M2 Seguridad Informatica Def

F49REV02
epi
MDULO II
FUNDAMENTOS DE LA SEGURIDAD INFORMTICA
FORMACIN EN SEGURIDAD EN INFORMTICA
TUTOR: Diego Snchez Repila
MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 2

MDULO
02
INDICE
OBJETIVOS GENERALES ................................................................... 4
UNIDAD 1. CONCEPTOS FUNDAMENTALES ........................................ 5 0. INTRODUCCIN ..................................................................... 5 1. LA INFORMACIN EN LA EMPRESA ............................................ 6 2. HISTORIA ............................................................................. 7 3. ES ATRACTIVO EL DELITO INFORMTICO? ............................... 8 4. PRINCIPIOS DE LA SEGURIDAD INFORMTICA ........................... 9 5. AMENAZAS DEL SISTEMA ...................................................... 10 6. DEBILIDADES DEL SISTEMA INFORMTICO .............................. 14 7. ATAQUES Y DELITOS INFORMTICOS ...................................... 15 8. TRANSMISIN DE VIRUS Y MALWARE ..................................... 19 9. CONSEJOS BSICO DE PREVENCIN ....................................... 20 10. QU HACER EN CASO DE ESTAR INFECTADO? ....................... 21 11. REQUISITOS DE SEGURIDAD DE UN SISTEMA......................... 22
UNIDAD 2. CLASIFICACIONES Y TIPOS .......................................... 23 1. INTRODUCCIN ................................................................... 23 2. SEGURIDAD FSICA.............................................................. 24 3. SEGURIDAD LGICA ............................................................ 44 4. PROTECCIN LGICA ............................................................ 56 5. INVERSIN ......................................................................... 62
UNIDAD 3. Polticas y riesgos de la seguridad informtica .............. 63 1. INTRODUCCIN ................................................................... 63 2. EVALUACIN DE RIESGOS .................................................... 67 3. EVALUACIN DE COSTES ...................................................... 70 4. ESTRATEGIA DE SEGURIDAD ................................................. 74 5. IMPLEMENTACIN ................................................................ 76

MDULO
02
GLOSARIO ..................................................................................... 78 BIBLIOGRAFA .............................................................................. 85

MDULO
02
OBJETIVOS GENERALES
Inculcar la importancia de un buen sistema de seguridad para proteger la informacin.
Valorar la gran importancia que tiene la informacin en cualquier organizacin.
Adquirir los conocimientos para poder realizar un buen sistema de seguridad.
Conocer las principales clases y clasificaciones de los sistemas de seguridad informtica.
Estudiar cmo y cundo implementar el sistema de seguridad, teniendo en cuenta la relacin coste-beneficio.
Aplicar los conocimientos para saber qu hacer cuando ya hemos sido atacados.
Aprender los principales conceptos y palabras relacionados con el mundo de la seguridad informtica.

MDULO
02
UNIDAD 1. CONCEPTOS FUNDAMENTALES
0. INTRODUCCIN
En esta primera unidad del curso trataremos de entender el significado de la seguridad informtica, sus virtudes, sus puntos dbiles, necesidades Por esta razn empezaremos definiendo conceptos que nos sern muy tiles para la comprensin de todo el curso:
Seguridad: cualidad de seguro. La seguridad no es un producto, sino un proceso.
Seguro: libre y exento de todo peligro, dao o riesgo.
Informtica: tratamiento automtico de la informacin por medio de ordenadores.
Seguridad informtica: conjunto de mtodos y herramientas destinados a proteger la informacin y por ende los sistemas informticos ante cualquier amenaza. Un proceso en el cual participan personas, por lo que debemos concienciarlas de la importancia de la seguridad.
Informacin: conjunto organizado de datos, que constituye un mensaje sobre un cierto fenmeno o ente. Permite resolver problemas y tomar decisiones, ya que su uso racional es la base del conocimiento.

MDULO
02
1. LA INFORMACIN EN LA EMPRESA
El concepto de informacin en el mbito empresarial comprende: Conjunto de datos y ficheros de la empresa Mensajes intercambiados Historial de clientes y proveedores Historial de productos En definitiva, el know-how de la organizacin
El xito de una empresa depender de la calidad de la informacin que genera y gestiona. As, una empresa tendr una informacin de calidad si sta posee, entre otras caractersticas, las de confidencialidad, de integridad y de
disponibilidad. Si esta informacin se pierde o deteriora, le ser muy difcil a la empresa recuperarse y seguir siendo competitiva. Por este motivo, es vital que se implanten unas polticas de seguridad y que, adems, se haga un seguimiento de ellas.
Confidencialidad: garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento.
Disponibilidad: garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con la misma, toda vez que lo requieran.

MDULO
02
2. HISTORIA
La implantacin de una poltica y medidas de seguridad informtica en la empresa comienza a tenerse en cuenta slo a finales de la dcada pasada. En este nuevo siglo, es un factor estratgico en el desarrollo y xito de la misma. Despus de atentados terroristas, incendios, huracanes y diversas amenazas, muchas empresas han desaparecido por no haber sido capaces de recuperarse tras haber perdido toda su informacin. Para empezar, estudiaremos la evolucin histrica que ha tenido la informtica en las tres ltimas dcadas:
A principios de la dcada de los 80, el uso de ordenadores personales comienza a ser comn, asomando por tanto la preocupacin por la integridad de los datos. Los primeros virus y gusanos aparecen en los 90, tomando conciencia del peligro que tenemos como usuarios de PCs y equipos conectados a Internet. Esto lleva a que la palabra Hacker aparezca en nuestras vidas.
Hacker: Usuario de ordenadores especializado en penetrar en las bases de datos de sistemas informticos estatales con el Fin de obtener informacin secreta. En la actualidad, el trmino se identifica con el de delincuente informtico, e incluye a los cibernautas que realizan operaciones delictivas a travs de las redes de ordenadores existentes.
El aumento de estos hackers y sus gusanos, malware, virusllevan al aumento de la importancia de la seguridad informtica. Para los interesados en virus, os dejo una web que enumera los 20 virus ms importantes de la historia, los nombran en orden cronolgico:
http://www.jbex.net/20-virus-importantes-historia.html

MDULO
02
3. ES ATRACTIVO EL DELITO INFORMTICO?
Suponiendo que todos entendemos ms o menos qu es un delito informtico, algo no muy banal dado que muchos pases no se ponen de acuerdo, parece ser que es un buen negocio: Objeto pequeo: la informacin que se ataca est almacenada en contenedores pequeos. No es necesario un camin para robar un banco, llevarse las joyas, el dinero, etc. Contacto fsico: no existe contacto fsico en la mayora de los casos. Se asegura el anonimato y la integridad fsica del propio delincuente. Alto valor: el objeto codiciado tiene un alto valor. Los datos (el contenido a robar) puede valer mucho ms que el soporte que los almacena: servidor, computador, disco, CD...

