El fenmeno de la expansin de Internet ha adquirido una velocidad tan rpida y unas proporciones, que el panorama actual y muchos de los

efectos que se dan en su seno resultan sorprendentes y difcilmente imaginables hace una dcada. Inicialmente Internet nace como una serie de redes que promueven el intercambio de informacin entre investigadores que colaboran en proyectos conjuntos o comparten resultados usando los recursos de la red. En esta etapa inicial, la informacin circulaba libremente y no exista una preocupacin por la privacidad de los datos ni por ninguna otra problemtica de seguridad. Es por esto que los protocolos de Internet fueron diseados de una forma deliberada para que fueran simples y muy sencillos. El poco esfuerzo necesario para su desarrollo jug a favor de su implantacin, pero tanto las aplicaciones como los niveles de transporte carecan de mecanismos de seguridad que no han tardado en echarse en falta.

En la actualidad, la conexin a Internet en el mundo empresarial se ha producido a un ritmo vertiginoso muy superior a la difusin de ninguna otra tecnologa anteriormente ideada. Esto ha ocasionado que la red se haya convertido en el medio ms popular de interconexin de recursos informticos. Se ha incrementado la variedad y cantidad de usuarios que usan la red para fines tan diversos como el aprendizaje, la docencia, la investigacin, el juego En medio de esta variedad han ido aumentando las acciones poco respetuosas con la privacidad y con la propiedad de recursos y sistemas. Hackers, freackers, crackers y dems han hecho aparicin en el vocabulario de los usuarios y de los administradores de redes. En suma, en la Sociedad de la Informacin actual gran cantidad de las comunicaciones comerciales, administrativas, o simplemente personales, se llevan a cabo usando sistemas telemticos, por lo tanto es evidente que es necesario implementar mecanismos que den garanta a los ciudadanos de que sus derechos cvicos elementales no van a ser vulnerados.

Las organizaciones modernas que operan o centran gran parte de su actividad en los recursos informticos y necesitan dotar sus sistemas e infraestructuras informticas de las polticas y medidas de proteccin ms adecuadas que garanticen el continuo desarrollo y operatividad de sus actividades. Las estadsticas de seguridad muestran que las principales vulnerabilidades se encuentran dentro de las organizaciones, principalmente en las personas, esto no slo porque no se aplican sofisticados sistemas de seguridad, sino porque no existen polticas de seguridad institucionales y por ende no existe una cultura de seguridad. Por otro lado, existe la gran creencia de que el problema de la seguridad de la informacin es un problema de las reas de Tecnologa.

-Conjunto de servicios , polticas y mecanismos que aseguren la integridad , disponibilidad y privacidad de la informacin de los sistemas informticos. -Todas las medidas utilizadas para impedir cualquier tipo de accin no autorizada sobre dispositivos informticos o red informtica.

En general, la seguridad informtica depende de varios factores, uno de los cuales es el conjunto de polticas de seguridad informtica, las cuales representan el marco normativo para el establecimiento de cualquier solucin de seguridad para las organizaciones . Otros factores: - Conocimientos y preparacin del personal responsable de la administracin de los dispositivos informticos. - Capacitacin , formacin y responsabilidad de los empleados. - Mantenimiento e instalacin correctos de los dispositivos informticos. - Concienciacin de los responsables de las empresas de la necesidad de invertir en Seguridad Informtica.

Cules son los motivos por los que las empresas e instituciones no estn concienciadas en la necesidad de implantar polticas de seguridad para defenderse de los atacantes? Falta de una cultura informtica: Su falta puede impedir a parte de la sociedad la lucha contra los delitos informticos, por lo que el componente educacional es un factor clave en la minimizacin de esta problemtica ya que cada vez se requieren mayores conocimientos en tecnologas de la informacin, las cuales permitan tener un marco de referencia aceptable para el manejo de dichas situaciones. Dificultad para vender la idea de seguridad: Es difcil para una empresa el aceptar gastar grandes cantidades de dinero en algo que a simple vista no genera ningn tipo de beneficio directo. Falta de especialistas en seguridad informtica: El problema de la seguridad es algo relativamente reciente por lo que no existe un gran nmero de personas especializadas en el tema que puedan dar asesoramiento a las empresas que tengan necesidad de asegurar sus sistemas frente a posibles ataques.

