SEGURIDAD INFORMATICA

TRABAJO PRESENTADOR POR: Nelson Daniel Lopez Quionez

TRABAJO PRESENTADO A: Antonio Contreras

UNIVERSIDAD DEL VALLE

DEPARTAMENTO POSTGRADOS DE INGENIERIA ELECTRICA Y ELECTRONICA ESPECIALIZACION EN REDES DE COMUNICACION SEGURIDAD EN REDES SANTIAGO DE CALI, FEBRERO 5 DE 2014

INTRODUCCION

La seguridad informtica o seguridad de tecnologas de la informacin es el rea de la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la informacin contenida o circulante !ara ello e"isten una serie de estndares, protocolos, m#todos, reglas, $erramientas y leyes conce%idas para minimizar los posi%les riesgos a la infraestructura o a la informacin La seguridad informtica comprende soft&are '%ases de datos, metadatos, arc$i(os), $ard&are y todo lo que la organizacin (alores 'acti(o) y signifique un riesgo si esta informacin confidencial llega a manos de otras personas, con(irti#ndose, por e*emplo, en informacin pri(ilegiada +l concepto de seguridad de la informacin no de%e ser confundido con el de ,seguridad informtica-, ya que este .ltimo solo se encarga de la seguridad en el medio informtico, pero la informacin puede encontrarse en diferentes medios o formas, y no solo en medios informticos La seguridad informtica es la disciplina que se ocupa de disear las normas, procedimientos, m#todos y t#cnicas destinados a conseguir un sistema de informacin seguro y confia%le !uesto simple, la seguridad en un am%iente de red es la $a%ilidad de identificar y eliminar (ulnera%ilidades /na definicin general de seguridad de%e tam%i#n poner atencin a la necesidad de sal(aguardar la (enta*a organizacional, incluyendo informacin y equipos fsicos, tales como los mismos computadores Nadie a cargo de seguridad de%e determinar quien y cuando se puede tomar acciones apropiadas so%re un tem en especfico Cuando se trata de la seguridad de una compaa, lo que es apropiado (ara de organizacin a organizacin 0ndependientemente, cualquier compaa con una red de%e de tener una poltica de seguridad que se diri*a a con(eniencia y coordinacin

OBJETIVOS DE LA SEGURIDAD INFORMATICA

La seguridad informtica de%e esta%lecer normas que minimicen los riesgos a la informacin o infraestructura informtica +stas normas incluyen $orarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un %uen ni(el de seguridad informtica minimizando el impacto en el desempeo de los tra%a*adores y de la organizacin en general y como principal contri%uyente al uso de programas realizados por programadores La seguridad informtica est conce%ida para proteger los acti(os informticos, entre los que se encuentran los siguientes1 La infraestructura computacional1 +s una parte fundamental para el almacenamiento y gestin de la informacin, as como para el funcionamiento mismo de la organizacin La funcin de la seguridad informtica en esta rea es (elar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, ro%os, incendios, %oicot, desastres naturales, fallas en el suministro el#ctrico y cualquier otro factor que atente contra la infraestructura informtica Los usuarios1 2on las personas que utilizan la estructura tecnolgica, zona de comunicaciones y que gestionan la informacin De%e protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredic$o la seguridad de la informacin y tampoco que la informacin que mane*an o almacenan sea (ulnera%le La informacin1 es el principal acti(o /tiliza y reside en la infraestructura computacional y es utilizada por los usuarios

AMENAZAS

No solo las amenazas que surgen de la programacin y el funcionamiento de un dispositi(o de almacenamiento, transmisin o proceso de%en ser consideradas, tam%i#n $ay otras circunstancias que de%en ser tenidas en cuenta, incluso ,no informticas- 3uc$as son a menudo impre(isi%les o ine(ita%les, de modo que las .nicas protecciones posi%les son las redundancias y la descentralizacin, por e*emplo mediante determinadas estructuras de redes en el caso de las comunicaciones o ser(idores en cl.ster para la disponi%ilidad Las amenazas pueden ser causadas por1 /suarios1 causa del mayor pro%lema ligado a la seguridad de un sistema informtico +n algunos casos sus acciones causan pro%lemas de seguridad, si %ien en la mayora de los casos es porque tienen permisos so%re dimensionados, no se les $an restringido acciones innecesarias, etc !rogramas maliciosos1 programas destinados a per*udicar o a $acer un uso ilcito de los recursos del sistema +s instalado 'por inatencin o maldad) en el ordenador, a%riendo una puerta a intrusos o %ien modificando los datos +stos programas pueden ser un (irus informtico, un gusano informtico, un troyano, una %om%a lgica, un programa espa o spy&are, en general conocidos como mal&are +rrores de programacin1 La mayora de los errores de programacin que se pueden considerar como una amenaza informtica es por su condicin de poder ser usados como e"ploits por los crac4ers, aunque se dan casos donde el mal desarrollo es, en s mismo, una amenaza La actualizacin de parc$es de los sistemas operati(os y aplicaciones permite e(itar este tipo de amenazas 0ntrusos1 persona que consiguen acceder a los datos o programas a los cuales no estn autorizados 'crac4ers, defacers, $ac4ers, script 4iddie o script %oy, (iru"ers, etc ) /n siniestro 'ro%o, incendio, inundacin)1 una mala manipulacin o una mala intencin deri(an a la p#rdida del material o de los arc$i(os !ersonal t#cnico interno1 t#cnicos de sistemas, administradores de %ases de datos, t#cnicos de desarrollo, etc Los moti(os que se

encuentran entre los $a%ituales son1 disputas internas, pro%lemas la%orales, despidos, fines lucrati(os, espiona*e, etc 5allos electrnicos o lgicos de los sistemas informticos en general Catstrofes naturales1 csmicos, etc rayos, terremotos, inundaciones, rayos

