Académique Documents
Professionnel Documents
Culture Documents
Proteccin y Seguridad
Los equipos de computo no estn exentos de presentar algn problema, ya que estos
constan de un sinfn de piezas y como tal estas se pueden descargar o no queda
descartado un desastre, o algn siniestro, si esto pasa nuestro equipo de computo puede
sufrir algn dao y este dao orillar a la perdida del equipo de computo o peor aun de la
perdida total de la informacin esta puede ser por ejemplo el reporte que se tiene que
entregar al jefe lunes, las fotos del bautizo, etc. en todos los casos la perdida es
importante (valiosa por su clasificacin, su aprecio o por el valor monetario que refleja).
Los riesgos adems de
amenazas
de
usuario
malintencionados por parte de los piratas, estos buscan ingresan a su informacin sin su
consentimiento, as mismo estos pueden crear programas ejecutables llamados virus y
gusanos que pueden provocar algn dao a su equipo o principalmente a su informacin,
a su red (si cuenta con ella), si no cuenta con una proteccin adecuada.
Como se vio anteriormente los riesgos pueden variar de equipo a equipo, pero
afortunadamente, si se toman algunas medidas se puede reducir considerablemente
estos riesgos, como son:
Observa los siguiente podrs checa si tus archivos adjuntos son algn virus.
Para evitar esto es importante verificar los archivos, programas, fotos, o las ventanas
emergente etc. que se descargan de Internet para evitar llevarse una sorpresa, pero si
ha encontrado una aplicacin es importante que la descargue en su disco duro, y
verifique la extensin de la misma, adems de escner el archivo descargado con un
antivirus como prevencin es un proceso tardado pero mejor tardado que infectado
usted que opina? Y si al escanearlo el antivirus no le marco nada en especial o usted
crees que el archivo o software es confiable, puede proceder con la inhalacin
Instalacin elctrica
Para su funcionamiento los ordenadores necesitan electricidad y sta es una de las
principales reas a tener en cuenta en la seguridad fsica.
Posibles riesgos que se pueden presentar en el tema elctrico:
Picos y Ruidos Electromagnticos
Cableado
o Interferencia: estas modificaciones pueden estar generadas por
cables de alimentacin de maquinaria pesada o por equipos de radio o
microondas. Los cables de fibra ptica no sufren este tipo de
problemas que pueden alterar los datos que viajan a travs de l.
o Corte del cable: la conexin se rompe y los datos dejan de circular
por el cable.
o Daos en el cable: con el uso se pueden daar el propio cable o su
apantallamiento, que es lo que preserva la integridad de los datos
transmitidos, con lo cual las comunicaciones dejan de ser fiables.
Cableado de alto nivel de seguridad Pisos de Placas Extrables.
Sistema de Aire Acondicionado.
Emisiones Electromagnticas.
Ergometra
"La Ergonoma es una disciplina que se ocupa de estudiar la forma en que interacta el
cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa
interaccin sea lo menos agresiva y traumtica posible."
La ergonoma estudia la adaptacin de los mtodos, objetos, maquinarias, herramientas
e instrumentos o medios y las condiciones de trabajo a la anatoma, fisiologa y
psicologa del operador. Su objetivo fundamental es la proteccin de los trabajadores
contra problemas como el agotamiento, las sobrecargas y el envejecimiento prematuro.
Las principales consecuencias de una mala ergonoma del puesto de trabajo son:
II.
III.
IV.
V.
Director General: El Director General del Instituto Nacional del Derecho de Autor;
VI.
VII.
VIII.
Cdigo Penal: El Cdigo Penal para el Distrito Federal en Materia de Fuero Comn
y para toda la Repblica en Materia de Fuero Federal;
IX.
Cdigo Civil: El Cdigo Civil para el Distrito Federal en Materia Comn y para toda
la Repblica en Materia Federal;
X.
XI.
Artculo 3 o.- Los trmites y procedimientos que se realicen ante el Instituto, sern
objeto de pago de derechos conforme a las cuotas que para cada caso se seale en la
Ley Federal de Derechos.
Artculo 4 o.- Salvo disposicin legal o reglamentaria en contrario, todo trmite
contemplado en la Ley o en este Reglamento tendr un plazo de respuesta oficial de diez
das hbiles.
Transcurrido sin respuesta el plazo aplicable, se entender la resolucin en sentido
negativo al promovente.