MDULO
02
4. PRINCIPIOS DE LA SEGURIDAD INFORMTICA
Veremos a continuacin los tres principios bsicos de la seguridad informtica: el del acceso ms fcil, el de la caducidad del secreto y el de la eficiencia de las medidas tomadas: 1 Principio de la seguridad informtica: Cules son los puntos dbiles de un sistema informtico? El intruso al sistema utilizar el artilugio que haga ms fcil su acceso y posterior ataque. Existir una diversidad de frentes desde los que pueden producirse ataques, tanto internos como externos. Esto dificulta el anlisis de riesgo ya que el delincuente aplicar la filosofa del ataque hacia el punto ms dbil: el equipo o las personas. 2 Principio de la seguridad informtica: Cunto tiempo deber protegerse un dato? Los datos confidenciales deben protegerse slo hasta que ese secreto pierda su valor como tal. Se habla, por tanto, de la caducidad del sistema de proteccin: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. 3 Principio de la seguridad informtica: Cumple los objetivos? Las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fciles de usar y apropiadas al medio utilizado: o o o Efectivo: que funcionen en el momento oportuno Eficiente: que optimicen los recursos del sistema Apropiadas: que pasen desapercibidas para el usuario
Cabe destacar que ningn sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concienciacin de los usuarios, ste ser uno de los grandes problemas de la Gestin de la Seguridad Informtica.

MDULO
02
5. AMENAZAS DEL SISTEMA
Las amenazas afectan principalmente al hardware, al software y a los datos. stas se deben a fenmenos de: Interrupcin Interceptacin Modificacin Generacin
A continuacin procederemos al estudio de cada una de ellas: Interrupcin: Se daa, pierde o deja de funcionar un punto del sistema. Su deteccin es inmediata. Ejemplos: Destruccin del hardware, borrado de programas o datos, fallos en el sistema operativo Interceptacin: Acceso a la informacin por parte de personas no autorizadas, lo que significa que se hace uso de privilegios no adquiridos. Su deteccin es difcil ya que no deja huellas. Ejemplos: Copias ilcitas de programas, escucha en lnea de datos Modificacin: Acceso no autorizado que cambia el entorno para su beneficio. Su deteccin es difcil segn las circunstancias. Ejemplos: Modificacin de bases de datos, modificacin de elementos del HW Generacin: Se crean nuevos objetos dentro del sistema que no son pedidos. Su deteccin es difcil ya que son los comnmente llamados, delitos de falsificacin. Ejemplos: Aadir transacciones en red, registros en bases de datos
10

MDULO
02
Para poner de manifiesto las consecuencias que pueden tener este tipo de amenazas para nuestra organizacin o empresa, propongo la lectura de un artculo escrito por Estela S. Mazo en el peridico expansin, fue escrito en el ao 2003. Podemos pensar que esta informacin ya est desfasada, pero nada ms lejos de la realidad, las amenazas se han aumentado, pero no han cambiado las formas en las que se producen:
La seguridad en Internet, en el punto de mira El virus 'Bugbear B' ha vuelto a sacar a la luz la vulnerabilidad de Internet. Pero es slo una ms de las mltiples amenazas que se ciernen sobre la red. Los piratas del siglo XXI no usan garfios ni llevan parches en el ojo. Tampoco buscan tesoros escondidos ni viajan en barco. Han cambiado todo eso por un ordenador y una lnea telefnica; slo dos armas, pero una capacidad de destruccin infinita que ignora el significado de lo prohibido. Los conocen como hackers y en los ltimos das han vuelto a sacar a la luz la cara oscura de Internet, muy vulnerable en materia de seguridad. La piratera ha trado consigo virus, bulos a travs de la red e incluso espionaje, slo algunas de la piezas del mosaico de amenazas a las se exponen los usuarios a diario. Bugbear B. ha protagonizado la ltima historia de inseguridad en la red. Este gusano nombre con el que se conoce, con carcter general, al virus capaz de propagarse automticamente ha hecho saltar, incluso, las alarmas del FBI. La polica federal ha iniciado una investigacin para identificar a los culpables de que el intruso campe a sus anchas por la red, hasta infectar ms de 18 millones de ordenadores repartidos en unos doscientos pases. Una vez ms, siguen las huellas de los piratas, que, gracias al Bugbear B. pueden acceder incluso a los datos de servidores de bancos e instituciones financieras. Segn el FBI, el cdigo malicioso ya parece apuntar a un millar de entidades estadounidenses e internacionales. Pero no son las nicas afectadas: cada empresa europea recibi una media de treinta ataques informticos por semana durante los seis primeros meses de 2002. As lo pone de manifiesto 'Business Software Alliance' (BSA), que realiz ayer mismo un llamamiento a la industria para mejorar la seguridad de la infraestructura global de la informacin. Los blancos de este cibercrimen tienen nombre y apellidos, en una larga lista a la que acaban de sumarse McDonalds o Starbucks. Ambas han
11

MDULO
02
sido vctimas de los nuevos bulos a travs de la red, ficciones que, una vez que se cuelan en Internet, nadie puede frenarlos. Carne con ojos de vaca? Saba que hay hamburguesas con ojos de vaca o que la mayor cadena de cafeteras de Estados Unidos ha alzado una campaa antisemita? McDonalds y Starbucks no, pero miles de usuarios as lo creyeron tras leer falsos emails. Los bulos tienen otras variantes, como los mensajes que alarman de la existencia de virus que nunca existieron. Amenazas virales que slo hacen perder tiempo al usuario, colapsan la red y generan incredulidad ante los mensajes que circulan por Internet. Tienen mucho en comn con los spam o correos basura. "En un slo da se envan estos correos a varios millones de direcciones", asegura Miguel Prez, presidente de la Asociacin de Usuarios de Internet (AUI). Estos emails estn cada vez ms presentes en la red, bajo un sinfn de disfraces distintos: desde ofertas para hacerse millonario en un da, hasta viajes paradisiacos a precio de ganga, pasando por cientos de avisos que slo esconden la venta de datos de los usuarios por pocos cntimos de euro. Los internautas se han convertido, as, en las vctimas de los piratas modernos, que han dejado la red al desnudo. La mayora de especialistas reconocen que Internet no es segura, pese a los mecanismos que se inventan a diario para proteger la informacin. La razn se encuentra en el mismo origen de Internet. Se cre con un propsito militar y pas luego de unos pocos entendidos a los centros acadmicos y, de ah, se extendi a la hoy extensa comunidad virtual, despus de que en los noventa se empleara con fines comerciales. Pero la red no estaba preparada para este uso; ni para el de los que intentan hacer negocio de la inseguridad de Internet; ni para los piratas que cambian el tesoro por un ordenador conectado a la red. El FBI ha abierto una investigacin para buscar a los creadores del 'Bugbear B' Una empresa recibe una media de treinta ataques informticos a la semana Veinte Minutos: los Tauro "sern acuchillados" No corren buenos tiempos para ser Tauro, al menos, si uno cree a pie juntillas en los horscopos y ayer ley la edicin de Madrid o Barcelona de "20 minutos". Este diario gratuito se ha convertido en la ltima vctima de los piratas informticos, que tras introducirse en sus sistemas boicotearon la seccin de horscopos. En la prediccin para los nacidos bajo el signo de Tauro, poda leerse "Todos los hijos de puta de este signo sern acuchillados", lo que sembr la alarma entre los lectores. "20 minutos" pidi disculpas por el incidente, que atribuy al "pirateo informtico
12

