Elaboradas por Maricel Bruce

Universidad Yacambú

Dirección de Estudios Virtuales

HERRAMIENTAS WEB PARA LA INVESTIGACIÓN

Preguntas de Desarrollo sobre Seguridad en Intranet.

(Respuestas)

1.- ¿Que se entienden por Políticas de Seguridad?

2.- A la hora de elaborar el conjunto de lineamientos para el uso adecuado de la Intranet en una empresa, además de las políticas de seguridad; ¿Que otras áreas deben ser tomadas en cuenta?

3.- Definir: Criptografía.

4.- Indique los tipos de Sistemas de Cifrado conocidos y sus características principales.

5.- En virtud de la polémica que existe actualmente con respecto al uso de Intranet en el puesto de trabajo: ¿Que consideraciones debe tener en cuenta el trabajador al momento de usar este recurso?

6.-¿Cuáles son las cuatro premisas fundamentales que representan la piedra angular de la Seguridad?

7.- Que son IDS y cuales sus características?

8.- En el ámbito de Internet: Que se conoce como Puertos de Comunicación y como se produce la conexión entre su PC y el resto de la reda través de éstos?

9.-¿Cuáles aspectos deben ser tomados en cuenta para garantizar la seguridad de los datos del usuario que accede a sitios web de Correo Electrónico?

10.-¿Cómo funciona un FIREWALL?

11.- ¿Bajo que premisas, la empresa Microsoft fundamentará su nuevo plan de seguridad?

12.-Mencione, al menos, tres (3) recomendaciones generales para la seguridad de su información

R.1- Conjunto de Documentos cuyo objetivo es el de establecer la forma adecuada de uso de los recursos de un sistema computarizado, las responsabilidades y derechos tanto de usuarios como administradores.

Además especifica la información que será protegido y establece aquellos elementos que pueden afectarla (elementos de los cuales se protege) constituyéndose en parte fundamental de cualquier esquema de seguridad eficiente.

R.2.-Además de las políticas de seguridad, es importante establecer reglas claras para el uso de la Intranet en las siguientes áreas:

Uso: Estas políticas deben son generalmente establecidas por el departamento de recursos humanos y deben ser de obligatorio cumplimiento para cualquier usuario. En la mayoría de los casos estas incluyen posturas de acceso y el uso apropiad de los recursos de la Intranet, posiciones anti acoso y el uso con fines personales ilícitos.

Legal: las políticas Legales son necesarias para establecer y proteger a la empresa con respecto a sus obligaciones corporativas y los derechos de empleado. Algunas protegen los derechos de otros y, por consiguiente, protegen al empleado y la corporación de la obligación y sanciones posibles. Las políticas legales aplican a los usuario que publican y a los que copian, en cualquier forma, material proveniente de Internet.. Las políticas legales incluyen generalmente las posiciones en el contenido aceptable, en el derecho de autor, y en la protección de marca registrada, así como la información o datos específicos requeridos por la organización.

Publicar: Estas políticas deben ayudar los que publican en la intranet, coordinan el contenido para hacerlo amigable, fácil de usar para cualquiera que busque información, sin imponer una estructura rígida o el proceso central de la revisión. Es útil distinguir entre las políticas que aplican a todo contenido, al contenido formal, al contenido de proyecto, y al contenido personal.

R.3- Rama de la criptología, que se ocupa del cifrado de mensajes. Esta se basa en que un mensaje emitido por un usuario, en forma clara, es tratado mediante un cifrador con la ayuda de una clave, para crear un texto cifrado. Este texto cifrado, por medio del canal de comunicación establecido, llega al descifrador que convierte el texto cifrado, apoyándose en otra clave, para obtener el texto en claro original. Las dos claves implicadas en el proceso de cifrado/descifrado pueden ser o no iguales dependiendo del sistema de cifrado utilizado.

R.4- Existen tres tipos de sistemas de Cifrado:

Sistemas de cifrado simétrico.

Este sistema de cifrado opera a partir de una palabra o frase llave, que sirve para codificar y descodificar información, el conocido password. Está llave debe ser conocida por los dos extremos de la comunicación, por lo que el punto débil de este método es justamente el proceso de difusión de la llave.

Sistemas de cifrado asimétrico.

También llamados sistemas de cifrado de clave pública, usan dos claves diferentes: Una es la clave pública y se puede enviar a cualquier persona y otra que se llama clave privada, que debe guardarse para que nadie tenga acceso a ella.

