CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

domingo, 1 de febrero de 2009

Seguridad en redes de datos



SEGURIDAD INFORMATICA

Seguridad informática: consiste en un conjunto de métodos que nos permite proteger el acceso del sistema de informaron de una organización

Políticas de seguridad: una política de Seguridad son un conjunto de documentos que marcan la estrategia de la empresa en relación con la seguridad informática. Suelen constar de documentos a distintos niveles:

Política: Sería como un documento de declaración de intenciones.

Normativas: Son la descripción de obligaciones para hacer cumplir las políticas. Describen acciones concretas sobre distinos activos. Describen “el qué se hace”.

Procedimientos: Son las descripciones técnicas que hacen cumplir las normativas. Están adaptadas a según que tecnología. Describen “el cómo se hace”.

Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.

Amenaza: es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

Impacto: medir la consecuencia al materializarse una amenaza.

Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.

Vulnerabilidad: posibilidad de ocurrencia de la materialización de unaamenaza sobre un Activo.

Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.

Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio. Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.

Certificación CISSP: CISSP es la certificación en Seguridad de la Información más reconocida a nivel mundial y es avalada por el (ISC)2, International Information Systems Security Certification Consortium.
Fue diseñada con el fin de reconocer una maestría de conocimientos y experiencia en Seguridad de la Información con una ética comprobada en el desarrollo de la profesión.

Isc2: El (ISC)2, International Information Systems Security Certification Consortium, es una organización sin ánimo de lucro que se encarga de:


• Mantener el “Common Body of Knowledge” en Seguridad de la Información.
• Certificar profesionales en un estándar internacional de Seguridad de la Información.
• Administrar los programas de entrenamiento y certificación.
• Garantizar la vigencia de las certificaciones a través de programas de capacitación continua.

Sans: El Instituto SANS (SysAdmin Audit, Networking and Security Institute) es una institución con ánimo de lucro fundada en 1989, que agrupa a 165.000 profesionales de la seguridad informatica (consultores, administradores de sistemas, universitarios, agencias gubernamentales, etc.). Igualmente, el SANS Institute es una universidad formativa en el ámbito de las tecnologías de seguridad. Es una referencia habitual en la prensa sobre temas de auditoría informática.

Sus principales objetivos son:

*Reunir información sobre todo lo referente a seguridad informática (sistemas operativos, routers,firewalls, aplicaciones,IDS, etc.)

*Ofrecer capacitación y certificación en el ámbito de la seguridad informática

Confidencialidad: La información sólo debe ser legible para los autorizados.

Integridad: los datos no se modifican a menos que un usuario autorizado lo haga

Disponibilidad: Debe estar disponible cuando se necesita.

Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

Delitos informáticos: Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancionado con una pena.

De esta manera, el autor mexicano Julio TELLEZ VALDEZ señala que los delitos informáticos son "actitudes ilícitas en que se tienen a las computadoras como instrumento o fin (concepto atípico) o las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin (concepto típico)". Por su parte, el tratadista penal italiano Carlos SARZANA, sostiene que los delitos informáticos son "cualquier comportamiento criminal en que la computadora está involucrada como material, objeto o mero símbolo".

Tipos de delitos informáticos

La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos:

*Fraudes cometidos mediante manipulación de computadoras

*Manipulación de los datos de entrada

*Daños o modificaciones de programas o datos computarizados

Legislación nacional

En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales.

La ONU señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y los delitos informáticos se constituyen en una forma de crimen transnacional.


SOLUCION EJERCICIO 11.1

NORMA ISO 17799

Debido a la necesidad de hacer segura la información que poseen las organizaciones era necesaria la existencia de alguna normativa o estándar que acogiera todos los aspectos a tener en consideración por parte de las organizaciones para protegerse eficientemente frente a todos los probables incidentes que pudieran afectarla por esta necesidad apareció el BS 7799, o estándar para la gestión de la seguridad de la información, un estándar desarrollado por el British Standard Institute en 1999 en el que se engloban todos los aspectos relacionados con la gestión de la seguridad de la información dentro de la organización. Esta normativa británica acabó desembocando en la actual ISO/IEC 17799:2000 – Code of practice information security management.

ISO/IEC 17799 (también ISO 27002) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por International orgnization for standardization y por la comisión International Electrotechnical Commission en el año 2000 y con el título de Information technology - Security techniques - Code of practice for information security management. La actualización de los contenidos del estándar se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en archivo:la norma britanica British Standard BS 7799-1 que fue publicada por primera vez en 1995.

ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información.

La versión de 2005 del estándar incluye las siguientes once secciones principales:

*Política de seguridad: en este punto la norma establece el concepto de política de seguridad, cómo debe ser documentada y cómo debe realizarse la revisión y evaluación.

*Aspectos organizativos para la seguridad: se basa en que el problema de seguridad debe ser compartido por todos los integrantes de la organización y propone la creación de un foro gerencial sobre la seguridad de la información, cuya función principal es la de coordinar la implementación de controles de seguridad.

*Clasificación y control de activos: trata la identificación de los activos de información de la organización y quiénes son los responsables de lo mismos. Así define los recursos de información, tales como bases de datos y archivos, pero también incluye otros como la documentación de sistemas, los materiales de capacitación, los planes de continuidad, etc. Es decir, aborda un concepto amplio de lo que es información. Luego incluye los recursos de software de aplicación, los activos físicos (equipamiento) y los servicios generales.

*Seguridad ligada al personal: sostiene que la responsabilidad en materia de seguridad debe ser establecida en la etapa de reclutamiento e incluida en los aspectos contractuales, además de ser adecuadamente monitoreada. Así es que incluye qué aspectos deben ser tenidos en cuenta en la selección y política de personal, en los acuerdos de confidencialidad, los términos y condiciones del empleo, la capacitación de usuarios, el registro de incidentes y la existencia de un régimen disciplinario.

*Seguridad física y del entorno: en este punto se incluye todo aquello referido al establecimiento de actividades que impidan accesos no autorizados, daños o interferencia de la información. Abarca los aspectos físicos tales como la protección de oficinas, recintos e instalaciones.

*Gestión de comunicaciones y operaciones: se establece cómo deben realizarse los procedimientos relativos al procesamiento de la información, planificación y aprobación de sistemas, protección contra software malicioso, mantenimiento, administración de medios informáticos removibles, intercambios de información y software, acuerdos de intercambio de información y software.

*Control de accesos: detalla las pautas para el acceso a la información y los procesos de negocio, abarcando los procesos de definición de políticas de accesos, administración de usuarios (altas, permisos, administración de contraseñas), responsabilidad del usuario, control de acceso a la red, utilización de utilitarios, accesos remotos, etc.

*Desarrollo y mantenimiento de sistemas: comprende todo aquello relacionado con la explotación de la información mediante la utilización de software comercial (adquirido) y software desarrollado por la propia organización. Así es que incluye las mejoras y los requerimientos de seguridad, la validación en el ingreso, el procesamiento y la salida de datos, la incorporación de controles criptográficos, los controles relativos al software para evitar la manipulación del código protegiendo programas fuente, los adecuados procesos de desarrollo y soporte, etc.

*Gestión de incidentes de seguridad de la información:

*Gestión de continuidad de negocio: el objetivo es que la organización siga funcionando y realizando sus actividades principales, asegurando la continuidad de los procesos críticos de la organización. Abarca desde el diseño del plan de continuidad, el análisis del impacto, la implantación, la prueba y el mantenimiento del plan.

*Conformidad: se refiere al cumplimiento de la normativa legal vigente en el lugar donde la organización desempeña sus actividades. Aquí se incluyen aspectos relativos al derecho de propiedad intelectual, la protección de registros, la privacidad de la información personal, las políticas de seguridad y la auditoría de sistemas.

La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.