MDULO
02
externo por el que nos han cambiado los textos originales", avisaba desde su pgina web. Fuentes del peridico aclaraban que "alguien intervino [de forma fraudulenta] en el sistema a la hora de enviarlo, es decir, una vez que ya estaban todos los textos revisados y editados". Ahora, la publicacin est investigando quin puede ser el autor de la ofensiva frase y han "reforzado de inmediato todos las barreras tcnicas para que esto no vuelva a suceder". El diario recibi ayer llamadas de numerosos lectores alertados por tan amenazador horscopo y por eso avisaban que se debe hacer caso omiso de la prediccin, aunque no pudieron precisar cul era la frase correcta que deba haber aparecido para el signo de Tauro. Tambin la Organizacin de Consumidores y Usuarios (OCU) recibi mltiples quejas de los consumidores, que solicitaban informacin sobre la forma de presentar algn tipo de reclamacin ante la frase publicada por el diario "20 minutos". El artculo nos da ejemplos de las cuatro amenazas antes descritas, interceptacin, interrupcin, modificacin y generacin. Generacin: informacin falsa de que McDonalds hace hamburguesas con ojos de vacas. Modificacin: cambio en el horscopo del peridico 20 minutos. Interceptacin: de datos bancarios de los usuarios. Interrupcin: el virus BugbearB daaba los sistemas de las empresas en las que entraba.
13

MDULO
02
6. DEBILIDADES DEL SISTEMA INFORMTICO
Las debilidades de un sistema informtico las definen cinco conceptos: Hardware: pueden producirse errores intermitentes, conexiones sueltas, desconexin de tarjetas Software: puede producirse la sustraccin de programas, ejecucin errnea, modificacin, defectos en llamadas al sistema Datos: puede producirse la alteracin de contenidos, introduccin de datos falsos, manipulacin fraudulenta de datos Memoria: puede producirse la introduccin de un virus, mal uso de la gestin de memoria, bloqueo del sistema Usuarios: puede producirse la suplantacin de identidad, el acceso no autorizado, visualizacin de datos confidenciales
Es muy difcil disear un plan que contemple minimizar de forma eficiente todas estas amenazas, y que adems se entienda y pase desapercibido por los usuarios.
Debido al principio de acceso ms fcil, el responsable de seguridad informtica no se deber descuidar ninguno de los cinco elementos susceptibles de ataque al sistema.
14

MDULO
02
7. ATAQUES Y DELITOS INFORMTICOS
Para entender bien la seguridad informtica, debemos saber distinguir las clases de ataques a las que nos enfrentamos. Por tanto los clasificaremos en:
Fraude: Acto deliberado de manipulacin de datos perjudicando a una persona fsica o jurdica que sufre de esta forma una prdida econmica. El autor del delito logra de esta forma un beneficio normalmente econmico.
Sabotaje: Accin con la que se desea perjudicar a una empresa entorpeciendo deliberadamente su marcha, averiando sus equipos,
herramientas, programas, etc. El autor no logra normalmente con ello beneficios econmicos pero pone en jaque mate a la organizacin. Chantaje: Accin que consiste en exigir una cantidad de dinero a cambio de no dar a conocer informacin privilegiada o confidencial y que puede afectar gravemente a la empresa, por lo general a su imagen corporativa. Mascarada: Utilizacin de una clave por una persona no autorizada y que accede al sistema suplantando una identidad. De esta forma el intruso se hace dueo de la informacin, documentacin y datos de otros usuarios con los que puede, por ejemplo, chantajear a la organizacin. Virus: Cdigo diseado para introducirse en un programa, modificar o destruir datos. Se copia automticamente a otros programas para seguir su ciclo de vida. Es comn que se expanda a travs de plantillas, las macros de aplicaciones y archivos ejecutables. Gusanos: Virus que se activa y transmite a travs de la red. Tiene como finalidad su multiplicacin hasta agotar el espacio en disco o RAM. Suele ser uno de los ataques ms dainos porque normalmente produce un colapso en la red como ya estamos acostumbrados. Caballos de Troya: Virus que entra al ordenador y posteriormente acta de forma similar a este hecho de la mitologa griega. As, parece ser una cosa o programa inofensivo cuando en realidad est haciendo otra y expandindose. Puede ser muy peligroso cuando es un programador de la propia empresa quien lo instala en un programa.
15

MDULO
02
Spam: El spam o correo no deseado, si bien no lo podemos considerar como un ataque propiamente dicho, lo cierto es que provoca hoy en da prdidas muy importantes en empresas y muchos dolores de cabeza.
En un futuro inmediato y en los prximos aos aparecern nuevos delitos y ataques a los sistemas informticos y redes que, a fecha de hoy, no sabemos cmo sern ni a qu vulnerabilidad atacarn. Las comunicaciones crecern cada vez ms hacia un entorno abierto, como las actuales redes inalmbricas, con lo que irn apareciendo nuevas amenazas... Para terminar con este tema, no hay que olvidar el caso de ataque ms antiguo, el del robo de informacin por parte de un empleado, para luego comerciar con estos datos. Para poner un ejemplo representativo de este ltimo caso de vulnerabilidad, disponemos de la lectura de un artculo de la revista Ays escrito por Alfonso del Castillo:
Los delitos informticos tambin dejan huellas El anlisis forense informtico permite conocer en profundidad los detalles de un incidente y tomar medidas para prevenir futuros ataques. Algunas personas y organizaciones se han encontrado ms de una vez con la desagradable sorpresa de intentar acceder directamente a un archivo con el que estaban trabajando advirtiendo que ya no estaba en la carpeta correspondiente y que tampoco haba rastros del documento en todo el ordenador. Despus de hablar con el rea de sistemas, verificar que el archivo efectivamente no estaba y confirmar que en su ordenador no haba ningn virus, ni malware que pudiese haberse hecho con el archivo, no pocos han comenzado a sospechar de alguien que no podran identificar con nombre y apellido pero que seguramente estara muy prximo a ellos y compartira las largas jornadas de trabajo. ste podra ser un caso de robo de un documento, pero habitualmente los delitos informticos de este tipo no son tan burdos. Bien es cierto que se producen situaciones muy diferentes y que existen personas ms experimentadas que otras e intenciones de lo ms diversas dentro de las instituciones. Por ejemplo, no es la primera vez que llega a nuestro conocimiento el caso sucedido dentro de
16

MDULO
02
una organizacin, de cmo un empleado accede a documentacin oficial para ofrecrsela a la competencia a cambio de dinero. Tampoco es novedad el hecho de que un desempleado descontento elimine archivos esenciales de la compaa como venganza por su salida de ella, generalmente polmica. En el universo de los delitos existen tantas razones como diversas son las miserias humanas. Durmiendo con el enemigo Existe un nivel, por tanto, en el que este tipo de ataques pueden suponer un problema de escala para una organizacin. Segn el CERT del Carnegie Mellon, el 75% de los robos de informacin propietaria y confidencial fueron cometidos por empleados activos. De estos empleados, casi la mitad haba aceptado un trabajo en una compaa de la competencia. Slo en Estados Unidos, los robos de informacin cometidos en 2006, especialmente de bases de datos, supusieron unas prdidas millonarias. Los robos de datos o fugas de informaciones confidenciales son un hecho bastante conocido en nuestro pas que afecta tanto a grandes empresas, como pymes e instituciones pblicas. No siempre provienen de ataques externos, de la utilizacin de ordenadores zombis o la introduccin de malware que permite hacer uso de la informacin en remoto. Est demostrado que un alto porcentaje de los casos provienen de la propia organizacin, ya sea de forma voluntaria o involuntaria. Como no todas estas situaciones se denuncian, todava no disponemos de cifras absolutas con un nmero lo ms aproximado a la realidad de los casos que se producen cada ao. A comienzos de este ao se coment en varias ocasiones el caso del cientfico americano que fue declarado culpable de robar informacin valorada en cientos de millones de dlares a una reconocida firma multinacional del sector qumico en la que haba trabajado durante ms de diez aos. Durante su traspaso de esta empresa a otra compaa de la competencia, el cientfico se descarg ms de 16.000 documentos con informacin confidencial y con registros de propiedad
17