Para enviar un mensaje, el remitente usa la clave pública del destinatario para cifrar el mensaje. Una vez que lo ha cifrado, solamente con la clave privada del destinatario se puede descifrar, ni siquiera el que ha cifrado el mensaje puede volver a descifrarlo. Las claves son una secuencia bastante larga de caracteres y números, generadas por un procedimiento matemático.

Sistemas de cifrado híbridos.

Es el sistema de cifrado que usa tanto los sistemas de clave simétrica como el de clave asimétrica. La clave simétrica es cifrada con la clave pública, y el mensaje saliente es cifrado con la clave simétrica, todo combinado automáticamente en un sólo paquete. El destinatario usa su clave privada para descifrar la clave simétrica y acto seguido usa la clave simétrica para descifrar el mensaje.

R.5- Qué hacer y qué no hacer cuando se usa la Internet e Intranet en tu puesto de trabajo

Correo electrónico

No envíes nunca información confidencial de la empresa a terceros. Podría dar lugar una violación de la buena fe contractual y por tanto a una sanción o al despido, exactamente igual que ocurría con la información en papel o en cualquier otro soporte.

Si la empresa ha puesto a tu disposición dos cuentas de correo, una para uso personal y otra para asuntos de trabajo, utiliza exclusivamente la primera en tus comunicaciones privadas.

Utiliza el correo para comunicarte con tus representantes laborales o con los sindicatos si lo consideras oportuno.

Cuidado con los virus. Desconfía en general de los ficheros adjuntos y antes de ejecutarlos asegúrate de quién te los envía y de si lo ha hecho voluntariamente (muchos virus se auto reenvían sin conocimiento del usuario). Las posibilidades de que se extienda la infección por la red interna de la empresa deben hacerte ser especialmente cuidadoso. Borra dicho mensaje de tu buzón.

Aunque el término abuso es algo ambiguo, es importante que, para no caer en él, consideres algunas cuestiones de sentido común a la hora de utilizar el correo.

No envíes mensajes o ficheros adjuntos de gran tamaño que puedan ocasionar problemas al servidor.

Como norma, no es conveniente que realices envíos generales a gran cantidad de usuarios.

Respeta los derechos de los receptores de tus correos: los contenidos de tus mensajes deben atenerse a la ley y no contener declaraciones ofensivas o difamatorias.

No utilices el correo para acosar sexualmente a otros miembros del personal, ni con fines ofensivos relacionados con la sexualidad, la edad, la etnia, los impedimentos o la apariencia de un individuo.

Caso de que la empresa pretenda averiguar el contenido de tus mensajes amparándose en sospechas de un uso inadecuado, exige siempre la presencia de un delegado sindical o miembro del comité de empresa, de un representante que tú hayas designado o bien ponte en contacto con CCOO.

El patrón puede pedir que se incluya una cláusula de no responsabilidad cuando los empleados comuniquen de manera interna y externa, especificando que los puntos de vista expresados son aquéllos del autor y no los de la empresa.

Navegación por Internet y por Intranets corporativas

Por ello a la hora de navegar debes tener en cuenta algunas consideraciones:

Que la navegación no interfiera en el desarrollo de tus funciones profesionales.

Puedes acceder a aquellos sitios en los que se tratan temas relacionados con el empleo, la salud y seguridad, la igualdad de oportunidades y otros asuntos relevantes para tus derechos en el trabajo.

Puedes acceder a sitios web de sindicatos en busca de información o asesoramiento.

No debes acceder deliberadamente a sitios web con contenido pornográfico o que promuevan el racismo y la intolerancia.

R.6- Se escribe mucho sobre seguridad y todavía se sigue sin prestar atención a cuatro de las premisas fundamentales que no se circunscriben al área de seguridad en Internet, sino que son la piedra angular de la seguridad en general:

la seguridad ha de ser proporcional al valor de lo que se quiera proteger

el nivel de seguridad de un sistema se mide siempre por su flanco más débil

a mayor conectividad, mayor seguridad, considerando ésta última no como una barrera a la conectividad, sino como un facilitador de la misma que no merma el rendimiento global.

la seguridad no ha de implicar un menor rendimiento

R.7- Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema.

• Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

• Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.

• Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc.

R.8- Los ordenadores se comunican entre sí a través de una especie de conectores virtuales que se denominan PUERTOS DE COMUNICACIÓN.

