Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Definición de políticas de seguridad informática de los servidores y

Anuncio 
Definición de políticas de seguridad
informática de los servidores y sitios web
del Sistema de Investigación de la
Universidad Nacional - SIUN
Disposiciones generales
Introducción
En este documento se señalan diversos agentes, relacionados con la seguridad de la información, encaminados
a definir un conjunto de prácticas y lineamientos para mantener la seguridad de los servidores y sitios web del
Sistema de Investigación de la UN - SIUN.
Términos y definiciones
Para los propósitos de estandarizar y precisar los aspectos que intervienen en el presente documento, se
establecen los siguientes términos y definiciones1:








1
Activo: cualquier cosa que tenga valor para la organización (información).
Confidencialidad: la propiedad que un activo esté disponible y no sea divulgado a personas, entidades
o procesos no autorizados.
Integridad: propiedad de salvaguardar la exactitud e integridad de los activos
Disponibilidad: la propiedad de un activo de estar disponible y utilizable cuando lo requiera una
persona, entidad o proceso autorizados.
Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la
información.
Política: arte o traza con que se conduce un asunto o se emplean los medios para alcanzar un fin
determinado2. Declaración de los principios que presenta la posición de la administración para un área
de control definida3.
Evento de seguridad de la información: una ocurrencia identificada del estado de un sistema, servicio
o red indicando una posible violación de la política de seguridad de la información o falla en las
salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad.
Incidente de seguridad de la información: un solo, o una serie, de eventos de seguridad de la
información no deseados o inesperados que tienen una significativa probabilidad de comprometer los
procesos y amenazan la seguridad de la información.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION E INTERNATIONAL ELECTROTECHNICAL COMMISSION. ISO/IEC27001:2005. Primera edición.
2
REAL ACADEMIA DE LA LENGUA ESPAÑOLA. “político, ca”. {En línea}. {23 septiembre 2014}. Disponible en:
(http://buscon.rae.es/drae/srv/search?id=N8z4PHRJ5DXX20xsnrZh).
3
UNIVERSIDAD NACIONAL DE COLOMBIA. CONSEJO SUPERIOR UNIVERSITARIO. Acuerdo 046 de 2009: Por el cual se
definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la Universidad Nacional de
Colombia.





Usuario: persona que usa una cosa con cierta limitación.
Cuenta de usuario: una instancia que permite identificar al usuario de un sistema informático para
hacer uso del mismo.
Servidor: Unidad informática que proporciona diversos servicios a computadoras conectadas con ella a
través de una red4.
Sitio web: conjunto de páginas relacionadas y comunes a un dominio.
CMS: Content Management System (Sistema de Administración de Contenidos) es el sistema que
administra los contenidos que son cargados y publicados en un sitio web.
Objetivos
Objetivo general
 Definir prácticas mediante las cuales se preserve la seguridad de la información de los servidores y
sitios web del Sistema de Investigación de la UN – SIUN.
Objetivos específicos
 Concienciar a los usuarios sobre la necesidad e importancia de comprender los riesgos de seguridad
informática de los servidores y sitios web del Sistema de Investigación de la UN - SIUN.
 Adoptar y ejecutar un conjunto de lineamientos para establecer buenas prácticas de uso de la
infraestructura tecnológica con el que se minimice la probabilidad de ocurrencia de incidentes
informáticos (control del riesgo informático) de los servidores y sitios web del SIUN y se pueda
responder a eventos inesperados e indeseados.
Alcance


Con base en estas políticas, se establecen los procedimientos que se aplican a la seguridad informática
de los servidores y sitios web del Sistema de Investigación de la UN – SIUN.
Las directrices aquí definidas aplican a los usuarios de los servidores y sitios web del Sistema de
Investigación de la UN – SIUN.
Justificación
La interconexión, casi generalizada, de diversos sistemas y redes de internet, que se extiende mucho más allá
de los límites nacionales, ha propiciado una infraestructura operativa que abarca diversos sectores que
intercambian grandes volúmenes de información. Ésta hace que los sistemas y redes individuales sean más
vulnerables ya que están expuestos a una gran variedad de amenazas que pueden ocasionar pérdida,
alteración o propagación no autorizada de la información.