MDULO
02
intelectual. Tras las investigaciones realizadas, le encontraron culpable del delito y fue condenado a diez aos de crcel y a pagar una multa de 250.000 dlares.
18

MDULO
02
8. TRANSMISIN DE VIRUS Y MALWARE
Hemos hablado de virus, hackers pero cmo se transmiten estos programas perjudiciales para nuestra organizacin? Trataremos de dar algunos consejos para evitar sus efectos y su propagacin.
Los virus se transmiten slo mediante la ejecucin de un programa. Esto es muy importante recordarlo, por ejemplo, el correo electrnico por definicin no puede contener virus al ser slo texto. No obstante, muchas veces contienen archivos aadidos o bien los visualizadores ejecutan cdigo en el cliente de correo del usuario y stos pueden tener incluido un virus; hay que estar muy atentos pues ya a comienzos de 2006 hacen su aparicin virus que se ejecutan desde la simple visualizacin de un grfico jpg, gif, etc., usando para ello una vulnerabilidad conocida de procesamiento de WMF (Windows Meta File) que permite la ejecucin de cdigo arbitrario.
Sin embargo, el entorno web es mucho ms peligroso para la vulnerabilidad de nuestro sistema de seguridad. Un enlace puede lanzar un programa que se ejecute en el cliente y nos infecte o comprometa la mquina, dejndola abierta para otros ataques o bien dejarla sin proteccin que evite la colaboracin en otros ataques. Por este motivo, el punto ms crtico de la seguridad del sistema respecto a virus y accesos a Internet es el caso del usuario confiado que abre archivos y entra en servidores sin comprobar la seguridad de la direccin.
19

MDULO
02
9. CONSEJOS BSICOS DE PREVENCIN
En prximas unidades trataremos de aprender cmo realizar un sistema de seguridad eficiente, definiendo tipos de seguridad, elementos, clasificaciones
pero ahora enumeraremos unos consejos muy bsicos para ayudar a mantener seguro nuestro sistema informtico: Proteger los discos extrables -hoy principalmente usando la tecnologa flash con USB- con la pestaa de seguridad. Es una proteccin de escritura fcil y muy elemental. Instalar un antivirus y actualizarlo de forma peridica. Es muy
recomendable que se haga al menos una vez por semana. Ejecutar el antivirus a todo el disco duro una vez al mes. Ejecutar siempre el antivirus a todo disco o CD que se introduce al sistema y a los archivos que descargamos desde Internet o vienen adjuntos en un e-mail. Controlar el acceso de extraos al computador. Uso de software legal, ya que nos aseguran una seguridad a cambio de un precio alto.
20

MDULO
02
10. QU HACER EN CASO DE ESTAR INFECTADO?
Por mucha seguridad que tengamos, siempre existe la posibilidad de infeccin de virus o malware, pero la seguridad del sistema no slo tiene que ser preventiva, tambin debe comprender acciones que eviten la propagacin por todo el sistema. Es decir, evitar daos mayores. Adems debe existir un plan de accin en caso de infeccin para poder volver a la normalidad en el menor tiempo posible. Estudiaremos unas acciones que nos ayudarn en este tipo de situaciones: 1. Detener las conexiones remotas. 2. No mover el ratn ni activar el teclado. 3. Apagar el sistema y desconectarlo. 4. Arrancar con un disquete de arranque o emergencia protegido. 5. Ejecutar luego un programa antivirus. 6. Si es posible, hacer copia de seguridad de sus archivos para poder compararlas con copias anteriores. 7. Formatear el disco duro a bajo nivel, si puede hacerlo. Y en caso de no tener otra solucin: 8. Instalar nuevamente el sistema operativo y restaurar las copias de seguridad.
Como es fcil de entender, las copias de seguridad se debern hacer con cierta asiduidad, de esta forma se conseguir un mejor restablecimiento del sistema.
21

MDULO
02
11. REQUISITOS DE SEGURIDAD DE UN SISTEMA
A continuacin enumeraremos unas recomendaciones que debe seguir nuestro sistema de seguridad:
El algoritmo de cifrado y descifrado deber ser rpido y fiable. Debe ser posible transmitir ficheros por una lnea de datos, almacenarlos o transferirlos.
No debe existir retardo debido al cifrado o descifrado. La seguridad del sistema deber residir solamente en el secreto de una clave y no en las funciones de cifra.
La fortaleza del sistema se entender como la imposibilidad computacional (tiempo de clculo en aos que excede cualquier valor razonable) de romper la cifra o encontrar una clave secreta a partir de otros datos de carcter pblico.
22

MDULO
02
UNIDAD 2. CLASIFICACIONES Y TIPOS
1. INTRODUCCIN
En esta unidad, el objetivo ser conocer las clasificaciones y los tipos de seguridad que existen en el mercado actual. De esta forma podremos elegir el que mejor se adapta a las exigencias de nuestra compaa o empresa. Para empezar, dividiremos en dos grandes grupos la seguridad informtica, la seguridad fsica y la lgica. Tendemos a pensar que la seguridad informtica se centra nicamente en proteger nuestros sistemas de virus y personas no autorizadas, pero tambin hay que tener en cuenta los riesgos fsicos, es decir, los que no dependen de la red o la informtica.
23

MDULO
02
2. SEGURIDAD FSICA
Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus... (Conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder por va lgica a la misma.
As, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial". Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
24

MDULO
02
Tipos de Desastres
No es la primera vez que se menciona en este trabajo, que cada sistema es nico y por lo tanto la poltica de seguridad a implementar no ser nica. Este concepto vale, tambin, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarn pautas de aplicacin general y no procedimientos especficos. Para ejemplificar esto: valdr de poco tener en cuenta aqu, en Espaa, tcnicas de seguridad ante terremotos; pero s ser de mxima utilidad en Los ngeles, EE.UU. Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el centro. Las principales amenazas que se prevn en la seguridad fsica son: 1. Desastres naturales, incendios accidentales tormentas e inundaciones. 2. Amenazas ocasionadas por el hombre. 3. Disturbios, sabotajes internos y externos deliberados. No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mxima seguridad en un sistema informtico, adems de que la solucin sera extremadamente cara. A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno. A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir de forma eficaz y oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos. 1. Incendios: Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones elctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas.
25