Artculo 9 o.- El pago de regalas al autor, a los titulares de derechos conexos y a sus
causahabientes se har en forma independiente a cada uno de quienes tengan derecho
segn la modalidad de explotacin de que se trate.
Artculo 10 o.- Las regalas por ejecucin, exhibicin o representacin pblica de obras
literarias y artsticas se generarn en favor de los autores y titulares de derechos
conexos, as como de sus causahabientes, cuando sta se realice con fines de lucro
directo o indirecto.
Artculo 11.- Se entiende realizada con fines de lucro directo, la actividad que tenga por
objeto la obtencin de un beneficio econmico como consecuencia inmediata del uso o
explotacin de los derechos de autor, derechos conexos o reservas de derechos, la
utilizacin de la imagen de una persona o la realizacin de cualquier acto que permita
tener un dispositivo o sistema cuya finalidad sea desactivar los dispositivos electrnicos
de proteccin de un programa de cmputo.
Se reputar realizada con fines de lucro indirecto su utilizacin cuando resulte en una
ventaja o atractivo adicional a la actividad preponderante desarrollada por el agente en
el establecimiento industrial, comercial o de servicios de que se trate.
No ser condicin para la calificacin de una conducta o actividad el hecho de que se
obtenga o no el lucro esperado.
Artculo 12.- Para efectos de lo dispuesto por el artculo 133 de la Ley, se considera
comunicacin directa al pblico de fonogramas:
I.
II.
III.
Artculo 14.- Para los efectos de la Ley, se consideran ilcitas las copias de obras, libros,
fonogramas, videogramas, que han sido fabricadas sin la autorizacin del titular de los
derechos de autor o de los derechos conexos en Mxico o en el extranjero, segn el
caso.
Las facultades a que se refieren los artculos 27, fraccin V, 125, fraccin II, y 131,
fraccin II, de la Ley, slo podrn ejercitarse cuando se trate de la importacin de copias
ilcitas.
Artculo 15.- El usuario final de buena fe no estar obligado al pago de daos y
perjuicios por la utilizacin de seales de satlite codificadas portadoras de programas
conforme al artculo 145, fraccin I, de la Ley, siempre que no persiga fines de lucro.
II.
Obras que, por su extensin, la publicacin implique una inversin muy superior a
la que comnmente se pague por otras de su clase;
Obras musicales que requieran un periodo ms largo de difusin;
III.
IV.
V.
Artculo 18.- En los actos, convenios y contratos por los que se transmitan derechos
patrimoniales de autor se deber hacer constar en forma clara y precisa la participacin
proporcional que corresponder al autor o la remuneracin fija y determinada, segn el
caso. La misma regla regir para todas las transmisiones de derechos posteriores
celebradas sobre la misma obra.
Artculo 19.- La remuneracin compensatoria por copia privada es aquella que
corresponde al autor, al titular de derechos conexos o sus causahabientes por la copia o
reproduccin realizada en los trminos del artculo 40 de la Ley.
Artculo 20.- La remuneracin compensatoria por copia privada podr ser recaudada por
los autores, titulares de derechos conexos y sus causahabientes, personalmente o por
conducto de una sociedad.
Artculo 21.- Se entiende por sincronizacin audiovisual, la incorporacin simultnea,
total o parcial, de una obra musical con una serie de imgenes que produzcan la
sensacin de movimiento.
Artculo 22.- La persona que trabe embargo o ejercite accin prendaria sobre los frutos
o productos que se deriven del ejercicio de los derechos patrimoniales de autor, podr
solicitar a la autoridad judicial que autorice la explotacin de la obra cuando el titular se
niegue a hacerlo sin causa justificada.
Artculo 27.- Las obras derivadas de las obras annimas, podrn ser explotadas en tanto
no se d a conocer el nombre del autor de la obra primigenia o no exista un titular de
derechos patrimoniales identificado.
Corresponder a las autoridades judiciales la determinacin de las regalas cuando el
autor o el titular de los derechos patrimoniales reivindique la titularidad de la obra y no
exista acuerdo entre las partes; sin embargo, las cantidades percibidas de buena fe por
el autor de la obra derivada o por un tercero quedarn a favor de stos.
Artculo 28.- El autor de una obra derivada, no requerir autorizacin del titular de los
derechos sobre la obra primigenia para entablar demanda en relacin con sus
aportaciones originales protegidas en los trminos del artculo 78 de la Ley.
