Impacto Inmediato en las Redes Redes Terremotos. Fallos de comunicación. Destrucción del equipo y/o datos. Nevadas y Tormentas extrema . la modificación desautorizada de datos. Ruptura de funciones de la red. de archivos. Mal Modificación desautorizada de uso de equipo. Acceso desautorizado en la red. o Descubrimiento desautorizado Borrado de información. Fenómenos Atmosféricos Perturbaciones electromagnéticas Ruptura de funciones de la red. de digitación. Incendios. Modificación desautorizada de datos. Ruptura de funciones de la red.

Ruptura de funciones de la red. Ladrones 9 . jamming. falsificación. Usuarios y contraseñas en desuso. Hackers Password cracking. falsificación. Caballos de Troja.Metodología MG-1 Accidente industrial Fugas de gas. Destrucción de equipo y/o Explosión. ataque criptográfico. Descubrimiento desautorizado wiretapping o de información y acceso eavesdropping. virus. Hurto de equipos Ruptura de funciones de la red y descubrimiento desautorizado de información. Polución. Descubrimiento desautorizado wiretapping o de información y acceso eavesdropping. piggybacking. Bombas lógicas. jamming. Fuego. Amenazas deliberadas Amenaza directa a las Impacto Inmediato en las Redes Redes Origen Administración externa Password cracking. ataque criptográfico. Interrupción de actividades. Derrames químicos. desautorizado a una red spoofing. desautorizado a una red spoofing. Usuarios y contraseñas en desuso. virus. piggybacking. Bombas lógicas. Caballos de Troja. datos.

Bombas lógicas. Password cracking. Caballos de Troja. Modificación desautorizada a los datos. jamming. wiretapping o eavesdropping. Usuarios y contraseñas en desuso. logic bombs. virus. masquerading. jamming. physical damage password cracking. Usuarios y contraseñas en desuso. Descubrimiento desautorizado wiretapping o de información y acceso eavesdropping desautorizado a una red Espionaje industrial 10 . spoofing. ataque criptográfico.Metodología MG-1 Criminales Password cracking. cracking or capturing. Ruptura de funciones de la red y acceso desautorizado a una red. virus. daño físico. password tabla. Caballos de Troja. Bombas lógicas. ataque criptográfico. piggybacking. Actos vandálicos Empleados intencionados mal use of an old account Todos los mencionados en esta or password. falsificación. Trojan Horse. spoofing. desautorizado a una red spoofing. piggybacking. Descubrimiento desautorizado wiretapping o de información y acceso eavesdropping. piggybacking. falsificación.

falsificación. para ello se debe revisar el historial de ocurrencia de amenazas en la compañía como pueden ser interrupciones del suministro eléctrico. Caballos de de información y acceso 4 Troja. y la alteración de las funciones de red (segundo impacto). que se puede estimar como graves (nivel de impacto segundo medio). Estimation of the Potential Impacts pag.Metodología MG-1 Terrorismo Password cracking. Government of Canada (CSE). los cuales pueden 4 5 Network Security Analysis and Implementation. jamming. Descubrimiento desautorizado spoofing.5 Probabilidad de Ocurrencia de Amenazas Mide la frecuencia con la que ocurre una amenaza. Un nivel de impacto debe ser estimado según el nivel de exposición a las amenazas de los activos. Government of Canada (CSE). Un ejemplo típico para ilustrar los efectos y niveles de impacto podría ser un virus (amenaza) corrompiendo a un archivo de datos (activo). desautorizado a una red Usuarios y contraseñas en desuso. inundaciones. virus. Estimación de los impactos potenciales Una vez que se identifican las amenazas se debe determinar el posible impacto inmediato en la red y/o la organización si las amenazas se materializan. este fenómeno amenaza podría dar lugar a la modificación no autorizada de los datos (primer impacto). daño físico. ataque criptográfico. 17 Network Security Analysis and Implementation. Bombas lógicas. incendios. 20 11 . piggybacking. que podría ser un impacto muy grave para la organización (nivel del primer impacto: alto). Table Risk pag.

Tabla 2 . pag.Probabilidad de ocurrencia y nivel de Impacto Probabilidad de ocurrencia de la amenaza Alto Medio Bajo 6 Nivel de impacto resultante de la ocurrencia de una amenaza Alto 9 7 4 Medio 8 6 2 Bajo 5 3 1 Vulnerabilidades de la red Una vulnerabilidad de la red se puede definir como una característica de debilidad en una red o asociada a esta. Clasificación de la exposición La calificación de la exposición no considera las vulnerabilidades por lo tanto. prioridad sobre la probabilidad.Metodología MG-1 ser medidos en escalas cualitativas y cuantitativas en la siguiente forma (3 = alta probabilidad. y 1 = probabilidad baja). 21 12 . este tipo de calificación es una medida que permite a una organización determinar el nivel de exposición a una amenaza y su cálculo da al nivel de impacto. cada vulnerabilidad debe ser identificada ya que cada una afecta los niveles de incertidumbre y confianza que se puede colocar en la evaluación de riesgos. 6 Network Security Analysis and Implementation. no es un nivel de riesgo. Government of Canada (CSE). 2 = probabilidad media.

Medidas de riesgo. Government of Canada (CSE). Nivel de vulnerabilidad Ning (0) Efectividad de salvaguardar la información Nivel de exposición 9 8 7 6 5 4 7 ALTO (3) Alto (3) Med (2) Bajo (1) 5 5 5 5 5 4 Ning (0) MEDO (2) Alto (3) Med (2) Bajo (1) Ning (0) BAJO (1) Alto (3) Med (2) Bajo (1) 5 5 5 5 5 5 5 5 5 4 4 3 3 3 3 2 2 2 5 5 5 5 5 5 5 5 5 4 4 4 5 5 4 3 3 2 2 2 2 2 1 1 5 5 5 4 4 4 5 5 4 3 3 3 5 4 3 2 2 1 2 2 1 1 1 1 Network Security Analysis and Implementation. pag. exposición se valora y la la vulnerabilidad (yendo de 9 sumamente alto 7 a 1 - sumamente bajo). 27 13 .Metodología MG-1 Ilustración 2 .Vulnerabilidad Para determinar el nivel de riesgo. Tabla 3 .

Mitigación de riesgos 8 Network Security Analysis and Implementation.8 Mitigación de Riesgos El propósito de este proceso es el de reducir los riesgos identificados a niveles aceptables. Esto puede hacerse mediante la selección de soluciones adecuadas de seguridad que se aplican contra riesgos específicos.Metodología MG-1 3 2 1 4 4 3 4 3 3 3 2 2 1 1 1 4 3 2 3 2 2 2 1 1 1 1 1 3 2 1 2 1 1 1 1 1 1 1 1 5 = Riesgo Alto / 4 = Riesgo Ligeramente Alto / 3= Riesgo Medio / 2= Riesgo Bajo / 1= Riesgo Muy Bajo El Nivel de vulnerabilidad: 3 = Alto / 2 = Medio / 1 = Bajo. 29 14 . para ello la organización necesita ordenar los diferentes niveles de riesgo y decidir el nivel de riesgo residual que va a estar dispuesto a aceptar. Government of Canada (CSE). Efectividad de salvaguardar la información: 3 = Alto / 2 = Medio / 1 = Bajo / 0 – Ninguno. Ilustración 3 . pag.

Los objetivos. b) Activos y valor de la información. límites y alcances de la red. y debe incluir lo siguiente: a) Aplicabilidad y objetivo. 24-25 15 . c) Mecanismos de seguridad. pag. Responsabilidad técnica y de gestión de las personas involucradas en la protección de la red y/o en la protección de la información que se almacena. requisitos de protección. Government of Canada (CSE). las responsabilidades y el compromiso organizacional con la información y los diversos elementos que intervienen en ella (Físicos y lógicos). metas.Metodología MG-1 Políticas de Seguridad Una vez que los riesgos están identificados. Los procedimientos y mecanismos que se aplicarán de la red para reducir los riesgos identificados a un nivel aceptable. d) Responsabilidades. La política de seguridad de red debe ser emitida y creada por un equipo de personas que incluye a la alta dirección y a las personas encargadas de la seguridad y la gestión de la red. se establece una serie de políticas de seguridad en la red. e) Compromiso El compromiso de la organización para la protección de la información y la red. Posición de la Administración sobre el valor de los activos de la red y la información tratada en la red. la cual es una declaración concisa de la alta dirección en los valores de información.9 9 Network Security Analysis and Implementation.

