Está en la página 1de 44

Conceptos sobre Seguridad de la Informacin

Lima, Marzo de 2000

Elaboracin

Sub-Jefatura de Informtica Impreso en los Talleres de la Oficina de Impresiones de la Oficina Tcnica de Difusin Estadstica y Tecnologa Informtica del Instituto Nacional de Estadstica e Informtica Centro de Edicin del INEI 500 Ejemplares Av. Gral. Garzn N 658 Jess Mara, Lima 11 250 - OTDETI - INEI

Diagramacin Edicin Domicilio Orden N

: : : :

Seguridad de la Informacin

Presentacin
El Instituto Nacional de Estadstica e Informtica (INEI), en el marco del plan de accin diseado para sensibilizar y promover la Seguridad de la informacin en las Entidades Pblicas y Privadas, pone a disposicin el presente nmero titulado Conceptos sobre Seguridad de la Informacin El concepto de la seguridad de la informacin es amplio, debido a la gran cantidad de factores que intervienen, sin embargo es posible dar una aproximacin a la definicin y se puede decir que la seguridad es el conjunto de metodologas, documentos, programas y dispositivos fsicos encaminados a lograr que la informacin disponible en un ambiente dado, tengan acceso nica y exclusivamente quienes tengan la autorizacin para hacerlo. As mismo la publicacin describe las diversas tcnicas y herramientas disponibles para proteger la informacin tales como los cortafuegos o firewalls, claves de acceso, encriptacin, seguridad en los sistemas operativos y biometria entre otros. Otro aspecto importante que se trata en este libro est relacionado a la importancia de los Planes de Seguridad informticos y la Implementacin de auditoras para evaluar y controlar su cumplimiento as como la elaboracin de Planes de Contingencia. El Instituto Nacional de Estadstica e Informtica INEI, pone a disposicin de las entidades de la administracin pblica y privada la presente publicacin esperando contribuir al conocimiento y al desarrollo de la Cultura informtica en el Pas.

Econ. Flix Murillo Alfaro Jefe ESTADISTICA E INFORMATICA INSTITUTO NACIONAL DE

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Contenido
1. 2. 3. 4. Introduccin .................................................................................................................... 7 Seguridad de la Informacin ............................................................................................. 9 Las Tecnologas de Informacin en la Actualidad............................................................. 11 Vulnerabilidad de los Sistemas Informtico ....................................................................... 14 4.1 Amenazas a la Seguridad de la Informacin ............................................................ 14 4.2 Amenazas por Internet ......................................................................................... 16 4.3 Virus Informticos ................................................................................................ 18 4.3.1 Tipos de Virus Informticos ......................................................................... 20 4.3.2 Otras formas de Virus Informticos .............................................................. 20 Sistemas de Seguridad.................................................................................................... 22 5.1 Firewalls (cortafuegos)........................................................................................... 22 5.1.1. Alcances de los Firewalls ............................................................................. 22 5.1.2. Limitaciones de los Firewalls ........................................................................ 23 5.2 Encriptacin ....................................................................................................... 23 5.2.1. Criptologa ................................................................................................. 25 5.2.2. Criptografa................................................................................................ 25 5.2.2.1 Sistemas de Cifrados...................................................................... 26 5.3 Esteganografa ..................................................................................................... 30 5.4 Biometra ............................................................................................................ 30 Seguridad en los Principales Sistemas Operativos ............................................................. 32 6.1 Seguridad en Windows 200 .................................................................................. 32 6.2 Seguridad en Novell.............................................................................................. 32 6.3 Seguridad en Unix................................................................................................ 33 Seguridad en el Comercio Electrnico ............................................................................. 35 7.1 PKI ..................................................................................................................... 36 7.2 Seguridad para aplicaciones del Web...................................................................... 37 7.3 Seguridad para correo electrnico ......................................................................... 37 Plan de Contingencia ..................................................................................................... 38 Plan de Seguridad de la Informacin................................................................................ 40 Auditora de Seguridad Informtica como elemento de control........................................... 42 Bibliografa ................................................................................................................... 44

5.

6.

7.

8. 9. 10. 11.

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

1. Introduccin
En la actualidad las empresas utilizan con ms frecuencia las computadoras para manejar y almacenar su informacin vital que constituye el activo mas valioso, esto les trae muchos beneficios, pero tambin los hace vulnerables a los diferentes delitos que se pueden cometer por medio de las computadoras si no se cuentan con un sistema de seguridad. Entre ellos, se pueden mencionar el robo, destruccin o modificacin de informacin, fraude, etc. Que son realizados por personas con algn conocimiento de computacin, ya sea dentro o fuera de la empresa. Esta situacin hace que las empresas estn invirtiendo una parte de su presupuesto en la seguridad y proteccin de la informacin que maneja. Hoy en da, existen varias tcnicas y herramientas para proteger la informacin, entre ellas cabe mencionar la implantacin de polticas de seguridad tales como el uso de cortafuegos, claves de acceso, encriptacin y codificacin de mensajes, entre otros. Uno de los principales peligros hoy en da corresponde a los llamados Hacker, el trmino HACKER (que en castellano significa "Cortador"), son personas con conocimientos de informtica que elaboran programas y son capaces de descubrir los cdigos de acceso a los sistemas, puertos libres sin control, errores en los sistemas operativos o alguna ventaja que le brinden los sistemas. De esta forma, logran ingresar a los sistemas informticos de las organizaciones. Una de las formas mas comunes, consiste en la creacin de programas que desencriptan o identifican las contraseas de acceso a la informacin, eliminando de esta manera la proteccin de los sistemas. Otra forma, que algunos llaman "Caballo de Troya", consiste en introducir dentro de un programa, un conjunto de instrucciones o rutinas, que actan en forma imprevista, llegando en algunos casos a borrar la informacin del disco duro. Otra forma que utilizan los hackers, consiste en invadir la red con gran cantidad de trfico o mltiples mensajes hasta lograr que colapse. Las acciones de los crackers pueden ir desde simples destrucciones, como el borrado de informacin, hasta el robo de informacin sensible que se puede vender, denominado "robo econmico". Entre estos podemos diferenciar dos tipos que los norteamericanos distinguen entre "chicos buenos" y "chicos malos". Los chicos buenos como algunos hackers, buscan los agujeros de seguridad en los sistemas (una lnea mal escrita entre las miles que forman los programas) y avisan del fallo a las empresas. Los chicos malos como los crackers, son los que buscan alterar y/o hurtar la informacin que consiguen cuando rompen los sistemas de seguridad de las computadoras.

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Otros problemas que afectan la seguridad de la informacin son la proliferacin los Virus informticos. Actualmente existen programas antivirus que estn diseados para buscar virus, identificarlos, notificar a los usuarios de su existencia y eliminarlos de los discos o archivos infectados. Los sistemas de seguridad se han creado para proteger nuestra intimidad y otros derechos individuales. Sin embargo, en ocasiones estos procedimientos de seguridad amenazan dichos derechos. Los estndares de seguridad (tales como la encriptacin) y libertad de las computadoras generan importantes problemas de carcter jurdico legal y tico. Los delitos por computadora y alta tecnologa hacen que en ocasiones sea imposible pensar en los conceptos de derecho tradicionales y ms an el expresarse con el lenguaje tradicional; esto crea nuevas e inquietantes preguntas para los abogados a veces difciles de responder, por tal motivo es necesario prevenir al pblico en general sobre la realidad de este nuevo fenmeno delictivo y crear conciencia sobre la importancia de delinear e implementar polticas y medidas de seguridad de manera integral en las entidades y personas que manejan informacin. Gran parte de los problemas se encuentra en la inaccin de la vctima potencial por desconocimiento o por no haber tomado las medidas preventivas; las organizaciones que dependen cada vez mas de las computadoras, deben llegar a tener conciencia de que la implantacin de medidas de seguridad mas que un gasto, son una inversin. Se est haciendo aportes a la doctrina jurdica para que tanto los abogados como otras personas interesadas tengan una fuente a donde acudir, para lo que sin lugar a dudas ser una de las ramas del derecho de mayor desarrollo en los prximos aos, el derecho relacionado al uso de la informacin por computadora. Nuestros legisladores estn tomando en cuenta la necesidad de la elaboracin de leyes que incriminen y castiguen adecuadamente los llamados crmenes y delitos informticos, alta tecnologa y otras infracciones relacionadas.

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

2. Seguridad de la Informacin

Definir la seguridad de la informacin es complejo, debido a la gran cantidad de factores que intervienen. Sin embargo es posible dar una aproximacin a la definicin y se puede decir que la seguridad es el conjunto de recursos (metodologias, documentos, programas y dispositivos fsicos) encaminados a lograr que los recursos de computo disponibles en un ambiente dado, tengan acceso nica y exclusivamente quienes tengan la autorizacin para hacerlo. Existe una medida cualitativa para la seguridad que dice: Un sistema es seguro, si se comporta como los usuarios esperan que lo haga. La computadora es un instrumento que maneja grandes volumenes de informacin, los cuales pueden ser mal utilizados por personas intrusas o no autorizadas. La complejidad creciente y el alcance del uso de las computadoras en una organizacin ha propiciado que los sistemas de almacenamiento y divulgacin de informacin se encuentren en manos de unas cuantas personas, las cuales al efectuar su trabajo y concentrarse ms que nada en ello, no realizan controles adecuados en el uso de los mismos, es decir, en estos sistemas. El punto de vista tradicional sobre seguridad otorga mayor atencin a los aspectos de seguridad clsicos, como son: el acceso fsico, y la seguridad de los datos. Ahora bien, este enfoque pareca funcionar cuando las operaciones de cmputo de una entidad estaban centralizadas, hoy en da esta situacin ha cambiado. Estamos en la era del procesamiento distribuido o interconectividad informtica. La actualidad exige nuevas tcnicas del manejo de informacin que agilice el intercambio de datos, puesto que cada sector que necesita informacin al instante debe contar con un terminal eficiente, y no solicitar los datos al centro de cmputo y esperar que el personal a cargo se la otorgue. Actualmente el concepto de centralizacin de la informacin puede considerarse antiguo. Para que una organizacin logre una inmersin exitosa, salvo algunos casos excepcionales, debe estar acorde a la globalizacin de la informacin, dndose a conocer al mundo y estableciendo una comunicacin integral entre clientes actuales y potenciales. Tomando en cuenta los prrafos anteriores, se requiere un enfoque amplio que abarque cierto nmero de aspectos relacionados entre s de manera metdica, agrupndolos convenientemente. El escrutinio cuidadoso de estas reas revelar que ninguna de ellas es, por s sola, de importancia exclusiva. Pero puede darse el caso que en una instalacin especfica, pueda tener mayor relevancia y, consecuentemente, requerir mayor atencin. Sin embargo si se incurre en el error de excluir una de estas reas se dejaran vacos o poros en las estructuras referentes a administracin y control de la seguridad. El enfoque propuesto, el cual abarca metdicamente todas estas reas se denomina Seguridad Total. Esto indica que en toda organizacin debe existir un sistema de Seguridad de Informacin y un personal responsable que este a cargo de la direccin para la aplicacin adecuada, metdica, organizada y controlada de las polticas y procedimientos de seguridad fsica y lgica de la organizacin como as tambin de los recursos involucrados para la consecucin de los objetivos de la compaa. La seguridad debe ser tratada como una lnea y como una funcin

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

personal de la organizacin. Debe haber consenso de que la misma involucre a toda la compaa nivel por nivel. La funcin bsica del director de seguridad de la informacin es ayudar a la gerencia a hacer que su propia seguridad sea fcil de llevar. Se tendr cuidado de no asignar responsabilidades al administrador que son propiamente de la gerencia. A continuacin se presenta una lista de principales funciones para el responsable de la seguridad de la informacin : ! Proveer un apoyo administrativo directo para la instalacin de los sistemas de seguridad que aseguren el uso de todos los sistemas en lnea. ! Establecer objetivos para el desarrollo futuro de los sistemas de seguridad a medida que vayan evolucionando los sistemas en lnea. ! Determinar los requisitos de recursos especiales, tales como recursos humanos, capacitacin, equipamiento y planes de desarrollo, programas de seguridad y los presupuestos relacionados a la seguridad. ! Negociar con niveles mltiples de programacin de apoyo de la gerencia para asegurar la integracin de los objetivos de seguridad asignados, con la estrategia de procesamiento de datos a largo alcance. ! Analizar continuamente y evaluar las alternativas de seguridad para determinar que lnea de accin debe seguir basada en las implicaciones tcnicas, conocimiento de los objetivos del negocio y la poltica de proteccin de activos corporativos, procedimientos y requerimientos. ! Asegurar que los proyectos asignados esten alineados con los objetivos de seguridad corporativa y sean completados de acuerdo con el programa dentro de los gastos consignados; informar a la gerencia tan pronto como sea posible de los problemas que podra materialmente afectar los objetivos, programas y gastos; sugerir soluciones alternativas. ! Supervisar el uso de todos los sistemas en lnea para descubrir y actuar sobre los accesos desautorizados, y uso de los datos del propietario del negocio. ! Dirigir auditoras de seguridad, participar en evaluaciones de seguridad y proveer gua y asistencia, como es debido, para facilitar la realizacin de los programas de proteccin del patrimonio de la institucin. ! Revisar los esfuerzos de documentacin asociados con diversos sistemas de seguridad.

10

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

3. Las Tecnologas de la Informacin en la Actualidad

La situacin actual de las "Tecnologas de la Informacin"; informtica, electrnica y telecomunicaciones, muestran que es posible capturar, almacenar, procesar y transmitir informacin con muy pocas limitaciones en cuanto a volumen, tipo, velocidad, distancia y costo. Esto ha sido durante mucho tiempo difcil y costoso, porque era necesario un transporte del soporte material de la informacin, slo aliviado para las situaciones de proximidad fsica. Comprese, por ejemplo, el intervalo de un mes necesario hace cien aos para enviar un mensaje de Europa a Amrica, con los pocos segundos que bastan hoy empleando correo electrnico o fax. Como sabemos, la relacin social se apoya en la comunicacin, la consecuencia va a ser la alteracin de muchos aspectos fundamentales de la estructura y las funciones de la sociedad, incidiendo directamente en el modo de entender de los grupos sociales, los smbolos, la propiedad, la enseanza, el trabajo y el ocio. Se est pasando de una situacin en que la informacin era difcil de obtener y de manejar, a otra totalmente opuesta; habr que pasar igualmente de una cultura de escasez a otra de abundancia de informacin. Ahora se puede notar que los cambios estn ocurriendo a un ritmo especialmente rpido, porque las distintas tecnologas han llegado a un punto de convergencia en el cual se aplican sinrgicamente (sinergia: accin concertada de varios rganos para realizar una funcin) y de forma generalizada. Aunque es difcil predecir en detalle las consecuencias, s es posible identificar qu aspectos sociales se van a ver afectados. Si hacemos un anlisis previo, la Electrnica, la Informtica y las Telecomunicaciones no son nuevas tecnologas, estas se han ido desarrollando progresivamente en el ltimo siglo y medio. El telgrafo tiene 150 aos, el telfono y la informtica ms de cien, la televisin y los circuitos integrados unos cincuenta. En este tiempo, la Electrnica ha conseguido enormes capacidades de clculo, de proceso y de almacenamiento de datos, y ponindolas en el mercado a precios reducidos; la Informtica permite ofrecer programas eficaces para aplicaciones personales, administrativas e industriales, tcnicas eficientes de codificacin y compresin de datos; y las Telecomunicaciones llegan a todas partes y permiten la transmisin de grandes cantidades de informacin, gracias a la extensin de las redes por cable y por ondas. La influencia de todas ellas en la actividad social resulta evidente. Tras ese perodo de desarrollo paralelo, en este ltimo lustro han llegado a un punto de convergencia en el cual, por primera vez, las tres tecnologas se pueden utilizar en coordinacin, de tal forma que los lmites entre una y otra empiezan a resultar difusos: televisin por cable, telfono por computadora, teletexto, Internet. La clave de esta sinergia est en la digitalizacin de las telecomunicaciones, que permite su tratamiento informtico.

Instituto Nacional de Estadstica e Informtica

11

Seguridad de la Informacin

Un ejemplo que ilustra adecuadamente las diferencias en los elementos de comunicacin es el siguiente: El sistema hormonal, basado en sustancias que viajan de una parte del organismo a otra por distintas vas, es limitado en cuanto a velocidad y capacidad. El sistema nervioso, por el que slo circula la informacin, supera esas limitaciones, resulta mucho ms gil y permite funciones mucho ms complejas. Tecnologas y servicios Si hacemos un resumen de lo expuesto anteriormente podemos decir que las tcnologas de informacin y comunicacin siguen evolucionando rpidamente, a pesar de la falta de consenso sobre los productos o servicios especficos que tendrn xito y por cunto tiempo. Estamos experimentando una avalancha de innovacin caracterizada no tanto por una tecnologa o ciencia nica, sino ms bien por el conjunto de varias tecnologas y servicios que se complementan. Producto de este desarrollo hoy contamos con programas mas accesibles y de facil utilizacin, pantallas de contacto, teclados y lenguajes sencillos que han hecho posible la diversidad, el manejoy acceso cada vez masivo y menos especializado. En el centro de esta innovacin tecnolgica se encuentra el microprocesador, que provee control y memoria. Los microprocesadores se pueden hallar en cada dispositivo mecnico y electrnico, desde las unidades de control (por ejemplo: seales de trfico) hasta artefactos domsticos como el horno microondas. Informacin y Tecnologas de la informacin Para muchas organizaciones , la informacin y la tecnologa que la soporta, representan los activos mas valiosos, y un elemento crtico para el xito y la supervivencia de las organizaciones es la administracin efectiva de la informacin y las tecnologas de la informacin relacionada. En esta sociedad esta criticidad emerge de: " La creciente dependencia de informacin y en los sistemas que proporcionan dicha informacin " La creciente vulnerabilidad y un amplio espectro de amenazas " La escala y el costo de las inversiones actuales y futuras en informacin y Tecnologas de Informacin " El impacto de las tecnologas de informacin para cambiar las organizaciones y las prcticas del negocio, crear nuevas oportunidades y reducir costos. Al constituirse la informacin en el recurso fundamental de toda organizacin requiere de esta cuente con un conjunto de medidads de seguridad orientados prioritariamente a proteger las siguientes propiedades de la informacin. ! Confidencialidad: Se define como la "condicin que asegura que la informacin no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados". La informacin debe ser accesada y manipulada nicamente por quienes tienen el derecho o la autoridad de hacerlo. A menudo se la relaciona con la Intimidad o Privacidad. ! Integridad: Se define como la "condicin de seguridad que garantiza que la informacin es : modificada, incluyendo su creacin y borrado, slo por el personal autorizado". La integridad est vinculada a la fiabilidad funcional del sistema de informacin (la eficacia para cumplir las funciones del sistema de organizacin soportado por aqul). La informacin debe ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la
12
Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Integridad es la modificacin no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar. El concepto de calidad de la informacin de no fallas, confiable,se encuentra incluido en esta propiedad, considerando que se traslapa con el aspecto de disponibilidad relacionadas a la seguridad y tambien en alguna medida relacionada a la efectividad y eficienca. Los medidas y polticas de seguridad implementadas en la organizacin deben eliminar toda posibilidad que los datos puedan ser modificados. Como ejemplo podemos mencionar la presencia de los hackers o intrusos. ! Disponibilidad: Se define como el "grado en el que un dato est en el lugar, momento y forma en que es requerido por el usuario autorizado. Situacin que se produce cuando se puede acceder a un Sistema de Informacin en un periodo de tiempo considerado aceptable". Se asocia a menudo a la fiabilidad tcnica (tasa de fallos) de los componentes del sistema de informacin. La informacin debe estar en el momento que el usuario requiera de ella. Un ataque a la disponibilidad es la negacin de servicio proveniente de un centro de informacin. ! Autenticacin: Se define como "el mecanismo que permite conocer si la persona que esta : accediendo a un sistema, es realmente quien debe acceder y no un extrao". Se refiere tambin a los mecanismos que se utilizan por ejemplo en temas como el correo electrnico para garantizar la autenticidad del remitente (un mecanismo son las firmas digitales). Para poder salvaguardar las caractersticas y propiedades de la informacin, ser necesario tener algunas consideraciones como : " Para leer datos y modificar un registro, etc. ser necesario saber de quien se trata y si la persona est autorizada. Por lo tanto ser preciso identificar a la persona o usuario (Identificacin) de forma totalmente fiable (Autenticacin o Verificacin), y consultar un archivo, base de datos y/o algoritmo que nos permita verificar que al persona tiene o no autorizacin para realizar la accin demandada (Autorizacin). Se debe establecer un sistema para identificar a las personas o usuarios (Gestin de la identificacin) Se debe definir un sistema para autentificar al usuario (uso de contraseas), y que para cada usuario se haya definido una tabla de permisos. Cuando el usuario intente entrar en el sistema, deber dar su identificacin, que el sistema verificar si la tiene en sus tablas (Comprobacin del Identificador), realizar la operacin pertinente para demostrar que es quien dice ser (dar su contrasea) y, el sistema comprobar que este autenticador corresponde al identificador indicado (Autenticacin). Cuando el usuario intente acceder a un recurso, el sistema verificar si este usuario tiene o no el permiso correspondiente, o que su nivel y categora le permiten realizar la accin demandada.

" "

El administrador de seguridad ser el encargado de introducir los datos de los privilegios al sistema. Los privilegios pueden darse individualmente a una persona o bien a un grupo de personas con las mismas caractersticas. Tambin hay sistemas en los que un usuario normal da la autorizacin a un tercero sin la necesidad del administrador de seguridad.

Instituto Nacional de Estadstica e Informtica

13

Seguridad de la Informacin

4. Vulnerabilidad De Los Sistemas Informaticos

Es frecuente que cada semana la prensa especializada en los sistemas de informacin hablen de otro fallo de seguridad: un virus que se aprovecha de las macros que manejan las herramientas del Office de Microsoft, una vulnerabilidad en Windows o UNIX, un problema de Java, un agujero de seguridad en una de las pginas principales de Internet, un ataque contra un popular cortafuegos. Una forma comn de "probar" la seguridad es realizar revisiones de seguridad. Esto es un proceso manual costoso y requiere de un tiempo. No es suficiente comprobar los protocolos de seguridad y los algoritmos de cifrado. Una revisin debe cubrir especificacin, diseo, aplicacin, cdigo fuente, funcionamiento, y todo lo dems. As como la prueba funcional no puede demostrar la ausencia de errores, una revisin de seguridad no puede demostrar que el producto sea realmente seguro. Tomemos el siguiente ejemplo: Una revisin de seguridad de la versin 1.0 dice poco sobre la seguridad de la versin 1.1. Una revisin de seguridad de un producto del software aislado no sirve necesariamente para el mismo producto en un ambiente operacional. Y cuanto ms complejo sea el sistema, ms compleja se vuelve una evaluacin de seguridad y posiblemente habr mas fallos de seguridad. Pensemos en el supuesto que un producto de software se desarrolla sin ninguna comprobacin funcional en absoluto. Ninguna comprobacin funcional de las versiones alfa o beta. Se escribe el cdigo, se compila, y se enva. Las posibilidades de que este programa simplemente funcione incluso dejando de lado que est libre de errores es cero. A medida que aumenta la complejidad del producto, aumentar el nmero de errores. Todos sabemos que las pruebas son esenciales. Los productos se vuelven ms complejos cada ao, los sistemas operativos son ms grandes, tienen ms caractersticas, ms interacciones entre los diferentes programas en Internet. Windows NT lleva buen tiempo funcionando y todava se descubren errores de seguridad. El incremento en el uso de las computadoras y la convergencia en Internet, estn aumentando a un ritmo creciente. Los sistemas se estn convirtiendo en ms y ms complejos, y en alguna medida inseguros. 4.1. Amenazas a la seguridad de la Informacin Se define como amenaza, a una condicin del entorno del sistema de informacin (persona, mquina, suceso o idea) que, dada una oportunidad, podra dar lugar a que se produzca una violacin de la seguridad (confidencialidad, integridad, disponibilidad o uso legtimo). La poltica de seguridad y el anlisis de riesgos habrn identificado las amenazas que han de ser contrarrestadas, dependiendo del diseador del sistema de seguridad.

14

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Las amenazas a la seguridad en una red pueden presentarse en el flujo de informacin desde una fuente ( como por ejemplo un archivo o una regin de la memoria principal) a un destino (como por ejemplo otro fichero o un usuario). Un ataque no es ms que la realizacin de una amenaza. Las cuatro categoras generales de amenazas o ataques son las siguientes: ! Interrupcin: Se produce cuando un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destruccin de un elemento hardware, como un disco duro, cortar una lnea de comunicacin o deshabilitar el sistema de gestin de archivos. ! Interceptacin: Una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podra ser una persona, un programa o una computadora. Ejemplos de este ataque son tan simples como hacer click en una lnea para tomar los datos que circulan por la red y la copia ilcita de archivos o programas (interceptacin de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o ms usuarios implicados en la comunicacin observada ilegalmente (interceptacin de identidad). ! Modificacin: Una entidad no autorizada no slo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alteracin de un programa para que funcione de forma diferente, modificacin el contenido de mensajes que estn siendo transferidos por la red entre otros. ! Fabricacin: Una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la insercin de mensajes triviales en una red o aadir registros a un archivo. Estos ataques se pueden asimismo clasificar de forma til en trminos de ataques pasivos y ataques activos. Ataques pasivos En los ataques pasivos el atacante no altera la comunicacin, sino que nicamente la escucha o controla, para obtener informacin que est siendo transmitida. Sus objetivos son la interceptacin de datos y el anlisis de trfico, una tcnica ms sutil para obtener informacin de la comunicacin, consiste en: " " " " Obtencin del origen y destinatario de la comunicacin, leyendo las cabeceras de los paquetes controlados. Control del volmen de trfico intercambiado entre las entidades controladas, obteniendo as informacin acerca de actividad o inactividad inusuales. Control de las horas habituales de intercambio de datos entre las entidades de la comunicacin, para extraer informacin acerca de los perodos de actividad. Los ataques pasivos son muy difciles de detectar, ya que no provocan ninguna alteracin de los datos. Sin embargo, es posible evitar su xito mediante el cifrado de la informacin y otros mecanismos que se vern ms adelante.
15

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Ataques activos Los ataques activos implican algn tipo de modificacin del flujo de datos transmitido, o la creacin de un falso flujo de datos, pudiendo subdividirse en cuatro categoras: ! Suplantacin de Identidad: El intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticacin pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, esto es posible al sustraer la contrasea de acceso a una cuenta. ! Repeticin Indeterminada: Uno o varios mensajes legtimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada. ! Modificacin de Mensajes: Una porcin del mensaje legtimo es alterado, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje Ingresa 10 mil soles en la cuenta A podra ser modificado para que diga Ingresa 100 mil soles en la cuenta B. ! Degradacin fraudulenta del servicio: Impide o inhibe el uso normal o la gestin de recursos informticos y de comunicaciones. Por ejemplo, el intruso podra suprimir todos los mensajes dirigidos a una determinada entidad o se podra interrumpir el servicio de una red inundndola con mensajes triviales. Entre estos ataques se encuentran los de negacin de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc. 4.2 Amenazas por Internet Los peligros por Internet son cada vez mas complejos y van en aumento tal es as que los sistemas de seguridad se ven minimizados por la presencia de nuevos virus y personas con un alto conocimiento de Informtica capaces de burlar cualquier sistema de seguridad teniendo como lugar de refugio a Internet. No existe ningn tipo de seguridad en la gran red de redes, debido a que se penso en una estructura simple cuando se cre Arpanet. En Internet existen, principalmente internautas que se pasan largas horas delante de la computadora buscando atractivas imgenes, otros simplemente buscan algn tipo de informacin para terminar un trabajo, otros buscan temas de entretenimiento y diversin, pero una pequea minora se pasa largas horas tratando de romper los sistemas de seguridad, con el nico fin de lograr sus objetivos basados en satisfacciones personales. Entrar en un lugar supuestamente seguro, los que lo consiguen simplemente se llenan de alegra, una diminuta minora se queda en el lugar y altera todo lo que ve a su paso. Dentro de esta galera de personajes podemos nombrar a los sencillos internautas, los Hackers, Crackers o los Lamers entre un conjunto de intelectuales expertos en temas informticos, que describiremos a continuacin.

16

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Hacker El Hacker es una persona con conocimientos de electrnica e informtica, que prueba y modifica las cosas que tiene entre sus manos y se pasa largas horas pensando en ello. Existen dos tipos de Hackers, los Hackers en si y los Hardware Hackers. El primero de ellos practica con las computadoras, el segundo con la electrnica. Pero ambos conocen bastante ambos extremos, ya que le son tiles tener conocimientos electrnicos e informticos. Al Hacker le entusiasma todo lo que rodea la tecnologa, la telefona celular, las computadoras, las tarjetas de crdito electrnicas o los Satlites. Normalmente lee demasiadas revistas y estudia pesados libros de tcnica. Los Crackers Los Crackers en realidad son Hackers, pero con intenciones que van mas all de experimentar en casa, que se dedica nica y exclusivamente a destruir sistemas electrnicos o informticos. Alcanza satisfaccin cuando logra destruir un sistema y esto se convierte en una obsesiva compulsin y aprovecha la oportunidad para demostrar al mundo de sus conocimientos y que son capaces quebrantar los sistemas de seguridad. Los Gurs Son los maestros y ensean a los futuros Hackers. Normalmente se trata de personas adultas, porque la mayora de Hackers son personas jvenes, que tienen amplia experiencia sobre los sistemas informticos o electrnicos y estn de alguna forma all, para ensear o sacar de cualquier duda al joven aprendiz. Es como una especie de profesor que tiene a sus espaldas unas cuantas medallas que lo identifican como el mejor de su serie. El gur no esta activo, pero absorbe conocimientos ya que sigue practicando para conocimientos propios y solo ensea las tcnicas mas bsicas. Los Lamers Estos personajes son peligrosos, no tienen conocimientos y creen tener el mundo en sus manos. Si cae en sus manos un programa generador de Virus, este, lo suelta en la red sin comprender el dao que puede causar. Es el tpico tipo que se pasa la vida molestando a los dems, enviando bombas lgicas o Virus por la Red. Los CopyHackers Pertenecen a una nueva generacin de falsificadores. Obtienen lo que les interesa y se lo venden a alguien sin escrpulos que comercializar el sistema posteriormente. Estas personas quieren vivir del cuento y son obsesivas. Suelen leer todo lo que hay en la Red y las revistas tcnicas en busca de alguna persona que sabe algo. Despus se pone en contacto con esta persona y trata de sacarle la idea. Cuando lo consigue, no tiene escrpulos en copiarlo, llevarlo a cabo y vendrselo a otra persona denominado bucanero.

Instituto Nacional de Estadstica e Informtica

17

Seguridad de la Informacin

Los bucaneros Se trata de comerciantes, por que venden los productos comprados a los Copy Hackers productos como ultimos programas de aplicacin crackeados. Suelen ser personas sin ningn tipo de conocimientos ni de electrnica ni de informtica, pero si de negocios. El bucanero compra al CopyHacker y revende el producto bajo un nombre comercial. En realidad es un empresario con mucha obsesin a ganar dinero rpido y de forma desonesta. El Newbie Que significa novato, persona que aprende lentamente, se introduce en un sistema fcil y a veces fracasa en el intento, porque ya no se acuerda de ciertos parmetros y entonces tiene que volver a visitar la pagina web para seguir las instrucciones de nuevo. Es el tpico tipo, simple y nada peligroso. Wannaber Toda aquella persona que quiere ser Hacker, pero su capacidad intelectual y conocimientos es insuficiente, no consigue aprender nada y se exprime al mximo. Y al final nunca logra nada, sin embargo, posee paciencia y actitud positiva. De lo contrario se sumergira en una grave depresin. Piratas informticos A menudo confundidos con Hackers, los piratas informticos son aquellos que simplemente hacen click sobre el icono copiar a disco. El programa y la grabadora hacen el resto del trabajo. Una vez copiado el programa lo vende. Este es quizs el mas peligroso de todos en cuanto a derechos de copyright, ya que estafa y crea copias ilegales de soportes audiovisuales. Phreakers Son individuos con amplios conocimientos de los sistemas de telefona, incluso mas que los propios tcnicos de las compaas telefnicas. Estos tipos han sabido crear todo tipo de cajas de colores con una funcin determinada. Por ejemplo la caja azul permite realizar llamadas gratuitas, ya que emula el tono de 2600 Hz para desactivar el contador de la centralita. Actualmente se preocupan mas de las tarjetas prepago, que de estas cajas, ya que suelen operar desde cabinas telefnicas o mviles. 4.3 Virus Informticos Una de las principales amenazas de la red mundial son los virus, que son programas capaces de autoreplicarse o dicho de otra manera, son capaces de autocopiarse en otro archivo al que ocupa. Este mtodo bloquea y llena el disco duro de una PC. Otros virus, adems poseen funciones de modificaciones en los principales ficheros del sistema operativo de la computadora. Pero los hay tambin benignos que solo muestran mensajes en la pantalla. Nos detendremos a estudiar los diferentes tipos de virus y analizaremos algunos de ellos, como para
18
Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

tenerlos en cuenta. Los virus poseen unas particularidades que los hacen perfectamente reconocibles por la forma en que trabajan, los virus poseen un proceso de creacin, incubacin y reproduccin. Tiempo de vida Los virus se crean o nacen, en la computadora del creador como subprograma o microprograma ejecutable. Despus se suelta en la red o se copia dentro de un programa comercial de gran difusin, para asegurar un contagio rpido y masivo. Despus de esta primera fase de creacin, vienen las fases mas importantes tales como contagio, incubacin replicacin y ataque. El contagio El contagio es quizs la fase mas fcil de todo este arduo proceso. Solo hay que tener en cuenta que el virus debe introducirse o soltarse en la red. El virus debe ir incrustado en un archivo de instalacin o en una simple pagina WEB a travs de los cookies. Las vas de infeccin son tambin principalmente los disquetes, programas copiados, Internet o el propio correo electrnico. La incubacin Generalmente los virus se crean de formas especificas que atienden a una serie de instrucciones programadas como el esconderse y reproducirse mientras se cumplen unas opciones predeterminadas por el creador del virus. As, el virus permanece escondido reproducindose en espera de activarse cuando se cumplan las condiciones determinadas por el creador. Este proceso puede ser muy rpido en algunos casos y bastante largo en otros, segn el tipo de virus. La replicacin La replicacin consiste en la produccin de una copia de si mismo, que se situar en otro archivo distinto al que ocupa. De esta forma el virus se contagia en otros archivos y otros programas, asegurndose de que el proceso de multiplicacin esta asegurado. Adems, el virus asegura su extensin a otras computadoras y debe hacerlo de la forma mas discreta y rpida posible. En este momento el virus no se manifiesta, ya que solo se instala en todos los lugares posibles. Solo de esta forma, hay mas posibilidades de daar un mayor numero de computadoras. El ataque Cuando se cumplen las condiciones, efectuadas por el creador del virus, este entra en actividad destructora. Aqu es donde formatea el disco duro o borra archivos con extensin COM o EXE por citar algunos ejemplos. El ataque es el escaln final del trabajo del virus. Cuando se llega a este punto el trabajo ha culminado. La computadora se encuentra infectada y si no se dispone de un programa que elimine el virus, jamas se podr recuperar los archivos. Podemos instalar de nuevo el software, pero de nuevo tendremos la destruccin de nuestra unidad nada mas se cumplan los acontecimientos antes citados. Estos programas capaces de destruir el virus, se denominan vacunas antivirus.

Instituto Nacional de Estadstica e Informtica

19

Seguridad de la Informacin

4.3.1. Tipos de virus Informticos Internet aporta, lo que se podra decir una va rpida de infeccin de este tipo de programas dainos. Antes, la distribucin o infeccin de los virus, era algo mas que una tarea lenta y ardua, ya que solo se contagiaban a travs de disquetes. Entre algunos tipos de Virus conocidos podemos mencionar: " Virus de arranque o Virus de Boot. Los Virus de boot o de arranque eran hasta los 90 los tpicos virus que infectaban el sector de arranque del disco y estos eran introducidos a la computadora a travs de disquetes. El modo de funcionamiento es bsico, al arrancar la computadora, el virus se instalaba en la memoria RAM antes que los ficheros del sistema INI. Para no ser detectados, estos virus de Boot, se copiaban a si mismos en otro lugar del disco duro, con el fin de no ser descubiertos. Virus de Macro. Los virus de Macro estn mas elaborados y son virus escritos a partir del macrolenguaje de una aplicacin determinada. Virus polimrficos. estos virus son capaces de cambiar de estado o la propia cadena de datos. De esta forma el mismo Virus puede verse dividido en varias secciones repartidas en varios ficheros, pero a causas naturales acta como tal. Estos virus pueden estar encriptados y muy bien repartidos por decenas de ficheros, con lo cual se convierten en los virus mas peligrosos, dado que pueden ser programas largos. Virus multiparte. estos virus estn conformados a base de Virus tipo boot que operan desde la memoria y virus de Fichero, que infectan extensiones ejecutables. Estos Virus tambin pueden burlar los modernos mtodos heursticos de bsqueda de los programas antivirus.

"

4.3.2. Otras formas de Virus Informticos A la lista de virus anteriormente comentados podemos aadir algunos mas que revisten importancia por su presencia en Internet : Los caballos de Troya Son programas que normalmente ocupan poco espacio y se ocultan a voluntad en el interior de un ejecutable. Este subprograma se coloca en un lugar seguro de la maquina para no ser detectado y no modifica nada de los archivos comunes de la computadora y cuando se cumplen unas especificaciones determinadas el subprograma muestra unos mensajes que sugieren o piden la contrasea al usuario de la maquina. En otros casos simplemente lee el password cuando nos conectamos a la red, tras copiar el password, este se encripta y se enva por correo electrnico adjunto. El Hacker lo que debe de hacer ahora es capturar ese mensaje y descifrar su propio cdigo. El mensaje es fcilmente capturado, mediante un sniffer, esto es, un
Instituto Nacional de Estadstica e Informtica

20

Seguridad de la Informacin

programa de monitorizacin en la red, pero los mas expertos emplean caballos de Troya mas inteligentes, que lo que hacen es reenviar o desviar el mensaje a una direccin del Hacker sin que el usuario se de cuenta. Las Bombas Lgicas Son programas dainos realizados por los Crackers, al igual que un virus las bombas lgicas estn especialmente diseadas para destruir o alterar informacin. Existen dos definiciones del mismo acrnimo o programa asociado. Una es la de crear un subprograma que se active despus de un tiempo llenando la memoria de la computadora y otra es la de colapsar nuestro correo electrnico. De cualquier forma ambas son dainas, pero actan de forma diferente. En la primera referencia, este se instala en nuestra computadora despus de ser bajado junto a un mensaje de e-mail. Se incuba sin crear ninguna copia de si mismo a la espera de reunir las condiciones oportunas, tras ese periodo de espera el programa se activa y se autoreplica como un virus hasta daar nuestro sistema. En el caso segundo, alguien nos enva una bomba lgica por e-mail que no es sino que un mismo mensaje enviado miles de veces hasta colapsar nuestra maquina. Los programas antivirus no estn preparados para detectar estos tipos de bombas lgicas, pero existen programas que pueden filtrar la informacin repetida. Los gusanos Worm Son programas que se copian en archivos distintos en cadena hasta crear miles de replicas de si mismo y tienen como nica misin la de colapsar cualquier sistema,. As un gusano de 866 Kbytes, puede convertirse en una cadena de ficheros de miles de Megas, que a su vez puede destruir informacin. Los Spam No se trata de un cdigo daino, pero si bastante molestoso. Se trata de un simple programa que ejecuta una orden repetidas veces. Normalmente en el correo electrnico. As un mensaje puede ser enviado varias cientos de veces a una misma direccin. En cualquier caso existen programas antispam, ya que los spam son empleados normalmente por empresas de publicidad directa.

Instituto Nacional de Estadstica e Informtica

21

Seguridad de la Informacin

5. Sistemas de Seguridad

INTERNET no es solamente salida al mundo, sino es la entrada del mundo a nosotros , por lo tanto los riesgos de seguridad en la red crecen a diario y el nmero de usuarios que accesan al servidor de una organizacin se incrementan en forma acelerada. Uno de los problemas es que no todas las personas que accesan al servidor a travs de Internet se presentan con buenas intenciones, existen intrusos que se conectan buscando informacin a la que no tiene acceso en forma licita. Dado estos problemas es necesario plantearse un conjunto de estrategias a fin de minimizar la vulnerabilidad de los sistemas y redes de computo. Abordaremos brevemente algunos mecanismos de seguridad que estn cobrando importancia en la actual sociedad de la informacin. 5.1 Firewalls (Cortafuegos) Es un equipamiento, combinacin de hardware y software que muchas empresas u organizaciones instalan entre sus redes internas y el Internet. Un cortafuegos permite que slo un tipo especfico de mensajes pueda entrar y/o salir de la red interna. Esto protege a la red interna de los piratas o hackers que intentan entrar en la red a travs de Internet. Un Firewalls (cortafuegos) permite restringir la entrada/salida de los usuarios aun punto que puede controlarse cuidadosamente. Tambin permite que los atacantes puedan acercarse a nuestras defensas. El Firewalls a menudo se instala en el punto de conexin de nuestra red con la Internet, no puede solucionar todos los problemas de seguridad y debe utilizarse junto a otras medidas internas de seguridad. Debido a que un firewall se coloca en la interseccin de dos redes, este puede ser usado para muchos otros propositos adems de simplemente controlar el acceso, mencionamos algunos ejemplos: " " " Los Firewalls pueden ser usados para bloquear el acceso a sitios particulares en INTERNET, o para prevenir a ciertos usuarios o maquinas acceder a determinados servicios o servidores. Puede ser empleado para monitorear las comunicaciones entre una red interna y la externa Si la organizacin cuenta con mas de una localizacin fsica y se tiene un firewall para cada localizacin, estos se pueden programar para que automaticamente encripten paquetes que son enviados sobre la red entre ellos.

5.1.1 Alcances de los Firewalls Proporciona un punto donde concentrar las medidas de seguridad. Ayuda a llevar a cabo la poltica de seguridad. Permite desactivar servicios que se consideran inseguros desde Internet. Permite restringir fcilmente el acceso o la salida desde/hacia determinadas maquinas.

22

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Permite el registro de informacin sobre la actividad entre la red interna y el exterior. Aisla secciones internas de la red de otras.

5.1.2 Limitaciones de los Firewalls No puede proteger de enemigos internos. La informacin confidencial no solo puede exportarse a travs de la red. Las acciones indebidas sobre maquinas (accesos no autorizados, introduccin de virus, etc.) se pueden realizar aun mas facilmente desde la red interna. No puede impedir ni proteger conexiones que no pasan a travs del firewall. No puede proteger contra nuevos tipos de ataque que no tiene catalogados. No puede impedir la entrada de virus.

El mayor problema de los cortafuegos es que restringen mucho el acceso a Internet desde la red protegida. Bsicamente, reducen el uso de Internet al que se podra hacer desde un terminal. Tener que entrar en el cortafuegos y desde all realizar todo el acceso a Internet es una restriccin muy seria. Programas como Netscape que requieren una conexin directa con Internet, no funcionan desde detrs de un cortafuegos. La solucin a todos estos problemas es un Servidor Proxy.

Los servidores proxy permiten el acceso directo a Internet desde detrs de un cortafuegos. Funcionan abriendo un socket en el servidor y permitiendo la comunicacin con Internet a travs de l 5.2. Encriptacin Desde aos atrs se busc, la forma de cifrar u ocultar un mensaje mediante tcnicas reversibles. Cifrar un texto o mensaje, conlleva a que si este es interceptado por alguien, el texto no pueda ser descifrado sin la clave correcta. Los sistemas criptogrficos se han extendido en la Red, buenos y malos emplean la criptografa para esconder sus mensajes. Si nos remontamos a la historia, en el antiguo Egipto se emplearon sistemas criptogrficos y prueba de ello son los jeroglficos no estndar escritos en las paredes de las pirmides y algunas tumbas. Esto, data de 4.000 aos atrs y el sistema se basaba en figuras geomtricas y dibujos, que conformaban un mensaje no descifrable. En otros lugares como Grecia, ya empleaban sistemas criptogrficos, aproximadamente en el ao 500 a.C. Estos empleaban un curioso artificio llamado scytale que consista en un cilindro alrededor del cual, se enrollaba una tira de cuero. Se escriba un mensaje sobre la tira, y al desenrollarla, se poda ver una combinacin de letras, aparentemente sin sentido alguno. Ntese que ya desde esa temprana edad, los sistemas de cifrado se sostenan sobre la base de intercambiar las palabras de los textos, y por tanto se trataban de sistemas de cifrado clsicos, ya que nicamente se necesitaban encriptar mensajes escritos.

Instituto Nacional de Estadstica e Informtica

23

Seguridad de la Informacin

Julio Cesar tambin emple un sistema de cifrado durante su reinado. Su sistema se basaba en sustituir la letra a encriptar por otra letra distanciada a 3 posiciones mas adelante. De esta forma se obtenan mensajes nada entendibles y durante su reinado y posterior el sistema nunca fue desencriptado por aquel entonces. En el siglo XII, el sabio ingles Roger Bacon, describi diversos mtodos criptogrficos al igual que Gabriel di Lavinde quien invent el sistema Nomemclator, quien public en 1379 una compilacin de sistemas a peticin del Papa Clemente VII. Es curioso saber que hasta la propia Iglesia tena que echar mano a sistemas criptogrficos. Los sistemas empleados por esas fechas indudablemente se basaban en mtodos clsicos por sustitucin. En 1467 Len Batista Alberti invento el primer sistema criptogrfico polialfabtico y no fue hasta el siglo XVIII, cuando fue descifrado. En 1790 Thomas Jefferson invento su cilindro de transposiciones, que fue ampliamente utilizado durante la segunda guerra mundial por la armada de los Estados Unidos. Pero el sistema no durara mucho, ya que se basaba en un sistema polialfabtico y en 1861 se public la primera solucin generalizada para resolver cifrados polialfabticos, poniendo fin a 400 aos de silencio. Sin embargo los sistemas criptogrficos no experimentaron ni parada alguna ni mucho menos demora en sus sistemas de cifrado. Las grandes guerras impulsaron la creacin de nuevos sistemas criptogrficos mas potentes y difciles de entender. La maquina Enigma desarrollada por los alemanes a mediados de los 70 fue un duro golpe para el criptoanlisis y sobre todo para los expertos en sistemas criptogrficos. Poco despus de los 70 aparecieron los sistemas criptogrficos denominados modernos. As en 1976 el cdigo DES hizo su aparicin gracias al desarrollo de computadoras digitales. A partir de esto los algoritmos y sistemas de criptografa experimentaran un inters ineludible. El sistema DES fue el primero de los sistemas complejos, pero introdujo la clave secreta, que deba, esta, ser muy guardada si se quera mantener la fuerza del sistema, ese mismo ao hacan la aparicin estelar Diffie y Hellman, creadores del primer sistema de cifrado basado en claves publicas. Sistemas altamente seguros. Un ao despus Rivert, Shamir y Adelman se sacaban de la manga el sistema criptogrfico de actualidad, el RSA. Un sistema basado en buscar nmeros primos, nada fcil de solucionar. Hasta la fecha el sistema esta siendo empleado por computadoras y sistemas de codificacin de canales de televisin. Finalmente, el sistema criptogrfico mas conocido en la red de Internet para todos los cibernautas, es el sistema PGP de Phil Zimmerman, creado en 1991. Sin embargo hay que decir que este sistema criptogrfico, mas que eso, es un programa que rene los sistemas criptogrficos mas fuertes del mercado como el DSS o el de Diffie-Hellman. Pero lo que hace es jugar con ellos y as se obtienen brillantes encriptaciones realmente seguras. Hoy por hoy el sistema objetivo por un gran numero de Hackers es el mencionado PGP, ya que es el mas ampliamente utilizado por los navegantes. De momento no se ha conocido apertura ninguna de este sistema, sin embargo las nuevas computadoras del futuro, ponen en manos de Hackers herramientas verdaderamente potentes que acabaran con todos estos sistemas criptogrficos de gran seguridad.
24
Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

