Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PerspectivasInf7 PDF
PerspectivasInf7 PDF
PerspectivasInf7 PDF
7
X Los Objetivos de Número 7
Control del Sistema de
Gestión de la Seguridad de
la Información ........ 5
Perspectivas
Informáticas
LA DIMENSION INFORMATICA DE LAS EMPRESAS
Continuidad del Negocio. BCP Los modelos de Continuidad del Negocio toman
El Concepto de Continuidad del Negocio se como base a los Modelos y técnicas de las
afianzó después del atentado a las Torres Contingencias. Las contingencias son todos
Gemelas en 2001. Si bien el concepto es aquellos sucesos y problemas que comprometan
antiguo las empresas no habían tomado la marcha normal de algún recurso de la empresa.
conciencia que una catástrofe podría Para algunas contingencias se contempla técnicas
comprometer su operación y continuidad de:
futura. Si una empresa sufre un fuerte Aseguramiento; se continúa operando a máxima
impacto por una catástrofe natural o humana, capacidad.
puede ocurrir que no se pueda recuperar o Emergencia; se continua operando con
que le demande un tiempo muy prolongado capacidad reducida hasta resolver el problema.
el recuperarse; en ambos casos; los clientes Este panorama de riesgo en un mundo donde Sin resolución; se continúa operando con
NO esperan, y si la empresa no puede tanto la violencia humana como natural va en capacidad reducida pues la contingencia no afecta
continuar ofreciendo sus productos y aumento hace que las empresas consideren al normal desenvolvimiento de las operaciones.
servicios, lo más probable, es que otra primordial definir los aspectos claves que podrían Eventualmente la contingencia se resolverá o
empresa comience a cubrir las necesidades absorberá. Para el caso de la continuidad
afectar su supervivencia ante catástrofes
de los ‘antiguos clientes’. Para el momento específicas, distribuyan sus activos y servicios de consideramos aquellas contingencias que no
en que la empresa afectada se pueda soporte, de forma de no depender exclusivamente pueden resolverse en un tiempo comercialmente
recuperar, tal vez ya haya perdido un 60% o de una localización y generen planes de proporcional.
un 90% de sus antiguos clientes, con lo cual, recuperación de sus capacidades productivas,
aun recuperándose, corre el riesgo de no distributivas, de soporte y de marketing que Plan de Recuperación ante desastres.
poder mantenerse en el mercado o incluso disminuyan a un mínimo posible los efectos de Un paso intermedio entre las contingencias y la
de presentar quiebra. una catástrofe y reduzcan los tiempos de continuidad lo constituyen los desastres. Las
recuperación de forma que, ante una catástrofe contingencias son impactos menores que dejan
seria, en poco tiempo la empresa pueda estar indisponibles recursos de una empresa por un
lapso de tiempo breve. Un desastre, en cambio,
1
Pasos para la Generación de un Plan de recuperación 4) Establecer el Equipo de Planificación.
Fase 1: de Desastres y Continuidad del Negocio Todos los Departamentos de una empresa
deben están involucrados y colaborar para la
Establecer las Análisis de especificación y el establecimiento de un
bases correcto Plan de Recuperación / Continuidad. Si
Riesgo e una parte de la empresa no colabora, ya sea en
Impacto en el la especificación o en el establecimiento del plan
Negocio se convertirá en el ‘eslabón débil’ y por ende, la
probabilidad de que ocurran fallos por
Revisar responsabilidad de tal Departamento aumentará,
lo cual aumentará el riesgo que tal
los Departamento le genera a la Empresa.
Procesos
5) Comprobar los Procesos.
Estrategia de El Plan debe ser implementado, de nada sirve
Planificación de la Recuperación haber desarrollado un plan si luego este solo
Continuidad del queda en los papeles.
Negocio 6) Revisar los Procesos.
Comprobar los
Es aconsejable que la realización del plan se
Procesos realice por medio de Normas Internacionales
establecidas y aceptadas en la Comunidad de
Práctica, de forma de apalancar los mecanismos
Establecer el de Auditoria a los cuales se vea expuesta la
Equipo de Fase 2: empresa. En particular se menciona al NIST
Fase 3: (National Institute of Standards and Technology),
Planificación Desarrollar
Mantener el de los EEUU, como referente en materia de
e implementar el Seguridad.
plan
plan
2
El Marco del IT Security EBK semanas.
Un plan de contingencia es aquel en el cual en
Evaluación el estado normal la empresa dispone de
suficientes recursos para operar con la calidad
de servicio requerida por sus clientes y además
Organizar Equipo Realizar la Priorización del Desarrollo de posee una pequeña capacidad ociosa para
de Evalución de Evaluación de Alcance de los Variantes utilizar en caso de contingencia. Cuando se
Riesgos Riesgos Riesgos produce un evento que genera una
contingencia la empresa comenzará a funcionar
en un ‘esquema de emergencia’, que si está
Planificación bien planificado puede mantener la prestación
de los servicios sin pérdidas notables para los
clientes o con una pequeña degradación.
Desarrollo Identificación de Planes de Entrenamiento
de Planes Eventos Comprobación en Planes Por otra parte la Continuidad se considera
Disparadores cuando la contingencia se prolongará por en el
tiempo, o bien la capacidad de la empresa ha
quedado tan comprometida que deberá operar
en estado ‘precario’ durante un período de
Ejecucion Recuperación tiempo elevado.
4
Los AI son una serie de recursos que determinada. trata de un concepto casi contable. Como
pertenecen a la organización, pero que no habíamos afirmado anteriormente, el principal
La Gestión del Conocimiento es, en
están valorados desde un punto de vista problema de los Activos Intangibles es que no
definitiva, la gestión de los AI que generan
contable. En definitiva un activo intangible es pueden ser valorados mediante unidades de
valor para la organización. La mayoría de
todo aquello que una organización utiliza para medida uniformes, y por lo tanto, no se puede
estos intangibles tienen que ver con procesos
crear valor, pero que no se contabiliza. presentar una “contabilidad de intangibles”. Sin
relacionados de una u otra forma con la
embargo, la medición del CI, nos permite tener
Si bien lo más evidente dentro de una captación, estructuración y transmisión de
una foto aproximada del valor de los intangibles
organización son los Activos Tangibles como conocimiento. Por lo tanto, la GC tiene en el
de una organización y determinar cuáles son
la bienes muebles e inmuebles y los activos AO su principal herramienta, siendo, por lo
los intangibles que aportan valor a la
financieros que determinan su valor en libros, tanto, un concepto dinámico.
organización y cuáles no, y en qué medida lo
como dijimos anteriormente, hoy día es mucho
Cabe aquí plantear la diferencia entre dato, hacen.
más importante la evaluación de los
información y conocimiento. Una primera
conocimientos humanos, el saber hacer (know Una vez que hemos analizado el concepto de
aproximación podría ser la siguiente: los
how), el personal competitivo, la propiedad CI, podemos definir de nuevo el concepto de
datos están localizados en el mundo, el
intelectual, las marcas, el mantenimiento de la Gestión del Conocimiento de una forma más
conocimiento está localizado en agentes
clientela y los conocimientos sobre el precisa:
(personas, organizaciones, etc.), y la
comportamiento del mercado. Estos son
información adopta un papel mediador entre “conjunto de procesos y sistemas que
algunos ejemplos de AI que suman al valor
ambos conceptos. permiten que el Capital Intelectual de una
real que tiene una empresa en el mercado.
organización aumente de forma
Como podemos observar en la Figura, los
Una vez analizada la importancia de los significativa, mediante la gestión de sus
datos, una vez asociados a un objeto y
intangibles, aunque es evidente, es necesario capacidades de resolución de problemas de
estructurados, se convierten en información.
remarcar que la mayoría de ellos suelen estar forma eficiente, con el objetivo final de
La información, asociada a un contexto y a
basados en la información, el aprendizaje y el generar ventajas competitivas sostenibles
una experiencia, se convierte en
conocimiento. En este punto, podemos hablar en el tiempo”.
conocimiento.
de Aprendizaje Organizativo (AO).