Artculo 29.- Cuando la traduccin se haga a su vez sobre una traduccin, el traductor
deber mencionar el nombre del autor y el idioma de la obra original, as como el nombre
del primer traductor y el idioma de la traduccin en que se base.
Artculo 30.- En el caso de obras hechas en coautora, se debern mencionar los
nombres de la totalidad de los coautores, aun cuando sea la mayora la que haga uso o
explote la obra.
II.
Que la obra no cuente con editor o titular de los derechos patrimoniales de autor
identificado, o que existiendo ste, se niegue sin causa justificada a reproducir y
publicar la obra, y
III.
I.
II.
III.
IV.
Recibida la solicitud, el Instituto contar con un plazo de treinta das para admitirla o
desecharla.
El Instituto podr prevenir al solicitante para que subsane cualquier omisin o presente
pruebas omitidas dentro de un plazo de diez das. Transcurrido este trmino, el Instituto
contar con un plazo de treinta das para admitir o desechar la solicitud.
Artculo 41.- El procedimiento ante el Instituto se tramitar conforme a las siguientes
bases:
I.
II.
III.
Una vez integrado el expediente, el Instituto, previo estudio del mismo, deber
emitir un dictamen sobre la procedencia de la autorizacin.
II.
El anlisis por el cual se considere que la solicitud cumple con los requisitos de
procedencia.
Artculo 43.- El Ejecutivo Federal, considerando los resultados del dictamen, podr
expedir el Decreto por el que se declare la limitacin al derecho patrimonial por causa de
utilidad pblica, el cual se publicar en el Diario Oficial. Este Decreto contendr, entre
otros:
I.
El ttulo de la obra;
II.
III.
IV.
TTULO VI: DE LOS DERECHOS SOBRE LOS SMBOLOS PATRIOS Y LAS CULTURAS
POPULARES
CAPTULO NICO
Artculo 47.- La reproduccin, comunicacin pblica o cualquier otra forma de uso, as
como el ejercicio de los derechos morales sobre los smbolos patrios debern apegarse
a lo dispuesto en la Ley sobre el Escudo, la Bandera y el Himno Nacionales.
Artculo 48.- Las obras literarias o artsticas de arte popular o artesanal cuyo autor no
sea identificable, podrn ser:
I.
II.
III.
IV.
V.
a.
b.
c.
II.
III.
IV.
V.
VI.
VII.
un lapso de tres meses siempre que no exista otro plazo previsto al efecto en la Ley o en
este Reglamento.
los
de
III.
Las actas y documentos mediante los que la sociedad designe a sus rganos de
administracin y de vigilancia, sus administradores y apoderados;
IV.
V.
VI.
Artculo 58.- El Registro contar con un plazo de quince das, a partir de la admisin de
la solicitud, para dictar la resolucin que proceda o expedir las constancias o duplicados
que se le soliciten. Para el caso del registro de documentos relativos a las asambleas de
las sociedades de gestin colectiva o a sus estatutos, el plazo se extender por cuarenta
y cinco das.
Artculo 59.- El Registro se considera de buena fe y la inscripcin comprender los
documentos que, bajo protesta de decir verdad, presenten los promoventes.
Las inscripciones y anotaciones hechas ante el Registro son declarativas y establecen
una presuncin legal de titularidad en favor de quien las hace, pero no son constitutivas
de derechos.
Artculo 60.- En caso de ser varias las obras acompaadas a una solicitud, sern
consideradas como coleccin de obras bajo un mismo ttulo para efectos de su registro.
Artculo 61.- Los documentos procedentes del extranjero que se presenten para
comprobar la titularidad de los derechos de autor o los derechos conexos, no requerirn
legalizacin para efectos de su registro. Su traduccin, veracidad y autenticidad sern
responsabilidad del solicitante.
Artculo 62.- Hecha la inscripcin, el interesado contar con un trmino de treinta das
para reclamar la entrega del certificado correspondiente; agotado este trmino, deber
solicitar su entrega extempornea.
Artculo 63.- Cuando por prdida, destruccin o mutilacin del original sea imposible la
expedicin de copias certificadas, proceder, a solicitud del autor, del titular de los
derechos patrimoniales o de autoridad competente, la expedicin de un duplicado del
certificado de inscripcin o de la constancia de registro.