Ingeniera Social +"isten diferentes tipos de ataques en 0nternet como (irus, troyanos u otros, dic$os ataques pueden ser contrarrestados o eliminados pero $ay un tipo de ataque, que no afecta directamente a los ordenadores, sino a sus usuarios, conocidos como 6el esla%n ms d#%il7 Dic$o ataque es capaz de conseguir resultados similares a un ataque a tra(#s de la red, saltndose toda la infraestructura creada para com%atir programas maliciosos Adems, es un ataque ms eficiente, de%ido a que es ms comple*o de calcular y pre(er 2e pueden utilizar infinidad de influencias psicolgicas para lograr que los ataques a un ser(idor sean lo ms sencillo posi%le, ya que el usuario estara inconscientemente dando autorizacin para que dic$a induccin se (ea finiquitada $asta el punto de accesos de administrador 8

Tipos de amenaza +"isten infinidad de modos de clasificar un ataque y cada ataque puede reci%ir ms de una clasificacin !or e*emplo, un caso de p$is$ing puede llegar a ro%ar la contrasea de un usuario de una red social y con ella realizar una suplantacin de la identidad para un posterior acoso, o el ro%o de la contrasea puede usarse simplemente para cam%iar la foto del perfil y de*arlo todo en una %roma 'sin que de*e de ser delito en am%os casos, al menos en pases con legislacin para el caso, como lo es +spaa)

Amenazas por el origen

+l $ec$o de conectar una red a un entorno e"terno nos da la posi%ilidad de que alg.n atacante pueda entrar en ella, con esto, se puede $acer ro%o de informacin o alterar el funcionamiento de la red 2in em%argo el $ec$o de que la red no est# conectada a un entorno e"terno, como 0nternet, no nos garantiza la seguridad de la misma De acuerdo con el Computer 2ecurity 0nstitute 'C20) de 2an 5rancisco apro"imadamente entre el 9: y ;: por ciento de los incidentes de red son causados desde dentro de la misma <asado en el origen del ataque podemos decir que e"isten dos tipos de amenazas1 Amenazas internas1 =eneralmente estas amenazas pueden ser ms serias que las e"ternas por (arias razones como son1 2i es por usuarios o personal t#cnico, conocen la red y sa%en cmo es su funcionamiento, u%icacin de la informacin, datos de inter#s, etc Adems tienen alg.n ni(el de acceso a la red por las mismas necesidades de su tra%a*o, lo que les permite unos mnimos de mo(imientos Los sistemas de pre(encin de intrusos o 0!2, y fire&alls son mecanismos no efecti(os en amenazas internas por, $a%itualmente, no estar orientados al trfico interno Que el ataque sea interno no tiene que ser e"clusi(amente por personas a*enas a la red, podra ser por (ulnera%ilidades que permiten acceder a la red directamente1 rosetas accesi%les, redes inalm%ricas desprotegidas, equipos sin (igilancia, etc Amenazas e"ternas1 2on aquellas amenazas que se originan fuera de la red Al no tener informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu# es lo que $ay en ella y %uscar la manera de atacarla La (enta*a que se tiene en este caso es que el administrador de la red puede pre(enir una %uena parte de los ataques e"ternos

Amenazas por el efecto +l tipo de amenazas por el efecto que causan a quien reci%e los ataques podra clasificarse en1 >o%o de informacin Destruccin de informacin

 Anulacin del funcionamiento de los sistemas o efectos que tiendan a ello 2uplantacin de la identidad, pu%licidad de datos personales o confidenciales, cam%io de informacin, (enta de datos personales, etc >o%o de dinero, estafas,

Amenazas por el medio utilizado 2e pueden clasificar por el modus operandi del atacante, si %ien el efecto puede ser distinto para un mismo tipo de ataque1 ?irus informtico1 mal&are que tiene por o%*eto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario Los (irus, $a%itualmente, reemplazan arc$i(os e*ecuta%les por otros infectados con el cdigo de este Los (irus pueden destruir, de manera intencionada, los datos almacenados en un computadora, aunque tam%i#n e"isten otros ms inofensi(os, que solo se caracterizan por ser molestos !$is$ing 0ngeniera social Denegacin de ser(icio 2poofing1 de DN2, de 0!, de D@C!, etc

Amenaza informtica del futuro 2i en un momento el o%*eti(o de los ataques fue cam%iar las plataformas tecnolgicas a$ora las tendencias ci%ercriminales indican que la nue(a modalidad es manipular los certificados que contienen la informacin digital +l rea semntica, era reser(ada para los $umanos, se con(irti a$ora en el n.cleo de los ataques de%ido a la e(olucin de la Ae% B : y las redes sociales, factores que lle(aron al nacimiento de la generacin C :

 2e puede afirmar que 6la Ae% C : otorga contenidos y significados de manera tal que pueden ser comprendidos por las computadoras, las cuales Dpor medio de t#cnicas de inteligencia artificialD son capaces de emular y me*orar la o%tencin de conocimiento, $asta el momento reser(ada a las personas7 +s decir, se trata de dotar de significado a las pginas Ae%, y de a$ el nom%re de Ae% semntica o 2ociedad del Conocimiento, como e(olucin de la ya pasada 2ociedad de la 0nformacin +n este sentido, las amenazas informticas que (iene en el futuro ya no son con la inclusin de troyanos en los sistemas o soft&ares espas, sino con el $ec$o de que los ataques se $an profesionalizado y manipulan el significado del contenido (irtual 6La Ae% C :, %asada en conceptos como ela%orar, compartir y significar, est representando un desafo para los $ac4ers que ya no utilizan las plataformas con(encionales de ataque, sino que optan por modificar los significados del contenido digital, pro(ocando as la confusin lgica del usuario y permitiendo de este modo la intrusin en los sistemas7, La amenaza ya no solicita la cla(e de $ome%an4ing del despre(enido usuario, sino que directamente modifica el %alance de la cuenta, asustando al internauta y, a partir de all, s efectuar el ro%o del capital7 E%tencin de perfiles de los usuarios por medios, en un principio, lcitos1 seguimiento de las %.squedas realizadas, $istricos de na(egacin, seguimiento con geoposicionamiento de los m(iles, anlisis de las imgenes digitales su%idas a 0nternet, etc !ara no ser presa de esta nue(a ola de ataques ms sutiles, se recomienda1 3antener las soluciones acti(adas y actualizadas +(itar realizar operaciones comerciales en computadoras de uso p.%lico o en redes a%iertas ?erificar los arc$i(os ad*untos de mensa*es sospec$osos y e(itar su descarga en caso de duda

