Académique Documents
Professionnel Documents
Culture Documents
Introduccin
En este documento se sealan diversos agentes, relacionados con la seguridad de la informacin, encaminados
a definir un conjunto de prcticas y lineamientos para mantener la seguridad de los servidores y sitios web del
Sistema de Investigacin de la UN - SIUN.
Trminos y definiciones
Para los propsitos de estandarizar y precisar los aspectos que intervienen en el presente documento, se
establecen los siguientes trminos y definiciones1:
1
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION E INTERNATIONAL ELECTROTECHNICAL COMMISSION. ISO/IEC-
27001:2005. Primera edicin.
2
REAL ACADEMIA DE LA LENGUA ESPAOLA. poltico, ca. {En lnea}. {23 septiembre 2014}. Disponible en:
(http://buscon.rae.es/drae/srv/search?id=N8z4PHRJ5DXX20xsnrZh).
3
UNIVERSIDAD NACIONAL DE COLOMBIA. CONSEJO SUPERIOR UNIVERSITARIO. Acuerdo 046 de 2009: Por el cual se
definen y aprueban las polticas de Informtica y Comunicaciones que se aplicarn en la Universidad Nacional de
Colombia.
Usuario: persona que usa una cosa con cierta limitacin.
Cuenta de usuario: una instancia que permite identificar al usuario de un sistema informtico para
hacer uso del mismo.
Servidor: Unidad informtica que proporciona diversos servicios a computadoras conectadas con ella a
travs de una red4.
Sitio web: conjunto de pginas relacionadas y comunes a un dominio.
CMS: Content Management System (Sistema de Administracin de Contenidos) es el sistema que
administra los contenidos que son cargados y publicados en un sitio web.
Objetivos
Objetivo general
Definir prcticas mediante las cuales se preserve la seguridad de la informacin de los servidores y
sitios web del Sistema de Investigacin de la UN SIUN.
Objetivos especficos
Concienciar a los usuarios sobre la necesidad e importancia de comprender los riesgos de seguridad
informtica de los servidores y sitios web del Sistema de Investigacin de la UN - SIUN.
Adoptar y ejecutar un conjunto de lineamientos para establecer buenas prcticas de uso de la
infraestructura tecnolgica con el que se minimice la probabilidad de ocurrencia de incidentes
informticos (control del riesgo informtico) de los servidores y sitios web del SIUN y se pueda
responder a eventos inesperados e indeseados.
Alcance
Con base en estas polticas, se establecen los procedimientos que se aplican a la seguridad informtica
de los servidores y sitios web del Sistema de Investigacin de la UN SIUN.
Las directrices aqu definidas aplican a los usuarios de los servidores y sitios web del Sistema de
Investigacin de la UN SIUN.
Justificacin
La interconexin, casi generalizada, de diversos sistemas y redes de internet, que se extiende mucho ms all
de los lmites nacionales, ha propiciado una infraestructura operativa que abarca diversos sectores que
intercambian grandes volmenes de informacin. sta hace que los sistemas y redes individuales sean ms
vulnerables ya que estn expuestos a una gran variedad de amenazas que pueden ocasionar prdida,
alteracin o propagacin no autorizada de la informacin.
Para identificar amenazas, es necesario conocer los diversos tipos de ataques y los propsitos de quienes los
llevan a cabo. Los tipos ms comunes son: la falta de actualizaciones de seguridad, procedimientos de inicio de
sesin defectuosos y la falta de conocimientos sobre vulnerabilidades informticas5.
4
REAL ACADEMIA DE LA LENGUA ESPAOLA. servidor, ra. {En lnea}. {23 septiembre 2014}. Disponible en:
(http://lema.rae.es/drae/srv/search?id=OAM4DFt4b2x5Nhp2owJ).
5
SEGURIDAD INFORMTICA: NOTICIAS DE SEGURIDAD INFORMTICA. 5 de fallas de seguridad de tu sitio web que
puedes solucionar ya!. {En lnea}. {23 septiembre 2014}. Disponible en: (https://seguinfo.wordpress.com/2012/08/27/5-
de-fallas-de-seguridad-de-tu-sitio-web-que-puedes-solucionar-ya/).
