Relaciones Virtuales y Literatura: POLÍTICAS DE SEGURIDAD INFORMÁTICA Y MANUAL DE PROCEDIMIENTOS (Parte 1)

Trabajo semana 4 Curso 457443 del SENA-

Redes y Seguridad

Proyecto Final

Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, así como las herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinámico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario.

Contenido:

Introducción (3)

Objetivos (4)

Justificación (4)

Generalidades (5)

Políticas de seguridad informática (5)

Estudio y análisis de los recursos informáticos actuales (7)

Amenazas posibles (7)

Elementos de análisis para la seguridad informática (8)

Análisis del sistema a proteger (9)

Valoración elementos de red (9)

Tablas de acceso (9)

Programa de Seguridad y Plan de Acción (10)

Manual de procedimientos y normativas (11)

Herramientas de control de acceso (14)

Herramientas para la integridad del sistema (15)

Disposiciones generales (16)

· Lineamientos para la adquisición de bienes informáticos (17)

· Instalaciones de los equipos de cómputo (21)

· Lineamientos en informática: información (22)

· Funcionamiento de los equipos de cómputo (23)

· Plan de contingencias informáticas (24)

· Estrategias informáticas (24)

· Acceso físico (25)

· Identificadores de usuarios y contraseñas (25)

· Responsabilidades personales (25)

· Salida de información (27)

· Uso apropiado de los recursos (27)

· Software (28)

· Recursos de red (28)

· Conectividad a Internet (29)

· Actualizaciones de política de seguridad (29)

· Disposiciones transitorias (29)

INTRODUCCIÓN

Muchas veces en las compañías se valida la seguridad, solo por el uso de contraseñas en cada uno de sus procedimientos, ¿es realmente útil solo el uso de contraseñas para proteger la información de una organización?

El uso de contraseñas es necesario pero a esto hay que agregar un paquete de medidas denominadas Políticas de seguridad Informática (PSI), las cuales deben ser legibles y entendibles para cada uno de los miembros de las organizaciones, acompañadas de un manual de procedimientos el cual será elaborado para mejorar la seguridad en nuestra empresa.

Cabe aclarar que es vital la protección de la información, por lo que se deben tomar correctivos para evitar posibles ataques que vulneren la capacidad de respuesta de la red o en el peor de los casos destruyan la información.

El presente documento tiene como finalidad la implementación de políticas de Seguridad Informática (PSI) para la empresa “En-core” de la ciudad de Medellín en Colombia.

Para la ejecución del proyecto, se ha tomado como base un estudio y análisis de los componentes informáticos, lógicos y físicos, que actualmente mantiene la empresa para su gestión y administración, así mismo se ha procedido a realizar el análisis de las condiciones del uso de dichos recursos por parte de los empleados, y determinar las posibles vulnerabilidades a que puede estar expuesta la información de la empresa.

En base al estudio y análisis requerido que determinan los posibles riesgos inherentes a los recursos informáticos, se ha procedido a distinguir las políticas de seguridad informática actual y/o establecer nuevos procedimientos y estrategias, tanto Gerenciales como Administrativas, que permitan el resguardo de la información de los recursos informáticos de la empresa.

Como resultado del presente proyecto hay la documentación y ejecución de un plan estratégico, con el cual se implementen las Políticas de Seguridad Informática para la Empresa “En-core” de la ciudad de Medellín.

OBJETIVOS

Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y controlar las actividades, para mantener y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de la empresa".

Los objetivos que se desean alcanzar, luego de implantar nuestro sistema de seguridad son los siguientes:

Generales:

· Desarrollar un sistema que permita proteger la información confidencial de una compañía, utilizando PSI adecuadas.

· Orientar a los empleados, sobre el uso adecuado de los recursos del sistema y así evitar posibles fallas que comprometan la seguridad de los datos.

· Interactuar con las políticas de seguridad, para que estas mismas tengan un buen manejo dentro de la organización.

· Proponer estrategias que ayuden a proteger el sistema contra posibles ataques.

Particulares:

· Realizar el estudio y análisis de los recursos informáticos de la empresa.