Con frecuencia los especialistas en comunicación de datos deben estar involucrados para determinar las vulnerabilidades de los dichos protocolos y comunicación. conexión. información que se procesa. Confidencialidad Servicios de confidencialidad se debe utilizar cuando la privacidad de la información se necesita a protección de primera línea. estos servicios pueden incorporar mecanismos asociados con el servicio de control de acceso. se almacena y se transmite por la misma. 16 .Metodología MG-1 La política de seguridad de red debe estar escrita de tal manera que las modificaciones son raramente necesarias y debe definir con claridad y establecer la responsables de la protección de la red física. interfaces. etc. Satisfacer los requisitos de seguridad en la red Los requisitos para la protección de la red y la protección de la información que se almacena y viajan a través de la red están satisfechos con la implementación de servicios de seguridad. mecanismos o procedimientos conocidos como soluciones de seguridad y salvaguardias. Es importante que notar las soluciones de seguridad no debe aplicarse hasta una seguridad de red completa.

Una representación de vulnerabilidad ya que los datos viajan en una red ethernet sí transmite a todos los nodos de la red. La confidencialidad limitada puede ser proporcionada por el uso de dispositivos especiales de comunicación. 17 . desde el punto de vista de la confidencialidad de tráfico. es decir. servidores y otros recursos en los que los datos que viajan en la red puede ser controlados por cualquier persona que tenga acceso físico sin un cable de comunicación de la red. Las ACL no proporcionan protección contra la divulgación no autorizada Los dispositivos de comunicación para aumentar la confidencialidad de tráfico La tecnología de red ethernet domina el mercado. generalmente con listas de control de acceso (ACL). como concentradores o routers. todas las estaciones cliente.Metodología MG-1 La confidencialidad de control de acceso Es posible proteger la información o los datos de la divulgación no autorizada por la mediación de acceso a ella. Las ACL sí utilizan para mantener una lista de individuos o grupos de noticias individuales (o procesos) que estan autorizados a determinados accesos. la mayoría de las redes de hoy en día ofrecen servicio de implementación. archivos o directorios de archivos. Estos dispositivos pueden proporcionar confidencialidad de los datos ya que controla de cómo y donde los datos viajan en la red.

la decodificación se debe realizar sí la información confidencial almacenada puede ser en el cifrado. por ejemplo. La encriptación de la información convierte a los datos una forma ininteligible. las dos claves estan relacionadas pero tienen la propiedad que dada la clave pública se considera desde un punto de vista computacional imposible de deducir la clave privada. cada parte tiene su propio público. en una base de menos privilegios. La clave pública puede ser conocida por cualquier persona. la creación de 18 . Cifrado de gestión de claves Una buena protección contra la amenaza de accidentes o acciones no autorizadas que se hayan adoptado. La criptografía de clave simétrica o secreto de se basa en el uso de una clave única. Es posible controlar el acceso no autorizado a la red de tráfico ya que se mueve a través de la red los routers utilizando concentradores o seguros.Metodología MG-1 Cifrado En gran medida los servicios de red de confidencialidad puede ser proporcionada a través del uso de la encriptación. hace uso de dos claves: una clave pública y una clave privada. En un criptosistema de clave pública. para convertir la información de nuevo un su forma original. la clave privada se mantiene en secreto. Estos mecanismos no proporcionan servicios completos de confidencialidad de tráfico ya que la información y datos que circulan en la red pueden ser monitorizados y capturados. o limitar los efectos de tales acciones es obligar a los administradores de red para tener acceso a la red a través de distintos roles separados. La criptografia de clave asimétrica o pública. La criptografía puede ser categorizado simétricas (secreta) o asimétrica (pública).

Metodología MG-1 funciones separadas administrador. y otros componentes de red de la modificación no autorizada. si estas tres funciones se combinen. ethernet 802. el daño a la operación de la red causada por una acción involuntaria sería potencialmente más importante. auditor y el operador podría limitar el daño potencial a sólo la parte de la red a la que se haya autorizado un administrador en particular. La modificación accidental de datos causada por el ruido u otros factores como la mala conexión normalmente se maneja a través de protocolos de comunicación más baja.3. servidores de archivos. contrariamente al control de acceso los servicios de integridad de datos proporcionan un medio para verificar si los datos están alterados. Integridad de los datos Los servicios de integridad de datos ayudan a proteger los datos. Cuestiones de gestión de claves 19 . y el software residen en estaciones de trabajo de clientes. por ejemplo. La mayoría de las técnicas de seguridad disponibles en la actualidad no se puede evitar la modificación de los datos a medida que viaja a través de una red y sólo pueden detectar la modificación de los datos mientras que no es completamente eliminada. La modificación no autorizada puede ser intencional o accidental. estos servicios pueden ser proporcionados por el uso de la criptografía. eliminados o añadidos en cualquier forma durante la transmisión.

una distribución segura y ser terminadas con eficacia. es decir. 20 . ancho de banda. Los servicios de disponibilidad que garantizan la funcionalidad de la red se conserva cuando los fallos de hardware o software se combinan en un segundo grupo que podemos llamar "tolerancia a fallos". aquellos que se requieren para impedir que personas malintencionadas que utilizan recursos de red como espacio de disco. este tipo de aplicación puede ser particularmente eficaz en situaciones donde la información tiene que viajar a través de sitios no confiables. Disponibilidad Los servicios de disponibilidad son más que copias de seguridad. etc.Metodología MG-1 a) Criptografía checksums (cc) Es crucial que las claves se generan con propiedades específicas. de hecho estos servicios se pueden clasificar en dos grupos principales. en el primero se encuentran los servicios de contención. memoria. estos datos pueden ser transmitidos sobre la red o pueden residir localmente. de tal manera que los recursos no están disponibles para otros usuarios. Ubicación de los servicios de integridad en las comunicaciones en capas Las implementaciones en la capa superior de la pila permite aplicar la integridad de los datos específicos de la aplicación. Servicios de integridad también puede ser aplicado en capa intermedia principalmente para la protección de la integridad de los datos a medida que viaja por la red.

en el sistema operativo de red o en hardware ya que puede consistir un sistema autónomo o sub-sistema. Los servicios de rendición de cuentas funcionar en tres modos diferentes. por ejemplo. Estos servicios son esenciales para mantener la funcionalidad de la red y se descuidan a menudo. La idea principal sobre los servicios de tolerancia a fallos es que existen para preservar la funcionalidad de la red. ellos pueden ser implementados en software. asegurarse de que sólo los usuarios 21 .Metodología MG-1 Contención Los servicios de contención se utilizan para restringir el acceso o el uso de un recurso de red a un cierto nivel para evitar que los usuarios a recursos de red acumular de tal manera que los mismos recursos no estar disponible para otros usuarios. La falta de tolerancia Es proporcionar una red con la capacidad de resistir fallos de componentes y funcionamiento continuo. En primer lugar. mientras que los componentes específicos se sustituyen y la recuperación después de una discontinuidad del servicio. Rendición de cuentas El objetivo de los servicios es responsabilidad de atribuir la responsabilidad de una acción a la persona adecuada.

Mecanismos de autenticación Debido a las vulnerabilidades que todavía existen con el uso de un esquema de identificador de usuario / contraseña. dichas actividades son de inicio de sesión de usuario. El mecanismo de control de acceso permite el acceso a los recursos de la red. Estos son los servicios de auditoría. Así mismo monitorear y registrar las actividades que ocurran en la red en general o en determinadas entidades. el uso de biométrica. Los mecanismos de bloqueo para los dispositivos de red. Identificación y autenticación El primer paso para asegurar los recursos de una red es la capacidad de verificar las identidades de los usuarios. el mecanismo de auditoría proporciona información sobre el uso de la base de la identificación de usuario. cambio de contraseña. Ejemplos pueden ser tarjetas inteligentes. esquemas de pregunta y respuesta. el proceso de verificación de la identidad de un usuario se denomina autenticación. Por ejemplo. La autenticación proporciona la base para la eficacia de otros controles utilizados en la red. Estas cerraduras permiten a los usuarios permanecer conectado a la red y dejar a 22 . etc.Metodología MG-1 reconocidos acceder a la red y o sus recursos protegidos. estaciones de trabajo u ordenadores que requieren autenticación de usuario para desbloquear puede ser útil para los usuarios que deben salir de sus áreas de trabajo con frecuencia. mecanismos más robustos se recomienda a menudo. etc. borrar archivos.

Se trata de la generación. Otra de las funciones de los servicios de auditoría es proporcionar a los administradores de red con estadísticas que indican que la red y sus recursos están funcionando correctamente. recuperación e interpretación de la evidencia de que un determinado partido procesa un elemento determinado. acumulación. Esto se puede hacer por un mecanismo de auditoría que utiliza el archivo de registro como entrada y procesa el archivo en información significativa relativa al uso del sistema y la seguridad. las opciones establecidas.Metodología MG-1 sus áreas de trabajo (por un período corto de tiempo aceptable) sin exponer un punto de entrada a la red. Preferiblemente. Dependiendo del nivel de detalles contenidos en la pista de auditoría. Sólo los usuarios autorizados (auditores. 23 . No repudio No repudio es el servicio de seguridad por el cual las entidades involucradas en la comunicación no puede negar haber participado. Auditoría La detección de la ocurrencia de una amenaza y su origen son normalmente los principales objetivos de los servicios de auditoría. por ejemplo) deben ser autorizados a utilizar las herramientas de auditoría. o seleccionar los eventos que desea grabar. el evento detectado debe ser detectable en todo el sistema. los auditores deben ser diferentes de los administradores de red.

Metodología MG-1 No repudio debe ser proporcionada a través del uso de asociaciones públicas. Aseguramiento Debido a la selección de una solución de seguridad que normalmente obliga al implementador para elegir entre varios productos de seguridad. Seguridad Física La seguridad física se compone de las medidas destinadas a impedir el acceso físico no autorizado a los recursos de red. robo y modificación. Asegurarse garantiza en varios niveles que un diseño del producto es adecuado y apropiado. el nivel de seguridad asociado con cada producto debe ser tomado en consideración. Ejemplo Práctico: Evaluación e Implementación de Seguridad en la Red Introducción Una hipotética red está parcialmente evaluada para determinar los riesgos asociados con un activo de la red. Servicios y mecanismos de seguridad son 24 . privadas con técnicas criptográficas claves para el uso de firmas digitales. equipos. material y documentos para protegerlos contra daño. y que el producto funciona como se pretende. instalaciones.

identifica las potenciales amenazas y ayuda a medir el grado de exposición de los activos según la probabilidad de ocurrencia de las amenazas finalmente se evalúa los impactos resultantes. las soluciones adecuadas se proponen para reducir el riesgo a un nivel aceptable. sólo un activo va a ser mirado. El objetivo de este paso es identificar los activos que necesitan protección en la red. 1. Defina la Red e identificar activos 1. En este ejemplo. Cuando los riesgos se consideran demasiado altos.Metodología MG-1 recomendables para contrarrestar las vulnerabilidades y las amenazas que se encuentran. y así disminuir los riesgos a niveles aceptables. Pasos a seguir a) Definir la red e identificar activos Definir el límite de seguridad de la red y el alcance. Este paso normalmente evalúa cada uno de los activos de red.1 La configuración de red y gestión 25 . se establece un inventario de los activos. b) Evaluación de Riesgos para cada activo.

tarjeta de comunicaciones serie (s) y una impresora de red (es). su configuración.x1 red consta de 10 servidores y 250 equipos de estaciones cliente. tarjeta Ethernet. La información sobre la disposición. y se conecta a través de routers y servicios de retransmisión de tramas entre los centros. 1. 26 . La red opera por par trenzado y fibra óptica.Metodología MG-1 La red es un multi-servidor Novell 4. ellos son responsables de la red física.2 Las Funciones de red En la discusión que sigue. los servicios de red proporcionados por los usuarios se describen. una unidad de respaldo en cinta. Tiene uno o más de disco duro (s). Aunque no se indica explícitamente. Los servidores están distribuidos en cinco centros. mucha de la información se complementa con los documentos. los servicios locales de archivos y copias de seguridad de los servidores de archivos. como el correo electrónico y servicios de fax y módem. Dos administradores de red se ocupan de las funciones administrativas.NDS). y la disponibilidad de toda la red de servicios.x (con NetWare Directory Services . la configuración y servicios de red de la red se proporciona por los administradores de red. Cada servidor ejecuta NetWare 4. una unidad interna de UPS. tales como la administración de usuarios. La organización gestiona la división en la red. hay que señalar que la I & A de un usuario es un requisito previo antes de cualquiera de los servicios puede ser mostrada al usuario.

b) Red de Servicios de impresión Este servicio permite al usuario imprimir documentos en una impresora de red conectados físicamente a un servidor de red o una impresora de red dedicado. conectado al PC de un usuario. 27 .Metodología MG-1 a) Red de Servicios de archivo Este servicio proporciona a los usuarios de la red la capacidad de almacenar su propio sistema operativo de disco (DOS) archivos en el disco duro del servidor de red. Algunas impresoras se encuentran en zonas abiertas. Los archivos se pueden almacenar en el área de los usuarios del archivo privado o un área de archivos de red compartida. c) Red de Software de Aplicación Este servicio proporciona a los usuarios la capacidad de acceder a las aplicaciones de software almacenado en un servidor de red para liberar espacio de disco en los ordenadores de los usuarios. Control de acceso lógico está configurado para proteger la información almacenada en los discos del servidor. Las salidas del trabajo de impresión puede ser dirigida a las impresoras de la red.

los usuarios no tienen que iniciar sesión en cada servidor de archivos. los usuarios iniciar sesión una vez a la red.Metodología MG-1 d) Conexiones de red para varios servidores Con Novell 4. Esto se realiza mediante el software de Novell y un off-the-shelf correo electrónico comercial paquete de software. El servicio es conveniente para los usuarios que pueden estar fuera de la oficina. En su lugar. e) Correo Electrónico Uno de los servicios de red más utilizados es la capacidad de intercambio de correo electrónico. pero necesita acceder a la red desde un PC no físicamente conectado a la red. f) Acceso a la Red a través de PC Dial-in Este servicio permite a los usuarios acceder a la red desde un PC independiente que está equipado con un módem y el software necesario. ACLs y atributos. El acceso a los recursos de red de Novell están controlados por las características de seguridad que utilizan los derechos. independientemente de los servidores implicados. y ese inicio de sesión único permite a los usuarios el acceso a todos los recursos en toda la red.x. g) Electronic Calendarios 28 .

pero no puede modificarlos. los Usuarios Pueden marcar eventos en el calendario y coordinar calendarios de reuniones con compañeros de trabajo. Control de acceso adecuada es esencial para que sólo los usuarios legítimos en el grupo de trabajo pueden modificar los eventos y horarios. Si el documento contiene información confidencial que no debe ser enviado por fax. La función de fax de red Este servicio permite a los usuarios de la red para enviar una copia de un documento almacenado ya sea en el ordenador del usuario o en el disco del servidor a cualquier máquina de fax estándar. mientras que otros pueden ver los eventos y los horarios. 29 . h) H.Metodología MG-1 Electronic calendario proporciona una herramienta de programación integrada por un grupo de trabajo.

Piezas de ordenador (chips de memoria RAM. tarjetas.ordenadores. Los módems. Computadoras . hardisks de interfaz de red).Diagrama de la red de ejemplo 2 Activos de Red Los activos de la red que eventualmente requieren protección incluyen los siguientes:       Ordenadores .routers. Computadoras .Servidores. 30 . Las impresoras.Metodología MG-1 Ilustración 4 . tarjetas de video.

Red de datos .Metodología MG-1                 Cables y fibras. 31 . La mayor parte de la información catalogada consta de los datos personales de los ciudadanos canadienses. mantenimiento y administración. Red de datos .pistas de auditoría. Los datos de red .Personal de los datos procesados que residen en los servidores de directorios compartidos.Personal de los datos procesados que residen en los servidores de directorios no compartidos. Los datos de usuario . Los datos de red . Los resultados de esta evaluación han demostrado que aproximadamente el 75% de los datos de la organización se designa B Protegida y el restante 25% está protegido A y sin clasificar. UPS dispositivos. los archivos de las aplicaciones de software.Personal los datos procesados que residen en el P Asumimos que un SoS ya se han hecho dentro de la organización. las unidades de cinta de copia de seguridad.PC de la red y la puesta en seguridad de archivos en las estaciones cliente (PC). incluyendo individuos de alto perfil.configuración de la red y los archivos de configuración en los servidores. Novell archivos de operación. Las cintas de respaldo.archivos de los usuarios de perfil. El Cliente estación DOS. Los datos de usuario . Datos Generales de la Organización. Los datos de usuario . NetWare archivos del sistema operativo.

información adicional como la ubicación física de los componentes de la red. Por ejemplo. sólo los riesgos en la organización de datos activo se tratará de ilustrar los conceptos anteriormente descritos en este documento. etc). 3 Evaluación de Riesgos de la Red A TRA completa de la red descrita en este ejemplo probablemente consistiría en un proceso largo y detallado. que se almacenan en una base de datos. los datos de la organización que residen en cada uno de los servidores de red particulares. Para continuar con la TRA. Primers. los procedimientos de mantenimiento. podría consistir en activos distintos. En este ejemplo. etc sería necesario. En una situación de la vida real. control de seguridad. ministros. la organización de datos se representa como un activo. los usuarios fondo (conocimientos técnicos.1 Evaluación de amenazas y Evaluación de exposición a las amenazas Se supone que todas las posibles amenazas a los activos de la organización de datos se han visto y que sólo algunos serían analizados ya que la probabilidad de 32 . no podría ser más activos mencionados y que podrían ser identificados en un nivel más fino de granularidad. Dado que la intención de este documento es centrarse en la seguridad de la red práctica en general y no a TRA. horas de trabajo. 3. etc.Metodología MG-1 tales como parlamentarios.

