Seguridad de la Informacin

Mtro. Ren Martnez Hernndez

Temas a tratar

Introduccin a la Seguridad de la Informacin.

Polticas de seguridad.
Escenarios de ataques a redes.
Cdigo malicioso.
Principios matemticos para criptografa.
Algoritmos de criptografa.
Normatividad nacional e internacional de seguridad.

Introduccin a la Seguridad de la Informacin.

Antes de empezar con la informacin quiero citar una frase:
El nico sistema seguro es aqul que est apagado en el interior de un bloque de
hormign protegido en una habitacin sellada rodeada por guardias armados
Gene Spafford

Garantizar que los recursos informticos de una compaa estn disponibles para
cumplir sus propsitos, es decir, que no estn daados o alterados por
circunstancias o factores externos.
Definicin de seguridad
la seguridad puede entenderse como aquellas reglas tcnicas y/o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible
de robo, prdida o dao, ya sea de manera personal, grupal o empresarial.

Es la informacin el elemento principal a proteger, resguardar y recuperar

dentro de las redes empresariales.

Escenario tpico:
Quin va a querer a tacarme, si no tengo nada importante?
Es un error este planteamiento: todo sistema es extremadamente valioso como
plataforma de ataque contra otros sistemas verdaderamente importantes. (Ejemplo:
hacker utiliza el ordenador de Juan Prez para entrar al Banco Nacional de Reserva).
Creo que llegados a este punto todo deberamos tener un compromiso serio con la
seguridad informtica.

Por qu es tan importante la seguridad?

ms de 70 por ciento de las Violaciones e intrusiones a los recursos informticos se

realiza por el personal interno, debido a que ste conoce los procesos, metodologas y
tiene acceso a la informacin sensible de su empresa

Tipos de seguridad informtica

Seguridad fsica
Dentro de la seguridad informtica, la seguridad fsica hace referencia a las barreras
fsicas y mecanismos de control en el entorno de un sistema informtico, para proteger
el hardware de amenazas fsicas.

Deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza.

Las amenazas fsicas que pueden poner en riesgo un sistema informtico son:
* Desastres naturales, incendios accidentales, humedad e inundaciones.
* Amenazas ocasionadas involuntariamente por personas.
* Acciones hostiles deliberadas como robo, fraude o sabotaje.

Son ejemplos de mecanismos o acciones de seguridad fsica:

- Cerrar con llave el centro de cmputos.

- Tener extintores por eventuales incendios.
- Instalacin de cmaras de seguridad.
- Guardia humana.
- Control permanente del sistema elctrico, de ventilacin, etc.

Seguridad Lgica
Consiste en la "aplicacin de barreras y procedimientos que resguarden el acceso a los
datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no est
permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lgica.

Los objetivos que se plantean sern:

Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no
puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estn utilizados los datos, archivos y programas correctos en y por
el procedimiento correcto.
Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido
enviada y no a otro.
Que la informacin recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisin entre diferentes
puntos.
Que se disponga de pasos alternativos de emergencia para la transmisin de
informacin.

Trminos y conceptos
Disponibilidad
"La alta disponibilidad" consiste en una serie de medidas tendientes a garantizar la
disponibilidad del servicio, es decir, asegurar que el servicio funcione durante las
veinticuatro horas.
El trmino "disponibilidad" hace referencia a la probabilidad de que un servicio
funcione adecuadamente en cualquier momento.
ndice de disponibilidad
97%
98%
99%
99,9%
99,99%
99,999%
99,9999%

Duracin del tiempo de inactividad

11 das
7 das
3 das y 15 horas
8 horas y 48 minutos
53 minutos
5 minutos
32 segundos

Integridad
* Integridad de datos : hace referencia a que todas las caractersticas de los datos
(reglas, definiciones, fechas, etc.) deben ser correctos para que los datos estn
completos.
Integridad de datos en bases de datos: se refiere al estado de correccin y
completitud de los datos ingresados en una base de datos.
Un claro ejemplo de error de integridad es el ingreso de un tipo de dato incorrecto
dentro de un campo. Por ejemplo, ingresar un texto cuando se espera un nmero
entero.

Confidencialidad
Confidencialidad es la cualidad de confidencial (que se dice o hace en confianza y
con seguridad recproca entre dos o ms individuos). Se trata de una propiedad de la
informacin que pretende garantizar el acceso slo a las personas autorizadas.

emisor

receptor
Canal / medio encriptado

Controles de Acceso
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de
aplicacin, en bases de datos, en un paquete especfico de seguridad, para mantener la
integridad de la informacin (restringiendo la cantidad de usuarios y procesos con
acceso permitido) y para resguardar la informacin confidencial de accesos no
autorizados.
Al respecto (NIST) ha resumido los siguientes estndares de seguridad:
Identificacin y Autentificacin.
Roles
Transacciones.
Limitaciones a los Servicios.
Modalidad de Acceso.
Ubicacin y Horario.
Control de Acceso Interno.
Control de Acceso Externo.
Administracin.

Poltica de seguridad
Es frecuente que las personas involucradas con seguridad informtica tengan una
visin estrecha de lo que significa desarrollar las polticas de seguridad.
Es importante resaltar que una poltica de seguridad tiene un ciclo de vida completo
mientras est vigente.
se suele definir como el conjunto de requisitos definidos por los responsables directos
o indirectos de un sistema que indica en trminos generales qu est y qu no est
permitido en el rea de seguridad durante la operacin general de dicho sistema.
Si no se tiene en cuenta este ciclo de vida se corre el riesgo de desarrollar polticas que
sean poco tenidas en cuenta, incompletas, redundantes, sin apoyo por parte de los
usuarios y las directivas.

Poltica

Se elaboran con el fin de que tengan aplicacin a largo plazo y guen

el desarrollo de reglas y criterios que aborden situaciones concretas.
Son desplegadas y soportadas por estndares, mejores prcticas,
procedimientos y guas.
Deben ser pocas (es decir, un nmero pequeo).

Estndar

Regla que especifica una accin o respuesta que se debe seguir a

una situacin dada.
Son orientaciones obligatorias que buscan hacer cumplir las
polticas.

Es una regla de seguridad especfica a una plataforma que es

aceptada a una implementacin de seguridad concreta.
Mejor practica
Utilizados con regularidad, configurados y administrados de
manera uniforme, garantizando un nivel consistente de seguridad .

Gua

Procedimiento

Es una declaracin general utilizada para recomendar o

sugerir un enfoque para implementar polticas, estndares y
buenas prcticas.
No son obligatorias, sern seguidas a menos que existan
argumentos documentados y aprobados para no hacerlo.

Definen especficamente cmo las polticas, estndares,

mejores prcticas y guas sern implementados en una situacin
dada.
Son dependientes de la tecnologa o de los procesos y
aplicaciones.
Generalmente son desarrollados, implementados y supervisados
por el dueo del proceso o del sistema.

Un ejemplo de los requerimientos de seguridad interrelacionados podra ser:

1. En el nivel ms alto, se puede elaborar una POLTICA, para toda la organizacin,

que obligue a garantizar seguridad en el corre electrnico cuyo contenido sea
informacin confidencial.
2. Esta POLTICA podra ser soportada por varios ESTNDARES, que los mensajes de
este tipo sean enviados utilizando algn sistema de criptografa aprobado por la
universidad y que sean borrados de manera segura despus de su envo.
3. Una MEJOR PRCTICA, podra estar relacionada sobre la manera de configurar el
correo sobre un tipo especfico de sistema (Windows o Linux) con el fin de
garantizar el cumplimiento de la POLTICA y del ESTNDAR.

4. Los PROCEDIMIENTOS podran especificar requerimientos para que la POLTICA y

los ESTNDARES que la soportan, sean aplicados en una dependencia especfica,
por ejemplo la Oficina de Control Interno.
5. Finalmente, las GUAS podran incluir informacin sobre tcnicas, configuraciones
y secuencias de comandos recomendadas que deben seguir los usuarios para
asegurar la informacin confidencial enviada y recibida a travs del servicio de correo
electrnico.

ALGUNAS PRCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLTICA

1. La declaracin de la poltica (cul es la posicin de la administracin o qu es lo
que se desea regular)
2. Nombre y cargo de quien autoriza o aprueba la poltica
3. Nombre de la dependencia, del grupo o de la persona que es el autor o el
proponente de la poltica
4. Debe especificarse quin debe acatar la poltica (es decir, a quin est dirigida)
y quin es el responsable de garantizar su cumplimiento
5. Indicadores para saber si se cumple o no la poltica
6. Referencias a otras polticas y regulaciones en las cuales se soporta o con las
cuales tiene relacin
7. Enunciar el proceso para solicitar excepciones
8. Describir los pasos para solicitar cambios o actualizaciones a la poltica
9. Explicar qu acciones se seguirn en caso de contravenir la poltica
10. Fecha a partir de la cual tiene vigencia la poltica
11. Fecha cuando se revisar la conveniencia y la obsolescencia de la poltica
12. Incluir la direccin de correo electrnico, la pgina web y el telfono de la
persona o personas que se pueden contactar en caso de preguntas o sugerencias.

Exponer en clase :
Elaborar polticas de seguridad identificando ventajas y desventajas de su implementacin.
Situacin:
1.
2.
3.
4.

Laboratorios del K
Saln de Clase
site
biblioteca

Escenarios de ataques a redes

Antes de mencionar los escenarios de ataque primero debemos definir que es un
ataque:
Intento organizado y deliberado de una o ms personas para causar dao o problemas a un sistema
informtico o red

Las amenazas a la SI atentan contra su confidencialidad, integridad y disponibilidad.

Existen amenazas relacionadas con:

- falla humanas, con ataques malintencionados o con catstrofes naturales.
- Acceso a modificacin o eliminacin de informacin no autorizada;
- La interrupcin de un servicio o el procesamiento de un sistema; daos fsicos o
robo del equipamiento y medios de almacenamiento de informacin.

Ingeniera Social
Consiste en utilizar artilugios, tretas y otras tcnicas para el engao de las personas
logrando que revelen informacin de inters para el atacante, como ser contraseas
de acceso

Phishing
Consiste en el envo masivo de mensajes electrnicos que fingen ser notificaciones
oficiales de entidades/empresas legtimas con el fin de obtener datos personales y
bancarios de los usuarios.

Escaneo de Puertos
Consiste en detectar qu servicios posee activos un equipo, con el objeto de ser
utilizados para los fines del atacante.

Wardialers
Se trata de herramientas de software que utilizan el acceso telefnico de una
mquina para encontrar puntos de conexin telefnicos en otros equipos o redes, con
el objeto de lograr acceso o recabar informacin.

Cdigo Malicioso / Virus

Se define como todo programa o fragmento del mismo que genera algn tipo de
problema en el sistema en el cual se ejecuta, interfiriendo de esta forma con el normal
funcionamiento del mismo.

Existen diferentes tipos de cdigo malicioso:

* Bombas lgicas.
* Troyanos.
* Gusanos.
* Cookies.
* Keyloggers.
* Spyware.

Exploits
Se trata de programas o tcnicas que explotan una vulnerabilidad de un sistema
para el logro de los objetivos del atacante, como ser, intrusin, robo de informacin,
denegacin de servicio, etc.

Eavesdropping
El eavesdropping es un proceso por el cual un atacante capta de informacin (cifrada o
no) que no le iba dirigida
*Sniffing: Consiste en capturar paquetes que circulan por la red con la utilizacin de una
herramienta para dicho fin, instalada en un equipo conectado a la red.
*Desbordamiento de CAM: Se trata de inundar la tabla de direcciones de un switch con el
objeto de bloquear la capacidad que ste posee de direccionar cada paquete
exclusivamente a su destino.
*VLAN hopping: Son redes LAN virtuales las cuales se implementan para generar un
control de trfico entre las mismas, de forma que los equipos conectados a una VLAN no
posean acceso a otras.
*STP manipulation: El equipo atacante buscar convertirse en la raz de dicho rbol, con
el objeto de poder tener acceso a los paquetes de informacin que circulan por todos los
switches.