MDULO
02
El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo nmero uno de las computadoras ya que puede destruir fcilmente los archivos de informacin y programas. Desgraciadamente los sistemas anti fuego dejan mucho que desear, causando casi igual dao que el propio fuego, sobre todo a los elementos electrnicos. El dixido de carbono, actual alternativa del agua, resulta peligroso para los propios empleados si quedan atrapados en la sala de cmputos. Los diversos factores a contemplar para reducir los riesgos de incendio a los que se encuentra sometido un centro de cmputos son:
El rea en la que se encuentran las computadoras debe estar en un local que no sea combustible o inflamable.
El local no debe situarse encima, debajo o adyacente a reas donde se procesen, fabriquen o almacenen materiales inflamables,
explosivos, gases txicos o sustancias radioactivas.
Las
paredes
deben
hacerse
de
materiales
incombustibles
extenderse desde el suelo al techo.
Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y resistentes al fuego.
No debe estar permitido fumar en el rea de proceso. Deben emplearse muebles incombustibles, y cestos metlicos para papeles. Deben evitarse los materiales plsticos e inflamables.
El piso y el techo en el recinto del centro de cmputo y de almacenamiento de los medios magnticos deben ser impermeables.
Seguridad del Equipamiento

Es necesario proteger los equipos de cmputo instalndolos en reas en las cuales el acceso a los mismos slo sea para personal autorizado. Adems, es necesario que estas reas cuenten con los mecanismos de ventilacin y deteccin de incendios adecuados. Para protegerlos se debe tener en cuenta que:
26

MDULO
02
La temperatura no debe sobrepasar los 18 C y el lmite de humedad no debe superar el 65% para evitar el deterioro.
Los centros de cmputos deben estar provistos de equipo para la extincin de incendios en relacin al grado de riesgo y la clase de fuego que sea posible en ese mbito.
Deben instalarse extintores manuales (porttiles) y/o automticos (rociadores).
Recomendaciones
El personal designado para usar extinguidores de fuego debe ser entrenado en su uso. Si hay sistemas de deteccin de fuego que activan el sistema de extincin, todo el personal de esa rea debe estar entrenado para no interferir con este proceso automtico. Implementar paredes protectoras de fuego alrededor de las reas que se desea proteger del incendio que podra originarse en las reas adyacentes. Proteger el sistema contra daos causados por el humo. Este, en particular la clase que es principalmente espeso, negro y de materiales especiales, puede ser muy daino y requiere una lenta y costosa operacin de limpieza. Mantener procedimientos planeados para recibir y almacenar
abastecimientos de papel. Suministrar informacin, del centro de cmputo, al departamento local de bomberos, antes de que ellos sean llamados en una emergencia. Hacer que este departamento est consciente de las particularidades y
vulnerabilidades del sistema, por excesivas cantidades de agua y la conveniencia de una salida para el humo, es importante. Adems, ellos pueden ofrecer excelentes consejos como precauciones para prevenir incendios.
27

MDULO
02
2. Inundaciones: Se las define como la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.
Esta es una de las causas de mayores desastres en centros de cmputos. Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua. 3. Condiciones Climatolgicas: Normalmente se reciben por anticipado los avisos de tormentas, tempestades, tifones y catstrofes ssmicas
similares. Las condiciones atmosfricas severas se asocian a ciertas partes del mundo y la probabilidad de que ocurran est documentada. La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al decidir la construccin de un edificio. La comprobacin de los informes climatolgicos o la existencia de un servicio que notifique la proximidad de una tormenta severa, permite que se tomen precauciones adicionales, tales como la retirada de objetos mviles, la provisin de calor, iluminacin o combustible para la emergencia. Terremotos: Estos fenmenos ssmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan o tan intensos que causan la destruccin de edificios y hasta la prdida de vidas humanas. El problema es que en la actualidad, estos fenmenos estn ocurriendo en lugares donde no se los asociaba. Por fortuna los daos en las zonas improbables suelen ser ligeros. 4. Seales de Radar: La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios aos.
28

MDULO
02
Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana. 5. Instalaciones Elctricas: Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principales reas a considerar en la seguridad fsica. Adems, es una problemtica que abarca desde el usuario hogareo hasta la gran empresa. En la medida que los sistemas se vuelven ms complicados se hace ms necesaria la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estn de acuerdo con una norma de seguridad industrial.
Picos y Ruidos Electromagnticos: Las subidas (picos) y cadas de tensin no son el nico problema elctrico al que se han de enfrentar los usuarios. Tambin est el tema del ruido que interfiere en el funcionamiento de los componentes electrnicos. El ruido interfiere en los datos, adems de favorecer la escucha electrnica. Cableado: Los cables que se suelen utilizar para construir las redes locales van del cable telefnico normal al cable coaxial o la fibra ptica. Algunos edificios de oficinas ya se construyen con los cables instalados para evitar el tiempo y el gasto posterior, y de forma que se minimice el riesgo de un corte, rozadura u otro dao accidental.
Los riesgos ms comunes para el
cableado se pueden resumir en los siguientes:
Interferencia: estas modificaciones pueden estar generadas por cables de alimentacin de maquinaria pesada o por equipos de radio o microondas. Los cables de fibra ptica no sufren el problema de
29

MDULO
02
alteracin (de los datos que viajan a travs de l) por accin de campos elctricos, que si sufren los cables metlicos.
Corte del cable: la conexin establecida se rompe, lo que impide que el flujo de datos circule por el cable.
Daos en el cable: los daos normales con el uso pueden daar el apantallamiento que preserva la integridad de los datos transmitidos o daar al propio cable, lo que hace que las comunicaciones dejen de ser fiables.
En la mayor parte de las organizaciones, estos problemas entran dentro de la categora de daos naturales. Sin embargo tambin se pueden ver como un medio para atacar la red si el objetivo es nicamente interferir en su funcionamiento. El cable de red ofrece tambin un nuevo frente de ataque para un determinado intruso que intentase acceder a los datos. Esto se puede hacer:
Desviando o estableciendo una conexin no autorizada en la red: un sistema de administracin y procedimiento de identificacin de acceso adecuado har difcil que se puedan obtener privilegios de usuarios en la red, pero los datos que fluyen a travs del cable pueden estar en peligro.
Haciendo una escucha sin establecer conexin, los datos se pueden seguir y pueden verse comprometidos.
Luego, no hace falta penetrar en los cables fsicamente para obtener los datos que transportan. Cableado de Alto Nivel de Seguridad: Son cableados de redes que se recomiendan para instalaciones con grado de seguridad militar. El objetivo es impedir la posibilidad de infiltraciones y monitoreo de la informacin que circula por el cable. Consta de un sistema de tubos (hermticamente cerrados) por cuyo interior circula aire a presin y el cable. A lo largo de la
30

MDULO
02
tubera hay sensores conectados a una computadora. Si se detecta algn tipo de variacin de presin se dispara un sistema de alarma. Pisos de Placas Extrables: Los cables de alimentacin, comunicaciones, interconexin de equipos, receptculos asociados con computadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extrables, debajo del mismo. Sistema de Aire Acondicionado: Se debe proveer un sistema de
calefaccin, ventilacin y aire acondicionado separado, que se dedique al cuarto de computadoras y equipos de proceso de datos en forma exclusiva. Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial de incendios e inundaciones, es recomendable instalar redes de proteccin en todo el sistema de caera al interior y al exterior, detectores y extinguidores de incendio, monitores y alarmas efectivas. Emisiones Electromagnticas: Desde hace tiempo se sospecha que las emisiones, de muy baja frecuencia que generan algunos perifricos, son dainas para el ser humano. Segn recomendaciones cientficas estas emisiones podran reducirse mediante filtros adecuados al rango de las radiofrecuencias, siendo estas totalmente seguras para las personas. Para conseguir que las radiaciones sean mnimas hay que revisar los equipos constantemente y controlar su envejecimiento. 6. Ergometra: La Ergonoma es una disciplina que se ocupa de estudiar la forma en que interacta el cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa interaccin sea lo menos agresiva y traumtica posible. El enfoque ergonmico plantea la adaptacin de los mtodos, los objetos, las maquinarias, herramientas e instrumentos o medios y las condiciones de trabajo a la anatoma, la fisiologa y la psicologa del operador. Entre
31

