SEGURIDAD INFORMATICA. Definiciones y conceptos: Seguridad informática: La seguridad de la información es la protección de la informac información ión de un gran gran rango rango de amenaza amenazas s para para asegura asegurarr la continu continuidad idad del nego negoci cio, o, mini minimi miza zarr los los ries riesgo gos s en los los nego negoci cios os y maxi maximi miza zarr el regr regres eso o de inversionistas y oportunidad de negocios.
Normas de seguridad: Toda organización debe estar a la vanguardia de los proceso procesos s de cambio.d cambio.dond onde e dispone disponerr de informa información ción continua continua,, confiabl confiable e y en tiempo, constituye una ventaja fundamental.
Políticas de seguridad: Una política de seguridad en el ámbito de la criptografía de clave púbica o PKI es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. seguridad. Pueden cubri cubrirr cualq cualquie uierr cosa cosa desd desde e buen buenas as prác práctic ticas as para para la segur segurida idad d de un solo solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un país entero.
Activo: Recursos de sistemas de información es relacionado con este. Necesario para que la organización funcione correctamente. causa a pote potenci ncial al de un incide incident nte e no deseado deseado podría podría resulta resultar r Amenaza: Una caus dominio para un sistema u organización.
Riesgo: combinación de la probabilidad de un evento y su consecuencia. Vulnerabilidad: Una debilidad de una ventaja o un grupo de ventajas pueden ser explotadas por una o más amenazas.
Ataque: Evento exitoso o no atento sobre el buen funcionamiento. interr rrup upci ción ón de la capa capaci cida dad d de acce acceso so a info inform rmac ació ión n y Contingencia: inte proce procesa samie miento nto de la mism misma a a través través de comp computa utado doras ras neces necesari arias as para para la operación normal de un negocio.
CERT: es un acrónimo que quiere decir Cumputer Emergency ResponseTeam, creado en el 1988 por Advance Research Project Agency (ARPA). Su función principal consiste en recoger información sobre eventuales violaciones de la segu segurid ridad ad,, coor coordin dinar ar los proce procedim dimien iento tos s relat relativo ivos s a tales tales violac violacion iones es y adiestrar o enseñar a la comunidad internet sobre el argumento de la seguridad.
ISC2: ( International International Information Information systems Security Certification Consortium), es una organización sin ánimo de lucro que se encarga de: -Mantener el “Commonn Body of Knowledge” en seguridad de la informacion. -Certifica profesionales en un estándar internacional de seguridad de información. -Administra los programas de entrenamiento y certificación. -garantiza la vigencia de las certificaciones a través de programas de capacitación continua.
CISSP: Es la certificación en seguridad de la información más reconocida a nivel mundial y es elevada por el ISC2. Fue diseñada con el fin de reconocer una maestría de conocimientos y experiencia en seguridad de la información con una ética comprobada en el desarrollo de la profesión.
SANS: SANS es la más confiable y con mucho la mayor fuente de seguridad de la inform informac ación ión,, forma formació ción n y certif certifica icació ción n en el mundo mundo.. Asim Asimism ismo, o, desar desarrol rolla la,, mant mantie iene ne,, y pone pone a disp dispos osic ició ión n sin sin cost costo o algu alguno no,, la mayo mayorr cole colecc cció ión n de docum documen entos tos de invest investiga igaci ción ón sobr sobre e diver diversos sos aspec aspectos tos de la segu segurid ridad ad de la información, y que opera en Internet del sistema de alerta temprana - Centro de Internet tormenta. El SANS (Administrador, Auditoría, Redes, Seguridad), el Instituto se creó en 1989 como como una cooperat cooperativa iva de investig investigaci ación ón y educaci educación ón organiza organización ción.. Ahora Ahora sus programas llegan a más de 165.000 profesionales de la seguridad en todo el mundo. Una serie de individuos de los auditores y administradores de red, a los oficiales jefe de seguridad de la información están compartiendo las lecciones que aprenden y se conjunta la búsqueda de soluciones a los retos que se enfrentan. En el corazón de SANS muchos son los profesionales profesionales de la seguridad seguridad en diversas organizaciones mundiales de las empresas a las universidades que trabajan juntos para ayu ayudar dar a toda oda la com comunida idad de seg segurid ridad de la infor formació ción. Muchos de los valiosos recursos SANS son libres para todos los que preguntan. Entre ellas se incluyen el popular centro de la tormenta de Internet (Internet del sistema de alerta temprana), el semanario de noticias (NewsBites), el resumen semanal de la vulnerabilidad (@ RIESGO), flash de alertas de seguridad y más de 1200 premiado, con documentos originales de investigación.