Cdigo malicioso
En seguridad informtica, cdigo malicioso es un trmino que hace referencia a cualquier conjunto de cdigos, especialmente
sentencias de programacin, que tiene un fin malicioso.

Malware: Se puede definirse como cualquier programa, documento o mensaje

susceptible de causar perjuicios a los usuarios de sistemas informticos.
Podemos mencionar a los;
Virus: son programas informticos capaces de multiplicarse mediante
la infeccin de otros programas mayores e intentan permanecer
ocultos en el sistema hasta darse a conocer.

gusano es un programa similar a un virus que, a diferencia de ste,

solamente realiza copias de s mismo, o de partes de l.

troyanos son programas que llegan al ordenador por cualquier medio,

se introducen en l, se instalan y realizan determinadas acciones para
tomar el control del sistema afectado.

Realizar o Establecer medidas preventivas y correctivas contra los gusanos, virus,

troyanos y ataques comunes a la red. Por medio de un diagrama de pescado.

Principios matemticos para criptografa

La criptografa es la tcnica que protege documentos y datos. Funciona a travs de la utilizacin de cifras o
cdigos para escribir algo secreto en documentos y datos confidenciales que circulan en redes locales o en
internet.

Actualmente, se resuelven los siguientes problemas de SI: la autenticidad, la

integridad, la confidencialidad y el no rechazo.
El proceso criptogrfico se aplica a un mensaje de entrada (al que se le puede llamar
mensaje original), y da como resultado el mensaje cifrado. Este mensaje cifrado slo
se puede descifrar (para conocer su contenido) con la clave correspondiente.

Desde este punto de vista, la criptografa se divide en dos grandes ramas:

la criptografa simtrica (resuelve confidencialidad integridad): la clave de cifrar y
descifrar es la misma.
Los cifradores de bloques : porque cifran de bloque en bloque
de 64 bits. Podemos citar al famoso DES ('Data Encryption
Standar o al Triple-Des (consistente en aplicar tres veces DES).
Otros famosos son: citar IDEA, LOKI, RC2 SKIPJACK.

Los cifradores de flujo y las funciones 'hash: cifran bit por bit o
byte por byte. se encuentran RC4 y Seal. Las funciones 'hash', las
ms usadas son MD5, SHA-1 y RIPEMD-160.

la criptografa asimtrica. (resuelve autenticidad y no rechazo): se clasifica en tres

familias principales de algoritmos: la primera basa la seguridad de sus algoritmos en el
problema de la factorizacin entera, e incluye el sistema RSA, o 'Rivest Shamir Adleman',
y el RW, o 'Rabin-Williams'.

Recientemente, se han propuesto otros sistemas criptogrficos que prometen

solventar las deficiencias de sus predecesores, ser eficientes con pocos recursos
proporcionando buena seguridad. Se encuentra el sistema NTRU ('Number Theory
Research Unit'), que basa su seguridad en la eleccin de la base de una retcula.

La criptografa simtrica y asimtrica se une para poder dar seguridad a una gran
parte de aplicaciones donde la transmisin de los datos se realiza por una lnea
considerada insegura.

En comercio electrnico, SSL ('Secure Sockets Layer'), que utiliza

criptografa.
El protocolo de conexin IPsec y VPNs ('Virtual Private Networks').
Estos se emplean en redes locales, en Internet, telfonos, etc.

Realizar un resumen de las siguientes URL

Algoritmos de criptografa
RSA
http://neo.lcc.uma.es/evirtual/cdd/tutorial/presentacion/ejmrsa.html
DES
http://neo.lcc.uma.es/evirtual/cdd/tutorial/presentacion/diaDES.html
http://es.kioskea.net/contents/crypto/des.php3
Firmas digitales
http://neo.lcc.uma.es/evirtual/cdd/tutorial/presentacion/firmas.html

CERTIFICADOS DIGITALES
Un Certificado Digital es un documento mediante el cual un tercero confiable (una
Autoridad de Certificacin) garantiza la vinculacin entre la identidad de un sujeto o
entidad y su clave pblica.