Son aquellos recursos (hardware/software), que tiene una empresa.

Es un evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Informacin.

Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.

La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte a un Activo de Informacin.

-Asegurar el uso adecuado de los activos empresariales. -Acatar la normativa legal. -Minimizar los daos a los activos y proporcionar un mecanismo de recuperacin en casos de ataques. -Gestionar y reducir los riesgos, as como descubrir las posibles debilidades y amenazas a la seguridad. Para llevar a cabo estos propsitos la empresa se debe centrar en cuatro aspectos fundamentales:

Las organizaciones deben pensar en la Seguridad Informtica como una serie de procedimientos y no como un producto que se pueda comprar o instalar y que genera beneficios. En realidad son un conjunto de fases iterativas, en las que se ejecutan mltiples acciones : estimacin de los riesgos , deteccin de amenazas , prevencin y resolucin de incidentes de seguridad.

-Prdidas financieras en concepto de horas de trabajo para resolver problemas y configuracin de dispositivos. -Prdidas ocasionadas por la indisponibilidad de diversos servicios informticos . Perdida de informacin confidencial: informacin sobre productos, programas informticos... -Prdida de datos personales de usuarios: empleados, proveedores , comerciales o clientes e incumplimiento de la ley en materia de proteccin de datos personales. -Mala imagen de la empresa , prdida de posibles clientes, prdida de confianza de los clientes y los proveedores. -Prdidas en la produccin , mala calidad del servicio, prdida de posibles negocios. -Prdida en indemnizaciones a clientes.

La Defensa en Profundidad es un principio de la Seguridad Informtica , que implementa un diseo en mltiples capas de seguridad dentro de la empresa. Logrando de est manera una seguridad ms robusta, ya que si vulneran alguna de las capas se encontrarn con otras barreras. Por ello es importante cumplir con la poltica de seguridad en todas las capas y as no depender de la seguridad perimetral.

El SGSI es la parte del sistema general de administracin que comprende la poltica, la estructura organizacional, los procedimientos, los procesos y los recursos necesarios para implantar la gestin de la seguridad de la informacin en una organizacin. Aspectos a tener en cuenta al implantar un SGSI: -Formalizar la gestin de la seguridad de la informacin -Analizar y gestionar los riesgos -Establecer procesos de gestin de la seguridad siguiendo la metodologa (PDCA): Plan: seleccin y definicin de medidas y procedimientos. Do: implantacin de medidas y procedimientos de mejora. Check: comprobacin y verificacin de las medidas implantadas. Act: actuacin para corregir las deficiencias detectadas en el sistema -Certificacin de la gestin de la seguridad

Tipos de intrusos: -Hackers: entran en los sistemas para demostrar y poner a prueba su inteligencia y conocimientos, pero no pretenden provocar daos. - Crackers: atacan un sistema informtico para obtener beneficios de forma ilegal. -Sniffers: se dedican a rastrear y descifrar mensajes. -Phreakers: sabotean las redes telefnicas para poder realizar llamadas gratuitas. -Spammers: envo masivo de miles de mensajes de correo electrnico no solicitado. -Lamers ("wannabes")-Script-kiddies o Click-kiddies: novatos que bajan scripts o programas de Internet y los ejecutan sin tener realmente un conocimiento tcnico de lo que estn haciendo o cmo funcionan. -Piratas : especialistas en el pirateo de programas y contenidos digitales. -Intrusos remunerados: expertos informticos contratados por un tercero para la sustraccin de informacin confidencial, llevar a cabo sabotajes informticos

-Descubrimiento del objetivo -Bsqueda de vulnerabilidades -Explotar de las vulnerabilidades detectadas ("exploits"). -Comprometer al sistema: modificacin de programas y ficheros del sistema para dejar instaladas determinadas puertas traseras o troyanos; creacin de nuevas cuentas con privilegios administrativos que faciliten el posterior acceso del atacante al sistema afectado, etc. -Eliminacin de huellas (Incluso a parchar la vulnerabilidad para que no pueda ser utilizada por otros).