Integridad: los componentes del sistema solo pueden ser creados y modificados por los usuarios autorizados.
Prote Protege gen n los los datos datos de modif modifica icacio cione nes s no auto autoriz rizad adas as dete detecta ctando ndo cualq cualquie uier r modificación inserción, eliminación o retrasmisión.
Confidencialidad: los componentes del sistema solo pueden ser accesibles solo por aquellos usuarios autorizados solo accedan quienes estén autorizados autorizados tienen acceso al a información.
Disponibilidad: Los usuarios deben tener disponibles todos los componentes del siste sistema ma cuan cuando do así así lo dese deseen. en. Los Los usua usuario rios s autor autoriza izado dos s tiene tienen n acces acceso o a la información.
No repudio: alguien no puede negar que hizo cierta acción. aquellos s actos delictivos reali realiza zados dos con con el uso uso de Delitos Informáticos: son aquello computadoras o medios electrónicos, electrónicos, cuando tales conductas conductas constituyen el único medio de comisión posible o el considerablemente más efectivo, y los delitos en que se daña estos equipos, redes informáticas, informáticas , o la información contenida en ellos, vulnerando bienes jurídicos protegidos. Es decir, son los delitos en que los medios tecnológicos o son el método o medio comisivo, o el fin de la conducta delictiva.
-Formas Los delitos informáticos se manifiestan en dos sentidos: sentidos: como delitos de resultado y como delitos de medio . El primer grupo se refiere a conductas que vulneran los sistemas que utilizan tecnologías de información, es decir, que lesionan el bien jurídico constituido por la información que los sistema sistemas s contien contienen, en, procesa procesan, n, resguar resguardan dan y transmit transmiten, en, puesto que la información no es más que el bien que subyace en ellos. El segundo grupo, correspondiente correspondiente a los delitos informáticos de medio, recoge las conductas que se valen del uso de las tecnologías de información para atentar contra bienes jurídicos distintos de la información información contenida y tratada en sistemas automatizados, esto es, bienes como la propiedad propiedad,, la privacidad de las personas o el orden económico. económico . Lo que distingue a este grupo de delitos informáticos es la utilizac utilización ión de las tecnolo tecnologías gías de informa información ción como único único medio medio de comisió comisión n posible o como medio extremadamente ventajoso en relación con cualquier otropara vulnerar el bien jurídico objeto de protección penal.
-Sujetos activos y pasivos Muchas Muchas de las persona personas s que cometen cometen los delitos delitos informá informático ticos s poseen poseen ciertas ciertas características características específicas específicas tales como la habilidad habilidad para el manejo de los sistemas
inform informát ático icos s o la real realiza izació ción n de tareas tareas labor laborale ales s que que le facil facilita itan n el acces acceso o a información de carácter sensible. En algunos casos la motivación del delito informático no es económica sino que se relaciona relaciona con el deseo de ejercitar, ejercitar, y a veces hacer conocer a otras personas, los conocimientos o habilidades del delincuente en ese campo. Muchos de los "delitos informáticos" encuadran encuadran dentro del concepto concepto de " delitos de cuell cu ello o bl blan anco co", ", térm términ ino o intr introd oduc ucid ido o por prime rimera ra vez vez por por el crim crimin inól ólog ogo o estadounidense Edwin Sutherland en 1943 1943.. Esta categoría requiere que: (1) el sujeto activo del delito sea una persona de cierto estatus socioeconómico; (2) su comis comisión ión no pued pueda a explic explicar arse se por por falta falta de medi medios os econ económ ómico icos, s, caren carencia cia de recreación, poca educación, poca inteligencia, ni por inestabilidad emocional. El sujeto pasivo en el caso de los delitos informáticos, pueden ser individuos, inst instit ituc ucio ione nes s cred credit itic icia ias, s, órga órgano nos s esta estata tale les, s, etc. etc. que util utilic icen en sist sistem emas as autom automat atiza izados dos de infor informa mació ción, n, gener generalm almen ente te cone conecta ctados dos a otros otros equip equipos os o sistemas externos. Para Para la labor labor de preve prevenci nción ón de estos estos delitos delitos es impor importan tante te el aport aporte e de los los demanificados que puede ayudar en la determinación del modus operandi , esto es de las maniobras usadas por los delincuentes informáticos.
Políticas de Seguridad: La Política de Seguridad tiene dos propósitos centrales: Informar Informar a todos los usuarios sobre las obligaciones que deben asumir respecto a la seguridad asociada a los recursos de tecnología de Información T.I y dar las guías para actuar ante posibles amenazas y problemas presentados.