El duplicado se realizar de acuerdo con los datos, documentos e informes que dieron
origen a la inscripcin.
Artculo 64.- Los certificados de registro debern mencionar, por lo menos:
I.
II.
III.
IV.
V.
VI.
VII.
III.
IV.
V.
VI.
VII.
VIII.
IX.
X.
XI.
XII.
Cuando se trate de modificaciones sobre los datos registrados que se indican en las
fracciones I, II, III, IV, VIII y XI slo podrn realizarse con el consentimiento de todos los
interesados en el registro. Asimismo, slo podrn modificarse conceptos o datos de
fondo cuando exista el consentimiento de todos los interesados en el registro.
A falta del consentimiento unnime de los interesados la anotacin marginal slo podr
efectuarse por resolucin judicial.
La anotacin marginal surtir efectos a partir de la fecha de su inscripcin.
Artculo 68.- Los contratos tipo o de formato son aquellos que son idnticos entre s en
todas sus clusulas, variando slo sus datos particulares.
Artculo 69.- El procedimiento de cancelacin o correccin por error se iniciar de oficio
de la siguiente manera:
I.
II.
II.
III.
IV.
V.
Artculo 73.- Para efectos de lo dispuesto en el artculo 188, fraccin I, inciso e), de la
Ley, ser necesario el consentimiento expreso del interesado, cuando la solicitud
correspondiente comprenda, conjunta o aisladamente, la reproduccin del rostro de una
persona determinada, su expresin corporal, facciones o rasgos generales, de tal
manera que se pueda apreciar que se trata de la misma persona, aun cuando su rostro,
expresin, facciones o rasgos generales fueran modificados o deformadas y su nombre
sustituido por uno ficticio.
Artculo 74.- Para los efectos de la fraccin II del artculo 231 de la ley, no constituir
infraccin en materia de comercio la utilizacin de la imagen de una persona sin la
autorizacin correspondiente, cuando se realice con fines informativos o periodsticos o
en ejercicio del derecho de libertad de expresin.
Artculo 75.- Son notoriamente conocidos los ttulos, nombres, denominaciones o
caractersticas que por su difusin, uso o explotacin habituales e ininterrumpidos en el
II.
III.
Las
transmisiones
de
los
derechos
que
amparen
los
correspondientes, para que puedan surtir efectos frente a terceros.
certificados
I.
Asignar los prefijos a cada editor, para el caso del Nmero Internacional
Normalizado del Libro;
II.
III.
IV.
V.
VI.
II.
de
Carteles;
III.
IV.
V.
VI.
VII.
Artculo 91.- El Instituto podr realizar con terceros convenios de coordinacin que
tengan por objeto otras formas de otorgamiento del Nmero Internacional Normalizado
del Libro o del Nmero Internacional Normalizado para Publicaciones Peridicas.
Artculo 92.- El Instituto podr publicar cuando considere conveniente, de acuerdo con
el volumen de lo otorgado:
I.
II.
Cantida
d
Dominio
Contralora General
www.anticorrupcion.df.gob.mx
www.anticorrupcionparapeques.df.go
b.mx
www.cge.df.gob.mx
www.todossomossoluciones.df.gob.m
x
Oficiala Mayor
www.licitaciontransparente.df.gob.m
x
www.cdmx.df.gob.mx
Dependencia
www.trabajo.df.gob.mx
www.pdh.df.gob.mx
parte del funcionario responsable de atender el asunto. En todas las etapas del proceso
permite adjuntar archivos en formato electrnico con lo cual se elimina la necesidad del
uso del papel.
Cuenta con control de acceso por usuario, niveles de seguridad, alertas por correo
electrnico en el turnado de asuntos, buscador flexible, envo de copias de conocimiento
va electrnica y reportes para el seguimiento. Adems puede comunicarse va
electrnica con sistemas similares.
Corre sobre plataforma web, es decir, nicamente se necesita un navegador para su
acceso. Fue desarrollado de manera interna por la Direccin General de Gobernabilidad
de Tecnologas de la Informacin y Comunicaciones con software libre, lo que implica
que no se requiere la compra de licencias para su implementacin.