Usted tan sólo le proporciona (por suerte, casi siempre de forma transparente para usted) el número que identifica al ordenador con el que desea conectar (conocido como su DIRECCIÓN IP) y el número que identifica un determinado PUERTO al que usted desea acceder en esa máquina concreta (es decir, un NÚMERO DE PUERTO). Si ese número está disponible para recibir llamadas, la comunicación se establece, conforme a unas reglas preestablecidas denominadas PROTOCOLOS (TCP, UDP e ICMP serán los más importantes en esta serie). Por lo general, su programa actuará como un CLIENTE, que solicita información disponible en un SERVIDOR, donde se ejecutará un determinado SERVICIO dedicado a satisfacer ese tipo de peticiones. Aún así, la transmisión de datos acostumbra a ser bidireccional, de modo que el servidor llamado también necesita enviar los datos solicitados a algún puerto de su ordenador. Por último, la transmisión de datos entre ambas máquinas no se realiza (aunque pueda parecerlo) en forma de flujo continuo, sino como una serie de PAQUETES individuales, cada unos de los cuales lleva en su CABECERA los datos de identificación necesarios para llegar a su destino y ser reubicado allí en el lugar que le corresponda para recomponer el mensaje original.

R.9- Algunos aspectos que deben ser tomados en cuenta para la protección de los usuarios del comercio electrónico son:

1.-La LOPD: siglas que identifican la Ley Orgánica de Protección de Datos de Carácter Personal que vela por el mandato constitucional, expresado en el artículo 18.4 de la Constitución Española, "... limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos". Con este objetivo, la LOPD establece el derecho de los ciudadanos a conocer qué datos personales están contenidos en las bases de datos de las empresas y entidades públicas y quienes son los responsables de éstas. Así mismo, establece una serie de obligaciones a los responsables de los tratamientos y una serie de sanciones para el caso de incumplimiento de aquéllas.

2.-La protección de datos en el Comercio Electrónico

La mayoría de los formularios de recogida de datos que se encuentran en portales y comercios electrónicos, no incluyen ninguna de las disposiciones que la Ley prevé para garantizar el correcto y legal tratamiento de los datos del usuario.

Dado que los principales problemas que existen en el tratamiento de datos en Internet, el primero y principal es la falta de información y consentimiento del usuario al tratamiento de sus datos, Los prestadores de servicios en Internet deben introducir en los formularios de recogidas de datos unas cláusulas informativas que la LOPD exige antes de empezar a registrar datos de ninguna clase.

3.-Las cláusulas de información

El tratamiento de datos se produce, especialmente, durante "el contacto inicial" entre el usuario de Internet y un sitio web, ya sea únicamente para buscar información o bien para concluir una transacción comercial.

Por ello la información que seguidamente detallaremos debe mostrarse directamente en la pantalla antes de que se produzca la captación de los datos, garantizando así el correcto tratamiento de los datos.

Los diferentes formularios web de recogida de datos de carácter personal deben contener la información y los aspectos, relativos al consentimiento e información del usuario cuyos datos van a ser tratados.

En este sentido, debe existir en la Web un aviso fácilmente localizable y de comprensión asequible que contenga la información siguiente:

i. Identificación de la compañía.
ii. Una dirección de e-mail, postal u otro sistema de comunicación, a través de los cuales se puedan ejercer los derechos de acceso, cancelación, oposición y de especificación de las finalidades para las que autoriza el uso de sus datos.
iii. Caso de que se produzca captación de datos, este extremo deberá manifestarse en el aviso.
iv. Las consideraciones establecidas en el apartado iii) se harán extensivas a la colocación de cookies.
v. De la finalidad o finalidades a que se destina la información obtenida.
vi. En su caso, de la intención de ceder los datos, especificando la información que se cede así como la finalidad a la que se destinarán los datos cedidos.

Asimismo, en la página inicial del sitio y en todos los lugares donde se recojan datos en línea deberá poderse acceder directamente a información completa sobre la política de protección de privacidad del sitio (incluida la forma que tienen los usuarios afectados de ejercer sus derechos de acceso, rectificación, cancelación y oposición).

4.- Respecto a la colocación de cookies.

Las cookies pueden contener datos personales o cualquier otro tipo de información relacionada con el interface usuario-servidor. La normativa en materia de protección de datos define los datos personales como "cualquier información concerniente a personas físicas identificadas o identificables". Por ello, si el contenido de la cookie que contiene la web asocia los datos con el usuario, su contenido puede ser considerado dato personal.

Caso de que no pueda producirse dicha asociación el contenido de la cookie no podrá ser considerado como dato personal, ya que no podrá ser asociado a una persona identificada o identificable.

5.- Respecto a la finalidad de los datos recogidos.

Cada usuario debe, en cualquier momento, poder determinar la finalidad o finalidades a que consiente sean destinados sus datos, o excluir alguna finalidad inicialmente consentida.