En conclusión, como podemos apreciar en la
Figura, en la el Aprendizaje Organizativo, la
Gestión del Conocimiento y el Capital
Intelectual son conceptos relacionados y
complementarios. En pocas palabras, el
Aprendizaje Organizativo es la base de una
buena Gestión del Conocimiento, y la
Gestión del Conocimiento es la base para la
generación de Capital Intelectual.
Desde sus inicios la norma BS 7799 y sus herederas la ISO 17799 y la ISO 27001 han definido un conjunto de 10 Dominios de Control que modelan el
comportamiento característico de las empresas y permiten establecer Sistemas de Gestión de Seguridad de la Información. En la ISO 27001 se
renombraron algunos de los Dominios y se los llevó a 11 Dominios.
5
11 Dominios en la norma ISO 27001
A.5
1 Políticas de Seguridad
11 A.15 Organización de
Cumplimiento 2 A.6 la Seguridad
de la Información A.9 Seguridad Física y Ambiental
Información La seguridad física y ambiental reconoce los
A.14 Gestión de la 10 3 Gestión de los aspectos ligados al área de trabajo físico y los
Continuidad del Negocio A.7 Bienes aspectos ligados a la seguridad del
Confidencialidad
equipamiento electrónico o documental que
Gestión de los Incidentes 9 se utiliza para evitar que puedan ser
de la Seguridad accedidos desde el exterior o por personal no
A.13de la Información Integridad autorizado, con el objetivo de limitar el acceso
Desarrollo, Adquisición 8 4 A.8 Seguridad de los a la información contenida en tales
Y Mantenimiento de Recursos Humanos dispositivos. Se hace notar que un simple
Sistemas de Información A.12 Disponibilidad papel impreso también debe ser controlado
y/o destruido, para evitar que sea accedido,
A.11 Control de 7 5 Seguridad Física y por ejemplo, por el personal de limpieza.
Acceso A.9 ambiental
Gestión de las A.10 Gestión de las Comunicaciones
6 A.10Comunicaciones y las Operaciones.
y las Operaciones Resulta evidente que la parte operativa será
la que más detalle requiere de los Objetivos
de Control; y por tal razón existen 10
Objetivos de Control en este Dominio.
Los 11 Dominios del SGSI. terceros. Los objetivos son sumamente variados y un
Los Dominios, Objetivos y Requerimientos de simple listado podrá en evidencia la
control aparecen en el Anexo A de la Norma ISO A.7 Gestión de los Bienes. complejidad de los problemas a abordar. Los
27001 y se numeran desde la Clausula A.5 a la La gestión de los bienes involucra a dos aspectos objetivos de control son; a) Procedimientos
Clausula A.15. Aquí trataremos con mucha principales; a) la asignación de la responsabilidad Operacionales y Responsabilidades; b)
brevedad la esencia del objetivo de cada por el bien; b) la clasificación de la información Gestión de la Provisión de Servicios por
Dominio. sobre el bien. Terceros; c) Planificación y Aceptación de
En ambos casos se hace referencia tanto a los Sistemas; d) Protección contra código
bienes de información como a la información sobre malicioso y de movilidad; e) Sistemas de
los bienes. La información por sí misma es un Respaldo de la Información; f) Gestión de la
bien, pero además a los bienes físicos se les Seguridad de Red
asigna algún tipo de inventario, tanto para su Manejo de Medios; g) Intercambio de
organización como por requisitos contables; a Información; h) Servicios de Comercio
partir de lo cual los bienes físicos pasan a poseer Electrónico; i) Monitoreo
información asociada que los representa en la
empresa.
A.15 Cumplimiento.
El cumplimiento de una norma contempla
determinados aspectos que se deben tener en
cuenta para asegurarse que realmente la norma
se cumple en la práctica. La forma de confrontar
el cumplimiento es hacerlo con respecto a ciertos
parámetros o regulaciones existentes, tanto
externas como internas; en donde lo primero que
se debe cumplir es aquello que estipule la Ley y
sus reglamentaciones asociadas.
La norma posee tres objetivos de control
relacionados con el cumplimiento: a) Cumplir con
los requerimientos legales; b) Cumplir con las
políticas de seguridad; los estándares y los
aspectos técnicos requeridos; c) cumplir con las
consideraciones de auditoría para los Sistemas
de Información.
Conclusión.
Existen diversas normas para el control de los
Sistemas de Información y de la Seguridad de los
Sistemas de Información; normas de
El desarrollo, la adquisición y el mantenimiento los Sistemas de Información; b) Procesamiento Instituciones privadas, como es el caso de
de sistemas de información es una tarea correcto de las aplicaciones; c) Controles de COBIT; o normas impuestas por determinados
compleja y de alto riesgo. Las empresas cuyo Criptografía; d) Seguridad de los Sistemas de cuerpos legales, como es el caso de Sarvanes
negocio no es el desarrollo de software tratan Archivos; e) Seguridad de los Procesos de Oxley o de Basilea II para el ámbito bancario; sin
de evitar todo lo relativo al desarrollo, ya sea Desarrollo, Operación y Mantenimiento; f) embargo el conjunto Normativo de la serie ISO
tercerizando su desarrollo, o bien adquiriendo Gestión de las Vulnerabilidades Técnicas. 27000 es el más general y abarcativo; y al ser
sistemas ‘llave en mano’ que les resuelvan sus regulado por el Instituto Internacional de
necesidades de procesamiento de la A.13 Gestión de los Incidentes de la Estandarización, garantiza su continuidad en el
información. Una alternativa más moderna es el Seguridad de la Información. tiempo y la independía de criterios parcializados;
uso de Servicios de Procesamiento de La seguridad de la información se puede ver criterios que pueden aparecer en diversas
Información, en los cuales un tercero se comprometida por el acceso a la información o normativas con alcance para alguna nación o
encarga del procesamiento de la información por errores en las plataformas que contienen a región particular.
de la empresa, ya sea con equipamiento en la tal información; en particular al software del La práctica indica que establecer aquellos
propia empresa o bien con equipamiento y sistema operativo, de la red, o de las controles de la norma ISO 27001 que apliquen
sistemas del tercero que se acceden por algún aplicaciones que procesan o gestionan a la en una empresa particular es un buen comienzo
mecanismo de red. En todos los casos se trata información. Es esencial estar al tanto de las para cumplir con cualquier normativa
de que el desarrollo y el mantenimiento queden vulnerabilidades que presentan las diferentes especializada de Seguridad de los Sistemas de
a cargo del tercero, liberando a la empresa; en plataformas, de las soluciones para tales Información que se solicite.
otras ocasiones se incluye la operación, ya sea vulnerabilidades y de las posibles brechas por las
local o remota, por medio de personal del cuales se podría haber accedido a la Autor: Osvaldo A Pérez
tercero. En tales condiciones la norma solo información. Todo evento de acceso no permitido
contempla el proceso de Adquisición de tales debe ser registrado ante posibles robos o
sistemas; en los casos más genéricos la alteraciones de la información que podrían
empresa deberá operar y mantener al sistema y descubrirse en el futuro. La problemática general
en casos aun más amplios desarrollar su propio es que un atacante podría haber accedido al
sistema. sistema, robando o alternado información que
solo después de un período de tiempo breve o
prolongado podría hacerse evidente; los acceso
deben quedar registrados para tratar los posibles
eventos futuros que comprometan a la
información. En la norma se prevén dos objetivos
de control relacionados con los incidentes sobre
la información: a) El reporte de los eventos y
debilidades de la información; b) La gestión de
los incidentes y de las mejoras en la seguridad
de la información.
