unidad 1. introducci - elmayorportaldegerencia.comelmayorportaldegerencia.com/documentos/tics/[pd]...

Unidad 1. Introducción a la seguridad de la información

Introducción

Muchas empresas son amenazadas constantemente en sus activos, lo que pudiera representar miles o millones de dólares en pérdidas. Las vulnerabilidades en nuestros sistemas de información pueden representar problemas graves, por ello es muy importante comprender los conceptos necesarios para combatirlos y defendernos de posibles ataques a nuestra información.

Por ejemplo, recientemente se publicó una noticia* sobre un virus diseñado para lanzar ataques masivos y cómo prevenirlo para evitar consecuencias no deseadas. Se trata de un virus de tipo gusano que se propaga con los nombres de LoveSan, Blaster o MSBlaster el cual aprovecha un agujero en la seguridad de Windows® 2000 y Windows® XP, concretamente en el software que permite compartir archivos con otras máquinas. La finalidad de la plaga es recolectar equipos para realizar un ataque de Negación de Servicio (DoS por sus siglas en inglés) contra un sitio de Microsoft.

El virus Blaster tiene poco que ver con las plagas informáticas tradicionales: no se propaga por los medios habituales, sino que circula por Internet en busca de máquinas sobre las que puede realizar su ataque.

Este es un claro ejemplo de cómo una vulnerabilidad de Windows es aprovechada por Blaster. La mencionada vulnerabilidad de Windows, denominada RPC DCOM, consiste en un desbordamiento de buffer en la interfaz RPC, y ha sido calificada como "crítica" por la propia compañía Microsoft. Afecta a las versiones NT 4.0, 2000, XP y Windows Server 2003.

En líneas generales, se trata de un problema de seguridad que permitiría hacerse del control de los equipos en forma remota. Por ello, y con el fin de evitar posibles ataques, se aconseja tanto a los administradores y responsables de informática como a los usuarios particulares, la instalación inmediata de los parches proporcionados por Microsoft para corregir dicha vulnerabilidad. Los mismos pueden ser descargados desde http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp donde, además, puede encontrarse información detallada sobre este problema.

*Fuente: http://www.terra.es/tecnologia/articulo/html/tec9481.htm

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

http://www.terra.es/tecnologia/articulo/html/tec9481.htm

Podemos representar la implantación de un sistema de seguridad de información en la empresa como la escalada de una gran montaña, en la que poco a poco iremos subiendo de nivel en términos de conceptos, herramientas y conocimiento del entorno tecnológico de la empresa.

Contenido de la unidad:

Conceptos básicos Activos Amenazas y puntos débiles Riesgos, medidas y ciclo de seguridad

Objetivos

Objetivos

Con la finalidad de proteger todos los activos vitales para la empresa :

Conocer las diferentes categorías existentes de los activos de una empresa.

Comprender el concepto de puntos débiles para identificar las posibles vulnerabilidades y amenazas existentes en los activos.

Interpretar la clasificación propuesta de las posibles amenazas encontradas en los diferentes procesos de la empresa.

Revisar los conceptos de integridad, confidencialidad y disponibilidad de la información.

Conocer el concepto de riesgo y su implicación en el ciclo de seguridad de la información de la empresa.

Distinguir la diferencia entre aplicar o no medidas de seguridad en los diferentes aspectos de nuestra empresa.

Comprender los conceptos básicos de análisis de riesgo y política de seguridad, dos puntos muy importantes para definir las acciones en materia de seguridad que se aplican en las empresas.

Capítulo 1. Conceptos básicos

1.1 Introducción

En esta primera etapa de la escalada, conocerá los conceptos básicos de la seguridad de la información.

Con cada concepto comprendido, usted recibirá una nueva herramienta para ayudarle en el montaje de su tienda de campaña y así poder continuar la escalada de la montaña, avanzando hacia los capítulos siguientes y comprendiendo la forma como se implementa la seguridad de la información.

En esta etapa aún no posee estas herramientas, por ello, va a empezar a escalar con un campamento básico. Este campamento ilustra la situación en que se encuentran las empresas en la etapa inicial de la implementación de seguridad: bajo control sobre el ambiente, alto índice de riesgos, proceso de seguridad personal e intuitiva, entre otros.

Entonces vamos a conocer los principales conceptos de la seguridad de la información y por qué ella es necesaria para el éxito de los negocios de una empresa.

1.2 Objetivos

Objetivos

Comprender los conceptos básicos de la seguridad de la información para obtener una mejor idea de sus implicaciones.

Entender la importancia de la información en los negocios de hoy en día para actuar con mayor prontitud en su protección.

Identificar las diferencias entre los conceptos de seguridad de la información en las empresas actuales y de seguridad de los objetos tangibles para posteriormente definir posibles alternativas de protección.

1.3 Conceptos básicos de la seguridad de la información

Desde el surgimiento de la raza humana en el planeta, la información estuvo presente bajo diversas formas y técnicas. El hombre buscaba representar sus hábitos, costumbres e intenciones en diversos medios que pudiesen ser utilizados por él y por otras personas, además de la posibilidad de ser llevados de un lugar a otro. La información valiosa era registrada en objetos preciosos y sofisticados, pinturas magníficas, entre otros, que se almacenaban con mucho cuidado en locales de difícil acceso, a cuya forma y contenido sólo tenían acceso quienes estuviesen autorizados o listos para interpretarla.

En la actualidad la información es el objeto de mayor valor para las empresas. El progreso de la informática y de las redes de comunicación nos presenta un nuevo escenario, donde los objetos del mundo real están representados por bits y bytes, que ocupan lugar en otra dimensión y poseen formas diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos casos, llegando a tener un valor superior.

Por esto y otros motivos, la seguridad de la información es un asunto tan importante para todos, pues afecta directamente a los negocios de una empresa o de un individuo.