· Evaluar y determinar los posibles riesgos ante los sistemas informáticos.

· Establecer y documentar el programa de seguridad, a través de un plan de acción, procedimientos y normativas necesarios para implementar un Sistema de Seguridad Informática.

· Ejecutar las políticas de Seguridad de la información en la Empresa, mediante las respectivas estrategias tanto a nivel Gerencial como Administrativo.

JUSTIFICACIÓN

La seguridad, en lo que se refiere a una infraestructura de información, es un concepto relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la institución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); por esta razón, es un paso primordial el establecer normativas y estándares que permitan obtener una base de manejo seguro de todo lo relacionado con la infraestructura de comunicación de la empresa.

En consecuencia, la información, y por consiguiente los recursos mencionados anteriormente, se han convertido en un activo de altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la información para garantizar su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley.

El sentar bases y normas de uso y seguridad informáticas dentro de la empresa, respecto a la manipulación y uso de aplicaciones y equipos computacionales, permitirá optimizar los procesos informáticos y elevará el nivel de seguridad de los mismos.

GENERALIDADES

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual, lógicamente, ha traído consigo la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan, han llevado a que se desarrolle un documento de directrices que orienten en el uso adecuado de estas destrezas tecnológicas, y recomendaciones para obtener el mayor provecho de estas ventajas, evitando el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa.

En este sentido, las políticas de seguridad informática definidas partiendo desde el análisis de los riesgos a los que se encuentra propensa la empresa, surgen como una herramienta organizacional para concienciar a los colaboradores de la organización, sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer nuestra política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades en su aplicación, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea a la empresa.

POLÍTICAS DE SEGURIDAD INFORMÁTICA

Las políticas de seguridad informática de la empresa, se basan en las buenas prácticas que se le pueden dar a los distintos sistemas informáticos de la misma, y a diferentes mecanismos que existen para evitar posibles daños o catástrofes futuras, que puedan afectar de una u otra manera la integridad y la confidencialidad de los datos o información que esta contenga; por lo que la empresa ha decidido implementar las siguientes políticas de seguridad informática, que serán ejecutadas y llevadas a cabo por cada uno de los empleados que tengan acceso a información privilegiada, y que por su manipulación o extravío puedan afectar los procesos que internamente lleva la empresa:

· Dentro del manual de políticas de seguridad informática de la empresa se evitarán en lo posible los tecnicismos, que de alguna u otra manera puedan dificultar el completo entendimiento de las normas.

· Dentro del manual se harán ejemplos prácticos, que faciliten la comprensión del mismo evitando confusiones o malos entendidos que puedan afectar la integridad de la misma.

· Las políticas de seguridad serán generales, cumplidas por cada uno de los empleados, pero se tendrá prioridad por aquellos que de forma directa o indirecta tienen acceso a información privilegiada, por lo que se tendrá más rigurosidad con estos.

· La protección de la información será el principal objetivo de estas políticas y todos los procedimientos que se lleven a cabo tendrán como fin la seguridad de la misma.

· Cumplir las normas es deber de todo empleado, no importa su rango en la empresa, las normas los cobijan a todos, por lo tanto deben ser cumplidas en la misma medida.

· No todos los sistemas tendrán los mismos niveles de seguridad, se le dará más importancia a aquellos sistemas que sean transcendentales para la empresa y que por la pérdida, extravío o alteración de la información que contengan puedan causar costosos e irreparables daños dentro de esta.

· Los miembros de la empresa mediante el cumplimiento de las políticas de seguridad, estarán en plena facultad para desarrollar el sentido de la responsabilidad frente a la información a que tienen acceso.

· Será violación de las normas de seguridad, cualquier acto que permita que externamente se penetre la red de la empresa, o conlleve a pérdida, alteración o cualquier otra causa que pueda poner en peligro la confidencialidad de los procesos que lleva internamente la empresa.

· Los miembros de la organización serán capacitados en seguridad informática básica, esto les permitirá tener nociones acerca de cuáles son los riesgos que se pueden correr al descuidar cierta información.