ANALISIS DE RIESGO INFORMATICO

+l anlisis de riesgos informticos es un proceso que comprende la identificacin de acti(os informticos, sus (ulnera%ilidades y amenazas a los que se encuentran e"puestos as como su pro%a%ilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o e(itar la ocurrencia del riesgo Feniendo en cuenta que la e"plotacin de un riesgo causara daos o p#rdidas financieras o administrati(as a una empresa u organizacin, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra e"puesta mediante la aplicacin de controles Dic$os controles, para que sean efecti(os, de%en ser implementados en con*unto formando una arquitectura de seguridad con la finalidad de preser(ar las propiedades de confidencialidad, integridad y disponi%ilidad de los recursos o%*etos de riesgo Los riesgos de seguridad de informacin de%en ser considerados en el conte"to del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos $umanos, desarrollo, produccin, operaciones, administracin, F0, finanzas, etc#tera y los clientes de%en ser identificados para lograr una imagen glo%al y completa de estos riesgos Cada organizacin tiene una misin +n esta era digital, las organizaciones que utilizan sistemas tecnolgicos para automatizar sus procesos o informacin de%en de estar conscientes que la administracin del riesgo informtico *uega un rol crtico La meta principal de la administracin del riesgo informtico de%era ser 6proteger a la organizacin y su $a%ilidad de mane*ar su misin7 no solamente la proteccin de los elementos informticos Adems, el proceso no solo de%e de ser tratado como una funcin t#cnica generada por los e"pertos en tecnologa que operan y administran los sistemas, sino como una funcin esencial de administracin por parte de toda la organizacin

+s importante recordar que el riesgo es el impacto negati(o en el e*ercicio de la (ulnera%ilidad, considerando la pro%a%ilidad y la importancia de ocurrencia !or lo que podemos decir a grandes rasgos que la administracin de riesgos es el proceso de identificacin, e(aluacin y toma de decisiones para reducir el riesgo a un ni(el acepta%le +l anlisis de riesgo informtico es un elemento que forma parte del programa de gestin de continuidad de negocio '<usiness Continuity 3anagement) +n el anlisis de riesgo informtico es necesario identificar si e"isten controles que ayudan a minimizar la pro%a%ilidad de ocurrencia de la (ulnera%ilidad 'riesgo controlado), de no e"istir, la (ulnera%ilidad ser de riesgo no controlado Dentro de la e(aluacin del riesgo es necesario realizar las siguientes acciones1 Calcular el impacto en caso que la amenaza se presente, tanto a ni(el de riesgo no controlado como el riesgo controlado y e(aluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitati(a 'asignando pesos) de forma cualitati(a 'matriz de riesgos)

PROCESO DE ANALISIS DE RIESGOS INFORMATICOS

+l proceso de anlisis de riesgo genera $a%itualmente un documento al cual se le conoce como matriz de riesgo +n este documento se muestran los elementos identificados, la manera en que se relacionan y los clculos realizados +ste anlisis de riesgo es indispensa%le para lograr una correcta administracin del riesgo La administracin del riesgo $ace referencia a la gestin de los recursos de la organizacin +"isten diferentes tipos de riesgos como el riesgo residual y riesgo total as como tam%i#n el tratamiento del riesgo, e(aluacin del riesgo y gestin del riesgo entre otras La frmula

para determinar el riesgo total es1 >F '>iesgo Fotal) G !ro%a%ilidad " 0mpacto !romedio A partir de esta frmula determinaremos su tratamiento y despu#s de aplicar los controles podremos o%tener el riesgo residual Como se descri%e en el <2 02EH0+C BI::81B::J, la e(aluacin del riesgo incluye las siguientes acti(idades y acciones1 0dentificacin de los acti(os 0dentificacin de los requisitos legales y de negocios que son rele(antes para la identificacin de los acti(os ?aloracin de los acti(os identificados Feniendo en cuenta los requisitos legales identificados de negocios y el impacto de una p#rdida de confidencialidad, integridad y disponi%ilidad 0dentificacin de las amenazas y (ulnera%ilidades importantes para los acti(os identificados +(aluacin del riesgo, de las amenazas y las (ulnera%ilidades a ocurrir Clculo del riesgo +(aluacin de preesta%lecidos los riesgos frente a una escala de riesgo

Despu#s de efectuar el anlisis de%emos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron Las acciones pueden ser1 Controlar el riesgo D 5ortalecer los controles e"istentes yHo agregar nue(os controles +liminar el riesgo D +liminar el acti(o relacionado y con ello se elimina el riesgo

 Compartir el riesgo D 3ediante acuerdos contractuales parte del riesgo se traspasa a un tercero Aceptar el riesgo D 2e determina que el ni(el de e"posicin es adecuado y por lo tanto se acepta

CONSIDERACIONES No se ol(ide que en las empresas la seguridad comienza por dentro Capacitando al personal, creando normas %asadas en estndares, analizando %rec$as y puntos ciegos en la seguridad lgica y en la seguridad de sistemas de informacin +s fundamental la creacin de escenarios de conflicto en forma continua participando la gerencia de la empresa *unto con un auditor en seguridad, a partir de estos escenarios pueden lograrse medidas para e(itar e(entos de seguridad