Es de resaltar que gran parte de los incidentes de seguridad de la informacin ocurren por el desconocimiento
o descuido de los usuarios que intervienen en el sistema o por la ausencia de mecanismos de control de riesgos
informticos.
Antecedentes
Los das 27 y 28 de marzo de 2014, por solicitud de profesor Alexander Gmez Meja, como vicerrector de
investigacin, se contact a Alexis Miguel Taborda, jefe de la Oficina de Tecnologas de Informacin y
Comunicaciones de la sede Manizales, quien realiz una visita a las instalaciones de la Vicerrectora de
Investigacin con el objetivo de evaluar la pertinencia de la contratacin de una auditora en seguridad
informtica con el fin de minimizar ataques a la infraestructura Hermes y a las otras pginas adscritas a la
Vicerrectora de Investigacin6.
Inyeccin SQL
Los ataques de inyeccin, ms especficamente SQLI (Structured Query Language Injection), es una tcnica para
modificar una cadena de consulta de base de datos mediante la inyeccin de cdigo en la consulta. El SQLI
explota una posible vulnerabilidad donde las consultas se pueden ejecutar con los datos validados. Puede ser
utilizada para obtener acceso a las tablas de bases de datos, incluyendo informacin del usuario y la
contrasea.
Los ataques de inyeccin SQL se producen cuando un hacker intenta insertar comandos SQL en los campos de
la pgina web. En el caso de que un dato contenga una comilla simple () al final de un nombre de usuario, su
base de datos podra ver esto como una consulta SQL construida. Debido a esto, se podra recibir datos de una
consulta SQL.
6
ALEXIS MIGUEL TABORDA SALAZAR. Oficio CC-067: Resumen de informe de visita e Informe final de la visita efectuada a
la Vicerrectora de Investigacin los das 27 y 28 de marzo de 2014.
DDoS
La Denegacin de Servicio DoS o Denegacin de Servicio Distribuida - DDoS son las formas ms comunes para
congelar el funcionamiento de un sitio web. Estos son los intentos de inundar un sitio con solicitudes externas,
por lo que ese sitio no podra estar disponible para los usuarios reales. Los ataques de denegacin de servicio
por lo general se dirigen a puertos especficos, rangos de IP o redes completas, pero se pueden dirigir a
cualquier dispositivo o servicio conectado.
Fuerza Bruta
Bsicamente se intenta romper todas las combinaciones posibles de nombre de usuario y contrasea en una
pgina web. Los ataques de fuerza bruta buscan contraseas dbiles para ser descifradas y tener acceso de
forma fcil.
Defacement
Es un ataque a un sitio web que cambia el aspecto visual del sitio o una pgina web. Estos son por lo general el
trabajo de los crackers de sistemas, que irrumpen en un servidor web y sustituyen el sitio web alojado con uno
de los suyos. Defacement se entiende generalmente como una especie de grafiti electrnico, aunque
recientemente se ha convertido en un medio para difundir mensajes por motivos polticos "manifestantes
cibernticos" o hacktivistas.
Ingeniera social
Es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una
tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes
informticos, para obtener informacin, acceso o privilegios en sistemas de informacin que les permitan
realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios son el eslabn dbil".
En la prctica, un ingeniero social usar comnmente el telfono o Internet para engaar a la gente, fingiendo
ser, por ejemplo, un empleado de algn banco o alguna otra empresa, un compaero de trabajo, un tcnico o
un cliente. Va Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de permisos de
acceso a pginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando as a
revelar informacin sensible, o a violar las polticas de seguridad tpicas. Con este mtodo, los ingenieros
sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones,
-por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener
que encontrar agujeros de seguridad en los sistemas informticos.
RFI o LFI es posible gracias a la existencia de parmetros vulnerables en el cdigo PHP en las pginas web que
referencian a objetos externos sin filtrarlos.
El ataque RFI es posible solo en pginas web que cumplan con ciertos requisitos:
Primero deben tener cdigo PHP, ya que permite enlace a archivos remotos. Actualmente se calcula
que tres cuartas partes de las webs contienen cdigo PHP, entre ellas Facebook, Wikipedia y
WordPress.