En ningún caso, la compañía podrá utilizar la información para finalidades distintas de las que haya consentido el usuario, salvo que, previamente, le haya advertido de la intención de hacerlo otorgándole un plazo y procedimiento razonable de oposición.

A este respecto, es útil el redactar finalidades concretas pero amplias, para poder utilizar dichos datos en la forma en que la empresa lo precise.

6.- Respecto a las cesiones y la finalidad de la cesión.

La información relativa a la posible cesión de datos deberá siempre identificar a los cesionarios o, en todo caso, hacer referencia a las características de las empresas o personas a quienes vayan a cederse, así como a las finalidades perseguidas por la cesión.

R.10- Un firewall funciona, en principio, DENEGANDO cualquier tráfico que se produzca cerrando todos los puertos de nuestro PC. En el momento que un determinado servicio o programa intente acceder a Internet o a nuestro PC nos lo hará saber. Podremos en ese momento aceptar o denegar dicho tráfico, pudiendo asimismo hacer (para no tener que repetir la operación cada vez) "permanente" la respuesta hasta que no cambiemos nuestra política de aceptación.

R.11- Microsoft enfocará todos sus recursos en tres aspectos principales para llevar adelante su nuevo plan de seguridad. Uno de esos aspectos, es agregar las nuevas tecnologías de seguridad a todos sus productos. Otro, educar a sus clientes y el tercero, mejorar el proceso de publicación de los parches

R.12- He aquí algunas recomendaciones generales para asegurar la información en tu PC:

Regularmente actualiza el software de tu ordenador, a las últimas versiones

Comprueba periódicamente el nivel de seguridad con el que estas conectado (scan de puertos, antivirus, firewall, datos sensibles en la configuración de cuentas...)

Realiza periódicamente copias de seguridad de tus datos.

Si utilizas conexiones con Tarifa Plana (ADSL y CABLE, ya que aún no tenemos TARIFA PLANA por RTB) apaga el PC cuando no uses la conexión. Además ahorrarás energía :-)

Si utilizas RTB revisa de vez en cuando el Acceso Telefónico a Redes para ver la conexión y ten cuidado con algunas páginas, sobre todo de sexo, que crean por si mismas, o te piden que instales, un nuevo Acceso Telefónico a Redes con un número de teléfono de PAGO (tipo 906)

Ten especialmente cuidado cuando descargues software de sitios dudosos.

Si usas programas Servidores para Internet, estate atento a las actualizaciones de los programas porque seguramente arreglaran agujeros de seguridad.

Instala y ten siempre activo un Antivirus y, por supuesto, actualizalo periódicamente.

Instala un firewall y estate atento a las actualizaciones.

Configura en principio cualquier programa, y en especial el navegador de Internet, en el nivel más alto de seguridad que te permita. Ante la necesidad, siempre puedes bajar el nivel de seguridad y volverlo a su nivel máximo cuando dejes de necesitarlo.

No te fíes de los enlaces (links) de las paginas. Comprueba que te conducen a la página verdadera a donde quieres ir.

En las paginas web donde tengas que introducir información sensible (por ejemplo el número de la tarjeta de crédito), procura que sean siempre seguras (empiezan por https:)

Configura tu cliente de correo para recibir y enviar correo en modo texto. Además que no aporta casi nunca nada el html, es fuente de problemas de seguridad y de privacidad.

NUNCA ejecutes un adjunto de un correo con doble click, aunque te lo haya enviado tu mejor amig@. Siempre es mejor guardar el adjunto, y ejecutar primero el programa que "deberia" abrir ese adjunto y desde ese programa abrir el fichero.

No propagues los HOAX. SI, ¡¡¡atrevete!!! a romper las cadenas de mensajes. Actuan como un VIRUS ya que tu mismo eres el propagador.

Si no quieres recibir SPAM, cuando envies un mensaje a las NEWS, pon tanto en la dirección de correo de la cabecera del mensaje como en la firma algun identificador que haga imposible que pueda ser recogido de forma automática por programas informaticos. Por ejemplo nombre@QUITAESTOdominio.com, nombre@dominioESTONOVALE.com. Hazlo SIEMPRE a la derecha de la arroba y NUNCA en el nombre.

Encripta tus mensajes y ficheros mas sensibles.

No aceptes nunca archivos que no hayas solicitado cuando estés en el chat (IRC) o grupos de noticias (NEWS).

Ante la duda, abstente.

Ayuda a los demás. Da a conocer estas normas de seguridad.