La trascendencia de las PSI en la organización conlleva a la concientización del personal, sobre el alto grado de importancia y sensibilidad de la información y servicios, que le permiten a la empresa un crecimiento positivo y una estabilidad óptima. Por lo tanto es necesario, para implementar estas políticas, elaborar un plan que contenga los siguientes puntos:

· Llevar a cabo un análisis de los riesgos informáticos, para luego realizar un estimado del tipo y valor que representa, tanto la información como los activos de la empresa, para de este modo ajustar las PSI a la naturaleza de la misma.

· Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.

· Establecer un esquema de seguridad con la más debida claridad.

· Inculcar a todo el personal un sentido de pertenencia por todo lo que se encuentra en la organización, asimismo enfatizar en adentrarlos en el proceso de seguridad y a su vez que se vayan familiarizando con cada uno de los mecanismos ejecutados, buscando que se trabaje en total armonía.

· Destacar que todos y cada uno de las personas que hacen parte de la organización, automáticamente se convierten en interventores del sistema de seguridad, con el debido manejo y manipulación del mismo; estos pueden realizar sus respectivas opiniones y sugerencias, para una posible actualización o modificación a las PSI previamente pactadas.

· Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

· Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos de su área.

· Tener un monitoreo constante sobre las tareas ejecutadas, con el fin principal de verificar posibles fallas y de qué manera pueden formularse alternativas que conlleven al mejoramiento de las PSI.

ESTUDIO Y ANÁLISIS DE LOS RECURSOS INFORMÁTICOS ACTUALES

Para evaluar las posibles amenazas, causas y determinar las mejores políticas de seguridad de la información, es necesario realizar un estudio previo de todos y cada uno de los recursos tecnológicos y recursos humanos con que cuenta la empresa, de ésta manera ejecutar el plan y los procedimientos para aplicar efectivamente las políticas de seguridad informática en la empresa.

Amenazas posibles

Físico

· Robo de equipos informáticos.

· Incendio en las instalaciones.

· Fallas eléctricas en los equipos.

Lógico

· Robo de información.

· Virus Informáticos.

· Accesos no autorizados a los computadores y servidores.

Estas amenazas han hecho que las empresas creen documentos y normativas para regular el nivel de seguridad de su estructura interna, protegiéndolas así de ataques externos o de negligencia por parte de los propios empleados.

Hemos revisado las características generales de las PSI y los elementos implícitos en cada observación, pero ¿tenemos un esquema de cómo formularlas o establecerlas? Antes que nada, se debe hacer una evaluación de riesgos informáticos, para valorar los elementos sobre los cuales serán aplicadas las PSI.

Elementos de análisis para la seguridad informática

Número	Amenaza	Consecuencias	Ambiente	Mecanismos	Factor Humano
1	Ingreso de personas no autorizadas a las instalaciones	Robo de equipos informáticos y de información	Institución privada, dedicada a la ejecución de proyectos	Vigilantes en la institución	Descuido
2	Personas que no corresponden al uso de determinado terminal	Extracción de información ajena, ingreso de información falsa	Institución privada, dedicada a la ejecución de proyectos	Claves de seguridad de acceso al terminal	Descuido
3	Virus informáticos	Eliminación de información	Institución privada, dedicada a la ejecución de proyectos	Antivirus	No utilización y actualización de antivirus
4	Compartición de recursos y carpetas en la red	Eliminación, robo de información	Institución privada, dedicada a la ejecución de proyectos	Compartición de recursos con restricciones	Desconocimiento, personal confiado
5	Compartir las claves de acceso personal	Ingreso de personas ajenas al equipo, manipulación de datos	Institución privada, dedicada a la ejecución de proyectos	Asignar claves de acceso único para cada usuario	Personal confiado, desconocen consecuencias
6	No existe responsable del área de seguridad informática	No se evalúa, estudia y determina procedimientos y gestión de la seguridad de la información	Institución privada, dedicada a la ejecución de proyectos	Asignar las funciones de la Seguridad de la Información a una o varias personas	Descuido o falta de información de los directivos y administradores de la empresa

Análisis del sistema a proteger
En-core es una empresa dedicada a la investigación tecnológica para otras empresas del país, por tal motivo la empresa utiliza tecnología de punta y su principal materia de trabajo son los documentos, históricos y nuevos, generados por cada uno de los investigadores de la compañía.