ELEMENTOS RELACIONADOS Acti(o +s un o%*eto o recurso de (alor empleado en una empresa u organizacin Amenaza +s un e(ento que puede causar un incidente de seguridad en una empresa u organizacin produciendo p#rdidas o daos potenciales en sus acti(os ?ulnera%ilidad +s una de%ilidad que puede ser e"plotada con la materializacin de una o (arias amenazas a un acti(o >iesgo +s la pro%a%ilidad de ocurrencia de un e(ento que puede ocasionar un dao potencial a ser(icios, recursos o sistemas de una empresa Anlisis +"aminar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relacin entre sus principios y elementos Control +s un mecanismo de seguridad de pre(encin y correccin empleado para disminuir las (ulnera%ilidades

Proceso de Administracin de Riesgo +ste proceso administracin de riesgo es un proceso continuo dado que es necesario e(aluar peridicamente si los riesgos encontrados y si estos tienen una afectacin, $ay que $acer calculo en las diferentes etapas del riesgo La mecnica que se (e in(ersa el mayor n.mero de las organizaciones $oy en da es en el esfuerzo del da a da +s por eso realizar anlisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de riesgo de la organizacin HERRAMIENTAS DE APOYO +"isten (arias $erramientas en el mercado con las que se puede uno apoyar a la $ora de e(aluar los riesgos, principalmente en el proceso de e(aluacin de los mismos /na (ez terminado este proceso se de%e documentar toda la informacin reca%ada para su anlisis posterior La $erramienta que de%emos seleccionar de%e contener al menos un mdulo de recoleccin de datos, de anlisis de los mismos y otro de reportes La importancia de un %uen anlisis y una %uena presentacin de los datos analizados nos lle(ar a una efecti(a interpretacin de la situacin actual de los riesgos y por ende, la seleccin de los controles que de%emos implementar ser la ms acertada en el proceso de seleccin, a$orrando costos en productos y costos de operacin adems del a$orro de tiempo

REGULACIONES Y NORMAS QUE TRATAN EL RIESGO Comunicacin 6A7 K9:L del <C>A para entidades 5inancieras M >equisitos mnimos de gestin, implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de informacin 02EH0+C BI::8 M +specifica los requisitos necesarios para esta%lecer, implantar, mantener y me*orar un 2istema de =estin de la 2eguridad de la 0nformacin '2=20)

02EH0+C BI::J M +sta Norma proporciona directrices para la =estin del riesgo de 2eguridad de la 0nformacin en una Erganizacin 2in em%argo, esta Norma no proporciona ninguna metodologa especfica para el anlisis y la gestin del riesgo de la seguridad de la informacin <asilea 00 M +stndar internacional que sir(a de referencia a los reguladores %ancarios, con o%*eto de esta%lecer los requerimientos de capital necesarios, para asegurar la proteccin de las entidades frente a los riesgos financieros y operati(os Ley 2ar%anes E"ley '2EN) M 0mpulsada por el go%ierno norteamericano como respuesta a los mega fraudes corporati(os que impulsaron +nron, Fyco 0nternational, AorldCom y !eregrine 2ystems +s un con*unto de medidas tendientes a asegurar la efecti(idad de los controles internos so%re reportes financieros !C0 D22 M 0mpulsada por las principales marcas de tar*etas de pago, este estndar %usca garantizar la seguridad de los datos de titulares de tar*etas de pago en su procesado, almacenamiento y transmisin METODOLOGIAS DE ANALISIS DE RIESGOS Citicus Ene1 soft&are comercial de Citicus, implementa el m#todo 50>3 del 5oro de 2eguridad de la 0nformacinO C>A331 6CCFA >is4 Assessment and 3anagement 3et$odology7 fue originalmente desarrollado para uso del go%ierno de /P pero a$ora es propiedad de 2iemensO 02E F> 8CCCJ1 fue el precursor de la 02EH0+C BI::JO 3A=+>0F 63etodologa de Anlisis y =estin de >iesgos de los 2istemas de 0nformacin7 est disponi%le tanto en espaol como en ingl#s ECFA?+1 6Eperationally Critical F$reat, Asset, and ?ulnera%ility +(aluation7 3etodologa de Anlisis y =estin de >iesgos desarrollada por el C+>FO N02F 2! ;::DCL 6=estin de >iesgos de los 2istemas de 0nformacin,

una perspecti(a organizacional7O N02F 2! ;::DC:1 =ua de =estin de >iesgos de los 2istemas de Fecnologa de la 0nformacin, es gratuitoO 3e$ari1 3#todo de =estin y Anlisis de >iesgos desarrollado por CL/205 'Clu% de la 2#curit# de lQ0nformation 5ranRais)O A2HNS21 Norma de =estin de >iesgos pu%licada con*untamente por Australia y Nue(a Selanda y ampliamente utilizada en todo el mundo

ECONOMIA DE SEGURIDAD INFORMATICA

+l reto es asignar estrat#gicamente los recursos para cada equipo de seguridad y %ienes que inter(engan, %asndose en el impacto potencial para el negocio, respecto a los di(ersos incidentes que se de%en resol(er !ara determinar el esta%lecimiento de prioridades, el sistema de gestin de incidentes necesita sa%er el (alor de los sistemas de informacin que pueden ser potencialmente afectados por incidentes de seguridad +sto puede implicar que alguien dentro de la organizacin asigne un (alor monetario a cada equipo y un arc$i(o en la red o asignar un (alor relati(o a cada sistema y la informacin so%re ella Dentro de los (alores para el sistema se pueden distinguir1 confidencialidad de la informacin, la integridad 'aplicaciones e informacin) y finalmente la disponi%ilidad del sistema Cada uno de estos (alores es un sistema independiente del negocio, supongamos el siguiente e*emplo, un ser(idor &e% p.%lico pueden poseer la caracterstica de confidencialidad %a*a 'ya que toda la informacin es p.%lica) pero necesita alta disponi%ilidad e integridad, para poder ser confia%le +n contraste, un sistema de planificacin de recursos empresariales '+>!) es, $a%itualmente, un sistema que posee alto punta*e en las tres (aria%les Los incidentes indi(iduales pueden (ariar ampliamente en t#rminos de alcance e importancia