Ideas clave

La seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: impresos en papel, en los discos duros de las computadoras o incluso en la memoria de las personas que la conocen.

Preguntas

de reflexión

Los objetos reales o tangibles (entendiendo por éstos aquellas cosas de valor físico como joyas, pinturas, dinero, etc.) están protegidos por técnicas que los encierran detrás de rejas o dentro de cajas fuertes, bajo la mira de cámaras o guardias de seguridad. Pero, ¿Y la información que se encuentra dentro de servidores de archivos, qué transita por las redes de comunicación o que es leída en una pantalla de

computadora? ¿Cómo hacer para protegerla, ya que no es posible usar las mismas técnicas de protección de objetos reales?

Para dar respuesta a estas preguntas le invitamos a que continúe revisando el contenido temático de esta unidad donde conoceremos con detalles los principios que nos permitirán proteger la información. Por ahora en este capítulo cerraremos diciendo que�.

� una de las preocupaciones de la seguridad de la información es proteger los elementos que forman parte de la comunicación. Así, para empezar, es necesario identificar los elementos que la seguridad de la información busca proteger:

La información Los equipos que la

soportan Las personas que la

utilizan

Es importante, además, que todos los empleados de la compañía tomen conciencia sobre el manejo de la información de forma segura, ya que de nada sirve cualquier sistema de seguridad por complejo y completo que esté sea, si los empleados, por ejemplo, facilitan su usuario y contraseña a personas ajenas a la empresa y con esto dejar abierta la puerta a posibles ataques o filtraciones de información crítica al exterior de la compañía.

1.4 Lecciones aprendidas

Lecciones aprendidas

Aprendimos a lo largo de este capítulo los conceptos generales que conforman la seguridad de la información.

Comprendimos la importancia hoy en día para la empresa, de proteger la información que maneja y que le permite realizar su negocio.

Conocimos aquello que se requiere proteger en un sistema de seguridad de información: la información, los equipos que la manejan o soportan y las personas que la utilizan.

Unidad 2. Activos.

2.1 Introducción

Noticias del

mundo

¿Sabía usted que el 94% de las empresas que pierden sus datos desaparece? *

Según un estudio de la Universidad de Texas, sólo el 6% de las empresas que sufren un desastre informático sobreviven. El 94% restante tarde o temprano desaparece. Investigaciones de Gartner Group, aunque más moderadas, respaldan esta tendencia al indicar que dos de cada cinco empresas que enfrentan ataques o daños en sus sistemas dejan de existir.

Es por esto que Hitachi Data Systems asegura que el mercado de almacenamiento de datos crecerá alrededor de un 12% anual en Chile hasta 2008.

Enrique Mosiejko, director regional Latinoamérica Sur de Hitachi Data Systems (HDS), explica que "los datos de una empresa pueden desaparecer o dañarse de muchas formas. Por una mala administración de la información, errores humanos, virus, hackers, ataques terroristas o, incluso, desastres naturales. En Chile, por ejemplo, los terremotos y las inundaciones son una seria amenaza para los equipos que almacenan la información crítica de las compañías".

Como se puede observar en la noticia, es importante conocer los activos de la empresa y detectar sus vulnerabilidades para asegurar la confidencialidad, disponibilidad e integridad de la información. Es por ello, que en este capítulo abordaremos dichos temas.

*Fuente: http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35

http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35

2.2 Objetivos

Objetivos

Conocer los diferentes tipos de activos en la empresa para

identificar todo aquello que la seguridad de la información debe proteger.

Detectar posibles vulnerabilidades relacionadas con dichos activos para prepararnos para su protección.

Conocer los principios básicos de la seguridad de la información: confidencialidad, disponibilidad e integridad esto con la finalidad de valorar la importancia de dichos conceptos en el manejo de la información.

2.3 Tipos de activos

Concepto

clave

Un activo es todo aquel elemento que compone el proceso de la comunicación, partiendo desde la información, su emisor, el medio por el cual se transmite, hasta su receptor.

Los activos son elementos que la seguridad de la información busca proteger. Los activos poseen valor para las empresas y como consecuencia de ello, necesitan recibir una protección adecuada para que sus negocios no sean perjudicados.

Son tres elementos que conforman lo que denominamos activos:

la información, los Equipos que la soportan y, las personas que los utilizan.

Revisaremos con un poco más de detalle los diferentes tipos de activos, para ello consideramos esta clasificación:

A. Información

b. Equipos que la soportan: b.1 Software b.2 Hardware b.3 Organización

c. Personas que los utilizan o usuarios:

A.Información:

En este grupo están los elementos que contienen información registrada, en medio electrónico o físico, dentro de los más importantes tenemos:

Ejemplos de este tipo de activos

documentos informes libros manuales correspondencias patentes información de mercado código de programación líneas de comando reportes financieros archivos de configuración planillas de sueldos de empleados plan de negocios de una empresa, etc.

Posibles

vulnerabilidades

Robo de documentos, pérdida de archivos de configuración, entre otros.

B.1 Software:

Este grupo de activos contiene todos los programas de computadora que se utilizan para la automatización de procesos, es decir, acceso, lectura, tránsito y almacenamiento de la información. Entre ellos citamos:

las aplicaciones comerciales programas institucionales sistemas operativos otros

La seguridad de la información busca evaluar la forma en que se crean las aplicaciones, cómo están colocadas a disposición y la forma como son utilizadas por los usuarios y por otros sistemas, para detectar y corregir problemas existentes en la comunicación entre ellos.

Las aplicaciones deberán estar protegidas para que la comunicación entre las bases de datos, otras aplicaciones y los usuarios se realice de forma segura, atendiendo a los principios básicos de la seguridad de la información.


