Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ethical Hacking
2.0
Ratings: (0)|Views: 180 |Likes: 0
Publicado porgogoyubarismooth
See more
1.
GNESIS DE
UN NUEVO
ARTE
14
www.
redusers
.com
Con
cept
os
des
egu
rida
d
info
rm
tica
Para
comenzar a
tratar temas
relacionados
con la
seguridadin
formtica
, nos ser
primero de
suma
utilidad
saber
precisament
ea qu nos
estamos
reriendo.
Dependiendo
de la
bibliografa o
lasreferencia
s que
habitualment
e se
consulten,
encontrarem
os decenas
dedenicione
s que no
viene al caso
discutir en
esta
instancia.
Desde
hacepoco
ms de dos
dcadas,
muchas
personas
han creado
sus
propiassigni
caciones
para explicar
la idea del
tema,
intentando
ser lo
msacertada
s posible.
As, nos
hemos
enfrentado a
relaciones
absurdasentr
e los
conceptos de
seguridad en
s misma (en
sus
denicionesl
egales,
militares y
dems) y el
de
informticae
n s misma
(en sus
deniciones
de
ingenieray
sistemas),
que han
cambiado
con el
contextohist
rico a lo
largo del
tiempo. Por
supuesto,no
nos
referamos a
la misma
informtica
en ladcada
del 70 que
en la del 90,
y mucho
menos,que
en la
segunda
dcada del
s de
expresar la
idea de
seguridadinf
ormtica sea
la siguiente:
un conjunto
demedidas
de
prevencin,
deteccin y
correccin,
orientadas a
protegerla
condenciali
dad,
integridad y
disponibilida
d de los
activos
deinformaci
n.
Destacamos
la elegancia
de la
denicin,
dada la
grancantidad
de conceptos
que incluye y
la amplitud
del espectro
deconocimie
ntos que
pretende aba
rcar.
Por el ao
1986,
The Mentor
, un conocido
hacker de la
poca, escribi
un ensayo en el
cual
dejabaentrever
cmo pensaban
los primeros
hackers.
All propone
que ellos
hackeaban
como
medio para
apren-der y,
tambin, como
una forma de
protestar
contra las
limitaciones
que impona la
sociedad.
THE
HACKER
MANIFE
STO
LA
SEGURI
DADTIE
NE
ACEPCI
ONESD
EPENDI
ENDOD
EL
CONTE
XTOPAR
TICULA
R DE
USO
www.FreeLib
ros.me
ETHICAL
HACKING 2.0
15
www.
redusers
.com
Segur
idad
de la
infor
maci
n
En los
ltimos aos,
la vigencia
de los temas
referidos a
seguridadinf
ormtica
comenz a
extenderse a
otras reas;
tanto es as,
quetrascendi
las
fronteras de
la
informtica
propiamente
dicha,elevan
do de alguna
manera su
horizonte
deresponsabi
lidad y
constituyend
o el
nuevoconcep
to de
seguridad
de
la informaci
n
. Estehecho
se basa en
que la
informacin
va
muchoms
all de la
netamente
procesada
por
equiposinfor
mticos y
sistemas; es
decir,
tambin
abarcaaquell
o que
pensamos,
que est
escrito en
unpapel, que
decimos,
etctera.Si
consultamos
la norma
ISO/IEC
27.001
, estanos
dice que la
seguridad
de
la informaci
n
esaquella
disciplina
que tiene por
objeto
preservarla
condencia
lidad
,
integridad
y
disponibilid
ad
de la
informacin;
y que puede
involucrar
otras
propiedades,
como la
autenticidad,
laresponsabil
idad (
accountabili
ty
), el no
repudio y la
trazabilidad.
A partir de
estas
deniciones,
podemos
determinar
que
esteconcepto
incluye al
anterior
como caso
particular,
por el hecho
deagregar
otras reas
de dominio.