-Escneres de puertos : detectan los servicios activos en un sistema informtico -Sniffers: herramientas que capturan los paquetes de datos que viajan por la red. - Exploits: herramientas que buscan y explotan vulnerabilidades. - Backdoors kits : programas que permiten abrir y explotar "puertas traseras". - Root kits : programas utilizados por los atacantes para ocultar "puertas traseras archivos ejecutables y servicios del sistema, que son modificados para facilitar el acceso y posterior control del sistema. - Auto-rooters : herramientas capaces de automatizar totalmente un ataque. - Password-crackers: aplicaciones que permiten averiguar las contraseas de los usuarios del sistema comprometido. - Generadores de virus . -Tcnicas de spoofing : dificultan la identificacin del atacante. - Herramientas de encriptacin y protocolos criptogrficos : el atacante utiliza protocolos criptogrficos en sus conexiones con los sistemas y mquinas que ha conseguido comprometer, dificultando de este modo su deteccin y estudio.

Ataques de reconocimiento Descubrimiento de vulnerabilidades Robo de informacin Modificacin del contenido y secuencia de los mensajes transmitidos Captura de trfico Suplantacin de identidad Ataques a las tablas de enrutamiento Acceso remoto no autorizado a dispositivos Infeccin con "malware" Fraudes, engaos, extorsiones Denegacin del servicio (Ataques DoS- Denial of Service) Ataques de denegacin de servicio distribuidos (DDoS) Marcadores telefnicos ("dialers")

La Gestin de Riesgos es un mtodo para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.

Podramos englobarlo en general en cuatro fases: Anlisis: Determina que componentes de un sistema requieren proteccin, sus vulnerabilidades y posibles amenazas, con el resultado de revelar su grado de riesgo. Clasificacin: Determina si los riesgos encontrados y los riesgos restantes son aceptables. Reduccin: Define e implementa medidas de proteccin. Sensibiliza y capacita a los usuarios conforme a las medidas. Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas. Todo el proceso est basado en las llamadas polticas de seguridad, normas y reglas institucionales, que forman el marco operativo del proceso, con el propsito de: -Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo. -Orientar el funcionamiento organizativo y funcional. -Garantizar comportamiento homogneo. -Garantizar correccin de conductas o prcticas que nos hacen vulnerables. -Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

El riesgos es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informtico. El nivel de riesgo depende del anlisis previo de vulnerabilidades que el sistema pueda tener. Hay distintas metodologas para la evaluacin de riesgos como: CRAMM: desarrollada por la agencia CCTA 1985 Estado Unidos. MAGERIT: desarrollada en Espaa por Ministerio de administraciones publicas.

Ejemplo de cmo las organizaciones deben evaluar el nivel de riesgos: Activo: servidor de ficheros de la organizacin. Amenazas: fallo hardware en un servidor. Vulnerabilidad del sistema: alta, ya que no se dispone de servidores alternativos. Impacto: indisponibilidad durante 24 horas del activo afectado. Nivel de riesgo: se obtiene a partir de las tablas de valoracin que se hayan adoptado. Despus se presentara una propuesta de tabla con los elementos para poder realizar la evaluacin del nivel de riesgos asociados a uno de los recursos del sistema informtico.

 Datos e informacin Finanzas, RR.HH, Llamadas telefnicas, Correo electrnico, Base de Datos ...

Sistemas e infraestructura Edificio, Equipos de red, Ordenadores, Porttiles, Memorias porttiles ...

Personal Junta Directiva, Coordinacin, Administracin, Personal tcnico, ...

 Criminalidad (comn y poltica) Allanamiento, Sabotaje, Robo / Hurto, Fraude, Espionaje, Virus, ...

Sucesos de origen fsico Incendio, Inundacin, Sismo, Polvo Sobrecarga elctrica, Falta de corriente, ...

Negligencia y decisiones institucionales Falta de reglas, Falta de capacitacin, No cifrar datos crticos, Mal manejo de contraseas, ...

 Ambiental / Fsicas Desastres naturales, Ubicacin, Capacitad tcnica, Materiales...

Econmica Escasez y mal manejo de recursos

Socio-Educativa Relaciones, Comportamientos, Mtodos, Conductas...