Sistemas operativos (Unix, Windows, Linux, etc.), programas de correo electrónico, bases de datos, aplicaciones específicas, sistemas de respaldo entre otros.

Posibles

vulnerabilidades

Fallas publicadas de los sistemas operativos y las aplicaciones no reparadas pueden representar accesos indebidos a los equipos. Son entradas usadas por hackers y virus.

B. 2 Hardware:

Estos activos representan toda la infraestructura tecnológica que brinda soporte a la información durante su uso, tránsito y almacenamiento.

Los activos que pertenecen a este grupo son:

Cualquier equipo en el cual se almacene, procese o transmita la información de la empresa.


las computadoras los servidores los equipos portátiles los mainframes los medios de almacenamiento los equipos de conectividad, enrutadores, switchs y

cualquier otro elemento de una red de computadoras por donde transita la información.

Posibles

vulnerabilidades

Fallas eléctricas que dañen los equipos, inundaciones en centros de cómputo, robo de equipos portátiles.

B.3 Organización:

En este grupo se incluyen los aspectos que componen la estructura física y organizativa de las empresas .

Se refiere a la organización lógica y física que tiene el personal dentro de la empresa en cuestión.


Como ejemplos de estructura organizativa , tenemos entre otros: la estructura departamental y funcional el cuadro de asignación de funcionarios la distribución de funciones y los flujos de información de

la empresa En lo que se refiere al ambiente físico , se consideran entre otros:

salas y armarios donde están localizados los documentos, fototeca, sala de servidores de archivos.

Posibles

vulnerabilidades

Ubicación insegura de documentos, equipos o personas. Estructura organizacional que no permita los cambios en materia

de seguridad.

C. Usuarios:

E l grupo usuarios se refiere a los individuos que utilizan la estructura tecnológica y de comunicación de la empresa y que manejan la información . El enfoque de la seguridad en los usuarios, está orientado hacia la toma de conciencia de formación del hábito de la seguridad para la toma de decisiones y acción por parte de todos los empleados de una empresa, desde su alta dirección hasta los usuarios finales de la información, incluyendo los grupos que mantienen en funcionamiento la estructura tecnológica, como los técnicos, operadores y administradores de ambientes tecnológicos.


Empleados del área de contabilidad. Directivos de la empresa.

Posibles

vulnerabilidades

No usar contraseñas complejas. No bloquear la computadora. Falta de cooperación por parte de los usuarios en materia de

seguridad. Descuido de parte de los usuarios en el manejo de la información. Robo de información.

2.4 Protección de los activos

Una vez que conocemos los diferentes tipos de activos que podemos encontrar en las empresas, ahora profundizaremos en los principios básicos que nos ayudarán a proteger el activo de más valor en los negocios modernos: la información

a) Principios básicos de la seguridad de la información

Proteger los activos significa mantenerlos seguros contra amenazas que puedan afectar su funcionalidad :

Corrompiéndola, accediéndola indebidamente, o incluso Eliminándola o hurtándola.

Por lo tanto, entendemos que la seguridad de la información tiene en vista proteger a estos activos de una empresa o individuo, con base en la preservación de tres principios básicos:

integridad confidencialidad y, disponibilidad de la información.

Enseguida encontrará información más detallada de cada unos de estos principios:

a.1) Principio de la integridad de la información

El primero de los tres principios de la seguridad de la información que aplicamos es la integridad, la cual nos permite garantizar que la información no ha sido alterada en su contenido, por tanto, es íntegra.

Una información íntegra es una información que no ha sido alterada de forma indebida o no autorizada. Para que la información se pueda utilizar, deberá estar íntegra. Cuando ocurre una alteración no autorizada de la información en un documento, quiere decir que el documento ha perdido su integridad.

La integridad de la información es fundamental para el éxito de la comunicación.

El receptor deberá tener la seguridad de que la información obtenida, leída u oída es exactamente la misma que fue colocada a su disposición para una debida finalidad. Estar íntegra quiere decir estar en su estado original, sin haber sido alterada por quien no tenga autorización para ello. Si una información sufre alteraciones en su versión original, entonces la misma pierde su integridad, ocasionando errores y fraudes y perjudicando la comunicación y la toma de decisiones.

La quiebra de integridad ocurre cuando la información se corrompe, falsifica o burla. Una información se podrá alterar de varias formas, tanto su contenido como el ambiente que la soporta. Por lo tanto, la quiebra de la integridad de una información se podrá considerar bajo dos aspectos:

1. Alteraciones del contenido de los documentos � donde se realizan inserciones, sustituciones o remociones de partes de su contenido;

2. Alteraciones en los elementos que soportan la información � donde se realizan alteraciones en la estructura física y lógica donde una información está almacenada. Citemos unos ejemplos:

Ejemplo

Cuando se alteran las configuraciones de un sistema para tener acceso a informaciones restrictas, cuando se superan las barreras de seguridad de una red de computadoras. Todos son ejemplos de quiebra de la integridad que afectan a la seguridad. Por lo tanto, la práctica de la seguridad de la información tiene como objeto impedir que ocurran eventos de quiebra de integridad, causando daños a las personas y empresas.

Preguntas de

reflexión

¿Qué tan importante es para usted que la información de sueldos en su empresa no se vea alterada por accidente o delito? ¿Sabe usted si la información sobre proyectos de negocio confidenciales está segura y libre de poder ser alterada por terceros?

Veamos unas notas finales del propósito que queremos lograr al asegurar la integridad de la información el cual va muy ligado al principio que veremos enseguida; la confidencialidad de la información.