PUESTA EN MARCHA DE UNA POLITICA DE SEGURIDAD

Actualmente las legislaciones nacionales de los +stados, o%ligan a las empresas, instituciones p.%licas a implantar una poltica de seguridad !or e*emplo, en +spaa, la Ley Ergnica de !roteccin de Datos de carcter personal o tam%i#n llamada LE!D y su normati(a de desarrollo, protege ese tipo de datos estipulando medidas %sicas y necesidades que impidan la p#rdida de calidad de la informacin o su ro%o Fam%i#n en ese pas, el

+squema Nacional de 2eguridad esta%lece medidas tecnolgicas para permitir que los sistemas informticos que prestan ser(icios a los ciudadanos cumplan con unos requerimientos de seguridad acordes al tipo de disponi%ilidad de los ser(icios que se prestan =eneralmente se ocupa e"clusi(amente a asegurar los derec$os de acceso a los datos y recursos con las $erramientas de control y mecanismos de identificacin +stos mecanismos permiten sa%er que los operadores tienen slo los permisos que se les dio La seguridad informtica de%e ser estudiada para que no impida el tra%a*o de los operadores en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza !or eso en lo referente a ela%orar una poltica de seguridad, con(iene1 +la%orar reglas organizacin y procedimientos para cada ser(icio de la

Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posi%le intrusin 2ensi%ilizar a los operadores con los pro%lemas ligados con la seguridad de los sistemas informticos Los derec$os de acceso de los operadores de%en ser definidos por los responsa%les *errquicos y no por los administradores informticos, los cuales tienen que conseguir que los recursos y derec$os de acceso sean co$erentes con la poltica de seguridad definida Adems, como el administrador suele ser el .nico en conocer perfectamente el sistema, tiene que deri(ar a la directi(a cualquier pro%lema e informacin rele(ante so%re la seguridad, y e(entualmente aconse*ar estrategias a poner en marc$a, as como ser el punto de entrada de la comunicacin a los tra%a*adores so%re pro%lemas y recomendaciones en t#rmino de seguridad informtica

TECNICAS PARA ASEGURAR EL SISTEMA +l acti(o ms importante que se posee es la informacin y, por lo tanto, de%en e"istir t#cnicas que la aseguren, ms all de la seguridad fsica que se esta%lezca so%re los equipos en los cuales se almacena +stas t#cnicas las %rinda la seguridad lgica que consiste en la aplicacin de %arreras y procedimientos que resguardan el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para $acerlo Cada tipo de ataque y cada sistema requiere de un medio de proteccin o ms 'en la mayora de los casos es una com%inacin de (arios de ellos) A continuacin se enumeran una serie de medidas que se consideran %sicas para asegurar un sistema tipo, si %ien para necesidades especficas se requieren medidas e"traordinarias y de mayor profundidad1 /tilizar t#cnicas de desarrollo que cumplan con los criterios de seguridad al uso para todo el soft&are que se implante en los sistemas, partiendo de estndares y de personal suficientemente formado y concienciado con la seguridad 0mplantar medidas de seguridad fsicas1 sistemas anti incendios, (igilancia de los centros de proceso de datos, sistemas de proteccin contra inundaciones, protecciones el#ctricas contra apagones y so%retensiones, sistemas de control de accesos, etc Codificar la informacin1 criptologa, criptografa y criptociencia +sto se de%e realizar en todos aquellos trayectos por los que circule la informacin que se quiere proteger, no solo en aquellos ms (ulnera%les !or e*emplo, si los datos de una %ase muy confidencial se $an protegido con dos ni(eles de fire&all, se $a cifrado todo el trayecto entre los clientes y los ser(idores y entre los propios ser(idores, se utilizan certificados y sin em%argo se de*an sin cifrar las impresiones en(iadas a la impresora de red, tendramos un punto de (ulnera%ilidad Contraseas deducidas a comparacin periodicidad difciles de a(eriguar que, por e*emplo, no puedan ser partir de los datos personales del indi(iduo o por con un diccionario, y que se cam%ien con la suficiente Las contraseas, adems, de%en tener la suficiente

comple*idad como para que un atacante no pueda deducirla por medio de programas informticos +l uso de certificados digitales me*ora la seguridad frente al simple uso de contraseas ?igilancia de red Las redes transportan toda la informacin, por lo que adems de ser el medio $a%itual de acceso de los atacantes, tam%i#n son un %uen lugar para o%tener la informacin sin tener que acceder a las fuentes de la misma !or la red no solo circula la informacin de fic$eros informticos como tal, tam%i#n se transportan por ella1 correo electrnico, con(ersaciones telefnica '?o0!), mensa*era instantnea, na(egacin 0nternet, lecturas y escrituras a %ases de datos, etc !or todo ello, proteger la red es una de las principales tareas para e(itar ro%o de informacin +"isten medidas que a%arcan desde la seguridad fsica de los puntos de entrada $asta el control de equipos conectados, por e*emplo ;:B 8" +n el caso de redes inalm%ricas la posi%ilidad de (ulnerar la seguridad es mayor y de%en adoptarse medidas adicionales >edes perimetrales de seguridad, o D3S, permiten generar reglas de acceso fuertes entre los usuarios y ser(idores no p.%licos y los equipos pu%licados De esta forma, las reglas ms d#%iles solo permiten el acceso a ciertos equipos y nunca a los datos, que quedarn tras dos ni(eles de seguridad Fecnologas repelentes o protectoras1 cortafuegos, sistema de deteccin de intrusos D antispy&are, anti(irus, lla(es para proteccin de soft&are, etc 3antener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener la informacin en dos u%icaciones de forma asncrona Controlar el acceso a la informacin por medio de permisos centralizados y mantenidos 'tipo Acti(e Directory, LDA!, listas de control de acceso, etc ) Los medios para conseguirlo son1 >estringir el acceso 'de personas de la organizacin y de las que no lo son) a los programas y arc$i(os Asegurar que los operadores puedan tra%a*ar pero que no puedan modificar los programas ni los arc$i(os que no correspondan 'sin una super(isin minuciosa) Asegurar que se utilicen los datos, arc$i(os y programas correctos

