Seguridad Informtica Giovanni Zuccardi Juan David Gutirrez Octubre de 2006

CON !NIDO Qu es seguridad? Qu queremos proteger? De qu nos queremos proteger? Cmo nos podemos proteger? Servicios Gestin de Seguridad ISO-2700 !200"

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

Seguridad Informtica "u e# seguridad$ )odemos entender como #eguridad una caracter*stica de cua+quier sistema ,in#orm$tico o no- que nos indica que ese sistema est$ +[Link] de todo pe+igro/ da0o o riesgo/ 1 que es/ en cierta manera/ in#a+i.+e% Como esta caracter*stica/ particu+ari'ando para e+ caso de sistemas operativos o redes de computadores/ es mu1 di#*ci+ de conseguir ,seg2n +a ma1or*a de e3pertos/ imposi.+e-/ se suavi'a +a de#inicin de seguridad 1 se pasa a 4a.+ar de fiabi%idad ,pro.a.i+idad de que un sistema se comporte ta+ 1 como se espera de +- m$s que de seguridad5 por tanto/ se 4a.+a de sistemas fiables en +ugar de 4acer+o de sistemas seguros6Seg7n028% 9 grandes rasgos se entiende que mantener un sistema seguro ,o #ia.+econsiste .$sicamente en garanti'ar tres aspectos 6)#+:78! con#idencia+idad/ integridad 1 disponi.i+idad% 9+gunos estudios ,6;ap: 8/6O+o:28- integran +a seguridad dentro de una propiedad m$s genera+ de +os sistemas/ +a confiabi%idad/ entendida como e+ nive+ de ca+idad de+ servicio o#recido% Consideran +a disponi.i+idad como un aspecto a+ mismo nive+ que +a seguridad 1 no como parte de e++a/ por +o que dividen esta 2+tima en s+o +as dos #acetas restantes/ con#idencia+idad e integridad% <n este tra.a=o no seguiremos esa corriente por considerar+a minoritaria% ;a confidencia%idad nos dice que +os o.=etos de un sistema 4an de ser accedidos 2nicamente por e+ementos autori'ados a e++o/ 1 que esos e+ementos autori'ados no van a convertir esa in#ormacin en disponi.+e para otras entidades5 +a integridad signi#ica que +os o.=etos s+o pueden ser modi#icados por e+ementos autori'ados/ 1 de una manera contro+ada/ 1 +a di#&onibi%idad indica que +os o.=etos de+ sistema tienen que permanecer accesi.+es a e+ementos autori'ados5 es e+ contrario de +a negaci'n de #ervicio% Genera+mente tienen que e3istir +os tres aspectos descritos para que 4a1a seguridad! un sistema puede conseguir con#idencia+idad para un determinado #ic4ero 4aciendo que ning2n usuario ,ni siquiera e+ root- pueda +eer+o/ pero este mecanismo no proporciona disponi.i+idad a+guna% Dependiendo de+ entorno en que un sistema tra.a=e/ a sus responsa.+es +es interesar$ dar prioridad a un cierto aspecto de +a seguridad% )or e=emp+o/ en un sistema mi+itar se antepondr$ +a con#idencia+idad de +os datos a+macenados o transmitidos [Link] su disponi.i+idad! seguramente/ es pre#eri.+e que a+guien .orre in#ormacin con#idencia+ ,que se podr*a recuperar despus desde una cinta de backup- a que ese mismo atacante pueda +eer+a/ o a que esa in#ormacin est disponi.+e en un instante dado para +os usuarios autori'ados% <n un entorno .ancario/ +a #aceta que m$s 4a

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

de preocupar a +os responsa.+es de+ sistema es +a integridad de +os datos/ #rente a su disponi.i+idad o su con#idencia+idad! es menos grave que un usuario consiga +eer e+ sa+do de otro que e+ 4ec4o de que ese usuario pueda modi#icar+o% "u (ueremo# &roteger$ ;os tres e+ementos principa+es a proteger en cua+quier sistema in#orm$tico son e+ software/ e+ hardware 1 +os datos% )or )ard*are entendemos e+ con=unto #ormado por todos +os e+ementos #*sicos de un sistema in#orm$tico/ como C)7s/ termina+es/ ca.+eado/ medios de a+macenamiento secundario ,cintas/ CD->O?s/ dis@ettes%%%- o tar=etas de red% )or #oft*are entendemos e+ con=unto de programas +gicos que 4acen #unciona+ a+ hardware/ tanto sistemas operativos como ap+icaciones/ 1 por dato# e+ con=unto de in#ormacin +gica que mane=an e+ software 1 e+ hardware/ como por e=emp+o paquetes que circu+an por un ca.+e de red o entradas de una .ase de datos% 9unque genera+mente en +as auditor*as de seguridad se 4a.+a de un cuarto e+emento a proteger/ +os fungib%e# ,e+ementos que se gastan o desgastan con e+ uso cont*nuo/ como pape+ de impresora/ tners/ cintas magnticas/ diskettes%%%-/ aqu* no consideraremos +a seguridad de estos e+ementos por ser e3ternos a+ sistema% [Link]+mente +os datos constitu1en e+ principa+ e+emento de +os tres a proteger/ 1a que es e+ m$s amena'ado 1 seguramente e+ m$s di#*ci+ de recuperar! con toda seguridad una m$quina est$ [Link] en un +ugar de acceso #*sico restringido/ o a+ menos contro+ado/ 1 adem$s en caso de prdida de una ap+icacin este software se puede restaurar sin pro.+emas desde su medio origina+ ,por e=emp+o/ e+ CD->O? con e+ sistema operativo que se uti+i' para su insta+acin-% Sin [Link]/ en caso de prdida de una .ase de datos o de un pro1ecto de un usuario/ no tenemos un medio Borigina+C desde e+ que restaurar! 4emos de pasar o.+igatoriamente por un sistema de copias de seguridad/ 1 a menos que +a po+*tica de copias sea mu1 estricta/ es di#*ci+ devo+ver +os datos a+ estado en que se [Link] antes de +a prdida% Contra cua+quiera de +os tres e+ementos descritos anteriormente ,pero principa+mente [Link] +os datos- se pueden rea+i'ar mu+titud de ataques o/ dic4o de otra #orma/ est$n e3puestos a di#erentes amena'as% Genera+mente/ +a ta3onom*a m$s e+ementa+ de estas amena'as +as divide en cuatro grandes grupos! interrupcin/ interceptacin/ modi#icacin 1 #[Link]% 7n ataque se c+asi#ica como interru&ci'n si 4ace que un o.=eto de+ sistema se pierda/ quede inuti+i'a.+e o no disponi.+e% Se tratar$ de una interce&taci'n si un e+emento no autori'ado consigue un acceso a un determinado o.=eto de+ sistema/ 1 de una modificaci'n si adem$s de conseguir e+ acceso consigue modi#icar e+ o.=eto5 a+gunos autores ,6O+o:28consideran un caso especia+ de +a modi#icacin! +a de#trucci'n/ entendindo+a como una modi#icacin que inuti+i'a a+ o.=eto a#ectado% )or 2+timo/ se dice que un ataque es una fabricaci'n si se trata de una modi#icacin destinada a conseguir un o.=eto simi+ar a+ atacado de #orma que sea di#*ci+ distinguir entre e+ o.=eto origina+ 1 e+ B#[Link]% <n +a #igura % se muestran estos tipos de ataque de una #orma gr$#ica%