MDULO
02
los fines de su aplicacin se encuentra, fundamentalmente, la proteccin de los trabajadores contra problemas tales como el agotamiento, las sobrecargas y el envejecimiento prematuro. A continuacin se muestra un esquema conceptual de lo que persigue la ergonoma:
32

MDULO
02
La seguridad informtica no slo debe proteger la informacin y los sistemas, tambin a las personas que hacen posible esta informacin y trfico de datos.
Acciones Hostiles
Ya hemos hablado de algunas de estas acciones en el tema introductorio, pero ahora las clasificamos dentro del grupo de seguridad de tipo fsica: 1. Robo Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que la que otorgan a una mquina de escribir o una calculadora. El software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro 2. Fraude Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.
33

MDULO
02
3. Sabotaje El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la informacin desaparece, aunque las cintas estn almacenadas en el interior de su funda de proteccin. Una habitacin llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las lneas de comunicaciones y elctricas pueden ser cortadas todo esto con el objetivo de daar a la competencia.
Control de Accesos
El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro de una empresa o institucin. 1. Utilizacin de Guardias: El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratgicos para cumplir con sus objetivos y controlar el acceso del personal. A cualquier personal ajeno a la planta se le solicitar completar un formulario de datos personales, los motivos de la visita, hora de ingreso y de egreso El uso de credenciales de identificacin es uno de los puntos ms importantes del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectores de la empresa.
34

MDULO
02
La persona se identifica por algo que posee, por ejemplo una tarjeta de identificacin. Cada una de ellas tiene un PIN (Personal nico,
Identification
Number)
siendo este el que se almacena en una base de datos para su posterior seguimiento, si fuera necesario. Su mayor desventaja es que estas tarjetas pueden ser copiadas, robadas, etc., permitiendo ingresar a cualquier persona que la posea. Estas credenciales se pueden clasificar de la siguiente manera:

Normal o definitiva: para el personal permanente de planta. Temporal: para personal recin ingresado. Contratistas: personas ajenas a la empresa, que por razones de servicio deben ingresar a la misma.
Visitas.
Las personas tambin pueden acceder mediante algo que saben (por ejemplo un nmero de identificacin o una password) que se solicitar a su ingreso. Al igual que el caso los contra de datos una de las tarjetas de se se
identificacin contrastarn almacena
ingresados base las donde
los
datos
personas
autorizadas. Este sistema tiene la desventaja que generalmente se eligen identificaciones sencillas, bien se olvidan dichas identificaciones o incluso las bases de datos pueden verse alteradas o robadas por personas no autorizadas. Control de Vehculos: Para controlar el ingreso y salida de vehculos, el personal de vigilancia debe asentar en una planilla los datos personales de los ocupantes del vehculo, la marca y patente del mismo, y la hora de ingreso y salida de la empresa.
35

MDULO
02
Desventajas de la Utilizacin de Guardias: La principal desventaja de la aplicacin de personal de guardia es que ste puede llegar a ser sobornado por un tercero para lograr el acceso a sectores donde no est habilitado, como as tambin para poder ingresar o salir de la planta con materiales no autorizados. Esta situacin de soborno es muy frecuente, por lo que es recomendable la utilizacin de sistemas biomtricos para el control de accesos. 2. Utilizacin de Detectores de Metales: El detector de metales es un elemento sumamente prctico para la revisin de personas, ofreciendo grandes ventajas sobre el sistema de palpacin manual. La sensibilidad del detector de es esta
regulable, manera
permitiendo establecer un
volumen
metlico mnimo, a partir del cual se activar la alarma. La utilizacin de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuar como elemento disuasivo. 3. Utilizacin de Sistemas Biomtricos:
4. 5. Biometra: la parte de la biologa que estudia en forma cuantitativa la variabilidad individual de los seres vivos utilizando mtodos 6. estadsticos. La Biometra es una tecnologa que realiza mediciones 7. en forma electrnica, guarda y compara caractersticas nicas para la identificacin de personas.
La forma de identificacin consiste en la comparacin de caractersticas fsicas de cada persona con un patrn conocido y almacenado en una base de datos. Los lectores biomtricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz).
36

MDULO
02
Los Beneficios de una Tecnologa Biomtrica: Pueden eliminar la necesidad de poseer una tarjeta para acceder. Aunque las reducciones de precios han disminuido el costo inicial de las tarjetas en los ltimos aos, el verdadero beneficio de eliminarlas consiste en la reduccin del trabajo concerniente a su administracin. Utilizando un dispositivo biomtrico los costos de administracin son ms pequeos, se realiza el mantenimiento del lector, y una persona se encarga de mantener la base de datos actualizada. Sumado a esto, las caractersticas biomtricas de una persona son intransferibles a otra. Emisin de Calor: Se mide la emisin de calor del cuerpo (termo grama), realizando un mapa de valores sobre la forma de cada persona. Huella Digital: Basado en el principio de que no existen dos huellas dactilares iguales, este sistema viene siendo utilizado desde el siglo pasado con excelentes resultados. Cada huella digital posee pequeos arcos, ngulos, bucles, remolinos...
(Llamados minucias) caractersticas y la posicin relativa de cada una de ellas es lo analizado para establecer persona. la
identificacin de una
Esta
aceptado que dos personas no tienen ms de ocho minucias iguales y cada una posee ms de 30, lo que hace al mtodo sumamente confiable. Verificacin de Voz: La diccin de una (o ms) frase es grabada y en el acceso se compara la voz (entonacin, diptongos, agudeza...). Este sistema es muy sensible a factores externos como el ruido, el estado de nimo y enfermedades de la persona, el envejecimiento...Por lo que el sistema no es fiable al 100%, debe ser apoyado
37

MDULO
02
por otro de los descritos. Verificacin de Patrones Oculares: Estos modelos pueden estar basados en los patrones del iris o de la retina y hasta el momento son los considerados ms efectivos (en 200 millones de personas la probabilidad de coincidencia es casi 0). Su principal desventaja reside en la resistencia por parte de las personas a que les analicen los ojos, por revelarse en los mismos las enfermedades que en ocasiones se prefiere mantener en secreto. 4. Verificacin Automtica de Firmas (VAF): En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque tambin podra encuadrarse dentro de las verificaciones biomtricas.
Mientras es posible para un falsificador producir una buena copia visual o facsmil, es extremadamente difcil reproducir las dinmicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acsticas toma datos del proceso dinmico de firmar o de escribir. La secuencia sonora de emisin acstica generada por el proceso de escribir
constituye un patrn que es nico en cada individuo. El patrn contiene informacin extensa sobre la manera en que la escritura es
ejecutada. El equipamiento de coleccin de firmas es inherentemente de bajo costo y robusto. Esencialmente, consta de un bloque de metal (o algn otro material con propiedades acsticas similares) y una computadora barata.
38