7
Chateando con un Troyano – El Hackeo a las cuentas de Chat
Qué hacer cuando por Messenger han contaminado la PC
El uso del CHAT en sus diversas versiones, los programas maliciosos, pero no se actualizan
Messenger, ICQ, etc, es un beneficio a la los motores de análisis de comportamientos, que a nuestra PC, o de conexión de sitios externos
comunicación interpersonal, masivamente justamente bloquean a troyanos como éste) no autorizados. El Firewall debe ser bi-
difundida en la actualidad. direccional para controlar no solamente lo que
c) La licencia era legítima, pero el intenta conectarse desde fuera de nuestra PC,
Y el CHAT, como toda actividad informática mantenimiento y soporte estaban vencidos sino también cualquier malware que habiendo
actual, también está expuesto a sufrir ataques (ergo, no se actualiza en su totalidad) ingresado en nuestro equipo, pretenda
mediante los cuales, aprovechando el descuido o conectarse hacia fuera. (NOTA el firewall del
engaño de la víctima, recibe un mensaje de un d) Era un antivirus por control de firmas WinXP controla en un solo sentido. En Windows
supuesto contacto “legítimo” indicando que vea solamente (sin análisis heurístico o de Vista se dispone del control en doble sentido).
las fotos o los archivos que le adjunta, por comportamiento) Marcas que tienen Firewall con IPS son a
trabajo, por vacaciones, etc, colocando un manera de ejemplo Kaspersky, Panda, Sunbelt,
hipervínculo en el mensaje. Les recomiendo que tomen nota de esto, para no McAfee y Symantec, entre otros.
poner en riesgos sus equipos, ni los de sus
Normalmente, lo que sucede por parte de la contactos. Al no protegerse seriamente cada uno, C) Si tenemos versiones de sistema operativo
víctima inocente o descuidada, cae en el engaño, está poniendo en riesgo también a sus contactos, obsoletos, tales como Windows 95, 98, Me y
y clickea en ese hipervínculo, haciendo que se que pueden caer en la misma “trampa”. Windows 2000, existen también protección para
baje un troyano que toma control de su sesión de estas plataformas. No por ser versiones
Chat y de todos sus contactos, y comienza a Para enriquecer aún más estos consejos, he descontinuadas, debemos dejarlas sin
establecer sesiones con cada uno de ellos, recibido de parte de un colega mío, llamado protección.
reproduciendo el ardid, y propagando el troyano Horacio Ortiz, que como información general
entre más víctimas engañadas. estos virus utilizan un programa llamado d) Cuando hablamos de Sistema de Prevención
browsr64.exe que es el que se encarga de de Intrusos (IPS) nos referimos a soluciones que
disparar programas como por ejemplo 71.exe, también mediante el análisis de comportamiento
16.exe, 31.exe, etc., que son los que mandan los a nivel aplicación o por aplicación de reglas,
mensajes. Estos programas se pueden ver desde realizan sus propios controles, completando
el Task Manager o administrador de tareas de funciones que los Firewalls no tienen, por
Windows. ejemplo poder identificar ataques a nivel
El programa browsr64.exe está oculto y protegido aplicación (lo que en la jerga informática se
en el folder c:\windows\system32 y para poder indica como ataques a nivel de capa 7 del
borrarlo es necesario desprotegerlo y asegurarse modelo OSI). Si se dispone de solamente un
que no se esté ejecutando. Por último asegurarse firewall personal (ejemplo Windows XP y Vista,
de borrar todos los ejecutables de los que AVG, NOD32, eConceal, entre otros), existen
hablamos antes y los archivos fotos.zip, productos como Safe&Sec Host Intrusion
images.zip y otros que son los que se envían a los Prevention System, que les agrega esta función,
completando el nivel de protección.
contactos para difundir el virus.
