SEGURIDAD EN INTRANET

Resumen

Que el lector conozca sobre como la intranet puede construir los sistemas informáticos, que propiedades tiene que tener para cumplir con la seguridad mínima, asimismo inducirlo a los diferentes tipos de seguridades que se pueden implementarse en una intranet, sea seguridad informática, pasiva, activa, lógica, física, y como las políticas de seguridad identifican las necesidades de seguridad, riesgos, los procedimientos a seguir, y hasta la detección de vulnerabilidades, y también que sepa que existen varias normas que ayuda asegurar los sistemas informáticos creados por las intranets que algunas se enfocan a las seguridad de redes como la ISO 27033.

Que el leyente este al corriente de los protocolos de seguridad que se utilizan en las intranets y como estas influyen a incrementar las seguridad en los sistemas informáticos, como también orientarlo en las diferentes capas de aplicación, transporte, red, infraestructura para aplicar la seguridad informática en las intranets. Por último que conozca sobre como mitigar las vulnerabilidades y riesgos a través del uso de algún dispositivo de seguridad.

 Palabras claves: intranet, políticas, normas, seguridad, protocolos

Desarrollo del tema

Intranet

Podemos definir que la intranet es una red privada de ordenadores que utiliza los protocolos y servicios de internet para compartir de forma segura información, sistemas operativos, programas, servicios dentro de una organización o dicha de otra forma internet interna y privada para un fin específico.

Intranet y los Sistemas de información

La intranet permite construir los sistemas informáticos, pero antes que nada debemos de distinguir lo que son los sistemas de información (SI) la cual está compuesta por los elementos que cuenta la organización que están relacionados y coordinados entre sí, su función principal es facilitar el funcionamiento de las actividades para alcanzar los objetivos trazados por la organización.

Los elementos son:

  • Recursos: estas se refieren a las computadoras, los periféricos y conexiones, también sistemas operativos, aplicaciones informáticas.
  • Talento Humano: son los individuos que trabajan en la empresa.
  • Información: Es el conjunto de datos, es el activo más importante de una organización.
  • Actividades: son los procesos que realizan la organización.

Mientras que los sistemas informáticos está formado por un conjunto de elementos físicos: hardware, dispositivos, periféricos, conexiones, y lógicos como los sistemas operativos, aplicaciones, protocolos, también se incluye el elemento del talento humano el cual maneja el hardware y software.

Los sistemas informáticos están contenidos en los sistemas de información esta última puede que no utilice elementos informáticos (físicos y/o lógicos).

Propiedades de un sistema de información seguro

Se consideran seguros todos los sistemas de información que cumplen con las tres propiedades bases:

  • Integridad la cual garantiza la autenticidad y precisión de la información cuando se solicitado, que la información no haya sido modificado o destruido por usuario no autorizados.
  • Confidencialidad garantiza que los datos o información estén únicamente disponibles a los usuarios autorizados, en los momentos autorizados y de manera autorizada.
  • Disponibilidad de la información indica que debe de estar al servicio del usuario autorizado.

Tipos de seguridad

Seguridad Informática: Se ocupa de diseñar normas, procedimientos, métodos, técnicas además es el conjunto procedimientos, dispositivos y herramientas para conseguir un sistema informático tenga los las tres propiedades básicas que tiene un sistema de información. “Lo que no está permitido debe estar prohibido”

Seguridad activa: Es el conjunto de medidas que se utilizan para detectar amenazas y mecanismos que la mitigan.

Seguridad pasiva: cuando una vez producido un incidente esta adopte una medida de seguridad para que no ocurra nuevamente el mismo incidente.

Seguridad lógica: mecanismos de software para proteger un sistema informático y la información que contiene como el uso de contraseñas, encriptación de la información, antivirus, firewall, pfSense.

Seguridad física: mecanismos físicos para proteger un sistema informático asimismo como la información a través de cámaras de seguridad, como de acceso al edificio, Unified Threat Management (UTM).

Políticas de seguridad

Unifica las directrices u objetivos de una organización con respecto a la seguridad de la información, forma parte de la política general y, por lo tanto, debe de ser aprobada por la alta dirección.

La política de seguridad busca involucrar a todo el personal de una organización, para que conozcan los principios que rigen la seguridad de la entidad, y cuáles son las normas a seguir, los objetivos de la seguridad planificadas. Las políticas deben de ser concisas y claras no todos son iguales dependerá de la institución de cómo las redacta y la orientación de la misma.

Existen estándares varias de políticas de seguridad, las más usadas son las definidas por International Organization for Standardization (ISO).

Una política de seguridad, contendrá los objetivos de la empresa en materia de seguridad.

  • Identificar las necesidades de seguridad y los riesgos que amenazan al sistema de información.
  • Agrupar todas las medidas de seguridad para ser implementados a los activos que tenga riesgos.
  • Dar la visión general de las reglas y procedimientos para afrontar los riegos.
  • Detectar todas las vulnerabilidades del sistema de información.
  • Definir un plan de contingencia.