Al ser una empresa que se dedica a la investigación, esta debe de contratar consultores externos constantemente para casos específicos, y también el personal interno debe de hacer estudios de campo, por este motivo es importante que la información generada, mantenga protegida y segura para evitar que caiga en manos de la competencia.

Valoración elementos de red

Recursos de la empresa		Importancia Riesgo (Ri)	Severidad de la pérdida(Wi)	Riesgo evaluado
Número	Nombre	Importancia Riesgo (Ri)	Severidad de la pérdida(Wi)	Riesgo evaluado
1	Servidores DNS	5	6	30
2	Routeres	8	9	72
3	Firewall	8	8	64
4	Servidor VPN	8	8	64
5	Sistema ERP	10	10	100
6	Sistema de backups	10	10	100
7	Base de datos	10	10	100
8	Switches	8	9	72
9	Server Active Direct	8	9	72
10	Server Sharepoint	10	10	100
11	Sistema IDS	5	5	25

Tablas de acceso

Nomenclaturas

R= Permiso de lectura o consulta.

W= Permiso de escritura.

X= Permiso de ejecución o uso.

A= Permiso de acceso al panel administrativo de dispositivos, es igual a tener todos los permisos sobre el recurso.

N= No tiene permisos.

Nombre del grupo	Recursos
Nombre del grupo	Impresoras	Red	ERP	Router	firewall	Herramientas control de acceso	Active Directory	Sharepoint
Gerencia	X	X	R, W	N	N	R	X	R, W
Ventas	X	X	R, W	N	N	N	X	R, W
Secretarias	X	X	R	N	N	N	X	R, W
Investigadores	X	X	N	N	N	N	X	R, W
Documentación	X	X	N	N	N	N	X	R, W
Sistemas	A	A	A	A	A	A	A	A
Consultores externos	N	X	N	N	N	N	N	R

PROGRAMA DE SEGURIDAD Y PLAN DE ACCIÓN

Se sustentan principalmente en lo siguiente:

· Las PSI tendrán una revisión periódica, se recomienda que sea semestral para realizar actualizaciones, modificaciones y ajustes basados en las recomendaciones y sugerencias de todo el personal.

· Todo usuario nuevo debe aceptar las condiciones de confidencialidad, de uso adecuado de los bienes informáticos y de la información.

· Realizar seguimiento de los usuarios nuevos y los que se dan de baja en la compañía.

· Prevenir el acceso no autorizado a los equipos de cómputo.

· Detectar actividades no autorizadas.

· Los administradores de centro de operaciones de cómputo, llenarán los formularios específicos para crear las listas de empleados de la empresa con el fin de asignarle los derechos correspondientes, equipo de cómputo, creación de usuario para la red (perfil de usuario en el Directorio Activo).

· Capacitación de seguridad informática, donde se den a conocer las obligaciones para los usuarios y las sanciones en que pueden incurrir en caso de incumplimiento.

· Protección de la información y de los bienes informáticos.

· Mantenimiento de equipos, encargado solo a un personal específico; los usuarios deberán asegurarse de respaldar en copias de respaldo o backups, la información que consideren relevante cuando el equipo sea enviado a reparación, y borrar aquella información sensible que se encuentre en el equipo, previendo así la pérdida involuntaria de información, derivada del proceso de reparación.

· Controles contra virus o software malicioso.

· Planes de Contingencia ante Desastre.

· Realizar registro y seguimiento de los eventos en el sistema.

MANUAL DE PROCEDIMIENTOS Y NORMATIVAS

Un procedimiento se define como una sucesión cronológica de operaciones concatenadas entre sí, con el objetivo de obtener un fin o meta. Como nuestra meta es mantener la seguridad de la organización, y mantener estable el algoritmo P-C, debemos contar con una serie de procedimientos que nos permitan responder de manera apropiada a las situaciones más comunes. Todos estos procedimientos se deben almacenar en un “manual de procedimientos” que debe ser seguido al pie de la letra.