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

+igura,-,. E+u=o norma+ de in#ormacin entre emisor 1 receptor 1 posi.+es amena'as! ,a- interrupcin/ ,.- interceptacin/ ,c- modi#icacin 1 ,d#[Link]%

De (u no# (ueremo# &roteger$ <n +a gran ma1or*a de pu.+icaciones re+ativas a +a seguridad in#orm$tica en genera+/ tarde o temprano se intenta c+asi#icar en grupos a +os posi.+es e+ementos que pueden atacar nuestro sistema% Con #recuencia/ especia+mente en +as [Link] menos tcnicas 1 m$s orientadas a otros aspectos de +a seguridad ,6ISF:"8/ 6?e1G:8-/ se sue+e identi#icar a +os atacantes 2nicamente como personas5 esto tiene sentido si 4a.+amos por e=emp+o de responsa.i+idades por un de+ito in#orm$tico% )ero en este tra.a=o es pre#eri.+e 4a.+ar de Be+ementosC 1 no de personas! aunque a veces +o o+videmos/ nuestro sistema puede verse per=udicado por m2+tip+es entidades aparte de 4umanos/ como por e=emp+o programas/ cat$stro#es natura+es o/ por qu no/ #uer'as e3traterrestres5 si un usuario pierde un tra.a=o importante a causa de un ataque/ poco +e importar$ que 4a1a sido un intruso/ un gusano/ un simp+e error de+ administrador 6Seg7n028% <n resumen podemos [Link] +as amena'as +a #igura %2

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

+igura ,-2. 9mena'as para +a seguridad 9 continuacin se presenta una re+acin de +os e+ementos que potencia+mente pueden amena'ar a nuestro sistema% 9 +o +argo de este pro1ecto se pro#undi'ar$ en aspectos de a+gunos de +os e+ementos presentados aqu*% )ersonas Io podernos enga0arnos! +a ma1or*a de ataques a nuestro sistema van a provenir en 2+tima instancia de personas que/ intencionada o inintencionadamente/ pueden causarnos enormes prdidas% Genera+mente se tratar$ de piratas que intentan conseguir e+ m$3imo nive+ de privi+egio posi.+e aprovec4ando a+guno ,o a+gunos- de +os riesgos +gicos de +os que 4a.+aremos a continuacin/ especia+mente agu=eros de+ software% )ero con demasiada #recuencia se sue+e o+vidar que +os piratas Bc+$sicosC no son +os 2nicos que amena'an nuestros equipos! es especia+mente preocupante que mientras que 4o1 en d*a cua+quier administrador preocupado por +a seguridad va a conseguir un sistema re+ativamente #ia.+e de una #orma +gica ,permaneciendo atento a vu+nera.i+idades de su software/ restringiendo servicios/ uti+i'ando ci#rado de datos%%%-/ pocos administradores tienen en cuenta #actores como +a ingenier*a socia+ o e+ .asureo a +a 4ora de dise0ar una po+*tica de seguridad% 9qu* se [Link] .revemente +os di#erentes tipos de personas que de una u otra #orma pueden constituir un riesgo para nuestros sistemas5 genera+mente se dividen en dos grandes grupos! +os atacantes &a#ivo#/ aque++os que #isgonean por e+ sistema pero no +o modi#ican -o destru1en-/ 1 +os activo#/ aque++os que da0an e+ o.=etivo atacado/ o +o modi#ican en su #avor% Genera+mente +os curiosos 1 +os crackers rea+i'an ataques pasivos ,que se pueden convertir en activos-/ mientras que +os terroristas 1 e3emp+eados rea+i'an ataques activos puros5 +os intrusos remunerados sue+en ser atacantes pasivos si nuestra red o equipo no es su o.=etivo/ 1 activos en caso contrario/ 1 e+ persona+ rea+i'a [Link] tipos indistintamente/ dependiendo de +a situacin concreta% )ersona+ ;as amena'as a +a seguridad de un sistema provenientes de+ persona+ de +a propia organi'acin rara ve' son tomadas en cuenta5 se presupone un entorno de con#ian'a donde a veces no e3iste/ por +o que se pasa por a+to e+ 4ec4o de que casi cua+quier persona de +a organi'acin/ inc+uso e+ persona+ a=eno a +a in#raestructura in#orm$tica ,secretariado/ persona+ de seguridad/ persona+ de +impie'a 1 mantenimiento%%%- puede comprometer +a seguridad de +os equipos% 9unque +os ataques pueden ser intencionados ,en cu1o caso sus e#ectos son e3tremadamente da0inos/ recordemos que nadie me=or que e+ propio persona+ de +a organi'acin conoce me=or +os sistemas%%%1 sus de.i+idades-/ +o norma+ es que m$s que de ataques se trate de accidente# causados por un error o por desconocimiento de +as normas .$sicas de seguridad! un emp+eado de mantenimiento

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

"

que corta e+ suministro e+ctrico para 4acer una reparacin puede ++egar a ser tan pe+igroso como e+ m$s e3perto de +os administradores que se equivoca a+ tec+ear una orden 1 .orra todos +os sistemas de #ic4eros5 1 en e+ primer caso/ e+ BatacanteC ni siquiera 4a de tener acceso +gico ,ni #*sico- a +os equipos/ ni conocer nada [Link] seguridad%

<3-emp+eados Otro gran grupo de personas potencia+mente interesadas en atacar nuestro sistema son +os antiguos emp+eados de+ mismo/ especia+mente +os que no [Link] e+ entorno por vo+untad propia ,1 en e+ caso de redes de empresas/ +os que pasaron a +a competencia-% Genera+mente/ se trata de personas descontentas con +a organi'acin que pueden aprovec4ar de.i+idades de un sistema que conocen per#ectamente para da0ar+o como vengan'a por a+g2n 4ec4o que no consideran =usto! amparados en e3cusas como `No me han pagado lo que me deben' o `Es una gran universidad, se lo pueden permitir' pueden insertar tro1anos/ .[Link] +gicas/ virus%%%o simp+emente conectarse a+ sistema como si a2n tra.a=aran para +a organi'acin ,muc4as veces se mantienen +as cuentas [Link] inc+uso meses despus de [Link] +a universidad o empresa-/ conseguir e+ privi+egio necesario/ 1 da0ar+o de +a #orma que deseen/ inc+uso c4anta=eando a sus e3-compa0eros o e3-=e#es% Curiosos &unto con +os crackers/ +os curiosos son +os atacantes m$s [Link]+es de sistemas en redes de IJD% >ecordemos que +os equipos est$n tra.a=ando en entornos donde se #orma a #uturos pro#esiona+es de +a in#orm$tica 1 +as te+ecomunicaciones ,gente que a priori tiene inters por +as nuevas tecno+og*as-/ 1 recordemos [Link] que +as personas sue+en ser curiosas por natura+e'a5 esta [Link] produce una ava+anc4a de estudiantes o persona+ intentando conseguir ma1or privi+egio de+ que tienen o intentando acceder a sistemas a +os que o#icia+mente no tienen acceso% K en +a ma1or*a de ocasiones esto se 4ace simp+emente para +eer e+ correo de un amigo/ enterarse de cu$nto [Link] un compa0ero/ copiar un tra.a=o o [Link] que es posi.+e romper +a seguridad de un sistema concreto% 9unque en +a ma1or*a de situaciones se trata de ataques no destructivos ,a e3cepcin de+ .orrado de 4ue++as para evitar +a deteccin-/ parece c+aro que no .ene#ician en [Link]+uto a+ entorno de #ia.i+idad que podamos generar en un determinado sistema% Crackers ;os entornos de seguridad media son un o.=etivo t*pico de +os intrusos/ 1a sea para #isgonear/ para uti+i'ar+as como en+ace 4acia otras redes o simp+emente por diversin% )or un +ado/ son redes genera+mente [Link]/ 1 +a seguridad no es un #actor tenido mu1 en cuenta en e++as5 por otro/ e+ gran n2mero 1 variedad de sistemas conectados a estas redes provoca/ casi por simp+e pro.a.i+idad/ que a+ menos a+gunos de sus equipos ,cuando no +a ma1or*a- sean vu+nera.+es a pro.+emas conocidos de antemano% De esta #orma un atacante s+o 4a de uti+i'ar un esc$ner de seguridad contra e+ dominio comp+eto 1 +uego atacar mediante un simp+e exploit +os equipos que presentan vu+nera.i+idades5 esto convierte a +as redes de