Un certificado emitido por una entidad de certificacin autorizada, adems de estar

firmado digitalmente por sta, debe contener por lo menos lo siguiente:
Nombre, direccin y domicilio del suscriptor.
Identificacin del suscriptor nombrado en el certificado.
El nombre, la direccin y el lugar donde realiza actividades la entidad de
certificacin.
La clave pblica del usuario.
La metodologa para verificar la firma digital del suscriptor impuesta en el mensaje
de datos.
El nmero de serie del certificado.
Fecha de emisin y expiracin del certificado.
Los encargados de autorizar la creacin de una Autoridad de certificacin o
Prestador de Servicios de Certificacin en Espaa son el Ministerio de Industria,
Turismo y Comercio y la Agncia Catalana de Certificacin.

Ejercicio: realizar una criptografa DES y RSA en php.

Normatividad nacional e internacional de seguridad

ISO 17799
Inicialmente fue desarrollado a partir de BS7799-1, ISO 17799 es una norma
internacional que establece los requisitos de buenas prcticas para la Gestin de
Seguridad de la Informacin.
Sin embargo, el cambio de nombre se inici por la ISO, que queran alinear los
estndares de seguridad de la informacin bajo una estructura de nombres comunes
(la serie ISO 27000).

Los controles reales que figuran en la norma estn destinados a atender :

las necesidades especficas identificadas a travs de una evaluacin formal de
riesgos.
La norma pretende proporcionar una gua para el desarrollo de "normas de
seguridad de la organizacin y las prcticas efectivas de gestin de la seguridad y
para ayudar a construir la confianza entre las organizaciones en las actividades".

ISO 27001
Define la especificacin de un Sistema de Gestin de Seguridad (SGSI). Fue
desarrollado a partir de BS 7799 parte 2:2002. El mbito de un SGSI incluye a las
personas, procesos, sistemas y polticas.
El objetivo de la norma en s misma es "ofrecer un modelo para establecer,
implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de
Seguridad de la Informacin
La norma define su "enfoque basado en procesos "como" la aplicacin de un sistema
de procesos dentro de una organizacin, junto con la identificacin e interacciones de
estos procesos y su gestin".

El sistema de gestin debe implementarse en forma constante y reducir al mnimo los

riesgo sobre confidencialidad, proteccin, integridad, disponibilidad de la informacin.
Las faces son las siguientes:
Planificacin
(133 controles)

Mantenimiento y
mejora

SGSI

Implementacin

Revisin

Nota: El ciclo de estas 4 fases nunca termina, para mantener el SGSI.

La fase de planificacin:
Determinar el alcance del SGSI.
Redactar una poltica de SGSI.
Identificar la metodologa para los riesgos y determinar los criterios para la aceptabilidad de riesgos.
Identificar los activos, vulnerabilidades y amenazas.
Evaluar la magnitud de los riesgos.
Identificar y evaluar las opciones para el tratamiento de riesgos.
Seleccionar el control para el tratamiento de riesgo.
Obtener la aprobacin de la gerencia para los riesgos residuales.
Obtener la aprobacin de la gerencia para la implementacin del SGSI.
Redactar una declaracin de aplicabilidad que detalle todos los controles aplicable, determine cuales
ya han sido implementados y cuales no son aplicables.
La fase de implementacin:
Redactar un plan de tratamiento del riesgo que describe quin, cmo, cundo y con qu presupuesto
se debera implementar los controles correspondientes.
Implementar un plan de tratamiento de riesgos.
Implementar los controles de seguridad correspondientes.
Determinar cmo medir la eficacia de los controles.
Realizar un programa de concienciacin y capacitacin de empleados.
Gestionar el funcionamiento normal del SGSI.
Gestionar los recursos del SGSI.
Implementar los procedimientos para detectar y gestionar incidentes de seguridad.