5.2.1 Criptologa Criptologa es el arte de transformar un mensaje claro en otro sin sentido alguno. Este mensaje debe ser reversible en el otro extremo igual que si no hubiera sucedido nada. Es mas fcil encriptar un texto que una seal de video, pero siempre resultara mas complicado desencriptar el texto que la seal de video. En una seal de video siempre puedes ver que sucede, pero en un texto normalmente no puedes adivinar nada, adems los ficheros aparecern encriptados y no podrn ser ledos por comandos estndares. Pero la criptologa o los programas criptogrficos no son toda la seguridad que se pretende crear. Existen a su vez diversos complementos que aumentan la seguridad de un terminal informtico. Podemos impedir que un intruso entre en nuestro sistema, pero que sucede cuando tenemos que enviar algo a otro punto de la red. Inevitablemente nuestro trabajo corre peligro de ser capturado por alguien externo a nuestro deseo. El programa PGP de Zinmerman es una solucin muy buena a nuestro problema. 5.2.2 Criptografa Criptografa significa literalmente escritura secreta, es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo sea en absoluto, para despus devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo. Los sistemas de cifrado simtricos, son mas dbiles que los sistemas de cifrado asimtricos, esto es as, porque ambos, emisor y receptor deben de emplear la misma clave, tanto para el proceso de encriptacin como para el proceso de desencriptacin. De esta forma esta clave debe ser enviada a travs de un medio de transmisin. Un Hacker podra leer esta clave y emplearla para desencriptar el mensaje. Si ciframos esta clave con otra clave, siempre estaramos igual, ya que la ultima clave revelara siempre la clave oculta. Sin embargo los sistemas de cifrado asimtricos, al emplear distintas claves, permite el uso de medios de transmisin poco seguros. Despus de estos sistemas de cifrado enunciados, podemos encontrar otros no menos importantes, que siempre se han empleado para cifrar textos o mensajes. Estos sistemas de cifrado son tiles para computadoras y equipos de impresin de textos. Los sistemas de cifrado simtrico y asmtricos son sistemas tiles para encriptar datos e informacin digital que ser enviado despus por medios de transmisin libres. Podramos hacer una divisin en dos grandes familias. En primer lugar tenemos los mtodos clsicos y en segundo lugar los mtodos modernos. Los mtodos clsicos son aquellos que existieron desde siempre y son mtodos desarrollados para cifrar mensajes escritos a mano o en maquinas de impresin. Los mtodos modernos son los ya mencionados sistemas simtricos o asmtricos. Los mtodos clsicos se basan en la sustitucin de letras por otra y en la transposicin, que juegan con la alteracin del orden lgico de los caracteres del mensaje. As a los mtodos clsicos se han dividido en dos grupos de cifrado, son mtodos por sustitucin y mtodos por transposicin.

Instituto Nacional de Estadstica e Informtica

25

Seguridad de la Informacin

Los mtodos por sustitucin son aquellos que cambian palabras por otras, esta simple forma de cifrar siempre ha obtenido buenos resultados. Los mtodos por transposicin son aquellos que alteran el orden de las palabra del mismo mensaje. Los mtodos modernos se basan en combinar secuencias de dgitos creados de forma aleatoria con los dgitos del mensaje, mediante puertas lgicas, en el caso de los mdulos PRG sencillos. Otros emplean algoritmos matemticos de gran complejidad para permutar mensajes de cierta longitud de bits. 5.2.2.1 Sistemas de cifrados Dentro de los mtodos clsicos podemos encontrarnos con varios sistemas como los que siguen a continuacin: Cifrado Cesar o monoalfabtico Simple. Cifrado monoalfabtico General. Cifrado por sustitucin polialfabtica. Cifrado inverso. Cifrado en figura Geomtrica.

El sistema de cifrado Cesar o monoalfabtico simple Es un mtodo extremadamente simple y fue empleado por los romanos para encriptar sus mensajes, de all el nombre de Cesar, ya que fue en su reinado cuando naci este sistema de cifrado. Este sistema de cifrado consiste en reemplazar cada letra de un texto por otra que se encuentre a una distancia determinada. Se sabe que Cesar empleaba una distancia de 3, as ; Sustituir A B C D E F G H Y J K L M N O P Q R S T U V W X Y Z Por D E F G H Y J K L M N O P Q R S T U V W X Y Z C B A As el mensaje: El Hacker acecha de nuevo, uedara de la siguiente manera ; H KDFNHU DFHFKD GH PXHYR El sistema de cifrado monoalfabtico general Es un sistema que se basa en sustituir cada letra por otra de forma aleatoria. Esto supone un grado mas de complejidad en el mtodo de cifrado anterior. Un ejemplo seria la siguiente ; Sustituir A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Por Z C Q V A J G W N FB U M R H Y O D Y X T P E S L K Y empleando el mismo mensaje anterior quedara de la siguiente forma ; AF ZQNAO ZQAQZ VA UXATR

26

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

El sistema por sustitucin Polialfabtica Es un mtodo que emplea mas de un alfabeto de sustitucin. Esto es, se emplean varias cadenas de palabras aleatorias y diferentes entre si, para despus elegir una palabra distinta segn una secuencia establecida. Aqu nacen las claves secretas basadas en nmeros. Este sistema es algo mas complejo que las anteriores y a veces resulta difcil descifrar mensajes cuando empleamos mas de diez columnas de palabras aleatorias. El sistema de cifrado inverso Es quizs una de las formas mas simples de cifrar una imagen y es probablemente reconocida por todos nosotros. Es normal escribir del revs cuando estamos aburridos, pero lo cierto es que este es un sistema de cifrado. La forma de hacerlo es simplemente escribiendo el mensaje al revs. El hacker hacecha de nuevo ( oveun de ehceca rekcah le ) El sistema en figura geomtrica El mensaje se empieza por escribir siguiendo un patrn preestablecido y se encripta siguiendo una estructura geomtrica basado en otro patrn. Este ltimo patrn puede ser verdaderamente complejo segn la extensin del mensaje escrito y la forma de seguimiento de la lnea. Un ejemplo simple seria el que sigue: El HAC KER ESTA AL ACE CHO Patrn de cifrado ; Mensaje cifrado ; ECALHKAHOACRECEATSE El mtodo por transposicin de filas Consiste en escribir el mensaje en columnas y luego utilizar una regla para reordenarlas. Esta regla elegida al azar ser la clave para cifrar el mensaje. Tambin aqu es importante saber la clave secreta para poder descifrar el mensaje. En esta ocasin el mensaje puede estar fuertemente encriptado si se emplean textos relativamente largos. Un buen ejemplo sencillo es el que sigue; ELHACK Si la clave es 6 3 1 5 4 2 KHECAL ERESTA AEETSR ALACEC CAAECL CHO OCH Como hemos podido ver, todos los mtodos criptogrficos clsicos emplean la misma clave para cifrar y descifrar un mismo mensaje. Con la llegada de las computadoras, la resolucin de estos sistemas se torno prcticamente trivial y por eso han surgido nuevos mtodos de encriptacin mas trabajados y seguros. Algunos de ello tambin basados en claves secretas, cuya computacin es prcticamente inalcanzable o bastante compleja. Tal como se ha dicho los mtodos modernos son mas complejos de elaborar adems de las computadoras, las tarjetas de acceso electrnicas, son capaces de trabajar con estas encriptaciones por la elevada velocidad de computacin que presentan. Al estar basados en complejas transformaciones matemticas de una secuencia, es indispensable disponer
Instituto Nacional de Estadstica e Informtica

27

Seguridad de la Informacin

de memoria voltil y capacidad de procesamiento. Estos sistemas de cifrado modernos, son capaces de cifrar palabras de mas de 128 bits y normalmente se cifran en bloques. Aunque aqu no vamos a detallar de nuevo estos sistemas criptogrficos si vamos a enumerarlos, por supuesto los mas importantes, empleados en la red de Internet. Para ello vamos a dividir la situacin en tres grupos, uno que nombrara los sistemas de cifrado basados en claves publicas, otro grupo de cifradores basados en claves secretas y un ltimo grupo mas reciente y empleado en la televisin digital, los mtodos empleados en algoritmos. Sistemas de cifrado de clave pblica " RSA: Es quizs el sistema de cifrado mas empleado en la actualidad. Este sistema es el elegido para trabajar con los cdigos del sistema de codificacin Videocrypt, algoritmo que el Capitn Zap (hacker muy popular) consigui romper. Aunque despus de ello se dice que sigue siendo el sistema de cifrado mas fuerte del mundo, el sistema RSA se basa en la multiplicacin de nmeros primos, por lo que conlleva grandes operaciones matemticas. Fue inventado en 1977 por Rivest, Shamir y Adelman, de alli el nombre RSA. Tambin es cierto que el sistema de cifrado comentado ha sido modificado por sus inventores aumentando el grado de seguridad. El sistema permite utilizar documentos de diferentes tamaos; 512 bits, 768 bits, 1029 bits, 2048 bits. Diffie Hellman: Data de 1976 y se emplea fundamentalmente para el intercambio de claves, es bastante delicado enviar la clave que permite el descifrado de un mensaje. Por ello se cre este sistema de cifrado empleado nicamente para proteger claves.

"

Otros mtodos no menos importantes son los siguientes: " Sistema de curvas elpticas: Esta diseado exclusivamente para cifrar textos escritos en computadora y no se emplea para sistemas de encriptacin de seales de televisin analgicas o digitales. El sistema se basa en los movimientos del Mouse que el usuario hace antes de la instalacin del programa. Este sistema puede resultar realmente complejo. DDS: El sistema no ha sido publicado hasta ahora, pero se sabe que se basa en transmutar la secuencia de los dgitos o bits. Tambin emplea mtodos de permutacin y rotacin de dgitos en un mdulo seudo aleatorio. El garral: Parece un sistema espaol por lo menos por el nombre, pero no es as. tambin se basa en palabras de longitudes mas o menos extensas para el cifrado de mensajes. Tambin esta desarrollado para sistemas informticos y transacciones. DES: Este sistema de encriptacin es habitual verlo emplear en sistemas de encriptacin de seales de televisin para proteger los datos ECM de control de decodificacin de la seal. Sin embargo segn los Hackers todos los sistemas de seguridad tienen sus fallas y por lo tanto pueden dejar de ser seguros, si el pirata es lo suficientemente hbil. Bsicamente es empleado para las transiciones de datos interbancarios y transferencias de alto riesgo. Las tarjetas de acceso inteligente de los telebancos tambin operan segn esta clave, con una palabra de unos 200 bits. El sistema de encriptacin de seales de video Nagravision lo emplea para proteger los datos ECM y EMM del sistema. El
28
Instituto Nacional de Estadstica e Informtica

"

"

"

Seguridad de la Informacin

sistema de cifrado DES se basa en la permutacin de la longitud de bits, unos 200 por lo general, en al menos 16 permutaciones en la primera versin de este sistema de cifrado, despus los datos son rotados a situaciones irrelevantes. El sistema esta descrito en el capitulo Carding, pero es mas que probable que a estas alturas hayan modificado la estructura del algoritmo de cifrado, pero de cualquier manera es prcticamente imposible de abrir aun cuando se sabe que ruta siguen los bits, en toda la secuencia. " IDEA: Este sistema fue desarrollado en Zurich en 1990 y emplea claves de encriptacin de 128 bits de longitud y se considera muy seguro. Es uno de los algoritmos mas conocidos actualmente. El mtodo de cifrado est basado en modificar la orientacin de cada bit, y combinarla con una puerta lgica variable. RC4: Este algoritmo fue desarrollado por el grupo RSA. El sistema se basa en combinar cada bit con otro bit de otra secuencia. Acepta claves de cualquier longitud y emplea un generador de nmeros aleatorios. Es muy difcil de romper y su fuerte, esta en la velocidad de computacin admisible. Adems es el mtodo empleado por el SSL de Nestcape en su versin con clave de 40 bits. Adems de estos sistemas de cifrado basados en claves publicas o secretas, existen otros sistemas de cifrado basados en algoritmos. Estos nuevos sistemas no emplean claves de ningn tipo, si no que se basan en extraer una determinada cantidad de bits a partir de un texto de cualquier longitud. Esto es, cada cierta cantidad de texto elegido de forma arbitraria, se procede a realizar una transformacin de bits, de esta transformacin se obtiene una palabra longitud clave, esta palabra longitud tiene una extensin de x bits preestablecidos, de esta forma el texto es irreconocible ya que solo se pueden leer nmeros secuenciales y no guardan relacin alguna entre si. Este es el mtodo, quizs, mas complejo que existe hasta el momento. Trabajar con estos algoritmos requiere sistemas informticos, esto es, computadoras o tarjetas de acceso inteligentes que solo comuniquen el tipo de algoritmo empleado. Estos algoritmos normalmente se basan en complejas operaciones matemticas de difcil resolucin. Entre los sistemas desarrollados a partir de la creacin de algoritmos, cabe destacar al menos dos, por su complejidad e importancia sociales. " MD5: Este algoritmo esta desarrollado por el grupo RSA y es un intento de probar con otros sistemas criptogrficos que no empleen claves. El algoritmo desarrollado es capaz de obtener 128 bits a partir de un determinado texto. Como es lgico hasta el momento no se sabe cuales son las operaciones matemticas a seguir, pero hay alguien que dice que es mas que probable que se basen en factores de nmeros primos. SHA: Es un algoritmo desarrollado por el gobierno de los EE.UU y se pretende implantar en los sistemas informticos de alta seguridad del estado como estndar de proteccin de documentos. El algoritmo obtiene 160 bits de un texto determinado. Se sabe que existen Hackers que han probado suerte, pero hasta el momento nadie ha dicho nada mas al respecto.

