Profesor

Ing. Juan N. Mariñas R.

V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

4.1 Adecuación de las instalaciones

4.2 Controles de Protección Física
4.3 Controles Biométricos
4.4 Adecuación de los equipos
4.5 Plan de copias de Seguridad o Respaldo
4.6 Políticas de Seguridad de Sistemas Operativos
4.7 Políticas de Seguridad de Hardware
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Adecuación de las Instalaciones

• Las instalaciones que contendrán el hardware
deben ser preparadas para contener de forma
segura los equipos y el personal con las facilidades
adecuadas
• Sistemas eléctricos con las capacidades de carga
suficiente
• Protección contra incendios mediante paredes
y mobiliario resistente al fuego
• Sistemas de supresión de incendio y extintores
• Protección contra inundaciones
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Adecuación de las Instalaciones

• Las instalaciones que contendrán el hardware
deben ser preparadas para contener de forma
segura los equipos y el personal con las facilidades
adecuadas
• Detectores de humo
• Paneles de control de alarmas
• Ubicación estratégica de la sala de
computadores
• Suministro ininterrumpido de energía eléctrica
• Cableado colocado en paneles seguros
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Adecuación de las

Instalaciones
• También deben ser adecuadas las:
• Área de programación, sala de computador
• Consolas y terminales de operación
• Bibliotecas de medios de almacenamiento
• Salas de almacenamiento y suministros
• Sitios externos de almacenamiento de archivos
• Sala de control de entrada/salida
• Armario de comunicaciones
• Equipo de telecomunicaciones
• Microcomputadoras, PCs, laptops
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles de Protección Física

• Adicional a los controles que se aplican
para la adecuación de las instalaciones,
que tienen efecto sobre la seguridad física,
también se definen otros adicionales
como:
• Controles de pestillo
• Cerraduras de combinación
• Cerraduras de puertas electrónicas
• Cerraduras de puertas biométricas
• Registro manual de visitantes
• Registro electrónico (logging)
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles de Protección Física

• Tarjetas de identificación con fotografías
• Cámaras de video – CCTV
• Guardias de seguridad
• Acceso controlado a visitantes
• Personal afianzado
• Puertas de esclusa
• No publicitar la ubicación de áreas sensibles
• Bloqueo de las terminales de computadoras
• Punto único de entrada controlado
• Sistema de alarma
• Carretilla segura de distribución de documentos
• Ventanas
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles Biométricos

• Son el mejor medio de autenticar la identidad de
un usuario
• Se basan en un atributo o rasgo único medible
para verificar la identidad de un ser humano
• Restringe el acceso a un sistema basándose en:
• Una característica física del usuario o algo que
uno es; o,
• En una característica que tiene que ver con su
comportamiento o algo que uno hace
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles Biométricos

• Generalmente involucra el uso de un lector para
interpretar las características biométricas de la
persona antes de permitir el acceso
• Hay características biométricas que pueden
cambiar y no hacer efectivo el proceso de
autenticación del usuario
• Huellas dactilares con cicatrices
• Irregularidades de la firma
• Cambio en la voz, etc.
• Estas características biométricas son convertidas
a un código matemático
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles Biométricos

• En un sistema biométrico hay que considerar el
desempeño del mismo, es decir, el nivel de
precisión de coincidencias
• Tasa falsa de rechazo
• Tasa de falla de conexión
• Tasa de falsas aceptaciones
• Tasa de error igual
• Los dispositivos biométricos con mejores
tiempos de respuesta son:
• Palma de la mano, iris, retina
• Huellas dactilares, voz
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles Biométricos

• ¿Qué se analiza en cada uno?
• Palma de la mano
• Características físicas asociadas con a mano
• Surcos y valles
• Geometría de la mano
• Medición de características físicas de la mano
y dedos de forma tridimensional
• Evalúa cerca de 90 mediciones como largo,
ancho, espesor y área de la superficie
• Si hay heridas, falla el reconocimiento
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles Biométricos

• ¿Qué se analiza en cada uno?
• Iris
• Patrones asociados con las porciones
coloreadas que rodean las pupilas
• Son sistemas de alto costo
• Retina
• Se genera un mapa del patrón de capilaridad
de la retina del ojo
• Es altamente confiable con las más bajas tasas
de aceptación falsa
• Es de alto costo
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles Biométricos

• ¿Qué se analiza en cada uno?
• Huella Dactilar
• Se miden bifurcaciones, convergencias,
espacios cerrados, terminaciones y valles
• Sistema de bajo costo y no tan efectivo
• Rostro
• Se procesa una imagen captada por una video
cámara
• Se analizan características faciales generales
• Se miden distancias entre ojo, nariz, boca
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles Biométricos

• ¿Qué se analiza en cada uno?
• Reconocimiento de Firma
• Características de la firma y del proceso de
firma
• Velocidad, presión de la pluma, direcciones,
longitud del trazo, levantamiento de la pluma
del papel
• Reconocimiento de Voz
• Se toma la señal acústica: timbre, dinámica y
forma de onda
• Se puede afectar por cambios de voz, ruido,
mala pronunciación, etc.
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Controles Biométricos