Institucional / Poltica Procesos, Organizacin, Burocracia, Corrupcin, Autonoma

 Identificar tipo de datos e informacin y clasificarlo Confidencial (acceso restringido: personal interno autorizado) Privado (acceso restringido: personal interno) Sensitivo (acceso controlado: personal interno, pblico externo con permiso) Pblico Anlisis de flujo de informacin Observar cules instancias manejan que informacin Identificar grupos externos que dependen o estn interesados en la informacin Determinar si se deben efectuar cambios en el manejo de la informacin

INTERRUPCIN

INTERCEPTACIN

MODIFICACIN

FABRICACIN

Interrupcin: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destruccin de un elemento hardware, como un disco duro, cortar una lnea de comunicacin o deshabilitar el sistema de gestin de ficheros. Interceptacin: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podra ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una lnea para hacerse con datos que circulen por la red y la copia ilcita de ficheros o programas (interceptacin de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o ms de los usuarios implicados en la comunicacin observada ilegalmente (interceptacin de identidad). Modificacin: una entidad no autorizada no slo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que estn siendo transferidos por la red. Fabricacin: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la insercin de mensajes adulterados en una red o aadir registros a un archivo.

 Consideraciones Inters o la atraccin por parte de individuos externos Nivel de vulnerabilidad Frecuencia en que ocurren los incidentes Valoracin de probabilidad de amenaza Baja: Existen condiciones que hacen muy lejana la posibilidad del ataque Mediana: Existen condiciones que hacen poco probable un ataque en corto plazo, pero no son suficientes para evitarlo en el largo plazo Alta: Ataque es inminente. No existen condiciones internas y externas que impidan el desarrollo del ataque

El impacto es la medicin y valoracin del dao que podra producir a la organizacin un incidente de seguridad.

 Se pierde la informacin Terceros tienen acceso a la informacin Informacin ha sido manipulada o est incompleta Informacin o persona no est disponible Cambio de legitimidad de la fuente de informacin

 Consideracin sobre las consecuencias de un impacto Quin sufrir el dao? Incumplimiento de confidencialidad (interna y externa) Incumplimiento de obligacin jurdicas / Contrato / Convenio Costo de recuperacin (imagen, emocional , recursos: tiempo, econmico) Valoracin de magnitud de dao Bajo: Dao aislado, no perjudica ningn componentes de organizacin Mediano: Provoca la desarticulacin de un componente de organizacin. A largo plazo puede provocar la desarticulacin de organizacin Alto: En corto plazo desmoviliza o desarticula a la organizacin

Nada es 100% seguro, siempre queda un riesgo restante!

 Medidas fsicas y tcnicas Construccin del edificio, Control de acceso , Generador elctrico, Antivirus, Datos cifrados, Contraseas inteligentes,...

Medidas personales Contratacin, Capacitacin, Sensibilizacin, ...

Medidas organizativas Normas y reglas, Seguimiento de control, Auditora, ...

 Medidas dependiendo del grado de riesgo Medio riesgo: Medidas parciales para mitigar dao Alto riesgo: Medidas exhaustivas para evitar dao

Verificacin de funcionalidad Respaldado por coordinacin Esfuerzo adicional y costos vs. eficiencia Evitar medidas pesadas o molestas

Fundado en normas y reglas Actividades, frecuencia y responsabilidades Publicacin

Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas o el nivel de impacto en la organizacin. Medidas de seguridad activa: medida utilizada para anular o reducir el riesgo de una amenaza. Medidas de seguridad pasiva: medida empleada para reducir el impacto cuando se produzca un incidente de seguridad.
Defensas fsicas: medidas que implican el control de acceso fsico a los recursos y las condiciones ambientales en que tienen que ser utilizados. Defensas lgicas: se encuentran relacionadas con la proteccin conseguida mediante distintas herramientas y tcnicas informticas. Nivel de riesgo residual: se obtiene tras un nuevo proceso de evaluacin de riesgos teniendo en cuenta que los recursos ya se encuentran protegidos por las medias de seguridad seleccionadas.

Las empresas podran considerar la transferencia del riesgo a un tercero, ya sea mediante la contratacin de seguros o a travs de la subcontratacin de un proveedor especializado en ofrecer servicios de seguridad informtica. Lo pueden hacer de distintas maneras: Contratacin de un seguro. Pliza tradicionales de responsabilidad civil. Plizas especializadas en seguridad informtica. Contratacin de una empresa especializada en servicios informticos.

Un sistema informtico esta formado por dispositivos fsicos que deben protegerse desde el punto de vista fsico, independientemente de la informacin que contenga cada uno de ellos. As los aspectos a tener en cuenta son: Prevencin: Por ejemplo, el caso de la instalacin de un sistema antiincendios. Deteccin: Por ejemplo, el uso de un sistema de video-vigilancia para el control de acceso Redundancia: En el caso de la existencia de un desastre, se trata de resolverlo a la mayor brevedad y con el menor coste.