Los hackers . por denegación de servicio o destrucción de datos. la interrupción de la red de impacto funciones representa la no disponibilidad de los datos de la organización causadas. En este caso. 33 . acciones engañosas sobre los datos de la organización son actividades para las que los individuos no o mal pueden ser explicados para. Empleados maliciosos Para cada amenaza. para cada amenaza / escenarios de impacto.virus. La probabilidad de ocurrencia combina tanto la probabilidad de que se produzca una amenaza. modificación no autorizada. los impactos potenciales resultantes (divulgación. Las amenazas que se examinarán son los siguientes:         Incendio. medio o bajo) se evalúan.capturando contraseña o formación de grietas.escucha. la probabilidad de ocurrencia de la amenaza y el impacto de nivel (alto. era sumamente bajo. Los vándalos . alteración de las funciones de red y / o acciones engañosas en la red) se determinan. la falta de equipos. por ejemplo. Error de usuario. Administrador de error. de gobiernos extranjeros . y la probabilidad de que se produzca un impacto debe materializarse la amenaza.Metodología MG-1 las otras amenazas que se produzcan. Entonces.

Metodología MG-1

Tabla 4 - Calificaciones exposición del Activo Amenaza Probabilidad Nivel de impacto Ranking exposición La amenaza de incendio en los datos de la organización que resulta en: Ruptura Bajo Alto 4 de

La amenaza de los errores del usuario en los datos de la organización que resulta en: divulgación no Medio autorizado Modificación autorizado Ruptura Acciones engañosas Bajo Bajo Medio Medio 2 2 no Medio Alto Medio 7 6

Amenaza

Probabilidad

Nivel de impacto Ranking exposición

de

Amenaza de errores de administrador en los datos de la organización que resulta en: divulgación autorizado Modificación autorizado no Medio Alto 7 no Medio Alto 7

34

Metodología MG-1

Ruptura Acciones

Medio Bajo

Alto Medio

7 2

engañosas Amenaza de fallas en los equipos en los datos de la organización que resulta en: Modificación autorizado Ruptura Medio Medio 6 no Bajo Alto 4

Amenaza de hackers utilizando descifrar contraseñas o capturar técnica resultante de los datos de la organización en: divulgación autorizado Modificación autorizado Ruptura Acciones no Medio no Medio Alto Medio Alto Alto Alto Alto 7 7 9 7

engañosas gobierno extranjero utilizando la técnica de espionaje Amenaza de de los datos de la organización que resulta en: divulgación no Medio Medio autorizado 6

Amenaza

Probabilidad Nivel de impacto

Ranking exposición

de

Modificación no Alto Alto 9 Amenaza de vándalos utilizando virus para los datos de la autorizado organización que resulta en: Ruptura Medio Alto 7

35

Metodología MG-1

Amenaza de empleado malicioso utilizando caballo de Troya para los datos de la organización que resulta en: divulgación no Bajo Medio autorizado Modificación autorizado Ruptura Acciones engañosas 3.2 Evaluación de riesgos de la red no Medio Medio Medio Alto Alto Alto 2 7 7 7

Ahora que las calificaciones de exposición de nuestro activo se han medido, las vulnerabilidades de la red primaria y la eficacia de salvaguardia presente serán analizados con el fin de obtener medidas de riesgo para cada escenario de amenazas. Las salvaguardias actuales que se presentan consisten en las características de seguridad de Novell, así como los procedimientos de seguridad ya implementados en la red. Suponemos que la medida de riesgo máximo aceptable para la organización es de bajo riesgo (2). Cuando el riesgo es evaluado al medio (3) o más altos, las posibles soluciones que reduzcan el riesgo a un nivel aceptable se describen. La seguridad en una red Novell 4.x es proporcionada por los servicios de red de directorio (NDS). NDS es un servicio de directorio distribuido que mantiene los nombres y atributos de todos los recursos críticos de la red. Permite a otros servicios de red para hacer cumplir el control de acceso de usuario y proporciona la consistencia dinámica de nombres en la red. NDS refuerza también la seguridad de la red y autentica todas las peticiones de acceso, añadir o modificar información.

36

los datos de la Organización.2. incluidos los lugares donde los servidores están instalados. En caso de un incendio. lo más probable es que los datos de la organización serían parcial o totalmente perdida.1 Interrupción Las vulnerabilidades Rociadores: Los rociadores en el techo para la lucha contra incendios se encuentran en todas las habitaciones de los edificios. humedad y temperaturas extremas.1 Amenaza de fuego dando como resultado: 3. puede ser dañado o destruido por el agua. lo que reduce la disponibilidad de los datos de la organización.1. humedad y temperaturas extremas.2. 37 .Metodología MG-1 3. En caso de un incendio. Medios de almacenamiento: Los medios de almacenamiento de datos en la que la organización reside son muy sensibles al polvo. En caso de un incendio. Equipo de cómputo: Redes están formados por equipo informático que es muy sensible al polvo. haciendo que los datos no estén disponibles para los usuarios. es probable que algunos equipos dejaran de funcionar.

38 . con un índice de exposición de 4. que es un riesgo aceptable. Esto consistirá en una solución altamente eficaz. y una copia de seguridad de todos los servidores por mes es enviado para su almacenamiento fuera del sitio. el riesgo se mide a medio (3). lo cual no es aceptable.Metodología MG-1 La organización de datos se estima que es altamente vulnerable (3) para disparar que daría lugar a su destrucción o su no disponibilidad. Presentar Salvaguardias Copias de seguridad semanales: Las copias de seguridad se realizan una vez por semana. Posibles Soluciones Una solución de bajo costo podría consistir en la realización de copias de seguridad diarias de los servidores de archivos (después de horas de trabajo) y para actualizar las copias de seguridad fuera del sitio por lo menos una vez a la semana. Riesgo Usando la Tabla V. 3 nivel de vulnerabilidad y salvaguardar la eficacia de dos (3:2). los viernes por la tarde. la reducción de la medida de riesgo 3 a 2.

La implementación de dos soluciones de copia de seguridad (más uno a otro) podría reducir el riesgo de muy bajo (1).2.2. lo que sería un ejemplo típico de una solución de seguridad no rentable. 39 . lo que reduce también la medida de riesgo 3 a 2. En estos casos.2 Amenaza de error del usuario dando como resultado: 3. que es menor que el riesgo mínimo aceptable. El coste de estas soluciones podría ser mayor que la solución de copia de seguridad diaria antes mencionada. que varía entre los individuos.1 Divulgación no autorizada de datos de organización Las vulnerabilidades Errores humanos: La organización de los datos de privacidad (confidencialidad) se basa principalmente en la fiabilidad de los usuarios. a un coste elevado.Metodología MG-1 La reubicación de los servidores para las zonas no cubiertas por aspersión. la realización de modificaciones en el sistema de rociadores o la instalación de cubiertas de protección en los servidores podría consistir en otras soluciones. el nivel de vulnerabilidad probablemente reduciría a 2.2. Capacidad de red FAX: Los usuarios tienen la capacidad de enviar una copia de un documento almacenado en la estación cliente del usuario o en un disco del servidor a cualquier máquina de fax dentro y fuera de la organización. 3.