enHyHpor el procedimiento elegido Asegurar que la informacin transmitida sea la misma que reci%a el destinatario al cual se $a en(iado y que no le llegue a otro y que e"istan sistemas y pasos de emergencia alternati(os de transmisin entre diferentes puntos Erganizar a cada uno de los empleados por *erarqua informtica, con cla(es distintas y permisos %ien esta%lecidos, en todos y cada uno de los sistemas o aplicaciones empleadas Actualizar constantemente las contraseas de accesos a los sistemas de cmputo, como se $a indicado ms arri%a, e incluso utilizando programa que ayuden a los usuarios a la gestin de la gran cantidad de contraseas que tienen gestionar en los entornos actuales, conocidos $a%itualmente como gestores de identidad >edundancia y descentralizacin

Respaldo de informacin La informacin constituye el acti(o ms importante de las empresas, pudiendo (erse afectada por muc$os factores tales como ro%os, incendios, fallas de disco, (irus u otros Desde el punto de (ista de la empresa, uno de los pro%lemas ms importantes que de%e resol(er es la proteccin permanente de su informacin crtica La medida ms eficiente para la proteccin de los datos es determinar una %uena poltica de copias de seguridad o %ac4ups +ste de%e incluir copias de seguridad completa 'los datos son almacenados en su totalidad la primera (ez) y copias de seguridad incrementales 'solo se copian los fic$eros creados o modificados desde el .ltimo %ac4up) +s (ital para las empresas ela%orar un plan de %ac4up en funcin del (olumen de informacin generada y la cantidad de equipos crticos /n %uen sistema de respaldo de%e contar con ciertas caractersticas indispensa%les1

 Continuo +l respaldo de datos de%e ser completamente automtico y continuo De%e funcionar de forma transparente, sin inter(enir en las tareas que se encuentra realizando el usuario 2eguro 3uc$os soft&ares de respaldo incluyen cifrado de datos, lo cual de%e ser $ec$o localmente en el equipo antes del en(o de la informacin >emoto Los datos de%en quedar alo*ados en dependencias ale*adas de la empresa 3antenimiento de (ersiones anteriores de los datos 2e de%e contar con un sistema que permita la recuperacin de, por e*emplo, (ersiones diarias, semanales y mensuales de los datos @oy en da los sistemas de respaldo de informacin online, ser(icio de %ac4up remoto, estn ganando terreno en las empresas y organismos gu%ernamentales La mayora de los sistemas modernos de respaldo de informacin online cuentan con las m"imas medidas de seguridad y disponi%ilidad de datos +stos sistemas permiten a las empresas crecer en (olumen de informacin deri(ando la necesidad del crecimiento de la copia de respaldo a pro(eedor del ser(icio

Proteccin contra virus Los (irus son uno de los medios ms tradicionales de ataque a los sistemas y a la informacin que sostienen !ara poder e(itar su contagio se de%en (igilar los equipos y los medios de acceso a ellos, principalmente la red

Control del software instalado Fener instalado en la mquina .nicamente el soft&are necesario reduce riesgos As mismo tener controlado el soft&are asegura la calidad de la procedencia del mismo 'el soft&are o%tenido de forma ilegal o sin garantas aumenta los riesgos) +n todo caso un in(entario de soft&are proporciona un m#todo correcto de asegurar la reinstalacin en caso de desastre +l soft&are con m#todos de instalacin rpidos facilita tam%i#n la reinstalacin en caso de contingencia Control de la red Los puntos de entrada en la red son generalmente el correo, las pginas &e% y la entrada de fic$eros desde discos, o de ordenadores a*enos, como porttiles 3antener al m"imo el n.mero de recursos de red solo en modo lectura, impide que ordenadores infectados propaguen (irus +n el mismo sentido se pueden reducir los permisos de los usuarios al mnimo 2e pueden centralizar los datos de forma que detectores de (irus en modo %atc$ puedan tra%a*ar durante el tiempo inacti(o de las mquinas Controlar y monitorizar el acceso a 0nternet puede detectar, en fases de recuperacin, cmo se $a introducido el (irus Proteccin fsica de acceso a las redes 0ndependientemente de las medidas que se adopten para proteger a los equipos de una red de rea local y el soft&are que reside en ellos, se de%en tomar medidas que impidan que usuarios no autorizados puedan acceder Las medidas $a%ituales dependen del medio fsico a proteger A continuacin se enumeran algunos de los m#todos, sin entrar al tema de la proteccin de la red frente a ataques o intentos de intrusin desde redes

e"ternas, tales como 0nternet Redes cableadas Las rosetas de cone"in de los edificios de%en estar protegidas y (igiladas /na medida %sica es e(itar tener puntos de red conectados a los s&itc$es A.n as siempre puede ser sustituido un equipo por otro no autorizado con lo que $acen falta medidas adicionales1 norma de acceso ;:B 8", listas de control de acceso por 3AC addresses, ser(idores de D@C! por asignacin reser(ada, etc Redes inalmbricas +n este caso el control fsico se $ace ms difcil, si %ien se pueden tomar medidas de contencin de la emisin electromagn#tica para circunscri%irla a aquellos lugares que consideremos apropiados y seguros Adems se consideran medidas de calidad el uso del cifrado ' A!A, A!A ( B, uso de certificados digitales, etc ), contraseas compartidas y, tam%i#n en este caso, los filtros de direcciones 3AC, son (arias de las medidas $a%ituales que cuando se aplican con*untamente aumentan la seguridad de forma considera%le frente al uso de un .nico m#todo S !"#"$ %"&! 2anitizacin en mane*o de informacin confidencial o sensi%le es el proceso lgico yHo fsico mediante el cual se remue(e informacin considerada sensi%le o confidencial de un medio ya sea fsico o magn#tico, ya sea con el o%*eto de desclarificarlo, reutilizar el medio o destruir el medio en el cual se encuentra M'("&) E*'%#+&!"%&) +n 3edios Digitales la sanitizacin es el proceso lgico yHo fsico mediante el cual se elimina la informacin de un medio magn#tico, esto incluye el %orrado seguro de los arc$i(os, la destruccin fsica del medio, esto con el o%*eti(o que no se pueda o%tener informacin del medio