La poltica de seguridad de la red establece cules son los recursos que deben ser protegidos y da pautas sobre cmo deben ser protegidos. Esto ser luego usado para determinar las medidas de seguridad, los dispositivos de seguridad, las estrategias y procedimientos que debern ser implementados en la empresa. Una poltica de seguridad es un conjunto de objetivos para la organizacin, reglas de comportamiento para usuarios y administradores, y requisitos para el sistema y la administracin que colectivamente garantizan la seguridad de la red y sistemas informticos en una organizacin. Una poltica de seguridad es un "documento vivo", lo cual significa que el documento nunca se termina y se lo actualiza continuamente a medida que la tecnologa, los negocios y requisitos de los empleados cambian.

Componentes de una poltica de seguridad

Objetivos de la Poltica de Seguridad:

-Informar a los usuarios, al personal y a los gerentes acerca de los requisitos obligatorios para proteger los bienes de tecnologa e informacin. -Especificar los mecanismos a travs de los cuales se pueden cumplir estos requisitos. -Proporcionar una lnea de base a partir de la que se pueda adquirir, configurar y auditar redes y sistemas informticos para que cumplan la poltica. La norma ISO/IEC 27002 pretende ser una base comn y una gua prctica para desarrollar normas de seguridad de la organizacin y prcticas eficaces de administracin de seguridad. El documento consta de 12 secciones: -Evaluacin de riesgos -Poltica de seguridad -Organizacin de la seguridad de la informacin -Administracin de activos -Seguridad de los recursos humanos -Seguridad fsica y ambiental -Administracin de las comunicaciones y operaciones -Control de acceso -Adquisicin, desarrollo y mantenimiento de los sistemas informticos -Administracin de incidentes de seguridad de la informacin -Administracin para la continuidad de la empresa -Cumplimiento

Una de las primeras actividades a realizar en la implementacin de la Poltica de Seguridad en una organizacin es elaborar un inventario de activos que recoja cules son los principales activos de informacin en la organizacin(ISO 27001).

El inventario de los activos nos ayudar posteriormente a identificar las posibles vulnerabilidades e identificar los objetivos de los ataques o intrusiones. El inventario es una herramienta que debe estar actualizada de la forma ms pronta posible, de modo que ante nuevos cambios en la infraestructura TI, o cambios organizacionales se debe plantear una revisin del inventario. El inventario de activos debe recoger la siguiente informacin: -El nombre del activo, por ejemplo: equipo de usuario, router 014, proyecto, expediente, etc. -La descripcin del activo. -Categora a la que pertenece, por ejemplo: equipo, aplicacin, servicio, etc. -Ubicacin: el lugar fsico o en el que se encuentra dentro de la organizacin. -Propietario: entendiendo por tal al responsable del activo. -Identificados los activos de informacin: se les debe valorar de acuerdo a su importancia para la organizacin. Esta apreciacin ser lo ms objetiva posible, ya que con ella se determinar sobre qu activos se realizar el anlisis de riesgos.

Hemos visto algunos de los conceptos relacionados con la gestin del riesgo. Habitualmente, muchas tareas desarrolladas por el personal de seguridad, se encuentran relacionadas con la prevencin de ataques provenientes del exterior. No obstante, es ms comn de lo que uno imagina, encontrar miles de casos en donde la amenaza no proviene del exterior sino que por el contrario se inicia en el interior mismo de la organizacin. Si bien es cierto que ninguna compaa esta exenta de que un empleado disconforme cause algn incidente de seguridad, probablemente el porcentaje sea menor, en aquellas que tomando en serio las cuestiones relacionadas con la seguridad de la informacin, trabajan en ello desde el inicio mismo de la relacin laboral con sus empleados. Bajo el trmino Background Checks se conoce al proceso por el cual se revisa informacin pblica o se realizan tareas de verificacin de la informacin dispuesta en los C.V. de los candidatos. Este tipo de procesos, si bien deben llevarse a cabo idealmente para cualquier postulante, debera ser excluyente y probablemente ms exhaustivos, al personal que vaya a desempear tareas crticas o informacin sensible.