Garantía de la integridad de la información

Buscar la integridad es asegurarnos que sólo las personas autorizadas puedan hacer alteraciones en la forma y contenido de una información, así como en el ambiente en el cual la misma es almacenada y por el cual transita, es decir, en todos los activos. Por lo tanto, para garantizar la integridad, es necesario que todos los elementos que componen la base de gestión de la información se mantengan en sus condiciones originales definidas por sus responsables y propietarios. En resumen: garantizar la integridad es uno de los principales objetivos para la seguridad de las informaciones de un individuo o empresa.

a. 2) Principio de la confidencialidad de la información

El principio de la confidencialidad de la información tiene como propósito el asegurar que sólo la persona correcta acceda a la información que queremos distribuir.

La información que se intercambian entre individuos y empresas no siempre deberá ser conocida por todo el mundo. Mucha de la información generada por las personas se destina a un grupo específico de individuos, y muchas veces a una única persona. Eso significa que estos datos deberán ser conocidos sólo por un grupo controlado de personas, definido por el responsable de la información.

Por ese motivo, se dice que la información posee un grado de confidencialidad que se deberá preservar para que personas sin autorización no la conozcan.

Tener confidencialidad en la comunicación, es la seguridad de que lo que se dijo a alguien o escribió en algún lugar será escuchado o leído sólo por quien tenga ese derecho.

Pérdida de confidencialidad significa pérdida de secreto. Si una información es confidencial, es secreta, se deberá guardar con seguridad y no ser divulgada para personas no autorizadas.

Preguntas de

reflexión

¿Sabe usted quién pueda acceder a su información? ¿Está guardada de forma suficientemente segura para que personas no

autorizadas no la accedan? ¿El envío y la guardia de la información confidencial se realiza de forma

segura y también los medios por los cuáles transita son controlados, conocidos y seguros?

Si la respuesta para alguna de estas preguntas es negativa, entonces ha llegado el momento de pensar en la seguridad de la información para garantizar la confidencialidad de la información de su empresa.

Ejemplo

Pensemos en el caso de una tarjeta de crédito, el número de la tarjeta sólo podrá ser conocido por su dueño y por el vendedor de la tienda donde lo usa. Si este número es descubierto por alguien malintencionado, como en los casos denunciados en los diarios de delitos en Internet, el daño de esa pérdida de confidencialidad podrá ser muy elevado, pues este número podrá ser usado por alguien para hacer compras vía Internet, trayendo pérdidas financieras y un gran dolor de cabeza para el propietario de la tarjeta. Lo mismo sucede en el caso de uso indebido de contraseñas de acceso a sistemas de bancos, por ejemplo. Miles de dólares se roban diariamente por la acción de criminales virtuales que se dedican a invadir sistemas para quebrar la confidencialidad de las personas y empresas.

Garantía de la confidencialidad de la información

Garantizar la confidencialidad es uno de los factores determinantes para la seguridad y una de las tareas más difíciles de implementar, pues involucra a todos los elementos que forman parte de la comunicación de la información, desde su emisor, el camino que ella recorre, hasta su receptor. Y también, cuanto más valiosa es una información, mayor debe ser su grado de confidencialidad. Y cuanto mayor sea el grado de confidencialidad, mayor será el nivel de seguridad necesario de la estructura tecnológica y humana que participa de este proceso: del uso, acceso, tránsito y almacenamiento de las informaciones. Se deberá considerar a la confidencialidad con base en el valor que la información tiene para la empresa o la persona y los impactos que podría causar su divulgación indebida. Siendo así, debe ser accedida, leída y alterada sólo por aquellos individuos que poseen permisos para tal. El acceso debe ser considerado con base en el grado de sigilo de las informaciones, pues no todas las informaciones sensibles de la empresa son confidenciales Pero para garantizar lo anterior, sólo la confidencialidad de las informaciones no es suficiente, es importante que además de ser confidenciales, las informaciones también deben estar íntegras. Por lo tanto, se debe mantener la integridad de una información, según el principio básico de la seguridad de la información.

Como se acaba de mencionar, la forma de instrumentar la confidencialidad de la información es a través del establecimiento del grado de sigilo, veamos enseguida este concepto fundamental:

Concepto clave

Grado de sigilo: L a información generada por las personas tiene un fin específico y se destina a un individuo o grupo. Por lo tanto, la información necesita una clasificación en lo que se refiere a su confidencialidad. Es lo que denominamos grado de sigilo, que es una graduación atribuida a cada tipo de información, con base en el grupo de usuarios que poseen permisos de acceso.

Dependiendo del tipo de información y del público para el cual se desea colocar a disposición los grados de sigilo podrán ser:

Confidencial Restricto Sigiloso Público

a. 3 Principio de disponibilidad de la información:

Una vez que nos aseguramos que la información correcta llegue a los destinatarios o usuarios correctos, ahora lo que debemos garantizar es que llegue en el momento oportuno, y precisamente de esto trata el tercer principio de la seguridad de la información: la disponibilidad.

Para que una información se pueda utilizar, deberá estar disponible. La disponibilidad es el tercer principio básico de la seguridad de la información. Se refiera a la disponibilidad de la información y de toda la estructura física y tecnológica que permite el acceso, tránsito y almacenamiento. La disponibilidad de la información permite que:

Se utilice cuando sea necesario Que esté al alcance de sus usuarios y

destinatarios Se pueda accederla en el momento en que

necesitan utilizarla.

Este principio está asociado a la adecuada estructuración de un ambiente tecnológico y

humano que permita la continuidad de los negocios de la empresa o de las personas, sin impactos negativos para la utilización de las informaciones. No basta estar disponible: la información deberá estar accesible en forma segura para que se pueda usar en el momento en que se solicita y que se garantice su integridad y confidencialidad . Así, el ambiente tecnológico y los soportes de la información deberán estar funcionando correctamente y en forma segura para que la información almacenada en los mismos y que transita por ellos pueda ser utilizada por sus usuarios.