Normas de la gestión de la seguridad de la información

Una norma es un documento que puede implementarse de forma voluntaria, aprobada por la alta dirección. El ISO se dedica desarrollar reglas de normalización, entre ellas está el área de informática. El International Electrotechnical Commission (IEC) es otro organismo que publica normas de estandarización en el campo de la electrónica.

La serie de normas ISO/IEC 27000 se denomina Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI), la cual proporciona el marco de estandarización para la seguridad, comprende un conjunto de normas como Sistemas de gestión de la seguridad de la información, valoración de riesgos y controles.

Entre las normas de seguridad podemos encontrar con una serie:

  • ISO 27000: contiene una visión general de las normas, definiciones y términos usados en la seguridad de la información.
  • ISO 27001: normas relacionadas con la seguridad informática que cumpla con propiedades de confidencialidad, integridad y disponibilidad.
  • ISO 27002: describe un código de las buenas prácticas para la gestión de la seguridad de la información y como también de los controles a utilizar.
  • ISO 27003: contiene una guía para la implementación de la norma.
  • ISO 27004: estándares en materia de seguridad para evaluar el sistema de gestión de la seguridad de la información.
  • ISO 27005: recoge estándares para la gestión del riesgo de la seguridad.
  • ISO 27006: requisitos a cumplir para que las organizaciones pueden emitir certificaciones ISO 27001.
  • ISO 27032: es una guía sobre ciberseguridad.
  • ISO 27033: es una norma dedicada a la seguridad en redes, dividida en varias partes, entre ellas, diseño e implementación de seguridad en redes, asegurar las comunicaciones entre redes mediante gateways, asegurar las comunicaciones mediante Virtual Private Network (VPN), redes inalámbricas, etc.
  • ISO 27034: norma sobre seguridad en aplicaciones informáticas.

Protocolos de Seguridad en una Red

El objetivo principal de los protocolos de seguridad o dicho de otro modo el protocolo criptográfico o cifrado es sistema de reglas abstracto o concreto que realiza funciones relacionadas con la seguridad, aplicando métodos criptográficos (cifrado o codificado). Describe la forma en que un algoritmo debe usarse.

Las propiedades básicas de la seguridad

Confidencialidad: la ocultación de información o recursos.

Autenticidad: identificación y la garantía de origen de la información

Integridad: confiabilidad de los datos o recursos en términos de prevención y mejoradores no autorizadas cambios.

Disponibilidad: Capacidad para utilizar información o recursos deseados.

No repudio: Oferta de la evidencia de que una parte de hecho es emisor o receptor de cierta información.

Control de acceso: instalaciones para determinar y hacer cumplir las que se permite el acceso a qué recursos (anfitrión, software, redes, etc.).

Seguridad de redes por capas

Capa de aplicación

Pretty Good Privacy (PGP) la finalidad es proteger la información distribuida por internet o intranet a través del uso de criptografía de clave pública, así facilitar la autentificación de documentos respaldado con las firmas digitales. E-mail: PGP.

Hypertext Transfer Protocol Secure (HTTPs) está basado en el Hypertext Transfer Protocol (HTTP) destinado a la transferencia segura de datos de hipertexto. Web: HTTP-s.

Capa de transporte

Transport Layer Security (TLS) es un protocolo criptográfico que proporcionan comunicaciones seguras entre redes su antecesor es Secure Socket Layer (SSL).

Capa de red

Internet Protocol Security (IPsec) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.

Infraestructura de red

Domain Name System Security Extensions (DNSsec) se trata de un conjunto de extensiones al DNS que proporcionan a los clientes DNS (o resolvers) la autenticación del origen de datos DNS, la negación autenticada de la existencia e integridad de datos, pero no disponibilidad o confidencialidad.

 Resource Public Key Infrastructure (RPKI) proporciona una manera de conectar la información de recursos de numeración de Internet a un ancla de confianza. La estructura certificado refleja la forma en que números de Internet se distribuyen los recursos.

Unified Threat Management

El dispositivo de Gestión Unificada de Amenazas, es un cortafuego de usos múltiples en un solo mismo equipo de seguridad. Algunas de las funciones que tiene son:

  • User Datagram Protocol
  • VPN
  • Antispam
  • Antiphishing
  • Antispyware
  • Filtro de contenidos
  • Antivirus
  • Detección/Prevención de Intrusos (IDS/IPS)
  • Modo Proxy/ modo transparente.

La ventaja es que es una dispositivo que suministra mayor seguridad pero puede llegar a genera el cuello de botella.

Observaciones y comentarios

Es necesario profundizar sobre los protocolos de seguridad así como las normas para ampliar y tener un conocimiento total de la implementación de la seguridad informática en una intranet.

Conclusiones                                         

El activo más valioso de cualquier organización es la información por ese sentido es necesario incrementar la seguridad informática en los sistemas de información, aplicando los protocolos de seguridad, como las normas, y dispositivos de seguridad.

Esta entrada fue publicada en Ciencias de la Computación y etiquetada , , , , . Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *