Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CITATIONS READS
0 540
1 author:
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Jorge Domínguez Chávez on 09 December 2015.
SEGURIDAD INFORMÁTICA
PERSONAL Y CORPORATIVA
(SEGUNDA PARTE)
@ Jorge Domínguez Chávez
Esta obra se distribuye bajo una licencia Creative Commons
http://creativecommonsvenezuela.org.ve
Reconocimiento:
Atribución: Permite a otros copiar, distribuir, exhibir y realizar su
trabajo con Derechos de Autor y trabajos derivados basados en ella – pero
sólo si ellos dan créditos de la manera en que usted lo solicite.
Compartir igual: Permite que otros distribuyan trabajos derivados sólo
bajo una licencia idéntica a la licencia que rige el trabajo original.
@ 2015, Jorge Domínguez Chávez
Publicado por IEASS, Editores
Venezuela, 2015
La portada y contenido de este libro fue desarrollado en LibreOffice 5.0.3.2
Dedicatoria
Índice de tablas
Tabla 1: Grado de impacto en miles de Dólares americanos.......................................20
Tabla 2: Identificación de amenazas............................................................................24
Tabla 3: Calificación de la amenaza............................................................................25
Tabla 4: Formato 1. Análisis de Amenazas..................................................................26
Tabla 5: Reputación y confianza del cliente..............................................................140
Tabla 6: Prioridad en las áreas de impacto................................................................140
Tabla 7: Análisis de riesgos.......................................................................................144
Tabla 8: Matriz de riesgo relativo..............................................................................145
Índice de figuras
Figura 1 La seguridad debe mantener el equilibrio adecuado entre sus factores:
integridad, confidencialidad y disponibilidad..............................................................12
Figura 2: estándares de seguridad de la información.................................................104
Figura 3: Modelo PDCA............................................................................................126
Figura 4: Proceso Octave y sus fases en la seguridad informática............................138
Figura 5: Árbol de amenazas a una empresa.............................................................143
PROPÓSITO
¿Por qué nos preocupa la seguridad?
A partir de los años 80 el uso del computador personal y de los primeros
teléfonos celulares comienza a ser común. Aparece la preocupación por la integridad
de los datos.
En la década de los años 90 proliferan los ataques a sistemas
informáticos, aparecen los virus y se toma conciencia del peligro que nos acecha
como usuarios de PC y equipos conectados a Internet. Las amenazas se generalizan a
finales de los 90. Se toma en serio la seguridad informática.
◦ Protección de la información
◦ El usuario final desea saber cómo evitar los virus en un correo electrónico
o e-mail.
◦ Productos futuros: Seguridad añadida.
1
asegura el anonimato y la integridad física del delincuente.
◦ Alto Valor: el objeto codiciado tiene un alto valor. El contenido (los datos)
vale más que el soporte que los almacena (disquete, disco compacto,
memoria sd, etc...).
◦ Única solución: el uso de Políticas de seguridad.
2
infraestructura o a la información. La seguridad informática comprende software
(base de datos, metadatos, archivos, programas), hardware, personal que labora con
ella y la información confidencial de la organización; información clasificada que
signifique un riesgo potencial de mal funcionamiento, intercepción o suplantación.
El concepto de seguridad informática no debe ser confundido con el de
«seguridad de la información». Ésta, sólo se encarga de la seguridad en el medio
informático, pudiendo encontrar información en diferentes medios o formas.
Una política de seguridad informática es un conjunto de normas,
procedimientos, métodos y técnicas para regular diferentes apartados del diseño,
instalación, desarrollo y operatividad de las TIC destinada a conseguir un sistema de
información seguro y confiable. Consiste en poner por escrito lo que los empleados,
tanto técnicos como usuarios, pueden hacer y lo que no pueden o deben hacer con las
TIC, tanto cuando las operan como cuando no lo hacen. Esta política escrita debe
prevenir situaciones que si se dejan al criterio de las personas provocarían problemas
de interpretación, ejecución y/o responsabilidad. Estas normas pueden incluye el
comportamiento del personal en la jornada laboral, como fuera de ella.
Una política de seguridad informática de una empresa es su personalidad:
una manera de actuar o reaccionar ante situaciones específicas o generales. Son
normas de conducta para las personas que la integran y los procedimientos que deben
seguir durante una situación de urgencia.
Las políticas deben ser comunicadas a los empleados al momento de ser
contratados o incluso al ser entrevistados, ya que en ocasiones pueden ser causal para
su retiro de la empresa. Estas normas en ningún momento pueden contradecir alguna
legislación laboral.
De forma muy simple, ¿Qué pasa con las redes informáticas? la seguridad
en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una
definición general de seguridad debe poner atención a la necesidad de salvaguardar la
ventaja organizacional, incluyendo información, personas y equipos físicos, como los
computadores, medios de almacenamiento como discos, cd, dvd, memorias flash y
cintas de respaldo. Nadie a cargo de seguridad debe determinar quien y cuando se
3
pueden tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la
seguridad de una compañía, lo apropiado varía de organización a organización.
Independientemente, cualquier compañía con una red informática debe de tener una
política de seguridad que se dirija a conveniencia y coordinación.
4
INTRODUCCIÓN
En el libro seguridad informática personal y corporativa, primera parte,
hemos recorrido el camino que un usuario normal de computadoras, internet y
teléfono celular hace para evitar ser victima de los virus informáticos, pishing, spam,
daños a sus archivos y a su pc, robo de identidad y de sus datos personales; así como
de fraude entre otros eventos. Hemos aprendido que debe cuidar el voltaje de sus
lineas eléctricas y la wi-fi. No donar o vender sus dispositivos de almacenamiento
masivo sin previamente borrar su contenido, y cifrar la información contenida es esos
mismos dispositivos de almacenamiento.
Ahora, ese mismo usuario se traslada de la comodidad de su hogar a una
oficina en una corporación y, sus problemas se multiplican por el número de pc
disponibles en la empresa, por el número de las redes cableadas, vpn y wifi
existentes; el número significativo, y en aumento, de usuarios y número de
potenciales causantes de problemas.
Si bien debe cuidar los puntos tratados según la parte uno, también debe
extrapolar las dimensiones de los riesgos, consecuencias y efectos de la seguridad
informática a nivel corporativo.
Este trabajo busca implantar un modelo de seguridad orientado al
cumplimiento de normas, procedimientos y estándares informáticos con el objetivo de
crear una cultura de seguridad en la organización, mejorando las seguridades
existentes requeridas para la salvaguarda de la integridad de los recursos
informáticos.
¿Qué debemos garantizar con nuestro Sistema de Gestión de Seguridad de
la Información (SGSI)?
Lo primero es alinear la estrategia de seguridad con los objetivos del
negocio, y así garantizar la protección de los sistemas y la información usada en los
procesos.
Clásicamente se ha hablado de que un sistema de gestión de la seguridad
5
debe garantizar en la información tres características: a) la integridad, b) la
disponibilidad y c) la confidencialidad. Si bien estas tres características son
fundamentales, hay otras tres que dado el crecimiento en el uso de la información y
los nuevos tipos de ataques, no deben dejarse de lado: d) la verificación del origen de
los datos, e) la utilidad de los datos y f) el control de la información, este último
enfocado a que la información no pueda ser revelada en caso de pérdida.
Procurar estas características debería ser el resumen de un modelo de
gestión de la seguridad. Para lograrlo hay que apoyarse en algunos instrumentos
como la política de seguridad, la identificación de activos y el análisis de riesgos,
éstos deberían ser independientes a buscar certificaciones en alguna normativa.
La piedra angular: política de seguridad
La política de seguridad debe convertirse en el punto de unión del
negocio con los intereses de la seguridad de la información. Se logra a través del
establecimiento de objetivos de seguridad, que no son más que la manifestación de
las necesidades técnicas que debe satisfacer la información para garantizar el
cumplimiento de los objetivos de negocio.
La política de seguridad debe darse a conocer a todos los niveles de la
organización para garantizar que todos los empleados sepan cuál es la información
crítica del negocio y cuáles son las características principales que le deben ser
garantizadas. De esta forma, quien lea la política deberá tener claro cuáles son los
límites que tiene con respecto a la seguridad de la información.
Clasificar la información corporativa
Con la clasificación de la información se pueden priorizar y enfocar las
acciones en materia de la gestión de la seguridad. La clasificación depende de la
naturaleza del negocio pero en general deberían incluirse tres niveles: información
pública, incluye todos los datos de dominio público. Ya que es información a la que
pueden acceder los clientes y proveedores, sus características principales deben ser la
precisión y la disponibilidad. En el siguiente nivel está la información de uso interno,
comprende toda la información que se intercambia al interior de la empresa y entre
los empleados, es la columna vertebral de las operaciones del negocio, por lo tanto las
6
características que le aplican son la disponibilidad y la integridad. En el último nivel
está la información de acceso restringido, está muy relacionada con el tipo de
actividad que puede incluir, por ejemplo los planes de negocio, información de
nuevos productos, resultados de investigaciones o nuevas estrategias de mercado. La
principal característica de este tipo de información es su confidencialidad.
Al clasificar la información, la empresa tiene un panorama más claro de
cuáles son los aspectos en los que debe enfocar su gestión. De esta forma se pueden
identificar cuáles son los riesgos más relevantes dentro del SGSI y por tanto,
determinar los controles más apropiados y acordes a la realidad de la empresa.
Qué hacer y dónde enfocar esfuerzos: análisis de riesgos
Es necesario para la empresa hacer una adecuada gestión de riesgos que le
permita saber cuáles son las principales vulnerabilidades de sus activos de
información y cuáles son las amenazas que podrían explotar esas vulnerabilidades. En
la medida que la empresa tenga clara esta identificación de riesgos podrá establecer
las acciones preventivas y correctivas viables que garanticen mayores niveles de
seguridad en su información.
La identificación de controles es fundamental para permitir el análisis de
riesgos, ya sea para mitigar la posibilidad de que ocurra la amenaza o para mitigar su
impacto. Las medidas de control que puede asumir una empresa estarán relacionadas
con el tipo de amenaza y el nivel de exposición que represente para la información
corporativa.
Lo que no se puede olvidar
Es muy importante no perder de vista que, cuando se refiere a seguridad
de la información, no solamente se habla de garantizar la seguridad con equipos y
aplicaciones, aún siendo una parte fundamental y prioritaria; sino que el panorama se
extiende para incluir al recurso humano y a políticas claras que dirijan el accionar del
sistema.
Finalmente, la gestión de la seguridad debe existir para soportar las
operaciones del negocio y no para convertirse en parte de los objetivos. En otras
7
palabras, a partir de la definición de su misión y su visión, una empresa debe
establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y
como parte de esta estrategia, definir el sistema que garantice la seguridad de la
información que le permita alcanzarlos.
8
CAPÍTULO 1
PROPIEDADES DE UN SI SEGURO
Entendemos como seguridad un estado de cualquier sistema (informático
o no) que indica que dicho sistema está libre de peligro, daño o riesgo; pero, es
imposible que aspiraremos a un sistema fiable. Para los expertos, el concepto de
seguridad en la informática es utópico porque no existe un sistema 100% seguro.
En SI, la seguridad se centra en la clave de usuario, que certifique que
quien entra en el SI es quien dice ser, donde la criptografía juega un papel importante
para proteger la información que el usuario gestiona.
En Internet, la seguridad se centra en las comunicaciones entre dos o más
puntos, donde la criptografía juega un papel importante para proteger la información
que circula por la red.
Se entiende como peligro o daño todo aquello que pueda afectar el
funcionamiento directo o los resultados que se obtienen del SI.
Para que un sistema se defina como seguro debemos de dotarlo de cuatro
características: integridad, confidencialidad, disponibilidad y no repudio.
INTEGRIDAD
En general, el término 'integridad' hace referencia a una cualidad de
'íntegro' e indica "Que no carece de ninguna de sus partes." y relativo a las personas
"Recta, proba, intachable.".
En términos de seguridad de la información, la integridad hace referencia
a la la fidelidad de la información o recursos, y normalmente se expresa en lo
referente a prevenir el cambio impropio o desautorizado.
El objetivo de la integridad es, entonces, prevenir modificaciones no
autorizadas de la información y hace referencia a:
9
• la integridad de los datos (el volumen de la información).
CONFIDENCIALIDAD
En general el término 'confidencial' hace referencia a “Qué se hace o se
dice en confianza o con seguridad recíproca entre dos o más personas.”
En términos de seguridad de la información, la confidencialidad hace
referencia a la necesidad de ocultar o mantener secreto sobre determinada
información o recursos y su objetivo es prevenir la divulgación no autorizada de la
información.
En general, cualquier empresa pública o privada y de cualquier ámbito de
actuación requiere que cierta información no sea accedida o divulgada por diferentes
motivos. Un caso típico es el ejército de un país. Es sabido que los logros
importantes en seguridad siempre van ligados a temas estratégicos militares.
Por otra parte, algunas empresas a menudo desarrollan diseños que deben
proteger de sus competidores. La sostenibilidad de la empresa así como su
posicionamiento en el mercado dependen de forma directa de la implementación de
estos diseños y, por ese motivo, deben protegerlos mediante mecanismos de control
de acceso que aseguren la confidencialidad de dichas informaciones.
La criptografía es un mecanismo que garantiza la confidencialidad y cuyo
objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos
10
usuarios que no disponen de los permisos o conocimientos suficientes.
Pero, incluso en esta circunstancia, existe un dato importante que hay que
proteger y es la clave de encriptación. Esta clave es necesaria para que el usuario
adecuado pueda descifrar la información recibida y en función del mecanismo de
encriptación utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada
mediante herramientas diseñadas para ello. Si se produce esta situación, la
confidencialidad de la operación realizada (sea bancaria, administrativa o de
cualquier tipo) queda comprometida.
DISPONIBILIDAD
En general, el término 'disponibilidad' hace referencia a una cualidad de
'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que está
lista para usarse o utilizarse."
En términos de seguridad de la información, la disponibilidad hace
referencia a que la información del sistema debe permanecer accesible sólo a
elementos autorizados.
El objetivo de la disponibilidad es, entonces, prevenir interrupciones no
autorizadas/controladas de los recursos informáticos.
En términos de seguridad informática “un sistema está disponible cuando
su diseño e implementación deliberadamente niega el acceso a datos o servicios
determinados”. Es decir, un sistema es disponible si permite no estar disponible.
Un sistema 'no disponible' es tan malo como no tener sistema. No sirve.
Como resumen de las bases de la seguridad informática que hemos
comentado, decimos que la seguridad consiste en mantener el equilibrio adecuado
entre estos tres factores. No tiene sentido conseguir la confidencialidad para un
archivo si es a costa de que ni tan siquiera el usuario administrador pueda acceder a
él, ya que se está negando la disponibilidad. Vea la figura 1.
11
Figura 1 La seguridad debe mantener el equilibrio adecuado entre sus factores:
integridad, confidencialidad y disponibilidad.
IRREFUTABILIDAD
(No-Rechazo o No Repudio) Que no se pueda negar la autoría. De esta
forma, evitamos que el emisor de un mensaje niegue haberlo enviado y el receptor
niegue haberlo recibido. El uso y/o modificación de la información por parte de un
usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.
12
CAPÍTULO 2
EL RIESGO
¿QUÉ ES UN RIESGO?
El riesgo es la probabilidad que una eventualidad se aproveche de las
vulnerabilidades de un sistema e imposibilite el cumplimento de su objetivo o ponga
en peligro a los bienes de la organización, ocasionándole perdidas o daños.
CLASIFICACIÓN DE RIESGOS
Tomando en cuenta el ambiente en que se desenvuelve la empresa,
definimos los siguientes tipos de riesgo:
• Riesgo Estratégico: tipo de riesgo delicado de tratar, se produce a
niveles altos de la empresa ya que se asocia con la forma en que se administra.
• Riesgos Operativos: Comprenden los riesgos relacionados con
deficiencias en los sistemas de información o controles internos, cubre dos aspectos
claves: a) la integridad de los procesos de negocios y b) la habilidad de mantener la
entrega de productos en forma consistente y oportuna.
• Riesgos Financieros: Se relacionan con los recursos de la empresa.
13
IDENTIFICACIÓN DE RIESGOS
La identificación de riesgos es un proceso, mediante el cual se pretende
reconocer los riesgos potenciales que estén o no bajo el control de la empresa, así
como la determinación de sus causas, agentes generadores y principales efectos.
Antes de enfrentar los riesgos, éstos deben ser identificados, lo que es un
proceso constante, pues nuevas amenazas surgen diariamente. Un factor importante
en la identificación de riesgos es la comunicación en la empresa, cuyo propósito es
generar un flujo constante de información sobre las actividades que ella desarrolla.
◦ Listas de comprobación.
14
◦ Análisis de árbol de fallos.
15
Las metodologías utilizadas para la gestión de riesgo son muchas y
variadas, pero parten de un punto común: identificar los activos de información, es
decir, aquellos recursos involucrados en la gestión de la información que van desde
datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos
de información se hace la identificación de las amenazas, riesgos y vulnerabilidades.
ELEMENTOS DE ANÁLISIS
Debemos identificar y clasificar los riesgos a los que pueden estar sujetos
los activos informáticos, tangibles e intangibles, de una empresa.
Luego de su identificación y clasificación, procedemos a realizar el
análisis de los mismos, es decir, estudiamos la posibilidad y las consecuencias de
cada factor de riesgo con el fin de establecer el nivel de riesgo de nuestra empresa.
El análisis de los riesgos determina cuáles son los factores de riesgo que
potencialmente tendrían un mayor efecto sobre la empresa y, por lo tanto, debemos
gestionarlos con especial atención.
ACTIVOS
Todos aquellos elementos relacionados, directa o indirectamente, con un
sistema de información son los activos de la empresa. Elementos típicos son:
hardware, software, servicios, archivos en diferentes formatos como documentos
(impresos y digitales), videos, música, plantillas, entre otros y los empleados.
El hardware lo constituye: los servidores, las computadoras de escritorio,
equipos de red informática, computadoras portátiles (laptop y notebook), tabletas,
impresoras, escáner, teléfonos inteligentes, discos duros externos, pen-drive, cintas
magnéticas y los periféricos, entre otros.
Elementos de comunicaciones: dispositivos de conectividad (hubs,
switches, routers, rack con paneles de conexión, cableado, puntos de acceso a la red,
líneas de conexión interior y exterior, entre otros.
El software está conformado por sistemas operativos, aplicaciones
16
básicas y específicas y de ofimática, así como los antivirus (si son necesarios).
Los documentos (impresos o digitales) son: las bases de datos, correos
electrónicos, llamadas telefónicas, y archivos de chat, entre otros.
Los recursos humanos son: los directores, los gerentes, el personal
técnico de comunicaciones y de informática, los usuarios de los sistemas y resto de
personal administrativo y obrero de la empresa.
Los servicios requieren tecnologías de protección de datos orientadas a
resguardar la seguridad de manera transversal, desde el firewall hasta el acceso
periférico a través de hardware.
17
el nivel de riesgo. Debes poner atención en la escala utilizada a fin de evitar malos
entendidos o malas interpretaciones de los resultados del cálculo.
Métodos Cuantitativos: Se consideran métodos cuantitativos a aquellos
que asignan valores de ocurrencia a los diferentes riesgos identificados, es decir,
calculan el nivel de riesgo del proyecto.
Los métodos cuantitativos incluyen:
• Análisis de probabilidad.
• Análisis de consecuencias.
• Simulación computacional.
18
ADMINISTRACIÓN Y ANÁLISIS DE RIESGOS
Como herramienta de diagnóstico para establecer la exposición real a los
riesgos por parte de una organización se recurre a lo que se llama Análisis de Riesgos.
Este análisis tiene como objetivos identificar los riesgos (mediante la identificación
de sus elementos) y lograr establecer el riesgo total (o exposición bruta al riesgo) y
luego el riesgo residual, tanto sea en términos cuantitativos o cualitativos.
Cuando se refiere al riesgo total, se trata de la combinación de los
elementos que lo conforman. Comúnmente se calcula el valor del impacto promedio
por la probabilidad de ocurrencia para cada amenaza y activo.
De esta manera tendremos, para cada combinación válida de activos y
amenazas, la formula siguiente:
RT (riesgo total )= probalidad∗impacto promedio
Sí la probabilidad de incendio en el año es de 0.0001 y el impacto
promedio en términos monetarios de los activos amenazados por un incendio es Bs.F.
600.000, la exposición al riesgo anual es de 60 (ver explicación más adelante).
A este cálculo, agregamos el efecto de medidas mitigantes de las
amenazas, generándose el riesgo residual. El riesgo residual es el riesgo remanente
luego de la aplicación de medidas destinadas a mitigar los riesgos existentes.
Las medidas mencionadas son aquellas que generalmente se conocen
como controles.
De hecho, el riesgo residual es una medida del riesgo total remanente
luego de contemplar la efectividad de las acciones mitigantes existentes. De esta
manera, si el riesgo total de la amenaza incendio es 60, luego de contratar un seguro
sobre la totalidad de los activos, el riego residual resultante sería igual a cero. Por otra
parte si se asegurara por la mitad del capital, el riesgo residual sería igual a 30.
Obviamente, este caso está simplificado, con el único objetivo de
ayudarnos a comprender los conceptos vertidos. En la realidad no es nada sencillo
cuantificar adecuadamente los riesgos. Por lo anterior es que se utiliza un enfoque
19
cualitativo, expresando los riesgos en altos, medios y bajos, o en niveles similares.
El proceso de análisis descripto genera habitualmente un documento que
se conoce como matriz de riesgo. En este documento se muestran los elementos
identificados, sus relaciones y los cálculos realizados. La suma de los riesgos
residuales calculados es la exposición neta total de la organización a los riesgos.
MATRIZ DE RIESGOS
En la tabla # 1 se presenta una matriz de riesgo simplificada.
20
Acceso no 20 1 0 12 0 0 2.6 50 1.3
autorizado
fallas 25 0.5 0.5 2 0 0 0.75 50 0.375
virus 30 2 3 1 0 0 1.8 80 0.36
Donde:
• En cada fila se presenta una amenaza identificadas.
21
correctamente configurado.
• Finalmente, en la última columna, se indica cuál es el riesgo residual, que
resulta de aplicar la efectividad del control al riesgo total.
Donde los números indican:
1 probabilidad
2 servidores
3 computadoras
4 datos
5 instalación
6 personales
7 riesgo total
8 efectividad del control
9 riesgo residual.
Esta matriz es presentada como un caso académico y no debe ser
considerada como la única manera de reflejar este tipo de herramientas. Existen
metodologías que abordan el tema de distintas maneras.
El trasponer la matriz, es decir, presentar los activos como las filas y las
amenazas como columnas, la misma seguiría siendo válida. En el supuesto de que el
resultado obtenido sea positivo.
En caso que el resultado sea negativo, se establece que la empresa se
encuentra cubierta de todos los riesgos analizados, pero, es ineficiente porque tiene
más controles que los necesarios.
Para realizar el análisis de riesgos es indispensable administrar de forma
adecuada los mismos.
Administrar el riesgo se refiere a gestionar los recursos de la organización
22
(empresa, organismo, institución, etc., sea pública, privada, etc.) para lograr un nivel
de exposición determinado. Este nivel es establecido por tipo de activo, permitiendo
menor exposición cuanto mas crítico es ese activo.
El ciclo de administración de riesgo se cierra (terminadas de las tareas del
análisis) con la determinación de las acciones a seguir respecto a los riesgos
residuales identificados.
Estas acciones son:
• Controlar el riesgo: fortalece los controles existentes o agrega nuevos.
23
metodologías semicuantitativas o cuantitativas.
Amenaza: condición latente derivada de la posible ocurrencia de un
fenómeno físico de origen natural, socio-natural o antrópico no intencional, que
puede causar daño a la población y sus bienes, la infraestructura, el ambiente y la
economía pública y privada.
Dependiendo de la actividad económica de la organización se pueden
presentar diferentes amenazas, las cuales se pueden clasificar en: naturales, antrópicas
no intencionales o sociales.
A continuación, un caso de estudio de posibles amenazas:
2 Tenga en cuenta que esta amenaza puede generar otros eventos amenazantes como: fallas
estructurales, pérdida de contención de materiales peligrosos, entre otros.
3 Estos eventos deben tenerse en cuenta siempre y cuando su organización sea susceptible de
presentar alguna consecuencia a causa de éstos.
24
• NOTA: las amenazas presentadas son ejemplos y éstas deben definirse según las características
particulares de cada organización.
25
POSIBLE: NUNCA HA SUCEDIDO Color Verde.
PROBABLE: YA HA OCURRIDO Color Amarillo.
INMINENTE: EVIDENTE, DETECTABLE Color Rojo
26
Mapa de ubicación de amenazas internas y externas
• Una vez que las amenazas hayan sido identificadas, descritas y analizadas, se
procede a ubicarlas en mapas o planos, donde se puede ver con claridad si son
internas y/o externas.
En un sistema informático lo que queremos proteger son sus activos, es
decir, los recursos que forman parte del sistema y que agrupamos en:
• Hardware: elementos físicos del sistema informático, tales como
procesadores, electrónica y cableado de red, medios de almacenamiento
(cabinas, discos, cintas, DVDs,...).
• Software: elementos lógicos o programas que se ejecutan sobre el hardware,
tanto si es el propio sistema operativo como las aplicaciones.
• Datos: comprenden la información lógica que procesa el software haciendo
uso del hardware. En general serán informaciones estructuradas en bases de
datos o paquetes de información que viajan por la red.
• Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan'
como puede ser la tinta y papel en las impresoras, los soportes tipo DVD o
incluso cintas si las copias se hacen en ese medio, etc.
Los tres primeros son los más críticos. Es decir, los datos que están
almacenados en el hardware y que son procesados por las aplicaciones software.
Incluso de todos ellos, el activo más crítico son los datos. El resto se
puede reponer con facilidad y los datos. Dependen de que la empresa tenga una buena
política de copias de seguridad y sea capaz de reponerlos en el estado próximo al
momento en que se produjo la pérdida. Esto puede suponer para la empresa, la
dificultad o imposibilidad de reponer dichos datos con lo que conllevaría de pérdida
de tiempo y dinero.
27
CAPÍTULO 3
LA AMENAZA
• Amenazas lógicas.
◦ Programas específicos.
◦ Catástrofes naturales.
28
inadecuada o descontentos, errores en la utilización de las herramientas y
recursos del sistema, etc...
◦ Disponibilidad.
No garantiza:
◦ Confidencialidad: es posible que alguien no autorizado acceda a la
información.
Ejemplos:
◦ Copias ilícitas de programas.
29
Garantiza:
◦ Disponibilidad: la recepción es correcta.
No garantiza:
◦ Integridad: los datos enviados pueden ser modificados en el camino.
Ejemplos:
◦ Modificación de bases de datos
No garantiza:
◦ Disponibilidad: puede que la recepción no sea correcta.
• Ejemplos:
30
En este caso se garantiza:
◦ Confidencialidad: nadie no autorizado accede a la información.
• Ejemplos:
Repasamos los tipos de personas que pueden constituir una amenaza para
el sistema informático sin entrar en detalles:
• Personal de la propia organización.
• Ex-empleados.
• Curiosos.
• Crackers.
• Terroristas.
31
• Intrusos remunerados.
Amenazas físicas
Dentro de las amenazas físicas, englobamos cualquier error o daño en el
hardware que se puede presentar en cualquier momento. Como daños en discos duros,
en los procesadores, errores de funcionamiento de la memoria, etc. Ellos hacen que la
información no sea accesible o no sea fiable.
Otro tipo de amenaza física son las catástrofes naturales. Hay zonas
geográficas del planeta, del continente, del país, de la región, de la ciudad con
probabilidades de sufrir terremotos, huracanes, inundaciones, etc.
En casos en que la naturaleza provoque el desastre de seguridad hay que
intentar prever al máximo este tipo de situaciones, no hay que descuidarlos.
Hay otro tipo de catástrofes que se conoce como de riesgo poco probable.
Como los ataques nucleares, impacto de meteoritos, etc. y que, aunque que están ahí,
las probabilidades de ocurrencia son bajas y en principio no se toman medidas contra
ellos.
Tipos de amenazas físicas en un sistema informático:
• Acceso físico. Cuando existe acceso físico a un recurso, no existe seguridad
sobre él. Supone un gran riesgo y probablemente con un impacto muy alto.
◦ A menudo se descuida este tipo de seguridad.
• Desastres naturales. Los eventos sísmicos son uno de los mayores riesgos
32
potenciales en Venezuela. En la actualidad, un 80% de la población
venezolana vive en zonas de alta amenaza sísmica, variable que aumenta el
nivel de riesgo, haciéndolo cada vez mayor a medida que se eleva el índice
demográfico y las inversiones en infraestructura. La zona de mayor actividad
sísmica corresponde a los sistemas montañosos de Los Andes, la Cordillera
Central y la Cordillera Oriental. Los lugares en los que se ubican las
principales sistemas de fallas sismogénicas del país son: Boconó, San
Sebastián y El Pilar, respectivamente.
◦ Además de este sistema de accidentes tectónicos, existen otros sistemas
activos menores (Oca-Ancón, Valera, La Victoria y Urica) capaces de
producir sismos importantes. Son fenómenos naturales que si se
produjeran tendrían un gran impacto y no sólo en términos de sistemas
informáticos, sino en general para la sociedad.
◦ Siempre hay que tener en cuenta las características de cada zona en
particular. Las posibilidades de que ocurra una inundación NO son las
mismas en todas las regiones de Venezuela. Las inundaciones ocurren en
su mayoría en zonas planas y/o cercanas a los cauces de ríos, algunas son
producidas por lluvias intensas (OMM, 2006); son objeto de inundaciones
las ciudades emplazadas en los Llanos bajos y que están cerca de grandes
ríos; en los Andes, y en los centros poblados ubicados en las partes bajas
de los valles (MARN, 1983), entre otros. Se sugiere documentarse y
conocer bien el entorno en el que están físicamente ubicados los sistemas
informáticos.
• Desastres del entorno. Dentro de este grupo están incluidos sucesos que, sin
llegar a ser desastres naturales, pueden tener un impacto importante si no se
disponen de las medidas, listas y operativas, de salvaguarda.
◦ Ocurre un incendio o un apagón y por no tener definidas las medidas a
tomar en estas situaciones o simplemente por un extintor químico o no
tener operativo el UPS el cual debe responder de forma inmediata al corte
de suministro eléctrico.
33
• Descripción de algunas amenazas físicas. Algunas amenazas físicas a las
que se puede ver sometido un Centro de Procesamiento de Datos (CPD) y
algunas sugerencias para evitar este tipo de riesgo son:
◦ Por acciones naturales: incendio, inundación, condición climatológica,
señales de radar, instalaciones eléctricas, ergometría, etc.
◦ Por acciones hostiles: robo, fraude, sabotaje, etc.
Amenazas lógicas
El punto más débil de un sistema informático son las personas
relacionadas en mayor o menor medida con él. Puede ser inexperiencia o falta de
preparación, o no llegar a ataques intencionados propios, sino simplemente sucesos
34
accidentales. Pero que, en cualquier caso, hay que prevenir.
• Algunos de los ataques potenciales que pueden ser causados por personas,
encontramos:
◦ Ingeniería social: consiste en la manipulación de las personas para que
voluntariamente realicen actos que normalmente no harían.
◦ Shoulder Surfing: consiste en "espiar" físicamente a los usuarios para
obtener generalmente claves de acceso al sistema.
◦ Masquerading: consiste en suplantar la identidad de cierto usuario
autorizado de un sistema informático o su entorno.
◦ Basureo: consiste en obtener información dejada en o alrededor de un
sistema informático tras la ejecución de un trabajo.
◦ Actos delictivos: son actos tipificados claramente como delitos por las
leyes, como el chantaje, el soborno o la amenaza.
◦ Atacante interno: la mayor amenaza procede de personas que han
trabajado o trabajan con los sistemas. Estos posibles atacantes internos
deben disponer de los privilegio mínimos, conocimiento parcial, rotación
de funciones y separación de funciones, etc.
◦ Atacante externo: suplanta la identidad de un usuario legítimo. Si un
atacante externo consigue penetrar en el sistema, ha recorrido el 80% del
camino hasta conseguir un control total de un recurso.
• Algunas amenazas lógicas comprenden una serie de programas que pueden
dañar el sistema informático. Estos programas creados:
◦ de forma intencionada para hacer daño: software malicioso o malware
(malicious software)
◦ por error: bugs o agujeros.
35
• Software incorrecto. Son errores de programación (bugs) y los programas
utilizados para aprovechar uno de estos fallos y atacar al sistema son los
exploits. Es la amenaza más habitual, ya que es muy sencillo conseguir un
exploit y utilizarlo sin tener grandes conocimientos.
• Exploits. Son los programas que aprovechan una vulnerabilidad del sistema.
Son específicos de cada sistema operativo, de la configuración del sistema y
del tipo de red en la que se encuentren. Pueden haber exploits diferentes en
función del tipo de vulnerabilidad.
• Herramientas de seguridad. Puede ser utilizada para detectar y solucionar
fallos en el sistema o un intruso puede utilizarlas para detectar esos mismos
fallos y aprovechar para atacar el sistema. Herramientas como Nessus o Satan
pueden ser útiles pero también peligrosas si son utilizadas por crackers
buscando información sobre las vulnerabilidades de un host o de una red
completa.
• Puertas traseras. Durante el desarrollo de aplicaciones los programadores
pueden incluir 'atajos' en los sistemas de autenticación de la aplicación. Estos
atajos se llaman puertas traseras, y con ellos se consigue mayor velocidad a la
hora de detectar y depurar fallos. Si estas puertas traseras, una vez la
aplicación ha sido finalizada, no se destruyen, se está dejando abierta una
puerta de entrada rápida.
• Bombas lógicas. Son partes de código que no se ejecutan hasta que se cumple
una condición. Al activarse, la función que realizan no esta relacionada con el
programa, su objetivo es es completamente diferente.
• Virus. Secuencia de código que se incluye en un archivo ejecutable (llamado
huésped), y cuando el archivo se ejecuta, el virus también se ejecuta,
propagándose a otros programas.
• Gusanos. Programa capaz de ejecutarse y propagarse por sí mismo a través de
redes, y puede llevar virus o aprovechar errores de los sistemas a los que
conecta para causar daño.
36
• Caballos de Troya. Los caballos de Troya son instrucciones incluidas en un
programa que simulan realizar tareas que se esperan de ellas, pero en realidad
ejecutan funciones con el objetivo de ocultar la presencia de un atacante o
para asegurarse la entrada en caso de ser descubierto.
• Spyware. Programas espía que recopilan información sobre una persona o
una organización sin su conocimiento. Esta información luego puede ser
cedida o vendida a empresas publicitarias. Pueden recopilar información del
teclado de la víctima pudiendo así conocer contraseña o número de cuentas
bancarias o pines.
• Adware. Programas que abren ventanas emergentes mostrando publicidad de
productos y servicios. Se suele utilizar para subvencionar la aplicación y que
el usuario pueda bajarla gratis u obtener un descuento. Normalmente el
usuario es consciente de ello y da su permiso.
• Spoofing. Técnicas de suplantación de identidad con fines dudosos.
37
Amenazas del sistema
Las amenazas afectan principalmente al Hardware, al Software y a los
Datos. Estas se deben a fenómenos de:
◦ Interrupción
◦ Interceptación
◦ Modificación
◦ Generación
• Amenazas de interrupción
◦ Detección inmediata.
• Amenazas de modificación
38
◦ Creación de nuevos objetos dentro del sistema.
39
CAPÍTULO 4
LA VULNERABILIDAD
• Implementación:
◦ Errores de programación.
• Uso
40
◦ Limitación gubernamental de tecnologías de seguridad.
41
VULNERABILIDAD DE DENEGACIÓN DEL SERVICIO
• La denegación de servicio hace que un servicio o recurso no esté disponible
para los usuarios. Suele provocar la pérdida de la conectividad de la red por el
consumo del ancho de banda de la red de la víctima o sobrecarga de los
recursos informáticos del sistema de la víctima.
42
CAPÍTULO 5
OTROS
ROBO Y FRAUDE
Los sistemas de TI pueden ser usados para estas acciones de manera
tradicional o usando nuevos métodos, por ejemplo, un individuo puede usar el
computador para sustraer pequeños cantidades de dinero de un gran número de
cuentas financieras bajo la suposición de que pequeñas diferencias de saldo no serán
investigadas, los sistemas financieros no son los únicos que están bajo riesgo,
también lo están los sistemas que controlan el acceso a recursos de diversos tipos,
como: sistemas de inventario, sistemas de calificaciones, de control de llamadas
telefónicas, etc.
• Los robos y fraudes usando sistemas de TI pueden ser cometidos por personas
internas o externas a las organizaciones, estadísticamente los responsables de
la mayoría de los fraudes son personas internas a la organización.
• Cada año millones de dólares son sustraídos de empresas y en muchas
ocasiones, las computadoras han sido utilizadas como instrumento para dichos
fines, ya sea para transferencias ilícitas de dinero, alteración de saldos de
cuentas, eliminación de registros de deuda, u otras actividades similares, sin
embargo, debido a que las partes implicadas (compañía, empleados,
fabricantes, auditores, etc.), en lugar de ganar, tienen mas que perder, ya sea
en imagen o prestigio, no se da publicidad a este tipo de situaciones.
SABOTAJE
Una gran parte de las empresas que han intentado implementar programas
de seguridad de alto nivel, han encontrado que la protección contra esta amenaza es
uno de los retos más duros, el saboteador puede ser un empleado o un sujeto ajeno a
la empresa y sus motivos pueden ser de lo más variados.
43
• Al estar más familiarizados con las aplicaciones, los empleados saben que
acciones causarían más daño, por otra parte el downsizing ha generado grupos
de personas con conocimientos sobre diversas organizaciones y con
conocimiento de acceso a sus sistemas. Entre las acciones de sabotaje más
comunes tenemos:
◦ Destrucción de hardware.
ESPIONAJE
• Se refiere a la acción de recolectar información propiedad de una compañía
para ayudar a otra compañía. Desde que la información es procesada y
almacenada en computadoras, la seguridad informática puede ayudar a
proteger este recurso, sin embargo es muy poco lo que puede hacer para evitar
que un empleado con autorización de acceso a información pueda entregarla o
venderla.
44
uso de sus conocimientos de hardware, software y telefonía para no pagar las
llamadas que hacen son los ‘phreakers’. El código malicioso se refiere a los
virus, worms, caballos de troya, bombas lógicas y otros ejemplos de software
‘no deseado’ que son introducidos en los sistemas.
• Virus: Segmento de código que se replica adjuntando copias de sí mismo a los
ejecutable existentes, la nueva copia del virus se ejecuta cuando un usuario
ejecuta el programa host, o cuando ciertas condiciones, especificadas como
parte del virus, se presentan.
• Caballo de troya (Trojan Horse): Es un programa que ejecuta una tarea
deseada, pero que adicionalmente realiza funciones inesperadas e indeseadas.
• Worm: Es un programa que se autoreplica y no requiere un ejecutable que le
sirva de host, el programa crea una copia de sí mismo y la ejecuta sin
intervención del usuario, los worms comúnmente usan los servicios de red
para propagarse.
45
a su computadora.
• Ataque a los programas instructores del servidor: Los programas instructores
del servidor permiten las comunicaciones bidireccionales entre los servidores
y usuarios web. Las instrucciones del servidor también es un objetivo común
de los intrusos y lo hacen ejecutando comandos, leyendo los archivos del
sistema o modificando los mismos.
• Ataques de negación de servicio: la negación de servicio se produce cuando
alguien o algo impide que se realice una tarea u operación deseada. Los
intrusos o piratas logran esto principalmente con el consumo del ancho de
banda, inundando la red con datos, agotando los recursos del sistema, fallas de
programación, etc.
46
estos son TELNET, SSH, terminal, y Web, así como el manejo de protocolos
como SNMP, RMON, redes virtuales y puertos espejo principalmente. El
Puerto espejo es una más de las prestaciones de algunos equipos, la cual
permite transmitir el tráfico de un puerto específico del equipo, hacia otro
puerto del mismo, esto con la finalidad de analizar el tráfico que pasa.
• El alcance de los puertos monitores es demasiado, ya que analiza en tiempo
real las conexiones de un equipo sin afectar el tráfico, así como colocar otro
equipo para interpretar el tráfico que se está analizando. El software que se
puede emplear en equipos con estas características contemplan:
◦ Propósitos de diagnóstico.
ATAQUE INFORMÁTICO
Un ataque informático consiste en aprovechar alguna debilidad o falla
(vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman
47
parte de un ambiente informático; a fin de obtener un beneficio, por lo general de
índole económico, causando un efecto negativo en la seguridad del sistema, que luego
repercute directamente en los activos de la organización.
Para minimizar el impacto negativo provocado por ataques, existen
procedimientos y mejores prácticas que facilitan la lucha contra las actividades
delictivas y reducen notablemente el campo de acción de los ataques.
◦ Exploración.
◦ Obtener el acceso.
◦ Mantener el acceso.
48
Fase 2: (Exploración). En esta segunda etapa se utiliza la información
obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el
sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre
otros.
Entre las herramientas que un atacante puede emplear durante la
exploración se encuentra network mappers, port mappers, network scanners, port
scanners, y vulnerability scanners.
Fase 3: (Obtener acceso). En esta instancia comienza a materializarse el
ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw
exploitation) descubiertos durante las fases de reconocimiento y exploración.
Algunas de las técnicas que el atacante puede utilizar son ataques de
Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos),
Password filtering y Session hijacking.
Fase 4: (Mantener el acceso). Una vez que el atacante ha conseguido
acceder al sistema, buscará implantar herramientas que le permitan volver a acceder
en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen
recurrir a utilidades backdoors, rootkits y troyanos.
Fase 5: (Borrar huellas). Una vez que el atacante logró obtener y
mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando
durante la intrusión para evitar ser detectado por el profesional de seguridad o los
administradores de la red. En consecuencia, buscará eliminar los archivos de registro
(log) o alarmas del Sistema de Detección de Intrusos (IDS).
CONFIGURACIONES PREDETERMINADAS
Las configuraciones por defecto, tanto en los sistemas operativos, las
aplicaciones y los dispositivos implementados en el ambiente informático, conforman
otra de las debilidades que comúnmente son poco atendidas por pensar erróneamente
que se tratan de factores triviales que no se encuentran presentes en la lista de los
atacantes.
Sin embargo, las configuraciones predeterminadas hacen del ataque una
49
tarea sencilla para quien lo ejecuta ya que es muy común que las vulnerabilidades de
un equipo sean explotadas a través de códigos exploit donde el escenario que asume
dicho código se basa en que el objetivo se encuentra configurado con los parámetros
por defecto.
Muchas aplicaciones automatizadas están diseñadas para aprovechar estas
vulnerabilidades teniendo en cuenta las configuraciones predeterminadas, incluso,
existen sitios web que almacenan bases de datos con información relacionada a los
nombres de usuario y sus contraseñas asociadas, códigos de acceso, configuraciones,
entre otras, de los valores por defecto de sistemas operativos, aplicaciones y
dispositivos físicos. Sólo basta con escribir en un buscador las palabras claves
“default passwords” (contraseña por defecto) para ver la infinidad de recursos
disponibles que ofrecen este tipo de información.
Por lo tanto, una de las contramedidas más eficaces para mitigar y
prevenir problemas de seguridad en este aspecto, y que muchas veces se omite, es
simplemente cambiar los valores por defecto. En este sentido, es importante no
sacrificar la disponibilidad de los recursos por ganar seguridad. Se debe encontrar un
equilibrio justo entre usabilidad y seguridad.
La práctica de fortalecer el ambiente informático configurando de manera
segura la tecnología para contrarrestar los vectores de ataque se denomina hardening.
En esteaspecto, la responsabilidad de realizar todo lo que se encuentre a su alcance
para modificar los valores predeterminados recae en quienes se encargan de la
administración de los equipos.
Es importante que durante el proceso de hardening también se verifiquen
otros aspectos como las opciones que se configuran de manera predeterminada al
instalar sistemas operativos y demás recursos, como los nombres de rutas, nombres
de carpetas, componentes, servicios, configuraciones y otros ajustes necesarios, o
innecesarios, que brinden un adecuado nivel de protección.
50
técnicas de ataque que le permiten penetrar los esquemas de seguridad por más
complejos que sean.
En consecuencia, la pregunta que inmediatamente viene a colación es
¿cómo lo logran?, y aunque la respuesta pudiera parecer un tanto compleja, resulta
más sencilla de lo que se imagina. La respuesta es investigación.
Una de las primeras facetas de un ataque informático, consiste en la
recolección de información a través de diferentes técnicas como reconnaissance,
discovery, footprinting o Google Hacking; y precisamente, Open Source Intelligence
(Inteligencia de fuentes abiertas) se refiere a la obtención de información desde
fuentes públicas y abiertas.
La información recolectada por el atacante, no es más que la
consecuencia de una detallada investigación sobre el objetivo, enfocada a obtener
toda la información pública disponible sobre la organización desde recursos públicos.
En este aspecto, un atacante gastará más del 70% de su tiempo en actividades de
reconocimiento y obtención de información por que cuanto más aprende el atacante
sobre el objetivo, más fácil será llevar a cabo con éxito el ataque.
Lo realmente preocupante es la falta de conciencia en este sentido, ya que
no caben dudas de que la información es el bien más importante para cualquier tipo
de organización. En la mayoría de los casos, las empresas brindan una enorme
cantidad de datos que hacen de la tarea de recolectar información una cuestión tan
sencilla como la lectura de este artículo.
Generalmente, los atacantes hacen inteligencia sobre sus objetivos
durante varios meses antes de comenzar las primeras interacciones lógicas contra el
objetivo a través de diferentes herramientas y técnicas como el scanning, banner
grabbing (captura de titulares) y rastreo de los servicios públicos. Aún así, estas
actividades son sólo sondeos sutiles que buscan verificar los datos obtenidos.
Los responsables de las organizaciones se sorprenderían al ver el enorme
caudal de información que se puede encontrar en Internet sobre, no sólo las
actividades propias de la organización, sino que también, información sobre las
actividades de los empleados y su familia.
51
A través del siguiente listado se refleja algunos ejemplos concretos sobre
el tipo y sensibilidad de la información que un atacante podría obtener haciendo
OSINT:
• Los nombres de sus altos jefes/ejecutivos y de cualquier empleado pueden ser
obtenidos desde comunicados de prensa.
• La dirección de la empresa, números telefónicos y números de fax desde
diferentes registros públicos o directamente desde el sitio web.
• Qué o cuáles, empresas proveen el servicio de Internet (ISP) a través de
técnicas sencillas como DNS lookup y traceroute.
• La dirección del domicilio del personal, sus números telefónicos, currículum
vitae, datos de los familiares, puestos en los que desempeña funciones,
antecedentes penales y mucho más buscando sus nombres en diferentes sitios.
• Los sistemas operativos que se utilizan en la organización, los principales
programas utilizados, los lenguajes de programación, plataformas especiales,
fabricantes de los dispositivos de networking, estructura de archivos, nombres
de archivos, la plataforma del servidor web y mucho más.
• Debilidades físicas, access point, señales activas, endpoint, imágenes
satelitales, entre otras.
• Documentos confidenciales accidentalmente, o intencionalmente, enviados a
cuentas personales de personas que no en la actualidad no guardan relación
alguna con la organización, más allá del paso por la misma.
• Vulnerabilidades en los productos utilizados, problemas con el personal,
publicaciones internas, declaraciones, políticas de la institución.
• Comentarios en blogs, críticas, jurisprudencia y servicios de inteligencia
competitiva.
Como se puede apreciar, no hay límite a la información que un atacante
puede obtener desde fuentes públicas abiertas donde, además, cada dato obtenido
52
puede llevar al descubrimiento de más información.
En cuanto a las medidas preventivas que se pueden implementar, existe
un punto de partida delimitado por la información que ya se encuentra en Internet y
aquella que se publicará a futuro en fuentes públicas.
En el primero de los casos, una vez que la información se encuentra en
Internet siempre está allí disponible sin poder ser modificada o eliminada, por
consiguiente, continuará erosionando sobre la seguridad de la entidad. De todas
formas, siempre queda la posibilidad de limpiar cualquier recurso de información que
se encuentre bajo su control directo, poniéndose en contacto con quienes poseen la
información y solicitar que la cambien.
Con respecto a la información que se publicará, antes de hacerlo se debe
ejecutar contramedidas efectivas que contemplen la protección de cierto tipo de
información. Esto se logra a través de políticas de seguridad rigurosas tendientes a
controlar o limitar la información que en el futuro sale al mundo exterior de la
organización, siendo discreto en los anuncios, en detalles sobre proyectos y
productos, comunicados de prensa, etcétera.
53
CAPÍTULO 6
IMPACTO
No existe una fórmula exacta ni una herramienta para calcular el "costo
de los ataques informáticos". Sin embargo, hay una serie de directrices y estudios de
investigación útiles que nos pueden proporcionar a los administradores de TI las
técnicas y los recursos necesarios para desarrollar su propio modelo de costos. A la
hora de evaluar el impacto de los ataques basados en la red y el "valor preventivo" de
las tecnologías de firewalls de próxima generación, deben tenerse en cuenta tres áreas
principales:
• La definición de los diferentes tipos de ataques basados en la red.
IMPACTO ECONÓMICO
Los daños causados por los ataques, independientemente de la fuente, se
dividen en dos categorías principales: la filtración de datos y la pérdida de servicio.
La filtración de datos siempre da lugar a noticias sensacionalistas, pues la
54
extracción de información corporativa confidencial va a parar a manos de criminales
o competidores. Los daños causados por las filtraciones de datos son visibles y muy
graves. Pueden ser daños de carácter financiero (pérdida de ingresos, costes legales y
normativos, costes derivados de procesos judiciales y multas), costes 'blandos'
(pérdida de la confianza y fidelidad de los clientes) y pérdida de competitividad
(como resultado de la pérdida de propiedad intelectual).
Después de sufrir filtraciones de información, las empresas se gastan
cantidades enormes de tiempo y dinero en tareas de detección y corrección técnica, en
la identificación y el bloqueo de ataques, así como en la valoración de los daños
causados y en la aplicación de medidas correctivas. Además, los casos de filtración de
datos generan una publicidad negativa que dura mucho más que el ataque en sí.
Los ataques por denegación de servicio resultan en la degradación o en la
total inoperatividad de los sistemas informáticos, tanto de estaciones de trabajo como
de servidores web, de aplicaciones o de bases de datos. Pero los daños colaterales en
el ámbito financiero de estos daños también pueden ser catastróficos. El comercio se
ralentiza o se detiene por completo, lo cual repercute directamente en los ingresos.
Los procesos cotidianos se interrumpen o los empleados no pueden desempeñar sus
tareas porque la red está fuera de servicio.
Al igual que ocurre con las filtraciones de datos, se produce un coste real
relacionado con el departamento de TI y el personal de soporte, que tienen que
diagnosticar los problemas, ayudar a los empleados, reiniciar los servicios y
restablecer la imagen inicial de los PC.
55
El Ponemon Institute realizó entrevistas detalladas a finales de 2011 a 49
empresas pertenecientes a 14 industrias diferentes, que habían sufrido casos de
pérdida o robo de datos personales de cliente y extrajo como principales conclusiones
que:
• El costo total medio de la filtración de datos asciende a los 4,16 millones de
euros (valor en la divisa local utilizando Xe.com).
• Los ingresos perdidos por la filtración son de 2,26 millones de euros.
• Pago total medio del seguro por evento: 2,8 millones de euros.
56
o seriamente impedida a causa de un ataque DdoS.
• La pérdida de productividad por cada hora que un proceso de negocio crítico
está fuera de servicio debido a unmalware que inhabilita el servidor.
• El precio por hora del personal del servicio técnico para diagnosticar
infecciones de malware en los PC y del grupo de soporte para restablecer los
PC infectados.
• El costo por registro para informar a los clientes o empleados en caso de
filtración de datos y proporcionarles servicios de supervización crediticia
durante un año.
Existen asimismo dos técnicas adicionales que pueden resultar de utilidad
a la hora de calcular los costes de los ataques. Algunas organizaciones han hecho
estimaciones detalladas de posibles repercusiones futuras mediante la realización de
simulaciones. Para ello, reúnen a un grupo de empleados de diferentes departamentos
-TI, marketing, RRHH, legal, etc.- y simulan un ataque. Estos ejercicios no solo
ayudan a cuantificar los costes, sino que a menudo además desvelan efectos
inesperados, como por ejemplo las obligaciones contractuales o el impacto de las
filtraciones de datos asociado a las normas.
57
También se observa que las empresas que poseen activos informáticos
importantes, son cada vez más celosas y exigentes en la contratación de personal para
trabajar en éstas áreas, pudiendo afectar en forma positiva o negativa a la sociedad
laboral de nuestros tiempos.
Aquellas personas que no poseen los conocimientos informáticos básicos,
son más vulnerables a ser víctimas de un delito, que aquellos que si los poseen. En
vista de lo anterior aquel porcentaje de personas que no conocen nada de informática
(por lo general personas de escasos recursos económicos) pueden ser engañadas si en
un momento dado poseen acceso a recursos tecnológicos y no han sido asesoradas
adecuadamente para la utilización de tecnologías como la Internet, correo electrónico,
etc.
La falta de cultura informática puede impedir de parte de la sociedad la
lucha contra los delitos informáticos, por lo que el componente educacional es un
factor clave en la minimización de esta problemática.
58
Investigadores de la Internet, de Australia, integrado por oficiales de la ley y peritos
con avanzados conocimientos de informática. El grupo australiano recoge pruebas y
las pasa a las agencias gubernamentales de represión pertinentes en el estado donde se
originó el delito.
Pese a estos y otros esfuerzos, las autoridades aún afrentan graves
problemas en materia de informática. El principal de ellos es la facilidad con que se
traspasan las fronteras, por lo que la investigación, enjuiciamiento y condena de los
transgresores se convierte en un dolor de cabeza jurisdiccional y jurídico. Además,
una vez capturados, los oficiales tienen que escoger entre extraditarlos para que se les
siga juicio en otro lugar o transferir las pruebas --y a veces los testigos-- al lugar
donde se cometieron los delitos.
En 1992, los piratas de un país europeo atacaron un centro de
computadoras de California. La investigación policial se vio obstaculizada por la
doble tipificación penal --la carencia de leyes similares en los dos países que
prohibían ese comportamiento-- y esto impidió la cooperación oficial, según informa
el Departamento de Justicia de los Estados Unidos. Con el tiempo, la policía del país
de los piratas se ofreció a ayudar, pero poco después la piratería terminó, se perdió el
rastro y se cerró el caso.
Asimismo, en 1996 el Servicio de Investigación Penal y la Agencia
Federal de Investigación (FBI) de los Estados Unidos le siguió la pista a otro pirata
hasta un país sudamericano. El pirata informático estaba robando archivos de claves y
alterando los registros en computadoras militares, universitarias y otros sistemas
privados, muchos de los cuales contenían investigación sobre satélites, radiación
atómica y nuclear e ingeniería energética.
Los oficiales del país sudamericano requisaron el apartamento del pirata e
incautaron su equipo de computadora, aduciendo posibles violaciones de las leyes
nacionales. Sin embargo, los dos países no habían firmado acuerdos de extradición
por delitos de informática sino por delitos de caracter más tradicional. Finalmente se
resolvió la situación sólo porque el pirata accedió a negociar su caso, lo que condujo
a que se declarara culpable en los Estados Unidos.
59
Destrucción u ocultación de pruebas
Otro grave obstáculo al enjuiciamiento por delitos cibernéticos es el
hecho de que los delincuentes pueden destruir fácilmente las pruebas bien sea
cambiándolas, borrándolas o trasladándolas. Si los agentes del orden operan con más
lentitud que los delincuentes, se pierde gran parte de las pruebas; o puede ser que los
datos estén cifrados, una forma cada vez más popular de proteger tanto a los
particulares como a las empresas en las redes de computadoras.
Tal vez la criptografía estorbe en las investigaciones penales, pero los
derechos humanos podrían ser vulnerados si los encargados de hacer cumplir la ley
adquieren demasiado poder técnico. Las empresas electrónicas sostienen que el
derecho a la intimidad es esencial para fomentar la confianza del consumidor en el
mercado de la Internet, y los grupos defensores de los derechos humanos desean que
se proteja el cúmulo de datos personales archivados actualmente en archivos
electrónicos.
Las empresas también recalcan que la información podría caer en malas
manos, especialmente en países con problemas de corrupción, si los gobiernos tienen
acceso a los mensajes en código. "Si los gobiernos tienen la clave para descifrar los
mensajes en código, esto significa que personas no autorizadas --que no son del
gobierno-- pueden obtenerlas y utilizarlas", dice el gerente general de una importante
compañía norteamericana de ingeniería de seguridad.
60
sobre el delito por computadora, en el que se enumeran las leyes pertinentes en los
diversos países y se exponen técnicas de investigación, al igual que las formas de
buscar y guardar el material electrónico en condiciones de seguridad.
El Instituto Europeo de Investigación Antivirus colabora con las
universidades, la industria y los medios de comunicación y con expertos técnicos en
seguridad y asesores jurídicos de los gobiernos, agentes del orden y organizaciones
encargadas de proteger la intimidad a fin de combatir los virus de las computadoras o
"caballos de Troya". También se ocupa de luchar contra el fraude electrónico y la
explotación de datos personales.
En 1997, los países del Grupo de los Ocho aprobaron una estrategia
innovadora en la guerra contra el delito de "tecnología de punta". El Grupo acordó
que establecería modos de determinar rápidamente la proveniencia de los ataques por
computadora e identificar a los piratas, usar enlaces por vídeo para entrevistar a los
testigos a través de las fronteras y ayudarse mutuamente con capacitación y equipo.
También decidió que se uniría a las fuerzas de la industria con miras a crear
instituciones para resguardar las tecnologías de computadoras, desarrollar sistemas de
información para identificar casos de uso indebido de las redes, perseguir a los
infractores y recabar pruebas.
El Grupo de los Ocho ha dispuesto ahora centros de coordinación abiertos
24 horas al día, siete días a la semana para los encargados de hacer cumplir la ley.
Estos centros apoyan las investigaciones de otros Estados mediante el suministro de
información vital o ayuda en asuntos jurídicos, tales como entrevistas a testigos o
recolección de pruebas consistentes en datos electrónicos.
Un obstáculo mayor opuesto a la adopción de una estrategia del tipo
Grupo de los Ocho a nivel internacional es que algunos países no tienen la
experiencia técnica ni las leyes que permitirían a los agentes actuar con rapidez en la
búsqueda de pruebas en sitios electrónicos --antes de que se pierdan-- o transferirlas
al lugar donde se esté enjuiciando a los infractores.
Cyber delitos
En la nube. Ahora es frecuente que guardes información en servicios que
61
operan en la nube como Dropbox o Evernote. Pero algunos de estos servicios han
tenido serias violaciones de seguridad en los últimos años. Todo depende de cada
proveedor, pero se recomienda que si almacenas información privada en un servicio
en la nube, la información debe ir encriptada. Lo que tienes que hacer es agregarle un
código con un programa de encriptación como TrueCrypt (truecrypt.org) antes de
subir la información. Si ocurre una violación, los piratas no podrán leer tu
información.
En el consultorio del doctor. A los piratas les gustan mucho los centros de
salud porque pueden obtener con facilidad los números de seguro social de los
pacientes. No proporciones tu numero de seguro social y correo electrónico cuando
llenas el formulario en el consultorio. Esta es la mina de oro de los piratas.
En el lugar donde compras. El ataque del año pasado a Target es una señal
de que cada vez que pasas tu tarjeta para una compra estas vulnerable. Lo más
importante es que estés siempre atento y revisa que no tengas cargos extraños en tus
tarjetas. Si informas a tiempo a tu banco puedes eliminar un costoso dolor de cabeza.
Mientras te tomas un café. Los lugares públicos con redes abiertas de Wi-
Fi son territorio para los delitos cibernéticos. Si usas tu laptop fuera de casa es
conveniente que uses tu propia red al pagar tu propio proveedor de servicio móvil de
Internet. En las Wi-Fi públicas tu información puede quedar expuesta.
Cuando pagas los impuestos. Las declaraciones de impuestos también
contienen información muy valiosa para los piratas. Tienes que mantenerte atento con
tu información de historia de crédito. Informa sobre posibles errores en tu historia de
crédito o transacciones sospechosas en tus cuentas bancarias.
Cuando viajas. Se han descubierto dispositivos para robar información en
las computadoras dispensadoras de boletos de tren y otros transportes públicos.
Cuando las uses trata de usar la tarjeta de crédito o trata de ocultar tu mano cuando
ingreses los números de tu código personal o PIN.
Cuando pones gasolina al auto. Las estaciones de gasolina y algunos ATM
ubicados fuera de tu red bancaria pueden ser vulnerables. Se sabe que los piratas
instalan cámara en lugares ocultos para capturar la información o instalan aparatos
62
que pueden robar la información de las tarjetas. No uses la tarjeta débito en estos
lugares o pásala siempre como crédito.
63
CAPÍTULO 7
CONTROL DE RIESGOS
SERVICIOS DE SEGURIDAD
El propósito del control de riesgo es analizar el funcionamiento, la
efectividad y el cumplimiento de las medidas de protección, para determinar y ajustar
sus deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan
operativo institucional, donde se define los momentos de las intervenciones y los
responsables de ejecución.
Medir el cumplimiento y la efectividad de las medidas de protección
requiere que levantemos constantemente registros sobre la ejecución de las
actividades, los eventos de ataques y sus respectivos resultados. Éstos, deben ser
analizados frecuentemente. Dependiendo de la gravedad, el incumplimiento y el
sobrepasar de las normas y reglas, requieren sanciones institucionales para el personal
involucrado.
En el proceso continuo de la Gestión de riesgo, las conclusiones mismas
se generan como resultado del control de riesgo, lo que nos sirven como fuente de
información, cuando se inicia otra vez en el proceso del Análisis de riesgo.
◦ Confidencialidad
La confidencialidad es la garantía de que la información personal será
protegida para que no sea divulgada sin consentimiento de la persona. Dicha garantía
se lleva a cabo por medio de un grupo de reglas que limitan el acceso a ésta
información.
¿Porqué es importante la confidencialidad?
Cada individuo tiene derecho a proteger su información personal. Cuando
decide compartir dicha información en un estudio de investigación, el médico y
64
personal del estudio debe asegurarle al individuo que su información personal
continuará siendo confidencial y sólo será accesible a los pocos individuos que se
encuentran directamente involucrados en el estudio.
¿Quién es el responsable de que exista confidencialidad en cada
estudio clínico?
El Comité de Ética en Investigación es un grupo de consejeros que
evalúan cada proyecto de investigación. Desde antes de que inicie el estudio, el
Comité de Ética le solicita a cada investigador que explique claramente como
pretende proteger la información de los participantes. Posteriormente vigila que se
cumplan las condiciones necesarias para que la información se mantenga segura.
¿Cómo se garantiza la confidencialidad en un estudio?
Cuando se invita a una persona a participar en un estudio, ésta deberá
recibir un documento oficial que asegure que tipo de información recabará el estudio
y como se pretende utilizar dicha información. La persona tendrá la oportunidad de
valorar ésta información y preguntar lo que no le quede claro antes de firmar el
documento para iniciar el estudio.
¿Cómo se protegen los datos para asegurar la confidencialidad?
Para asegurar la confidencialidad de cada persona se utilizan códigos
especiales de identificación. En lugar de utilizar el nombre y apellidos reales, o
incluso el registro de la institución, se asignan otros códigos para su identificación.
Por otro lado, el número de personas con acceso a dicha información es limitado.
Generalmente se utilizan contraseñas personales para acceder a las bases de datos.
Muchas de las bases de datos computarizadas registran quienes accedieron a ella y
que información obtuvieron. Por último, los registros de papel se mantienen en un
lugar cerrado y protegido.
¿A quién puedo reportar que mi confidencialidad fue violada?
Al Comité de Ética en investigación. El documento de inicio (Carta de
Consentimiento Informado) deberá tener los teléfonos del Comité en caso de que
usted desee contactarlo.
65
◦ Autenticación
Llamamos autenticación a la comprobación de la identidad de una
persona o de un objeto. Hemos visto algunos procesos que sirven para la
autenticación de servidores, de mensajes y de remitentes y destinatarios de mensajes.
Pero hemos dejado pendiente un problema: las claves privadas están alojadas en
máquinas clientes y cualquiera que tenga acceso a ellas puede utilizar dichas claves
para suplantar la identidad de su legítimo propietario.
Por tanto es necesario que los usuarios adopten medidas de seguridad y
utilicen los medios de autenticación de usuario de los que disponen sus computadores
personales. Hay tres sistemas de identificación de usuario, mediante contraseña,
mediante dispositivo y mediante dispositivo biométrico.
La autenticación mediante contraseña es el sistema más común ya que
viene incorporado en los sistemas operativos modernos de todos los computadores.
Otros computadores estarán preparados para la autenticación mediante un dispositivo
que sólo reconocerá al usuario mientras éste mantenga introducida una “llave”,
normalmente una tarjeta con chip. Hay sistemas de generación de claves asimétricas
que introducen la clave privada en el chip de una tarjeta inteligente.
Los dispositivos biométricos son un caso especial del anterior, en los que
la “llave” es una parte del cuerpo del usuario, huella dactilar, voz, pupila o iris.
Existen en el mercado a precios relativamente económicos ratones un lector de
huellas dactilares incorporado.
Autenticación Fuerte
Entonces, cada vez que ingresas a tu computador lo más probable es que
el sistema te solicite una clave de acceso para comprobar que efectivamente eres tú el
que intenta acceder a tu cuenta. Este tipo de autenticación se basa en algo que tu
sabes: la clave.
Pero sabemos que por diferentes motivos otra persona puede tener esa
clave y acceder al sistema de forma ajena, es ahí donde hace presencia la
Autenticación Fuerte, la cual asegura que la persona que se identifica en un sistema es
realmente quien dice ser comprobando su identidad.
66
Este sistema se encuentra generalmente basado en tres factores básicos:
• Algo que sabes: clave, PIN, Cédula de Identidad, Pasaporte, Nombre de
Algún Pariente, etc.
• Algo que posees: Credencial, Tarjeta Magnética, Token OTP (One Time
Password), etc.
• Algo que la persona es: Huella Digital, Reconocimiento facial, de voz, iris,
retina, etc.
Hablamos de Autenticación Fuerte cuando un sistema utiliza al
menos dos de los tres factores básicos, de modo que si uno de estos factores se
encuentra comprometido todavía existe un segundo factor que garantiza la seguridad.
La Banca utiliza sistemas de Autenticación Fuerte, al momento que
acudes a un cajero automático para retirar dinero utilizas dos factores de
autenticación: Algo que posees: tu tarjeta y algo que sabes: tu clave.
En la actualidad el mayor reto de seguridad en autenticación se presenta
en sistemas en línea, donde cualquier mínimo desacierto representa una amenaza de
acceso no autorizado. La solución es la Autenticación Fuerte con dispositivos
llamados Token OTP (One Time Password).
Token OTP (One Time Password) es una herramienta que se utiliza de
forma individual como una tarjeta, consta de uno o varios botones y una pantalla
numérica. Su función es generar una secuencia de números aleatoria en el momento
que la uses, la validez de esta secuencia es de sólo unos segundos y te servirá para
ingresar en el sistema.
Esta secuencia de números utiliza un avanzado algoritmo que hace su
número único en toda una plataforma de usuarios. El sistema puede saber gracias a
esa secuencia que eres tu quien ingresa al sistema en ese momento, si otra persona
por diferentes razones obtiene el numero de esa secuencia no podrá hacer nada con
ella ya que a los pocos segundos expirará y denegara el acceso sin comprometer su
identidad.
67
Los Tokens OTP se presentan en diferentes formas: como dispositivo
electrónico, como tarjeta electrónica o como Software instalado en el computador.
◦ Integridad
Es la garantía de la exactitud y completitud de la información de la
información y los métodos de su procesamiento. Asegura que:
• No se realizan modificaciones de datos en un sistema por personal o procesos
no autorizados.
• No se realizan modificaciones no autorizadas de datos por personal o procesos
autorizados.
• Los datos son consistentes, es decir, la información interna es consistente
entre si misma y respecto de la situación real externa.
68
“integridad”, podríamos concluimos que el término incluye la integridad de
los sistemas (protección mediante antivirus, ciclos de vida del desarrollo de
sistemas estructurados [SDLC], revisión de códigos fuente por expertos,
pruebas exhaustivas, etc.), y también incluye la integridad personal
(responsabilidad, confianza, fiabilidad, etc.).
• Para un administrador de bases de datos, la “integridad de los datos”
depende que los datos introducidos en una base de datos sean precisos, válidos
y coherentes. Es probable que los administradores de bases de datos también
analicen la integridad de las entidades, la integridad de los dominios y la
integridad referencial —conceptos que podría desconocer un experto en
infraestructuras instruido en normas ISO 27000 o en la serie 800 de
publicaciones especiales (SP 800) del Instituto Nacional de Normas y
Tecnología (NIST, National Institute of Standards and Technology) de los EE.
UU.
• Para un arquitecto o modelador de datos, la “integridad de los datos” esta
relacionada con el mantenimiento de entidades primarias únicas y no nulas.
La unicidad de las entidades que integran un conjunto de datos se define por
la ausencia de duplicados en el conjunto de datos y por la presencia de una
clave para acceder de forma exclusiva a cada una de las entidades del
conjunto.
• Para el propietario de los datos (es decir, para el experto en la materia), la
“integridad de los datos” es un parámetro de la calidad, ya que demuestra que
las relaciones entre las entidades están regidas por reglas de negocio
adecuadas, que incluyen mecanismos de validación, como la realización de
pruebas para identificar registros huérfanos.
• Para un proveedor, la “integridad de los datos” es: La exactitud y coherencia
de los datos almacenados, evidenciada por la ausencia de datos alterados
entre dos actualizaciones de un mismo registro de datos. La integridad de los
datos se establece en la etapa de diseño de una base de datos mediante la
aplicación de reglas y procedimientos estándar, y se mantiene a través del uso
69
de rutinas de validación y verificación de errores.
• En un diccionario disponible en línea, se define la “integridad de los datos”
de este modo: Cualidad de la información que se considera exacta, completa,
homogénea, sólida y coherente con la intención de los creadores de esos
datos. Esta cualidad se obtiene cuando se impide eficazmente la inserción,
modificación o destrucción no autorizada, sea accidental o intencional del
contenido de una base de datos. La integridad de los datos es uno de los seis
componentes fundamentales de la seguridad de la información.
• Sin duda, tenemos muchas otras definiciones. Pero todas contienen
superposiciones, aluden a temas de distinta índole y producen confusión
semántica, uno de los principales motivos por los que las bases de datos son
los objetos menos protegidos de las TIC.
El planteo del problema no termina aquí. La descentralización de los
sistemas de información y la disponibilidad de entornos de programación eficaces
para los usuarios finales, como hojas de cálculo, han creado vulnerabilidades
potencialmente descontroladas en la integridad de los datos, ya que estas hojas se
utilizan como base de decisiones ejecutivas, sin evaluar, muchas veces, la calidad e
integridad de los datos. ¿Cómo deberíamos abordar este problema? En primer lugar,
consideramos que se trata de un problema que atañe:
▪ A la seguridad de la información, dado que no garantiza la integridad
de los datos.
▪ A la calidad del software, dado que la mayoría de las hojas de cálculo
no está sujeta a un proceso de gestión del ciclo de vida.
▪ A la inteligencia de negocios, dado que la introducción de datos
erróneos produce resultados erróneos, algo que en inglés se conoce
como “GIGO” (“Garbage In, Garbage Out”, lo que significa que si
“entra basura, sale basura”).
Concluimos que abarca los tres aspectos; en tal caso, el siguiente paso
consiste en determinar quién debe abordar el problema (el propietario de los datos, el
70
usuario final que diseñó la hoja de cálculo, el departamento o proveedor de servicios
de TI o todos juntos).
Disparadores de la Pérdida de Integridad de los Datos.
Hemos analizado, a modo de ejemplo, el uso de hojas de cálculo
diseñadas por los usuarios sin someterlas a pruebas ni incluir documentación (hecho
agravado por la captura manual de datos, particularmente cuando no se validan los
valores ingresados), pero existen otros disparadores de problemas que podrían
resultar aún más graves:
• Modificación de los permisos y privilegios de acceso.
71
Los ataques a la integridad de los datos consisten en la modificación
intencional de los mismos, sin autorización alguna, en algún momento de su ciclo de
vida. El ciclo de vida de los datos comprende las siguientes etapas:
• Introducción, creación y/o adquisición de datos.
72
ataques de características similares a las mencionadas, que afectan principalmente los
discos duros de las computadoras personales. Debería esperarse que tarde o temprano
se produzcan ataques de este tipo destinados a los servidores.
La modificación no autorizada de sistemas operativos (servidores y redes)
y/o de software de aplicaciones (como los “backdoors” o códigos no documentados),
tablas de bases de datos, datos de producción y configuración de infraestructura
también se consideran ataques a la integridad de los datos. Es lógico suponer que los
hallazgos de las auditorías de TI incluyen con regularidad las fallas producidas en
procesos clave, particularmente en la gestión del acceso privilegiado, la gestión de
cambios, la segregación de funciones y la supervisión de registros. Estas fallas
posibilitan la introducción de modificaciones no autorizadas y dificultan su detección
(hasta que se produce algún incidente).
Otro método de ataque a la integridad de los datos es la interferencia en
los sistemas de control de supervisión y adquisición de datos (SCADA, Supervisory
Control and Data Acquisition), como los que se utilizan en infraestructuras críticas
(suministro de agua, electricidad, etc.) y procesos industriales. A menudo, la función
de TI no interviene en la instalación, el funcionamiento ni la gestión de estos
sistemas. El ataque dirigido a plantas de enriquecimiento de uranio en Irán durante el
año 2010 había sido planeado con la finalidad de alterar el comportamiento de los
sistemas de centrifugación sin que los tableros de control indicaran ninguna anomalía.
Cabe destacar que muchos de estos sistemas de control no están
conectados a Internet y que, en el caso de la inyección del software Stuxnet, debió
realizarse una intervención manual, hecho que confirma la teoría de que el “hombre”
sigue siendo el eslabón más débil de la cadena de aseguramiento/seguridad de la
información.
Alineamiento con Normas y Mejores Prácticas para Gestión de
Riesgos y Cumplimiento.
Para las empresas que no han comenzado a preparar estrategias de
defensa, un buen punto de partida es la adopción de los procedimientos
recomendados, como el de Security Requirements for Data Management
73
(Requerimientos de seguridad para la gestión de datos), descrito en la sección de
Entrega y soporte (DS, Deliver and Support) 11.6 de COBIT (Objetivos de control
para la TI y tecnologías afines), junto con los procedimientos indicados en la
correspondiente sección de la guía de aseguramiento IT Assurance Guide: Using
COBIT. Estas publicaciones resumen el objetivo de control y los factores
determinantes de valor y de riesgo, e incluyen una lista de pruebas recomendadas
para el diseño del control.
ISACA publicó una serie de documentos que establecen correspondencias
entre las normas sobre seguridad de la información y COBIT 4.1, y que resultan
sumamente valiosos para profesionales y auditores. Además, se ha publicado en
COBIT Focus un excelente artículo que establece una correspondencia entre la
Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, Payment
Card Industry Data Security Standard) v2.0 y COBIT 4.1.
La Asociación Internacional de Gestión de Datos (Data Management
Association International, DAMA) ofrece un recurso adicional:The DAMA Guide to
the Data Management Body of Knowledge (DMBOK); se recomiendan especialmente
los capítulos tres (“Data Governance”), siete (“Data Security Management”) y doce
(“Data Quality Management”).
¿Cómo Garantizar una Mayor Integridad de los Datos?
La adopción de mejores prácticas debe complementarse con la
formalización de las responsabilidades correspondientes a los procesos de negocio y
TI que soportan y mejoran la seguridad de los datos.
Delimitación de responsabilidades en la Empresa
En todo programa de aseguramiento de la integridad de los datos deben
estar definidas las responsabilidades de “detección y detención” (“Detect, Deter” o
2D); de “prevención y preparación” (“Prevent, Prepare” o 2P); y de “respuesta y
recuperación” (“Respond, Recover” o 2R). Como propietarias de los datos, las áreas
de negocio deben tomar la iniciativa, mientras que el proveedor de servicios de TI —
se trate de personal interno o contratado mediante la modalidad de externalización de
servicios— debe ocuparse de la implementación.
74
Las buenas prácticas a adoptar son:
• Tomar posesión de los datos y asumir la responsabilidad de garantizar su
integridad. Sólo el personal de la unidad de negocio correspondiente puede
ocuparse de esta tarea. Cuando se aplica la modalidad de externalización de
servicios y operaciones de TI, este requisito resulta obvio, pero cuando esos
servicios y operaciones se suministran a nivel interno, se suele caer en el error
de considerar que los datos pertenecen al área de TI y que esta área es la
responsable de preservar la confidencialidad e integridad de la información.
Para tomar el control de la información, se debe realizar una evaluación
de valores que permita calcular el costo potencial de la pérdida de la integridad de los
datos y contemple las pérdidas económicas directas (por ejemplo, en caso de fraude o
problemas operativos graves), los gastos judiciales y el perjuicio causado a la
reputación de la empresa.
Controlar los derechos y privilegios de acceso. Los principios de
necesidad de conocer (need to know, NtK) y mínimos privilegios (least privilege, LP)
constituyen prácticas eficaces y no son, en teoría, difíciles de aplicar. El crecimiento
de las redes sociales y la noción de que todos somos productores de información
exigen mayor amplitud y voluntad de intercambio. Las redes sociales se están
transformando en una fuerza que resiste y desafía la aplicación de los principios de
NtK y LP.
Es necesario formalizar, documentar, revisar y auditar regularmente los
procesos de solicitud, modificación y eliminación de derechos de acceso. La
acumulación de privilegios —cuando una persona mantiene privilegios históricos al
cambiar de responsabilidades— supone un grave riesgo para la empresa y podría
afectar la segregación correcta de funciones.
Es común en las organizaciones, no llevar un inventario completo y
actualizado sobre quién accede a qué, ni se posee una lista completa de los privilegios
de usuario. Varios proveedores ofrecen productos capaces de obtener
automáticamente toda la información relacionada con esos privilegios.
Una vez que se han aplicado los principios de NtK y LP a partir de un
75
proceso exhaustivo de gestión de accesos e identidades, el acceso privilegiado sigue
siendo un tema delicado que es indispensable analizar y controlar, ya que permite
acceder libremente a los datos de producción y códigos fuente. Cuando un usuario
está en condiciones de omitir los procedimientos de control de cambios, existe el
riesgo de que se produzcan daños serios.
Las unidades de negocio que cuenten con administradores y/o
programadores de bases de datos a cargo de la gestión de las aplicaciones deberían, al
menos, mantener un registro que consigne quiénes tienen acceso a qué datos, además
de asegurarse de que se mantengan y revisen los registros de cambios. Cuando el tipo
de tecnología empleada admita el uso compartido de contraseñas privilegiadas, se
debería evaluar la posibilidad de utilizar herramientas que identifiquen claramente a
toda persona que acceda a las instalaciones, registren la fecha y hora de acceso, y
señalen los cambios realizados.
Segregación de funciones (SoD). Este es un concepto de probada
eficacia práctica, en el que seguramente harán hincapié las auditorías internas cuando
se revisen sistemas y transacciones de carácter confidencial. Este concepto se
enfrenta con la presión permanente para reducir costos y personal en las
organizaciones, que puede suponer un riesgo para el negocio.
76
de TI como los que operan de forma independiente) suelen ser los responsables de la
creación de cuentas y credenciales de acceso a los sistemas y datos. Estas cuentas y
credenciales deben estar plenamente documentadas y solo deberán ser utilizadas
cuando se hayan concedido formalmente las autorizaciones pertinentes.
77
Los SLA definen claramente las responsabilidades de los proveedores de
servicios de TI, pero no se ocupan de las que deben asumir los propietarios de los
sistemas. Esto produce cierta confusión respecto de las distintas responsabilidades e
impide verificar si los datos están clasificados correctamente, y si las funciones y
responsabilidades de los usuarios de datos y, en particular, de los usuarios con acceso
privilegiado se adecuan a la función crítica que cada uno desempeña. Por
consiguiente, la integridad de los datos sigue siendo el aspecto más relegado de la
seguridad y el aseguramiento de la información.
78
• El número de problemas de seguridad relacionados con los datos (en un
año/un mes).
• El número de sistemas que la solución IAM corporativa principal no cubre.
79
gobierno de datos, incluidas las tareas que deben realizarse, y las entradas, las salidas,
los procesos y los controles.
◦ no repudio
El repudio es una de las amenazas de seguridad que pueden aparecer en el
mundo de las transacciones comerciales basadas en papel. Documentos como
contratos, órdenes de compra, facturas o cheques tienen un papel trascendental en la
forma de realizar los negocios entre las empresas. Sin embargo, la manipulación de
esos tipos de documentos origina graves problemas derivados de falsificaciones,
modificaciones accidentales o intencionadas, pérdidas o retrasos postales, disputas
sobre el momento exacto de envío o recepción, etc.
Tras estos problemas suelen ocultarse comportamientos fraudulentos
donde alguna de las partes implicadas reniega de la autoría de algún documento, del
envío o recepción del mismo o, quizá, del instante exacto en que tales hechos
tuvieron lugar. Para impedir o, al menos, dificultar estos comportamientos ilegítimos
se utilizan mecanismos tan habituales como firmas manuscritas, recibos timbrados,
matasellos, correo postal certificado, e incluso la participación de entes públicos.
En las transacciones comerciales realizadas por procedimientos
electrónicos los inconvenientes que pueden aparecer, de seguridad en general, y de
repudio en particular, son equivalentes a los anteriormente mencionados. En algunos
aspectos son, incluso, más difíciles de resolver que sus análogos en las transacciones
basadas en documentos de papel. Estas dificultades añadidas son debidas,
fundamentalmente, a que las entidades están distribuidas en distintos lugares y bajo
normativas distintas, las transacciones no se realizan en persona, y en ningún caso
hay evidencia física de la transacción.
Para satisfacer los requerimientos de seguridad de las aplicaciones
electrónicas se han definido tradicionalmente cinco categorías de servicios de
seguridad. De ellos, los servicios de autenticación, control de acceso,
confidencialidad, e integridad de datos han sido objeto de un intenso y amplio
estudio. El quinto servicio, que está directamente asociado a los problemas
mencionados en los párrafos anteriores, es el servicio de no-repudio, para el que la
investigación no ha sido tan exhaustiva como en los demás. Precisamente, los
80
objetivos de seguridad de las nuevas formas de negocios electrónicos entre empresas,
el contacto con los bancos a través de Internet, y la interrelación de los ciudadanos
con las Administraciones Públicas hace imprescindible el estudio de este servicio.
Vincular la responsabilidad del autor a lo que hace es un aspecto
importante de la Seguridad de la Información, especialmente si hablamos de un
entorno comercial o contractual. Por ello, al utilizar un entorno de comunicación
distribuido es necesario evitar que las entidades puedan negar con éxito haber
enviado o recibido ciertos mensajes de contenido comprometedor para ellas; es decir,
es necesario poder responsabilizar a cada cual de sus compromisos adquiridos y de
sus acciones. Por lo tanto, puede entenderse el repudio como la negación por parte de
alguna de las entidades involucradas en una comunicación de haber intervenido en
toda o en parte de ella. A partir de esto establece que el servicio de no-repudio es el
procedimiento que protege a cualesquiera de las partes involucradas en una
comunicación de que alguna de las demás tenga éxito al negar ilegítimamente que un
determinado evento o acción haya tenido lugar. Para ello, el servicio ha de producir,
validar, mantener, y poner a disposición de las partes, pruebas o evidencias
irrefutables respecto a la transferencia de información desde el emisor al receptor y
del contenido de ésta.
El servicio de no-repudio está íntimamente relacionado con el servicio de
autenticación, pero el primero tiene que cumplir más requisitos que el segundo en
cuanto a las pruebas que ha de producir. La diferencia esencial entre ambos es que la
autenticación sólo necesita convencer a la otra parte involucrada en la comunicación
de la validez de un evento y de su autoría, mientras que el no-repudio, además, ha de
probar esas mismas cualidades frente a una tercera parte que no participa en la
comunicación cuando ésta se produce . Es decir, y esto es esencial, el propósito
principal del servicio de no-repudio no es el de proteger a los usuarios ante ataques
externos, sino de las amenazas de otros usuarios legítimos.
En general, este servicio está dirigido a resolver desacuerdos del tipo de si
un determinado evento ocurrió o no, cuándo tuvo lugar, qué entidades intervinieron
en dicho evento y cuál era la información asociada a él. El punto clave de los
servicios de no-repudio es que las partes han de obtener suficientes pruebas para
81
resolver sus diferencias, entre ellas mismas, o empleando algún tipo de arbitraje. Para
la construcción de este tipo de servicios y de sus pruebas se hace uso de mecanismos
criptográficos tales como la firma digital, el cifrado de mensajes, los códigos de
autenticación de mensajes (MACs) y la notarización de documentos, además de otros
servicios clásicos de seguridad.
Tipos de No-repudio
Hasta el momento se ha tratado el servicio de no-repudio en forma
singular, pero en realidad se debería pluralizar y hablar genéricamente de servicios de
no-repudio ya que, como se verá a continuación, existen diversos tipos, cada uno con
un cometido particular. A este respecto debemos referirnos a los estándares
internacionales relacionados con el no-repudio: ISO/IEC 10181-4 e ISO/IEC 13888.
El primero de ellos extiende el concepto de servicios de no-repudio descrito en y
proporciona un marco de trabajo para el desarrollo y provisión de estos servicios. El
segundo se compone de tres partes, la primera de las cuales proporciona un modelo
general de no-repudio, mientras que las otras dos proporcionan un conjunto de
mecanismos de no repudio basado en técnicas criptográficas simétricas y asimétricas.
Si simplificamos una comunicación a su mínima expresión, las entidades
que intervienen son el emisor y el receptor del mensaje. Los dos servicios de no-
repudio que se pueden definir en este escenario son:
• No-repudio de origen . Este servicio proporciona al receptor de un objeto
digital una prueba infalsificable del origen de dicho objeto, lo cual evita que el
emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso
la prueba la crea el propio emisor y la recibe el destinatario.
• No-repudio de recepción . Proporciona al emisor la prueba de que el
destinatario legítimo de un mensaje u objeto digital genérico, realmente lo
recibió, evitando que el receptor lo niegue posteriormente y consiga sus
pretensiones. En este caso la prueba irrefutable la crea el receptor y la recibe
el emisor.
Existen escenarios, como los sistemas de administración de mensajes
82
(sistemas de correo) y muchas de las aplicaciones de comercio-e, donde se ha de
garantizar la entrega eficiente, confiable y segura tanto de pagos como de productos
digitales, y donde se han de proporcionar evidencias apropiadas de tales hechos para
solucionar posibles disputas y discrepancias posteriores. En muchas de las
comunicaciones de este tipo interviene, además, una Tercera Parte Confiable (TTP), y
su actuación puede dar lugar a dos servicios adicionales de no-repudio:
• No-repudio de presentación . Este servicio proporciona al emisor la prueba
de haber revelado el mensaje a la TTP, imparcial y confiable, la cual genera la
prueba.
• No-repudio de entrega . En este caso el sistema proporciona al emisor la
prueba de que la propia TTP ha entregado el mensaje al receptor especificado
originalmente y sólo a él. Esta prueba también la aporta la TTP basándose en
su aceptada imparcialidad y buen hacer.
Pruebas o evidencias
Con anterioridad se ha hecho hincapié en el concepto de prueba (e
indistintamente en el de evidencia), pero no se ha definido apropiadamente. Se puede
deducir de todo lo dicho hasta aquí que las pruebas son los elementos fundamentales
de los servicios de no-repudio. Pero, más en detalle, puede observarse que lo que
exactamente han de proporcionar es información suficiente sobre la ocurrencia de un
evento, el momento en el que ocurrió y qué partes intervinieron.
• Por ello, las evidencias de no-repudio relativas a la transferencia de un
mensaje incluyen los siguientes elementos, algunos de los cuales son
opcionales y dependen de la aplicación: el tipo de servicio de no repudio que
se proporciona, la identidad incontestable del emisor y del receptor, el
identificador del que genera la evidencia (si es diferente del emisor o del
receptor), los identificadores de otras terceras partes involucradas, el mensaje
a transmitir o algo indisoluble asociado con él, una estampilla digital de
tiempo indicando cuándo se generó un mensaje, otra indicando cuando se
realizó la transferencia del mismo, y la fecha de expiración o caducidad de la
evidencia.
83
• Desde el punto de vista de la evidencia, un servicio de no-repudio está
compuesto por cuatro fases distintas. En primer lugar, la fase de generación de
la evidencia , que puede ser realizada por cualquiera de las entidades pues
sólo se requiere que éstas firmen digitalmente porciones determinadas de
información; en segundo lugar, la fase de transferencia ; en tercer lugar, la
fase de verificación y almacenamiento de la evidencia , que consiste en
comprobar la firma digital y guardar la información para un uso posterior; y,
por último, la fase de resolución de disputas, en caso de que éstas tengan
lugar.
84
correctamente otras que se producen durante una transacción. Las propiedades
de un mensaje intercambiado entre las entidades, tales como origen e
integridad, se garantizan mediante la intervención del notario, en modo
interactivo y que, además, puede proporcionar o bien obtener sellos digitales
de tiempo referidos al momento de generación de la evidencia.
Agente de entrega: Su misión es la entrega certificada de mensajes de
una entidad a otra, y con ello, proporciona las correspondientes evidencias. Su
funcionamiento, es lógicamente, interactivo.
Juez: Su único cometido es el de resolver disputas cuando éstas se
plantean sobre la ocurrencia o no de un determinado evento. Para ello, recurre a la
evaluación personal de las evidencias que presentan los litigantes y siempre sujeto a
una política determinada de no-repudio. Un juez no se implica en el servicio de no-
repudio a menos que haya una disputa que resolver y se precise de un arbitraje
imparcial, por lo que su funcionamiento es en modo diferido.
Protocolos
Protocolo 1
Supone una situación ideal donde el canal de comunicación es
perfectamente fiable y todas sus partes se comportan de forma honrada. Las firmas de
A y B sirven como pruebas de origen y recepción respectivamente.
Protocolo 2
Siguiendo la suposición de que el canal de comunicación es fiable, ahora
se considera que las entidades no actúan de forma honrada. En este caso, el protocolo
anterior deja a B en una situación ventajosa porque puede leer el mensaje antes de
enviarle a A el recibo o prueba de recepción. Este problema se conoce como
recepción selectiva (una de las entidades decide si le conviene confirmar o no el
mensaje que le ha llegado).
TTP actúa como Agente de Entrega. Sus firmas digitales sirven como
firma de presentación y como prueba de entrega (en lugar de las anteriores pruebas de
origen y recepción).
85
Protocolo 3
Este caso supone que las entidades se comportan de forma honrada, pero
el canal de comunicación no aporta fiabilidad. El paso 2 se repite tantas veces como
sea necesario hasta que el canal permita a B obtener la etiqueta de reconocimiento
ACK (Acknowledge) generada por A en el paso 3.
Protocolo 4
Si el canal de comunicación no es fiable y además las entidades tampoco
son honradas, los dos protocolos anteriores no son útiles porque dejan en una
posición de ventaja a B frente a A.
Por un lado, en el protocolo 2, B puede negar haber recibido el mensaje
de TTP. Por el otro, en el protocolo 3, B puede no enviar la prueba de recepción. Para
prevenir estos problemas el protocolo puede comenzar con una promesa de
intercambio, de forma que en una primera instancia se envía el mensaje cifrado, C, y
en un paso posterior se envía la clave K, con la que se ha cifrado M.
Pero este protocolo, como tal, no garantiza que B ejecute el paso 4, por lo
que se quedaría en ventaja respecto a A, y éste podría quedar sin prueba de recepción.
Por lo tanto, el protocolo no es adecuado para la situación preestablecida, a no ser
que, como propone la ISO (autora del protocolo), que nos basemos en la propiedad de
continuidad. Esta propiedad indica que si B obtiene la clave K en el paso 3 entonces
se ve obligado a ejecutar el paso 4 ya que, en caso de no hacerlo, el juez resolverá
contra B en cualquier posible disputa posterior que inicie A. Con el uso de esta
premisa se justifica que el protocolo efectivamente puede ser empleado para resolver
la situación propuesta.
Protocolo 5
En ciertas aplicaciones no es conveniente confiar en propiedades que,
desde un punto de vista teórico, son completamente externas al protocolo, como el
caso de las firmas de A y B que sirven como pruebas de origen y propiedad de
continuidad. Además, también puede resultar bastante peligrosa desde un punto de
vista práctico.
86
Por lo tanto, en esas circunstancias, el problema de que una entidad quede
en desventaja frente a la otra se debe resolver dentro del mismo protocolo. Es
necesario un protocolo imparcial, un protocolo de no-repudio que, tras su correcta
terminación, haya proporcionado pruebas irrefutables tanto al autor del mensaje como
al receptor, sin que ninguno de ellos haya quedado en una posición ventajosa durante
la ejecución del mismo.
A continuación, se expone un protocolo que si cumple con el
requerimiento propuesto. En él, se utilizan los términos: T P (momento en que TTP
a recibido los datos de A) y T E (momento en que el mensaje está disponible para
B). Adicionalmente, se utilizan los términos NO (prueba de origen), NR
(prueba de recepción), proc_K (prueba de que la clave procede de A) y pub_K
(prueba que TTP ha publicado K).
Es necesario aclarar que una vez que TTP recibe proc_K en el paso 3,
genera pub_K y almacena la tupla (A, B, L, K, pub_K) en un directorio accedido por
A y B (el orden del acceso no es importante), a través de una conexión ftp o http. En
el protocolo, TTP no actúa como Agente de Entrega, sino como Notario.
Esto conlleva dos ventajas: la primera es que solamente maneja claves en
lugar de largos mensajes; la segunda es que la responsabilidad de la ejecución de los
últimos pasos recae directamente sobre emisor y receptor (un Agente de Entrega
tendría que reenviar los mensajes hasta que los otros respondieran admitiendo
haberlos recibido).
En la práctica no es deseable que TTP almacene indefinidamente las
tuplas que contienen las claves. Se puede establecer un límite de tiempo, TL, para
acotar el periodo en que pueden ser accedidas. Ese límite es elegido por el emisor, por
ser la entidad que inicia el protocolo, pero siempre tomando como referencia el reloj
de TTP. Ampliar el protocolo 5 para que contemple esta situación es algo inmediato
pues basta con añadir el término TL a las expresiones NO, NR , proc_K y pub_K y,
además, a los pasos 1 y 3.
Opcionalmente, TTP puede incluir una estampilla de tiempo para indicar
el momento a partir del cual la tupla ha sido publicada y está disponible en el
87
directorio. Denotamos mediante TD a la estampilla de disponibilidad. Esta
modificación adicional al protocolo también es muy simple pues basta con añadir TD
a los pasos 4 y 5 (además de las inclusiones de TL ya indicadas).
Protocolo 6
En algunas aplicaciones, tanto el emisor como el receptor del mensaje
necesitan, junto a la prueba de origen o de destino, una prueba adicional sobre el
momento exacto en el que el mensaje se envía o se recibe. Como se ha visto en la
ampliación final del protocolo 5, esa prueba puede ser proporcionada por la propia
TTP. Sin embargo, en ese protocolo, A sólo puede enviar la clave K después de
recibir en el segundo paso el compromiso por parte de B. Esto carga a A con toda la
responsabilidad derivada de un envío tardío de la clave K a la TTP en el paso 3, ya
que B puede demorar a su antojo la ejecución del paso 2. No es difícil pensar en
aplicaciones de comercio electrónico donde un retraso intencionado del receptor,
como el que aquí se puede producir, perjudicaría claramente al emisor. Por lo tanto, la
ampliación del protocolo 5 no es útil para ese tipo de aplicaciones.
A continuación, un protocolo que sí cumple con el requerimiento
propuesto. En él se utilizan los términos TP (momento en que TTP ha recibido los
datos de A), y TE (momento en el que el mensaje está disponible para B).
Adicionalmente, se usan los términos NO (prueba de origen), NR (prueba de
recepción), NP (prueba de presentación) y NE (prueba de entrega).
Con objeto de prevenir que B realice una recepción selectiva, TTP le
informa (paso 3) de que existe para él un mensaje, etiquetado con L, a la espera de ser
recogido. Sólo después de que B se ha comprometido a recolectar ese mensaje (paso
4) TTP publica el mensaje en el directorio. En este caso TTP actúa como Agente de
Entrega, certificando todos los envíos entre A y B.
Protocolo 7
Existe otra cuestión, a veces crítica, que consiste en cómo mantener la
validez de una prueba de no-repudio de una forma eficiente durante y después de la
transacción.
88
Como se ha visto, las pruebas de no-repudio se generan por medio de
firmas digitales. En la práctica la clave de firma puede quedar comprometida y la
firma puede ser falsificada.
Por lo tanto, las claves comprometidas deben ser revocadas para que las
firmas generadas fraudulentamente sean tomadas como no válidas. La cuestión es
cómo probar que la firma realizada por una entidad dentro de un protocolo de no-
repudio se ha generado antes de que el correspondiente certificado de clave pública
haya sido revocado.
Una solución simple es la utilización de autoridades de fechado (TSAs)
para que las entidades puedan estampillar las pruebas de origen y de recepción. Pero
esta solución no es rentable para algunos tipos de transacciones en línea porque puede
ocasionar un excesivo número de intercambio de mensajes dentro del protocolo.
El término ETTP(K) denota el cifrado de K utilizando la clave pública
TTP, mientras que C simboliza, como antes, el mensaje M cifrado con la clave
simétrica K.
Además, CertB representa el certificado de clave pública de B, que la
propia entidad A comunica a TTP. Se puede observar que este protocolo usa un
mecanismo de encadenamiento de pruebas, enlazando una prueba con otra, de forma
que la validación de la última supone la validación de todas las anteriores. El
concepto de encadenamiento no es nuevo, ya que se ha utilizado con anterioridad en
la autenticación de contraseñas , en servicios de estampillado digital de tiempos y en
esquemas de micropago, pero su aplicación a las pruebas de no-repudio sí es original
de este protocolo.
Protocolo 8
En la mayoría de los protocolos anteriores TTP interviene de forma muy
activa. Estos protocolos son apropiados en las aplicaciones donde es necesaria la
notarización de las claves, donde es esencial la imparcialidad, o donde los
participantes y la infraestructura de las comunicaciones son tan poco fiables que es
recomendable confiar a TTP todo el peso del protocolo. Sin embargo, en algunos
entornos se considera como objetivo de diseño del protocolo la reducción de la carga
89
de trabajo de TTP. Además hay otros entornos donde la confianza entre emisor y
receptor es grande, de tal forma que las pruebas son intercambiadas entre ellos de
forma directa, y donde los servicios de TTP sólo se requieren como último recurso
para resolver situaciones muy concretas. En estas situaciones los protocolos
estudiados hasta el momento no son adecuados, sino que son necesarios otros donde
la participación de TTP sea ocasional. A continuación se muestra un ejemplo de uno
de estos protocolos, donde el término TL se utiliza de la misma forma que en el
protocolo 5, y donde nA y nB representan números aleatorios que formarán parte de
las pruebas de no-repudio.
Sólo en que A no reciba B después de haber ejecutado el paso 3, se inicia
la fase en la que interviene TTP antes de que se llegue al límite TL.
Al igual que este protocolo, otros también están diseñados para utilizar
TTP sólo cuando es estrictamente necesario.
90
seguridad que las nuevas formas de negocios electrónicos requieren. La utilización de
protocolos de no-repudio garantiza que las tradicionales transacciones comerciales
basadas en soporte papel como contratos, órdenes de compra, facturas o cheques, son
trasladadas al entorno telemático con mayor seguridad, incluso a la que la que
proporciona la manipulación de los mismos documentos en papel. Además, el hecho
de trabajar con los correspondientes elementos digitales proporciona a los usuarios no
sólo una mayor seguridad, sino también una mejora en la velocidad, autonomía y
comodidad en la utilización de esos servicios telemáticos.
•
Imagen 2: Ejemplo de TTP actuando como
•
Agente de entrega.
91
Si la autenticidad prueba quién es el autor de un documento y cual es su
destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio
en origen) y que el destinatario la recibió (no repudio en destino).
◦ control de acceso
Objetivo: Controlar el acceso a la información.
Se debe controlar el acceso a la información, medios de procesamiento de
la información y procesos comerciales sobre la base de los requerimientos
comerciales y de seguridad.
Política de control del acceso.
Se debe establecer, documentar y revisar la política de control de acceso
en base a los requerimientos comerciales y de seguridad para el acceso.
Registro de usuarios.
Se debe registrar usuarios parar acceder a los distintos servicios de la red
y tener un control de registro de usuarios.
Gestión de privilegios. Los usuarios sólo ven lo que necesitan y cuando lo
necesitan. El uso inapropiado de los privilegios de administración del sistema
(cualquier dispositivo o medio de un sistema de información que permite al usuario
superar los controles del sistema o aplicación) puede ser un factor que contribuye
mucho a alas fallas o violaciones del sistema.
Gestión de las claves secretas del usuario, darle una clave al usuario y que
el usuario la cambie con unos caracteres especiales para que la clave sea segura y no
tenerla visible a la vista de las demás personas.
Revisión de los derechos de acceso del usuario. la gerencia debería
revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un
proceso formal.
Responsabilidad del usuario. evitar el acceso del usuario no autorizado ,
evitar poner en peligro la información y evitar el robo de información y los medios de
procesamiento de información.
92
Uso de claves secretas. se debería decir a los usuarios que sigan buenas
practicas de seguridad en la selección y uso de claves secretas *evitar mantener un
registro en papeles * cambio de claves cuando indique un menor peligro en el
sistema.
Equipo del usuario desatendido, los usuarios deben asegurar que el
equipo tiene la protección apropiada cuando este desatendido.
Política de escritorio y pantalla limpia, los archivos importantes se deben
guardar bien y no dejarlas libre para la manipulación de la gente.
Control de acceso a la red, se debe controlar el acceso a los servicios de
redes internas y externas.
Políticas sobre el uso de los servicio de la red, los usuarios solo deberían
tener acceso a los servicios para los cuales hayan sido autorizados.
Autenticación de los usuarios para las conexione externas, Se debe
utilizar métodos de autenticación apropiadas para controlar el acceso remoto, la
autenticación se puede usar usando criptografía.
◦ Disponibilidad
El acceso a los activos informáticos en un determinado tiempo está
garantizado para los usuarios autorizados.
La información tiene que estar disponible para quienes la necesiten y
cuando la necesiten en la cantidad y calidad requerida si, y sólo si, están autorizados.
Las preguntas son: ¿de qué manera de accede a la información? ¿cómo acceder? ¿Por
quién? ¿Cuando? ¿Desde donde? ¿Con qué hardware? ¿Desde qué dirección?
La disponibilidad asegura que el acceso a los datos, a los recursos
informáticos (equipos informáticos, redes y dispositivos de conexión) y a la
información se produce en la medida justa y tiempo previsto por el personal
autorizado. También asegura que los sistemas informáticos trabajan correctamente
cuando se les necesita.
• mecanismos de seguridad
93
La seguridad es un aspecto primordial que no sólo se considera en el
ámbito de la informática, actualmente las organizaciones y sus sistemas de
información se enfrentan cada vez más con riesgos e inseguridades procedentes de
una amplia variedad de fuentes, medios tecnológicos, humanos y físicos.
Seguridad física versus seguridad lógica
El estudio de la seguridad informática puede plantearse desde dos
enfoques:
• Seguridad Física: protección del sistema ante las amenazas físicas, planes de
contingencia, control de acceso físico, políticas de backups, ...
• Seguridad Lógica: protección de la información en su propio medio mediante
el uso de herramientas de seguridad.
Físicos
Desde que el hombre ha tenido algo importante que proteger, ha
encontrado varios métodos de asegurarlo. La seguridad física describe las medidas
que previenen o detectan ataques de acceso a un recurso o información almacenado
en un medio físico, la seguridad física es un factor muy importante para la seguridad
informática.
Las acciones de seguridad que están involucradas con la seguridad física
intentan proteger los activos de condiciones físicas como el clima, desastres naturales,
medidas para proteger al personal, condiciones de temperatura recomendadas para
mantener los equipos activos críticos y sistemas contra amenazas deliberadas o
accidentales.
Actualmente existen EPS (Electronic Physical Security - Seguridad física
electrónica), que incluyen detectores de fuego, sistemas de supresión de gas
automáticos, circuitos cerrados, control de acceso por medio de smart card,
biométricos o por RFID, detectores de intrusos, equipo de vigilancia y plan de
vigilancia principalmente.
La seguridad física es un mecanismo empleado para proteger los activos,
94
las medidas de seguridad física pueden ser:
• Físicas; medidas tomadas para asegurar los activos, por ejemplo personal de
seguridad.
• Técnicas; medidas para asegurar servicios y elementos que soportan las
tecnologías de la información, por ejemplo, seguridad en el cuarto de
servidores.
• Operacionales; medidas de seguridad comunes antes de ejecutar una
operación, como es el análisis de amenazas sobre una actividad e implementar
contramedidas apropiadas.
La seguridad física no es una tarea de una sola persona, en algunas
organizaciones las personas encargadas de la seguridad física son también las
encargadas de la seguridad de la información, las siguientes personas pueden ser los
responsables de la seguridad en una organización.
◦ Oficial de seguridad de planta.
◦ Jefe de información.
◦ Administrador de la red.
95
• La seguridad lógica en una organización no sirve de nada si no se ha
contemplado la seguridad física, la necesidad de implementar seguridad física
es considerada para:
◦ Prevenir un acceso no autorizado a sistemas de cómputo.
Lógicos
Se conoce seguridad lógica como la manera de aplicar procedimientos
que aseguren que sólo podrán tener acceso a los datos las personas o sistemas de
información autorizados para hacerlo.
Los objetivos planteados son:
• Restringir el acceso a los programas y archivos.
96
• Causas de inseguridad:
◦ La “inteligencia” social.
◦ El espionaje industrial.
◦ Los virus.
INTRUSIONES Y ATAQUES
Instrusiones al sistema:
◦ Física
◦ Por sistema
◦ Remota
Ataques característicos
• Hardware:
• Software:
• Formas de protección:
97
◦ Firewalls
◦ VPN
◦ Wrappers
◦ “tunning”
98
de los cinco elementos susceptibles de ataque del sistema informático.
99
CAPÍTULO 8
POLÍTICA DE SEGURIDAD
Los componentes deben estar dirigidos a identificar los niveles de riesgo
presentes y las acciones que se deben implementar para reducirlos.
Dependiendo del tipo de la organización, podemos elegir entre ISO
27001:2005 para organizaciones privadas y NIST 800-53 para organizaciones
estatales, militares y organismos de seguridad del estado.
ISO 27001:2005 recomienda las mejores prácticas en la gestión de la
seguridad de la información a todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestión de la seguridad de la información. La
seguridad de la información se define en el estándar como "la preservación de la
confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la
información), integridad (asegurando que la información y sus métodos de proceso
son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados
tienen acceso a la información y a sus activos asociados cuando lo requieran)".
La versión de 2005 del estándar incluye las siguientes once secciones
principales:
• Política de Seguridad de la Información.
• Control de Accesos.
100
• Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
• Cumplimiento.
101
la organización. Los controles personalizados están aquellos destinados a ser
utilizados por una aplicación o dispositivo individual. Controles híbridos comienzan
con un control estándar y se personalizan según los requisitos de un dispositivo o
aplicación particular.
NIST SP 800-53 es en realidad una parte de la Publicación Especial 800
de la serie, que informa sobre lo siguiente:
• Laboratorio de Tecnología de la Información (ITL) directrices, iniciativas de
investigación y de extensión en la seguridad del sistema de información
• Acciones de ITL con entes académico, de la industria y organizaciones
gubernamentales.
NIST Special Publication 800-53 incluye los procedimientos en el marco
de gestión de riesgos, que se ocupan de la selección de control de seguridad para los
sistemas de información federales por los requisitos de seguridad en Federal
Information Processing Standard (FIPS) 200 Consiste en la selección de un conjunto
principal de controles de seguridad de línea de base, de acuerdo con un análisis del
impacto del peor caso FIPS 199, la creación de controles de seguridad estándar, así
como la adición de los controles de seguridad de acuerdo con una evaluación de
riesgos de la organización. Las normas de seguridad cubren 17 áreas, incluyendo la
respuesta a incidentes, control de acceso, la capacidad de recuperación de desastres y
continuidad del negocio.
Los planes apropiados varían de una empresa a otra, en función de
variables como el tipo de negocio, los procesos involucrados, y el nivel de seguridad
requerido. La planificación de la recuperación de desastres puede ser desarrollada
dentro de una organización o se puede comprar una aplicación de software o un
servicio. No es inusual que empresa invierta el 25% de su presupuesto de tecnología
de la información de recuperación de desastres.
Al elegir entre ISO 27001:2005 o NIST 800-53 tenemos como Objetivo,
definir un marco conceptual apoyado en políticas, normas, procedimientos y
estándares de seguridad de la información que se adapten a la tecnología utilizada
102
para apoyar la actividad productiva, otorgando flexibilidad y fluidez al negocio.
103
respuesta, y un equipo de trabajo altamente calificado, que cuente con las
certificaciones de seguridad informática necesarias, actualizado permanentemente y
con un enfoque único y total en seguridad y administración del riesgo.
• Disponibilidad de recursos.
PLAN DE CONCIENTIZACIÓN
Se debe Informar y recordar a los empleados y al personal ejecutivo
involucrado con regularidad de las obligaciones con respecto a la seguridad de la
información.
• La característica principal del proceso de concientización es la difusión del
Modelo de Seguridad por diferentes medios de comunicación al interior de la
empresa, partiendo de un conocimiento básico de seguridad informática hasta
lograr la adopción y asimilación de componentes del modelo de seguridad
104
(políticas, normas, procedimientos y estándares).
INGENIERÍA SOCIAL
• La Ingeniería Social es un conjunto de acciones que se realizan con el fin de
obtener información a través de la manipulación de usuarios legítimos.
• Es un conjunto de trucos, engaños o artimañas que permiten confundir a una
persona para que entregue información confidencial, ya sea los datos
necesarios para acceder a ésta o la forma de comprometer seriamente un
sistema de seguridad.
• “El factor humano, es el eslabón más débil de la seguridad de la
información.”, por lo tanto:
◦ Todo el personal debe ser educado, desde los operadores de computadoras
hasta el personal de limpieza
◦ No informar telefónicamente a nadie (por más que se arroguen cargos
directivos o funciones específicas de tecnología) de las características
técnicas de la red, nombre de personal a cargo, claves de acceso, etc.
◦ Controlar el acceso físico al sitio donde se encuentran los equipos de
procesamiento y comunicaciones.
La navegación Web en buenas prácticas:
• Evitar acceder a sitios desconocidos o no confiables.
105
◦ Verificar el certificado del sitio.
106
de energía eléctrica, incendios, sabotaje y hasta explosión de bombas. Asimismo, es
importante comprender que un desastre ocurre de la misma manera en que se
produce, por ello se debe estar preparado.
Por lo que se revisan los siguientes puntos:
• La OCDE6 considera que los elementos de las políticas son:
◦ 1) Concientización.-
107
otorgan privilegios a medida que se necesitan y se requieren controles
técnicos para asegurar que no se den violaciones.
• Adoptar el modelo “Todo lo que no esté específicamente prohibido está
permitido” o bien “Todo está prohibido excepto lo que esté
específicamente permitido”.
Las políticas de seguridad informática muchas veces ayudan a tomar
decisiones sobre otros tipos de política (propiedad intelectual, destrucción de la
información, etc.). También son útiles al tomas decisiones sobre adquisiciones porque
algunos equipos o programas no serán aceptables en términos de las políticas
mientras que otras la sustentaran.
Las políticas de seguridad informática deben considerarse como un
documento de largo plazo, que evolucionan. No contienen asuntos específicos de
implementación, pero si asuntos específicos del equipo de cómputo y
telecomunicaciones de la organización. Probablemente sean la guía para el diseño de
cambios a esos sistemas.
El desarrollo e implantación de políticas de seguridad informática es una
indicación de que una organización está bien administrada y los auditores lo toman en
cuenta en sus evaluaciones. Conducen a una profesionalización de la organización.
108
los niveles serán muy difíciles de implantar. Todos aquellos que sean afectados por
las políticas deben tener la oportunidad de revisarlas y hacer comentarios antes de que
se promulguen, ya que deben contar con el apoyo total de los administradores.
En esta etapa deben considerarse los mecanismos de difusión,
capacitación y concientización iniciales y permanentes sobre seguridad informática.
La cultura de la organización y sus necesidades de seguridad son un
factor determinante para el equipo de redacción de las políticas. El nivel del control
que se establezca no debe resultar en una reducción de la productividad, pues en
muchos casos los ingresos y la carrera de la persona está designada por su
productividad. Si son demasiadas restrictivas en comparación de la cultura
organizacional se violarán las políticas.
Las razones que llevan la implantación de una política deben de
explicarse dentro de la política misma. También debe definirse la cultura de cada
política: quién, qué y cuándo.
109
explícitamente los deberes y derechos de los usuarios. Explicará como y
cuando deshabilitar las cuentas de usuarios y que se hará con la información
que contenga. Debe especificar claramente los detalles de los procedimientos
de identificación y autenticación.
PROCEDIMIENTOS
Una vez determinadas las políticas de seguridad y especificar lo que hay
que proteger, es necesario escribir los procedimientos de seguridad que indican como
llevar a cabo la protección. Estos procedimientos también constituyen los
mecanismos para hacer las políticas. Además resultan útiles, pues indican
detalladamente que hay que hacer cuando sucedan incidentes específicos y son
referencias rápidas en casos de emergencia y ayudan a eliminar los puntos de falla
críticos.
A continuación, algunos procedimientos:
• Auditoría de la seguridad de los sistemas
◦ Dado que los datos que se almacenan sobre el uso de los sistemas son la
principal herramienta para detectar violaciones a las políticas, es necesario
especificar detalladamente lo que se desea almacenar. Como se resguardan
estas bitácoras y quien tiene acceso a ellas.
• Administración de cuentas
110
◦ Abarca desde cómo solicitar una cuenta en su sistema de información, o
en varios sistemas hasta qué debe hacer el departamento de personal antes
de despedir a un empleado. También lo que debe hacerse para cambiar los
privilegios de una cuenta o cancelarla. Especifican como documentar el
manejo de las cuentas y como vigilar el cumplimiento de las políticas
correspondientes.
111
CAPÍTULO 9
PLAN DE CONTINGENCIA
Un plan de recuperación de desastres (DRP) –a veces conocido como un
plan de continuidad del negocio (BCP) o plan de contingencia de procesos de negocio
(BPCP)– describe cómo enfrenta una organización posibles desastres. Así como un
desastre es un evento que imposibilita la continuación de las funciones normales, un
plan de recuperación de desastres se compone de las precauciones tomadas para que
los efectos de un desastre se reduzcan al mínimo y la organización sea capaz de
mantener o reanudar rápidamente funciones de misión crítica. Por lo general, la
planificación de recuperación de desastres implica un análisis de los procesos de
negocio y las necesidades de continuidad; también puede incluir un enfoque
significativo en la prevención de desastres.
Un plan de contingencia o plan de recuperación en caso de desastre es una
guía para la restauración rápida y organizada de las operaciones de cómputo después
de una suspensión. Específica quién hace qué y cómo. Los objetivos de dicho plan
son los de restablecer, lo más pronto posible, el procesamiento de aplicaciones
críticas (aquellas necesarias para la recuperación) para posteriormente restaurar
totalmente el procesamiento “normal”. Un plan de contingencias no duplica un
entorno comercial normal (en forma inmediata), pero sí minimiza la pérdida potencial
de activos y mantiene a la empresa operando, al tomar acciones decisivas basadas en
la planeación anticipada.
Dicho de otra manera, un plan de contingencia es un programa de
recuperación de la organización, que no sólo es un problema del área de sistemas,
sino de toda ella, que controla la situación y realizar las actividades necesarias sin
afectar a la información.
Un plan de contingencia es un plan escrito que detalla acciones,
procedimientos y recursos a usarse durante un evento que destruya parcial o
totalmente los servicios de computación. Este plan define qué tareas son críticas,
quién es el responsable de todos los aspectos del proceso de recuperación, y cómo
112
funciona la organización mientras los sistemas están siendo reparados, migrados de
plataforma o transportados a un nuevo local.
ELEMENTOS
El plan de contingencia, es un plan de emergencia y recuperación porque
incorpora seguridad física al centro de cómputo, es decir, es un plan formal que
describe los pasos a seguir en el caso de presentarse alguna situación de emergencia,
con la finalidad de reducir el impacto que pueda provocar el desastre, y
posteriormente restablecer las operaciones del procesamiento electrónico de datos en
forma tan inmediata como sea posible.
Por lo tanto, el diseño e implementación de un plan de esta naturaleza
debe contemplar:
• Los riesgos y los porcentajes de factibilidad de éstos, a los que está expuesta
113
la organización.
• La asignación de responsabilidades al personal, tanto en las actividades que se
realizarán durante la emergencia como en las de preparación y las de
recuperación.
• La identificación de aplicaciones (sistemas automatizados) de mayor
importancia dentro de la producción de datos, para darles la seguridad
necesaria.
• La especificación de alternativas de respaldo.
114
desarrollo de un buen plan. Un consultor con experiencia sabe hacer un plan
de contingencia, además sabe quién es quién dentro de la industria de la
seguridad de la información.
115
• Etapa 6 Toma de decisiones en caso de emergencia. Son todas aquellas
actividades que se realizan para la recuperación en caso de emergencias, esta
etapa se liga de manera directa a la planeación en caso de contingencias.
• Etapa 7 Mantenimiento y pruebas del plan. En esta etapa se obtendrá el plan
de contingencia, pero el cual es necesario:
◦ Mantenerlo actualizado.
METODOLOGÍA UNIVERSAL
¿Qué es control? Es el mecanismo para comprobar que las cosas se
realicen como fueron previstas, de acuerdo con las políticas, objetivos y metas fijadas
previamente para garantizar el cumplimiento de la misión organizacional o
institucional.
Los controles describen las medidas tomadas para minimizar el riesgo y
se podrían clasificar en tres tipos:
• Control detective (informa sobre incidentes actuales y/o históricos)
116
¿CUÁLES SON LOS MÉTODOS PARA SELECCIONAR LOS
CONTROLES?
A través de la categorización de la información y/o del sistema.
Utilizando ISO 20000:2005 o NIST 800-53.
117
de movimiento, luces de seguridad y el personal como los guardias de
seguridad y ver los perros.
118
CAPÍTULO 10
MODELO DE SEGURIDAD
Un “Modelo de Seguridad de la Información” es un diseño formal que
promueve mecanismos consistentes y efectivos para la definición e implementación
de controles para la correcta administración de la seguridad de la información, se
deben establecer y mantener acciones que busquen cumplir con los tres
requerimientos de mayor importancia para la información, estos son confidencialidad,
integridad y disponibilidad.
Para establecer una política de seguridad informática debe conocer:
• Cuáles son el elementos que componen el sistema. Esta información se
obtiene de las entrevistas a personal directivo, gerencial, operativo y usuarios
de la empresa. Se hace un estudio y análisis de riesgos y vulnerabilidades
potenciales sobre del sistema.
• Cuáles son los peligros, accidentales y/o provocados, que enfrenta el sistema.
Se deducen de las entrevistas y de la observación directa del ambiente y
comportamiento del sistema; así como de pruebas y muestreos del mismo
sistema.
• Cuáles son las medidas para proteger el sistema. Trata de la reducción de los
riesgos y vulnerabilidades del sistema al máximo posible, mediante servicios
y mecanismos de seguridad.
Los componentes deben estar dirigidos a identificar los niveles de riesgo
presentes y las acciones que se deben implementar para reducirlos.
OBJETIVO
Definir un marco conceptual apoyado en políticas, normas,
procedimientos y estándares de seguridad de la información que se adapten a la
tecnología utilizada para apoyar la actividad productiva, permitiendo otorgar
119
flexibilidad y fluidez al negocio.
Para construir una arquitectura de seguridad debe poseerse un Modelo.
Un adecuado modelo de “Seguridad Informática” está basado en políticas
sólidas de seguridad de la información, teniendo como marco de referencia a las
mejores prácticas internacionales tales como BS ISO/ IEC 17799:2005 y BS 7799-
1:2005, contando con el apoyo de la Alta Dirección y realizando una divulgación
periódica y una capacitación constante a todos los miembros de las organizaciones
referida a los riesgos a los que se expone la información y los controles necesarios
para su mitigación.
Se debe contar con herramientas de protección de última tecnología,
permanentemente actualizadas, funcionando 7 X 24 X 365 y con un alto grado de
capacidad de respuesta, y un equipo de trabajo altamente calificado, que cuente con
las certificaciones de seguridad informática necesarias, disponible 7 X 24 X 365,
actualizado permanentemente y con un enfoque único y total en seguridad y
administración del riesgo.
Factores claves del éxito:
• Gestión de riesgos cubriendo todos los componentes internos y externos, la
naturaleza de los sistemas, las actividades empresariales y las leyes locales.
• Identificar a todos los terceros involucrados (Clientes / Usuarios / Proveedores
/ Socios de negocio / Otras Organizaciones / Gobierno).
• Identificar todos los activos informáticos.
120
• Sistema de medición para evaluar el desempeño de la gestión de la seguridad.
• Disponibilidad de recursos
PLAN DE CONCIENTIZACIÓN
Informar y recordar regularmente las obligaciones con respecto a la
seguridad de la información a empleados y demás personal vinculado.
La característica principal del proceso de concientización es la difusión
del Modelo de Seguridad por diferentes medios de comunicación al interior de la
empresa, partiendo de un conocimiento básico de seguridad informática hasta lograr
la adopción y asimilación de componentes del modelo de seguridad (políticas,
normas, procedimientos y estándares).
INGENIERÍA SOCIAL
La Ingeniería Social (literalmente del inglés: Social Engineering) es un
conjunto de acciones que se realizan con el fin de obtener información a través de la
manipulación de usuarios legítimos.
Es un conjunto de trucos, engaños o artimañas que permiten confundir a
una persona para que entregue información confidencial, ya sea los datos necesarios
para acceder a ésta o la forma de comprometer seriamente un sistema de seguridad.
“El factor humano, es el eslabón más débil de la seguridad de la
información.”, por lo tanto:
• Todo el personal debe ser educado, desde los operadores de computadoras
hasta el personal de limpieza.
• No informar telefónicamente a nadie (por más que se arroguen cargos
directivos o funciones específicas de tecnología) de las características técnicas
de la red, nombre de personal a cargo, claves de acceso, etc.
• Controlar el acceso físico al sitio donde se encuentran los equipos de
procesamiento y comunicaciones.
121
Navegación Web buenas prácticas:
• Evitar acceder a sitios desconocidos o no confiables.
MODELO BELL-LAPADULA
En seguridad informática, el modelo de seguridad Bell-Lapadula, llamado
así por sus creadores Billy Elliott Bell y Len LaPadula, consiste en dividir el permiso
de acceso de los usuarios a la información en función de etiquetas de seguridad. Por
ejemplo, en sistemas militares norteamericanos, categorizándola en 4 niveles: no
clasificado, confidencial, secreto y ultrasecreto.
Este modelo se centra en la confidencialidad y no en la integridad. Se
distinguen 2 tipos de entidades, sujetos y objetos. Se define estados seguros y se
prueba que cualquier transición se hace de un estado seguro a otro. Un estado se
define como estado seguro si el único modo de acceso permitido de un sujeto a un
objeto está en concordancia con la política de seguridad. Para determinar si un modo
de acceso específico está permitido, se compara la acreditación de un sujeto con la
clasificación del objeto (más precisamente, la combinación de la clasificación y el
conjunto de compartimientos) para determinar si el sujeto está autorizado para el
modo de acceso especificado. El esquema de clasificación/acreditación se expresa en
términos de un retículo. El modelo define 2 reglas de control de acceso mandatorio
(MAC) y una regla de control de acceso discrecional (DAC) con 3 propiedades:
1. Propiedad de seguridad simple: Un sujeto de un determinado nivel de
122
seguridad no puede leer un objeto perteneciente a un nivel de seguridad más
alto.
2. Propiedad (Propiedad estrella): Un sujeto de un determinado nivel de
seguridad no puede escribir un objeto perteneciente a un nivel de seguridad
más bajo. (También llamada propiedad de confinamiento).
3. Propiedad de seguridad discrecional: Se utiliza una matriz de acceso para
especificar el control de acceso discrecional.