Procedimiento para proveer programas de capacitación: Continua y efectiva para crear cultura para trabajadores en la compañía y protección de la información. La compañía debe contar con un programa para creación de la cultura en seguridad de la información, a todos los trabajadores, para asegurar que sean continuamente informados acerca de sus responsabilidades y de las posibles amenazas a la seguridad de la información.

Procedimiento de Cuentas: Se establece principalmente qué es una cuenta de usuario de cómputo, de qué se compone, a qué tipo de usuario le es otorgada, la persona encargada de asignar los roles, la creación de la misma y la comunicación. Nota: Las cuentas son otorgadas a usuarios legítimos y deben estar conformadas por un nombre de usuario y el respectivo password.

Procedimiento de alta de cuenta de usuario: Este procedimiento se lleva a cabo para cuando se requiere una cuenta de operación para cualquier usuario. Se debe llenar entonces un formulario en el que existan datos como:

a. Nombre y apellido

b. Puesto de trabajo

c. Jefe que avala el pedido

d. Trabajos a realizar en el sistema

e. Tipo de cuenta

f. Fecha de caducidad

g. Permisos de trabajo.

Procedimiento de baja de cuenta de usuario: Si un empleado de la organización se debe retirar, sea parcial o totalmente de la organización, debe realizarse un formulario en el que se indiquen, aparte de los datos del mismo, el tipo de alejamiento del usuario (parcial o total) para saber si se inhabilita su cuenta totalmente, o de manera temporal.

Procedimiento para la determinación de identificación del usuario y su grupo de pertenencia por defecto: Cuando se crea un usuario en el sistema, se le debe dar una identificación personal y al mismo tiempo, hacerlo parte de un grupo para que tenga ciertos beneficios. Cuando el usuario va a cambiar de perfil o de grupo, se necesita entonces un procedimiento que le indique a este los pasos para cambiar los derechos que posee.

Procedimiento para determinar los buenos passwords: Se debe tener un procedimiento para indicarles a los usuarios cuales son las características de los passwords que deben asignar a sus cuentas, como el número de caracteres, las características de los caracteres usados, etc. Es conveniente usar un programa crackeador (Crack) sobre el password del usuario para evaluar su seguridad.

Procedimiento de verificación de accesos: Como generamos logísticos de diferentes datos de los usuarios, estos logísticos deben ser auditados, para detectar anomalías en cuanto al comportamiento de los mismos y generar reportes de dichas auditorías, todo esto con el fin de verificar los accesos realizados por los usuarios de la organización a la red.

Procedimiento Uso Adecuado: Se especifica lo relativo a un uso adecuado o inadecuado del sistema por parte de los usuarios, asimismo lo que está permitido y prohibido dentro del mismo.

Procedimiento para el monitoreo de conexiones activas: Con este procedimiento se evita que el usuario deje su terminal abierta y que otro usuario pueda usarla de manera mal intencionada. Lo que se hace es detectar el tiempo de inactividad de las conexiones, y después de un determinado tiempo, se desactiva la conexión, y se genera un logístico con el acontecimiento.

Procedimiento para el monitoreo de los puertos en la red: Permite saber los puertos habilitados en la red y si funcionan de acuerdo a lo esperado.

Procedimiento para la verificación de las máquinas de los usuarios: Este procedimiento permite el escaneo de las máquinas de los usuarios para la detección de programas no autorizados, sin licencia o como fuente potencial de virus.

Procedimiento para el chequeo de gráficos de la red: Generar gráficos del tráfico de la red, para observar anomalías en la transferencia de información, el uso indebido de programas, etc.

Procedimiento para verificar el contenido descargado de internet: La finalidad de este procedimiento, es verificar si el contenido que es descargado de internet por los usuarios diariamente, corresponde a las labores que verdaderamente tienen que realizar y garantizar que este contenido no se encuentre infectado por virus.