La fase de verificacin:
Implementar el procedimiento y dems controles de supervisin y control para determinar cualquier
violacin, procesamiento incorrecto de datos, si la actividad de seguridad se desarrolla de acuerdo a lo
previsto.
Revisar peridicamente la eficacia del SGSI.
Medir la eficacia de los controles.
Revisar peridicamente la evaluacin de riesgos.
Auditar internamente la planificacin.
Revisar por parte de la direccin el aseguramiento y funcionamiento del SGSI y para identificar
oportunidades de mejora.
Actualizar los planes de seguridad para tener en cuenta otras actividades de supervisin y revisin.
Mantener los registros de actividades e incidentes que puedan afectar la eficacia del SGSI.
La fase de mantenimiento y mejora:
Implementar el SGSI de las mejoras identificadas.
Tomar las medidas correctivas y preventivas y aplicaciones de experiencias de seguridad propias y de
terceros.
Comunicar las actividades y mejoras a todos los grupos de inters.
Asegurar que las mejoras cumplan los objetivos previstos.

ITIL, es un "framework" de referencia estndar y una base de conocimiento de

"buenas prcticas" de seguridad y control para IT.
COBiT tiene el punto de confluencia presente con ITIL.
ITIL est muy centrado en Service Managemen.

Etapas del Ciclo de Vida del Servicio

Qu es COBIT?
COBIT es un acrnimo para Control Objectives for Information and related Technology
(Objetivos de Control para tecnologa de la informacin y relacionada); desarrollada por
la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute
(ITGI).
Es una metodologa aceptada mundialmente para el adecuado control de
proyectos de tecnologa.
Se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC.

Los beneficios de implementar COBIT como marco de referencia de gobierno sobre

la TI incluyen:
Mejor alineacin, con base en su enfoque de negocios.
Una visin, entendible para la gerencia, de lo que hace TI.
Propiedad y responsabilidades claras, con base en su orientacin a
procesos.
Aceptacin general de terceros y reguladores.
Entendimiento compartido entre todos los participantes, con base en un
lenguaje comn.
Cumplimiento de los requerimientos COSO para el ambiente de control de
TI.

El marco de trabajo COBIT se basa en el siguiente principio (figura 5):

NIST SP800-30
El NIST (National Institute of Standards and Technology) es una agencia de la
administracin de tecnologa del departamento de comercio de los estados unidos.
Promover la innovacin y la competencia industrial.
Mejoren la estabilidad econmica y la calidad de vida.
incluye una metodologa para el anlisis y la gestin de riesgos de
seguridad de la informacin.

El objetivo de implementar la gestin del riesgo es facilitar a la organizacin el

cumplimiento de su misin a travs de:
1. Un mejor aseguramiento de los sistemas informticos que almacenan, procesan o
transmiten informacin organizacional.
2. Haciendo posible que la gerencia pueda tomar decisiones de riesgo con suficiente
informacin que permita justificar los gastos que forman parte de un presupuesto de TI.
3. Ayudar a la administracin en autorizar (o acreditar) sobre la base de la
documentacin de apoyo derivados de la ejecucin de una gestin del riesgo

A pesar de que estos marcos, y los procesos definidos en los mismos, son distintos
en cuanto al detalle, tienen ciertos elementos en comn.
a) Identificacin de los activos crticos
b) Identificacin del riesgo
c) Evaluacin del impacto
d) Tratamiento del riesgo
e) Notificacin de riesgos
f) Intercambio de informacin
g) Monitoreo/Auditora
h) Entorno reglamentario/legislativo
Evaluacin de los Riesgos
Paso 1: Caracterizacin del Sistema
Paso 2: Identificacin de Amenazas
Paso 3: Identificacin de Vulnerabilidades
Paso 4: Anlisis de Control
Paso 5: Determinacin de Probabilidad
Paso 6: Anlisis de Impacto
Paso 7: Determinacin del Riesgo
Paso 8: Recomendaciones de Control
Paso 9: Resultados de Documentacin

Mitigacin de los Riesgos

Opciones de Mitigacin de Riesgos
Estrategia de Mitigacin de Riesgos
Implementacin de Controles
Categoras de Controles
Anlisis de Costo/Beneficio
Riesgo Residual