La política de seguridad define qué es lo que desea
proteger y qué espera de los usuarios del sistema.
La política de seguridad proporciona una base para la
planificación de la seguridad al diseñar nuevas aplicaciones o ampliar la red
actual. Describe responsabilidades del usuario como las de proteger
información confidencial y crear contraseñas no
triviales.
Nota: Debe crear y establecer una política de seguridad en
su compañía que minimice los riesgos de la red interna. Las
características de seguridad inherentes del sistema operativo
IBM® i,
si se configuran correctamente, le permiten minimizar muchos
riesgos. No obstante, cuando conecte el sistema a Internet, deberá
proporcionar medidas de seguridad adicionales que garanticen la
seguridad de la red interna.
El uso del acceso a Internet en actividades empresariales lleva asociado
muchos riesgos. Siempre que cree una política de seguridad, deberá sopesar el
suministro de servicios con el control del acceso a las funciones y los
datos. En los sistemas conectados en red, la seguridad es más difícil porque el
propio canal de comunicaciones está abierto a los ataques.
Algunos servicios de Internet son más vulnerables a ciertos tipos de ataques que otros. Por lo tanto, es
fundamental que comprenda los riesgos que supone cada servicio que se proponga
utilizar o prestar. Además, el conocimiento de los posibles riesgos de
seguridad ayuda a determinar un conjunto claro de objetivos de
seguridad.
En Internet hay determinados individuos que suponen una amenaza para la seguridad de las comunicaciones por Internet. En
la siguiente lista se describen algunos de los riesgos de seguridad más típicos con los que se puede
encontrar:
Ataques pasivos
En un ataque pasivo, el autor
supervisa el tráfico de la red para intentar conocer algunos
secretos. Estos ataques se pueden basar en la red (rastreando los enlaces de
comunicaciones) o en el sistema (sustituyendo un componente del sistema por un
programa caballo de Troya que captura los datos clandestinamente). Los ataques
pasivos son los más difíciles de detectar. Por ello, deberá presuponer que
alguien está a la escucha de todo lo que envía por Internet.
Ataques
activos
En un ataque activo, el autor intenta abrirse paso
a través de sus defensas para entrar en los sistemas de la red. Hay varios tipos de ataques activos:
- En los intentos de acceso al sistema, el atacante
intenta aprovechar las brechas de seguridad para acceder a un cliente o un sistema
y controlarlo.
- En los ataques de usurpación , el atacante intenta abrirse paso a través de sus defensas haciéndose pasar
por un sistema de confianza o bien un usuario intenta persuadirle de que le envíe
información secreta.
- En los ataques de denegación de servicio, el
atacante intenta interferir en las operaciones o detenerlas,
redirigiendo el tráfico o bombardeando el sistema con correo basura.
- En los ataques criptográficos, el atacante intenta
adivinar o robar las contraseñas o bien utiliza herramientas especializadas para
intentar descifrar los datos cifrados.
Múltiples capas de defensa
Como los riesgos potenciales de Internet se pueden producir en varios
niveles, deberá configurar medidas de seguridad que ofrezcan múltiples capas de
defensa contra los riesgos. En general, cuando se conecte a Internet, no debe
preguntarse si hay alguna posibilidad de que se
produzcan intrusiones o ataques de denegación de servicio. Por el contrario,
debe dar por sentado que sí se producirán problemas de
seguridad. De esta forma, la mejor defensa será un ataque proactivo y
deliberado. El uso de un enfoque por capas al planificar la estrategia de
seguridad de Internet garantiza que el atacante que logre penetrar en una de las capas
de defensa será detenido en una capa ulterior.
La estrategia de
seguridad debe incluir medidas que ofrezcan protección en las
siguientes capas del modelo informático de red tradicional. En general,
debe planificar la seguridad desde el nivel más
básico (seguridad del sistema) hasta el nivel más complejo (seguridad de
transacciones).
- Seguridad a nivel de sistema
- Las medidas de seguridad del sistema representan la última línea de
defensa contra un problema de seguridad relacionado con
Internet. Por lo tanto, el primer paso de una estrategia de seguridad
en Internet completa debe ser configurar debidamente la seguridad
básica del sistema.
- Seguridad a nivel de red
- Las medidas de seguridad de la red controlan el acceso al sistema operativo
i5/OS
y a otros sistemas de la red. Cuando conecta la red a Internet, debe
asegurarse de que tiene implantadas las debidas medidas de seguridad
adecuadas a nivel de la red para proteger los recursos internos de la red
contra la intrusión y el acceso no autorizado. El medio más común para
garantizar la seguridad de la red es un cortafuegos.
El proveedor de servicios de Internet (ISP) puede proporcionar una
parte importante del plan de seguridad de la red. El esquema de
seguridad de la red debe indicar qué medidas de seguridad
proporciona el ISP, como las reglas de filtrado de la conexión del
direccionador del ISP y las medidas de precaución del sistema de nombres de
dominio (DNS) público.
- Seguridad a nivel de aplicaciones
- Las medidas de seguridad a nivel de aplicaciones controlan cómo pueden
interaccionar los usuarios con las aplicaciones concretas. En general, tendrá
que configurar valores de seguridad para cada una de las aplicaciones que
utilice. Sin embargo, conviene que preste una atención especial al
configurar la seguridad de las aplicaciones y los servicios que
utilizará de Internet o que proporcionará a Internet. Estas aplicaciones y
servicios son vulnerables al mal uso por parte de los usuarios no autorizados
que buscan una manera de acceder a los sistemas de la red. Las medidas de seguridad que decida utilizar deberán incluir los riesgos del lado del servidor y del lado del cliente.
- Seguridad a nivel de transmisión
- Las medidas de seguridad a nivel de
transmisión protegen las comunicaciones de datos dentro de la red y entre
varias redes. Cuando se comunica en una red que no es de confianza como
Internet, no puede controlar cómo fluye el tráfico desde el origen hasta el
destino.
El tráfico y los datos transportados fluyen a través de distintos
sistemas que están fuera de su control. A menos que implante medidas de
seguridad como las de configurar las aplicaciones para que utilicen la capa
de sockets segura (SSL), los datos direccionados estarán a disposición de cualquier persona
que desee verlos y utilizarlos. Las medidas de seguridad a nivel de transmisión
protegen los datos mientras fluyen entre los límites de otros niveles de
seguridad.
Cuando elabore una política de seguridad global de Internet, deberá desarrollar individualmente una
estrategia de seguridad para cada capa. Asimismo, deberá describir cómo
interaccionarán entre sí los distintos conjuntos de estrategias para ofrecer
así a su empresa una red de seguridad exhaustiva.