Las víctimas ven que se les abren múltiples
sesiones de Chat en su PC, y los contactos de la
víctima ven que las sesiones de Chat son De la misma manera, nunca dejen abiertas sus
distintas en su lenguaje e idioma a los que sesiones de Chat cuando no las usan, porque el
acostumbra usar su contacto legítimo (por otro riesgo es que les puedan tomar control de
ejemplo, habla en castellano neutro o en otro sus cuentas de Hotmail, mediante técnicas de
idioma, dependiendo de lo que interprete en base hacking.
al nombre del contacto).
Y sí, quedan chateando con un troyano. La recomendación es la siguiente: Adicionalmente, se deben aumentar las barreras
Increíble, no? de seguridad de Windows y del Internet
a) Tengan siempre un antivirus legítimo, bajo Explorer para que no sea todo de libre acceso,
Qué debemos hacer cuando sucede esto? contrato de mantenimiento, y que cumpla con las sin importar que se bajen cookies, controles
Primero sepamos por qué se produce esta funciones de control por Firmas y por Análisis de Active-X, etc. Lo ideal es colocarlo a nivel de
contaminación, y es justamente porque en la Comportamiento (heurístico). Ejecutarlo. De esta Seguridad Media, para que permita operar.
gran mayoría de los casos, se cuenta con manera, el antivirus puede bloquear estos
versiones de antivirus que no brindan la troyanos, al reconocer sus intenciones por su Estas soluciones a veces son encontradas en
protección correspondiente. No por falla del comportamiento. Si tienen antivirus de primeras forma integrada, donde un mismo producto
producto, sino por las características del mismo marcas, la manera de darnos cuenta si son puede suplir todas las funciones. Y no son
por la forma en que fue conseguido o instalado. ilegítimos, o bien son licencias legítimas pero sin productos de alto precio, donde hay soluciones
mantenimiento, es verificar la versión del producto debajo de los $ 100 (pesos) por año por PC. No
En todos los casos, he comprobado que el que tenemos instalado, y seguramente vale la pena arriesgarnos nosotros, y
antivirus que tenían instalado tenía las siguientes encontrarán que la misma es anterior a la última comprometer a nuestros contactos. Ante estos
características: en vigencia. Verificar también que el Antivirus valores, vale la pena afrontar los riesgos que
tenga también un AntiSpyware. mencionamos al principio?
a) era ilegítimo (versiones crackeadas o Rompamos con el viejo mito de tener
adulteradas para que funcionen sin haber b) Tengan en sus PC’s productos de software que licencias ilegítimas, si podemos tener todo en
comprado la licencia), normalmente conseguidas funcionen como Firewalls Personales, regla y más seguros.
de un amigo, o bajadas de Internet. idealmente incluyendo Sistema de Prevención
de Intrusos (IPS). Si el producto de firewall no lo
b) no tenía actualizaciones completas de su incluye, existen Sistemas de Prevención de Roberto Langdon
versión (por ejemplo, casi todos los antivirus Intrusos que se pueden agregar, y que funcionan Presidente
bien con casi todos los firewalls personales. Esto
ilegítimos, solamente actualizan las firmas de 2MINDS Servicios Informáticos
virus, contra las cuales verifica el encabezado de nos brindará protección ante intentos de intrusión
rlangdon@2mindsarg.com.ar
8
La Firma Digital y la AFIP
Lo que AFIP llama Token es en realidad el soporte en el que nos darán la Firma Digital
9
Editorial
Noviembre 2009 Perspectivas
Informáticas
El mundo de la Seguridad de la Información perspectivasinformaticas@gmail.com
se encuentra en permanente desarrollo,
habiéndose transformado en parte esencial de
+54-11-4754-8884
los Sistemas de información.
10