Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
1. Concepto de Seguridad..............................................................................................................1
2. Historia de la seguridad..............................................................................................................1
Seguridad supone estar protegido a que cualquier acontecimiento futuro, de posible producción,
que afecte nuestros bienes, nuestra persona, nuestra responsabilidad por daños causados, todos
los efectos de estos eventos futuros y posibles, van a ser trasladados, en caso de que ocurran, a
otra persona que se responsabilizará de los mismos, en nuestro lugar.
De otra forma es el conjunto de medidas tomadas para protegerse contra robos, ataques,
crímenes y espionajes o sabotajes. La seguridad implica la cualidad o estado de estar seguro, es
decir, la evitación de exposiciones a situaciones de peligro y la actuación para quedar a cubierto
frente a contingencias adversas.
En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o
actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible
de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.
2. Historia de la seguridad
El hombre primitivo en lucha permanente contra una tierra inhóspita se vio acosado por ciertos
fenómenos naturales y por instinto tuvo que satisfacer sus necesidades más elementales. Se
refugia en las cavernas y comienza a guardar sus alimentos para preservarse de las contingencias
en las épocas de escasez.
Desde entonces el término de seguridad se ha encontrado inscrito desde tiempos muy remotos,
donde el hombre ha pretendido prevenir las vicisitudes y a la imposibilidad de subsistir por sus
propios medios.
Desde la aparición del primer bug informático en 1945, causado por una polilla entre los contactos
de uno de los reguladores del Mark2, muchos fueron los que se dieron cuenta de la sensibilidad de
las máquinas para cometer errores, aun así han tenido que pasar muchos años para que la gente
se sensibilice de que los hackers no son personajes de ficción así como de que la seguridad de sus
equipos es algo en lo que invertir y no dejar descuidado
Uno de los primeros delitos informáticos podemos encontrarlo en el que puede ser el cargo más
importante del mundo. El expresidente de Estados Unidos, Ronald Reagan, filtró deliberadamente
tecnología defectuosa a la URSS para sabotear sus industrias clave. El código, oculto en el
programa, estropeaba el mecanismo que ponía en funcionamiento las bombas, turbinas y válvulas
y sometía a los oleoductos a una presión por encima de la que los materiales podían soportar. El
efecto fue espectacular. El virus provocó, ante el asombro de los soviéticos, la explosión de un
oleoducto siberiano en 1982, el estallido no nuclear más enorme de la historia. El fuego se vio
incluso desde los satélites espías de Estados Unidos y la avería, y subsiguiente falta de suministro,
afectó seriamente a la economía de la Unión Soviética.
Un hecho que conmocionó al mundo de la informática fue la historia de Kevin Mitnick, un hacker
que evadió a la policía, al FBI y a los US Marshalls durante 2 años. Su error fue invadir el ordenador
personal de Tsutomu Shimomura, un experto en seguridad informática, ya qué este último le
rastreó durante 2 meses hasta que fue detenido en Raleight, un pueblo de Carolina del Norte.
Siguiendo el ejemplo de este “Superhéroe” muchos jóvenes cogieron sus máquinas y empezaron a
investigar con más profundidad, lo cual conllevó a tratar el tema de la seguridad como una
especialidad.
En la otra cara de la moneda tenemos Carnivore un programa del FBI de los Estados Unidos que
espía a los usuarios de Internet y recientemente el Senado norteamericano le concedió la facultad
de utilizarlo sin autorización judicial.
Hoy en día las técnicas de espionaje se han perfeccionado tanto que cualquier medio puede ser
portador de un código maligno que amenace nuestra privacidad, desde recibir un e-mail hasta
recibir ataques premeditados son amenazas que ponen a prueba nuestra capacidad de respuesta
ante la peor situación.
Estos últimos años hemos sido sometidos a un ataque a nivel global derivado del llamado
Malware, software poco detectable que es capaz de cambiar la configuración del ordenador,
mostrarnos publicidad en la propia pantalla de nuestro navegador (adware), o robarnos
información personal para venderla a terceras personas (Spyware). Se estima que el volumen de
negocio generado por este tipo de prácticas alcanza los 2000 millones de dólares. Se estima que
en los próximos años este tipo de molesto software evolucione a un nivel superior, lo cual ha
supuesto a muchas compañías la creación de departamentos específicos para luchar contra este
mal.