Caractersticas
Escalable. Puede adaptarse para su uso por un rea en particular o por todas las
reas que conforman una Dependencia.
acceso
de
la
de enorme valor a la hora de redactar nuestros dictmenes periciales. Entre los trminos
incluidos hay dos que son relevantes pues por primera vez se definen los roles del
profesional involucrado en esta etapa del cmputo forense:
con claridad que el analista forense debe supeditarse a las regulaciones vigentes en su
territorio y al mandato de autoridad judicial.
Veamos con un poco mas de detalle cuales son los principios establecidos en la norma
Relevancia: este es un concepto jurdico que indica que la evidencia digital debe
estar relacionada con los hechos investigados.
Confiabilidad: la evidencia debe ser confiable por lo que debe ser repetible y
auditable por un tercero que usando el mismo principio de operacin aplicado llegue a
idnticos resultados.
de
dispositivos
digitales
que
se
encuentran
apagados,
encendidos,
Estaciones de trabajo.
Servidores de terminal.
Cables de red
La RFC 1244 aborda con considerable detalle la poltica de seguridad del sitio. Muchas
de las cuestiones de poltica de seguridad de este captulo estn basadas en las
cuestiones planteadas por esa RFC.
PLANTEAMIENTO DE LA POLITICA DE SEGURIDAD
Definir una poltica de seguridad de red significa elaborar procedimientos y planes que
Salvaguarden los recursos de la red contra perdida y dao. Uno de los enfoques posibles
para elaborar dicha poltica es examinar lo siguiente:
Examine peridicamente su poltica de seguridad de red para ver si han cambiado los
objetivos y las circunstancias de la red.
La figura siguiente muestra una hoja de trabajo que puede ayudarle a canalizar sus ideas
conforme estos lineamientos.
La columna Tipo de usuario del que hay que proteger al recurso puede tener
designaciones como interno, externo, invitado o nombres de grupos como usuarios
de contabilidad, asistentes corporativos, etctera.
La columna Posibilidad de una amenaza' puede estar en una escala numrica del O al
10, o en expresiones `Vagas de lenguaje natural como baja, alta, media, muy alta,
etctera.
En general, el costo de proteger las redes de una amenaza debe ser menor que el
de recuperacin en caso de que se viera afectado por una amenaza de seguridad.
Si usted no tiene el conocimiento suficiente de lo que esta protegiendo y de las
fuentes de la amenaza, puede ser difcil alcanzar un nivel aceptable de seguridad.
ANALISIS DE RIESGO
Cuando usted crea una poltica de seguridad de red, es importante que comprenda
que la razn para crear una poltica es, en primer lugar, asegurar que los esfuerzos
dedicados a la seguridad impliquen un costo razonable. Esto significa que usted
debe conocer cuales recursos vale la pena proteger, y cuales son ms importantes
que otros. Tambin debe identificar la fuente de amenazas de la que usted esta
protegiendo a los recursos de la red. A pesar de toda la publicidad acerca de los
intrusos que irrumpen en una red, muchos estudios indican que, en el caso de la
mayora de las organizaciones, las verdaderas perdidas causadas por los usuarios
internos son mucho mayores.
El anlisis de riesgo implica determinar lo siguiente:
Cmo protegerlo?
Los riesgos deben clasificarse por nivel de importancia y gravedad de la perdida. No
debe terminar en una situacin en la que gaste ms en proteger algo que es de menor
valor para usted. En el anlisis de riesgo hay que determinar los siguientes dos factores:
1. Estimacin del riesgo de perder el recurso (Ri)
2. Estimacin de la importancia del recurso (Wi)
Puede asignarse un valor numrico como paso para cuantificar el riesgo de perder un
recurso. Por ejemplo, puede asignarse un valor de 0 a 10 al riesgo (Ri) de perder un
recurso, en donde 0 representa que no hay riesgo y 10 representa l ms alto riesgo. De
igual modo, a la importancia de un recurso ( Wi) se le puede asignar un valor del 0 al 10,
en donde 0 representa que no tiene importancia y 10 representa la mxima importancia.
El riesgo evaluado del recurso ser el producto del valor del riesgo y de su importancia
(tambin llamada peso). Esto puede escribirse como sigue:
WRi= Ri*Wi
Wri = Riesgo evaluado del recurso i
Ri = Riesgo del recurso i
Wi = Peso (importancia) del recurso i
Considere la figura que se muestra es una red simplificada con un router, un servidor y
un bridge.
Suponga que los administradores de la red y del sistema hayan encontrado las siguientes
estimaciones del riesgo y de la importancia de los dispositivos de red.