P+&%')& L,-"%& La sanitacin lgica se realiza mediante <orrado 2eguro, que comprende un con*unto de t#cnicas que tienen como o%*eti(o (ol(er imposi%le la recuperacin de la informacin almacenada en el medio magn#tico por medios digitales +stos m#todos de %orrado comprenden usualmente la so%reescritura de ceros yHo unos a ni(el de %it en procesos repetiti(os M.#&(&) (' B&++ (& 3#todo =utmann +l 3#todo =utmann es un algoritmo para eliminar de forma segura el contenido de un disco duro u otro medio de almacenamiento magn#tico +ste algoritmo fue diseado por !eter =utmann y Colin !lum% 2u funcionamiento consiste en escri%ir so%re los datos originales una serie de CJ diferentes patrones de tal forma que sea e"tremadamente difcil 'para efectos prcticos, imposi%le) sa%er el contenido original Los patrones a ser empleados suponen que el usuario desconoce la forma de codificacin de la informacin en el medio magn#tico, por lo cual incluye patrones especficos para tres tipos de discos duros 2i el usuario conoce que codificacin utilizara el disco duro, puede especificarlo

Actualidad +n la actualidad los discos duros ya no utilizan los m#todos de codificacin '353H>LL) para los cuales fue diseado el 3#todo de =utmann !eter =utmann en su ensayo original nos informa que para estos discos '!>3LH+!>3L) solamente es necesario escri%ir un par de (eces datos aleatorios so%re los originales para e(itar la recuperacin de la informacin original

+n 8LL9, cuando este m#todo fue desarrollado, fue posi%le utilizando un osciloscopio digital para recuperar los datos despu#s de ; so%reescrituras de estos @oy en da, al contar con una mayor densidad de datos so%re la superficie de los discos duros, el n.mero de so%reescrituras necesarias $a disminuido considera%lemente +scri%ir de forma aleatoria no es la solucin en los discos duros antiguos, ya que muc$as (eces, la secuencia escrita no altera totalmente el campo magn#tico posi%ilitando la recuperacin de los datos originales Ca%e mencionar que en la actualidad, la gran mayora de los sistemas operati(os por defecto al eliminar un arc$i(o simplemente lo marcan como eliminado y la zona que contiene los datos como (aca, pero en realidad los datos quedan sin ser alterados en el soporte fsico que los contiene +stos datos quedarn en el soporte fsico $asta que alg.n otro arc$i(o utilice este espacio marcado como (aco 3ientras ning.n un otro arc$i(o modifique estos datos, el arc$i(o eliminado podr ser recuperado sin pro%lemas DED JBB: BBD38 2c$neier !fitzner >C3! F220F E!2D00 =E2F > J:ICLDLJ ?20F> NS20F K:B C2+C 0F2=D:9 NC2CDF=D:BJ A5220DJ:B: A> C;:D8L 023 9 B LB NA?2E !DJBCLDB9 @3= 02J

Proceso fsico 2e procede a la destruccin del medio fsico ms all de condiciones de posi%le recuperacin !ara cada tipo de medio fsico e"isten t#cnicas $erramientas y maquinarias diseadas para su destrucin +mpresas con altos estndares de seguridad informtica como =oogle, destruyen sus medios magn#ticos y el residual es en(iado a f%ricas de recicla*e B n material Impreso +n el caso que el medio fsico sea papel, la sanitarizacin se lle(a a ca%o por medio de la destruccin del medio, esto se lle(a a ca%o por medio de trituracin o incineracin del medio +n los casos en los cuales el material impreso de%e ser entregado a usuarios sin el ni(el de seguridad de necesario para accesar a la informacin confidencial o sensi%le se procede a la censura de la informacin confidencial +n muc$os casos al censurar la informacin confidencial dentro de un documento se o%tiene el ni(el de sanitarizacin necesaria en el mismo para que el mismo ya no sea considerado sensi%le o confidencial

MITOS DE LA SEGURIDAD /M" )")#'0 !& ') "01&+# !#' 1 + 2! 3 %4'+5 +sta afirmacin se %asa en la idea de que no introducir contraseas seguras en una empresa no entraa riesgos pues , Tqui#n (a a querer o%tener informacin maU- 2in em%argo, dado que los m#todos de contagio se realizan por medio de programas automticos, desde unas mquinas a otras, estos no distinguen %uenos de malos, interesantes de no interesantes, etc !or tanto a%rir sistemas y de*arlos sin cla(es es facilitar la (ida a los (irus y de posi%les atacantes Etra consideracin respecto a esta afirmacin que la lle(an a ser falsa es que muc$os ataques no tienen otro fin que el destruir por destruir sin e(aluar la importancia