Procedimiento para el chequeo de volúmenes de correo: Se usa para conocer los volúmenes de tráfico en los correos electrónicos de los usuarios. Con esto, se permite conocer el uso de los medios de comunicación, el spamming (ataque con correo basura), entre otros datos referentes a la comunicación o transferencia de información confidencial de la empresa.

Procedimiento para el bloqueo de páginas web: Este procedimiento permite el bloqueo de páginas web de entretenimiento público como Facebook, Twitter, Youtube, etc.

Procedimiento para realizar auditoría en cada dependencia: Procedimiento que nos permitiría saber si algún empleado está realizando fraude, robo o estafa.

Procedimiento para recuperar información: Un procedimiento sin duda muy importante, permite reconstruir todo el sistema, o parte de él, a través de los backups tomados periódicamente de la información.

Procedimiento de respaldos: Detalla cuál es el tipo de información que debe respaldarse, el lapso de tiempo, los medios para respaldar la información, el lugar donde se deben almacenar los backups.

Procedimiento para modificación de archivos: Es usado para detectar la modificación no autorizada de archivos, la integridad de los mismos, y para generar un rastro de las modificaciones realizadas.

Procedimiento de autorizaciones para instalación de software licenciado o libre: Cualquier software instalado en los sistemas de cómputo de la compañía, debe tener una licencia válida, deberá ser almacenado en un lugar central (servidor) y no puede ser copiado o duplicado, excepto si los términos o condiciones de uso de la licencia explícitamente lo permiten. El uso de software libre deberá ser analizado dentro de los procesos definidos y aprobados por el comité de Seguridad.

Procedimiento de gestión de cambios tecnológicos: Cada adquisición o cambio tecnológico debe asegurar el cumplimiento de la presente Política y sus respectivas normas.

Procedimiento para dar a conocer las nuevas normas de seguridad: Es muy importante que todos los usuarios conozcan las nuevas medidas de seguridad adoptadas por la empresa, por lo que se requiere un procedimiento que indique la manera en la que esta será llevada a cabo. Esto evita la excusa de los usuarios de “no conocía las normas”.

Procedimiento de escaneo antivirus: La compañía debe contar con un proceso controlado para realizar escaneos de información, semanales o mensuales, para garantizar fiabilidad y destruir posibles troyanos que afecten el sistema.

Procedimiento de veeduría externa de las PSI.

Procedimiento para identificación del problema presentado.

Procedimiento para la solución del problema presentado.

Procedimiento para solicitud, recibo o cambio de dispositivos.

Procedimiento para realizar mantenimiento a dispositivos.

Procedimiento de mantenimiento preventivo.

Procedimiento de mantenimiento correctivo.

Procedimiento para la configuración de los dispositivos.

Procedimiento de actualización mensual de las políticas, para implementarlas según los cambios o reforzar las ya utilizadas.

Procedimiento de publicación de eventos en la agenda de los usuarios, para que estos estén enterados de los acontecimientos de la empresa.

Procedimiento de asesoría para usuarios de Sistemas de Información.

Procedimiento de registro en la Red Administrativa.

Procedimiento de Actualización y mantenimiento sitio WEB.

Herramientas de control de acceso

SATAN (Security Administrator Tool for Analyzing Networks): Con esta herramienta se chequean las máquinas que están conectadas a la red, informando sobre el tipo de máquina conectada, los servicios que presta cada una, además de detectar fallos de seguridad. La lectura de sus datos es sencilla, a través de un navegador.

Califica los fallos encontrados en la máquina como baja, media o altamente insegura, generando un registro de esos fallos con una breve explicación e información (si se puede) sobre una posible solución. Con la información obtenida de todas las máquinas registradas genera una base de datos.

Courtney: SATAN es muy buena herramienta para detectar topologías de redes por lo que se necesita otra que detecte a SATAN; con esta la detectamos a partir de información pasada por el programa TcpDump. Al detectar un continuo chequeo de puertos en un lapso corto de tiempo, el programa genera un aviso.