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

IJD/ a +as de empresas/ o a +as de IS)s en un o.=etivo #$ci+ 1 apeteci.+e para piratas con cua+quier nive+ de conocimientos/ desde +os m$s novatos ,1 a veces m$s pe+igrosos- 4asta +os e3pertos/ que pueden uti+i'ar toda +a red para [Link] nuevos ataques o como nodo intermedio en un ataque a otros organismos/ con e+ consiguiente deterioro de imagen ,1 a veces de presupuesto- que supone para una universidad ser/ sin desear+o/ un apo1o a +os piratas que atacan sistemas tericamente m$s protegidos/ como +os mi+itares% Merroristas )or BterroristasC no [Link] entender simp+emente a +os que se dedican a poner .[Link] o quemar auto.uses5 .a=o esta de#inicin se eng+o.a a cua+quier persona que ataca a+ sistema simp+emente por causar a+g2n tipo de da0o en +% )or e=emp+o/ a+guien puede intentar .orrar +as .ases de datos de un partido po+*tico enemigo o destruir +os sistemas de #ic4eros de un servidor que a+.erga p$ginas web de a+g2n grupo re+igioso5 en e+ caso de redes de IJD/ t*picos ataques son +a destruccin de sistemas de pr$cticas o +a modi#icacin de p$ginas web de a+g2n departamento o de ciertos pro#esores/ genera+mente por parte de a+umnos descontentos% Intrusos remunerados <ste es e+ grupo de atacantes de un sistema m$s pe+igroso/ aunque por #ortuna e+ menos [Link]+ en redes norma+es5 sue+e a#ectar m$s a +as grandes - mu1 grandes - empresas o a organismos de de#ensa% Se trata de piratas con gran e3periencia en pro.+emas de seguridad 1 un amp+io conocimiento de+ sistema/ que son pagados por una tercera parte genera+mente para [Link] secretos ,e+ nuevo dise0o de un procesador/ una .ase de datos de c+ientes/ in#ormacin con#idencia+ [Link] +as posiciones de sat+ites esp*a%%%- o simp+emente para da0ar +a imagen de +a entidad a#ectada% <sta tercera parte sue+e ser una empresa de +a competencia o un organismo de inte+igencia/ es decir/ una organi'acin que puede permitirse un gran gasto en e+ ataque5 de a4* su pe+igrosidad! se sue+e pagar .ien a +os me=ores piratas/ 1 por si esto #uera poco +os atacantes van a tener todos +os medios necesarios a su a+cance%

9mena'as +gicas Na=o +a etiqueta de Bamena'as +gicasC encontramos todo tipo de programas que de una #orma u otra pueden da0ar a nuestro sistema/ creados de #orma intencionada para e++o ,software ma+icioso/ [Link] conocido como malware- o simp+emente por error ,bugs o agu=eros-% 7na e3ce+ente +ectura que estudia +as de#iniciones de a+gunas de estas amena'as 1 su imp+icacin en +os sistemas se presenta en un nive+ m$s genera+/ ca.e ac+arar que estas se eng+[Link] en una de#inicin de ma+Oare proviene de una agrupacin de +as pa+[Link] ,ma%icious so#t*are-5 este programa o arc4ivo/ que es da0ino para e+ ordenador/ est$ dise0ado para insertar virus/ gusanos/ tro1anos/ sp1Oare o inc+uso +os .ots/ intentando conseguir a+g2n o.=etivo/ como podr*a ser e+ de recoger in#ormacin [Link] e+ usuario o [Link] e+ ordenador en s*6CurSeg0D8% )uertas traseras

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

Durante e+ desarro++o de ap+icaciones grandes o de sistemas operativos es [Link]+ entre +os programadores insertar Bata=osC en +os sistemas [Link]+es de autenticacin de+ programa o de+ n2c+eo que se est$ dise0ando% 9 estos ata=os se +es denomina puertas traseras/ 1 con e++os se consigue ma1or ve+ocidad a +a 4ora de detectar 1 depurar #a++os! por e=emp+o/ +os dise0adores de un software de gestin de .ases de datos en e+ que para acceder a una ta.+a se necesiten cuatro c+aves di#erentes de die' caracteres cada una pueden insertar una rutina para conseguir ese acceso mediante una 2nica c+ave Bespecia+C/ con e+ o.=etivo de perder menos tiempo a+ depurar e+ sistema% 9+gunos programadores pueden de=ar estos ata=os en +as versiones de#initivas de su software para #aci+itar un mantenimiento posterior/ para garanti'ar su propio acceso/ o simp+emente por descuido5 +a cuestin es que si un atacante [Link] una de estas puertas traseras ,no nos importa e+ mtodo que uti+ice para 4acer+o- va a tener un acceso g+o.a+ a datos que no [Link]*a poder +eer/ +o que [Link] supone un grave pe+igro para +a integridad de nuestro sistema%

[Link] +gicas ;as .[Link] +gicas son partes de cdigo de ciertos programas que permanecen sin rea+i'ar ninguna #uncin 4asta que son activadas5 en ese punto/ +a #uncin que rea+i'an no es +a origina+ de+ programa/ sino que genera+mente se trata de una accin per=udicia+% ;os activadores m$s comunes de estas .[Link] +gicas pueden ser +a ausencia o presencia de ciertos #ic4eros/ +a e=ecucin .a=o un determinado 7ID o +a ++egada de una #ec4a concreta5 cuando +a .om.a se activa va a poder rea+i'ar cua+quier tarea que pueda rea+i'ar +a persona que e=ecuta e+ programa! si +as activa e+ root/ o e+ programa que contiene +a .om.a est$ setuidado a su [Link]/ +os e#ectos [Link] pueden ser #ata+es%

Firus 7n virus es una secuencia de cdigo que se inserta en un #ic4ero e=ecuta.+e ,denominado hu sped-/ de #orma que cuando e+ arc4ivo se e=ecuta/ e+ virus [Link] +o 4ace/ insert$ndose a s* mismo en otros programas% Gusanos 7n gusano es un programa capa' de e=ecutarse 1 propagarse por s* mismo a travs de redes/ en ocasiones portando virus o aprovec4ando bugs de +os sistemas a +os que conecta para da0ar+os% 9+ ser di#*ci+es de programar su n2mero no es mu1 e+evado/ pero e+ da0o que pueden causar es mu1 grande! e+ ma1or incidente de seguridad en Internet #u precisamente e+ !nternet "orm/ un gusano que en :GG caus perdidas mi++onarias a+ in#ectar 1 detener m$s de L000 m$quinas conectadas a +a red% Aemos de pensar que un gusano puede automati'ar 1 e=ecutar en unos segundos todos +os pasos que seguir*a un atacante 4umano

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

para acceder a nuestro sistema! mientras que una persona/ por muc4os conocimientos 1 medios que posea/ tardar*a como m*nimo 4oras en contro+ar nuestra red comp+eta ,un tiempo m$s que ra'ona.+e para detectar+o-/ un gusano puede 4acer eso mismo en pocos minutos! de a4* su enorme pe+igro 1 sus devastadores e#ectos%

Ca.a++os de Mro1a ;os tro1anos o ca.a++os de Mro1a son instrucciones escondidas en un programa de #orma que ste pare'ca rea+i'ar +as tareas que un usuario espera de +/ pero que rea+mente e=ecute #unciones ocu+tas ,genera+mente en detrimento de +a seguridad- sin e+ conocimiento de+ usuario5 como e+ Ca.a++o de Mro1a de +a mito+og*a griega/ a+ que [Link] su [Link]/ ocu+tan su #uncin rea+ .a=o +a apariencia de un programa ino#ensivo que a primera vista #unciona correctamente% <n +a pr$ctica +a tota+idad de +os ataques/ cuando un intruso consigue e+ privi+egio necesario en e+ sistema insta+a tro1anos para ocu+tar su presencia o para asegurarse +a entrada en caso de ser [Link]! por e=emp+o/ es t*pico uti+i'ar +o que se denomina un rootkit/ que no es m$s que un con=unto de versiones tro1anas de ciertas uti+idades ,netstat/ ps/ O4o%%%-/ para conseguir que cuando e+ administrador +as e=ecute no vea +a in#ormacin re+ativa a+ atacante/ como sus procesos o su cone3in a+ sistema5 otro programa que se sue+e sup+antar es +ogin%

Sp1Oare ;os programas esp*a o sp1Oare son ap+icaciones que recopi+an in#ormacin [Link] una persona u organi'acin sin su conocimiento% ;a #uncin m$s com2n que tienen estos programas es +a de recopi+ar in#ormacin [Link] e+ usuario 1 [Link]+o a empresas pu.+icitarias u otras organi'aciones interesadas/ pero [Link] se 4an emp+eado en c*rcu+os +ega+es para recopi+ar in#ormacin contra sospec4osos de de+itos/ como en e+ caso de +a pirater*a de so#tOare% 9dem$s pueden servir para enviar a +os usuarios a sitios de internet que tienen +a imagen corporativa de otros/ con e+ o.=etivo de [Link] in#ormacin importante% >eco+ectan in#ormacin proveniente de+ tec+ado de +a victima/ [Link] contrase0as e in#ormacin va+iosa para cua+quier atacante%

9dOare <+ adOare es so#tOare que durante su #uncionamiento desp+iega pu.+icidad de distintos productos o servicios% <stas ap+icaciones inc+u1en cdigo adiciona+ que muestra +a pu.+icidad en ventanas emergentes o a travs de una .arra que aparece en +a panta++a% <sta pr$ctica se uti+i'a para [Link] econmicamente +a ap+icacin/ permitiendo que e+ usuario +a [Link] por un precio m$s .a=o e inc+uso gratis 1/ por supuesto/ puede proporcionar a+ programador un .ene#icio/ que a1uda a motivar+o para [Link]/ mantener 1 actua+i'ar un programa va+ioso% Se carga genera+mente con nuestro permiso%

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

Spoo#ing 7o de tcnicas de sup+antacin de identidad genera+mente con usos ma+iciosos o de investigacin% <3isten di#erentes tipos de spoo#ing dependiendo de +a tecno+og*a a +a que nos re#iramos/ +os cua+es se [Link]$n m$s ade+ante/ como e+ I) spoo#ing ,qui'$s e+ m$s conocido-/ 9>) spoo#ing/ DIS spoo#ing/ Pe. spoo#ing o e-mai+ spoo#ing/ aunque en genera+ se puede eng+[Link] dentro de spoo#ing cua+quier tecno+og*a de red suscepti.+e de su#rir sup+antaciones de identidad%

)4is4ing 7n de un tipo de ingenier*a socia+ 1 spoo#ing/ caracteri'ado por intentar adquirir in#ormacin con#idencia+ de #orma #raudu+enta/ como puede ser una contrase0a o in#ormacin deta++ada [Link] tar=etas de crdito u otra in#ormacin .ancaria% <+ esta#ador/ me=or conocido como phisher se 4ace pasar por una persona o empresa de con#ian'a en una aparente comunicacin o#icia+ e+ectrnica/ por +o com2n un correo e+ectrnico o a+g2n sistema de mensa=er*a instant$nea%

Spam Son mensa=es no so+icitados/ [Link]+mente de tipo pu.+icitario/ enviados en cantidades masivas% 9unque se puede 4acer por distintas v*as/ +a m$s uti+i'ada entre e+ p2.+ico en genera+ es +a .asada en e+ correo e+ectrnico% Otras tecno+og*as de internet que 4an sido o.=eto de spam inc+u1en grupos de noticias usenet/ motores de .2squeda/ Oi@is 1 .+ogs% <+ spam [Link] puede tener como o.=etivo +os te+#onos mvi+es ,a travs de mensa=es de te3to- 1 +os sistemas de mensa=er*a instant$nea%

<3p+oits <s un programa o tcnica ,de+ ing+s to exploit/ e3p+otar/ aprovec4arque aprovec4a una vu+nera.i+idad% ;os e3p+oits dependen de +os S%O 1 sus con#iguraciones/ de+ as con#iguraciones de +os programas que se est$n e=ecutando 1 de +a ;9I donde est$n% ;os exploits se pueden caracteri'ar seg2n +as categor*as de vu+nera.i+idades uti+i'adas! Fu+nera.i+idades de [Link] de .u##er% Fu+nera.i+idades de condicin de carrera ,race condition-% Fu+nera.i+idades de error de #ormato de cadena ,#ormat string .ugs-% Fu+nera.i+idades de Cross Site Scripting ,QSS-% Fu+nera.i+idades de In1eccin SQ;% Fu+nera.i+idades de In1eccin de Caracteres ,C>;E-% Fu+nera.i+idades de denegacin de+ servicio

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

 Fu+nera.i+idades de In1eccin m2+tip+e AM?; ,?u+tip+e AM?; In=ection-% Fu+nera.i+idades de ventanas enganosas o misti#icacin de ventanas ,PindoO Spoo#ing-%

;as anteriores [Link] enmarcadas presentamos mas amena'as +gicas

en

ma+Oare/

continuacin

Aerramientas de seguridad Cua+quier 4erramienta de seguridad representa un arma de do.+e #i+o! de +a misma #orma que un administrador +as uti+i'a para detectar 1 so+ucionar #a++os en sus sistemas o en +a [Link] comp+eta/ un potencia+ intruso +as puede uti+i'ar para detectar esos mismos #a++os 1 aprovec4ar+os para atacar +os equipos% Aerramientas como I<SS7S/ S9IIM o S9M9I pasan de ser 2ti+es a ser pe+igrosas cuando +as uti+i'an crackers que .uscan in#ormacin [Link] +as vu+nera.i+idades de un host o de una red comp+eta% ;a conveniencia de dise0ar 1 [Link] +[Link] 4erramientas que puedan #aci+itar un ataque es un tema pe+iagudo5 inc+uso e3pertos reconocidos como 9+ec ?u##et ,autor de+ adivinador de contrase0as Crac@- 4an [Link] enormes cr*ticas por dise0ar determinadas 4erramientas de seguridad% Mras numerosos [Link] [Link] e+ tema/ 4a quedado .astante c+aro que no se puede .asar +a seguridad de un sistema en e+ supuesto desconocimiento de sus pro.+emas por parte de +os atacantes! esta po+*tica/ denominada #ecurit$ through obscurit$/ se 4a demostrado inservi.+e en m2+tip+es ocasiones% Si como administradores no uti+i'amos 4erramientas de seguridad que muestren +as de.i+idades de nuestros sistemas ,para corregir+as-/ tenemos que estar seguro que un atacante no va a dudar en uti+i'ar ta+es 4erramientas ,para e3p+otar +as de.i+idades encontradas-5 por tanto/ 4emos de agradecer a +os dise0adores de ta+es programas e+ es#uer'o que 4an rea+i'ado ,1 nos 4an a4orrado- en pro de sistemas m$s seguros%

Mcnicas sa+ami )or tcnica sa+ami se conoce a+ ro.o automati'ado de peque0as cantidades de .ienes ,genera+mente dinero- de una gran cantidad origen% <+ 4ec4o de que +a cantidad inicia+ sea grande 1 +a [Link] peque0a 4ace e3tremadamente di#*ci+ su deteccin! si de una cuenta con varios mi++ones de pesetas se [Link] unos cntimos/ nadie va a darse cuenta de e++o5 si esto se automati'a para/ por e=emp+o/ descontar una peseta de cada nmina pagada en +a universidad o de cada .eca concedida/ tras un mes de actividad seguramente se 4a.r$ [Link] una enorme cantidad de dinero sin que nadie se 4a1a percatado de este 4ec4o/ 1a que de cada origen se 4a tomado una cantidad *n#ima% ;as tcnicas sa+ami no se sue+en uti+i'ar para atacar sistemas norma+es/ sino que su uso m$s [Link]+ es en sistemas .ancarios5 sin

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

[Link]/ como en una red con requerimientos de seguridad medios es posi.+e que 4a1a ordenadores dedicados a conta.i+idad/ #acturacin de un departamento o gestin de nminas de+ persona+/ comentamos esta potencia+ amena'a contra e+ software encargado de estas tareas% 9mena'as E*sicas ;os errores o da0os de AardOare son una amena'a que esta presente en +a ma1or*a de +os sistemas/ 1 se puede presentar en cua+quier momento5 como e=emp+o tenemos da0os en discos duros/ procesadores 1 cua+quier otra parte de+ computador que comprometa +a in#ormacin% ;as cat$stro#es ,natura+es o arti#icia+es- son +a amena'a menos pro.a.+e contra +os entornos [Link]+es! simp+emente por su [Link] geogr$#ica/ a nadie se +e escapa que +a pro.a.i+idad de su#rir un terremoto o una inundacin que a#ecte a +os sistemas in#orm$ticos en una gran ciudad como ?adrid/ Fa+encia o Narce+ona/ es re+ativamente .a=a/ a+ menos en comparacin con e+ riesgo de su#rir un intento de acceso por parte de un pirata o una in#eccin por virus% Sin [Link]/ e+ 4ec4o de que +as cat$stro#res sean amena'as poco pro.a.+es no imp+ica que contra e++as no se tomen unas medidas .$sicas/ 1a que si se produ=eran generar*an +os ma1ores da0os% 7n [Link] de +as cat$stro#es es e+ denominado de rie#go# &oco &robab%e#% [Link] se denomina as* a+ con=unto de riesgos que/ aunque e3isten/ +a posi.i+idad de que se produ'can es tan .a=a ,menor inc+uso que +a de+ resto de cat$stro#es- que nadie toma/ o nadie puede tomar/ medidas contra e++os% <=emp+os [Link]+es de riesgos poco pro.a.+es son un ataque nuc+ear contra e+ sistema/ e+ impacto de un sat+ite contra +a sa+a de operaciones/ o +a [Link] de un operador por una nave e3traterrestre% Iada nos asegura que este tipo de cat$stro#es no va1a a ocurrir/ pero +a pro.a.i+idad es tan .a=a 1 +os sistemas de prevencin tan costosos que no va+e +a pena tomar medidas contra e++as% Como e=emp+os de cat$stro#es 4a.+aremos de terremotos/ inundaciones/ incendios/ 4umo o atentados de .a=a magnitud ,m$s comunes de +o que podamos pensar-5 [Link] +os riesgos poco pro.a.+es +os trataremos como a+go anecdtico% De cua+quier #orma/ vamos a 4a.+ar de estas amena'as sin e3tendernos muc4o/ 1a que e+ o.=etivo de este pro1ecto no puede ser e+ proporcionar +as directrices para una construccin de edi#icios a prue.a de terremotos/ o un p+an #orma+ de evacuacin en caso de incendio% C'mo no# &odemo# &roteger$ Aasta a4ora 4emos 4a.+ado de +os aspectos que eng+o.a +a seguridad in#orm$tica/ de +os e+ementos a proteger/ de +os tipos de amena'as que contra e++os se presentan 1 de+ origen de ta+es amena'as5 parece c+aro que/ para comp+etar nuestra visin de +a seguridad/ 4emos de 4a.+ar de +as #ormas de proteccin de nuestros sistemas% Cuando 4a1amos comp+etado este punto/ [Link] presentado a grandes rasgos +os di#erentes puntos a tratar en este pro1ecto/ ta+ 1 como se sinteti'a en +a #igura %D%

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

)ara proteger nuestro sistema 4emos de rea+i'ar un an$+isis de +as amena'as potencia+es que puede su#rir/ +as prdidas que podr*an generar/ 1 +a pro.a.i+idad de su ocurrencia5 a partir de este an$+isis 4emos de dise0ar una po+*tica de seguridad que de#ina responsa.i+idades 1 reg+as a seguir para evitar ta+es amena'as o minimi'ar sus e#ectos en caso de que se produ'can% 9 +os mecanismos uti+i'ados para imp+ementar esta po+*tica de seguridad se +es denomina mecani#mo# de #eguridad5 son +a parte m$s visi.+e de nuestro sistema de seguridad/ 1 se convierten en +a 4erramienta .$sica para garanti'ar +a proteccin de +os sistemas o de +a propia red%

