SEGURIDAD INFORMATICA.

Definiciones y conceptos:

Seguridad informática: La seguridad de la información es la protección de la información de un gran rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos en los negocios y maximizar el regreso de inversionistas y oportunidad de negocios.

Normas de seguridad: Toda organización debe estar a la vanguardia de los procesos de cambio.donde disponer de información continua, confiable y en tiempo, constituye una ventaja fundamental.

Políticas de seguridad: Una política de seguridad en el ámbito de la criptografía de clave púbica o PKI es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prácticas para la seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un país entero.

Activo: Recursos de sistemas de información es relacionado con este. Necesario para que la organización funcione correctamente.

Amenaza: Una causa potencial de un incidente no deseado podría resultar dominio para un sistema u organización.

Riesgo: combinación de la probabilidad de un evento y su consecuencia.

Vulnerabilidad: Una debilidad de una ventaja o un grupo de ventajas pueden ser explotadas por una o más amenazas.

Ataque: Evento exitoso o no atento sobre el buen funcionamiento.

Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

CERT: es un acrónimo que quiere decir Cumputer Emergency ResponseTeam, creado en el 1988 por Advance Research Project Agency (ARPA).

Su función principal consiste en recoger información sobre eventuales violaciones de la seguridad, coordinar los procedimientos relativos a tales violaciones y adiestrar o enseñar a la comunidad internet sobre el argumento de la seguridad.

ISC2: ( International Information systems Security Certification Consortium), es una organización sin ánimo de lucro que se encarga de:

-Mantener el “Commonn Body of Knowledge” en seguridad de la informacion.

-Certifica profesionales en un estándar internacional de seguridad de información.

-Administra los programas de entrenamiento y certificación.

-garantiza la vigencia de las certificaciones a través de programas de capacitación continua.

CISSP: Es la certificación en seguridad de la información más reconocida a nivel mundial y es elevada por el ISC2.

Fue diseñada con el fin de reconocer una maestría de conocimientos y experiencia en seguridad de la información con una ética comprobada en el desarrollo de la profesión.

SANS: SANS es la más confiable y con mucho la mayor fuente de seguridad de la información, formación y certificación en el mundo. Asimismo, desarrolla, mantiene, y pone a disposición sin costo alguno, la mayor colección de documentos de investigación sobre diversos aspectos de la seguridad de la información, y que opera en Internet del sistema de alerta temprana - Centro de Internet tormenta.

El SANS (Administrador, Auditoría, Redes, Seguridad), el Instituto se creó en 1989 como una cooperativa de investigación y educación organización. Ahora sus programas llegan a más de 165.000 profesionales de la seguridad en todo el mundo. Una serie de individuos de los auditores y administradores de red, a los oficiales jefe de seguridad de la información están compartiendo las lecciones que aprenden y se conjunta la búsqueda de soluciones a los retos que se enfrentan. En el corazón de SANS muchos son los profesionales de la seguridad en diversas organizaciones mundiales de las empresas a las universidades que trabajan juntos para ayudar a toda la comunidad de seguridad de la información.

Muchos de los valiosos recursos SANS son libres para todos los que preguntan. Entre ellas se incluyen el popular centro de la tormenta de Internet (Internet del sistema de alerta temprana), el semanario de noticias (NewsBites), el resumen semanal de la vulnerabilidad (@ RIESGO), flash de alertas de seguridad y más de 1200 premiado, con documentos originales de investigación.

Integridad: los componentes del sistema solo pueden ser creados y modificados por los usuarios autorizados.

Protegen los datos de modificaciones no autorizadas detectando cualquier modificación inserción, eliminación o retrasmisión.

Confidencialidad: los componentes del sistema solo pueden ser accesibles solo por aquellos usuarios autorizados solo accedan quienes estén autorizados tienen acceso al a información.

Disponibilidad: Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen. Los usuarios autorizados tienen acceso a la información.

No repudio: alguien no puede negar que hizo cierta acción.

Delitos Informáticos: son aquellos actos delictivos realizados con el uso de computadoras o medios electrónicos, cuando tales conductas constituyen el único medio de comisión posible o el considerablemente más efectivo, y los delitos en que se daña estos equipos, redes informáticas, o la información contenida en ellos, vulnerando bienes jurídicos protegidos. Es decir, son los delitos en que los medios tecnológicos o son el método o medio comisivo, o el fin de la conducta delictiva.

-Formas

Los delitos informáticos se manifiestan en dos sentidos: como delitos de resultado y como delitos de medio.

El primer grupo se refiere a conductas que vulneran los sistemas que utilizan tecnologías de información, es decir, que lesionan el bien jurídico constituido por la información que los sistemas contienen, procesan, resguardan y transmiten, puesto que la información no es más que el bien que subyace en ellos.

El segundo grupo, correspondiente a los delitos informáticos de medio, recoge las conductas que se valen del uso de las tecnologías de información para atentar contra bienes jurídicos distintos de la información contenida y tratada en sistemas automatizados, esto es, bienes como la propiedad, la privacidad de las personas o el orden económico. Lo que distingue a este grupo de delitos informáticos es la utilización de las tecnologías de información como único medio de comisión posible o como medio extremadamente ventajoso en relación con cualquier otro- para vulnerar el bien jurídico objeto de protección penal.

-Sujetos activos y pasivos

Muchas de las personas que cometen los delitos informáticos poseen ciertas características específicas tales como la habilidad para el manejo de los sistemas

informáticos o la realización de tareas laborales que le facilitan el acceso a información de carácter sensible.

En algunos casos la motivación del delito informático no es económica sino que se relaciona con el deseo de ejercitar, y a veces hacer conocer a otras personas, los conocimientos o habilidades del delincuente en ese campo.

Muchos de los "delitos informáticos" encuadran dentro del concepto de "delitos de cuello blanco", término introducido por primera vez por el criminólogo estadounidense Edwin Sutherland en 1943. Esta categoría requiere que: (1) el sujeto activo del delito sea una persona de cierto estatus socioeconómico; (2) su comisión no pueda explicarse por falta de medios económicos, carencia de recreación, poca educación, poca inteligencia, ni por inestabilidad emocional.

El sujeto pasivo en el caso de los delitos informáticos, pueden ser individuos, instituciones crediticias, órganos estatales, etc. que utilicen sistemas automatizados de información, generalmente conectados a otros equipos o sistemas externos.

Para la labor de prevención de estos delitos es importante el aporte de los demanificados que puede ayudar en la determinación del modus operandi, esto es de las maniobras usadas por los delincuentes informáticos.

Políticas de Seguridad: La Política de Seguridad tiene dos propósitos centrales: Informar a todos los usuarios sobre las obligaciones que deben asumir respecto a la seguridad asociada a los recursos de tecnología de Información T.I y dar las guías para actuar ante posibles amenazas y problemas presentados.

   

Comparación entre la norma ISO 17799 e ISO 27000

-ISO 17799 es un conjunto de buenas prácticas en seguridad de la información. Contienes 133controles aplicables.

-La ISO 17799 no es certificable, ni fue diseñada para el fin.

-La norma que si es certificable en la norma ISO 27001 como también lo fue su antecesora BS 7799-2.

-ISO 27001 contiene un anexo A, que consiste en los controles de la norma ISO 17799 para su posible aplicación en el SGSI que implante cada organización.

-ISO 17799 es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información.

-ISO 17799 aplica invariablemente a organizaciones pequeñas, medianas y multinacionales. ISO 17799 comprende cláusulas enfocadas a prácticas y métodos fundamentales de seguridad contemporánea contemplando avances tecnológicos.

-ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente. ISO 27001 permite

auditar un sistema bajo lineamientos ISO 17799 para certificar ISMS (Information Security Management System).

-La norma ISO 27002 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO17799:2005.

-La norma ISO27001 contiene un anexo que resume los controles de ISO17799:2005.

ESTADISTICAS.

Reparación de Estadística de la vulnerabilidad

Vulnerabilidad de rehabilitación es una de las principales áreas de trabajo en el Centro de Coordinación CERT ® (CERT / CC). El CERT / CC tanto se esfuerza por reducir el número de vulnerabilidades introducidas en el software y reducir el riesgo planteado por las vulnerabilidades existentes. Nuestro estándar de proceso de rehabilitación incluye la recopilación de informes de vulnerabilidades, la realización de análisis técnico, la coordinación con los proveedores afectados, y el establecimiento de un plazo razonable para la divulgación de información acerca de la vulnerabilidad.

