Manual de Seguridad en Redes ArCERT

Seguridad en Redes i

Seguridad en Redes ii

Manual de Seguridad

en

Redes

ArCERT

Coordinación de Emergencia

en Redes Teleinformáticas de la

Administración Pública Argentina

Subsecretaría de Tecnologías Informáticas

Secretaría de la Función Pública

Seguridad en Redes iii

Presentación

Como Secretaria de la Función Pública he asumido la responsabilidad de contribuir

al perfeccionamiento de la organización y definir la política informática en el ámbito de

la Administración Pública Nacional.

Para dar cumplimiento a estos objetivos y desde el inicio de mi gestión, vengo

dedicando importantes esfuerzos y recursos para favorecer el uso pleno de la

tecnología con el fin de alcanzar un Estado moderno y eficiente al servicio de los

ciudadanos, que permita a nuestro país interactuar con las naciones más avanzadas.

En este marco, permítanme citarles como ejemplo la firma del Decreto Nº 427/98,

por el cual se crea la Infraestructura de Firma Digital para el Sector Público Nacional,

habilitando el uso de esa tecnología para los actos internos de administración y

otorgando a la Secretaría de la Función Pública las funciones de Autoridad de Aplicación

y de Organismo Licenciante, a cargo de la habilitación de Autoridades Certificantes para

su funcionamiento dentro de la Administración Pública Nacional. Quiero destacar la

importancia de la promulgación del decreto mencionado, ya que constituye el primer

antecedente a nivel nacional que otorga validez a la firma digital, en este caso por un

plazo experimental de 24 meses, y distingue a nuestro país entre los primeros en el

mundo en promulgar una normativa de avanzada en este novedoso campo.

Asimismo, emitimos los Estándares Tecnológicos para la Administración Pública

Nacional, que constituyen una eficaz herramienta que posibilita que los organismos

públicos avancen en los procesos de racionalización, estandarización y homogeneización

de las contrataciones tecnológicas y que han trascendido el ámbito propio de aplicación

habiendo sido adoptados por numerosas jurisdicciones provinciales, otros poderes del

Estado y organismos rectores de Política Informática de Países Iberoamericanos.

No puedo dejar de hacer referencia al Problema del Año 2000, que motiva mi

preocupación y la de las autoridades de los organismos de la Administración Nacional.

Hemos iniciado una intensa labor con el objetivo de garantizar las funciones críticas que

debe cumplir el Estado. A tal efecto, trabaja un grupo de profesionales nucleados en la

Unidad Ejecutora 2000 con el objeto de brindar asistencia técnica y supervisar las

acciones tendientes a la búsqueda de soluciones para la problemática, cubriendo no

sólo a los organismos de la Administración Pública Nacional, sino también a los entes

reguladores de actividades que implican servicios públicos para el ciudadano. Puedo

afirmar, sin equivocarme, que nos encontramos a la cabeza en Latinoamérica respecto

de la metodología seguida en el Sector Público, habiendo participado en numerosos

Seguridad en Redes iv

foros nacionales e internacionales y siendo consultados en forma permanente por

diversas entidades del Sector privado nacional.

Sin embargo, sé que las tecnologías por sí mismas de poco sirven: es lo que la

gente hace con ellas lo que marca la diferencia. Por ello estamos dedicando

importantes esfuerzos para la jerarquización del personal que desarrolla funciones

informáticas y para la valorización de las áreas responsables de los sistemas de

información. En esta campo hemos fomentado la capacitación en materia de

Tecnologías Informáticas, a fin de lograr un mayor entendimiento de sus

potencialidades, especialmente para el gerenciamiento público.

Ya en el campo específico que motiva el trabajo que sigue, nadie puede discutir

hoy en día que la seguridad de las Tecnologías Informáticas es un componente

necesario de los sistemas de información y tanto los entes públicos como los privados,

del país y del mundo, empiezan a dedicar recursos materiales y humanos cada vez más

significativos a esta área.

Por ello he dispuesto la adopción de una serie de medidas, entre las cuales se

inscribe el presente trabajo, con el objetivo de robustecer el área de Seguridad

Informática en el ámbito de mi competencia.

Este manual fue elaborado con la intención de facilitar la tarea de quienes tienen a

su cargo la administración de las redes del Sector Público Nacional. Colaboraron en su

redacción el Ing. Leonardo Hoet, los Sres. Rodolfo Cozzi, Rodolfo Baader y Rodrigo

Seguel y el personal de la Dirección Nacional de Coordinación e Integración

Tecnológica. A ellos, mi reconocimiento por la labor realizada.

Claudia E. Bello

Secretaria de la Función Pública

Seguridad en Redes v

Introducción

En la actualidad, las organizaciones son cada vez más dependientes de sus redes

informáticas y un problema que las afecte, por mínimo que sea, puede llegar a

comprometer la continuidad de las operaciones.

La falta de medidas de seguridad en las redes es un problema que está

en crecimiento. Cada vez es mayor el número de atacantes y cada vez están

más organizados, por lo que van adquiriendo día a día habilidades más

especializadas que les permiten obtener mayores beneficios. Tampoco deben

subestimarse las fallas de seguridad provenientes del interior mismo de la

organización.

La propia complejidad de la red es una dificultad para la detección y corrección de

los múltiples y variados problemas de seguridad que van apareciendo. En medio de esta

variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la

propiedad de recursos y sistemas. “Hackers”, “crakers”, entre otros, han hecho

aparición en el vocabulario ordinario de los usuarios y de los administradores de las

redes

Además de las técnicas y herramientas criptográficas, es importante recalcar que

un componente muy importante para la protección de los sistemas consiste en la

atención y vigilancia continua y sistemática por parte de los responsables de la red.

A la hora de plantearse en qué elementos del sistema se deben de ubicar los

servicios

...