Comparación entre la norma ISO 17799 e ISO 27000 -ISO 17799 es un conjunto de buenas prácticas en seguridad de la información. Contienes 133controles aplicables. -La ISO 17799 no es certificable, ni fue diseñada para el fin. -La norma que si es certificable en la norma ISO 27001 como también lo fue su antecesora BS 7799-2. -ISO 27001 contiene contiene un anexo A, que consiste consiste en los controles de la norma norma ISO 17799 para su posible aplicación en el SGSI que implante cada organización. -ISO 17799 es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información. -ISO -ISO 1779 17799 9 aplic aplica a invari invariab ablem lement ente e a orga organiz nizaci acion ones es pequ pequeña eñas, s, media mediana nas s y multi multina nacio ciona nales les.. ISO ISO 1779 17799 9 comp compren rende de cláus cláusula ulas s enfoc enfocad adas as a prác práctic ticas as y métodos métodos fundam fundamenta entales les de segurid seguridad ad contemp contemporán oránea ea contemp contempland lando o avances avances tecnológicos. -ISO 27001 27001 especif especifica ica los requisi requisitos tos para implanta implantarr, operar operar,, vigilar vigilar,, manten mantener er,, evaluar un sistema de seguridad informática explícitamente. ISO 27001 permite
auditar un sistema bajo lineamientos ISO 17799 para certificar ISMS (Information Security Management System). -La norma ISO 27002 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO17799:2005. -La -La norm norma a ISO2 ISO270 7001 01 cont contie iene ne un anex anexo o que que resu resume me los los cont contro role les s de ISO17799:2005.
ESTADISTICAS. Reparación de Estadística de la vulnerabilidad Vulnerabilidad de rehabilitación es una de las principales áreas de trabajo en el Centro de Coordinación CERT ® (CERT / CC). El CERT / CC tanto se esfuerza por reducir el número de vulnerabilidades introducidas en el software y reducir el riesgo planteado por las vulnerabilidades vulnerabilidades existentes. existentes. Nuestro estándar estándar de proceso de reha rehabil bilita itació ción n incluy incluye e la recop recopila ilació ción n de infor informe mes s de vulner vulnerab abili ilida dades des,, la realización de análisis técnico, la coordinación con los proveedores afectados, y el establecimiento de un plazo razonable para la divulgación de información acerca de la vulnerabilidad.
Catalogadas vulnerabilidades
Año
Q1-Q3, 2008 2007 2006 2005 2004 2003 2002 2001 2000 1999 1998
Total de vulnerabilidades
Directa de informes
6058 7236 8064 5990 3780 3784 4129 2437 1090 417 262
310 357 345 213 170 191 343 153
1997 1996 1995
311 345 171
Totales
44074
PUBLICACIONES ACERCAR DE LAS VULNERA VULNER AVILIDADES
Toma nota de la vulnerabilidad publicada
Técnico de Seguridad Alertas publicados
Alertas de seguridad publicados
Q1-Q3, 2008 2007 2006 2005 2004 2003 2002 2001 2000 1999 1998
145 366 422 285 341 255 375 326 47 3 8
29 42 39 22 27
22 31 37 11 17
Totales
2573
159
118
Año
Columna Definiciones Año - Esta columna representa el año civil, no el año fiscal. Total de vulnerabilidades catalogadas: Esta columna refleja el número total de vulnerabilidades que hemos catalogado sobre la base de informes de fuentes públicas y los que se nos presenta directamente. Almacenar la información en nues nuestr tra a base base de dato datos s perm permit ite e a nues nuestr tros os anal analis ista tas s sist sistem emát átic icam amen ente te la vulnerabilidad de registro de datos, ayuda a arrojar luz sobre las condiciones previas importantes, los impactos, y el alcance, y nos da una manera de validar los informes y reconocer nuevos tipos de vulnerabilidades.
Directa de los informes: Esta columna refleja el número total de vulnerabilidades que hemos catalogado sobre la base de vulnerabilidades informó directamente a nosotros. Animamos a la gente que informe las vulnerabilidades de manera que podamos coordinar con los proveedores afectados para resolver la vulnerabilidad y reducir al mínimo el riesgo para todas las partes interesadas. Para determinar un número aproximado de las vulnerabilidades de fuentes públicas, restar el número de informes directos del total de vulnerabilidades catalogadas. El número real puede variar ligeramente ligeramente ya que en ocasiones, las vulnerabilidades vulnerabilidades se comunican comunican directamente a nosotros y a conocer al público al mismo tiempo.
