Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Temas a tratar
Garantizar que los recursos informticos de una compaa estn disponibles para
cumplir sus propsitos, es decir, que no estn daados o alterados por
circunstancias o factores externos.
Definicin de seguridad
la seguridad puede entenderse como aquellas reglas tcnicas y/o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible
de robo, prdida o dao, ya sea de manera personal, grupal o empresarial.
Escenario tpico:
Quin va a querer a tacarme, si no tengo nada importante?
Es un error este planteamiento: todo sistema es extremadamente valioso como
plataforma de ataque contra otros sistemas verdaderamente importantes. (Ejemplo:
hacker utiliza el ordenador de Juan Prez para entrar al Banco Nacional de Reserva).
Creo que llegados a este punto todo deberamos tener un compromiso serio con la
seguridad informtica.
Deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza.
Las amenazas fsicas que pueden poner en riesgo un sistema informtico son:
* Desastres naturales, incendios accidentales, humedad e inundaciones.
* Amenazas ocasionadas involuntariamente por personas.
* Acciones hostiles deliberadas como robo, fraude o sabotaje.
Seguridad Lgica
Consiste en la "aplicacin de barreras y procedimientos que resguarden el acceso a los
datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no est
permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lgica.
Trminos y conceptos
Disponibilidad
"La alta disponibilidad" consiste en una serie de medidas tendientes a garantizar la
disponibilidad del servicio, es decir, asegurar que el servicio funcione durante las
veinticuatro horas.
El trmino "disponibilidad" hace referencia a la probabilidad de que un servicio
funcione adecuadamente en cualquier momento.
ndice de disponibilidad
97%
98%
99%
99,9%
99,99%
99,999%
99,9999%
Integridad
* Integridad de datos : hace referencia a que todas las caractersticas de los datos
(reglas, definiciones, fechas, etc.) deben ser correctos para que los datos estn
completos.
Integridad de datos en bases de datos: se refiere al estado de correccin y
completitud de los datos ingresados en una base de datos.
Un claro ejemplo de error de integridad es el ingreso de un tipo de dato incorrecto
dentro de un campo. Por ejemplo, ingresar un texto cuando se espera un nmero
entero.
Confidencialidad
Confidencialidad es la cualidad de confidencial (que se dice o hace en confianza y
con seguridad recproca entre dos o ms individuos). Se trata de una propiedad de la
informacin que pretende garantizar el acceso slo a las personas autorizadas.
emisor
receptor
Canal / medio encriptado
Controles de Acceso
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de
aplicacin, en bases de datos, en un paquete especfico de seguridad, para mantener la
integridad de la informacin (restringiendo la cantidad de usuarios y procesos con
acceso permitido) y para resguardar la informacin confidencial de accesos no
autorizados.
Al respecto (NIST) ha resumido los siguientes estndares de seguridad:
Identificacin y Autentificacin.
Roles
Transacciones.
Limitaciones a los Servicios.
Modalidad de Acceso.
Ubicacin y Horario.
Control de Acceso Interno.
Control de Acceso Externo.
Administracin.
Poltica de seguridad
Es frecuente que las personas involucradas con seguridad informtica tengan una
visin estrecha de lo que significa desarrollar las polticas de seguridad.
Es importante resaltar que una poltica de seguridad tiene un ciclo de vida completo
mientras est vigente.
se suele definir como el conjunto de requisitos definidos por los responsables directos
o indirectos de un sistema que indica en trminos generales qu est y qu no est
permitido en el rea de seguridad durante la operacin general de dicho sistema.
Si no se tiene en cuenta este ciclo de vida se corre el riesgo de desarrollar polticas que
sean poco tenidas en cuenta, incompletas, redundantes, sin apoyo por parte de los
usuarios y las directivas.
Poltica
Estndar
Gua
Procedimiento
Exponer en clase :
Elaborar polticas de seguridad identificando ventajas y desventajas de su implementacin.
Situacin:
1.
2.
3.
4.
Laboratorios del K
Saln de Clase
site
biblioteca
Ingeniera Social
Consiste en utilizar artilugios, tretas y otras tcnicas para el engao de las personas
logrando que revelen informacin de inters para el atacante, como ser contraseas
de acceso
Phishing
Consiste en el envo masivo de mensajes electrnicos que fingen ser notificaciones
oficiales de entidades/empresas legtimas con el fin de obtener datos personales y
bancarios de los usuarios.
Escaneo de Puertos
Consiste en detectar qu servicios posee activos un equipo, con el objeto de ser
utilizados para los fines del atacante.
Wardialers
Se trata de herramientas de software que utilizan el acceso telefnico de una
mquina para encontrar puntos de conexin telefnicos en otros equipos o redes, con
el objeto de lograr acceso o recabar informacin.
* Bombas lgicas.
* Troyanos.
* Gusanos.
* Cookies.
* Keyloggers.
* Spyware.
Exploits
Se trata de programas o tcnicas que explotan una vulnerabilidad de un sistema
para el logro de los objetivos del atacante, como ser, intrusin, robo de informacin,
denegacin de servicio, etc.
Eavesdropping
El eavesdropping es un proceso por el cual un atacante capta de informacin (cifrada o
no) que no le iba dirigida
*Sniffing: Consiste en capturar paquetes que circulan por la red con la utilizacin de una
herramienta para dicho fin, instalada en un equipo conectado a la red.
*Desbordamiento de CAM: Se trata de inundar la tabla de direcciones de un switch con el
objeto de bloquear la capacidad que ste posee de direccionar cada paquete
exclusivamente a su destino.