+igura ,-/. Fisin g+o.a+ de +a seguridad in#orm$tica ;os mecanismos de seguridad se dividen en tres grandes grupos! de prevencin/ de deteccin 1 de recuperacin% ;os mecanismos de &revenci'n son aque++os que aumentan +a seguridad de un sistema durante e+ #uncionamiento norma+ de ste/ previniendo +a ocurrencia de vio+aciones a +a seguridad5 por e=emp+o/ e+ uso de ci#rado en +a transmisin de datos se puede considerar un mecanismo de este tipo/ 1a que evita que un posi.+e atacante escuc4e +as cone3iones 4acia o desde un sistema en +a red% )or mecanismos de detecci'n se conoce a aque++os que se uti+i'an para detectar vio+aciones de +a seguridad o intentos de vio+acin5 e=emp+os de estos mecanismos son +os programas de auditoria como %ripwire% Eina+mente/ +os mecanismos de recu&eraci'n son aque++os que se ap+ican cuando una vio+acin de+ sistema se 4a detectado/ para retornar a ste a su #uncionamiento correcto5 e=emp+os de estos mecanismos son +a uti+i'acin de copias de seguridad o e+ hardware adiciona+% Dentro de este 2+timo grupo de mecanismos de seguridad encontramos un [Link] denominado mecani#mo# de an%i#i# foren#e/ cu1o o.=etivo no es simp+emente retornar a+ sistema a su modo de tra.a=o norma+/ sino averiguar e+ a+cance de +a vio+acin/ +as actividades de un intruso en e+ sistema/ 1 +a puerta uti+i'ada para entrar5 de esta #orma se previenen ataques posteriores 1 se detectan ataques a otros sistemas de nuestra red 6Seg7n028% )arece c+aro que/ aunque +os tres tipos de mecanismos son importantes

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

para +a seguridad de nuestro sistema/ 4emos de en#ati'ar en e+ uso de mecanismos de prevencin 1 de deteccin5 +a m$3ima popu+ar `m&s vale prevenir que curar' se puede ap+icar a +a seguridad in#orm$tica! para nosotros/ evitar un ataque/ detectar un intento de vio+acin/ o detectar una vio+acin e3itosa inmediatamente despus de que ocurra es muc4o m$s productivo 1 menos comprometedor para e+ sistema que restaurar e+ estado tras una penetracin de +a m$quina% <s m$s/ si consiguiramos un sistema sin vu+nera.i+idades 1 cu1a po+*tica de seguridad se imp+ementara mediante mecanismos de prevencin de una #orma comp+eta/ no necesitar*amos mecanismos de deteccin o recuperacin% ;os mecanismos de prevencin m$s [Link]+es en redes son +os siguientes! ?ecanismos de autenticacin e identi#icacin <stos mecanismos 4acen posi.+e identi#icar entidades de+ sistema de una #orma 2nica/ 1 posteriormente/ una ve' identi#icadas/ autenticar+as ,[Link] que +a entidad es quin dice ser-% Son +os mecanismos m$s importantes en cua+quier sistema/ 1a que #orman +a .ase de otros mecanismos que .asan su #uncionamiento en +a identidad de +as entidades que acceden a un o.=eto% 7n grupo especia+mente importante de estos mecanismos son +os denominados Sistemas de 9utenticacin de 7suarios/ a +os que prestaremos una especia+ atencin por ser +os m$s uti+i'ados en +a pr$ctica 6Seg7n028%

?ecanismos de contro+ de acceso

Cua+quier o.=eto de+ sistema 4a de estar protegido mediante mecanismos de contro+ de acceso/ que contro+an todos +os tipos de acceso [Link] e+ o.=eto por parte de cua+quier entidad de+ sistema%

?ecanismos de separacin

Cua+quier sistema con di#erentes nive+es de seguridad 4a de imp+ementar mecanismos que permitan separar +os o.=etos dentro de cada nive+/ evitando e+ #+u=o de in#ormacin entre o.=etos 1 entidades de di#erentes nive+es siempre que no e3ista una autori'acin e3presa de+ mecanismo de contro+ de acceso% ;os mecanismos de separacin se dividen en cinco grandes grupos/ en #uncin de como separan a +os o.=etos! separacin #*sica/ tempora+/ +gica/ criptogr$#ica 1 #ragmentacin%

?ecanismos de seguridad en +as comunicaciones

<s especia+mente importante para +a seguridad de nuestro sistema e+ proteger +a integridad 1 +a privacidad de +os datos cuando se transmiten a travs de +a red% )ara garanti'ar esta seguridad en +as comunicaciones/ 4emos de uti+i'ar ciertos mecanismos/ +a ma1or*a de +os cua+es se .asan en +a Criptogra#*a! ci#rado de c+ave p2.+ica/ de c+ave privada/ #irmas digita+es%%%9unque cada ve' se uti+i'an m$s +os protoco+os seguros ,como

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

SSA o [Link]-/ a2n es #recuente encontrar cone3iones en te3to c+aro 1a no s+o entre m$quinas de una misma [Link]/ sino entre redes di#erentes% 7na de +as ma1ores amena'as a +a integridad de +as redes es este tr$#ico sin ci#rar/ que 4ace e3tremadamente #$ci+es ataques encaminados a [Link] contrase0as o sup+antar +a identidad de m$quinas de +a red%

Servicio# )ara +ograr 4acer cump+ir +a preservacin 1 e+ cump+imiento de +os tres principios .$sicos de +a seguridad in#orm$tica/ discutidos anteriormente/ se 4an p+aneado ciertos servicios principa+es/ que sirven como .ase para +a imp+ementacin de una in#raestructura de seguridad en una organi'acin ,6IISM:"8/ 6SMOI0 8/ 6G9SSGG8/ 69;SI0"8/ 6N>II:".8/ 6A9>>0D8-% 9utenticacin! se re#iere a esta.+ecer +as entidades que pueden tener acceso a+ universo de recursos de cmputo que cierto medio [Link] puede o#recer 9utori'acin! es e+ 4ec4o que +as entidades autori'adas a tener acceso a +os recursos de cmputo/ tengan acceso 2nicamente a +as $reas de tra.a=o [Link] +as cua+es e++as [Link] tener dominio% 9uditoria! se re#iere a +a continua vigi+ancia de +os servicios en produccin% <ntra dentro de este grupo e+ mantener estad*sticas de acceso/ estad*sticas de uso 1 po+*ticas de acceso #*sico a +os recursos% Io repudio. ;a administracin de un sistema de in#ormacin de.e estar en capacidad de asegurar quin o quines son +os remitentes 1 destinatarios de cua+quier in#ormacin% <s por esto que este servicio provee +os medios 1 mecanismos para poder identi#icar quien 4a ++evado a ca.o una o varias acciones en un sistema/ para que +os usuarios no puedan negar +as responsa.i+idades de +as acciones que 4an ++evado aca.o%

Ge#ti'n de %a #eguridad Diariamente se escuc4a en varios medios ,peridicos/ te+evisin/ Internet/ #oros de discusin/ reportes de #[Link] de productos 1 proveedores de servicios/ etc%- acerca de incidentes de seguridad in#orm$tica/ como ataques de virus que causan prdidas 1 da0os que pueden ++egar a representar grandes sumas de dinero para una organi'acin/ ataques remotos de