Riesgo Usando la Tabla V.Metodología MG-1 La red se estima que es altamente vulnerable (3) a los errores de los usuarios que daría lugar a la divulgación no autorizada de la información. el precio a pagar es una degradación de la productividad y la eficiencia. 40 . A pesar de que esta es una solución sin costo en términos de dinero. 3 nivel de vulnerabilidad y salvaguardar la eficacia de 1 (3:1). Nada impide que la transmisión por fax de información sensible o FAXs transmitidos a números equivocados. el riesgo se mide a alto (5). Esta solución sería reducir el riesgo a muy bajo (1). Posibles Soluciones Una solución sencilla sería la de eliminar la capacidad de fax de la red. La red no tiene ningún control sobre la información transmitida por FAX. lo cual no es aceptable. Presentar Salvaguardias ACL del archivo: Acceso a los archivos almacenados en un servidor de red está mediada por el sistema operativo Novell NetWare y NDS con ACL. con un índice de exposición de 7. Se supone que las ACL están configurados correctamente para que un usuario no puede acceder a un archivo para el que él / ella no está autorizado.

ofreciendo protección de la información contra su divulgación no autorizada a personas distintas del destino intención. Esta solución permitiría evitar la divulgación no autorizada de información a través de la transmisión de FAXs a números equivocados. 3. reduciendo así el riesgo de medida 5 a 2. mientras que el aumento de la eficacia de salvaguardia a 3.2 Modificación no autorizada de datos de organización Las vulnerabilidades 41 .2. La instalación de un sistema de cifrado entre el dispositivo de FAX FAX y la línea telefónica se reduciría el nivel de vulnerabilidad y aumentar la eficacia de salvaguardia. Esta solución podría También incluyen procedimientos.Metodología MG-1 Con un grado de alta exposición (7. los destinos más comunes de los FAXs transmitidos desde la red ya forman parte de la red FAX gobierno seguro y por lo tanto utilizar codificadores de fax para misrouting protección. Esta solución sería disminuir el nivel de vulnerabilidad a 2. una medida de riesgo aceptable no se puede obtener sin reducir el nivel de vulnerabilidad de la red.2. Esta sería una solución de bajo costo teniendo en cuenta que sólo unas pocas unidades Encryptor FAX tendría que estar comprado. verifica el contenido para asegurarse de que no hay información sensible en libertad. que dan acceso a las personas FAX sólo unos pocos cuya responsabilidad sería la de recibir los documentos a enviar a los usuarios. aplicado por ACL de red. y luego transmitir por FAX. 8 o 9).

de 9 dígitos del SIN. La red se estima que es altamente vulnerable (3) a los errores de los usuarios que daría lugar a una modificación no autorizada de la información.Metodología MG-1 La falta de un mecanismo de validación: Las aplicaciones en la red no marca los errores humanos. Presentar Salvaguardias ACL del archivo: Acceso a los archivos de la red está mediada por el sistema operativo Novell NetWare y NDS con ACL. Se supone que las ACL están configurados correctamente para que un usuario no puede modificar por error un archivo para el que él / ella no está autorizado. Auditoría: El acceso a los datos de la organización designadas es auditado. Datos de copia de seguridad y la información de auditoría están también disponibles si es necesario. que varía entre individuos. si es posible. como un número de teléfono de 8 dígitos. etc Errores humanos: La integridad de los datos de la organización se basa principalmente en la precisión de los usuarios. Los datos introducidos no está validado para detectar errores obvios. lo que proporciona a los auditores con la capacidad de identificar el autor de un error para corregir el error. a pesar de que nada puede proporcionar el 100% de protección contra los errores humanos. 42 . Estos salvaguardias se estiman para ser moderadamente eficaces (2). La red de manera eficiente puede limitar las áreas donde pueden ocurrir errores de los usuarios.

el tipo y la ortografía de los datos introducidos es exacta antes de guardarlo. un usuario puede almacenar los datos en un lugar inapropiado en la red. borrar archivos. Esto podría ser una solución de bajo costo si se aplica con una nueva aplicación. 3.2. el riesgo se mide a alto (5).3 Interrupción Las vulnerabilidades Errores humanos: Por ejemplo. mientras que el aumento de la eficacia de salvaguardia 2 a 3 resulta en una medida de riesgo de nuevo 2. De lo contrario. lo cual no es aceptable. Esta solución podría reducir el nivel de vulnerabilidad de 3 a 2. que el tamaño. rellenar el espacio en disco del servidor.Metodología MG-1 Riesgo Usando la Tabla V.2. etc 43 . Este mecanismo permitiría verificar. el costo podría ser moderado. 3 nivel de vulnerabilidad y salvaguardar la eficacia de dos (3:2). Posibles Soluciones Una solución en este caso sería la implementación de un mecanismo de validación de los datos introducidos por la organización de los usuarios. con un índice de exposición de 7. por ejemplo. generar tráfico excesivo.

se han establecido mecanismos para recuperar potencialmente la información perdida. Presentar Salvaguardias Archivo ACL: Con el fin de ser una protección eficaz. Cajas de ordenador: Todos los equipos que se utilizan como servidores de archivos de la red están encerrado en una caja de metal. las ACL se debe configurar correctamente para que un usuario no puede borrar un archivo para que él / ella no está autorizada. pero se convertiría muy eficiente con los procedimientos de copia de seguridad mejoradas y planes de contingencia. Estas garantías se estiman para ser moderadamente eficaz (2). La red de manera eficiente puede limitar las áreas donde pueden ocurrir errores de los usuarios. ya pesar de que un archivo se ha eliminado. etc inadvertido por la red se considera que es moderadamente vulnerables (2) a los errores de los usuarios que daría lugar a la falta de disponibilidad de los datos de la organización. cierres. 44 . calzos. Sin embargo. NetWare Undelete: Esta función Novell se puede usar para recuperar un archivo borrado por error. el tráfico generado por cada usuario no se supervisa para detectar inusual actividad.Metodología MG-1 Ubicación de servidores de archivos: Algunos servidores de archivos están ubicados en áreas abiertas que hacen vulnerables a los derrames de café.

Presentar Salvaguardias I & R: Todos los usuarios deben ser identificados y autenticados por la red antes de cualquier acceso a los recursos de red puede ser concedida. La red se estima que es moderadamente vulnerables (2) a los errores de usuario que daría lugar a acciones engañosas sobre los datos de la organización.4 acciones engañosas Las vulnerabilidades Los usuarios de la red son humanos y por lo tanto los errores humanos se esperan. el riesgo se mide a muy baja (1).2. los usuarios responsables de sus actos en la red. nivel 2 vulnerabilidad y salvaguardar la eficacia de dos (2:2). etc 45 . sobre la base de información de I & Procedimientos: datos de la Organización no podrá residir en un directorio compartido. con un índice de exposición de 2. 3.2. Los recursos de red compartidos.Metodología MG-1 Riesgo Usando la Tabla V. Auditoría: El acceso a la organización auditada.

con un índice de exposición de 2.2. 3.1 Divulgación no autorizada de datos de organización Las vulnerabilidades Precisión de la configuración de la red y la configuración de parámetros altamente depende de la competencia del administrador. nivel 2 vulnerabilidad y salvaguardar la eficacia de tres (2:3). Riesgo Usando la Tabla V. Los administradores que representan a un solo punto de fallo actualmente sobrecargado.Metodología MG-1 Estos salvaguardias se estiman para ser altamente eficaz (3).3.2. lo que aumenta la probabilidad de errores. el riesgo se mide a muy baja (1). 46 .3 Amenaza de error Administrador dando como resultado: 3.

Auditoría: Acciones Cualquier administrador de la red son auditados por un auditor independiente. Presentar Salvaguardias Derechos efectivos: Los administradores pueden verificar los derechos de acceso efectivo de cualquier usuario de la red a los datos almacenados en la red utilizando el Novell "derechos efectivos" característica. Sin embargo. Mínima para el check Fiabilidad mejorada se lleva a cabo en todos los empleados de la organización. existen características para detectar los errores que eventualmente se pueden corregir para evitar la divulgación no autorizada de información. La red no puede evitar totalmente los errores de administrador. el 47 . A la inversa. Además. lo que reduce la salvaguardia de las consecuencias de la divulgación no autorizada de información dentro de la organización.Metodología MG-1 La red se considera que es altamente vulnerable (3) a la divulgación no autorizada de datos de la organización causados por errores de administrador. el / ella puede también verificar que los usuarios tienen acceso a los datos de la organización y con qué privilegios. Formación Administrador: Los administradores están bien entrenados para manejar con precisión la red.

Riesgo Usando la Tabla V.Metodología MG-1 impacto de la divulgación no autorizada de información a los empleados se reduce el nivel de confianza proporcionada por las distancias de seguridad del usuario. lo que reduce la probabilidad de errores y el nivel de vulnerabilidad a mediano (2). Esto reduciría la carga de trabajo de cada administrador a un nivel decente. Esta solución puede ser costosa. Estos salvaguardia se estiman para ser moderadamente eficaz (2). el riesgo se mide a alto (5). 3 nivel de vulnerabilidad y salvaguardar la eficacia de dos (3:2). Posibles Soluciones Una solución para reducir la medida de riesgo podría ser la de compartir la responsabilidad de la administración de la red con un individuo calificado adicional. mejorando así la eficacia de las salvaguardias ya existentes a alto (3).2. lo cual no es aceptable. Esto también daría a cada administrador de más tiempo para verificar y supervisar los derechos otorgados a los usuarios.3.2 Modificación no autorizada de datos de organización 48 . con un índice de exposición de 7. el nivel de riesgo se redujo de 5 a 2. Por consiguiente. 3.