Catalogadas vulnerabilidades

Año Total de vulnerabilidades

Directa de informes

Q1-Q3, 2008 6058 3102007 7236 3572006 8064 3452005 5990 2132004 3780 1702003 3784 1912002 4129 3432001 2437 1532000 1090 1999 417 1998 262

1997 311 1996 345 1995 171

Totales 44074

PUBLICACIONES ACERCAR DE LAS VULNERAVILIDADES

AñoToma nota de la vulnerabilidad

publicada

Técnico de Seguridad Alertas

publicados

Alertas de seguridad publicados

Q1-Q3, 2008 145 29 222007 366 42 312006 422 39 372005 285 22 112004 341 27 172003 255    2002 375    2001 326    2000 47    1999 3    1998 8    

Totales 2573 159 118

Columna Definiciones

Año - Esta columna representa el año civil, no el año fiscal.

Total de vulnerabilidades catalogadas: Esta columna refleja el número total de vulnerabilidades que hemos catalogado sobre la base de informes de fuentes públicas y los que se nos presenta directamente. Almacenar la información en nuestra base de datos permite a nuestros analistas sistemáticamente la vulnerabilidad de registro de datos, ayuda a arrojar luz sobre las condiciones previas importantes, los impactos, y el alcance, y nos da una manera de validar los informes y reconocer nuevos tipos de vulnerabilidades.

Directa de los informes: Esta columna refleja el número total de vulnerabilidades que hemos catalogado sobre la base de vulnerabilidades informó directamente a nosotros. Animamos a la gente que informe las vulnerabilidades de manera que podamos coordinar con los proveedores afectados para resolver la vulnerabilidad y reducir al mínimo el riesgo para todas las partes interesadas. Para determinar un número aproximado de las vulnerabilidades de fuentes públicas, restar el número de informes directos del total de vulnerabilidades catalogadas. El número real puede variar ligeramente ya que en ocasiones, las vulnerabilidades se comunican directamente a nosotros y a conocer al público al mismo tiempo.

Toma nota de la vulnerabilidad de publicación: Esta columna refleja el número de vulnerabilidad Notas hemos publicado. Estos documentos proporcionan información técnica y soluciones a las vulnerabilidades que hemos analizado. Aunque no podemos publicar la información sobre cada vulnerabilidad, hacemos un esfuerzo concertado para publicar información acerca de las más críticas e importantes vulnerabilidades. A partir de 2004, publicamos estos documentos en nombre de US-CERT.

Técnico de Seguridad publicado Alertas: Esta columna refleja el número de alertas de seguridad técnica que hemos publicado en relación con el US-CERT. Estos documentos proporcionan información oportuna acerca de los actuales problemas de seguridad, vulnerabilidades y exploits.

Alertas de seguridad publicado: Esta columna refleja el número de alertas de seguridad que hemos publicado en relación con el US-CERT. Estos documentos proporcionan información oportuna acerca de los actuales problemas de seguridad, vulnerabilidades y exploits. Se exponen las medidas y acciones que no técnico y empresarial a casa los usuarios de la computadora puede tomar para protegerse de los ataques.

RESUMEN.

ISO 17799

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar y mantener la seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada.

La seguridad de la información se define como la preservación de:

- Confidencialidad

- Integridad

- Disponibilidad

- No Repudio

El objetivo de la norma ISO 17799 es proporsinar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficazde la gestión de seguridad.

La adaptación española de la norma se denomina UNE-ISO/IEC 17799.

Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar para establecer un Sistema de gestión de la Seguridad de la información (SGSI), según la norma UNE71502, CERTIFICABLE.

En 1995 el British Standard Institute publica la norma BS 7799, un códigode buenas prácticas para la gestión de la seguridad de la información.

En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en2002.

Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:

– Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información.

– Aplicable por toda organización, con independencia de su tamaño.

– Flexible e independiente de cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología.