Para identificar amenazas, es necesario conocer los diversos tipos de ataques y los propósitos de quienes los
llevan a cabo. Los tipos más comunes son: la falta de actualizaciones de seguridad, procedimientos de inicio de
sesión defectuosos y la falta de conocimientos sobre vulnerabilidades informáticas5.
4
REAL ACADEMIA DE LA LENGUA ESPAÑOLA. “servidor, ra”. {En línea}. {23 septiembre 2014}. Disponible en:
(http://lema.rae.es/drae/srv/search?id=OAM4DFt4b2x5Nhp2owJ).
5
SEGURIDAD INFORMÁTICA: NOTICIAS DE SEGURIDAD INFORMÁTICA. “5 de fallas de seguridad de tu sitio web que
puedes solucionar ¡ya!”. {En línea}. {23 septiembre 2014}. Disponible en: (https://seguinfo.wordpress.com/2012/08/27/5de-fallas-de-seguridad-de-tu-sitio-web-que-puedes-solucionar-ya/).
Es de resaltar que gran parte de los incidentes de seguridad de la información ocurren por el desconocimiento
o descuido de los usuarios que intervienen en el sistema o por la ausencia de mecanismos de control de riesgos
informáticos.
Los siguientes apartados justifican completamente la necesidad de definir e implementar un conjunto de
políticas que, mediante la evaluación del riesgo informático al cual el sistema está expuesto, los anticipe y que
minimice la posibilidad de ocurrencia de incidentes informáticos.
Antecedentes
Los días 27 y 28 de marzo de 2014, por solicitud de profesor Alexander Gómez Mejía, como vicerrector de
investigación, se contactó a Alexis Miguel Taborda, jefe de la Oficina de Tecnologías de Información y
Comunicaciones de la sede Manizales, quien realizó una visita a las instalaciones de la Vicerrectoría de
Investigación con el objetivo de “evaluar la pertinencia de la contratación de una auditoría en seguridad
informática con el fin de minimizar ataques a la infraestructura Hermes y a las otras páginas adscritas a la
Vicerrectoría de Investigación”6.
El informe ejecutivo de la visita recomienda, entre otras cosas, lo siguiente:
1. Realizar la definición inmediata el CMS estándar de la Universidad.
2. Migrar de manera inmediata los portales que se encuentran en Joomla 1.5 al CMS que se defina.
3. Definir el procedimiento de actualizaciones de versión en el CMS definido y las diferentes extensiones
para que, inmediatamente salga la nueva versión, se inicie el proceso de migración.
4. Definir el procedimiento para las actualizaciones de los servicios y sistema operativo de los servidores
en cuanto salgan las nuevas versiones de los mismos.
5. Definir el procedimiento de administración de contraseñas.
6. Realizar un análisis de vulnerabilidades automatizado que encuentre fallas comunes en los aplicativos.
7. Elaborar un procedimiento de auditorías internas para verificar el cumplimiento de los procedimientos
antes mencionados.
Ataques comunes a sitios y servidores web
Inyección SQL
Los ataques de inyección, más específicamente SQLI (Structured Query Language Injection), es una técnica para
modificar una cadena de consulta de base de datos mediante la inyección de código en la consulta. El SQLI
explota una posible vulnerabilidad donde las consultas se pueden ejecutar con los datos validados. Puede ser
utilizada para obtener acceso a las tablas de bases de datos, incluyendo información del usuario y la
contraseña.
Los ataques de inyección SQL se producen cuando un hacker intenta insertar comandos SQL en los campos de
la página web. En el caso de que un dato contenga una comilla simple (‘) al final de un nombre de usuario, su
base de datos podría ver esto como una consulta SQL construida. Debido a esto, se podría recibir datos de una
consulta SQL.