R3=10
W3=1
R1=6
W1=.7
Bridge
R2=6
W2=.3
Servidor
R3=10
W3=1
El clculo de los riesgos evaluados de estos dispositivos se muestra a continuacin
Router
WR1 = R1 * W1 = 6*0.7 = 4.2
Bridge
WR2 = R2 * W2 = 6*0.3 = 1.8
Servidor
WR3 = R3 * W3 = 10 * 1 = 10
La evaluacin de la amenaza y los riesgos no debe ser una actividad de una sola vez;
debe realizarse con regularidad, como se defina en la poltica de seguridad del sitio. El
Servicio de Pesca y Fauna de Estados Unidos ha documentado las cuestiones implicadas
en la realizacin de evaluaciones de amenazas y riesgos. El URL del documento de
evaluacin de amenazas y riesgos es http://www.fws.gov/-pullenl/security/rpamp.html.
Otros factores que hay que considerar al estimar el riesgo de un recurso de red son su
disponibilidad, integridad y confidencialidad. La disponibilidad de un recurso es la
medida de qu tan importante es tenerlo disponible todo el tiempo. La integridad de un
recurso es la medida de que tan importante es que este o los datos del mismo sean
consistentes.
Esto es de particular importancia para los recursos de bases de datos. La
confidencialidad se aplica a recursos, tales como archivos de datos, a los cuales se
desee restringir el acceso.
IDENTIFICACION DE RECURSOS
Al realizar el anlisis de riesgo, usted debe identificar todos los recursos que corran el
riesgo de sufrir una violacin de seguridad. Los recursos como el hardware son bastante
obvios para incluirlos en este clculo, pero en muchas ocasiones se ignoran recursos
tales como las personas que en realidad utilizan los sistemas. Es importante identificar a
todos los recursos de la red que puedan ser afectados por un problema de seguridad.
La RFC 1244 enlista los siguientes recursos de red que usted debe considerar al calcular
las amenazas a la seguridad general
HARDWARE: procesadores, tarjetas, teclados, terminales, estaciones de trabajo,
computadoras personales, impresoras, unidades de disco, lneas de comunicacin,
servidores terminales, routers.
2. SOFTWARE: programas fuente, programas objeto, utileras, programas de diagnostico,
sistemas operativos, programas de comunicaciones.
3. DATOS: durante la ejecucin, almacenados en lnea, archivados fuera d lnea,
respaldos, registros de auditoria, bases de datos, en trnsito a travs de medios de
comunicacin.
4. PERSONAS: usuarios, personas necesarias para operar los sistemas.
5.
DOCUMENTACION:
administrativos locales.
Sobre
programas,
hardware,
sistemas,
procedimientos
Los usuarios deben suponer que, si un archivo tiene permiso general de lectura, eso
los autoriza a leerlo?
Debe permitirse que los usuarios modifiquen archivos que no sean suyos, aun cuando
dichos usuarios tengan permiso de escritura?
Qu controles deben implantarse para proteger a otros usuarios de la red para que
no sean victimas de las actividades de sondeos de seguridad?
todos los privilegios, si bien es ms segura, quiz impida que ciertos usuarios legtimos
realicen su trabajo. Se necesita un enfoque ms equilibrado.
El reto es equilibrar el acceso restringido a los privilegios especiales para hacer ms
segura la red, con el otorgamiento de acceso a las personas que necesitan esos
privilegios para realizar sus tareas. En general, se debe conceder solo los privilegios;
suficientes para cumplir con las tareas necesarias.
Algunos administradores de sistemas se van por la va fcil y asignan mas privilegios de
los que necesita el usuario, para que estos no los vuelvan a molestar. Asimismo, el
administrador del sistema quiz no comprenda las sutilezas de la asignacin de
seguridad y se vaya por el lado de conceder ms privilegios. La capacitacin y la
educacin ayudan a evitar este tipo de problemas. Las personas que tengan privilegios
deben ser responsables y rendir cuentas ante alguna autoridad identificada dentro de la
propia poltica de seguridad. Algunos sistemas podrn tener mecanismos de auditorias
personales, que pueden usarse para que los usuarios con privilegios no abusen de la
confianza.