3. Seguridad en Informática (Concepto)
La información es un activo que, como otros activos comerciales importantes, es esencial para el
negocio de una organización y en consecuencia necesita ser protegido adecuadamente. Como
resultado de la interconectividad, la información está expuesta a un número cada vez mayor y una
variedad más amplia de amenazas y vulnerabilidades.
El Gusano MORRIS (1988) fue el primer ejemplar de malware auto replicable que afectó a Internet.
El 2 de noviembre de 1988 hizo su aparición el primer gusano (gusano informático) en Internet:
Morris Worm. Durante unas horas, aproximadamente el 10% de todas las máquinas de Internet se
vieron afectadas por ese gusano.
Se estima que en ese momento el tamaño de Internet era de unos 60.000 computadores, y el
gusano afectó cerca de 6.000 sistemas de ordenadores en los Estados Unidos (incluyendo el centro
de investigación de la NASA) y dejó casi inútiles algunos de ellos.
El programa intentaba averiguar las contraseñas de otras computadoras, usando una rutina de
búsqueda que permutaba los nombres de usuarios conocidos, una lista de las contraseñas más
comunes y también búsqueda al azar. Descubrieron que no todas las computadoras eran
afectadas, sino solo se propagó en las computadoras VAX de DEC (Digital Equipment Corp) y las
fabricadas por Sun Microsystems, que empleaban Unix.
No fue programado con intención de causar daño, pero a causa de un bug en su código, los efectos
fueron catastróficos para la época. Produjo fallos en cientos de computadoras en universidades,
corporaciones y laboratorios de gobierno en todo el mundo antes que fuera rastreado y
eliminado. Era el ataque del que fue llamado "Gusano de Internet", y la prensa cubrió el tema con
frases como "el mayor asalto jamás realizado contra los sistemas de la nación". Erradicarlo costó
casi un millón de dólares, sumado a las pérdidas por haberse detenido casi toda la red, siendo
estimadas las pérdidas totales en 96 millones de dólares (una cifra significativa en aquel
momento).
Este primer ataque a la infraestructura computacional de Internet llevó a la creación del CERT
(Computer Emergency Response Team), un equipo de respuesta a emergencias en computadores.
Kevin David Mitnick (nacido el 6 de agosto de 1963) es uno de los crackers y phreakers
estadounidense más famoso. Su nick o apodo fue Cóndor.
Su último arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunas de las
computadoras más seguras de los Estados Unidos. Ya había sido procesado judicialmente en 1981,
1983 y 1987 por diversos delitos electrónicos.
El caso de Kevin Mitnick (su último encarcelamiento) alcanzó una gran popularidad entre los
medios estadounidenses por la lentitud del proceso (hasta la celebración del juicio pasaron más de
dos años), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisló del
resto de los presos y se le prohibió realizar llamadas telefónicas durante un tiempo por su
supuesta peligrosidad).
Evaluación
La primer fase del ciclo de la seguridad informática es la evaluación, en esta fase se analizan los
riesgos que pueden surgir con el sistema actual de seguridad, por lo cual se deben de determinar
las debilidades de seguridad.
• Auditorías
• Evaluación de vulnerabilidades
• Pruebas de penetración
• Revisión de aplicaciones.
Técnica y No Técnica.
• Seguridad exterior
• Seguridad de la basura
• Seguridad en el edificio
• Passwords
• Ingeniería social
Diseño
Una vez que se ha evaluado la empresa desde el punto de vista de la seguridad, se procede a
realizar un diseño sobre como llevar a cabo acciones para aminorar, disminuir y en algunos casos
eliminar los riesgos detectados en la fase anterior.
En primer lugar se deben de modificar las políticas débiles para fortalecerlas sobre lo que se hace
en la empresa, por ejemplo se pueden tomar en cuenta las siguientes preguntas:
• ¿Existen políticas que definen las prácticas que son y no son aceptadas?
Así mismo se deben de decidir los modos en los cuales se va a implantar la seguridad. Ya sea que
se trate en persona con cada uno de los trabajadores, por escrito a través de memorándums o a
través de la red en páginas internas o en el correo electrónico.
Así mismo se puede hacer uso de reuniones en salones de la empresa, utilizar medios de difusión
interna como artículos, boletines, noticias, vitrinas con información.
Implementar
Una vez que se ha determinado los planes y medios por medio de los cuales se va a llevar a cabo la
seguridad de informática, se procede a implantar, por lo cual este paso se denomina
implementación.