6
ALEXIS MIGUEL TABORDA SALAZAR. Oficio CC-067: Resumen de informe de visita e Informe final de la visita efectuada a
la Vicerrectoría de Investigación los días 27 y 28 de marzo de 2014.
DDoS
La Denegación de Servicio – DoS o Denegación de Servicio Distribuida - DDoS son las formas más comunes para
congelar el funcionamiento de un sitio web. Estos son los intentos de inundar un sitio con solicitudes externas,
por lo que ese sitio no podría estar disponible para los usuarios reales. Los ataques de denegación de servicio
por lo general se dirigen a puertos específicos, rangos de IP o redes completas, pero se pueden dirigir a
cualquier dispositivo o servicio conectado.
Fuerza Bruta
Básicamente se intenta “romper” todas las combinaciones posibles de nombre de usuario y contraseña en una
página web. Los ataques de fuerza bruta buscan contraseñas débiles para ser descifradas y tener acceso de
forma fácil.
Cross Site Scripting
Los atacantes utilizan Cross Site Scripting - XSS para inyectar scripts maliciosos en lo que serían sitios web
inofensivos. Debido a que estos scripts parecen provenir de sitios web de confianza, el navegador de los
usuarios finales casi siempre ejecuta la secuencia de comandos, la concesión de los piratas informáticos el
acceso a la información contenida en las cookies o tokens de sesión utilizados con ese sitio. El XSS
generalmente se utiliza para obtener acceso de un usuario de la cuenta.
Defacement
Es un ataque a un sitio web que cambia el aspecto visual del sitio o una página web. Estos son por lo general el
trabajo de los crackers de sistemas, que irrumpen en un servidor web y sustituyen el sitio web alojado con uno
de los suyos. Defacement se entiende generalmente como una especie de grafiti electrónico, aunque
recientemente se ha convertido en un medio para difundir mensajes por motivos políticos "manifestantes
cibernéticos" o hacktivistas.
Ingeniería social
Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una
técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes
informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan
realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil".
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo
ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o
un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de
acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a
revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros
sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones,
-por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener
que encontrar agujeros de seguridad en los sistemas informáticos.
Fallas al restringir acceso URL.
Una página en el sitio que no sea no validada puede permitir el acceso áreas restringidas mediante la
manipulación de la URL otorgando permisos administrativos a un atacante. Por ejemplo tener una página
admin.php como centro de control y no validar su acceso.
Forwards y Redirects no validados.
Permitir que el sitio web envíe a sus visitantes a otra página o sitio sin validar puede dejarlos caer en sitios de
phising o malware, lo cual es inconveniente para su reputación.
Inclusión de ficheros remotos (RFI Remote File Inclusion)
El RFI es uno de los ataques favoritos contra (o a través) de páginas web para los hackers, en 2011 se situó
entre los cuatro ataques más comunes contra páginas web. Este tipo de ataques es tan popular ya que a través
de una explotación exitosa de la vulnerabilidad obtener el control del servidor de la web y además permite un
realizar defacements de manera relativamente sencilla.
RFI o LFI es posible gracias a la existencia de parámetros vulnerables en el código PHP en las páginas web que
referencian a objetos externos sin filtrarlos.
El ataque RFI es posible solo en páginas web que cumplan con ciertos requisitos:


Primero deben tener código PHP, ya que permite enlace a archivos remotos. Actualmente se calcula
que tres cuartas partes de las webs contienen código PHP, entre ellas Facebook, Wikipedia y
WordPress.
La programación del código debe contener errores básicos de seguridad, aunque mucho más comunes
de lo que se pueda pensar, como la falta de filtrado de los datos.
El problema aparece si el código de las funciones que toman archivos externos no está suficientemente
filtrado, en ese caso se podría crear una petición manipulada a través de la cual se podría ejecutar código,
añadir ficheros... directamente en el servidor.
Fuga de información
Mas que ser un ataque, es un error del administrador del sitio, el cual consiste en dejar público el registro de
errores, lo que facilita al atacante ver las fallas exactas del sistema, tomar provecho de estas, y obtener el
control parcial o total del sitio.