Preguntas de

reflexión

¿La información necesaria para la toma de decisiones críticas para su negocio, se encuentra siempre disponible? ¿Sabe si existen vulnerabilidades que lo impidan? ¿Cuenta con sistemas de respaldo de información?

Ejemplos

Durante una reunión de altos ejecutivos de su empresa, los servicios de base de datos de la compañía fallan y esto impide que se pueda tomar una decisión clave en materia de negocios.

Tras un incendio en una de sus oficinas, se destruye la información de ventas de la compañía y no se contaba con un respaldo de la misma.

Enseguida citamos requerimientos que nos posibilitan que cerremos el círculo de la seguridad y que hagamos llegar la información correcta a la persona autorizada en el momento oportuno:

Garantía de la disponibilidad de la información

Para que se pueda garantizar la disponibilidad de la información, es necesario conocer cuáles son sus usuarios, con base en el principio de la confidencialidad, para que se puedan organizar y definir las formas de colocación en disponibilidad, garantizando, conforme el caso, su acceso y uso cuando sea necesario. La disponibilidad de la información se deberá considerar con base en el valor que tiene la información y en el impacto resultante de su falta de disponibilidad. Para garantizar la disponibilidad, se toman en cuenta muchas medidas. Entre ellas destacamos:

La configuración segura de un ambiente, donde todos los elementos que forman parte de la cadena de la comunicación están dispuestos en forma adecuada para asegurar el éxito de la lectura, tránsito y almacenamiento de la información.

También se realizan las copias de respaldo � backup . Hacer el respaldo de información permite que las mismas estén duplicadas

en otro local para ser utilizadas en caso de no ser posible recuperarlas de su base original.

Para aumentar aún más la disponibilidad de la información deberán: Definirse estrategias para situaciones de contingencia. Establecerse rutas alternativas para el tránsito de la

información, para garantizar su acceso y la continuidad de los negocios incluso cuando algunos de los recursos tecnológicos, o humanos, no estén en perfectas condiciones de operación.


Lecciones

aprendidas

Este capitulo nos permitió conocer varios conceptos nuevos de seguridad de información, lo que permitirá acelerar nuestro proceso rumbo a la creación de una política de seguridad.

Aprendimos que la información debe contar con: Integridad, confidencialidad y disponibilidad para que sea útil a la organización.

Categorizamos los diferentes tipos de activos en la empresa , e identificamos posibles vulnerabilidades en los mismos. Esto ayudará para saber en cuáles de ellos se tiene que poner más atención en materia de seguridad.

Unidad 3. Amenazas y puntos débiles

3.1 Introducción

Noticias del

mundo

Atos Origin, socio tecnológico mundial del Comité Olímpico Internacional (COI), anunció en Londres, 17 de septiembre del 2004, que la solución de seguridad implantada en la infraestructura tecnológica de los Juegos Olímpicos de Atenas 2004 consiguió solventar sin problemas los ataques de virus y hackers que se produjeron durante el evento, garantizando así la ausencia de interrupciones y una retransmisión de los resultados precisa y en tiempo real tanto a los medios de comunicación como al resto del mundo. Durante los 16 días que duró la competición se registraron más de cinco millones de alertas de seguridad en los sistemas informáticos de los Juegos, de las cuales 425 fueron graves y 20 críticas. Entre los intrusos se encontraban personas autorizadas que pretendían desconectar el sistema INFO 2004 -la Intranet de los Juegos Olímpicos que ofrecía los resultados y el calendario e información de los deportistas- con el fin de conectar ordenadores portátiles para obtener acceso a Internet. El equipo responsable fue capaz de ofrecer una rápida respuesta a todas estas alertas y de evitar accesos no autorizados. �En vista del enorme aumento de ataques y virus informáticos de los últimos años, Atos Origin convirtió la seguridad tecnológica en su máxima prioridad, mejorándola de forma significativa con respecto a la de Salt Lake City�, declara el Director de Tecnología del COI, Philippe Verveer. �Atos Origin ha gestionado de forma efectiva y eficaz el gran número de alertas de seguridad registradas durante los Juegos, garantizando que su infraestructura tecnológica no se viera afectada�.

Fuente: http://www.sema.es/noticia_extendida_home.asp?id=64 La noticia presentada, nos lleva a confirmar que el conocer perfectamente las posibles amenazas y riesgos a los que se encuentran expuestos nuestros activos, permite que nuestro trabajo pueda convertirse en un caso de éxito. Veamos entonces, en este capítulo, lo concerniente a las amenazas y puntos débiles.

http://www.sema.es/noticia_extendida_home.asp?id=64

3.2 Objetivos

Objetivo

Conocer los diferentes tipos de amenazas que puedan presentarse en todos los activos de la empresa, para reconocer su importancia y permitirnos minimizar el impacto que provocan.

Identificar los diferentes tipos de puntos débiles de los activos y conocer cómo éstos pueden permitir que las amenazas alteren la disponibilidad, confidencialidad o integridad de la información.

3.3 Amenazas

Concepto clave

Las amenazas son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa, afectando sus negocios.

Los activos están constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la información. Estas amenazas siempre existirán y están relacionadas a causas que representan riesgos, las cuales pueden ser:

causas naturales o no naturales causas internas o externas

Por lo tanto, entendemos que uno de los objetivos de la seguridad de la información es impedir que las amenazas exploten puntos débiles y afecten alguno de los principios básicos de la seguridad de la información (integridad, disponibilidad, confidencialidad), causando daños al negocio de las empresas. Dada la importancia de las amenazas y el impacto que puede tener para la información de las organizaciones, revisemos ahora su clasificación.