Dependiendo de lo que se vaya a realizar, algunas acciones son inmediatas como lo puede ser el
pegar carteles con consejos sobre seguridad.
Sin embargo otras acciones por su naturaleza deberán de realizarse de manera secuencial y por
bloques, por ejemplo en empresas grandes, las capacitaciones sobre seguridad informática
probablemente no se podrán dar a todo el personal en un solo momento, sino que deberán de
realizarse en bloques de departamentos.
Administración y Soporte
Esta es la última fase del ciclo y esta se da en aquellos casos en los cuales la seguridad en
informática no se ha dado a un punto que surge un incidente
Por lo anterior se debe de tener una política que indique la manera de actuar en determinado
incidente.
• Prácticas forenses.
Capacitación continua
A pesar de que la capacitación continua no forma parte de los pasos del ciclo de seguridad
informática, debe de estar en todos los pasos del mismo, es decir es un complemento
indispensable dentro del ciclo.
Lo anterior debido a que cada vez surgen más vulnerabilidades dentro de los programas o los
intrusos encuentran maneras para burlar las medidas de seguridad. Entre más capacitado se
encuentre el personal de la empresa, se tendrá una mejor seguridad informática.
ISO 27001.
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del
sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.
Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas
empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos
de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005
desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo
de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados
en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los
controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en
España como UNE-ISO/IEC 27001:2007.
Contenido resumido:
7. Auditorías internas del SGSI. cómo realizar las auditorías internas de control y cumplimiento.
8. Revisión del SGSI por la dirección. cómo gestionar el proceso periódico de revisión del SGSI por
parte de la dirección.
10. Objetivos de control y controles. anexo normativo que enumera los objetivos de control y
controles que se encuentran detallados en la norma ISO 27002:2005.
11. Relación con los Principios de la OCDE. anexo informativo con la correspondencia entre los
apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.
12. Correspondencia con otras normas. anexo informativo con una tabla de correspondencia de
cláusulas con ISO 9001 e ISO 14001.
ISO 27002.
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año
de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO
27002:2005.
Contenido resumido:
5. Evaluación y tratamiento del riesgo. Indicaciones sobre cómo evaluar y tratar los riesgos de
seguridad de la información.
8. Seguridad ligada a los recursos humanos. Antes del empleo; durante el empleo; cese del empleo
o cambio de puesto de trabajo.
11. Control de acceso. Requisitos de negocio para el control de acceso; gestión de acceso de
usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema
operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y
teletrabajo.
15. Cumplimiento. Cumplimiento de los requisitos legales; cumplimiento de las políticas y normas
de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de
información.
ISO 17799
El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la
seguridad de la información, se orienta a preservar los siguientes principios de la seguridad
informática:
Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no
autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la
requieran.
Estos principios en la protección de los activos de información constituyen las normas básicas
deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no
obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial
énfasis en algún dominio o área del estándar ISO 17799.
El ISO 17799 da la pauta en la definición sobre cuáles metodologías, normas o estándares técnicos
pueden ser aplicados en el sistema de administración de la seguridad de la información, se puede
entender que estos estándares son auxiliares y serán aplicados en algún momento al implementar
el mismo.
Antecedentes
Es importante entender los principios y objetivos que dan vida al ISO 17799, así como los
beneficios que cualquier organización, incluyendo las instituciones públicas, privadas y ambientes
educativos pueden adquirir al implementarlo en sus prácticas de seguridad de la información.
Por la necesidad generalizada de contar con un estándar de carácter internacional que permitiera
reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se
elaboró el estándar ISO17799:2000, basado principalmente en la primera parte del BS 7799
conocida como Código de Prácticas (BS 7799 Part 1: Code of Practice).
El éxito de la implementación del estándar de seguridad ISO 17799 requiere de una serie de
procedimientos donde, inicialmente, el análisis de riesgos identificará los activos de la información
y las amenazas a las cuales se encuentra expuesta.
Applicability, que es la definición de los controles que aplican a la organización con objeto de
proporcionar niveles prácticos de seguridad de la información y medir el cumplimiento de los
mismos.
A continuación, se describirán cada una de las diez áreas de seguridad con el objeto de esclarecer
los objetivos de estos controles.