NetLog: Hay ataques a una red que pueden pasar desapercibidos por su extremada velocidad; esta vulnerabilidad se puede corregir con este programa que en realidad es una serie de programas que trabajan conjuntamente, generando trazas de los paquetes que se mueven en la red, sobre todo los sospechosos que indican un posible ataque a la red. Al igual que el Argus, el Netlog también permite filtrar contenidos y ver solo los de interés.

Nocol (Network Operations Center On-Line): Esta herramienta, está hecha de diversos paquetes para monitorear redes. Recopila, analiza, agrupa y le asigna niveles de gravedad a la información (info, warning, error, crítical), siendo manejada cada gravedad por distintos agentes, para filtrarla y analizar la que nos interesa.

ISS (Internet Security Scanner): Con esta herramienta chequeamos el nivel de seguridad de una máquina evaluando servicios y direcciones IP; también se ven los puertos que usan el protocolo TCP de la máquina analizada. Así mismo transferimos archivos de contraseñas por la red, creando un registro de la máquina que posee tal contraseña con su dirección IP.

Herramientas para la integridad del sistema

COPS (Computer Oracle and Password System): Con este programa chequeamos aspectos de seguridad relacionados al sistema operativo UNIX; por ejemplo permisos a determinados archivos, chequeo de passwords débiles, permisos de escritura y lectura sobre elementos importantes de la configuración de red, entre otras funcionalidades.

Tiger: Parecido al COPS. Chequea la seguridad del sistema para detectar problemas y vulnerabilidades, elementos como:

· Configuración general del sistema

· Sistema de archivos

· Caminos de búsqueda generados

· Alias y cuentas de usuarios

· Configuraciones de usuarios

· Chequeo de servicios

· Comprobación de archivos binarios

La información que se recoge se almacena en un archivo, que luego se analiza con una herramienta que permite explicar los elementos del archivo. También se puede seleccionar el tipo de chequeo del sistema.

Crack: Nos sirve para “forzar” las contraseñas de los usuarios midiendo el grado de complejidad de estas. Así se genera un diccionario y reglas que ayudan a crear passwords comunes. Como se está usando para chequear la seguridad del sistema, le proveemos el archivo de passwords y el programa lo barre detectando las contraseñas débiles y vulnerables, tratando de deducir contraseñas del archivo cifrado de nuestro sistema.

Es necesario el barrido periódico del programa “Crack” sobre nuestro sistema, para así notificar a los dueños de las respectivas contraseñas sobre la necesidad de cambiarlas y aumentar la seguridad en caso de ser víctimas de un ataque con un craqueador.

Tripwire: Su función principal es la de detectar cualquier cambio o modificación en el sistema de archivos, como modificaciones no autorizadas o alteraciones maliciosas de algunos softwares.

El programa genera una base de datos en la que genera una “firma” o archivo identificador por cada elemento en el sistema de archivos. La firma guarda información relevante como el nombre del propietario del archivo, última fecha de modificación, última fecha de acceso, etc. Esta base de datos de firmas, se compara a voluntad con una nueva base de datos para detectar las modificaciones en los archivos del sistema.

Es útil esta base de datos, para hacer comparaciones periódicas y así detectar cambios, y que esta sea actualizada cada vez que se ingresa un elemento nuevo al sistema de manera autorizada.

Cpm (Check Promiscuous Mode): ¿Qué es el modo promiscuo? En una red el modo promiscuo se define como aquel en que una máquina, o conjunto de máquinas, se encuentran “escuchando” todo el tráfico de la red.

Aunque es importante tener máquinas en modo promiscuo para correr archivos de protección de la red, así mismo funcionan los olfateadores o “sniffers”, que podemos detectar con el Cpm; por eso es necesario correr el Cpm en nuestro sistema para cazar olfateadores que puedan estar recogiendo información de las contraseñas de la red.

Trinux: Es un conjunto de herramientas para monitorear redes con el protocolo TCP-IP. Es usada directamente desde el dispositivo de almacenamiento en que se encuentra, corriendo enteramente en la memoria RAM del computador

Con este paquete de aplicaciones se controla el tráfico de mails, herramientas básicas de redes, detector de sniffers, y herramientas de seguridad para los servidores de nuestra organización.