Tipos de amenazas

Las amenazas son constantes y pueden ocurrir en cualquier momento. Esta relación de frecuencia-tiempo, se basa en el concepto de riesgo, lo cual representa la probabilidad de que una amenaza se concrete por medio de una vulnerabilidad o punto débil. Las mismas se podrán dividir en tres grandes grupos: 1. Amenazas naturales � condiciones de la naturaleza y la intemperie que podrán causar daños a los

activos, tales como fuego, inundación, terremotos,

2. Intencionales � son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de información, entre otras.

3. Involuntarias - son amenazas resultantes de acciones inconscientes de usuarios, por virus electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.

Entre las principales amenazas, la ocurrencia de virus, la divulgación de contraseñas y la acción de hackers están entre las más frecuentes. A continuación se presentan algunos datos de manera resumida de los resultados de la encuesta y las principales amenazas identificadas en las empresas investigadas.

Estadística

En la 6ª Encuesta Nacional sobre Seguridad de la Información realizada por Modulo Security Solutions S.A. en Brasil en el año 2000, se revelan los elementos que representan las principales amenazas a la información de las empresas brasileñas.

Con la importancia estratégica que vienen conquistando las tecnologías de la información, los perjuicios de invasiones e incidentes en la red, provocan cada año mayor impacto en los negocios de las empresas brasileñas. El mercado está más atento a los nuevos peligros que resultan de la presencia y uso del Internet. Siete de cada diez ejecutivos entrevistados creen que habrá un crecimiento de los problemas de seguridad en 2000; el 93% reconoce la gran importancia de la protección de los datos para el éxito del negocio, siendo que, el 39% la considera vital para el ambiente corporativo.

El control de lo que ocurre en las redes corporativas ha sido uno de los puntos más débiles en las empresas brasileñas. Destacamos los siguientes factores críticos detectados por la encuesta:

Solamente el 27% afirma nunca haber sufrido algún tipo de ataque. Cerca del 41% no sabe ni siquiera que fueron invadidos, revelando el gran

riesgo que las organizaciones corren por no conocer los puntos débiles de la red interna

Para el 85% de las empresas, no fue posible cuantificar las pérdidas causadas por invasiones o contingencias ocurridas.

El acceso a Internet vía módem se permite en el 38% de las empresas. Éste es un gran peligro indicado por la encuesta, ya que las empresas no destacaron la utilización de medidas de seguridad para este uso.

El 75% de las empresas menciona que los virus son la mayor amenaza a la seguridad de la información en las empresas. Aunque el 93% de las corporaciones afirme haber adoptado sistemas de prevención contra virus, el

48% sufrió contaminación en los últimos seis meses y sólo el 11% de las empresas entrevistadas declaró nunca haber sido infectada.

La divulgación de contraseñas fue indicada como la segunda mayor amenaza a la seguridad, con el 57% de menciones. Los hackers, tradicionalmente los mayores villanos de Internet, aparecen en tercer lugar (44%) y empleados insatisfechos (42%) en cuarto lugar.

3.4 Puntos débiles Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología también surgirán nuevas formas en las que la información puede llegar a estar expuesta, por tanto es importante conocer el marco general de cómo se clasifican las vulnerabilidades o puntos débiles que pueden hacer que esas amenazas impacten nuestro sistemas, comprometiendo los principios de la seguridad de nuestra información.

Puntos débiles

Los puntos débiles son los elementos que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa. Uno de los primeros pasos para la implementación de la seguridad es rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información. Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir las medidas de seguridad apropiadas para su corrección.

Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la información . La existencia de puntos débiles está relacionada con la presencia de elementos que perjudican el uso adecuado de la información y del medio en que la misma se está utilizando.

Podemos comprender ahora otro objetivo de la seguridad de la información: la corrección de puntos débiles existentes en el ambiente en que se usa la información, con el objeto de reducir los riesgos a que está sometida, evitando así la concretización de una amenaza.

Ahora profundizaremos un poco más en la descripción de cada uno de estos tipos de vulnerabilidades:

a) Vulnerabilidades físicas

Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está almacenando

Físicas o manejando.

Ejemplo

Como ejemplos de este tipo de vulnerabilidad se distinguen: i instalaciones inadecuadas del espacio de trabajo, ausencia de recursos para el combate a incendios, disposición desorganizada de cables de energía y de red, ausencia de identificación de personas y de locales, entre otros.

Estos puntos débiles, al ser explotados por amenazas, afectan directamente los principios básicos de la seguridad de la información, principalmente la disponibilidad.

b) Vulnerabilidades naturales

Naturales

Los puntos débiles naturales son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información.

Muchas veces, la humedad, el polvo y la contaminación podrán causar daños a los activos. Por ello, los mismos deberán estar protegidos para poder garantizar sus funciones.

La probabilidad de estar expuestos a las amenazas naturales es determinante en la elección y montaje de un ambiente. Se deberán tomar cuidados especiales con el local, de acuerdo con el tipo de amenaza natural que pueda ocurrir en una determinada región geográfica.

Ejemplo

Entre las amenazas naturales más comunes podemos citar: ambientes sin protección contra incendios, locales próximos a ríos propensos a inundaciones, infraestructura incapaz de resistir a las manifestaciones de la

naturaleza como terremotos, maremotos, huracanes etc.

c) Vulnerabilidades de hardware

Los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos.

De hardware

Existen muchos elementos que representan puntos débiles de hardware. Entre ellos podemos mencionar:

la ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan, y

conservación inadecuada de los equipos.

Por ello, la seguridad de la información busca evaluar:

si el hardware utilizado está dimensionado correctamente para sus funciones . si posee área de almacenamiento suficiente, procesamiento y velocidad

adecuados.

Ejemplo

o La falta de configuración de respaldos o equipos de contingencia pudiera representar una vulnerabilidad para los sistemas de la empresa.

d) Vulnerabilidades de software

De software

Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informáticos incluso sin el conocimiento de un usuario o administrador de red.