Sin embargo. el riesgo se mide a alto (5). 3 nivel de vulnerabilidad y salvaguardar la eficacia de dos (3:2). Presentar garantías idénticas a 3.2. lo cual no es aceptable.4. ACL. además de las copias de seguridad semanales. Posibles Soluciones 49 . con un índice de exposición de 7.1 B.Metodología MG-1 Las vulnerabilidades El administrador tiene acceso completo a los datos de la organización. Riesgo Usando la Tabla V. La red no puede evitar totalmente los errores de administrador. etc La red se considera que es altamente vulnerable (3) a los errores de administrador que daría lugar a la modificación no autorizada de la información. existen características para detectar errores de administrador que eventualmente podría resultar en la modificación no autorizada de los datos de la organización y los datos originales pueden recuperarse a partir de copia de seguridad si fuera necesario. perfiles de usuario. Estas garantías se estiman para ser moderadamente eficaz (2).

3 Las vulnerabilidades Interrupción Igual 3. Esta solución podría reducir la vulnerabilidad a los 2 y aumentar la eficacia de salvaguardia a 3.3. las características existen para evitar situaciones en las que los datos se vuelve disponible para los usuarios autorizados durante un período largo de tiempo. reduciendo así el nivel de riesgo de 5 a 2.2. La red no puede evitar totalmente los errores de administrador.2. Estas garantías se estiman para ser moderadamente eficaz (2).Metodología MG-1 Compartir la responsabilidad de la administración de la red entre tres individuos calificados en lugar de dos también sería eficaz en este ámbito.4.4. Presentar garantías idénticas a 3.2 . Sin embargo. Riesgo 50 . 3.2. además de Undelete NetWare.2 La red se considera que es altamente vulnerable (3) a los errores de administrador que daría lugar a la falta de disponibilidad de información.

51 . como se describe en 3.2. a bajo costo.2. lo cual no es aceptable. 3. podría aumentar la eficacia de las medidas de seguridad para alto. Esto reduciría el riesgo de medida de 5 a 3. el riesgo se mide a alto (5). con la aplicación de los procedimientos de copia de seguridad diaria sería disminuir el nivel de vulnerabilidad a los 2.4 Acciones engañosas Las vulnerabilidades La red se considera que es moderadamente vulnerables (2) a los errores de administrador que daría lugar a acciones engañosas sobre los datos de la organización. que es todavía un riesgo inaceptable. reduciendo así el riesgo a medida 2.3.1. Posibles Soluciones Realizar copias de seguridad diarias de los servidores de archivos. con un índice de exposición de 7. 3 nivel de vulnerabilidad y salvaguardar la eficacia de dos (3:2).Metodología MG-1 Usando la Tabla V. La adición de un administrador de la red como se ha mencionado anteriormente.

con un índice de exposición de 2.1 Modificación no autorizada (corrupción) de datos de organización Las vulnerabilidades Algunos componentes de red (servidores y dispositivos de comunicación) están expuestos a la humedad y las variaciones de temperatura. el riesgo se mide a ser muy baja (1).2. 52 . además de I & Estas medidas de seguridad se calculan para ser altamente eficiente (3) para evitar acciones fraudulentas en los datos de la organización causados por errores de administrador.4.2.4. 3. Riesgo Usando la Tabla V.Metodología MG-1 Presentar garantías idénticas a 3. nivel 2 vulnerabilidad y salvaguardar la eficacia de tres (2:3).2.4 Amenaza de fallo del equipo que resulta en: 3.1 A.

3.4. Disco doble cara: con Novell que copia los datos en dos hardisks. La red se considera que es altamente vulnerable (3) a fallos del equipo que daría lugar a la corrupción de la información. 3 nivel de vulnerabilidad y salvaguardar la eficacia de tres (3:3). Copias de seguridad semanales. Muchos puntos únicos de falla. La red de manera eficiente puede evitar la corrupción de datos debido a fallos del equipo. con un índice de exposición de 4. el riesgo se mide bajo (2). Estos salvaguardia se estiman para ser altamente eficiente (3).Metodología MG-1 No hay enlaces de comunicación alternativos. Riesgo Usando la Tabla V. cada uno en un canal de disco independiente de cada uno de los servidores.2 Interrupción 53 .2. Hot Fix: Novell característica que impide que los datos se escriban en los sectores de disco defectuosos. Presentar Salvaguardias      Contrato de Mantenimiento.

Riesgo Usando la Tabla V con un índice de exposición de 6. éstos se estiman salvaguardia a ser moderadamente eficaz (2). Presentar Salvaguardias Dado que la red ofrece cierta protección contra la falta de disponibilidad de datos causada por fallas en los equipos. 54 . lo cual no es aceptable. el riesgo se mide a moderadamente alto (4). el nivel de vulnerabilidad 3 y salvaguardar la eficacia de dos (3:2). La red se considera que es altamente vulnerable (3) a fallos del equipo que daría lugar a la falta de disponibilidad de información.Metodología MG-1 Las vulnerabilidades Organización de los datos se concentra en los servidores específicos (dependiendo de las aplicaciones) que representan los puntos únicos de falla.

1 Divulgación no autorizada de datos de organización Las vulnerabilidades Conexiones incontroladas de módems en las estaciones cliente.2. Las contraseñas para el acceso a las estaciones de clientes y el acceso a la red se envían en el claro sobre el sistema de telefonía pública. 55 . reduciendo así el riesgo de 4 a 2. La red se considera que es altamente vulnerable (3) a los piratas informáticos obtener acceso no autorizado a la red como resultado la divulgación no autorizada de información.2.Metodología MG-1 Posibles Soluciones Una aplicación que se replica y distribuir los datos de la organización de la red en combinación con la aplicación de enlaces de comunicación alternos dentro de la red podría eliminar o reducir único punto de fallo. 3.5 Amenaza de hackers o Cracking Passwords Captura dando como resultado: 3.5. Esta solución sería disminuir el nivel de vulnerabilidad a la baja (1). Los nuevos procedimientos de copia de seguridad no mejoraría la eficacia de las salvaguardias suficientes para reducir el riesgo a un nivel aceptable.

Longitud mínima de la contraseña del administrador se establece en 10. la reutilización de contraseñas anteriores no deseados. Se han establecido procedimientos para obliga a los usuarios a introducir 2 contraseñas para conectarse de forma remota a la red a través de un módem y una estación de cliente. Acceso remoto a los routers está desactivado. es decir. login máximo establecido en 3 intentos y cuentas de usuario desactivado después de 3 intentos de inicio de sesión.Metodología MG-1 Presentar Salvaguardias Novell características de seguridad de inicio de sesión que incluye la longitud de contraseña mínima fijada a 8. Es extremadamente difícil para proteger una red que tiene varias conexiones externas no controlados. Las ACL permiten a los usuarios acceder a determinados archivos solamente. una para el acceso a la estación de cliente y otro para acceso a la red. un hacker o formación de grietas en la captura de una contraseña de usuario ganaría acceso sólo a los archivos autorizados para ese usuario. Auditoría (para la detección de intrusos). especialmente cuando las contraseñas se transmiten en 56 .

una vez contraseña sólo se generan. En sitios remotos.Metodología MG-1 la clara. el riesgo se mide como alta (5). Las conexiones externas se podría proporcionar a través de una pasarela segura que establece sesiones encriptados con usuarios remotos. sin embargo. por ejemplo. es 57 . Los usuarios tendrían primero autenticar a la puerta de enlace utilizando. Riesgo Usando la Tabla V. Por esta razón. con un índice de exposición de 7. En este caso. el nivel de vulnerabilidad debe ser reducida. Las salvaguardias generales ofrecen una buena protección contra ataques de piratas contraseña de acceso a nivel de red. por ejemplo. el sistema sigue siendo muy vulnerable a los hackers capturar contraseñas a medida que viajan en el sistema telefónico o craqueo de contraseñas módem. un esquema de clave pública / privada u otro mecanismo de autenticación fuerte. 3 nivel de vulnerabilidad y salvaguardar la eficacia de 1 (3:1). etc Una vez que el usuario está identificado y autenticado. cifrado del tráfico podrían empezar a evitar que la red de contraseña de usuario de inicio de sesión de viajar a través de la red telefónica en el claro. autenticación de token. Posible solución Para obtener una medida aceptable de riesgo. el nivel de vulnerabilidad se reduciría en no permitir ninguna conexión de módem para estaciones cliente. el cifrado / descifrado preferiblemente se realiza en hardware. lo cual no es aceptable. la eficacia de las salvaguardias se considera bajo (1).