Marco normativo
La normativa relacionada con las políticas de seguridad, que en este documento se definen, se relata a
continuación:
Normativa internacional
 ISO/IEC 27001: proporciona un modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
 ISO/IEC 27002: proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de
la información a todos los interesados y responsables en iniciar, implantar o mantener un Sistema de
Gestión de la Seguridad de la Información (SGSI).
 ISO/IEC 27005: proporciona directrices para la gestión del riesgo de seguridad de la información en una
organización.
 Directrices de la OCDE (Organization for Economic Co-operation and Development) para la seguridad
de sistemas y redes de información: Hacia una cultura de seguridad.
Normativa nacional e institucional
 Ley 1273 de 2009: “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico
tutelado - denominado de la protección de la información y de los datos y se preservan integralmente
los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras
disposiciones”.
 Acuerdo 046 de 2009 – CSU: “Por el cual se definen y aprueban las políticas de Informática y
Comunicaciones que se aplicarán en la Universidad Nacional de Colombia”.
 Guía para la elaboración de políticas de seguridad – Dirección Nacional de Informática y
Comunicaciones.
Lineamientos generales
Principios
Los principios que dirigen la definición de las políticas de seguridad, y que son transversales a la aplicación de
las mismas, son la implementación de las directrices de la OCDE para la seguridad de sistemas y redes de
información.
1. Concienciación: los usuarios de los servidores y sitios web del SIUN deberán ser conscientes de la
necesidad de contar con un sistema seguro y conocer los modos de mejorar la seguridad.
2. Responsabilidad: todos los usuarios son responsables de la seguridad de los servidores y sitios web del
SIUN, según aplique.
3. Respuesta: los usuarios de los servidores y sitios web del SIUN deben actuar de manera adecuada y
conjunta para prevenir, detectar y solucionar incidentes de seguridad de la información.
4. Ética: los usuarios de los servidores y sitios web del SIUN deben respetar los intereses legítimos de
terceros. Es decir, reconocer que sus acciones o la falta de ellas ocasionan daños a terceros.
5. Democracia: la seguridad de los servidores y sitios web del SIUN debe ser compatible con los valores
esenciales de una sociedad democrática.
6. Evaluación del riesgo: los usuarios de los servidores y sitios web del SIUN deben llevar a cabo
evaluaciones de riesgo informático.
7. Diseño y realización de la seguridad: los usuarios de los servidores y sitios web del SIUN deben
incorporar la seguridad como un elemento fundamental de todos los productos.
8. Gestión de la seguridad: los usuarios de los servidores y sitios web del SIUN deben adoptar una visión
integral de la administración de la seguridad informática en aras de crear un sistema coherente de
seguridad.
9. Reevaluación: los usuarios de los servidores y sitios web del SIUN deben revisar, reevaluar y realizar las
modificaciones adecuadas sobre políticas, prácticas, medidas y procedimientos de seguridad.
Centralización
La información almacenada en los sitios web del SIUN, hospedados en sus servidores, estará concentrada bajo
un mismo CMS con el objeto de mantener la organización y estandarización de la estructura y la presentación
de sus contenidos.
Políticas de seguridad
Las siguientes políticas, complementarias entre sí, son de interés y aplicabilidad general y en todos los niveles,
tanto en el ámbito administrativo y técnico. Conservan una clasificación respondiendo al conjunto de riesgos
que comprometen la seguridad de la información.
Responsabilidades
1. El SIUN tendrá como responsabilidad definir, aplicar, evaluar y modificar las políticas de seguridad de
sus servidores y sitios web, así como establecer la frecuencia de su actualización.
2. Todos los usuarios de los servidores y sitios web del SIUN deberán aplicar las políticas de seguridad de
los sitios web del SIUN y el SIUN hará seguimiento de su cumplimiento.
Acceso físico
1. La Dirección Nacional de Tecnologías de la Información y las Comunicaciones – DNTIC será la
responsable de la administración física de los servidores del SIUN, del acceso físico a ellos y de la
regulación de la energía para su correcto funcionamiento.