ADVERTENCIA
Si las personas a las que les conceden privilegios no son responsables ni rinden
cuentas, usted corre el riesgo de crear fallas en el sistema de seguridad y de
conceder arbitrariamente los permisos a los usuarios. Por lo general, tales
sistemas son difciles de administrar.
Si existe gran nmero de administradores de red y de sistemas es difcil llevar la cuenta
de que permisos se han concedido para los recursos de la red. Puede seguirse una
manera formal de solicitudes de otorgamiento. Una vez que el usuario hace la solicitud y
esta es autorizada por el supervisor del usuario, el administrador del sistema debe
documentar las restricciones de seguridad o de acceso a las que esta sujeto el usuario.
Tambin debe examinar el procedimiento que seguir para crear cuentas nuevas y asignar
permisos. En el caso menos restrictivo, las personas que estn autorizadas para otorgar
acceso deben poder ir directamente al sistema y crear una cuenta a mano o mediante
mecanismos suministrados por el proveedor. Estos mecanismos le dan mucha confianza
a la persona que los ejecuta, la cual, por lo general, tiene gran cantidad de privilegios,
como el usuario raz (Root) en Unix. En esas circunstancias, necesita seleccionar a
alguien confiable para llevar a cabo esa tarea.
Debe elaborar procedimientos especficos para la creacin de cuentas. En Unix existen
numerosas formas que pueden usarse para crear cuentas. Sin importar el procedimiento
que usted decida seguir, este debe estar bien documentado para evitar confusiones y
reducir errores. Como resultado de errores cometidas por el administrador del sistema
pueden producirse puntos vulnerables en la seguridad. Si tiene procedimientos bien
documentados, eso le ayudar a reducir los errores.
y que sea ms probable que lo sigan los administradores del sistema (como debe ocurrir
normalmente).
Tambin debe tener una poltica para seleccionar la contrasea inicial. El momento de
otorgar la contrasea inicial es muy vulnerable para la cuenta de usuario. Las polticas
como aquellas donde la contrasea inicial sea igual al nombre del usuario, o que se
quede en blanco, pueden dejar al descubierto las cuentas. Asimismo, evite establecer la
contrasea inicial como una funcin del nombre de usuario, o parte de este, o alguna
contrasea generada por un algoritmo que pueda adivinarse con facilidad. La seleccin
de la contrasea inicial no debe ser tan obvia.
El CERT Equipo de Respuesta a Emergencias de Cmputo (CERT, Computer Emergency
Response Team), en avisos publicados calcula que 80 por ciento de todos los problemas
de seguridad en redes son creados por contraseas inseguras.
Algunos usuarios empiezan a usar su cuenta mucho tiempo despus de haber sido
creada; otros nunca se registran. En esas circunstancias, si no es segura la contrasea
inicial, la cuenta y el sistema son vulnerables. Por esta razn, usted debe tener una
poltica para desactivar las cuentas en las que no haya habido acceso durante cierto
periodo. El usuario se ve obligado a pedir que se le active su cuenta.
Tambin es un error permitir que los usuarios sigan usando su contrasea inicial en
forma indefinida. Si el sistema lo permite, usted debe obligar al usuario a cambiar de
contrasea la primera vez que se registre. Muchos sistemas cuentan con una poltica de
caducidad de contraseas, lo cual es til para protegerlas. Tambin hay utileras Unix,
que pueden usarse para probar la seguridad de las contraseas como las siguientes:
Password es una aplicacin para analizar contraseas. Puede encontrarse en ftp:
llftp.dartmouth.edu/pub/security/passwd+.atr.
Npasswd es un reemplazo compatible para el comando password. Incorpora un sistema
de verificacin de contraseas que inhabilita las contraseas sencillas.
Npasswd puede encontrarse en ftp:llrtp.usa.edulpub/security/npaccwd.tar.gz.
Debe llevarse a cabo una investigacin para determinar las circunstancias en torno a la
violacin de seguridad, y cmo y por que ocurri. La poltica de seguridad debe contener
lineamientos acerca de las acciones correctivas para las fallas de seguridad. Es
razonable esperar que el tipo y severidad de la accin dependen de la gravedad de la
violacin.
tome tendr que discutirse con la organizacin cuya poltica de seguridad fue violada por
un usuario local de usted. Tambin deber consultar con el abogado de su empresa o con
especialistas en seguridad legal de computo.