"

"

Instituto Nacional de Estadstica e Informtica

29

Seguridad de la Informacin

5.3. Esteganografa El trmino "esteganografa" viene del griego stegos, que significa "cubierta", por lo que esteganografa significara "escritura oculta" o "escritura encubierta". As pues, la esteganografa es el conjunto de tcnicas que nos permiten ocultar o camuflar cualquier tipo de datos. Al igual que la criptografa, la esteganografa tiene un origen muy antiguo. A lo largo de la Historia los paises fueron desarrollando tcnicas que les permitieran comunicarse con sus agentes en el extranjero sin que el pas que acoga al espa pudiera descubrir que estaba teniendo lugar esa comunicacin. Lo mismo ocurri con las organizaciones secretas o clandestinas, que las utilizaron para comunicarse sin ser descubiertos y sin poner en peligro a sus miembros. Entre algunas de estas primeras y sencillas tcnicas esteganogrficas podran sealarse los mensajes que de pequeos todos hemos hecho escritos con zumo de limn en un papel en el que, al calentarlo con una bombilla, aparece lo escrito. Tambin el mtodo que consiste en tomar varias pginas de un libro y sealar con puntos o rayas las letras que forman el mensaje. Y al igual que ocurri con la criptografa, la llegada de las computadoras permiti grandes avances en las tcnicas, consiguindose adems automatizar tareas que solan ser engorrosas. Hay que dejar clara la diferencia entre la criptografa y la esteganografa "estricta". La criptografa modifica los datos para que no sean legibles, a diferencia de la esteganografa, que simplemente los toma y los oculta entre otros datos. Sin embargo, hoy en da, con las computadoras, ambas tcnicas son combinables, consiguindose una seguridad an mayor. Es de esta ltima manera como realmente es fuerte la esteganografa. El entorno ms favorable para la esteganografa es aquel en el que se realicen escaneados automatizados de los mensajes, o en los que no sea una tcnica demasiado conocida. En estos ltimos, los archivos que ocultan datos pueden pasar ante las narices de muchos sin levantar sospechas. Sin embargo, alguien que conozca la esteganografa y en concreto los programas, no tardar en "atar cabos". Si hemos encriptado la informacin, al menos no podr descubrirla "de un golpe". No hay duda de que, si la criptografa puede tener usos delictivos, la esteganografa puede tenerlos an ms claros. Sin embargo, bien usada puede convertirse en algo muy til. Desgraciadamente, todava en muchos pases los Derechos Humanos, total o parcialmente, son accesorios. Los ciudadanos de estos pases que estn luchando para cambiar esa situacin necesitan ocultar de alguna manera la informacin que utilicen para sus actividades, y si simplemente usan la criptografa, si es que estn autorizados a usarla legalmente inmediatamente se convertirn en sospechosos para las autoridades. E incluso en nuestras democracias, en determinados ambientes, alguien que usa la criptografa puede ser considerado como alguien que "tiene algo que ocultar" en vez de ser considerado como alguien que simplemente protege su intimidad. La esteganografa se convierte as, tanto combinada con la criptografa como por separado, en una til herramienta para proteger nuestros datos. 5.4. Biometra El desarrollo de la sociedad de la informacin, con el aumento incesante, tanto en volumen como en diversidad, implica la necesidad de asegurar la identidad de los usuarios, de los accesos locales y remotos a datos informatizados.

30

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

La importancia y valor de esos datos motiva a los impostores para superar los sistemas de seguridad existentes, y por esa misma razn, a los usuarios y promotores a instalar nuevos sistemas mas cada vez mas potentes y fiables. Estas necesidades, unidas a las ya existentes anteriormente en materia de seguridad de accesos fsicos, ha determinado un inters creciente por los sistemas electrnicos de identificacin y autentificacin. Su denominador comn es la necesidad de un medio simple, prctico y fiable, para verificar la identidad de una persona, sin necesidad de la asistencia de otra persona. El mercado de los controles de acceso promovi la proliferacin de sistemas, pero ninguno se ha revelado totalmente eficaz contra el fraude, porque todos utilizan un elemento externo como las tarjetas de identificacin, llaves, claves... Es frecuente olvidar una clave de acceso. Para evitar estos olvidos, se suele escribir esta clave en cuadernos, perdiendo as toda confidencialidad. La contrasea o clave es un mtodo de pre-seleccin y no de control de acceso eficaz. Existen varios medios para verificar la identidad de un individuo; la biometra es considerada como la ms apropiada, ya que ciertos rasgos de la persona son inherentes a ella y solo a ella. La combinacin de avances en biometra y en electrnica ha permitido el desarrollo de las nuevas soluciones de identificacin biomtrica. La biometra toma en cuenta elementos morfolgicos nicos y propios de cada uno de nosotros. En el pasado, el proceso informatizado de reconocimiento de huellas dactilares necesitaba el uso de importantes y costosos medios materiales. Ello limitaba el uso a aplicaciones especficas y a organismos muy seleccionados que solan disponer de los medios necesarios (Polica Cientfica, Judicial, control de acceso de alta seguridad). Hoy en da, los microprocesadores y el software disponibles poseen la potencia adecuada para procesos de este tipo, y su costo es cada vez mas reducido.

Instituto Nacional de Estadstica e Informtica

31

Seguridad de la Informacin

6. Seguridad en los Principales Sistemas Operativos


6.1. Seguridad en Windows 2000 Las caractersticas combinadas de Windows 2000 Professional conforman el sistema operativo para la computacin de escritorio y de porttiles en todas las organizaciones. Las caracteristicas relacionadas a la seguridad incluyen : " Modelo de Seguridad de Windows NT: Permite solamente a los usuarios autentificados accesar los recursos del sistema. El modelo de seguridad incluye componentes para controlar quin accesa objetos (tales como archivos e impresoras compartidas), las acciones que un individuo puede aplicar sobre cierto objeto y los eventos que le son auditados. Sistema de archivos encriptado (Encrypting File System, EFS): Encripta cada archivo con una clave generada aleatoriamente. Los procesos de encriptacin y desencriptacin son transparentes para el usuario. Soporte para seguridad del IP (IPSec): Ayuda a proporcionar capacidades de comercio electrnico protegiendo los datos transmitidos a travs de la red. IPSec es una parte importante de la seguridad de las redes privadas virtuales (virtual private networks, VPNs), las cuales permiten a las organizaciones transmitir datos de manera segura por Internet. Soporte para Kerberos: Proporciona autentificacin de alto grado y estndar de la industria con un inicio de sesin rpido y simple para los recursos basados en Windows 2000. Kerberos es un estndar de Internet, lo cual lo hace especialmente efectivo para redes de diferentes sistemas operativos tales como UNIX.

"

"

"

6.2. Seguridad en Novell Una red local bajo Novell, basa su seguridad en la existencia de un solo server, o sea, un solo lugar donde estn fsicamente todos los datos. Al instalarla se toma la precaucin de que slo tenga acceso fsico a ste la gente que cumple funciones de supervisin. El resto se maneja con cuentas que le dan determinados privilegios de acceso a ciertas partes de la informacin, solamente lo que necesita para cumplir con su trabajo. Un problema de seguridad puede pasar principalmente por dos lados: o que un usuario adquiera privilegios que no le correspondan o que consiga el nombre y el password de un usuario con ms nivel de acceso que l. La primera de las posibilidades implicara que alguien cambie o por error o a propsito su cuenta en el server. La segunda es ms peligrosa, ya que en el caso de que accediera con la cuenta de otro estara definitivamente desafiando la seguridad del sistema con malas intenciones. Para esto slo necesitara saber el password de algn otro usuario con ms privilegios, ya que los nombres no son secretos. Una medida de seguridad que implementa el software de Novell es la posibilidad de que las passwords estn o no encriptados.

32

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

Utilizando el comando del sistema operativo que permite que las passwords no se encripten se podra monitorear la actividad de la red y robar passwords. De todas formas, esto no es un peligro muy comn, ya que habra que utilizar equipos especiales para captar las seales de los cables de la red y analizarlas. Obviamente esto se dara solo en casos como de espionaje industrial, los empleados de la empresa difcilmente puedan tener acceso a este tipo de equipos. Como siempre, las principales fallas en la seguridad se deben a un software mal instalado y no a problemas del mismo software. Netware tiene, apenas se instala, los nombres de usuario GUEST y SUPERVISOR que no tienen passwords. Esto es as porque la compaa que lo produce piensa que sus clientes tomarn en cuenta que dejarlos o no as es su propia responsabilidad. Si el que instal la red no se preocup en cambiarlos, esto es un problema grave de seguridad. La cuenta SUPERVISOR puede llegar a ser especialmente peligrosa ya que puede dar acceso total a la red. Otras cuentas que pueden no tener password tienen nombres como TAPE, BACKUP, SERVER, REMOTE, CONNECT, NOVELL, etc. Si un usuario puede utilizar SYSCON para obtener una lista de todos los nombres de usuario, quiz encuentre alguna cuenta sin password y la use para sus propios fines. Algunas de dichas cuentas pueden tener como parte del proceso de entrada al sistema un batch que ejecuta determinados programas. Por ejemplo, una sistema de backup automtico, que ejecuta los programas necesarios para llevarlo a cabo. Esto es especialmente peligroso ya que para realizar un backup se debe entrar con privilegios de supervisor, para que el software permita acceder a toda la informacin de la red. En el caso de que una persona pueda utilizar esa cuenta y abortar el batch con control-C, tendra control total sobre el server. Existen algunos programas que permitiran a cualquier usuario tener acceso total. Estos estn hechos por hackers, diseados para entrar ilegalmente a una red Novell, y son un peligro para su seguridad. 6.3. Seguridad en Unix El sistema operativo UNIX ha servido de modelo para el desarrollo de otros sistemas operativos, entre otros aspectos en lo referente a la seguridad. En el diseo de UNIX no se contemplaba la seguridad como un factor prioritario; sin embargo, en el momento en que comenz a comercializarse y a utilizarse en buen nmero de empresas, Tanto pblicas como privadas (entre ellas el Departamento de Defensa de los Estados Unidos), la seguridad pas a ser fundamental y objetivo prioritario de desarrollo. " Identificacin de usuarios: Como en cualquier sistema operativo multiusuario los usuarios tienen un nombre identificativo (login) y una contrasea (password) que deben introducir para acceder al sistema. Una vez dentro del sistema, los usuarios pueden acceder a los recursos disponibles en funcin de una serie de permisos. El administrador del sistema, cuyo nombre es root, es el encargado de controlar el sistema, aadir y borrar usuarios, perifricos y conexiones, etc.