Algunos
temas no
relacionados
directamente
con la
informtica
pero s con la
informacin
son,por
ejemplo, los
que tienen
que ver con
anlisis y
gestin de
riesgos,valua
cin de
activos,
gestin de
incidentes,
cumplimient
o de leyesy
regulaciones,
polticas y
procedimient
os, planes de
contingencia
ycontinuidad
de negocios,
entre
otros.En este
libro,
elegiremos
un enfoque
especco
sobre los
temastcnico
s que s
estn
estrictament
e
relacionados
con
la informtic
a, porlo que
no incluiremo
s ms que
comentarios
o anexos
sobre otros
tpicos.
Kriptpolis
(
www.kriptopo
lis.org
) es un histrico
sitio y blog en
espaol
dedicado a la
criptografa y a
laseguridad,
con grandes
profesionales
que colaboran
en su
desarrollo.
Tambin
dispone de
un foro
dondese tratan
diversas
temticas,
como migracin
a sistemas
operativos
libres,
seguridad,
criptografa,pro
yectos
colaborativos
abiertos y otros
tpicos de
debate.
RECURS
OS EN
ESPAO
L
LA
INFORM
ACIN
VAMUC
HO MS
ALLDE
LO
PROCES
ADOPO
R
EQUIPO
SINFOR
MTICO
S
www.FreeLib
ros.me
1.
GNESIS DE
UN NUEVO
ARTE
16
www.
redusers
.com
Defen
sa en
profu
ndida
d
En el rea
militar se
utiliza el
trmino
defensa en
profundida
d
para
denotar el
uso de varias
lneas de
defensa
consecutivas
, cada unade
ellas con un
nivel de
proteccin
creciente, en
vez de una
nicabarrera
muy fuerte.
Las ideas de
su
implementac
in terica
se basan
enque un
potencial
enemigo
perder
fuerzas al
superar cada
barrera
y,adems,
dispersar
sus recursos
y potencia,
con lo cual
se
debilitar.As
, quien se
deende
puede
centrar sus
esfuerzos en
la
reorganizaci
ny la accin
estratgica.
En nuestra
rea,
tomamos
prestado
esteconcepto
para
aplicarlo a
los sistemas
informticos.
A n de
ampliar estos
trminos,
recomendam
os
fuertemente
lalectura de
un
documento,
que ha sido
traducido al
espaol,
creado por la
Direccin
Central de
la
Seguridad
de los
Sistemas
de Informac
indel
Gobierno
Francs
(SGDN/DCSS
I), cuyo sitio
web es
www.ssi.gov
.fr
. Un extracto
de dicho
texto
enuncia: La
defensa en
profundidad
delsistema
de
informacin
es una
defensa
global y
dinmica,
que coordina
Figura 1.
Representa
cin de la
Defensa
en
profundid
ad
. En
elcentro
encontramo
s los
activos
de informac
in que se
busca
proteger.
Controles
Fsicos:
Control
de acceso
fsico,
Cmarasde
vigilancia,
Controles
ambientales,
Sistemasde
deteccin
y supresin de
incendios, etc.
Controles
Lgicos o
Tcnicos:
Control
de acceso
lgico,Cifrado
de datos
y enlaces,
Autenticacin,
SistemasAnto
malware,
Sistemas de
Monitoreo,
etc.
Controles
Administrati
vos:
Poltica,
Normas,
Procesos,Proce
dimientos,
Estndares,
Guas,
Programasde
Entrenamient
oy
Concientizaci
n, etc.
Datos y
Activos de
informacin
de
la Organizac
in
www.FreeLibr
os.me
ETHICAL
HACKING 2.0
17
www.
redusers
.com
varias lneas
de defensa
que cubren
toda la
profundidad
del
sistema.El
trmino
profundidad
debe
entenderse
en su sentido
ms
amplio,es
decir, en la
organizacin
de un
Sistema de
Gestin de
Seguridadd
e la
Informacin
(SGSI), en su
implementaci
n y, por
ltimo, en
lastecnologa
s utilizadas.