copias de seguridad se realizan sólo una vez a la semana y nada garantiza que la información con copia de seguridad no está dañado.5.2. ordenador de a bordo o de la tarjeta inteligente. además de las copias de seguridad semanales. 3.2 Modificación no autorizada de datos de organización Las vulnerabilidades La red se considera que es altamente vulnerable (3) a los piratas informáticos obtener acceso no autorizado a la red que resulta en la modificación no autorizada de la información. la eficacia de las salvaguardias se considera bajo (1).1 B. Por las mismas razones que las mencionadas en el apartado 3. Por esta razón.2. Suponiendo que esta solución de coste medio se implementa con la gestión de claves adecuado.2.5. Presentar garantías idénticas a 3.1.Metodología MG-1 decir. reduciendo así el riesgo a medida 2. A pesar de que la información original podría ser recuperado de copia de seguridad. la red sigue siendo muy vulnerable a los hackers capturar contraseñas a medida que viajan por el sistema telefónico. 58 . en línea independiente caja. el nivel de vulnerabilidad se reduciría a 1. fuera de línea de la tarjeta PCMCIA.5. mientras que la eficacia de salvaguardia inflar a 3 (debido a la protección de acceso remoto adicional). encriptado de módem.

59 . 3 nivel de vulnerabilidad y salvaguardar la eficacia de 1 (3:1). La puerta de enlace se ha descrito anteriormente con solución de cifrado seguro aquí también sería suficientemente eficaz para disminuir el nivel de vulnerabilidad a los 2. Posibles Soluciones Realizar copias de seguridad diarias sin duda aumentaría la eficacia de salvaguardia a 2 y 3. mejorar la eficacia de salvaguardia a 3. lo cual no es aceptable. 3.3 Interrupción Las vulnerabilidades Las copias de seguridad se realizan sólo una vez a la semana. el riesgo se mide como alta (5).2. reduciendo así el riesgo a medida 2. con un índice de exposición de 7.Metodología MG-1 Riesgo Usando la Tabla V. la red sigue siendo tan vulnerable que la solución de seguridad altamente eficaz incluso no puede reducir el riesgo a un nivel aceptable.5. posiblemente. Sin embargo.

lo cual no es aceptable. el riesgo se mide como alta (5). Por lo tanto. podría ser recuperado de copia de seguridad o posiblemente mediante el uso de la función de recuperar. Sin embargo.Metodología MG-1 No hay cuotas de monitoreo y en el tráfico y el uso de los recursos. Si los datos de la organización serán destruidos por el borrado de archivos o formatear discos duros de.2 B. la eficacia de las salvaguardias en el lugar se considera medio (2). 60 . Muchos puntos únicos de falla. La red se considera que es altamente vulnerable (3) a los piratas informáticos obtener acceso no autorizado a la red más tarde resulta en la falta de disponibilidad de información.2. Riesgo Usando la Tabla V. Presentar garantías idénticas a 3. con un índice de exposición de 9. estos servicios no están diseñados para proporcionar una disponibilidad efectiva. más Undelete Novell Como se mencionó anteriormente. la red sigue siendo muy vulnerable a los hackers capturar contraseñas a medida que viajan por el sistema telefónico. el nivel de vulnerabilidad 3 y salvaguardar la eficacia de dos (3:2).5.

4 Acciones engañosas sobre datos de organización Las acciones engañosas que resultan de un hacker acceder a la red utilizando un ID de usuario y una contraseña válidos incluyen el envío de e-mails. Las vulnerabilidades La red se considera que es altamente vulnerable (3) a los piratas informáticos obtengan acceso no autorizado a la red resultante en acciones engañosas sobre los datos de la organización.2. etc utilizando la identidad del usuario válida. la red sigue siendo muy vulnerable a los hackers capturar contraseñas a medida que viajan por el sistema telefónico. Presentar Salvaguardias Por las mismas razones que las mencionadas en el apartado 3.2.5.1 reduciría la medida de riesgo para bajo (2). Una vez que los piratas informáticos obtener acceso a una 61 .1.5. 3.2.Metodología MG-1 Posible solución La solución de pasarela segura descrito en el apartado 3. el establecimiento de reuniones / citas.5.

2. la eficacia de las salvaguardias se considera bajo (1). 62 . Riesgo Usando la Tabla V. el riesgo se mide como alta (5). Algunas conexiones se hacen con par trenzado sin apantallar los cables. 3 nivel de vulnerabilidad y salvaguardar la eficacia de 1 (3:1).1 Divulgación no autorizada de datos de organización Las vulnerabilidades Los datos viajan en el claro de la red y la red telefónica pública.2.6. todo tipo de acciones de engaño puede ocurrir.2.6 La amenaza de espionaje gobiernos extranjeros la red resultante en: 3. lo cual no es aceptable. con un índice de exposición de 7. Por esta razón.5. Posibles Soluciones La solución de pasarela segura descrito en el apartado 3. 3.Metodología MG-1 red mediante un ID de usuario válido y la contraseña.1 reduciría la medida de riesgo para bajo (2).

Presentar Salvaguardias Control de acceso físico está en su lugar en cada lugar. 63 . La mayoría de las impresoras se encuentra en áreas abiertas y algunos son muy cerca de las ventanas. La red se considera que es altamente vulnerable (3) a las escuchas que daría lugar a la divulgación no autorizada de información. Algunos monitores se encuentran justo al lado de las ventanas. Estas medidas de seguridad no proporcionan una protección eficaz contra las escuchas. Topologías Ethernet se utilizan (los datos se transmite en segmentos de red). el riesgo se mide como alta (5). el nivel de vulnerabilidad 3 y salvaguardar la eficacia de 1 (3:1). La eficacia de salvaguardia se considera bajo (1). lo cual no es aceptable. La fibra óptica se utiliza en algunos lugares.Metodología MG-1 No tempestad o equipo emanación bajo se utiliza. Riesgo Usando la Tabla V con un índice de exposición de 6. grabaciones de alambre o lectura de la información de las ventanas.

Los servicios de impresión en red podría restablecer obliga a los usuarios a imprimir en impresoras específicas. y escritorio. incluyendo líneas externas y conexiones frame relay. de conformidad con el SGP.Metodología MG-1 Posibles Soluciones Con un nivel de exposición de 6. 3. en este caso.2. el nivel de vulnerabilidad se reduciría de 3 a 2.1 Modificación no autorizada de datos de organización 64 . una medida de riesgo aceptable será difícil de obtener sin una solución de seguridad altamente eficaz que. un riesgo medio podría ser aceptable.7.2. Además. la eficacia de salvaguardia se incrementaría de 1 a 2. Se pudo determinar que el equipo de tempestad sólo tendría la capacidad de reducir la medida del riesgo a bajo. un procedimiento podría ser puesto en marcha para evitar que los monitores puedan ser leídos a través de las ventanas. los cables de par trenzado pueden ser remplazados por la fibra óptica y tarjetas Ethernet en consecuencia. Cifrado con clave de gestión adecuada podría ponerse en marcha en todas las conexiones externas. reduciendo así la medida del riesgo a medio (3). esta solución es muy costosa. Para este escenario. en este caso.7 Amenaza de vándalos introducir un virus en la red El resultado es: 3. Por ejemplo. debe incluir equipos de tempestad. Con esta solución de coste medio. una solución podría consistir en una combinación de procedimientos y mecanismos. por la máxima autoridad. lo que puede lograrse mediante la reubicación o la reorientación de las computadoras y monitores.

Numerosas conexiones de red externas no controladas a través de las estaciones cliente. a pesar de que los datos originales podría ser recuperado de copias de seguridad. Procedimientos que indica que los disquetes externos a la red no debe ser usado en las estaciones cliente. La red no puede limitar eficientemente las zonas donde el virus pueden ser introducidos y transmitidos por la red. Archivos de inicio de red se almacenan en cada estación cliente. con un índice de exposición de 9. Las salvaguardas actuales son humildes efectivo (1) para proteger la red contra virus corrupción de datos. 65 . La red se considera que es altamente vulnerable (3) a ataques de virus resultantes en la modificación no autorizada de la información. Riesgo Usando la Tabla V. el nivel de vulnerabilidad 3 y salvaguardar la eficacia de 1 (3:1).Metodología MG-1 Las vulnerabilidades No detección de virus o de la herramienta de detección de virus se ejecutan. el riesgo se mide como alta (5) que no es aceptable. Presentar Salvaguardias Novell funciones de control de acceso que proporciona protección contra el acceso no autorizado a la red.