Esta norma es aplicable a cualquier empresa, sea cual sea el tamaño, la actividad de negocio o el volumen del mismo, esto es lo que se denomina el principio de proporcionalidad de la norma, es decir que todos los aspectos que aparecen en la normativa deben ser contemplados y tenidos en cuenta por todas las organizaciones a la hora de proteger sus activos, y la diferencia radicará en que una gran organización tendrá que utilizar más recursos para proteger activos similares a los que puede poseer una pequeña organización.

La ISO (Internacional Organization for Standardization) en la actualidad está trabajando para confeccionar esta segunda parte del ISO/IEC 17799 con el objetivo de que las organizaciones puedan certificarse contra esta norma de carácter internacional.


1995- BS 7799-1: codigo de buenas practicas para la gestion de la seguridad de la informacion.
1998- BS 7799-2:especificaciones para la gestion de la seguridad de la informacion.

Tras una revision de ambas partesde BS 7799 (1999) la primera es adoptada como norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin ap
enas modificacion (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.

ISO 17799 no es una norma tecnologica:

  • ha sido redacrada de forma flexible e independiente de cualquier solucion de seguridad especifica
  • proporciona buenas practicas neutrakes con respecto a la tecnologia y a las soluciones disponibles en el mercado.
NORMA ISO 27001

Esta norma muestra como aplicar los controles propuestod en la iso 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".


Comparación entre ISO 17799 e ISO 27001

- Ha diferenta de la norma ISO 17799, la ISO 27001 establece los requisitos para construir un SGSI (Sistemas de Gestión de la Seguridad de la Información) “auditable” y “certificable” la parte de la administración

- la ISO 17799 no es certificable y tampoco fue diseñada para certificar

- la ISO 17799 es para la ISO 27001, una relación de controles necesarios para garantizar la seguridad de la información

-ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente.

- ISO 27001 permite auditar un sistema bajo lineamientos ISO 17799 para certificar ISMS (Information Security Management System).

-ISO 17799 comprende cláusulas enfocadas a prácticas y métodos fundamentales de seguridad contemporánea contemplando avances tecnológicos

-La norma ISO 27001 contiene un anexo que resume los controles de ISO17799:2005.

Instituciones relacionadas con la redacción de normas de seguridad de información

ICONTEC

El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) es un organismo multinacional de carácter privado, sin ánimo de lucro, que trabaja para fomentar la normalización, la certificación, la metrología y la gestión de la calidad en Colombia. Está conformado por la vinculación voluntaria de representantes del Gobierno Nacional, de los sectores privados de la producción, distribución y consumo, el sector tecnológico en sus diferentes ramas y por todas aquellas personas jurídicas y naturales que tengan interés en pertenecer a él.

ICONTEC es un organismo de certificación con cubrimiento mundial, gracias a su vinculación a la Red Internacional de Certificación, IQNet (red que integra a las entidades certificadoras más importantes, con más de 150 subsidiarias alrededor del mundo y con cuarenta acreditaciones).

¿Que es la normalización?

Normalización es la actividad que establece disposiciones para uso común y repetido, encaminadas al logro del grado óptimo de orden con respecto a problemas reales o potenciales, en un contexto dado. En particular, la actividad consta de los procesos de formulación, publicación e implementación de normas.

Estadísticas sobre seguridad informática

Durante la primera mitad de 2008, la unidad S21sec e-crime detectó y solucionó un total de 1.842 casos de phishing, troyanos, redirectores y otras actividades calificadas de fraude online, 198 más que en todo 2007. Como se puede ver esta cifra resulta muy superior a la alcanzada en años anteriores y, la tendencia es la misma de cara a estos últimos meses del año

El phishing continúa siendo una de las principales preocupaciones ya que supuso el 60% del total de casos en 2008, pero durante este periodo se ha incrementado el número de troyanos detectados llegando a representar un 37% de los casos. Junio fue el mes en el que más ataques de phishing se registraron de la historia (423),.

El país de procedencia del mayor número de ataques sigue siendo Estados Unidos y el tiempo medio de cierre de sitios fraudulentos fue de 1,6 días.