Se trata, por
lo tanto,
decoordinar
las acciones
que
contengan
los
atentadoscon
tra la
seguridad, al
menor costo,
mediante
lagestin de
los riesgos,
un sistema
de informes,
laplanicaci
n de las
reacciones y
la mejora
continuagraci
as a la
experiencia
adquirida.Ot
ra denicin
de este
concepto
asociado
auna
organizacin
se encuentra
en el
documentod
el
NIST
SP800-53
:
Recommen
ded
SecurityCon
trols for
Federal
Information
Systemsan
d Organizat
ions
, el cual
dene a la
defensa
enprofundida
d como una
estrategia de
la
seguridad
de
la informaci
n
que
contempla
las
actividades
operativas
cotidianas, la
tecnologa
ylas
personas, de
cara a
establecer
un conjunto
de barreras o
controlesimp
lementados
en mltiples
capas de la
organizacin.
Es
importante
recalcar que
los controles
no deben ser
nicamentet
cnicos, sino
que tambin
deben
considerarse
controles de
seguridadad
ministrativos
y fsicos. Los
administrativ
os son
aquellos
basados
enlas
deniciones
del marco
normativo de
una
organizacin.
Los fsicos,en
cambio, son
los que
contemplan
aquellas
protecciones
fsicas
queimpedira
no
demoraran
el accionar
de un
potencial
atacante.
Porejemplo,
una
cerradura
electrnica
implementad
a en el
centro
decmputos
que permita
el acceso
solo de
personal
autorizado
es uncontrol
fsico. Pero la
denicin de
cules sern
los usuarios
que
estnautoriz
ados para
acceder a
dicho centro
es un control
administrativ
o.
ES
NECESA
RIOCOO
RDINAR
LASACC
IONES
CONTR
AATENT
ADOS
DESEGU
RIDAD
Algunas
universidades
tienen en sus
sitios web
excelentes
recursos y una
amplia
variedad
de informacin
disponible para
ser descargada.
De las que
estn en
espaol
podemos citar
a la Universidad
Politcnicade
Madrid (
www.upm.es
), laUniversidad
Politcnica de
Valencia (
www.upv.es
), laUniversidad
Politcnicade
Catalunya (
www.upc.es
) y la
Universidad
Autnoma de
Mxico (
www.unam.ed
u.mx
), entre otras.
RECURS
OS
ACADM
ICOS
www.FreeLib
ros.me
1.
GNESIS DE
UN NUEVO
ARTE
18
www.
redusers
.com
La
implementac
in en un
servidor de
archivos de
un control
deacceso
mediante
usuario y
contrasea
en forma
arbitraria no
implicaque el
control de
acceso se
haya
diseado
contempland
o controles
dedefensa
en
profundidad.
El escenario
cambia
cuando, en
funcin de
los
requerimient
os
denegocio,
se dene
quines
sern los
usuarios que
podrn
acceder
alservidor
(control
administrativ
o), cundo la
informacin
alojada enl
es clasicada
en funcin
de su
criticidad
parala
organizacin
(control
administrativ
o), cundose
implementa
un
mecanismo
de
autenticaci
ny cifrado
fuerte a la
informacin
de
mayorsensibi
lidad (control
tcnico) y
cundo el
servidorfsico
que contiene
la
informacin
sensible
estmonitore
ado 7x24
(control
fsico). Estos
son
soloalgunos
ejemplos de
controles
implementad
osrespetand
o el concepto
de defensa
enprofundida
d, ya que, en
caso de que
alguno
seavulnerad
o, el
atacante
tendr por
delante
unconjunto
de otros
controles de
mayor nivel
de
sosticacin.
De este
modo, la
implementac
in efectiva
del concepto
de
defensaen
profundidad
permite a las
organizacion
es estar
mejor
preparadasfr
ente a
diferentes
tipos de
amenazas.
En la
Figura 1
pudimos
apreciaruna
representaci
n grca de
l, donde
cada capa
representa
un tipode
control:
administrativ
o, tcnico o
fsico.Este
concepto
cobra vital
importancia,
no
solamente
desde la
pticadel
responsable
de seguridad
de la
informacin
de las
organizacion
es
encargado
de velar por
que todos los
controles
funcionen de
maneraadec
uada, sino
tambin
desde la del
atacante,
quien es, en
denitiva,el
que deber
saltear estos
controles
para cumplir
su objetivo.