Muchas veces las organizaciones no poseen procedimientos formales respecto a los procesos de contratacin y despido del personal. Acabamos de ver la importancia detrs de la ejecucin de Background Checks y/o Security Clearances, al momento de realizar la contratacin de empleados, pero que debe ser tenido en cuenta a la hora de su eventual despido? Claro esta que tal como en el proceso de Background Checks, este requiere de la participacin activa del departamento de RRHH de la organizacin, quien con el asesoramiento de otros departamentos deberan ser capaces de elaborar polticas y procedimientos donde se contemplen aspectos como los mencionados a continuacin: Cmo manejar la salida del empleado Deshabilitacin / Eliminacin de su cuenta de usuario Reenvo de email y voice mail Cambios en las cerraduras y cdigos de acceso Modificacin de contraseas de sistemas relacionados Las organizaciones deberan definir las obligaciones, deberes y funciones de los usuarios, y adems sensibilizarlos y formarlos en materia de seguridad.

La seguridad fsica tiene que ver con la proteccin de los elementos fsicos de la empresa, como el hardware y el entorno donde se encuentran ubicados los equipos (edificio, salas). La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico y est enfocada a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el hardware. Para establecer la seguridad del hardware (servidor o equipo) es necesario decidir adecuadamente dnde vamos a instalarlo. Esta ubicacin resulta vital para el mantenimiento y proteccin de nuestros sistemas. Los planes de seguridad fsica se basan en proteger el hardware de amenazas como: -Las ocasionadas por el hombre, como robos, destruccin de informacin, o equipos, etc. -Desastres naturales, alteraciones y cortes de suministro elctrico, incendios accidentales, tormentas e inundaciones. -Disturbios, sabotajes internos y externos deliberados. Se trata, por tanto, de aplicar barreras fsicas y procedimientos de control, para mantener la seguridad dentro y alrededor de las instalaciones.

El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cierre de puertas, permitir o negar acceso basado en restricciones de tiempo,e.t.c. Dependiendo del tipo de instalacin y de la inversin econmica que se realice se dispondr de distintos sistemas de seguridad: -Servicio de Vigilancia: El acceso es controlado por personal de seguridad (guardias) que comprueban la identificacin de todo aquel que quiera acceder a una ubicacin. -Detectores de metales y escneres de control de pertenencias, que permiten revisar a las personas, evitando su acceso a las instalaciones con instrumentos potencialmente peligrosos o armas. -Utilizacin de sistemas biomtricos, basados en identificar caractersticas nicas de las personas cuyo acceso est autorizado, como sus huellas digitalizadas o su iris. -Proteccin electrnica, basada en el uso de sensores conectados a centrales de alarma que reaccionan ante la emisin de distintas seales. Cuando un sensor detecta un riesgo, informa a la central que procesa la informacin y responde segn proceda, por ejemplo emitiendo seales sonoras que alerten de la situacin. -Sistemas electrnicos de acceso como teclados bsicos que abren la puerta si se introduce la contrasea correcta, que sera comn a todos los usuarios, teclados ms avanzados que pueden configurarse con contraseas personalizadas para cada usuario, tarjetas de proximidad o banda magntica, llaves electrnicas de contacto (ibutton o pastilla electrnica).

El acceso a los dispositivos de red(routers , switches , cortafuegos , e.t.c) y a los dispositivos finales(ordenadores, servidores , impresoras ,e.t.c) debe de estar controlado por contraseas , sistemas biomtricos , tarjetas inteligentes -Los servicios innecesarios se deben deshabilitar -Las cuentas de usuarios que no son utilizadas -Las configuraciones de fabrica se deben modificar(contraseas , nombres ,e.t.c) -Se deben instalar las ltimas actualizaciones de seguridad -Activar el registro de actividad(LOG) a nivel de red y de equipos -Mantener copias de seguridad de S.O y de configuraciones -Cumplir con las medidas de seguridad recomendadas por los fabricantes -Minimizar la posibilidad del acceso pblico a los dispositivos -Controlar los equipos que pueden salir de las instalaciones( porttiles , PDA ) -Limitar el uso de lectores CD/DVD , puertos USB -Controlar el uso de software y herramientas corporativas en los ordenadores

La organizacin debera tener un inventario de los soportes informticos(HDs , CD/DVDs) Tambin debera tener un registro de entrada/salida de soportes.