Acceso lógico
Gestión de cuentas de usuario
1. Perfiles de usuario: se clasificarán las cuentas de usuario, con los privilegios adecuados sobre el CMS y
sin llegar a ser sobredimensionados, de acuerdo a la responsabilidad, actividades laborales y
dependencia a la que pertenezca un usuario de los sitios web del SIUN.
2. Administración de cuentas de usuario: es responsabilidad de las dependencias usuarias designar un
administrador que creará, asignará, mantendrá y eliminará las cuentas de usuario, con el perfil
adecuado, para la administración de contenidos del sitio web correspondiente.
3. Cuentas de usuario de base de datos: los administradores de los servidores, dónde se encuentran
alojados sitios web, deberán crear un usuario de base de datos diferente para cada sitio web y
proporcionarle acceso sólo a la base de datos del sitio web específico, restringiendo sus permisos a:
‘SELECT’, ‘INSERT’, ‘UPDATE’, ‘DELETE’, ‘FILE’ y ‘CREATE TEMPORARY TABLES’, y añadir otros permisos
sólo si es necesario para el funcionamiento del sitio.
4. Nombres de cuentas de usuario: la asignación de los nombres de cuentas de usuario no debe ser
arbitraria. Deberá cumplir las siguientes características:
a. Debe reflejar el cargo o la función que el usuario desempeña y la dependencia a la que
pertenece.
b. No debe estar relacionado con el nombre del sitio web, del cargo, función o información del
funcionario asociado.
Gestión de contraseñas
1. Asignación de contraseñas: se fijarán contraseñas a las cuentas de usuario que se asignen por primera
vez a un usuario particular, quien deberá cambiarla posteriormente.
2. Responsabilidad de las credenciales de acceso: cada usuario es responsable de sus credenciales de
acceso, es decir, del usuario y contraseña necesarios para acceder a la información e infraestructura
tecnológica.
3. Confidencialidad de las credenciales de acceso: las credenciales de acceso son personales e
intransferibles, no se deben prestar a otras personas para que accedan a los sitios o servidores web.
4. Confiabilidad de las contraseñas: al momento de cambiar o asignar una contraseña, ésta debe reunir
las siguientes cualidades:
a. La cantidad mínima de caracteres que debe contener la contraseña es ocho (8).
b. La contraseña debe contener al menos un carácter de cada uno de los siguientes tipos: letra
minúscula, letra mayúscula, número y símbolo.
5. Cambio de contraseñas: la frecuencia con la que se deben cambiar las contraseñas, asociadas a cada
cuenta de usuario, debe ser semestral.
6. Contraseñas de cuentas de usuario de bases de datos: las contraseñas de las cuentas de usuario de
base de datos deben ser diferentes para cada una y cumplir las políticas de confiabilidad y cambio de
contraseñas.
Recomendaciones
A continuación se hacen algunas recomendaciones sobre la gestión de contraseñas:




La contraseña no debe contener, explícitamente, información del usuario ni de la cuenta de usuario,
como nombres, apellidos, fechas, funciones, entre otra.
Al momento de cambiar una contraseña, comprobar que la nueva contraseña no se parece a las
contraseñas anteriormente asociadas a una misma cuenta de usuario.
Las credenciales de acceso deben ser memorizadas, no escritas en papel y no guardadas en medios
magnéticos.
Los usuarios deberán mantener sus equipos de cómputo con controles de acceso como contraseñas y
protectores de pantalla, como una medida de seguridad cuando el usuario se ausente temporalmente.
Gestión de actualización de software
1. Licencias: verificar las licencias de las extensiones que se van a instalar en los sitios, en lo posible,
utilizar únicamente las recomendadas por la comunidad de desarrollo del CMS en sitios web oficiales.
2. Extensión de seguridad: realizar la instalación de una extensión/componente de seguridad
recomendado en los sitios oficiales de la comunidad de desarrollo del CMS. Para el caso del CMS
Joomla, usar Security – jHackGuard.