Toma nota de la vulnerabilidad de publicación: Esta columna refleja el número de vulnerab vulnerabilid ilidad ad Notas Notas hemos hemos publica publicado. do. Estos Estos docume documentos ntos proporc proporciona ionan n información técnica y soluciones a las vulnerabilidades que hemos analizado. Aunque no podemos publicar la información sobre cada vulnerabilidad, hacemos un esfuerzo concertado para publicar información acerca de las más críticas e importantes vulnerabilidades. A partir de 2004, publicamos estos documentos en nombre de US-CERT. US-CERT.
Técnico de Seguridad publicado Alertas: Esta columna refleja el número de alertas de seguridad técnica que hemos publicado en relación con el US-CERT. Estos Estos docume documentos ntos proporc proporciona ionan n informac información ión oportuna oportuna acerca acerca de los actuale actuales s problemas de seguridad, vulnerabilidades y exploits.
Alertas de seguridad publicado: Esta columna refleja el número de alertas de seguridad que hemos publicado en relación con el US-CERT. Estos documentos prop propor orci cion onan an info inform rmac ació ión n opor oportu tuna na acer acerca ca de los los actu actual ales es prob proble lema mas s de seguridad, seguridad, vulnerabilidades vulnerabilidades y exploits. Se exponen las medidas y acciones acciones que no técnico y empresarial a casa los usuarios de la computadora puede tomar para protegerse de los ataques.
RESUMEN. ISO 17799 ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar y mantener la seguridad de una organización. ISO ISO 1779 17799 9 defi define ne la info inform rmac ació ión n como como un acti activo vo que que pose posee e valo valorr para para la organización y requiere por tanto de una protección adecuada. La seguridad de la información se define como la preservación de: -
Confidencialidad
-
Integridad
-
Disponibilidad
-
No Repudio
El obje objetiv tivo o de la norm norma a ISO ISO 1779 17799 9 es prop propor orsi sina narr una una base base comú común n para para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficazde la gestión de seguridad. La adaptación española de la norma se denomina UNE-ISO/IEC 17799. Se trata trata de una una norm norma a NO CERTIF CERTIFICA ICABL BLE, E, pero pero que que recog recoge e la rela relació ción n de controles a aplicar para establecer un Sistema de gestión de la Seguridad de la información (SGSI), según la norma UNE71502, CERTIFICABLE. En 1995 el British Standard Institute publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información. En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en 2002. Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: – Conju Conjunto nto comp complet leto o de contr controle oles s que que conf conform orman an las buena buenas s práct práctica icas s de seguridad de la información. – Aplicable por toda organización, con independencia de su tamaño.
– Flex Flexib ible le e inde indepe pend ndie ient nte e de cual cualqu quie ierr solu soluci ción ón de segu seguri rida dad d conc concre reta ta:: recomendaciones neutrales con respecto a la tecnología. En 2002 2002 la norm norma a ISO ISO se adopt adopta a como como UNE sin apenas apenas modi modific ficac ación ión (UNE (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO). La norma UNE-ISO/IEC 17799 establece diez dominios por completo la Gestión de la Seguridad de la Información:
de control que cubren
1. Política de seguridad. 2. Aspectos organizativos para la seguridad. 3. Clasificación y control de activos. 4. Seguridad ligada al personal. 5. Seguridad física y del entorno. 6. Gestión de comunicaciones y operaciones. 7. Control de accesos. 8. Desarrollo y mantenimiento de sistemas. 9. Gestión de continuidad del negocio. 10.Conformidad con la legislación. De esto estos s diez diez domin dominios ios se deriva derivan n 36 objet objetivo ivos s de contr control ol (resu (resulta ltado dos s que que se esper esperan an alcan alcanza zarr media mediant nte e la imple impleme menta ntació ción n de cont control roles es)) y 127 127 contr controle oles s (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).
Políticas de seguridad. Dirigir y dar soporte a la gestión de la seguridad de la información. L a alta dirección debe definir una política que refleje las lineasdirectrices de la organización en materia de seguridad, aprobarla y publicarla de la forma adecuada a todo el personal implicado en la segurdad de la información. La polí políti tica ca se cons consti titu tuye ye en la base base de todo todo el sist sistem ema a de segu seguri rida dad d de la información. La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía.
Aspectos Organizativos para la Seguridad. Gestionar la seguridad de la información dentro de la organización. Mantener la seguridad seguridad de los recursos recursos de tratamiento tratamiento de la información información y de los activos de información de la organización que son accedidos por terceros.
Manten Mantener er la segur segurida idad d de la inform informaci ación ón cuan cuando do la resp respons onsab abili ilidad dad de su tratamiento se ha externalizado a otra organización. Gestionar la seguridad de la información dentro de la organización. Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros. Manten Mantener er la segur segurida idad d de la inform informaci ación ón cuan cuando do la resp respons onsab abili ilidad dad de su tratamiento se ha externalizado a otra organización.