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

"

4ac@ers a instituciones #inancieras/ ataques a +os sitios Pe. de grandes 1 prestigiosas empresas 1 corporaciones/ etc% <ste tipo de incidentes son +os que 4acen cada ve' m$s interesante +a seguridad in#orm$tica/ pero as* mismo signi#ica tareas 1 responsa.i+idades diarias de esta $rea para prevenir ataques como +os antes mencionados% <s por esto que +a administracin de +a seguridad in#orm$tica es uno de +os temas m$s importantes en +a estructura de seguridad in#orm$tica de una organi'acin 6A9>>0D8% 9dministrar +a Seguridad In#orm$tica de una organi'acin/ es un tra.a=o #undamenta+ para conservar con#ia.+es/ +os sistemas de +a misma% ;a tarea de administracin/ comprende +a administracin de riesgos/ de#inicin/ creacin e imp+ementacin de po+*ticas de seguridad/ procedimientos/ est$ndares/ gu*as/ c+asi#icacin de in#ormacin/ organi'acin de +a estructura de seguridad de +a compa0*a/ 1 +a educacin de +os individuos de +a organi'acin/ entre otras% 6A9>>0D8 69;SI0"8 Como se mencion en +a seccin anterior/ +a c+ave de un programa de seguridad in#orm$tica/ es +a proteccin de +os activos m$s importantes de +a compa0*a% <stos activos pueden ser identi#icados mediante +os an$+isis de riesgos/ adem$s de +a identi#icacin de +as vu+nera.i+idades 1 amena'as que materia+i'acin de una o m$s de dic4as amena'as% Como resu+tado de +os an$+isis de riesgos se puede +ograr tener un presupuesto de +as inversiones necesarias para +a proteccin de dic4os activos/ contra +os riesgos anteriormente identi#icados/ no so+o en cosas materia+es/ sino [Link] en imp+ementacin de po+*ticas/ educacin de+ persona+/ desarro++o de gu*as o est$ndares/ etc% 69;SI0"8 <+ administrador no es un simp+e [Link] de un sistema 1 de sus operaciones posteriores a su insta+acin% <sta +[Link] [Link] inc+u1e tareas previas de +a insta+acin de+ sistema/ ta+es como va+idar 1 estructurar +as po+*ticas de seguridad para e+ mismo/ aunque esto no quiere decir que esta administracin pertenece so+o a+ $rea tcnica/ [Link] tiene tareas administrativas como son +a creacin de po+*ticas/ 4acer que se cump+an 1 actua+i'ar+as cuando sea necesario% ;a administracin de seguridad de.e tener en cuenta que e+ desarro++o 1 crecimiento de un sistema/ +as redes/ etc%/ producen [Link] constantes en +as po+*ticas de seguridad/ en +a proteccin de .ienes 1 +as amena'as esta.+ecidas/ +o cua+ requiere [Link] de una [Link] gestin 1 administracin% 6A9>>0D8 7na de +as #ormas m$s uti+i'adas para 4acer administracin de +a seguridad in#orm$tica/ se .asa en +a uti+i'acin de est$ndares% <+ crecimiento de +as necesidades de gestin de +a seguridad in#orm$tica en +as organi'aciones/ 4a motivado +a creacin de est$ndares +oca+es e internaciona+es para +a administracin de tecno+og*a de in#ormacin/ 1 en particu+ar +a seguridad de dic4a in#ormacin/ 1 todo +o que a sta concierne 6O7D0"8% ;a 4istoria de +os est$ndares se remonta a +os inicios de+ sig+o QQ/ con +os primeros usos que se dieron a +a e+ectricidad5 se comen'aron a desarro++ar entonces ap+icaciones e+ctricas .a=o +os primero est$ndares esta.+ecidos por +a Internationa+ <+ectronic Committee ,I<C-% ?$s ade+ante con e+ paso de+ tiempo/ #ue surgiendo +a necesidad de nuevos 1 me=ores est$ndares en m$s 1 m$s $reas de+ conocimiento/ 1 as* naci +a Internationa+ Organisation o# Standarisation ,ISO- 6O7D0"8% )ero no s+o e3isten est$ndares reconocidos internaciona+mente/ sino [Link] 4an surgido est$ndares +oca+es o naciona+es/ re#erentes a +a administracin de seguridad in#orm$tica% ;a ra'n principa+ de +a creacin

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

de estos est$ndares +oca+es/ radica en +a casu*stica 1 especi#icidad que pueden ++egar a tener +as me=ores pr$cticas en e+ $rea/ en un pa*s o regin determinada 6O7D0"8% 7no de +os #actores positivos de +a e3istencia actua+ de +os est$ndares/ es +a cantidad que 4a1 de +os mismos/ 1a que esto permite a una organi'acin particu+ar/ acop+arse o acomodarse a uno de estos est$ndares/ seg2n sus caracter*sticas 1 necesidades/ o en una situacin determinada% 9diciona+mente/ otro punto a #avor de +as organi'aciones gracias a +os est$ndares/ no s+o es e+ a4orro de recursos/ tanto de dinero/ como de personas 1 tiempo/ en desarro++ar est$ndares propios/ sino que pueden uti+i'ar est$ndares que 4an sido demostrados a partir de +as me=ores pr$cticas en e+ $rea/ que para e+ caso de esta investigacin/ son +as me=ores pr$cticas en administracin de +a seguridad in#orm$tica 6O7D0"8% <n dic4a $rea/ +a administracin de seguridad in#orm$tica/ e3isten varios est$ndares/ naciona+es e internaciona+es/ que est$n orientados a ser una gu*a para +as organi'aciones en +a #ormacin 1 mantenimiento de +a in#raestructura de seguridad in#orm$tica de +as empresas% 9 continuacin se +istan a+gunos de +os est$ndares m$s importantes que e3isten en e+ $rea! S ISOTI<C DDD"- !200H! In#ormation tec4no+og1 -- Securit1 tec4niques -?anagement o# in#ormation and communications tec4no+og1 securit1 -- )art ! Concepts and mode+s #or in#ormation and communications tec4no+og1 securit1 management S ISOTI<C M> DDD"-D! ::G! In#ormation tec4no+og1 -- Guide+ines #or t4e management o# IM Securit1 -- )art D! Mec4niques #or t4e management o# IM Securit1 S ISOTI<C M> DDD"-H!2000! In#ormation tec4no+og1 -- Guide+ines #or t4e management o# IM Securit1 -- )art H! Se+ection o# sa#eguards S ISOTI<C M> DDD"-"!200 ! In#ormation tec4no+og1 -- Guide+ines #or t4e management o# IM Securit1 -- )art "! ?anagement guidance on netOor@ securit1 S ISOTI<C 77::!200"! In#ormation tec4no+og1 -- Securit1 tec4niques -Code o# practice #or in#ormation securit1 management S Nritis4 Standard 77:: U NS77:: S <st$ndares pu.+icados por IISM ,Iationa+ Institute o# Standards and Mec4no+og1S ISOTI<C 2700 !200" S CONIM Securit1 Nase+ine S ISE Standard o# Good )ractice )ara +ograr +os o.=etivos de +a administracin de +a seguridad in#orm$tica/ sta se va+e de contro+es que se uti+i'an para 4acer cump+ir +as directivas que esta $rea 4a #i=ado para +a organi'acin% Dic4os contro+es se c+asi#ican en! contro+es administrativos/ contro+es tcnicos 1 contro+es #*sicos% 6A9>>0D8 ;os contro+es administrativos/ 4acen re#erencia a+ desarro++o 1 pu.+icacin de po+*ticas/ est$ndares/ procedimientos/ investigacin de+ persona+/ entrenamiento 1 e+ [Link] de +os procedimientos de contro+% ;os contro+es tcnicos/ se re#ieren a +os mecanismos de contro+ de acceso/ administracin de recursos 1 contrase0as para su acceso/ mtodos de