Metodología MG-1 Posibles Soluciones Igual 3. a pesar de que los datos potencialmente se pueden recuperar de las copias de seguridad si fuera necesario. Presentar Salvaguardias Las salvaguardias presentes están baja efectiva (1) para proteger la red contra virus interrumpir la red o la eliminación de archivos de tal manera que la organización de datos no está disponible.2 Las vulnerabilidades Interrupción La red se considera que es altamente vulnerable (3) a ataques de virus resultantes en la falta de disponibilidad de los datos de la organización.1 Control de líneas de conexión externa a través del uso de una pasarela segura en lugar de utilizar los módems no controladas en las estaciones de clientes podría reducir el nivel de vulnerabilidad de la red para la infección por virus de 3 a 2. lo que reduce el nivel de riesgo para bajo (2).5.7. 66 . La adición de hasta al día y eficaz software de detección de virus que se ejecuta en cada estaciones cliente y servidores de archivos cada en la red combinada con procedimientos de respaldo diarias sin duda aumentaría la eficacia salvaguardia de 1 a 3. 3.2.2.

2. Posibles Soluciones La medida de riesgo puede ser reducido a baja (2) mediante el uso de la misma solución que la descrita en 3.1. el riesgo se mide como alta (5).1 Divulgación no autorizada de la información Las vulnerabilidades Sin protección contra infelices usuarios válidos que son tocados por los despidos y / o recortes salariales (muchos empleados tienen altas habilidades técnicas que se pueden utilizar en los equipos). 67 . 3 nivel de vulnerabilidad y salvaguardar la eficacia de 1 (3:1).8.7. 3. la mayoría de los empleados se les permite leer la mayoría de los datos de la organización.8 Amenaza de Empleados maliciosos utilizando un Caballo de Troya El resultado es: 3. sin embargo.2.2. lo cual no es aceptable.Metodología MG-1 Riesgo Usando la Tabla V con un índice de exposición de 7.

El acceso a las cuentas de usuario está limitado por las estaciones cliente dirección (función Novell). Presentar Salvaguardias Controles mínimos de confiabilidad se realiza en todos los empleados de la organización. ACL se establece de tal manera que todos los ejecutables almacenados en la red sólo se pueden ejecutar.Riesgo actual Escenarios Amenaza de Riesgos presentes Solución de seguridad Riesgos residuales Amenaza de fuego que resultan en: divulgación modificación autorizada autorizada no 0 no 0 No se requiere No se requiere 0 0 68 . Cuando los usuarios están lejos de sus computadoras.Metodología MG-1 Las estaciones cliente no están protegidos con contraseña en el arranque. es decir. La red se considera que es altamente vulnerable (3) a caballo de Troya ataca resultante en la divulgación no autorizada de información. borrado o modificado. tienden a dejarlos todavía conectado a la red. La auditoría de acceso a los datos. Tabla 5 . que no puede ser copiado.

se unen al divulgación autorizada no 5 gobierno seguro FAX de red b) Control de acceso a servicios de FAX c) La información es controlada a) La validación de datos de 2 antes de ser entrada por FAX No se requiere No se requiere 1 1 2 modificación autorizada ruptura no 5 1 1 acciones engañosas Amenaza de los errores resultantes de administrador en: divulgación autorizada no 5 a) El personal adicional de 2 administración de redes. la administración de la red sería compartido entre tres personas calificadas en lugar de sólo dos. b) Los nuevos procedimientos se llevan a cabo para verificar constantemente los derechos de acceso de usuario a los recursos 69 de red y datos.Metodología MG-1 ruptura 3 a) Las copias de seguridad 2 diarias b) Fuera de las instalaciones de almacenamiento de una copia de seguridad por semana Amenaza of User Errors Resulting in: a) Fax seguro. .

No se requiere. b) Todos los días backups acciones engañosas 1 No se requiere 1 Amenaza of Equipment Failure Resulting in: divulgación modificación autorizada autorizada no 0 no 2 No se requiere. 5 a) personal de administración de 2 red adicional. Esta tarde se conoce como Amenazas de Hackers (Cracking or Capturing Passwords) resultan en: la "nueva solicitud".Metodología MG-1 modificación autorizada ruptura no 5 a) personal de administración de 2 red adicional. 70 . 0 2 Amenaza Scenario Present Risk Security Solution Residual Risk ruptura 4 a) Eliminación de puntos únicos de fallo 2 mediante la implementación de una nueva aplicación que va a duplicar y replicar los datos de la organización a través de la red y la instalación de conexiones alternativas entre los servidores.

b) exploración continúa de las líneas telefónicas de la organización para asegurarse de que los módems no están conectados. a) Secure Gateway "puerta segura" 2 e) la encriptación DES de tráfico entre la a) Secure Gateway "puerta segura" pasarela y los sitios remotos. depending on selected products the modificación autorizada ruptura acción engañosa no 5 5 5 inteligente. c) Gateway para el acceso remoto a la red. d) Me Strong & A a nivel de puerta de enlace utilizando la tecnología de tarjeta to 1. Solución de Seguridad Riesgo residual Escenarios Amenazas de Riesgo actual Amenaza de gobiernos extranjeros (espionaje) que resulta en: 71 . 2 a) Secure Gateway "puerta segura" 2 Todos ellos se refirió más adelante como "puerta segura".Metodología MG-1 divulgación autorizada no 5 a) Prohibición de la conexión de módem 2 a las estaciones cliente.

modificación autorizada ruptura no 0 No se requiere. b) El tráfico cifrado entre pasarela y sitios remotos. y los c) Las copias de seguridad diarias. 0 c) En la línea DES cifrado del tráfico en cada interconexiones de la red a través No sistema de del se requiere.telefonía pública. resultando en: 72 .Metodología MG-1 divulgación autorizada no 5 a) Procedimientos que imponen la 3 instalación de la estación de cliente controla de tal manera que los datos mostrados no se puede leer a través de las ventanas. No se requiere. 0 0 0 acciones engañosas 0 Amenaza de vándalos (Virus) dando como resultado: divulgación modificación autorizada autorizada no 5 no 0 NoSecure Gateway a) se requiere. b)Detección de 2 buscará los virus en la estación cliente virus niveles de servidor. b) Aplicación de una utilidad de 0 2 ruptura 5 detección de virus que continuamente a) Secure Gateway. acciones engañosas 0 No se requiere 0 Amenaza de Empleados maliciosos (Caballo de Troya).

incluyendo el sistema operativo de red. en función del entorno. b) Control de acceso a los archivos de ruptura 5 Igual que el anterior arranque y del sistema Igual que el anterior 2 2 acciones engañosas 5 moderado riesgo Alto 5 = Alto riesgo 0 = riesgo mínimo 1 = muy de riesgo Bajo riesgo Bajo 2 = 3 = 4 = Medio riesgo Los valores de riesgo y soluciones de seguridad identificadas en la Tabla B-2 se aplica a los activos de datos y organización de las amenazas concretas identificadas solamente. 73 . Estas otras vulnerabilidades incluyen los siguientes: Bajo nivel de aseguramiento El uso de productos no evaluados. 2 no 5 (El riesgo se reduce a 1 vez el control a) Control de acceso a las estaciones 2 de acceso a las PC se lleva a cabo). proporcionan bajo nivel de confianza de que el producto no puede ser evitado.Metodología MG-1 divulgación autorizada modificación autorizada no 2 No es necesario. Otras vulnerabilidades que podrían tener un impacto en las medidas de riesgo también podrían ser necesarias para ser considerado. la cultura de la organización o nivel de granularidad de las vulnerabilidades de amenaza y riesgo. de clientes por el uso de un producto de hardware. A TRA red completa requeriría para examinar las posibles amenazas para cada activo de la red.

o el mecanismo de control de acceso carece de granularidad. El acceso no autorizado a recursos de red por lo general resulta del hecho de que los derechos de acceso no están correctamente asignados. todas las consolas de servidor siempre debe estar protegido por contraseña. Acceso a los recursos de red Aunque una de las ventajas de utilizar una red es que muchos recursos de red pueden ser compartidos entre los usuarios. 74 . sin embargo. esto no implica que la seguridad sea siempre ajustada. pero no con llave en todo momento. Acceso al servidor no autorizado puede causar daño potencialmente alto. no todos los recursos deben ser puestos a disposición de cada usuario. Los servidores pueden ser colocados en las habitaciones que están cerradas por la noche.Metodología MG-1 Pobre control físico de los dispositivos de red Aunque las redes se encuentran generalmente en los edificios vigilados. ya que los usuarios desean un fácil acceso a la red impresoras conectadas al servidor.

Sign up to vote on this title
UsefulNot useful