Instituto Nacional de Estadstica e Informtica

33

Seguridad de la Informacin

"

Ficheros de contraseas: El nombre de acceso, la contrasea cifrada, el identificador de usuario y de grupo, el nombre completo y algunos parmetros de cada usuario se almacenan en el fichero pblico/etc/passwd, que puede consultarse por cualquier usuario. Por motivos de seguridad, en el Sistema V, a partir de la versin 3.2 inclusive, las contraseas se pueden almacenar en un fichero aparte: /etc/shadow, que nicamente debe tener permiso de lectura para el administrador del sistema. Permisos: Cada fichero y directorio en UNIX tiene tres categoras de usuarios asociados: el propietario, los usuarios que pertenecen a su mismo grupo y el resto de los usuarios. Para cada una de las tres categoras se asignan permisos de lectura, escritura y ejecucin. Es fundamental asignar a cada fichero y directorio los permisos que sean estrictamente necesarios. Proteccin de informacin: En UNIX se encuentran disponibles diversas utilidades y opciones relacionadas con la seguridad y proteccin de la informacin, como la orden crypt que permite cifrar ficheros mediante el algoritmo DES. La clave de cifrado, que ser necesaria para el descifrado, se solicita al cifrar un fichero. Los ficheros slo pueden ser descifrados si se conoce la clave, ni siquiera el administrador puede hacerlo sin ella. No obstante, no se recomienda el uso de esta orden si se trata de informacin confidencial, puesto que no ofrece el grado de seguridad requerido en tales casos. Conexin en Red: La conexin en red necesaria para compartir informacin entre usuarios de distintos sistemas, tambin provoca que aumenten los riesgos. El protocolo TCP/IP, en UNIX cuenta con una serie de programas que permiten transferir ficheros entre sistemas, ejecutar rdenes, entrar en una cuenta en un sistema remoto, etc. Estos programas requieren que en el sistema remoto exista un fichero con el nombre de los sistemas y de los usuarios que tienen permiso para ejecutarlos, no requirindose ninguna contrasea para poder hacerlo. El contenido de este fichero debe guardarse con cautela puesto que alguien que lo conociese podra suplantar a un usuario utilizando el nombre de alguno de los sistemas que aparecen en l. El programa FTP es tambin parte de las aplicaciones TCP/IP y permite entrar en una cuenta para transferir ficheros. Control: UNIX no incorpora herramientas sofisticadas de auditora que permitan controlar qu es lo que ocurre en el sistema. Para ello, normalmente hay que recurrir a algn paquete que se distribuye aparte. Puertas traseras: Un usuario no autorizado puede acceder al sistema aprovechando un punto dbil del sistema operativo, un descuido o desconocimiento de un usuario o una mala administracin del sistema. Todos estos fallos se han corregido, y en la actualidad, se puede decir que es uno de los sistemas ms seguros que hay, existiendo incluso algunas versiones especiales con caractersticas de seguridad avanzada. Una serie de herramientas de dominio pblico y comerciales permite evaluar la seguridad del sistema y descubrir los puntos dbiles que puedan dar lugar a problemas en la seguridad. El ms conocido entre ellos es quizs COPS.

"

"

"

"

"

34

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

7. Seguridad en el Comercio Electrnico


Una definicin aproximada de comercio electrnico es : "cualquier forma de transaccin comercial en la que las partes interactan electrnicamente en lugar de por intercambio o contacto fsico directo". Esta nueva concepcin estan revolucionando los negocios. Existen muchos tipos diferentes de amenazas que pueden comprometer la seguridad del comercio electrnico. Para contrarrestar estas amenazas se han desarrollado varios protocolos y aplicaciones usando las tcnicas criptogrficas descritas anteriormente. Algunas amenazas a la seguridad y soluciones:

Amenaza Datos interceptados, ledos o modificados ilcitamente. Los usuarios asumen otra identidad para cometer un fraude. Un usuario no autorizado en una red obtiene acceso a otra red.

Seguridad y solucin Encriptamiento

Funcin Los datos se codifican para evitar su alteracin.

Tecnologa Encriptamiento simtrico; encriptamiento asimtrico.

Autentificacin

Verifica la Firmas digitales. identidad del receptor y emisor. Filtra y evita que Firewall; redes cierto trfico virtuales privadas. ingrese a la red o servidor.

Firewall

Algunos de los estndares de seguridad para Internet: Estndar Secure HTTP (S-HTTP). Secure Sockets Layer (SSL). Secure MIME (S/MIME). Secure WideArea Nets (S/WAN). Secure Electronic Transaction (SET). Funcin Asegura las transacciones en el web. Asegura los paquetes de datos en la capa de la red. Asegura los anexos de correo electrnico en plataformas mltiples. Encriptamiento punto a punto entre cortafuegos y enrutadores. Asegura las transacciones con tarjeta de crdito. Aplicacin Exploradores, servidores aplicaciones para Internet. Exploradores, servidores aplicaciones para Internet. web,

web,

Paquetes de correo electrnico con encriptamiento RSA y firma digital.

Redes virtuales privadas.

Tarjetas inteligentes, servidores de transaccin, comercio electrnico.

Instituto Nacional de Estadstica e Informtica

35

Seguridad de la Informacin

7.1 PKI La infraestructura de llave pblica (PKI en ingls) se basa en la criptografa de llave pblica, cuyos orgenes se remontan al artculo de Diffie y Hellman en 1976, donde se explica la idea revolucionaria de servirse para las operaciones criptogrficas de una pareja de llaves, una pblica, conocida por todos, y otra privada, slo conocida por el usuario a quien le es asignada. Un mensaje puede ser cifrado por cualquier persona usando la llave pblica, ya que es pblicamente conocida, aunque slo el poseedor de la llave privada podr descifrarlo. Recprocamente, un mensaje cifrado con la llave privada slo puede ser cifrado por su poseedor, mientras que puede ser descifrado por cualquiera que conozca la llave pblica. Para usar la criptografa de llave pblica se necesita generar una llave pblica y una privada. Usualmente, se hace con el programa que usar la llave, por ejemplo, el explorador web o programa de correo electrnico. Una vez que se han generado las dos llaves, es responsabilidad suya mantener segura la llave privada y no permitir que alguien la vea. Posteriormente, tiene que decidir cmo distribuir la llave pblica a sus receptores. Podra usar el correo electrnico para enviar la llave pblica a todos sus receptores, pero podra resultar difcil de manejar en caso de que olvide a alguien en la lista de direcciones, o si surgen nuevos receptores. Esto tampoco permite autentificarse con algn grado de confianza; por ejemplo, alguien podra hacerse pasar por usted, generar un par de llaves y despus enviar a los receptores la llave pblica, diciendo que proviene de usted, para posteriormente tener la libertad de hacer mensajes usando el nombre de usted. Los certificados digitales verifican electrnicamente las llaves pblicas. Una manera ms adecuada y confiable de distribuir llaves pblicas es el uso de una autoridad de certificacin. Una autoridad de certificacin aceptar la llave pblica de usted, junto con ciertas pruebas de su identidad (esto vara con la clase de certificado) y sirve como un depsito de certificados digitales. De esta manera, otros pueden solicitar entonces la verificacin de su llave pblica a la autoridad de certificacin. El certificado digital acta como una versin electrnica de la licencia de un conductor. Como mtodo aceptado para distribuir la llave pblica, proporciona un procedimiento para que los receptores puedan verificar que usted es quien dice ser. Las autoridades de certificacin, por ejemplo, Verisign, Cybertrust y Nortel, emiten certificados digitales. Como se muestra en la Figura 4-5, un certificado digital incluye el nombre del poseedor, el nombre de la autoridad de certificacin, una llave pblica para uso criptogrfico, un lmite de tiempo para usar el certificado (la mayora de las veces, de seis meses a un ao), la clase del certificado y el nmero de identificacin del certificado digital. La emisin de un certificado digital puede ser de cuatro clases, indicando hasta qu grado se ha verificado al poseedor. La Clase 1 es la ms fcil de obtener, ya que involucra el menor nmero de verificaciones de los antecedentes del usuario: slo se verifican el nombre y direccin de correo electrnico. En el caso del certificado de Clase 2, la autoridad emisora verifica una
36
Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

licencia de conducir, un nmero de seguro social y una fecha de nacimiento. Los usuarios que solicitan un certificado de Clase 3 pueden esperar que la autoridad emisora ejecute una verificacin de crdito (usando un servicio como Equifax), adems de la informacin requerida para un certificado de Clase 2. Un certificado de Clase 4 incluye informacin acerca de la posicin de la persona dentro de una organizacin, pero los requerimientos de verificacin para estos certificados todava no han sido formalizados. 7.2. Seguridad para aplicaciones del web: S-HTTP y SSL. La seguridad de las aplicaciones para web gira en torno a dos protocolos, Secure HTTP y Secure Sockets Layer, que proporcionan autentificacin para servidores y navegadores, as como confidencialidad e integridad de los datos para las comunicaciones entre un servidor web y un navegador. S-HTTP est diseado especficamente para soportar el protocolo de transferencia de hipertexto (HTTP), proporcionando la autorizacin y seguridad de los documentos. SSL ofrece mtodos de proteccin similares, pero asegura el canal de comunicaciones al operar ms abajo en la pila de red (entre la capa de la aplicacin y las capas de red y transporte TCP/IP). S-HTTP asegura los datos, mientras SSL asegura el canal de las comunicaciones. SSL se puede usar para otras transacciones, pero no est diseado para manejar decisiones de seguridad basadas en autentificacin a nivel de documento o aplicacin.. 7.3. Seguridad para correo electrnico: PEM, S/MIME y PGP. Se ha propuesto una variedad de protocolos de seguridad para el correo electrnico en Internet, pero slo uno o dos han recibido cierto uso extendido. El correo enriquecido con carcter privado (PEM-Privacy-enhanced mail) es un estndar de Internet para asegurar al correo electrnico usando llaves pblicas o simtricas. El uso de PEM ha descendido, ya que no est diseado para manejar el moderno correo electrnico de multipartes soportado por MIME, adems de que requiere una jerarqua rgida de autoridades de certificacin para emitir llaves. Secure MIME (S/MIME) es un estndar ms nuevo que se ha propuesto; usa muchos de los algoritmos criptogrficos patentados y cuyas licencias corresponden a RSA Data Security Inc. S/MIME depende de certificados digitales, por ello tambin depende de algn tipo de autoridad de certificacin, ya sea corporativa o global, para asegurar la autentificacin. Pretty Good Privacy (PGP) es una aplicacin popular desarrollada para asegurar los mensajes y archivos, tambin se le conoce como. Probablemente sea la aplicacin de seguridad para correo electrnico en Internet ms usada; emplea una variedad de estndares de encriptamiento. Las aplicaciones para encriptamiento/desencriptamiento PGP estn disponibles de manera gratuita para la mayora de los sistemas operativos importantes; as, los mensajes se pueden encriptar antes de usar un programa de correo electrnico. Algunos programas de correo, como Eudora Pro, Qualcomm y OnNET, de FTP Software, pueden usar mdulos conectores especiales de PGP para manejar correo encriptado. PGP se dise alrededor del concepto de una red de confianza que permita a los usuarios compartir sus llaves, sin requerir una jerarqua de autoridades de certificacin.

Instituto Nacional de Estadstica e Informtica

37

Seguridad de la Informacin

8.Plan de Contingencia
Un plan de contingencia o plan de recuperacin en caso de desastre es una gua para la restauracin rpida y organizada de las operaciones de computo despus de una suspensin. Los objetivos de dicho plan son los de restablecer, lo ms pronto posible, el procesamiento de aplicaciones criticas (aquellas necesarias para la recuperacin) para posteriormente restaurar totalmente el procesamiento normal. Un plan de contingencia no duplica un entorno comercial normal (en forma inmediata), pero si minimiza la prdida potencial de archivos y mantiene a la empresa operando, al tomar acciones decisivas basadas en la planeacin anticipada. Utilidad del Plan de Contingencia Un plan de contingencia completo mitigar los efectos de esos desafortunados desastres y permitir una respuesta rpida, una transferencia del procesamiento crtico a otras instalaciones, y una eventual recuperacin. La preparacin de un plan de contingencia da a los directivos de una empresa una excelente oportunidad para aliviar o minimizar problemas potenciales que, en un momento dado, podran interrumpir el procesamiento de datos. Razn por la cual es necesario tomar conciencia de la importancia vital de la confeccin de dicho plan. Si durante la preparacin de un plan de contingencia se identifican y documentan las funciones criticas, se desarrolla un mtodo formal de respuesta a las emergencias, y se llevan a cabo procedimientos de respaldo y recuperacin, la continuidad y el bienestar del funcionamiento del centro de cmputo en el futuro mejoraran. Al considerar los planes de contingencia, se necesita delinear cuidadosamente los distintos tipos de desastre que pueden ocurrir: ! Destruccin completa de los recursos centralizados de procesamiento de datos. ! Destruccin parcial de los recursos centralizados de procesamiento de datos. ! Destruccin o mal funcionamiento de los recursos ambientales destinados al centro de procesamiento de datos. ! Destruccin total o parcial de los recursos descentralizados de procesamiento de datos. Destruccin total o parcial de los procedimientos manuales del usuario, utilizados para la captura de la informacin de entrada para los sistemas de computo. ! Prdida del personal clave ! Interrupcin por huelga Alcance del Plan de Contingencias La planeacin contra contingencias debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. En el caso de las ultimas, existen ciertas reas que necesitan proteccin en caso de desastre o ciertos recursos que deben estar disponibles para la recuperacin:

38

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

! Documentacin de los sistemas, la programacin y las operaciones. ! Recursos de procesamiento que incluyen: 1. Todo tipo de equipo 2. Ambiente para el equipo 3. Datos y archivos 4. Programas 5. Papelera Los procedimientos de planificacin contra desastres tendrn que definir en forma detallada los arreglos que se hagan para cada caso, la organizacin y las responsabilidades para aplicarlos y un marco de trabajo para la iniciacin y aplicacin paso por paso de los procedimientos de recuperacin. Procedimientos de Emergencia El recurso o ms valioso de la compaa es su personal, y hacia la preservacin de esas vidas deben estar destinadas las medidas de seguridad, y de todos los procedimientos fijados en el plan de contingencia; sobre este aspecto se considera primordial instruir o educar previamente al personal, de forma tal que puedan hacer frente a diversas circunstancias, tales como evacuacin, uso de los extintores y la manera de proceder ante una emergencia; capacitacin y entrenamiento de determinados funcionarios y empleados en tcnicas y medidas de seguridad especificas, a los efectos de dirigir el accionar del resto del personal. La importancia de disear tales procedimientos radica en la preparacin de un plan de contingencia contra un paro total en el procesamiento de datos, tambin es importante hacer planes para manejar incidentes "menores". Un pequeo fuego o fuga de agua, o robo, puede rpidamente adquirir mayores proporciones a menos que se tomen medidas previamente planeadas. Que tan bien pueda reaccionar una compaa cuando ocurren pequeos accidentes, depende de las medidas que se hayan desarrollado con anterioridad. Por esto, es importante que el personal del centro de cmputo este preparado para actuar con rapidez ante cualquier incipiente contingencia que pueda llegar a presentarse. Deben disearse procedimientos no muy extensos ni detallados excesivamente. Pueden utilizarse diagramas para representar estos procedimientos dentro del manual del plan de contingencia, ya que harn ms fcil su entendimiento. Deben estar representados de modo tal que cualquier persona, aun sin haberlos visto antes, pueda ejecutarlos.