Con Bell-La Padula, los usuarios pueden crear contenido sólo en su nivel
de seguridad o por encima (i.e, investigadores en el nivel secreto pueden crear
archivos secretos o super secretos pero no archivos públicos). Inversamente, los
usuarios pueden ver solamente contenido de su propio nivel o inferior.
PRINCIPIO DE TRANQUILIDAD
El principio de tranquilidad del modelo de Bell-La Padula establece que
la clasificación de un sujeto u objeto no cambia mientras está siendo referenciada.
Hay 2 formas para el principio de tranquilidad: el principio de tranquilidad fuerte
establece que los niveles de seguridad no cambian durante la operación normal del
sistema y el principio de tranquilidad débil establece que los niveles de seguridad no
cambian de una manera que violen las reglas de una dada política de seguridad.
MODELO PDCA
Dentro de la organización el tema de la seguridad de la información es un
capítulo muy importante que requiere dedicarle tiempo y recursos. La organización
debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI).
El objetivo de un SGSI es proteger la información y para ello lo primero
que debe hacer es identificar los 'activos de información' que deben ser protegidos y
en qué grado.
Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'),
es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.
123
Se entiende la seguridad como un proceso que nunca termina ya que los
riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que
los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese
motivo nunca se eliminan en su totalidad.
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por
Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.
Planificar (Plan): consiste en establecer el contexto en el se crean las
políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles
y el estado de aplicabilidad
HACER (Do): consiste en implementar el sistema de gestión de
seguridad de la información, implementar el plan de riesgos e implementar los
controles .
VERIFICAR (Check): consiste en monitorear las actividades y hacer
auditorías internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento,
propuestas de mejora, acciones preventivas y acciones correctivas .
124
Figura 3: Modelo PDCA
SEGURIDAD ESTRATÉGICA
La falta de mecanismos de seguridad en el diseño de los sistemas
operativos compromete la información y, con ello, pone en riesgo la confianza de los
clientes. Para combatir esto, es necesaria una estrategia de seguridad informática.
Después del recurso humano, la información es el activo más importante
de toda empresa.
En los últimos años, se han presentado múltiples casos de pérdida de
privacidad por causa de mal uso de la información, lo que se traduce en un alto riesgo
en la administración de las empresas. A esto hay que añadir que la falta de
mecanismos de seguridad en el diseño de los sistemas operativos Windows, UNIX e
Internet termina comprometiendo la información y, con ello, poniendo también en
riesgo la confianza de los clientes.
Ante esta situación, se hace necesario que cada empresa establezca una
125
estrategia de administración de riesgos operativos que abarque la seguridad de sus
datos.
Para ello, es recomendable asignar a un responsable de la coordinación de
los esfuerzos de implantación y el monitoreo de esta estrategia. Esta persona debe
contar con un amplio conocimiento de tecnología –no sólo de la utilizada en la
empresa, sino también de la del mercado– y de los procesos principales del negocio,
aunque hay que reconocer que en ocasiones resulta difícil encontrar estas
características en una sola persona.
Entre las actividades de las que sería responsable estarían la definición de
una política corporativa con los lineamientos a seguir por la organización –autorizada
y apoyada por la dirección general–, y la vigilancia para el cumplimiento de estos
lineamientos –de forma individual o en conjunto con el equipo de auditoría interna–.
Una política con estas características representa, sin duda, un compromiso
para todos los integrantes de la empresa, y es imprescindible que forme parte de la
estrategia institucional. Incluso se vislumbra necesario establecer un marco de
referencia para implementar una estrategia de protección de la información.
A manera de ejemplo, existe un conjunto de mejores prácticas denominada Common
body of knowledge, que incluye los siguientes 10 dominios o tópicos:
1. Administración de la seguridad.
2. Arquitectura y modelos.
3. Control de acceso.
4. Desarrollo de sistemas y aplicaciones.
5. Seguridad operacional.
6. Criptografía.
7. Seguridad física.
8. Seguridad en redes e Internet.
9. Plan de continuidad del negocio.
126
10. Leyes, investigación y ética.
Estos dominios incluyen no sólo aspectos técnicos, sino aquellos otros
que están orientados a los procesos y recursos humanos en las organizaciones, no
estrictamente basados en algún tipo de industria. Para asegurar la protección de la
información y diseñar los controles que mitiguen los riesgos, es necesario considerar
tres conceptos:
Confidencialidad - Principio encaminado a la protección de la
información clasificada como confidencial, de modo que no tengan acceso a ella
personas, recursos o sistemas no autorizados. En otras palabras, esta clase de
información no puede divulgarse sin la autorización expresa del dueño de ella.
Integridad - Principio encaminado a la prevención de modificaciones no
autorizadas a la información, a cargo de personas, procesos o sistemas. En caso de
que una persona sea autorizada para modificar la información, es necesario garantizar
la precisión y consistencia de los datos clave, para mantener su uso continuo.
Disponibilidad - Principio encaminado a la utilización de la información en el
momento en el que personas, procesos o sistemas autorizados la requieran, sea para
consultarla o modificarla.
Estos tres elementos de protección son esenciales para definir los
controles a implantar, sean éstos administrativos, a manera de políticas y
procedimientos; físicos, en la forma de oficiales de seguridad; o técnicos, como el
hardware y software adecuados.
Para definir el uso de uno o de todos los tipos de controles, hace falta
establecer una relación equilibrada entre su costo y el beneficio o valor de la
información protegida.
La seguridad de la información puede hacerse aún más eficiente si se
asignan los recursos suficientes para establecer un plan de capacitación y
concientización de personal, a través del cual se den a conocer las políticas, controles
y lineamientos mínimos de seguridad que deberán cumplir tanto los empleados
existentes como los de nuevo ingreso. Y es que una participación activa del personal
permite adecuar los controles, de acuerdo con las condiciones específicas de cada
127
empresa y área de trabajo.
La implantación de un programa de seguridad debe considerar no sólo a
la tecnología, sino a las personas, ya que son ellas quienes administran la información
y, en general, el eslabón más débil. De esta forma, se obtiene un nivel de
cumplimiento mayor y una efectiva mitigación de riesgos.
128
GLOSARIO
A continuación, se definen los términos técnicos usados en este libro:
Factores de riesgos.- Manifestaciones o características medibles
u observables de un proceso que indican la presencia de riesgo o tienden
aumentar la exposición, pueden ser interna o externa a la entidad.
Impacto.- Es la medición y valoración del daño que podría
producir a la empresa un incidente de seguridad. La valoración global se
obtendrá sumando el costo de reposición de los daños tangibles y la
estimación, siempre subjetiva, de los daños intangibles.
Riesgo.- Proximidad o posibilidad de un daño, peligro, etc. Cada
uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un
seguro.
Seguridad.- Cualidad o estado de seguro. Garantía o conjunto de
garantías que se da a alguien sobre el cumplimiento de algo. Se dice
también de todos aquellos objetos, dispositivos, medidas, etc., que
contribuyen a hacer más seguro el funcionamiento o el uso de una cosa:
cierre de seguridad, cinturón de seguridad.
Seguridad física.- Consiste en la aplicación de barreras físicas y
procedimientos de control, como medidas de prevención ante amenazas a
los recursos e información confidencial que puedan interrumpir
procesamiento de información.
Seguridad lógica.- Consiste en la aplicación de barreras y
procedimientos para mantener la seguridad en el uso de software, la
protección de los datos, procesos y programas, así como la del acceso
ordenado y autorizado de los usuarios a la información.
Seguridad de las redes.- Es la capacidad de las redes para
resistir, con un determinado nivel de confianza, todos los accidentes o
acciones malintencionadas, que pongan en peligro la disponibilidad,
129
autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los correspondientes servicios que dichas redes ofrecen o
hacen accesibles y que son tan costosos como los ataques intencionados.
Seguridad en los recursos humanos.- Consiste en los controles
que se deben tener con respecto a la selección, contratación, capacitación y
despido del empleado.
Seguridad Informática.- Son técnicas desarrolladas para
proteger los equipos informáticos individuales y conectados en una red frente
a daños accidentales o intencionados.
Vulnerabilidad.- Cualquier debilidad en los Sistemas de
Información que pueda permitir a las amenazas causarles daños y producir
pérdidas.
130
BIBLIOGRAFÍA
"Site Security Handbook". Request For Comments 1244. P. Holbrook y J.
Reynolds.
"Definición de una política de seguridad". José R. Valverde.
www.rediris.es/cert.
"Computer Security Basics". D. Russell y G.T. Gangemi. O’Reilly &
Associates.
"Building Internet Firewalls". D.B. Chapman y E.D. Zwicky. O’Reilly &
Associates. Cap. 3 y 11.
"Security in Computing". C. P. Pfleeger. Prentice Hall. Second Ed.
Cap.10.
Piattinni, G. M & Peso del E. Auditoría Informática. Un enfoque práctico.
Alfaomega
Echenique G. J.A. (2001). Auditoría en Informática. 2da. Ed. Mc Graw-
Hill
Introducción a la Computación, del Departamentode Métodos
Matemático – Cuantitativos. Además, están editados por la Oficina de Apuntes del
CECEA.
“Aspectos legales, derechos ded autor y piratería de software”, Simón
Mario Tenzer, 26 páginas.
“Elementos de Organización de la Función Informática” (Administración
Informática), 19 páginas.
“Evaluación de paquetes contables” (sólo para Opción Administrativo /
Contable), Beatriz Pereyra, 14 páginas. Incluye “Integración de las actividades de
control con la evaluación de riesgos.”
“Respaldo y Recuperación de Datos”, Simón Mario Tenzer y Nelson
Pequeño, Julio 2000, 17 páginas.
“Seguridad Informática”, Leonardo Sena Mayans, Julio 2000, 11 páginas.
“Virus informático”, Setiembre 2002, 21 páginas.
Informe sobre malware en América Latina, Laboratorio ESET
Latinoamérica, 2008.
http://www.eset-la.com/threat-center/1732-informe-malware-america-
latina
Ten ways hackers breach security. Global Knowledge. 2008
http://images.globalknowledge.com
Bruce Schneier, Secrets & Lies. Digital Security in a Networked World.
John Wiley & Sons, 2000.
Kevin Mitnick, The Art of Intrusión. John Wiley & Sons, 2005.
La Odisea de Homero.
Official Certified Ethical Hacker, Sybex. 2007.
Sun Tzu, El arte de la guerra. Versión de Samuel Griffith. Editorial
Taschen Benedikt. 2006.
Farwell, James P.; Rafal Rohozinski; “Stuxnet and the Future of Cyber
War”, Survival, vol. 53, número 1, 2011
Salido, Javier; “Data Governance for Privacy, Confidentiality and
Compliance: A Holistic Approach”, ISACA Journal, vol. 6, 2010
Dobbs, Michael; The Edge of Madness, Simon & Shuster UK Ltd., RU,
2008
IBM, Top 3 Keys to Higher ROI From Data Mining, artículo técnico de
IBM SPSS
YourDictionary.com, http://computer.yourdictionary.com/dataintegrity
Véase Kerviel, Jerome; L’engranage, Memoires d’un Trader,
Flammarion, Francia, 2010, y Societe
Generale,www.societegenerale.com/en/search/node/kerviel.
Op. cit., Farwell
Broad, William J.; John Markoff; David E. Sanger; “Israeli Test on Worm
Called Crucial in Iran Nuclear Delay”, The New York Times,15 de enero de
2011, www.nytimes.com/2011/01/16/world/middleeast/16stuxnet. html?
pagewanted=all
IT Governance Institute, IT Assurance Guide: Using COBIT, EE. UU.,
2007, pág. 212
Bankar, Pritam; Sharad Verma; “Mapping PCI DSS v2.0 With COBIT
4.1”, COBIT Focus, vol. 2, 2011, www.isaca.org/cobitnewsletter
Data Management Association International (DAMA), The DAMA Guide
to the Data Management Body of Knowledge, Technics Publications LLC, EE. UU.,
2009, www.dama.org/i4a/pages/index.cfm?pageid=3345
Unión Europea (UE), Directiva 95/46/CE, emitida por el Parlamento
Europeo y el Consejo el 24 de octubre de 1995, sobre la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos
UE, Directiva 2006/43/CE, emitida por el Parlamento Europeo y el
Consejo el 17 de mayo de 2006, sobre la auditoría legal de las cuentas anuales y de
las cuentas consolidadas, por la que se modifican las Directivas del Consejo
78/660/CEE y 83/349/CEE y se deroga la Directiva del Consejo 84/253/CEE.
Adaptado de US Chiefs of Staff Joint Publication 3-28, “Civil Support”,
EE. UU., septiembre de 2007
Op. cit., DAMA
[1] ISO 7498-2. Information processing system – Open systems
interconections – Basic reference model – Part 2: Security architecture. International
Organizations of Standarization, 1989.
[2] ISO/IEC 10181-4. Information technology- Open systems
interconectios – Security frameworks in open systems – Part 4: Non-repudiation.
ISO/IEC, 1996.
[3] ISO/IEC DIS 13888-1. Information technology- Security techniques –
Non repudiation - Part 1: General model. ISO/IEC JTC1/FC27 N1503, November
1996.
[4] ISO/IEC 5th CD 13888-2. Information technology- Security
techniques –Non repudiation - Part 2: Using symetric techniques. ISO/IEC
JTC1/FC27 N1505, November 1996.
[5] ISO/IEC DIS 13888-3. Information technology- Security techniques –
Non repudiation - Part 3: Using asymetric techniques. ISO/IEC JTC1/FC27 N1507,
November 1996.
[6] T. Coffey, P. Saidha, Non-repudiation with mandatory proof of
receipts, Computer Communications Review, 26 (1), January 1996, pp. 6-17
[7] J. Zhou, D. Gollman, A Fair Non-repudiation Protocol, Proceedings of
the 1996 IEEE Symposium on Security and Privacy, 1996, pp. 55-61
[8] J. Zhou, D. Gollman, Observations on Non-repudation, Lectures
Notes in Computer Science. Advances in Criptology. ASIACRYPT ’96, 1996, pp.
133144
[9] C. H. You, K. Y. Lam, On the efficient inplementation of fair non-
repudiation, Computer Communication Review, 28(5), October 1998, pp. 50-60
[10] L. Lamport, Passwords authentication with insecure communication,
Communications of the ACM, 24 (11), 1981, pp. 770-772
[11] S. Haber, S. Stornetta, How to time-stamp a digital document,
Journal of Cryptology, 3 (2), 1991, pp. 99-111
[12] T. Pedersen, Electronic payments of small amounts, Proceedings of
Cambridge Workshop on Security Protocols, 1996, pp. 59-68
[13] N. Asokan, M. Schunter, M. Waidner, Optimistics protocols for fair
exchange, 4th ACM Conference on Computer and Communications Security, 1998,
pp. 8-17
[14] J. Zhou, D. Gollman, An efficient Non-repudiation Protocol, 10th
IEEE Computer Security Foundations Workshop, 1997, pp. 126-132
[15] R. Deng, F. Bao, Evolution of fair non-repudiation with TTP,
Proceedings of 1999 Australasian Conference on Information Security and Privacy,
1999, pp.258-269
ANEXO A
OCTAVE ALLEGRO
• El hardware.
• La información.
• Los sistemas.
PROCESO OCTAVE
OCTAVE utiliza un enfoque de tres fases para examinar las cuestiones de
organización y tecnología, reuniendo una visión global de las necesidades de
seguridad de la organización de la información (ver Figura 1). El método utiliza
talleres para fomentar la discusión abierta y el intercambio de información sobre los
activos, las prácticas de seguridad y estrategias.
Figura 4: Proceso Octave y sus fases en la seguridad informática.
Cada fase consta de varios procesos y cada proceso tiene uno o más
talleres dirigidos o realizados por el equipo de análisis. Además existen algunas
actividades de preparación necesarias que establecen una buena base para una
evaluación exitosa, estas son:
• Obtener patrocinio alta dirección: Este es el factor de éxito más crítico. Si los
altos directivos apoyar el proceso, las personas de la organización participará
activamente.
• Seleccionar el equipo de análisis: Los miembros del equipo deben tener las
habilidades suficientes para dirigir la evaluación. Ellos también necesitan
saber cómo establecer una buena comunicación con los demás integrantes, ya
que esto les permitirá aumentar sus conocimientos y habilidades.
• Alcance OCTAVE: La evaluación debe incluir importantes zonas de
operaciones. Si el alcance es demasiado grande, será difícil de analizar todos
los datos. Si es demasiado pequeño, los resultados pueden no ser tan
significativos.
• Selección de los participantes: Los funcionarios procedentes de múltiples
niveles de organización aportará sus conocimientos. Es importante que estas
personas puedan comprender sus zonas de operaciones.
FASES Y PROCESOS
1. Establecer criterios de medición del riesgo
El primer paso consiste en definir criterios para conocer la postura de la
organización en cuanto a su propensión a los riesgos. Se trata de la base para la
evaluación, ya que sin esta actividad no se puede medir el grado en el que la
organización se ve afectada cuando se materializa una amenaza.
El método establece la creación de un conjunto de criterios cualitativos
con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la
organización en 5 categorías:
•Reputación/confianza del cliente
•Financiera
•Productividad
•Seguridad/salud
•Multas/penas legales
Además, hay una última que el usuario puede definir, utilizada para una
preocupación específica de la empresa.
Para cada criterio se deben generar áreas de impacto, es decir,
condiciones de cómo la organización se verá afectada por algún incidente de
seguridad. El impacto puede ser alto, medio o bajo, y esto deberá ser definido por el
personal encargado de generar los criterios de medición del riesgo. En la siguiente
imagen se muestra un ejemplo de un área de impacto para los criterios de
“Reputación y confianza del cliente”:
Tabla 5: Reputación y confianza del cliente
Hoja de trabajo 1 Criterio de medición del riesgo, reputación y confianza en el cliente.
Área de impacto Bajo Moderado Alto
Afectación de la La información La información La información
imagen de la relacionada con relacionada con relacionada con
organización. incidente de seguridad incidente de seguridad incidente de seguridad
se conoce dentro del se conoce dentro de la se conoce
área de TI. organización. públicamente.