• La administración de la biometría debe
ocuparse de la seguridad efectiva de la
recolección, distribución y procesamiento de
datos biométricos
• Aspectos a considerar en la gestión:
• Ciclo de vida de los datos biométricos
• Aplicación de tecnología biométrica para
seguridad interna y externa
• Técnicas de transmisión y almacenamiento
seguro
• Proteger la privacidad e integridad
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Adecuación de los Equipos

• Los equipos deben instalarse de forma segura y
protegerse de la siguiente forma:
• Falla total o apagón
• Caídas de voltaje o Voltaje severamente reducido
• Depresiones, picos y sobre voltajes
• Interferencia Electro Magnética (EMI)
• Protectores de voltaje
• UPSs
• Generadores eléctricos (plantas eléctricas)
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Física – Adecuación de los Equipos

• Los equipos deben instalarse de forma segura y
protegerse de la siguiente forma:
• Independiente de la ubicación, alta o baja
• En pisos superiores puede ocurrir por daños de
tuberías de agua rota, filtraciones,
desbordamiento de baños, etc.
• Tomar en consideración aspectos ergonómicos de
los equipos a utilizar así como el mobiliario
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo
• Es un elemento crucial para mantener la
continuidad del negocio el contar con los datos
adecuados disponibles
• Se debe mantener respaldos en el sitio principal
de la operación
• El plan de respaldo debe considerar el
almacenamiento externo de los medios de
respaldo y éstos deben estar sujetos a medidas de
protección adecuadas
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo
• Los dispositivos y medios de almacenamiento de respaldo
se deben elegir con base a diversos factores:
• Estandarización: contar con el apoyo
• Capacidad: capacidad adecuada para reducir número
de medios
• Velocidad: completar en tiempo aceptable para los
requerimientos del negocio
• Precio: costo del equipo de respaldo y medios de
almacenamiento
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo
• El plan debe considerar

• Procedimientos de respaldo periódico

• Definir frecuencias de rotación
• Definir tipos de medio y documentación rotada
• Establecer los esquemas de respaldo
• Definir el método de rotación
• Políticas de retención de archivos
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo
•Procedimientos de respaldo periódico
• Se debe respaldar periódicamente de acuerdo al
RTO y RPO definido
• Sistema automatizado y uso de agentes
•Definir frecuencias de rotación
• Determinar frecuencia del ciclo de respaldo
• Anticipación de fallas
• Respaldos especializados (DBMS, códigos fuentes,
etc.)
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo
•Definir tipos de medio y documentación rotada
• DDS, DLT, NAS, LTO, CD-ROM. DVD-RW
• Procedimientos operativos, especiales, sistema,
plan de continuidad, políticas de respaldo
•Establecer los esquemas de respaldo
• Respaldo completo, incremental, diferencial
• Usualmente estos métodos se combinan para
complementarse entre sí
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo

Esquema de Respaldo Completo Más Respaldo

Incremental

Día 1 Día 2 Día 3 Día 4 Día 5 Día 6 Día 7

Archivo 1 X X
Archivo 2 X X
Archivo 3 X X
Archivo 4 X X
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo

Esquema de Respaldo Completo Más Respaldo

Diferencial

Día 1 Día 2 Día 3 Día 4 Día 5 Día 6 Día 7

Archivo 1 X X X X X
Archivo 2 X X X X
Archivo 3 X X X
Archivo 4 X X
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo
•Definir el método de rotación
• Método más común Abuelo-Padre-Hijo
• Retención mensual y anual de medios

•Políticas de retención de archivos

• Llevar inventario de los contenidos en el
almacenamiento externo
• Nombre del conjunto de datos, número de
almacenamiento externo, serial del volumen, fecha
de creación, período contable, sistema
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo

Muestra de Ciclo de Rotación Típico

Día 1 Día 2 Día 3 Día 4 Día 5 Día 6 Día 7
Semana 1 Cinta 7
Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 Cinta 6 Cinta de la
semana
Semana 2 Cinta 8
Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 Cinta 6 Cinta de la
semana
Semana 3 Cinta 9
Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 Cinta 6 Cinta de la
semana
Semana 4 Cinta 10
Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 Cinta 6 Cinta de la
semana
Semana 5 Cinta 7
Cinta 1 Cinta 2 Cinta 3 Cinta 4 Cinta 5 Cinta 6 Cinta de la
semana
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Plan de Copias de Seguridad o

Respaldo

Muestra de Ciclo de Rotación Típico

Lun Mar Mie Jue Vie

Semana 1 H H H H P
Semana 2 H H H H P
Semana 3 H H H H P
Semana 4 H H H H A

H: Hijo P: Padre A: Abuelo

V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Políticas de Seguridad en los