Instituto Nacional de Estadstica e Informtica

39

Seguridad de la Informacin

9. Plan de Seguridad de la Informacin

Los conceptos anteriormente vertidos en forma aislada son los elementos principales para establecer Planes de Seguridad Informticos para que en forma integrada puedan garantizar la confidencialidad, integridad y disponibilidad de la informacin que se intercambia, reproduce y conserva mediante el uso de las tecnologas de informacin. El Plan de Seguridad Informtica es un documento en el cual se establecen los principios organizativos y funcionales de la Seguridad Informtica en un organizacin a partir de un sistema de medidas aprobado en base a los anlisis de riesgo e identificacin de amenazas en el Sistema de Informacin. Un plan de Seguridad Informtica contiene: Objetivos: Los objetivos del Plan de Seguridad Informtica, quedarn definidos al hacer constar cuales son los activos informticos que deben protegerse y de qu deben protegerse. el radio de accin que abarca el Plan, estableciendo una Alcance: Expresar demarcacin clara de los activos informticos y locales objeto de proteccin, para los cuales fueron determinados los riesgos y diseado el sistema de medidas. Caracterizacin: resumen de la caracterizacin realizada al sistema informtico de la organizacin que permiti identificar los objetivos, refirindose a: Estructura de gestin de la actividad informtica. Caractersticas generales del sistema informtico, y el impacto del mismo para la entidad. Caractersticas del procesamiento de la informacin clasificada y sensible, a travs de las tecnologas de informacin. Diagrama de flujo de informacin que ilustre la relacin interna y externa, as como los medios que utilizan para procesar la misma y topologa de las redes de transmisin de datos con que cuentan. Resultado del anlisis de riesgo y vulnerabilidad realizado. Sistema de Medidas para la Seguridad Informtica : mencionaremos: Medidas Administrativas y Organizativas: Se expresarn las medidas que son de competencia de la direccin de la entidad y de obligatorio cumplimiento por todo el personal, que comprenden: Clasificacin de la informacin, Personal y Responsabilidades Medidas de Seguridad Fsicas: Se relacionarn las reas a proteger, especificando en caso que se consideran reas vitales o reservadas, en dependencia si procesan informacin clasificada o sensible. Se describirn las condiciones constructivas y caractersticas fsicas del local desde el punto de vista de seguridad (piso, paredes, puertas y ventanas , etc.). Se describir el sistema de autorizacin de acceso a los locales especificando los criterios para otorgar la permanencia de personas en los mismos, se reflejar el cargo y los datos
Instituto Nacional de Estadstica e Informtica

40

Seguridad de la Informacin

generales de las personas facultadas para otorgar este acceso. Adems, se describir el sistema de identificacin para los trabajadores de la entidad, los que se encuentren en prestacin de servicios o visitantes as como la entrada y salida de las tecnologas de informacin a travs de los mismos y el sistema de control. Medidas de Seguridad Tcnica o Lgica: Se especificarn las medidas de seguridad que se establezcan, cuya Implementacin se realice a travs de software, hardware o ambas. Se describir el mecanismo de identificacin y autenticacin de los usuarios con acceso a los sistemas, especificando como se implementan a nivel de Sistema Operativo y de aplicaciones. Mecanismos de seguridad establecidos para evitar la modificacin, destruccin y consistencia de los ficheros y datos, especificando cuando estos se implementan a nivel de Sistema Operativo, aplicacin o ambos. Se describirn las medidas establecidas para protegerse contra programas dainos que puedan afectar los sistemas en explotacin. Se consignarn los sistemas de proteccin criptogrficos que se utilizan y con qu fin son utilizados. Se describir y graficar la estructura de seguridad adoptada en la conexin a INTERNET, especificando las polticas y mecanismos de filtrado establecidos para ocultar la red interna de INTERNET; as como los mecanismos de seguridad aplicados a los distintos servicios disponibles (SMTP, WWW). Medidas de Seguridad de Operaciones: Se relacionarn los criterios adoptadas para seleccionar los mecanismos de seguridad convenientes, as como para verificar sus niveles de efectividad y proteccin continua. Incluye las medidas que se establecen para garantizar que los mantenimientos de los equipos, soportes y datos, se realice en presencia y bajo la supervisin de personal responsable y que en caso del traslado del equipo fuera de la entidad la informacin clasificada o sensible sea borrada fsicamente o protegida su no divulgacin. Medidas para garantizar el control sobre la entrada y salida en la entidad de tecnologas de la informacin (mquinas porttiles, soportes etc.) as como el uso para el que estn destinadas. Medidas educativas y de concientizacin: Todas las medidas que se establecen para dar a conocer al personal la existencia de un sistema de seguridad informtica en el cual les corresponde una forma de actuar. Se tendrn en cuenta las sanciones administrativas que puedan aplicarse al personal que viola la seguridad informtica. Esta Plan responde a la relacin que debe garantizar un Sistema de Seguridad Informtica entre polticas de Seguridad y procedimientos de implantacin de las anteriores, lo que permite garantizar la auditabilidad del mismo, propiedad indispensable para garantizar un sistema de informacin confiable. Este Plan incluye un conjunto de procedimientos, glosario de trminos usados. Este Plan debe ser aprobado al mas alto nivel y revisado en forma peridica por el responsable de Seguridad de la informacin.

Instituto Nacional de Estadstica e Informtica

41

Seguridad de la Informacin

10. Auditoria de la Seguridad Informtica como Elemento De Control

La auditoria a la seguridad informtica es el proceso de verificacin y control mediante la investigacin, anlisis, comprobacin y dictamen del conjunto de medidas administrativas, organizativas, fsicas, tcnicas, legales y educativas dirigidas a prevenir, detectar y responder a las acciones que pongan en riesgo la confidencialidad, integridad y disponibilidad de la informacin que se procese, intercambie, reduzca y conserve a travs de las tecnologas de informacin. Objetivo: El objetivo de la auditoria a la Seguridad Informtica es detectar fisuras o puntos vulnerables en el sistema informtico que ponga en riesgo la seguridad de la informacin y de las tecnologas empleadas para su procesamiento como base para la elaboracin de un diagnostico. Funciones: ! Analizar las polticas de seguridad informtica, adoptadas en la entidad para garantizar la confidencialidad, integridad y disponibilidad de la informacin que se procesa. ! Analizar y comprobar el funcionamiento y eficacia del sistema de medidas de seguridad informtica implantado en la entidad. ! Detectar fisuras o puntos vulnerables en el funcionamiento del sistema informtico y el sistema de medidas de seguridad que pueda propiciar causas y condiciones para la comisin de delitos. ! Valorar la factibilidad del sistema de medidas de seguridad en correspondencia con la caracterizacin del sistema informtico. La auditoria a la seguridad informtica se puede realizar a todos los rganos y organismos de la administracin central del estado y sus dependencias, otras entidades estatales, empresas mixtas, sociedades y asociaciones econmicas que se constituyen conforme a la ley, que utilicen tecnologas de la informacin, abarcando el control de aquello que acta sobre una causa para reducir los riesgos o minimizar las causas de riesgo. Etapas Etapas para la realizacin de la auditoria: ! Planificacin de la auditoria: En esta etapa se planificar el trabajo a desarrollar, elaborando un cronograma con todos los pasos a realizar y los objetivos a lograr.

42

Instituto Nacional de Estadstica e Informtica

Seguridad de la Informacin

! Desarrollo de la auditoria: La auditoria a la Seguridad Informtica se divide a su vez en tres etapas: ! Investigacin preliminar ! Verificacin de la Seguridad Informtica aplicada ! Comprobacin con el empleo de herramientas informticas. Investigacin preliminar Esta etapa persigue: 1. Conocer los objetivos y alcances del sistema de informacin establecido en la entidad objeto de auditoria 2. Obtener la informacin necesaria sobre la caracterizacin (organizacin, recursos, personal, documentacin existente sobre el objeto social, las dependencias y otros aspectos de inters a auditar) 3. Realizar una pormenorizada revisin de los resultados de auditorias informticas y de seguridad anteriores o controles especficos de seguridad u otras actas o documentos, con el fin de obtener la mayor informacin en el menor tiempo posible sobre los principales problemas que han afectado esta entidad y que evidencien debilidades en el control interno. 4. Emplear el uso de cuestionario para la recopilacin de la informacin con el propsito de obtener una orientacin general sobre la seguridad informtica de la entidad. 5. Determinar los bienes informticos mas importantes para la entidad de acuerdo a su costo beneficio. 6. Clasificacin de los activos en funcin de su importancia y los problemas que trae a la entidad su revelacin, modificacin o destruccin. 7. Confeccionar tablas que permitan determinar dentro de los activos informticos los riesgos existentes, ya sean de carcter administrativos, organizativos, tcnicos, legales o especficamente informticos que determinen la vulnerabilidad de los activos. 8. Obtener los manuales de explotacin y de usuario de los sistemas de las reas o dependencias y efectuar un examen pormenorizado de estos, para conocer el sistema y la auditabilidad para la seguridad del mismo. Verificacin de la Seguridad Informtica aplicada Esta etapa consiste de forma general en la revisin y comprobacin del cumplimiento de las normas y procedimientos de Seguridad Informtica de la entidad. Se utilizaran los cuestionarios como herramienta de auditoria a la Seguridad Informtica con el fin de obtener una orientacin general sobre este tema.

Instituto Nacional de Estadstica e Informtica

43

Seguridad de la Informacin

11. Bibliografa

# La Seguridad Total http://members.xoom.com/segutot/la.htm # Las Tecnologas de la Informacin y sus Efectos en la Sociedad http://www.prosol.es/Main/VCCE/TIES2.htm # Asuntos Relativos a la Tecnologa de Informacin y Comunicaciones http://www.idrc.ca/books/837/Chap2.htm # Amenazas Deliberadas a la Seguridad de la Informacin http://www.iec.csic.es/criptonomicon/amenazas.html # Esteganografa http://www.arnal.es/free/cripto/estega/estegind.htm # Biometra http://www.ast-afis.com/es/es-ID1.htm # Seguridad en una Red Novell http://www.ubik.to/VR/04/novell.html # Seguridad en Unix http://www.geocities.com/SiliconValley/Bit/7123/unix.htm#UNIX. # Comercio Electrnico http://www.microsoft.com/latam/technet/hoy/comercio/art03/art039.asp # La Seguridad Informtica en las Redes http://www.geocities.com/SiliconValley/Bit/7123/la.htm # Crimen y Castigo en el Ciberespacio http://skyscraper.fortunecity.com/graphical/472/crimen.html # Por qu son Inseguras las Computadoras http://www.kriptopolis.com/criptograma/0019_1.html # Plan de Seguridad Informtica Experiencias en su desarrollo, Ministerio del Interior de Cuba # Metodologa para realizar Auditorias a la Seguridad Informtica Ministerio del Interior de Cuba

44

Instituto Nacional de Estadstica e Informtica

También podría gustarte