Los puntos débiles relacionados con el software podrán ser explotados por diversas amenazas ya conocidas.

Entre éstos destacamos:

La configuración e instalación indebidas de los programas de computadora, que podrán llevar al uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso implica el aumento del riesgo.

Ejemplo

Lectores de e-mail que permiten la ejecución de códigos maliciosos, editores de texto que permiten la ejecución de virus de macro etc. Estos puntos débiles colocan en riesgo la seguridad de los ambientes tecnológicos.

Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el acceso de los usuarios a dichos datos en medio electrónico y, por

esta razón, se convierten en el objetivo predilecto de agentes causantes de amenazas.

Ejemplo

También podrán tener puntos débiles de aplicaciones los programas utilizados para la edición de texto e imagen, para la automatización de procesos y los que permiten la lectura de la información de una persona o empresa, como los navegadores de páginas del Internet.

Los sistemas operativos como Microsoft ® Windows ® y Unix ®, que ofrecen la interfaz para configuración y organización de un ambiente tecnológico. Estos son el blanco de ataques, pues a través de los mismos se podrán realizar cualquier alteración de la estructura de una computadora o red.

Ejemplo

Estas aplicaciones son vulnerables a varias acciones que afectan su seguridad, como por ejemplo la configuración e instalación inadecuada, ausencia de actualización, programación insegura etc.

e) Vulnerabilidades de medios de almacenaje

Los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan para almacenar la información. Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos podemos citar:

disquetes cd-roms cintas magnéticas discos duros de los servidores y de las bases de datos, así como lo que está

registrado en papel. Por lo tanto�.

De medios de almacenaje.

Si los soportes que almacenan información, no se utilizan de forma adecuada , el contenido en los mismos podrá estar vulnerable a una serie de factores que podrán afectar la integridad, disponibilidad y confidencialidad de la información

.

Ejemplo

Los medios de almacenamiento podrán ser afectados por puntos débiles que podrán dañarlos e incluso dejarlos indispuestos. Entre estos puntos débiles, destacamos los siguientes:

plazo de validez y caducidad

defecto de fabricación uso incorrecto lugar de almacenamiento en locales insalubres o con alto nivel de

humedad, magnetismo o estática, moho, etc..

f) Vulnerabilidades de comunicación

De comunicación

Este tipo de punto débil abarca todo el tránsito de la información . Donde sea que la información transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información.

Hay un gran intercambio de datos a través de medios de comunicación que rompen barreras físicas tales como teléfono, Internet, WAP, fax, télex etc.

Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el propósito de evitar que:

Cualquier falla en la comunicación haga que una información quede no disponible para sus usuarios, o por el contrario, estar disponible para quien no posee derechos de acceso.

La información sea alterada en su estado original, afectando su integridad . La información sea capturada por usuarios no autorizada, afectando su

confidencialidad.

Por lo tanto, la seguridad de la información también está asociada con el desempeño de los equipos involucrados en la comunicación, pues se preocupa por: la calidad del ambiente que fue preparado para el tránsito, tratamiento, almacenamiento y lectura de la información.

Ejemplo

o La ausencia de sistemas de encriptación en las comunicaciones que pudieran permitir que personas ajenas a la organización obtengan información privilegiada.

o La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad de la empresa pudiera provocar que no alcanzaran el destino esperado o bien se interceptara el mensaje en su tránsito.

g) Vulnerabilidades humanas

Humanas

Esta categoría de vulnerabilidad está relacionada con los daños que las personas pueden causar a la información y al ambiente tecnológico que la soporta.

Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales. La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa. . Destacamos dos puntos débiles humanos por su grado de frecuencia:

la falta de capacitación específica para la ejecución de las actividades inherentes a las funciones de cada uno,

la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, insatisfacciones etc.

En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas aquéllas que puedan ser exploradas por amenazas como:

vandalismo, estafas, invasiones, etc.

Ejemplo

Contraseñas débiles, falta de uso de criptografía en la comunicación, compartimiento de identificadores tales como nombre de usuario o credencial de acceso, entre otros.



Este capítulo nos dio la oportunidad de conocer que las amenazas se pueden dividir en tres grandes grupos: naturales, involuntarias e intencionales.

Además, aprendimos que las amenazas no son únicamente provenientes de personas ajenas a la empresa, si no que también pueden provenir de eventos naturales o incluso errores humanos. Esto incrementa nuestro panorama en torno a la seguridad.

Identificamos algunas categorías de los diferentes puntos débiles o vulnerabilidades que pueden encontrarse en los activos de la empresa.

Reconocimos algunos ejemplos de puntos débiles existentes en elementos físicos, humanos, de comunicación, entre otros, permitiéndonos tener una idea mucho más clara de los riesgos a los que se enfrenta nuestro negocio.

Unidad 4. Riesgos, medidas y ciclo de seguridad Introducción

Noticias del

mundo

Expertos en seguridad informática reunidos en Kuala Lumpur , Malasia explicaron que problemas en cierto software podrían permitir tomar el control del teléfono en forma remota, leer la agenda de direcciones o escuchar secretamente una conversación. Advirtieron que la última generación de teléfonos móviles es vulnerable a los hackers, según informó el sitio de noticias de la BBC. Los asistentes a la conferencia "Hack in the Box", realizada en la capital de Malasia, fueron testigos de una demostración sobre los defectos de seguridad encontrados en Java 2 Micro Edition o J2ME, software desarrollado conjuntamente por Sun Microsystems, Nokia, Sony Ericsson y Motorola. La vulnerabilidad del software, que viene incluido en teléfonos "inteligentes" fabricados por estas compañías, está relacionada con la manera en que Java trata de evitar que el sistema operativo acepte órdenes desde el exterior, señaló un portavoz. "La nueva generación de teléfonos en realidad viene con un software mucho más poderoso dentro del sistema operativo", manifestó Dylan Andrew, el organizador del encuentro. "Hemos encontrado nuevos ataques que afectan a éstas nuevas plataformas y que permiten al atacante, por ejemplo, tomar el control del teléfono celular en forma remota, quizás leer la agenda de direcciones o escuchar secretamente un conversación", agregó. Sin embargo, el director de seguridad inalámbrica de la compañía McAfee, aclaró que el riesgo, si bien existe, aún es mínimo.