Políticas de seguridad. El estándar define como obligatorias las políticas de seguridad
documentadas y procedimientos internos de la organización que permitan su actualización y
revisión por parte de un Comité de Seguridad.
Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una
organización, tales como un foro de administración de la seguridad de la información, un contacto
oficial de seguridad (Information System Security Officer – ISSO), revisiones externas a la
infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos.
Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del
personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del
personal que opera con los activos de información.
El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el riesgo
inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del
personal en materia de seguridad de la información.
Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que se puedan
establecer controles en el manejo de equipos, transferencia de información y control de los
accesos a las distintas áreas con base en el tipo de seguridad establecida.
Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de
información, que incluyen los procedimientos de administración de usuarios, definición de
responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.
Cada una de las áreas establece una serie de controles que serán seleccionados dependiendo de
los resultados obtenidos en el análisis de riesgos, además, existen controles obligatorios para toda
organización, como es el de las políticas de seguridad cuyo número dependerá más de la
organización que del estándar, el cual no establece este nivel de detalle.
BS 7799
Esta norma le ayuda a las empresas a proteger sus activos e información en todas sus formas,
electrónica y/o impresa, en términos de:
La confidencialidad, que asegura que sólo las personas autorizadas tengan acceso a la información.
La disponibilidad, que asegura el acceso de los usuarios autorizados a la información y a los activos
relacionados cuando es necesario.
La norma BS7799 es un amplio plan para la implementación efectiva de los niveles y controles para
la seguridad de la información. El conjunto de controles requeridos por la norma brinda a los
profesionales de tecnología de la información un modelo eficaz para el desarrollo de políticas y
procesos de seguridad de la información en todo el ámbito de las organizaciones. Esta presenta los
requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). De esta forma,
ayuda a identificar, administrar y minimizar la variedad de amenazas a las cuales está expuesta
regularmente la información en las empresas.
Está dividida en dos partes: La parte 1, que surgió en 1995 y fue modificada en 1999, es un
conjunto de controles que incluye las buenas prácticas de gestión de seguridad de la información.
Desde su publicación por parte de la Organización Internacional de Normas (ISO) en Diciembre de
2000, la ISO 17799 surge como la norma técnica de seguridad de la información más reconocida a
nivel mundial. La parte 2, denominada BS7799-2, y modificada en 2002, contiene la especificación
para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y
mejora de un SGSI documentado y basado en los controles y objetivos de control establecidos en
la primera parte. Es precisamente esta segunda parte que permite que las organizaciones puedan
certificarse.
La correcta aplicación de los controles definidos en la norma BS7799 permite a las empresas
presentarse a una auditoria de certificación de seguridad de la información. La certificación les
asegurará a los clientes y asociados que los niveles de la información en las redes, sistemas
empresariales y la gestión de la información es segura y confiable.
La norma ha tenido gran aceptación en muchos países como Holanda, Reino Unido, Australia,
Nueva Zelandia y Noruega. En el Reino Unido, por ejemplo, el gobierno recomendó como parte de
su Ley de Protección a la Información de 1998, que entró en vigencia el 1 de Marzo de 2000, que
las compañías Británicas utilicen BS7799 como método de cumplimiento de la Ley. Actualmente,
esta norma está siendo evaluada y analizada por importantes compañías en Latinoamérica.
La certificación BS7799 permite muchas ventajas operativas y estratégicas para las empresas. Una
empresa certificada con la norma BS7799 puede marcar un factor diferenciador y estratégico
frente a sus competidores no certificados. Si un cliente potencial tiene que escoger entre dos
servicios diferentes y la seguridad es un aspecto importante, por lo general optará por la empresa
certificada. Entre sus beneficios específicos se encuentran los siguientes:
Planeación más efectiva de la seguridad. Esta norma reúne 127 controles de seguridad en diez
áreas o secciones. Estos controles permitirán que las iniciativas en materia de seguridad sean más
completas, manejables y prácticas por sus costos.
Mayor confianza del cliente. Los clientes con una alta sensibilidad o manejo de información
altamente crítica buscan apoyo concreto en organizaciones que mantienen un alto perfil en
seguridad, así estableciendo mejores niveles de confianza entre empresas que tienen sus procesos
de seguridad debidamente certificados.
e-commerce más seguro. Esta normativa confiere a los vendedores una especie de compromiso
con la seguridad hacia los compradores que utilizan este tipo de tecnología para sus transacciones.