Clasificacin de documentos y datos de acuerdo a su nivel de importancia y confidencialidad: -Informacin sin clasificar o desclasificada -Informacin de uso interno -Informacin confidencial -Informacin secreta o reservada

Se puede recurrir a mecanismos como la encriptacin cuando sea necesario.

De qu se encarga la seguridad lgica?

Controles de acceso para salvaguardar la integridad de la informacin almacenada

Controlar y salvaguardar la informacin generada.

Seguridad Lgica
Identificar individualmente a cada usuario y sus actividades en el sistema.

-Restringir el acceso a los programas y archivos. -Asegurar que los operadores puedan trabajar sin una supervisin minuciosa. -Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. -Garantizar que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. -Certificar que la informacin recibida sea la misma que ha sido transmitida. -Asegurar que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. -Asegurar la disponibilidad de vas alternativas de respaldo para la transmisin de informacin.

AAA es una manera de controlar a quin se le permite acceso a una red (autenticacin) y qu pueden hacer mientras estn all (autorizacin), as como auditar qu acciones realizaron al acceder a la red (registro de auditora). Autenticacin: Los usuarios y administradores deben probar que son quienes dicen ser. La autenticacin puede establecerse por medio de combinaciones de usuario y contrasea, preguntas de desafo y respuesta, tarjetas token y otros mtodos. Por ejemplo: "Soy el usuario 'estudiante'. Conozco la contrasea para probar que soy el usuario 'estudiante'". - Autorizacin: Una vez que el usuario ha sido autenticado, los servicios de autorizacin determinan los recursos y operaciones a los que el usuario tiene acceso. Por ejemplo, "El usuario 'estudiante' puede acceder al host server XYZ slo usando Telnet. - Registros de auditora: Los registros de auditora registran lo que el usuario hace, incluyendo los recursos a los que accede, la cantidad de tiempo que se mantiene la sesin y cualquier cambio que se haga. El registro de auditora monitorea el uso de los recursos. Un ejemplo es: "El usuario 'estudiante' accedi al host server XYZ usando Telnet durante 15minutos".

Mediante el control de acceso a los distintos recursos del sistema es posible implementar las medidas definidas por la organizacin, teniendo en cuenta las restricciones de acceso a las aplicaciones, a los datos guardados, a los servicios ofrecidos y a otros recursos de tipo lgico del sistema. El modelo de seguridad aplicado en el Control de Acceso se basa en la definicin y gestin de determinados objetos lgicos (dispositivos lgicos, archivos, servicios) y sujetos (usuarios y grupos, equipos, procesos, roles) a los que se conceden derechos y privilegios para realizar determinadas operaciones sobre los objetos. Estos derechos y privilegios se pueden verificar mediante el proceso de autorizacin de acceso. Podemos distinguir dos tipos de control de acceso: -Control de Acceso Obligatorio (MAC, Mandatory Access Control): los permisos de acceso son definidos por el sistema operativo. -Control de Acceso Discrecional (DAC, Discrecionary Access Control): los permisos de acceso los controla y configura el propietario de cada objeto.

Para definir los usuarios que pueden acceder a los objetos lgicos se utilizan las ACLs (Listas de Control de Acceso). Las listas de control de acceso (ACLs) se usan regularmente en las redes de computadoras y en la seguridad de las redes para mitigar ataques de red y controlar el trfico de red. Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones IP o protocolos. La administracin de las cuentas de usuario es una parte fundamental de la seguridad lgica. A travs de las cuentas de usuarios podemos controlar el acceso a los recursos. La poltica de seguridad debe especificar los mtodos para la solicitud, creacin, cancelacin y seguimiento de las cuentas de usuario. Para la correcta administracin de cuentas es necesario: -detectar y suspender las cuentas no utilizadas -comprobar a travs de los logs la actividad de los usuarios -otorgar permisos y privilegios basados en la funcin y tareas del usuario -controlar los usuarios y grupos del sistema

Se denomina Identificacin al momento en que el usuario se da a conocer en el sistema; y Autenticacin a la verificacin que realiza el sistema sobre esta identificacin. Es la primera lnea de defensa para la mayora de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.