La programacin del cdigo debe contener errores bsicos de seguridad, aunque mucho ms comunes
de lo que se pueda pensar, como la falta de filtrado de los datos.
El problema aparece si el cdigo de las funciones que toman archivos externos no est suficientemente
filtrado, en ese caso se podra crear una peticin manipulada a travs de la cual se podra ejecutar cdigo,
aadir ficheros... directamente en el servidor.
Fuga de informacin
Mas que ser un ataque, es un error del administrador del sitio, el cual consiste en dejar pblico el registro de
errores, lo que facilita al atacante ver las fallas exactas del sistema, tomar provecho de estas, y obtener el
control parcial o total del sitio.
Marco normativo
La normativa relacionada con las polticas de seguridad, que en este documento se definen, se relata a
continuacin:
Normativa internacional
ISO/IEC 27001: proporciona un modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI).
ISO/IEC 27002: proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de
la informacin a todos los interesados y responsables en iniciar, implantar o mantener un Sistema de
Gestin de la Seguridad de la Informacin (SGSI).
ISO/IEC 27005: proporciona directrices para la gestin del riesgo de seguridad de la informacin en una
organizacin.
Directrices de la OCDE (Organization for Economic Co-operation and Development) para la seguridad
de sistemas y redes de informacin: Hacia una cultura de seguridad.
Normativa nacional e institucional
Ley 1273 de 2009: Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico
tutelado - denominado de la proteccin de la informacin y de los datos y se preservan integralmente
los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras
disposiciones.
Acuerdo 046 de 2009 CSU: Por el cual se definen y aprueban las polticas de Informtica y
Comunicaciones que se aplicarn en la Universidad Nacional de Colombia.
Gua para la elaboracin de polticas de seguridad Direccin Nacional de Informtica y
Comunicaciones.
Lineamientos generales
Principios
Los principios que dirigen la definicin de las polticas de seguridad, y que son transversales a la aplicacin de
las mismas, son la implementacin de las directrices de la OCDE para la seguridad de sistemas y redes de
informacin.
1. Concienciacin: los usuarios de los servidores y sitios web del SIUN debern ser conscientes de la
necesidad de contar con un sistema seguro y conocer los modos de mejorar la seguridad.
2. Responsabilidad: todos los usuarios son responsables de la seguridad de los servidores y sitios web del
SIUN, segn aplique.
3. Respuesta: los usuarios de los servidores y sitios web del SIUN deben actuar de manera adecuada y
conjunta para prevenir, detectar y solucionar incidentes de seguridad de la informacin.
4. tica: los usuarios de los servidores y sitios web del SIUN deben respetar los intereses legtimos de
terceros. Es decir, reconocer que sus acciones o la falta de ellas ocasionan daos a terceros.
5. Democracia: la seguridad de los servidores y sitios web del SIUN debe ser compatible con los valores
esenciales de una sociedad democrtica.
6. Evaluacin del riesgo: los usuarios de los servidores y sitios web del SIUN deben llevar a cabo
evaluaciones de riesgo informtico.
7. Diseo y realizacin de la seguridad: los usuarios de los servidores y sitios web del SIUN deben
incorporar la seguridad como un elemento fundamental de todos los productos.
8. Gestin de la seguridad: los usuarios de los servidores y sitios web del SIUN deben adoptar una visin
integral de la administracin de la seguridad informtica en aras de crear un sistema coherente de
seguridad.
9. Reevaluacin: los usuarios de los servidores y sitios web del SIUN deben revisar, reevaluar y realizar las
modificaciones adecuadas sobre polticas, prcticas, medidas y procedimientos de seguridad.
Centralizacin
La informacin almacenada en los sitios web del SIUN, hospedados en sus servidores, estar concentrada bajo
un mismo CMS con el objeto de mantener la organizacin y estandarizacin de la estructura y la presentacin
de sus contenidos.
Polticas de seguridad
Las siguientes polticas, complementarias entre s, son de inters y aplicabilidad general y en todos los niveles,
tanto en el mbito administrativo y tcnico. Conservan una clasificacin respondiendo al conjunto de riesgos
que comprometen la seguridad de la informacin.