 /E)#&6 1+&#'-"(& 12') !& 7+& +%3"8&) 92' !& %&!&$%&5 +sto es falso, pues e"isten m.ltiples formas de contagio, adems los programas realizan acciones sin la super(isin del usuario poniendo en riesgo los sistemas, si %ien la medida es en s acertada y recomenda%le /C&0& #'!-& !#"8"+2) ')#&6 1+&#'-"(&5 +n general los programas anti(irus no son capaces de detectar todas las posi%les formas de contagio e"istentes, ni las nue(as que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicacin, adems los anti(irus son (ulnera%les a des%ordamientos de %.fer que $acen que la seguridad del sistema operati(o se (ea ms afectada a.n, aunque se considera como una de las medidas pre(enti(as indispensa%le /C&0& (")1&!-& (' 2! :"+'; ** !& 0' %&!# -"&5 +sto .nicamente proporciona una limitada capacidad de respuesta Las formas de infectarse en una red son m.ltiples /nas pro(ienen directamente de accesos al sistema 'de lo que protege un fire&all) y otras de cone"iones que se realizan 'de las que no me protege) +mplear usuarios con altos pri(ilegios para realizar cone"iones puede entraar riesgos, adems los fire&alls de aplicacin 'los ms usados) no %rindan proteccin suficiente contra el spoofing +n todo caso, el uso de cortafuegos del equipo y de la red se consideran altamente recomenda%les /T'!-& 2! )'+8"(&+ ;'7 %26& )")#'0 &1'+ #"8& ') 2! U!"< %#2 *"$ (& * :'%3 6 1&+ # !#& )'-2+&5 !uede que est# protegido contra ataques directamente $acia el n.cleo, pero si alguna de las aplicaciones &e% '!@!, !erl, Cpanel, etc ) est desactualizada, un ataque so%re alg.n script de dic$a aplicacin puede permitir que el atacante a%ra una s$ell y por ende e*ecutar comandos en el uni" Fam%i#n $ay que recordar que un sistema actualizado no est li%re de (ulnera%ilidades sino que no se tiene ninguna de las descu%iertas $asta el

momento

O+- !")0&) &:"%" *') (' )'-2+"( ( "!:&+0=#"% +"isten organismos oficiales encargados de asegurar ser(icios de pre(encin de riesgos y asistencia a los tratamientos de incidencias, tales como el Computer +mergency >esponse Feam Coordination CenterB del 2oft&are +ngineering 0nstituteC de la Carnegie 3ellon /ni(ersity el cual es un centro de alerta y reaccin frente a los ataques informticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesi%les a todo el mundo

+spaa +l 0nstituto Nacional de Fecnologas de la Comunicacin '0NF+CE) es un organismo dependiente de >ed es y del 3inisterio de 0ndustria, +nerga y Furismo de +spaa

/nin +uropea La Comisin +uropea $a decidido crear el Centro +uropeo de Ci%erdelincuencia el +CC a%ri efecti(amente el 8 de enero de B:8C y ser el punto central de la luc$a de la /+ contra la delincuencia ci%ern#tica , contri%uyendo a una reaccin ms rpida a los delitos en lnea 2e prestar apoyo a los +stados miem%ros y las instituciones de la /+ en la construccin de una capacidad operacional y analtico para la in(estigacin , as como la cooperacin con los socios internacionales

Alemania +l 89 de *unio de B:88, el ministro alemn del 0nterior, inaugur oficialmente el nue(o Centro Nacional de Defensa Ci%ern#tica 'NCAS, o Nationales Cy%erD A%&e$rzentrum) que se encuentra en <onn +l NCAS coopera estrec$amente con la Eficina 5ederal para la 2eguridad de la 0nformacin '<undesamt fVr 2ic$er$eit in der 0nformationstec$ni4, o <20)O la Eficina 5ederal de la !olica Criminal '<undes4riminalamt, <PA)O el 2er(icio 5ederal de 0nteligencia '<undesnac$ric$tendienst, o <ND)O el 2er(icio de 0nteligencia 3ilitar 'Amt fVr den 3ilitWrisc$en A%sc$irmdienst, o 3AD) y otras organizaciones nacionales en Alemania 2eg.n el 3inistro la tarea primordial de la nue(a organizacin fundada el BC de fe%rero de B:88, es detectar y pre(enir los ataques contra la infraestructura nacional

+stados /nidos +l 8 de *ulio de B::L, el senador Xay >oc4efeller ' D DA? ) introdu*o la YLey de 2eguridad Ci%ern#tica de B::L D 2 IIC Y 'te"to completo ) en el 2enado , el proyecto de ley, co D escrito con los senadores +(an <ay$ 'DD 0L), <ar%ara 3i4uls4i 'D D3D) , <ill Nelson 'D D5L ) y Elympia 2no&e '> D3+ ) , se remiti a la Comisin de Comercio, Ciencia y Fransporte , que apro% una (ersin re(isada del mismo proyecto de ley 'el Y Ley de ci%erseguridad de B:8: Y) el BK de marzo de B:8: el proyecto de ley %usca aumentar la cola%oracin entre el sector p.%lico y el sector pri(ado en temas de ci%erseguridad , en especial las entidades pri(adas que poseen las infraestructuras que son fundamentales para los intereses de seguridad nacionales ' las comillas cuenta Xo$n <rennan, el Asistente del !residente para la seguridad Nacional y Contraterrorismo 1 Y la seguridad de nuestra nacin y la prosperidad econmica depende de la seguridad, la esta%ilidad y la integridad de las comunicaciones y la infraestructura de informacin que son en gran parte pri(ados que operan a ni(el mundial Y y $a%la de la respuesta del pas a un Yci%er D Patrina Y ) , aumentar la conciencia p.%lica so%re las cuestiones de seguridad ci%ern#tica , y fomentar la in(estigacin y la ci%erseguridad fondo Algunos de los puntos ms contro(ertidos del proyecto de ley incluyen el prrafo C8J , que otorga al !residente el derec$o a Y solicitar la limitacin o el cierre del trfico de 0nternet $acia y desde el =o%ierno 5ederal comprometido o sistema de informacin de +stados /nidos o de las infraestructuras crticas de la red Y la +lectronic 5rontier 5oundation , una defensa de los derec$os

digitales sin fines de lucro y la organizacin legal con sede en los +stados /nidos , que se caracteriza el proyecto de ley como la promocin de un Y enfoque potencialmente peligrosa que fa(orece la dramtica so%re la respuesta so%ria Y