Existen cuatro tipos de tcnicas que permiten realizar la autenticacin de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas. Identificadores Extrnsecos: - Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o contrasea, una clave criptogrfica, un nmero de identificacin personal o PIN, etc. -Algo que la persona posee: por ejemplo una tarjeta magntica. Identificadores Intrnsecos: -Algo que el individuo es y que lo identifica unvocamente: por ejemplo las huellas digitales o la voz. Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.

Una contrasea o clave es una forma de autenticacin que utiliza informacin que solamente el individuo conoce, o sea secreta, para controlar el acceso hacia algn recurso protegido . Estas son algunas recomendaciones para evitar las vulnerabilidades ms frecuentes y cules son las mejores contramedidas para eliminarlas o cuando menos mitigarlas. -Fortaleza de la contrasea: deben ser largas, normalmente ms de 7 caracteres, y se deben usar combinaciones de letras maysculas y minsculas, nmeros y smbolos. Ejemplos de contraseas fuertes seran las siguientes: tastY=wheeT34, pArtei@34! y #23kLLflux. -Formas de almacenar las contraseas: se debe usar un algoritmo criptogrfico irreversible (o funcin resumen), los ms comunes son MD5 y SHA1. -Mtodo de retransmisin de la contrasea: deben ser transmitidas mediante algn mtodo criptogrfico. -Longevidad de la contrasea: deben ser cambiadas con cierta periodicidad.

Habitualmente, la forma de operar es como sigue: Usuarios y ordenador comparten un nico algoritmo de cifrado y claves de cifrado distintas. En el proceso de autenticacin, el usuario, primero, se identifica, lo que sirve al ordenador para extraer la clave criptogrfica correspondiente. Seguidamente, ste lanza al usuario una pregunta (a menudo denominada reto) constituida por un nmero aleatorio/cadena de caracteres distinto cada vez. El usuario responde devolviendo el resultado de cifrar este nmero/cadena de caracteres con su clave de usuario. Al tiempo, el ordenador cifra el nmero/cadena de caracteres y lo compara con la respuesta recibida, para verificar su coincidencia (el usuario ser quien alega ser) o no.

OTP(ONE TIME PASSWORD)

AUTENTICACIN MULTI-FACTOR

AUTENTICACIN POR IMAGENES

TARJETAS DE AUTENTICACIN

CERTIFICADOS DIGITALES

AUTENTICACIN BIOMTRICA

Existen diversos mtodos de autenticacin para el acceso remoto: -PAP(Password Authentication Protocol) -CHAP(Challenge Handshake Authentication Protocol) -EAP(Extesible Authentication Protocol)

Los cortafuegos juegan un papel fundamental en la proteccin de la red corporativa de ataques externos. Pueden estar basados en hardware(equipo fsico dedicado) o en Software(estacin de trabajo con el software instalado). Un firewall es un sistema o grupo de sistemas que aplica una poltica de control de acceso entre las redes. Todos los firewalls comparten ciertas propiedades: -Resisten ataques. -Son el nico punto de trnsito entre las redes (todo el trfico fluye a travs del firewall) -Aplican la poltica de control de acceso

- Un sistema firewall puede estar compuesto por muchos dispositivos y componentes diferentes. Uno de los componentes es el filtrado de trfico, que es lo que muchas personas llaman firewall. Hay varios tipos de firewalls de filtrado, incluyendo los siguientes: - Firewall de filtrado de paquetes - (Packet-filtering firewall) Tpicamente consiste en un router con la capacidad de filtrar paquetes con algn tipo de contenido, como informacin de capa 3 y, en ocasiones, de capa 4. - Firewall con estados - (Stateful firewall) Monitorea el estado de las conexiones, si estn en estado de iniciacin, transferencia de datos o terminacin. - Firewall gateway de aplicacin (proxy) - (Application gateway firewall) Filtra segn informacin de las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayora del control y filtrado del firewall se hace por software. - Firewall de traduccin de direcciones - (Address translation firewall) Expande el nmero de direcciones IP disponibles y esconde el diseo del direccionamiento de la red. - Firewall basado en hosts (servidor y personal) - (Host-based firewall) Una PC o servidor que ejecuta software de firewall. - Firewall transparente - (Transparent firewall) Filtra trfico IP entre un par de interfaces conmutadas. - Firewall hbrido - (Hybrid firewall) Es una combinacin de varios tipos de firewalls diferentes. Por ejemplo, un firewall de inspeccin de aplicaciones combina un firewall con estados con un firewall de gateway de aplicacin.