MDULO
02
5. Seguridad con Animales: Sirven para grandes extensiones de terreno, y adems sensibles tienen que rganos los de sensitivos cualquier mucho dispositivo ms y,
generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema. As mismo, este sistema posee la desventaja de que los animales pueden ser engaados para lograr el acceso deseado.
6. Proteccin Electrnica: Se llama as a la deteccin de robo, intrusin, asalto e incendios mediante la utilizacin de sensores conectados a centrales de alarmas. Estas centrales tienen conectadas los elementos de sealizacin que son los encargados de hacerles saber al personal de una situacin de emergencia. Cuando uno de los elementos sensores detectan una situacin de riesgo, stos transmiten inmediatamente el aviso a la central; sta procesa la informacin recibida y ordena en respuesta la emisin de seales sonoras o luminosas alertando de la situacin. Barreras Infrarrojas y de Micro-Ondas: Transmiten y reciben haces de luces infrarrojas y de micro-ondas respectivamente. Se codifican por medio de pulsos con el fin de evadir los intentos de sabotaje. Estas barreras estn compuestas por un transmisor y un receptor de igual tamao y apariencia externa. Cuando el haz es interrumpido, se activa el sistema de alarma, y luego vuelve al estado de alerta. Estas barreras son inmunes a fenmenos aleatorios como calefaccin, luz ambiental,
vibraciones, movimientos de masas de aire... Las invisibles barreras fotoelctricas pueden llegar a cubrir reas de hasta 150 metros de longitud (distancias exteriores). Pueden reflejar sus rayos por medio de espejos infrarrojos con el fin de cubrir con una misma barrera diferentes sectores.
39

MDULO
02
A continuacin se muestran dos imgenes representativas de los sistemas de infrarrojos:
Las micro-ondas son ondas de radio de frecuencia muy elevada. Esto permite que el sensor opere con seales de muy bajo nivel sin ser afectado por otras emisiones de radio, ya que estn muy alejadas en frecuencia. Debido a que estos detectores no utilizan aire como medio de propagacin, poseen la ventaja de no ser afectados por turbulencias de aire o sonidos muy fuertes. Otra ventaja importante es la capacidad de atravesar ciertos materiales como son el vidrio, lana de vidrio, plstico, tabiques de madera, revoques sobre madera, mampostera y hormign. En la siguiente figura se muestra una simulacin de lo que podra ser un sistema de seguridad que utiliza las microondas para proteger las instalaciones.
40

MDULO
02
Detector Ultrasnico: Este equipo utiliza ultrasonidos para crear un campo de ondas. De esta manera, cualquier movimiento que realice un cuerpo dentro del espacio protegido, generar una perturbacin en dicho campo que accionar la alarma. Este sistema posee un circuito refinado que elimina las falsas alarmas. La cobertura de este sistema puede llegar a un mximo de 40 metros cuadrados.
Detectores Pasivos Sin Alimentacin: Estos elementos no requieren alimentacin extra de ningn tipo, slo van conectados a la central de control de alarmas para mandar la informacin de control. Los siguientes estn incluidos dentro de este tipo de detectores:

Detector de aberturas: contactos magnticos externos o de embutir. Detector de roturas de vidrios: inmune a falsas alarmas provocadas por sonidos de baja frecuencia; sensibilidad regulable.
Detector de vibraciones: detecta golpes o manipulaciones extraas sobre la superficie controlada.
Sonorizacin y Dispositivos Luminosos: Dentro de los elementos de sonorizacin se encuentran las sirenas, campanas, timbres... Algunos dispositivos luminosos son los faros rotativos, las balizas, las luces intermitentes... Estos deben estar colocados de modo que sean
efectivamente odos o vistos por aquellos a quienes estn dirigidos. Los elementos de sonorizacin deben estar bien identificados para poder determinar rpidamente si el estado de alarma es de robo, intrusin, asalto o aviso de incendio.
41

MDULO
02
Se pueden usar
transmisores de radio
corto
alcance para
las
instalaciones de alarmas locales. Los sensores se conectan a un transmisor que enva la seal de radio a un receptor conectado a la central de control de alarmas encargada de procesar la informacin recibida. Circuitos Cerrados de Televisin: Permiten el control de todo lo que sucede en la planta segn lo captado por las cmaras estratgicamente colocadas. Los monitores de estos circuitos deben estar ubicados en un sector de alta seguridad. Las cmaras pueden estar a la vista (para ser utilizada como medida disuasiva) u ocultas (para evitar que el intruso sepa que est siendo captado por el personal de seguridad). Todos los elementos anteriormente descriptos poseen un control contra sabotaje, de manera que si en algn momento se corta la alimentacin o se produce la rotura de alguno de sus componentes, se enviar una seal a la central de alarma para que sta accione los elementos de sealizacin correspondientes. Edificios Inteligentes: La infraestructura inmobiliaria no poda quedarse rezagada en lo que se refiere a avances tecnolgicos. El Edificio Inteligente (surgido hace unos 10 aos) se define como una estructura que facilita a usuarios y administradores, herramientas y servicios integrados a la administracin y comunicacin. Este concepto propone la integracin de todos los sistemas existentes dentro del edificio, tales como telfonos, comunicaciones subsistemas por computadora, edificio (gas, seguridad, calefaccin, control de todos y los aire
del
ventilacin
acondicionado...) y todas las formas de administracin de energa. Una
42

MDULO
02
caracterstica comn de los Edificios Inteligentes es la flexibilidad que deben tener para asumir modificaciones de manera conveniente y econmica.
Conclusiones
Evaluar y controlar permanentemente la seguridad fsica del edificio es la base para comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso fsico permite:

disminuir siniestros trabajar mejor manteniendo la sensacin de seguridad descartar falsas hiptesis si se produjeran incidentes tener los medios para luchar contra accidentes
43

MDULO
02
3. SEGURIDAD LGICA
Despus de ver como nuestro sistema puede verse afectado por la falta de Seguridad fsica, es importante recalcar que la mayora de los daos que puede sufrir un centro de cmputos no ser sobre los medios fsicos sino contra informacin por l almacenada y procesada. As, la Seguridad fsica, slo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacin ficticia de seguridad. Como ya se ha mencionado, el activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad Lgica. Es decir que la Seguridad Lgica consiste en la "aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo." Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no est permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lgica. Los objetivos que se plantean sern: 1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. 5. Que la informacin recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.
44

MDULO
02
7. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.
Controles de Acceso
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin, en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la informacin confidencial de accesos no autorizados. Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes estndares de seguridad que se refieren a los requisitos mnimos de seguridad en cualquier sistema: Identificacin y Autentificacin: Es la primera lnea de defensa para la mayora de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.
Identificacin: momento en que el usuario se da a conocer en el sistema. Autentificacin: verificacin que realiza el sistema sobre esta identificacin.
45