ESTRATEGIAS DE RESPUESTA
Existen dos tipos de estrategias de respuesta ante incidentes de seguridad:
Proteja y contine
Persiga y demande
Si los administradores de la poltica de seguridad sienten que la compaa es bastante
vulnerable, quizs se decidan por la estrategia de proteger y continuar. El objetivo de
esta poltica es proteger de inmediato a la red y restablecerla a su situacin normal,
para que los usuarios puedan seguir usndola. Para hacer esto, usted tendr que
interferir activamente con las acciones del intruso y evitar mayor acceso. A esto debe
seguir el anlisis del dao causado.
En ocasiones no es posible restablecer la red de inmediato a su funcionamiento normal;
quizs tenga que aislar sus segmentos y apagar sistemas, con el objeto de evitar ms
accesos no autorizados en el sistema.
La desventaja de este procedimiento es que los intrusos saben que ya fueron detectados
y tomaran medidas para evitar que sean rastreados. Asimismo, el intruso puede
reaccionar a su estrategia de proteccin atacando el sitio con otro mtodo; por lo
menos, es probable que el intruso contiene su vandalismo en otro sitio.
La segunda estrategia -perseguir y demandar- adopta el principio de que el objetivo
principal es permitir que los intrusos contienen sus actividades mientras usted los vigila.
Esto debe hacerse en forma lo ms discreta posible, de modo que los intrusos no se den
cuenta de que usted los esta vigilando. Deben registrarse las actividades de los intrusos,
para que haya pruebas disponibles en la fase de demanda de esta estrategia. ste es el
enfoque recomendado por las dependencias judiciales y los fiscales, ya que rinde
evidencias que pueden usarse para demandar a los intrusos.
La desventaja es que el intruso seguir robando informacin o haciendo otros daos, y
de todos modos usted estar sujeto a demandas legales derivadas del dao al sistema y
la perdida de informacin.
Una forma posible de vigilar a los intrusos sin causarle dao al sistema, es construir una
crcel. Una crcel, en este caso, se refiere a un ambiente simulado para que lo usen
los intrusos, de modo que puedan vigilarse sus actividades. El ambiente simulado
presenta datos falsos, pero el sistema esta configurado de tal modo que se registran las
actividades del intruso.
Para construir una crcel, se necesita acceso al cdigo fuente del sistema operativo y
alguien interno con talento de programacin que sepa simular ese ambiente. Lo mas
seguro es construir la crcel sacrificando una maquina en un segmento aislado de la red,
para reducir el riesgo de contaminacin hacia otros segmentos y sistemas por las
actividades de los intrusos. Tambin es posible construir la crcel mediante un ambiente
simulado de software; sin embargo, esto es ms difcil de preparar.
En un sistema Unix, el mecanismo de root puede ser muy til para preparar la crcel.
Este mecanismo confina irrevocablemente los procesos a una sola rama del sistema de
archivos.
Para todos los fines prcticos, la raz de esta rama del sistema de archivos parece la raz
del sistema de archivos para el proceso. Este mecanismo evita el acceso a archivos de
dispositivo y al archivo de contraseas reales (/etc/passwd).
Si usted no desea que otros usuarios se conecten con la mquina sacrificada, tendrn
que actualizar peridicamente el archivo utmp, que contiene el registro de los usuarios
conectados, de modo que la crcel parezca real. Tambin debe eliminar las utileras que
revelen que la crcel es un ambiente simulado. Ejemplos de estas utileras son netstat,
ps, who y w.
Alternativamente, usted puede proporcionar versiones falsas de estas utileras, para
hacer que el ambiente simulado parezca real.
Si en el momento del ataque no se conocen los tipos de usuario de una gran red interna.
Si el sitio esta sujeto a demandas judiciales por parte de los usuarios. Esto se aplica a
las compaas de seguros, bancos, formas de seguridad, proveedores de red, etc.
En las siguientes circunstancias puede seguir la estrategia de perseguir y demandar.
Si el riesgo de la red es incrementado por los disturbios creados por las intrusiones
presentes y futuras.
Si el sitio esta dispuesto a arriesgar los recursos de la red permitiendo que contine la
intrusin.
Si los administradores del sistema saben que tipo de evidencias presentar en un juicio y
pueden crear los registros adecuados de las actividades del intruso.
Si el sitio esta preparado para las posibles acciones legales que emprendieran los
usuarios si sus datos o sistemas se vieran comprometidos durante la demanda.