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

autenticacin 1 autori'acin/ dispositivos de seguridad/ 1 +a con#iguracin de +a in#raestructura tcnica de seguridad de +a organi'acin% ;os contro+es #*sicos corresponden a +os contro+es #*sicos de acceso a di#erentes +ocaciones de +a organi'acin/ .+oqueo de sistemas/ monitoreo de +os +ugares cr*ticos de a+macenamiento 1 mane=o de in#ormacin/ etc% 6A9>>0D8 Dentro de +a administracin de +a seguridad de +a in#ormacin/ se [Link]*an tener en cuenta +as inversiones requeridas para e+ desarro++o de +os procedimientos/ po+*ticas/ est$ndares/ etc%/ anteriormente mencionados/ 1 para que dic4as inversiones ++eguen a retornar +os .ene#icios o ganancias esperadas/ se [Link]*a [Link] conocer +a #orma de estimar +as ganancias o posi.+es prdidas de dic4as inversiones% <n +a seccin que se presenta a continuacin/ se e3pondr$n a+gunas ideas 1 acercamientos p+anteados por di#erentes autores acerca de+ c$+cu+o de+ retorno de +as inversiones en seguridad in#orm$tica%

+igura# +igura ,-,. E+u=o norma+ de in#ormacin entre emisor 1 receptor 1 posi.+es amena'as! ,a- interrupcin/ ,.- interceptacin/ ,c- modi#icacin 1 ,d#[Link]%

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

+igura ,-2. 9mena'as para +a seguridad +igura ,-/. >epresentacin de+ mode+o V)+an-Do-C4ec@-9ctW% +igura ,-0. ?etodo+og*a de un SGSI seg2n ISO 2700

1ib%iograf2a

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

69;SI0"8 9C9D<?I9 ;9MIIO9?<>IC9I9 D< S<G7>ID9D IIEO>?XMIC9% 7nidad ! Introduccin a +a Seguridad de +a In#ormacin% ?icroso#t Mec4net% 200"% Disponi.+e en! 4ttp!TTOOO%ms+atam%comT+atamTtec4netTcsoTAtm+-<ST4ome%asp 6N>II:".8 N>IIR;<K/ Dona+d ;% 1 SCA<;;/ >oger >% In#ormation Securit1! 9n Integrated Co++ection o# <ssa1s! <ssa1 2 Concepts and Mermino+og1 #or Computer Securit1% Ca+i#ornia/ <stados 7nidos de 9mrica% 9CS9C% ::"% Disponi.+e en! 4ttp!TTOOO%acsac%orgTsecs4e+#[Link]@00 T02%pd# 6CurSeg0D8 Curso de seguridad In#orm$tica Fersion D% 9guirre ?ar'o 200D &orge >amiro

6G9SSGG8 G9SS<>/ ?orrie% Nui+ding a Secure Computer S1stem% Iueva Kor@/ <stados 7nidos de 9mrica% ;i.rar1 o# Congreso% :GG% Disponi.+e en! 4ttp!TTOOO%acsac%orgTsecs4e+#[Link]@002%4tm+ 6A9>>0D8 A9>>IS/ S4on% CISS) Certi#ication! 9++-in-one <3am Guide% Second <dition% <mervi++e/ Ca+i#ornia/ <stados 7nidos de 9mrica% ?cGraO Ai++% 200H 6ISF:"8 David Icove/ Rar+ Seger/ and Pi++iam FonStorc4% Computer Crime' Crimefighter's handbook% OC>ei++1 Y 9ssociates/ ::"% 6?e1G:8 Gordon >% ?e1er% %he #ocial (rgani)ation of the Computer *nderground% )4D t4esis/ Iort4ern I++inois 7niversit1/ :G:% 6IISM:"8 I9MIOI9; IISMIM7M< OE SM9ID9>DS 9ID M<CAIO;OGK% 9n Introduction to Computer Securit1! M4e IISM [Link]@/ Specia+ )u.+ication G00- 2 Pas4ington/ <stados 7nidos de 9mrica% Iationa+ Institute o# Standards and Mec4no+og1 ,IISM-/ ::"% Disponi.+e en! 4ttp!TTOOO%csrc%nist%govTpu.+icationsTnistpu.sTG00- [Link]@%pd# 6;ap: 8 &%C% ;aprie% +ependabilit$, -asic concepts and terminolog$% Springer-Fer+ag/ :: % 6O+o:28 Momas O+ovsson% 9 structured approac4 to computer securit1% Mec4nica+ >eport 22/ C4a+mers 7niversit1 o# Mec4no+og1/ ::2% 6O7D0"8 O7D/ <rnst &an% M4e va+ue to IM o# using Internaciona+ Standards% <n! In#ormation S1stems Contro+ &ourna+% Fo+% D% ,200"-5 p% D"-D: 6)#+:78 C4ar+es )% )#+eeger% #ecurit$ in computing% )rentice Aa++/ ::7% 6Seg7n028 S<G7>ID9D <I 7IIQ K ><D<S Fersion 2% 9ntonio Fi++a+on Auerta &u+io/ 2002 Disponi.+e en! OOO%rediris%esTcertTdocTuni3secTuni3sec%pd# 6SMOI0 8 SMOI<N7>I<>/ Gar1% IISM Specia+ )u.+ication G00-DD! 7nder+1ing Mec4nica+ ?ode+s #or In#ormation Mec4no+og1 Securit1%

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi

20

[Link]/ <stados 7nidos de 9mrica% Iationa+ Institute o# Standards and Mec4no+og1 ,IISM-/ 200 % Disponi.+e en! 4ttp!TTcsrc%nist%govTpu.+icationsTnistpu.sTG00-DDTspG00-DD%pd# 6MesSeg0 8 Mesis Seguridad In#orm$tica! Sus imp+ementaciones E% Norg4e++o 4ttp!TTOOO%4tm+Oe.%netTseguridadTtesisTCap %pd# Imp+icancias e 200

6MesS>OI0L8 Mesis 7I9 G7Z9 ?<MODO;[GIC9 )9>9 <; CX;C7;O D<; ><MO>IO 9 ;9 IIF<>SI[I ,>OI- <I S<G7>ID9D IIEO>?XMIC9! 7I C9SO D< <SM7DIO% Iico+as Sanc4e'/ &uan [Link]$n Segura% &unio 200L Disponi.+e en! 4ttp!TTOOO%criptored%upm%esTdescargaTMesis>etornoInversionSI%'ip

Seguridad In#orm$tica%

&uan David Gutirre' Giovanni (uccardi