CLASIFICACIÓN Y CONTROL DE ACTIVOS Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información.
SEGURIDAD FÍSICA Y DEL ENTORNO. Evitar Evitar acceso accesos s no autoriza autorizados, dos, daños e interfer interferenc encias ias contra contra los locales y la información de la organización. Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. Preve Prevenir nir las las expos exposici icione ones s a riesg riesgo o o robos robos de infor informa mació ción n y de recu recurso rsos s de tratamiento de información.
GESTIÓN DE COMUNICACIONES Y OPERACIONES. Aseg Asegura urarr la oper operaci ación ón corre correcta cta y segur segura a de los recur recursos sos de trata tratami mient ento o de información. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la información. Manten Mantener er la integ integrid ridad ad y la dispo disponib nibili ilida dad d de los los servic servicios ios de trata tratamie mient nto o de información y comunicación. Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo. Evitar daños a los activos e interrupciones de actividades de la Organización.
Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
CONTROL DE ACCESOS Controlar los accesos a la información. Evitar accesos no autorizados a los sistemas de información. Evitar el acceso de usuarios no autorizados. Protección de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la información contenida en los sistemas. Detectar actividades no autorizadas. Garan Garantiz tizar ar la segu segurid ridad ad de la inform informaci ación ón cuando cuando se usan usan dispo disposit sitivo ivos s de informática móvil y teletrabajo.
DESARROLLO Y MANTENIMIENTO DE SISTEMAS. Asegurar que la seguridad está incluida dentro de los sistemas de información. Evit Evitar ar pérd pérdid idas as,, modi modifi fica caci cion ones es o mal mal uso uso de los los dato datos s de usua usuari rio o en las las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la información. Asegurar que los proyectos de Tecnología de la Información y las actividades complementarias son llevados a cabo de una forma segura. Mantener la seguridad del software y la información de la aplicación del sistema.
GESTIÓN DE CONTINUIDAD DEL NEGOCIO. Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres.
CONFORMIDAD
Evita Evitarr el incu incump mplim limien iento to de cualq cualquie uierr ley, ley, estat estatut uto, o, regu regulac lación ión u oblig obligaci ación ón contractual y de cualquier requerimiento de seguridad. Garan Garantiz tizar ar la aline alineaci ación ón de los siste sistema mas s con con la polít política ica de segu segurid ridad ad de la organización y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas.
AUDITORIA Conociendo Conociendo el nivel de cumplimiento actual, es posible determinar el nivel mínimo aceptable y el nivel objetivo en la organización:
mínimo aceptable aceptable. Esta – Nivel Nivel mínimo Estado do con con las las mínim mínimas as garan garantía tías s de segur segurida idad d necesarias para trabajar con la información corporativa. – Nivel objetivo. Estado de seguridad de referencia para la organización, con un alto grado de cumplimiento ISO 17799.
ISO 17799 no es una norma tecnológica. – Ha sido redactada de forma flexible e independiente de cualquier solución de seguridad específica. – Proporciona buenas prácticas neutrales con respecto a la tecnología y a las soluciones disponibles en el mercado.
Estas características posibilitan su implantación en todo tipo de organizaciones, sin sin impo import rtar ar su tama tamaño ño o sect sector or de nego negoci cio, o, pero pero al mism mismo o tiem tiempo po son son un argumento para los detractores de la norma. La adopción de la norma ISO 17799 proporciona diferentes ventajas a cualquier organización: – Aumento de la seguridad efectiva de los sistemas de información. – Correcta planificación y gestión de la seguridad. – Garantías de continuidad del negocio. – Mejora contínua a través del proceso de auditoría interna. – Incremento de los niveles de confianza de nuestros clientes y partners. – Aumento del valor comercial y mejora de la imagen de la Organización.
LEYES DE SEGURIDAD INFORMÁTICA Derecho informático Es una una rama rama de las las cien cienci cias as jurí jurídi dica cas s que que cons consid ider era a la info inform rmát átic ica a como como instrumento y objeto de estudio.
Legislación informática La información como producto informático La protección de los datos personales. La regulación jurídica de internet. Los delitos informáticos.
Delitos informáticos El delito informático implica actividades criminales que los países han tratado de encuadrar encuadrar en figuras típicas de caracteres caracteres tradicionales, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes.
Ley contra laso delitos informáticos en Colombia. El congreso colombiano aprobó un proyecto de ley que modifica el código penal para incorporar los delitos que violen la protección de informa formación de los datos.