Responsabilidades
1. El SIUN tendr como responsabilidad definir, aplicar, evaluar y modificar las polticas de seguridad de
sus servidores y sitios web, as como establecer la frecuencia de su actualizacin.
2. Todos los usuarios de los servidores y sitios web del SIUN debern aplicar las polticas de seguridad de
los sitios web del SIUN y el SIUN har seguimiento de su cumplimiento.
Acceso fsico
1. La Direccin Nacional de Tecnologas de la Informacin y las Comunicaciones DNTIC ser la
responsable de la administracin fsica de los servidores del SIUN, del acceso fsico a ellos y de la
regulacin de la energa para su correcto funcionamiento.
Acceso lgico
Gestin de cuentas de usuario
1. Perfiles de usuario: se clasificarn las cuentas de usuario, con los privilegios adecuados sobre el CMS y
sin llegar a ser sobredimensionados, de acuerdo a la responsabilidad, actividades laborales y
dependencia a la que pertenezca un usuario de los sitios web del SIUN.
2. Administracin de cuentas de usuario: es responsabilidad de las dependencias usuarias designar un
administrador que crear, asignar, mantendr y eliminar las cuentas de usuario, con el perfil
adecuado, para la administracin de contenidos del sitio web correspondiente.
3. Cuentas de usuario de base de datos: los administradores de los servidores, dnde se encuentran
alojados sitios web, debern crear un usuario de base de datos diferente para cada sitio web y
proporcionarle acceso slo a la base de datos del sitio web especfico, restringiendo sus permisos a:
SELECT, INSERT, UPDATE, DELETE, FILE y CREATE TEMPORARY TABLES, y aadir otros permisos
slo si es necesario para el funcionamiento del sitio.
4. Nombres de cuentas de usuario: la asignacin de los nombres de cuentas de usuario no debe ser
arbitraria. Deber cumplir las siguientes caractersticas:
a. Debe reflejar el cargo o la funcin que el usuario desempea y la dependencia a la que
pertenece.
b. No debe estar relacionado con el nombre del sitio web, del cargo, funcin o informacin del
funcionario asociado.
Gestin de contraseas
1. Asignacin de contraseas: se fijarn contraseas a las cuentas de usuario que se asignen por primera
vez a un usuario particular, quien deber cambiarla posteriormente.
2. Responsabilidad de las credenciales de acceso: cada usuario es responsable de sus credenciales de
acceso, es decir, del usuario y contrasea necesarios para acceder a la informacin e infraestructura
tecnolgica.
3. Confidencialidad de las credenciales de acceso: las credenciales de acceso son personales e
intransferibles, no se deben prestar a otras personas para que accedan a los sitios o servidores web.
4. Confiabilidad de las contraseas: al momento de cambiar o asignar una contrasea, sta debe reunir
las siguientes cualidades:
a. La cantidad mnima de caracteres que debe contener la contrasea es ocho (8).
b. La contrasea debe contener al menos un carcter de cada uno de los siguientes tipos: letra
minscula, letra mayscula, nmero y smbolo.
5. Cambio de contraseas: la frecuencia con la que se deben cambiar las contraseas, asociadas a cada
cuenta de usuario, debe ser semestral.
6. Contraseas de cuentas de usuario de bases de datos: las contraseas de las cuentas de usuario de
base de datos deben ser diferentes para cada una y cumplir las polticas de confiabilidad y cambio de
contraseas.
Recomendaciones
A continuacin se hacen algunas recomendaciones sobre la gestin de contraseas:
Gestin de hardware
1. Soporte tcnico: contratar el servicio de soporte tcnico para los servidores que incluya, el soporte de
hardware en sitio, el reemplazo de partes defectuosas y garanta sobre lo componentes
proporcionados.
Gestin de cambios
1. Administracin de contenidos: es responsabilidad de las dependencias usuarias la administracin de
los sitios web que les corresponda y la asignacin del personal encargado del manejo y mantenimiento,
en cuanto a consulta, ingreso, modificacin, eliminacin y/o divulgacin, de la informacin almacenada
en los sitios web que les corresponda.