Servidores
• Para la seguridad lógica de los servidores
se deben establecer políticas de seguridad
que consideren:
• Desconexión de sesiones
• Control de acceso remoto
• Control de acceso lógico y de usuario al servidor
asignando claves
• Protección de la información (cifrado de discos)
• Identificación de terminales
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Políticas de Seguridad en los

Servidores
• Para la seguridad lógica de los servidores
se deben establecer políticas de seguridad
que consideren:
• Controles sobre los recursos de producción
• Registro y reporte de las violaciones de acceso
• Seguimiento a las violaciones de acceso
• Administración de contraseñas
• Protección contra código malicioso
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Seguridad en Intranet

• La seguridad a nivel de la intranet o red interna
se debe establecer a nivel de una terminal de
control y software especializado en
comunicaciones
• Aspectos que deben ser considerados en la
seguridad de la red interna están:
• Funciones de control realizadas por operadores
capacitados y experimentados
• Definir una adecuada segregación de funciones y
rotar las mismas periódicamente
• Tener un software de control con funciones
restringidas a personal autorizado
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Seguridad en Intranet

• Aspectos que deben ser considerados en la
seguridad de la red interna están:
• Mantener pistas de auditoría y ser revisadas
periódicamente
• Documentar los estándares y protocolos de
operación de la red
• Monitoreo de los accesos de los ingenieros del
sistema a la red
• Análisis para asegurar equilibrio de cargas de
trabajo
• Uso de encriptación de datos donde sea requerido
V. SEGURIDAD Y ADMINISTRACION EN EL HARDWARE

Seguridad Lógica – Seguridad en Intranet

• Aspectos que deben ser considerados en la
seguridad de la red interna están:
• Controles para códigos maliciosos
• Control sobre las copias de software utilizado
• Detección de intrusiones internas a la red
• Control sobre el uso de dispositivos no
autorizados
• Segregación de funciones a través de la red
mediante segmentación de redes
• Políticas de seguridad de puertos para evitar host
no autorizados o MACs desconocidas
X. GUIA PARA EL DESARROLLO DE UN PLAN DE
SEGURIDAD

Política de Seguridad

• Definición
• La política es una actividad orientada en
forma ideológica a la toma de decisiones de
un grupo para alcanzar ciertos objetivos.

Fuente: http://definicion.de/politica/
X. GUIA PARA EL DESARROLLO DE UN PLAN DE
SEGURIDAD

Política de Seguridad

• Definición
• El término política de seguridad se suele
definir como el conjunto de requisitos
definidos por los responsables directos o
indirectos de un sistema que indica en
términos generales qué está y qué no está
permitido en el área de seguridad durante la
operación general de dicho sistema.

Fuente:
http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsec-html/node333.html
X. GUIA PARA EL DESARROLLO DE UN PLAN DE
SEGURIDAD

Políticas y Procedimientos de Seguridad para:

1. Recurso Humano
2. Software
3. Dato
4. Hardware

Guía para la elaboración de políticas

- Ejemplos de tipos políticas
X. GUIA PARA EL DESARROLLO DE UN PLAN DE
SEGURIDAD

Políticas de Recurso Humano:

1. Contratación de Personal
2. Sanciones
3. Administración de Riesgos
4. Terminación Laboral
5. Supervisión y Autorización
6. Otras
X. GUIA PARA EL DESARROLLO DE UN PLAN DE
SEGURIDAD

Políticas de Software:
1. Uso de Software Autorizado
2. Administración de Licenciamiento
3. Metodología de Desarrollo de Sistemas
4. Evaluación y Adquisición
5. Seguridad Física
6. Seguridad Lógica
7. Uso Adecuado del Correo Electrónico
8. Otras
X. GUIA PARA EL DESARROLLO DE UN PLAN DE
SEGURIDAD

Políticas de Datos:
1. Seguridad de la Información
2. Protección y Privacidad
3. Clasificación de Datos
4. Respaldo de Información
5. Almacenamiento de Datos
6. Otras
X. GUIA PARA EL DESARROLLO DE UN PLAN DE
SEGURIDAD

Políticas de Hardware:
1. Uso Correcto de Dispositivos
2. Inventario de Dispositivos
3. Evaluación y Adquisición
4. Seguridad Física
5. Seguridad Lógica
6. Descarte y Destrucción
7. Otras
X. GUIA PARA EL DESARROLLO DE UN PLAN DE
SEGURIDAD

Independientemente de la política que se

desarrolle, debe cumplir con las siguientes
secciones:
• Aprobación • Cumplimiento
• Fecha • Procedimientos
• Propósito • Formularios
• Alcance • Definiciones
• Política misma • Contactos
• Responsabilidades • Historial
X. GUIA PARA EL DESARROLLO DE UN PLAN DE
SEGURIDAD

Políticas

• La política debe ser:

• Comunicada
• Accesible
• Comprensible
• Firmada
• Actualizada
• Puede ser parte de una política general