En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información:

1. Política de seguridad.2. Aspectos organizativos para la seguridad.3. Clasificación y control de activos.4. Seguridad ligada al personal.5. Seguridad física y del entorno.6. Gestión de comunicaciones y operaciones.7. Control de accesos.8. Desarrollo y mantenimiento de sistemas.9. Gestión de continuidad del negocio.10.Conformidad con la legislación.

De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).

Políticas de seguridad. Dirigir y dar soporte a la gestión de la seguridad de la información.

L a alta dirección debe definir una política que refleje las lineasdirectrices de la organización en materia de seguridad, aprobarla y publicarla de la forma adecuada a todo el personal implicado en la segurdad de la información.

La política se constituye en la base de todo el sistema de seguridad de la información.

La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía.

Aspectos Organizativos para la Seguridad.

Gestionar la seguridad de la información dentro de la organización.

Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros.

Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.

Gestionar la seguridad de la información dentro de la organización.

Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros.

Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.

CLASIFICACIÓN Y CONTROL DE ACTIVOS

Mantener una protección adecuada sobre los activos de la organización.

Asegurar un nivel de protección adecuado a los activos de información.

SEGURIDAD FÍSICA Y DEL ENTORNO.

Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.

Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.

Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.

GESTIÓN DE COMUNICACIONES Y OPERACIONES.

Asegurar la operación correcta y segura de los recursos de tratamiento de información.

Minimizar el riesgo de fallos en los sistemas.

Proteger la integridad del software y de la información.

Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.

Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo.

Evitar daños a los activos e interrupciones de actividades de la Organización.

Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.

CONTROL DE ACCESOS

Controlar los accesos a la información.

Evitar accesos no autorizados a los sistemas de información.

Evitar el acceso de usuarios no autorizados.

Protección de los servicios en red.

Evitar accesos no autorizados a ordenadores.

Evitar el acceso no autorizado a la información contenida en los sistemas.

Detectar actividades no autorizadas.

Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

Asegurar que la seguridad está incluida dentro de los sistemas de información.

Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.

Proteger la confidencialidad, autenticidad e integridad de la información.

Asegurar que los proyectos de Tecnología de la Información y las actividades complementarias son llevados a cabo de una forma segura.

Mantener la seguridad del software y la información de la aplicación del sistema.

GESTIÓN DE CONTINUIDAD DEL NEGOCIO.

Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres.

CONFORMIDAD

Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad.

Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma.

Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas.

AUDITORIA

Conociendo el nivel de cumplimiento actual, es posible determinar el nivel mínimo aceptable y el nivel objetivo en la organización:

– Nivel mínimo aceptable. Estado con las mínimas garantías de seguridad necesarias para trabajar con la información corporativa.

– Nivel objetivo. Estado de seguridad de referencia para la organización, con un alto grado de cumplimiento ISO 17799.

ISO 17799 no es una norma tecnológica.– Ha sido redactada de forma flexible e independiente de cualquier solución de seguridad específica.

– Proporciona buenas prácticas neutrales con respecto a la tecnología y a las soluciones disponibles en el mercado.

Estas características posibilitan su implantación en todo tipo de organizaciones, sin importar su tamaño o sector de negocio, pero al mismo tiempo son un argumento para los detractores de la norma.

La adopción de la norma ISO 17799 proporciona diferentes ventajas a cualquier organización:

– Aumento de la seguridad efectiva de los sistemas de información.

– Correcta planificación y gestión de la seguridad.

– Garantías de continuidad del negocio.

– Mejora contínua a través del proceso de auditoría interna.

– Incremento de los niveles de confianza de nuestros clientes y partners.

– Aumento del valor comercial y mejora de la imagen de la Organización.

LEYES DE SEGURIDAD INFORMÁTICA

Derecho informáticoEs una rama de las ciencias jurídicas que considera la informática como instrumento y objeto de estudio.

Legislación informáticaLa información como producto informático La protección de los datos personales.La regulación jurídica de internet.Los delitos informáticos.

Delitos informáticosEl delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de caracteres tradicionales, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes.

Ley contra laso delitos informáticos en Colombia.El congreso colombiano aprobó un proyecto de ley que modifica el código penal para incorporar los delitos que violen la protección de informa formación de los datos.