2. Instalacin y/o actualizacin de componentes: para realizar la instalacin o actualizacin de una
extensin, componente, plantilla, idioma o plugin en el CMS de los sitios web, se debe realizar una
prueba inicial en un equipo local con la ltima versin del sitio web y de la extensin, para lo cual se
debe solicitar al administrador del servidor una copia de la ltima versin del sitio y, tras el xito de la
prueba, se podr realizar la instalacin o actualizacin en el servidor.
Mantenimiento de polticas
Auditoras
1. Auditoras internas: una vez implementada la presente poltica se debe llevar a cabo al menos una
auditora semestralmente la cual evaluar el cumplimiento de lo dispuesto en el presente documento.
Los anexos 6 y 7 disponen de los formatos que se deben utilizar para la planeacin y presentacin de
informe de la auditora.
2. Auditoras externas: con al menos una frecuencia anual se debe gestionar la realizacin de una
auditora externa, que est basada en riesgos, con el fin de adoptar la medidas pertinentes y realizar la
actualizacin a la poltica de seguridad con base en los resultados reportados. Se debe considerar la
consecucin de los permisos necesarios de acuerdo al alcance de la auditora, en caso de que pueda
haber afectacin de la disponibilidad de los servicios.
Bibliografa
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION E INTERNATIONAL ELECTROTECHNICAL
COMMISSION. ISO/IEC-27001:2005. Primera edicin.
ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. Directrices para la seguridad de
sistemas y redes de informacin: Hacia una cultura de seguridad. 2001.
UNIVERSIDAD NACIONAL DE COLOMBIA. CONSEJO SUPERIOR UNIVERSITARIO. Acuerdo 046 de 2009:
Por el cual se definen y aprueban las polticas de Informtica y Comunicaciones que se aplicarn en la
Universidad Nacional de Colombia.
.SEGURIDAD: CULTURA DE PREVENCIN PARA TI. Seguridad de la informacin. Disponible en:
(http://revista.seguridad.unam.mx/).
WIKILIBROS. Mejores prcticas para redes de datos. Definicin de contraseas. Disponible en:
(http://es.wikibooks.org/wiki/Mejores_pr%C3%A1cticas_para_redes_de_datos/Definici%C3%B3n_de_
contrase%C3%B1as).
HOSTDIME BOLG. Tipos De Ataques Ms Comunes A Sitios Web Y Servidores. Disponible en:
(http://www.hostdime.com.co/blog/tipos-de-ataques-mas-comunes-a-sitios-web-y-servidores/).
WIKIPEDIA. Website defacement. Disponible en:
(http://en.wikipedia.org/wiki/Website_defacement).
WIKIPEDIA. Ingeniera social (seguridad informtica). Disponible en:
(http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform%C3%A1tica%29).
NOVACREAIONS. Protegiendo tu sitio web de las vulnerabilidades ms comunes. Disponible en:
(http://novacreations.net/diez-vulnerabilidades-aplicaciones-web/).
CYBERSEGURIDAD. Inclusin de ficheros remotos (RFI Remote File Inclusion) (Ataques informticos
II). Disponible en: (http://cyberseguridad.net/index.php/181-inclusion-de-ficheros-remotos-rfi-
remote-file-inclusion-ataques-informaticos-ii).
TYPO3. TYPO3 Security Bulletins. Disponible en: (http://typo3.org/teams/security/security-
bulletins/).
Anexos
1. Inventario de servidores y sitios web del Sistema de Investigacin de la Universidad Nacional SIUN.
2. Resumen de informe de visita e Informe final de la visita efectuada a la Vicerrectora de Investigacin
los das 27 y 28 de marzo de 2014.
3. ISO/IEC-27001:2005.
4. Directrices de la OCDE para la seguridad de sistemas y redes de informacin: Hacia una cultura de
seguridad. 2001.
5. Acuerdo 046 de 2009: Por el cual se definen y aprueban las polticas de Informtica y Comunicaciones
que se aplicarn en la Universidad Nacional de Colombia.
6. Formato Universidad Nacional para plan de auditora interna.
7. Formato Universidad Nacional para presentacin de informe de auditora interna.
Control de versiones
Versin Nombre Cargo Fecha
Martha Correa
Creado por: 1.0 23 Octubre 2014
Ivn Cabezas
Modificado por:
Revisado por:
Aprobado por:
Estado: Borrador