3. Acceso a la plataforma de administración de contenidos: modificar el acceso a la plataforma de
administración de contenidos a través de la instalación de un componente o de la implementación de
una ruta-clave que sólo deberán conocer quienes tengan acceso autorizado. Para el caso del CMS
Joomla, usar JSecure.
4. Actualización de componentes: es prioridad mantener los componentes de los servidores y del CMS de
los sitios web en su última versión disponible. Para lograr esto, se deberá hacer, cada mes, un
inventario de los componentes y revisar si hay actualizaciones disponibles. Siempre que se instale o
desinstale un componente actualizar el formato del inventario. (Ver anexo 1 – Inventario
componentes)
5. Actualizaciones de seguridad: aplicar los parches de seguridad a los sistemas operativos de los
servidores.
6. Disponibilidad de servicios e información: verificar y deshabilitar aquellos servicios que no se
requieren, como ‘telnet’ y ‘ftp’, y eliminar, renombrar o cambiar de ubicación los archivos que
proporcionen información del sistema, como los archivos ‘info.php’ y ‘configuration.php-dist’.
7. Archivos de configuración: cambiar el archivo ‘htaccess.txt’ por ‘.htaccess’ y anexar directrices de
seguridad, como:
a. Restringir el acceso a archivos sensibles.
b. Evitar ejecución de archivos en los directorios de imágenes, log, tmp, entre otros.
c. Restringir el acceso a aquellas IP que se detecten sospechosas en los logs del servidor.
Gestión de hardware
1. Soporte técnico: contratar el servicio de soporte técnico para los servidores que incluya, el soporte de
hardware en sitio, el reemplazo de partes defectuosas y garantía sobre lo componentes
proporcionados.
Gestión de copias de respaldo
1. Copias de respaldo: los responsables de los servidores donde se alojen los sitios web del SIUN deberán
realizar copias de respaldo de los recursos y las bases de datos de los mismos siguiendo el esquema de
“Backups - Sitios web VRI” y realizar pruebas periódicas de la integridad de los backups.
2. Copias de respaldo para pruebas: a petición de los responsables de los sitios web y para propósitos
experimentales, los administradores de los servidores deberán proporcionar copias del sitio web en
producción y de la base de datos.
3. Recuperación de servicios: es responsabilidad del administrador del servidor recuperar el servicio del
sitio web, en el mismo servidor o en otro, en caso de que ocurra una falla o incidente, dentro de las
siguientes 24 horas posteriores al suceso.
Gestión de cambios
1. Administración de contenidos: es responsabilidad de las dependencias usuarias la administración de
los sitios web que les corresponda y la asignación del personal encargado del manejo y mantenimiento,
en cuanto a consulta, ingreso, modificación, eliminación y/o divulgación, de la información almacenada
en los sitios web que les corresponda.
2. Instalación y/o actualización de componentes: para realizar la instalación o actualización de una
extensión, componente, plantilla, idioma o plugin en el CMS de los sitios web, se debe realizar una
prueba inicial en un equipo local con la última versión del sitio web y de la extensión, para lo cual se
debe solicitar al administrador del servidor una copia de la última versión del sitio y, tras el éxito de la
prueba, se podrá realizar la instalación o actualización en el servidor.
Mantenimiento de políticas
Auditorías
1. Auditorías internas: una vez implementada la presente política se debe llevar a cabo al menos una
auditoría semestralmente la cual evaluará el cumplimiento de lo dispuesto en el presente documento.
Los anexos 6 y 7 disponen de los formatos que se deben utilizar para la planeación y presentación de
informe de la auditoría.
2. Auditorías externas: con al menos una frecuencia anual se debe gestionar la realización de una
auditoría externa, que esté basada en riesgos, con el fin de adoptar la medidas pertinentes y realizar la
actualización a la política de seguridad con base en los resultados reportados. Se debe considerar la
consecución de los permisos necesarios de acuerdo al alcance de la auditoría, en caso de que pueda
haber afectación de la disponibilidad de los servicios.