Fuente: http://www.laflecha.net/canales/seguridad/200410061/ Noticias como está son comunes en el mundo de hoy. Todos los días nos enteramos de posibles riesgos en diferentes dispositivos o sistemas de manejo de información. Para poder prevenir dichos riesgos es necesario conocerlos a fondo, así como conocer las medidas de seguridad necesarias para minimizarlos.

http://www.laflecha.net/canales/seguridad/200410061/

4.2 Objetivos

Objetivo

Conocer el concepto de riesgo y su implicación en la seguridad de la información de la empresa.

Distinguir la diferencia entre aplicar o no medidas de seguridad en los diferentes aspectos de nuestra empresa.

Comprender lo que se conoce como ciclo de seguridad, que nos permitirá mantener vigente nuestras acciones en esta materia.

4.3 Riesgos

Concepto clave

El riesgo es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información.

Riesgos

C oncluimos que la seguridad es una práctica orientada hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger. El principal objetivo es garantizar el éxito de la comunicación segura, con información disponible, íntegra y confidencial, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.

4.4 Medidas de seguridad

Concepto clave

Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.

Medidas de seguridad

Ya que existe una variedad de clases de puntos débiles que afectan la disponibilidad, confidencialidad e integridad de la información, deberán existir medidas de seguridad específicas para el tratamiento de cada caso.

Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer el ambiente en sus mínimos detalles, buscando los puntos débiles existentes.

A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:

Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;

Perceptivo: orientado hacia la revelación de actos que pongan en riesgo la información o

Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia.

Medidas globales de seguridad

Las medidas de seguridad son un conjunto de prácticas que, al ser integradas, constituyen una solución global y eficaz de la seguridad de la información. Entre las principales medidas se destacan:

Análisis de riesgos Política de seguridad Especificación de

seguridad Administración de

seguridad

La seguridad de la información debe ser garantizada en una forma integral y completa de ahí que resulte de mucha utilidad conocer con un poco más de detalle estas cuatro medidas de seguridad que permiten movernos desde el análisis de riesgos hasta la administración de la seguridad: a)Análisis de riesgos

Es una medida que busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas . El análisis de riesgos tiene como resultado un grupo de recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.

b) Política de seguridad

Es una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos . Es una forma de suministrar un conjunto de normas para guiar a las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas , pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.

c) Especificación de seguridad

Son medidas que tienen en mira instruir la correcta implementación de un nuevo ambiente tecnológico , por medio del detalle de sus elementos constituyentes y la forma con que los mismos deben estar dispuestos para atender a los principios de la seguridad de la información.

d) Administración de la seguridad

Son medidas integradas para producir la gestión de los riesgos de un ambiente. La administración de la seguridad involucra a todas las medidas mencionadas anteriormente, en forma preventiva, perceptiva y correctiva , con base en el ciclo de la seguridad que presentamos a continuación

4.5 Ciclo de seguridad

Ahora que usted ya conoce todos los conceptos necesarios para comprender lo que es la seguridad, presentamos a continuación el ciclo de la seguridad de la información, con todos sus conceptos básicos.

Ciclo de seguridad de la información

El ciclo de seguridad se inicia con la identificación de las amenazas a las cuales están sometidas las empresas. La identificación de las amenazas permitirá la visualización de los puntos débiles que se podrán explotar, exponiendo los activos a riesgos de seguridad.

Esta exposición lleva a la pérdida de uno o más principios básicos de la seguridad de la información, causando impactos en el negocio de la empresa, aumentando aún más los riesgos a que están expuestas las informaciones.

Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de seguridad para impedir la ocurrencia de puntos débiles.

Así, concluimos la definición de seguridad de la información desde la ilustración del ciclo:

Como podemos ver en el diagrama anterior. Los riesgos en la seguridad de la empresa aumentan en la medida que las amenazas pueden explotar las vulnerabilidades, y por tanto causar daño en los activos. Estos daños pueden causar que la confidencialidad,

integridad o disponibilidad de la información se pierda, causando impactos en el negocio de la empresa.

Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclo sea de mucho menor impacto para los activos, y por tanto, para la empresa.

Por lo tanto, la seguridad es � � una actividad cuyo propósito es:

proteger a los activos contra accesos no autorizados ,

evitar alteraciones indebidas que pongan en peligro su integridad

garantizar la disponibilidad de la información

Y es instrumentada por medio de políticas y procedimientos de seguridad que permiten: la identificación y control de amenazas y puntos débiles, teniendo en mira la preservación de la confidencialidad, integridad y disponibilidad de la información.



Identificamos la manera en que debemos visualizar los diferentes riesgos a los que está expuesta nuestra empresa, lo que nos permitirá reducirlos y aumentar la seguridad de los activos.

Comprendimos los diferentes tipos de medidas de seguridad que podemos tomar en la empresa, ya sean preventivas, perceptivas o correctivas para aplicarlas y de esta forma disminuir los posibles impactos o daños resultados de los ataques.

Conocimos el ciclo de seguridad, en el que se recurre a las diferentes medidas para evitar la ocurrencia de vulnerabilidades.

unidad 1. introducci - elmayorportaldegerencia.comelmayorportaldegerencia.com/documentos/tics/[pd]...

Documents