Certificaciones internacionales:

*CISSP: Certified Information System Security Professional

*CompTIA: Security+ Professional

*CISA: Certified Information System Auditor

*CISM: Certified Information System Manager

*GIAC: Global Information Assurance Certification

*CCSP: Cisco Certified Security Professional

*CCNA: Cisco Certified Network Associate

*CCSP: Cisco Certified Security Professional

*MCP: Microsoft Certified System Professional

*MCSA: Microsoft Certified System Associate

*MCSE: Microsoft Certified System Engineer

*CCSE: Check Point Certified Security Expert

*CPP: Certified Protection Professional

*CIA: Certified Internal Auditor

Certificaciones Profesionales


Estudios superiores relacionados con seguridad informática

Cursos de seguridad informática:

*Centro formativo - SEAS, estudios superiores abiertos

*Pais - España:

*modalidad – a distancia y on line

* Titulacion que se obtiene - Los alumnos que superen el programa de estudios, tendrán derecho a la expedición de dos títulos:

- Título Propio de Diploma en Seguridad Informática por la Universidad Católica de Ávila.
- Técnico Especialista en Seguridad Informática por la Fundación San Valero, en el que La Universidad San Jorge ha verificado que los procedimientos educativos de SEAS siguen los criterios de calidad exigibles a la Enseñanza Superior.

Centro formativo: Universitat Oberta de Catalunya

País: España (Barcelona)

Modalidad: on line o a distancia

Titulo: máster en seguridad informática

Centro formativo: instituto universitario de posgrado (IUP)

lugar: Madrid (Madrid)

Modalidad: on line

Titulo: Máster en Nuevas Tecnologías Aplicadas a la Educación

DURACION: 16 MESES

Centro formativo: instituto cibernos

Lugar: Madrid (Madrid)

Modalidad: presencial

Titulo: máster en seguridad informática

Duración: 275 horas

Centro formativo: instituto cibernos

Lugar: Madrid (Madrid)

Titulo: Master en Seguridad Informática y Certificación Cissp

Duración: 230 horas


SOLUCIONES PARA LA SEGURIDAD DE LA INFORMACION:


Las herramienta básicas para cumplir las condiciones o principios de la seguridad informática son llamadas técnicas criptográficas, en particular los MÉTODOS DE CIFRADO SIMÉTRICO (usan una misma clave secreta para cifrar y descifrar) o ASIMÉTRICO (cada usuario tiene una pareja de claves, una pública y otra privada, con la propiedad de que lo que se cifra con una de las claves sólo se puede descifrar con la otra). Basados en los métodos anteriores de cifrado encontramos un conjunto de MECANISMOS DE SEGURIDAD desarrollados para brindar confianza en el momento de querer establecer comunicaciones seguras.

ESTRUCTURA CON CLAVE SIMETRICA




El cifrado simétrico usa el sistema DES que permite garantizar la confidencialidad de la comunicación entre ellos pero es poco adecuado cuando uno de los actores establece comunicaciones ocasionales con otros con los que no tenía una relación previa.este sistema es muy poco recomendado ya que si pierde su clave su informacion se vera en peligro.

ESTRUCTURA CON CLAVE ASIMETRICA



Cada actor en la comunicación hace pública una de sus claves (será su clave pública) para que con ella le envien textos cifrados, y la otra la mantiene en secreto (su clave privada), que es para desencriptar lo que le mandaron encriptado con su clavfe publica, por esto el cifrado asimétrico se le conoce también como cifrado de clave pública. La clave privada puede guardarse en el equipo del usuario o en una tarjeta inteligente.



1 comentarios:

Alexis Palta dijo...

Hola Mucho gusto mi nombre es Alexis Palta, Me gusta mucho trabajar sobre sistemas de información, te cuento que ese es mi tema de investigación y pues el favor que necesito es: si tu tienes la norma Standard - 7799 o si por casualidad tienes una mas actualizada porfavor me puedes enviar un mensaje al correo djalexis_24@hotmail.com o al alexispalta@misena.edu.co
Le agradezco su colaboracion y espero una pronta respuesta...