Bibliografía











INTERNATIONAL ORGANIZATION FOR STANDARDIZATION E INTERNATIONAL ELECTROTECHNICAL
COMMISSION. ISO/IEC-27001:2005. Primera edición.
ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. Directrices para la seguridad de
sistemas y redes de información: Hacia una cultura de seguridad. 2001.
UNIVERSIDAD NACIONAL DE COLOMBIA. CONSEJO SUPERIOR UNIVERSITARIO. Acuerdo 046 de 2009:
Por el cual se definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la
Universidad Nacional de Colombia.
.SEGURIDAD: CULTURA DE PREVENCIÓN PARA TI. “Seguridad de la información”. Disponible en:
(http://revista.seguridad.unam.mx/).
WIKILIBROS. “Mejores prácticas para redes de datos. Definición de contraseñas”. Disponible en:
(http://es.wikibooks.org/wiki/Mejores_pr%C3%A1cticas_para_redes_de_datos/Definici%C3%B3n_de_
contrase%C3%B1as).
HOSTDIME BOLG. “Tipos De Ataques Más Comunes A Sitios Web Y Servidores”. Disponible en:
(http://www.hostdime.com.co/blog/tipos-de-ataques-mas-comunes-a-sitios-web-y-servidores/).
WIKIPEDIA. “Website defacement”. Disponible en:
(http://en.wikipedia.org/wiki/Website_defacement).
WIKIPEDIA. “Ingeniería social (seguridad informática)”. Disponible en:
(http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform%C3%A1tica%29).
NOVACREAIONS. “Protegiendo tu sitio web de las vulnerabilidades más comunes”. Disponible en:
(http://novacreations.net/diez-vulnerabilidades-aplicaciones-web/).
CYBERSEGURIDAD. “Inclusión de ficheros remotos (RFI Remote File Inclusion) (Ataques informáticos
II)”. Disponible en: (http://cyberseguridad.net/index.php/181-inclusion-de-ficheros-remotos-rfiremote-file-inclusion-ataques-informaticos-ii).
TYPO3. “TYPO3 Security Bulletins”. Disponible en: (http://typo3.org/teams/security/securitybulletins/).
Anexos
1. Inventario de servidores y sitios web del Sistema de Investigación de la Universidad Nacional – SIUN.
2. Resumen de informe de visita e Informe final de la visita efectuada a la Vicerrectoría de Investigación
los días 27 y 28 de marzo de 2014.
3. ISO/IEC-27001:2005.
4. Directrices de la OCDE para la seguridad de sistemas y redes de información: Hacia una cultura de
seguridad. 2001.
5. Acuerdo 046 de 2009: Por el cual se definen y aprueban las políticas de Informática y Comunicaciones
que se aplicarán en la Universidad Nacional de Colombia.
6. Formato Universidad Nacional para plan de auditoría interna.
7. Formato Universidad Nacional para presentación de informe de auditoría interna.
Control de versiones
Versión
Nombre
Cargo
Fecha
Creado por:
1.0
Modificado por:
Revisado por:
Aprobado por:
Estado:
Borrador
Martha Correa
Iván Cabezas
23 Octubre 2014
Documentos relacionados
Administrador de Servidores DESCRIPCION DEL PUESO
Administrador de Servidores DESCRIPCION DEL PUESO
La presente Guía es un marco de referencia para orientar
La presente Guía es un marco de referencia para orientar
Responsabilidades y Obligaciones de las Autoridades
Responsabilidades y Obligaciones de las Autoridades
Las normas formales –es decir la Ley– se refieren a aquellos
Las normas formales –es decir la Ley– se refieren a aquellos
Certificación: Hewlett Packard Enterprise Descripción: Esta
Certificación: Hewlett Packard Enterprise Descripción: Esta
Valoración de riesgos en el proceso Evaluación de desempeño.
Valoración de riesgos en el proceso Evaluación de desempeño.
Políticas y Objetivos de Calidad
Políticas y Objetivos de Calidad
Descargar
Anuncio
Anuncio