Information
Systems
Security
Association (
www.issa.org
) es una
organizacin
internacional
sin nes
delucro que
rene a
profesionales
de la seguridad
de la
informacin de
todo el mundo.
Con el n de
adap-tarse a las
necesidades de
cada regin, a
su vez se divide
en captulos
asociados a
pases y
ciudades.
ISSA
LA
DEFENS
A
ENPRO
FUNDID
ADPER
MITE A
LASOR
GANIZA
CIONES
ESTAR
PREPAR
ADAS
www.FreeLib
ros.me
ETHICAL
HACKING 2.0
19
www.
redusers
.com
Los
prota
gonis
tas
Algunos
trminos han
sido muy
mencionados
y
manipulados
enlos ltimos
tiempos,
muchas
veces, en
forma
malintencion
ada o
sincomprend
er el
concepto
subyacente.
Detrs de
esto existe
una cuotade
marketing,
que hace
que la
sociedad
reconozca lo
que los
mediosde
comunicaci
n, tan
cuestionados
ltimamente
y con razn,
letransmiten.
Intentaremos
arrojar luz
sobre
algunos
conceptos de
lamanera
ms objetiva
posible.
Hacker
s
La palabra
hacker
es un
neologismo,
que en
informtica
se utilizapara
referirse a un
gran experto
en algn
rea de
dominio. Si
bien
lorelacionam
os ms con
los
conocimiento
s tcnicos e
informticos,
esposible
extender el
concepto
hacia otras
disciplinas.
De esta
manera,den
imos as a
cualquier
persona a la
que le
apasiona el
conocimiento
,el
descubrimie
nto, el
aprendizaje y
el
funcionamie
nto de las
cosas.
Figura 2.
Brian May
y su
Red
Special
, la guitarra
que
construy j
unto con su
padre y lo
acompa
durante
toda su
carrera.
www.FreeLib
ros.me
Actividad (2)
FILTERS
Ms de este usuario
Canibalismo
GOGOYUBARISMOOTH
Luchas de Poder
GOGOYUBARISMOOTH
Readaptacion-e-medidaN3.pdf
GOGOYUBARISMOOTH
CC 57 art 4_2.pdf
GOGOYUBARISMOOTH
GOGOYUBARISMOOTH
379_2.pdf
GOGOYUBARISMOOTH
instruymediciones.pdf
GOGOYUBARISMOOTH
IPN.pdf
GOGOYUBARISMOOTH
Mentes Recicladas.pdf
GOGOYUBARISMOOTH
Tema+1+Representacin+Grfica+y+Metrologa.pdf
GOGOYUBARISMOOTH
46a49_248_METROLOGIAB.pdf
GOGOYUBARISMOOTH
nuc055212.pdf
GOGOYUBARISMOOTH
1109.pdf
GOGOYUBARISMOOTH
Intro_01.pdf
GOGOYUBARISMOOTH
379.pdf
GOGOYUBARISMOOTH
ensayo1t31.pdf
GOGOYUBARISMOOTH
84916714035.pdf
GOGOYUBARISMOOTH
Dialnet-ComoMedirLaIncertidumbreDeMedir-3330586.pdf
GOGOYUBARISMOOTH
mate92.pdf
GOGOYUBARISMOOTH
Choose a format:
.PDF
.TXT
DESCARGA
Recomendado
Missing: A Memoir
Simon & Schuster
Anterior|PrximoPage 1 of 8
.PDF
.TXT
DESCARGA
SOBRE
Browse books
Browse documents
Acerca de Scribd
Team
Blog
Contctenos
SUSCRIPCIONES
Subscribe today
Your subscription
Gifts
PUBLICITE CON NOSOTROS
AdChoices
SOPORTE
Ayuda
PUF
Prensa
Purchase help
SOCIOS
Editores
Desarrolladores / API
LEGAL
Condiciones
Privacidad
Copyright