*VLAN hopping: Son redes LAN virtuales las cuales se implementan para generar un
control de trfico entre las mismas, de forma que los equipos conectados a una VLAN no
posean acceso a otras.
*STP manipulation: El equipo atacante buscar convertirse en la raz de dicho rbol, con
el objeto de poder tener acceso a los paquetes de informacin que circulan por todos los
switches.
Cdigo malicioso
En seguridad informtica, cdigo malicioso es un trmino que hace referencia a cualquier conjunto de cdigos, especialmente
sentencias de programacin, que tiene un fin malicioso.
Los cifradores de flujo y las funciones 'hash: cifran bit por bit o
byte por byte. se encuentran RC4 y Seal. Las funciones 'hash', las
ms usadas son MD5, SHA-1 y RIPEMD-160.
La criptografa simtrica y asimtrica se une para poder dar seguridad a una gran
parte de aplicaciones donde la transmisin de los datos se realiza por una lnea
considerada insegura.
CERTIFICADOS DIGITALES
Un Certificado Digital es un documento mediante el cual un tercero confiable (una
Autoridad de Certificacin) garantiza la vinculacin entre la identidad de un sujeto o
entidad y su clave pblica.
ISO 27001
Define la especificacin de un Sistema de Gestin de Seguridad (SGSI). Fue
desarrollado a partir de BS 7799 parte 2:2002. El mbito de un SGSI incluye a las
personas, procesos, sistemas y polticas.
El objetivo de la norma en s misma es "ofrecer un modelo para establecer,
implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de
Seguridad de la Informacin
La norma define su "enfoque basado en procesos "como" la aplicacin de un sistema
de procesos dentro de una organizacin, junto con la identificacin e interacciones de
estos procesos y su gestin".
Mantenimiento y
mejora
SGSI
Implementacin
Revisin
La fase de planificacin:
Determinar el alcance del SGSI.
Redactar una poltica de SGSI.
Identificar la metodologa para los riesgos y determinar los criterios para la aceptabilidad de riesgos.
Identificar los activos, vulnerabilidades y amenazas.
Evaluar la magnitud de los riesgos.
Identificar y evaluar las opciones para el tratamiento de riesgos.
Seleccionar el control para el tratamiento de riesgo.
Obtener la aprobacin de la gerencia para los riesgos residuales.
Obtener la aprobacin de la gerencia para la implementacin del SGSI.
Redactar una declaracin de aplicabilidad que detalle todos los controles aplicable, determine cuales
ya han sido implementados y cuales no son aplicables.
La fase de implementacin:
Redactar un plan de tratamiento del riesgo que describe quin, cmo, cundo y con qu presupuesto
se debera implementar los controles correspondientes.
Implementar un plan de tratamiento de riesgos.
Implementar los controles de seguridad correspondientes.
Determinar cmo medir la eficacia de los controles.
Realizar un programa de concienciacin y capacitacin de empleados.
Gestionar el funcionamiento normal del SGSI.
Gestionar los recursos del SGSI.
Implementar los procedimientos para detectar y gestionar incidentes de seguridad.
La fase de verificacin:
Implementar el procedimiento y dems controles de supervisin y control para determinar cualquier
violacin, procesamiento incorrecto de datos, si la actividad de seguridad se desarrolla de acuerdo a lo
previsto.
Revisar peridicamente la eficacia del SGSI.
Medir la eficacia de los controles.
Revisar peridicamente la evaluacin de riesgos.
Auditar internamente la planificacin.
Revisar por parte de la direccin el aseguramiento y funcionamiento del SGSI y para identificar
oportunidades de mejora.
Actualizar los planes de seguridad para tener en cuenta otras actividades de supervisin y revisin.
Mantener los registros de actividades e incidentes que puedan afectar la eficacia del SGSI.
La fase de mantenimiento y mejora:
Implementar el SGSI de las mejoras identificadas.
Tomar las medidas correctivas y preventivas y aplicaciones de experiencias de seguridad propias y de
terceros.
Comunicar las actividades y mejoras a todos los grupos de inters.
Asegurar que las mejoras cumplan los objetivos previstos.
Qu es COBIT?
COBIT es un acrnimo para Control Objectives for Information and related Technology
(Objetivos de Control para tecnologa de la informacin y relacionada); desarrollada por
la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute
(ITGI).
Es una metodologa aceptada mundialmente para el adecuado control de
proyectos de tecnologa.
Se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC.
NIST SP800-30
El NIST (National Institute of Standards and Technology) es una agencia de la
administracin de tecnologa del departamento de comercio de los estados unidos.
Promover la innovacin y la competencia industrial.
Mejoren la estabilidad econmica y la calidad de vida.
incluye una metodologa para el anlisis y la gestin de riesgos de
seguridad de la informacin.
A pesar de que estos marcos, y los procesos definidos en los mismos, son distintos
en cuanto al detalle, tienen ciertos elementos en comn.
a) Identificacin de los activos crticos
b) Identificacin del riesgo
c) Evaluacin del impacto
d) Tratamiento del riesgo
e) Notificacin de riesgos
f) Intercambio de informacin
g) Monitoreo/Auditora
h) Entorno reglamentario/legislativo
Evaluacin de los Riesgos
Paso 1: Caracterizacin del Sistema
Paso 2: Identificacin de Amenazas
Paso 3: Identificacin de Vulnerabilidades
Paso 4: Anlisis de Control
Paso 5: Determinacin de Probabilidad
Paso 6: Anlisis de Impacto
Paso 7: Determinacin del Riesgo
Paso 8: Recomendaciones de Control
Paso 9: Resultados de Documentacin