MDULO
02
Al igual que se consider para la seguridad fsica, y basada en ella, existen cuatro tipos de tcnicas que permiten realizar la autentificacin de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:
o
Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave criptogrfica, un nmero de identificacin personal o PIN, etc.
o o
Algo que la persona posee: por ejemplo una tarjeta magntica. Algo que el individuo es y que lo identifica unvocamente: por ejemplo las huellas digitales o la voz.
Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.
Para cada una de estas tcnicas vale lo mencionado en el caso de la seguridad fsica en cuanto a sus ventajas y desventajas. Se destaca que en los dos primeros casos enunciados, es frecuente que las claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los controles de autenticacin biomtricos seran los ms apropiados y fciles de administrar, resultando ser tambin, los ms costosos por lo dificultosos de su implementacin eficiente. Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autentificados solamente una vez, pudiendo acceder a partir de all, a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina "single login" o sincronizacin de passwords. La Seguridad Informtica se basa, en gran medida, en la efectiva administracin de los permisos de acceso a los recursos informticos, basados en la identificacin, autentificacin y autorizacin de accesos. Esta administracin abarca:
46

MDULO
02
o
Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios: Es necesario considerar que la solicitud de habilitacin de un permiso de acceso para un usuario
determinado, debe provenir de su superior y, de acuerdo con sus requerimientos especficos de acceso, debe generarse el perfil en el sistema de seguridad, en el sistema operativo o en la aplicacin segn corresponda.
o
Adems, la identificacin de los usuarios debe definirse de acuerdo con una norma homognea para toda la organizacin.
Revisiones peridicas sobre la administracin de las cuentas y los permisos de acceso establecidos: Las mismas deben encararse desde el punto de vista del sistema operativo, y aplicacin por aplicacin, pudiendo ser llevadas a cabo por personal de auditora o por la gerencia propietaria del sistema; siempre sobre la base de que cada usuario disponga del mnimo permiso que requiera de acuerdo con sus funciones.
Las revisiones deben orientarse a verificar la adecuacin de los permisos de acceso de cada individuo de acuerdo con sus necesidades operativas, la actividad de las cuentas de usuarios o la autorizacin de cada habilitacin de acceso. Para esto, deben analizarse las cuentas en busca de perodos de inactividad o cualquier otro aspecto anormal que permita una redefinicin de la necesidad de acceso.
Deteccin de actividades no autorizadas. Adems de realizar auditoras o efectuar el seguimiento de los registros de
transacciones (pistas), existen otras medidas que ayudan a detectar la ocurrencia de actividades no autorizadas. Algunas de ellas se basan en evitar la dependencia hacia personas determinadas, estableciendo la obligatoriedad de tomar vacaciones o efectuando rotaciones peridicas a las funciones asignadas a cada una.
o
Nuevas consideraciones relacionadas con cambios en la asignacin de funciones del empleado. Para implementar la rotacin de funciones, o en caso de reasignar funciones por ausencias
47

MDULO
02
temporales de algunos empleados, es necesario considerar la importancia de mantener actualizados los permisos de acceso.
o
Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organizacin, llevadas a cabo en forma amistosa o no. Los despidos del personal de sistemas presentan altos riesgos ya que en general se trata de empleados con capacidad para modificar aplicaciones o la configuracin del sistema, dejando "bombas lgicas" o destruyendo sistemas o recursos informticos. No obstante, el personal de otras reas tambin puede causar daos, por ejemplo, introduciendo informacin errnea a las aplicaciones intencionalmente. Para evitar estas situaciones, es recomendable anular los permisos de acceso a las personas que se desvincularn de la organizacin, lo antes posible. En caso de despido, el permiso de acceso debera anularse previamente a la notificacin de la persona sobre la situacin.
Roles: El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto, gerente de un rea, administrador del sistema...
En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
Transacciones: Tambin pueden implementarse controles a travs de las transacciones, por ejemplo solicitando una clave al requerir el
procesamiento de una transaccin determinada. Dicha clave slo tendra validez para esta transaccin.
Limitaciones a los Servicios: Estos controles se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema.
Un ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de software para
48

MDULO
02
cinco personas, en donde exista un control a nivel sistema que no permita la utilizacin del producto a un sexto usuario.
Modalidad de Acceso: Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la informacin. Esta modalidad puede ser:
o
Lectura:
el
usuario
puede
nicamente
leer
visualizar
la
informacin pero no puede alterarla. Debe considerarse que la informacin puede ser copiada o impresa.
o
Escritura: este tipo de acceso permite agregar datos, modificar o borrar informacin.
Ejecucin: este acceso otorga al usuario el privilegio de ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma de modificacin.
Todas las anteriores. existen otras modalidades de acceso especiales, que
Adems
generalmente se incluyen en los sistemas de aplicacin:
Creacin: permite al usuario crear nuevos archivos, registros o campos.
Bsqueda: permite listar los archivos de un directorio determinado.
Ubicacin y Horario: El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de da o a determinados das de la semana. De esta forma se mantiene un control ms restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados de alguno de los controles anteriormente mencionados.
49

MDULO
02
Control de Acceso Interno: Tratan de tener controlado el acceso de los trabajadores de la propia empresa. Palabras Claves (Passwords): Generalmente se utilizan para realizar la autenticacin del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a travs de la utilizacin de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fcilmente deducibles, con lo que se ve disminuida la utilidad de esta tcnica. Se podr, por aos, seguir creando sistemas altamente seguros, pero en ltima instancia cada uno de ellos se romper por este eslabn: la eleccin de passwords dbiles. Deseara que despus de la lectura del presente mdulo quedara la idea de usar passwords seguras ya que aqu radican entre el 90% y 99% de los problemas de seguridad planteados.
o
Sincronizacin de passwords: consiste en permitir que un usuario acceda con la misma password a diferentes sistemas
interrelacionados y, su actualizacin automtica en todos ellos en caso de ser modificada. Podra pensarse que esta es una
caracterstica negativa para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se podra tener acceso a los mltiples sistemas a los que tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo an mayor. Para implementar la sincronizacin de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de seguridad.
o
Caducidad y control: este mecanismo controla cundo pueden y/o deben cambiar sus passwords los usuarios. Se define el perodo mnimo que debe pasar para que los usuarios puedan cambiar sus
50

MDULO
02
passwords, y un perodo mximo que puede transcurrir para que stas caduquen. Encriptacin: La informacin encriptada solamente puede ser
desencriptada por quienes posean la clave apropiada. La encriptacin puede proveer de una potente medida de control de acceso. Se ver con ms profundidad en prximos mdulos. Listas de Control de Accesos: Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, as como la modalidad de acceso permitido. Este tipo de listas varan considerablemente en su capacidad y flexibilidad. Lmites sobre la Interfase de Usuario: Estos lmites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones especficas. Bsicamente pueden ser de tres tipos: mens, vistas sobre la base de datos y lmites fsicos sobre la interfase de usuario. Por ejemplo los cajeros automticos donde el usuario slo puede ejecutar ciertas funciones presionando teclas especficas. Etiquetas de Seguridad: Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que pueden utilizarse para varios propsitos como control de accesos, especificacin de medidas de proteccin, etc. Estas etiquetas no son modificables.
Control de Acceso Externo: Estos controles son los encargados de no permitir el acceso de personas externas a nuestra organizacin o empresa: Dispositivos de Control de Puertos: Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar fsicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un mdem. Firewalls o Puertas de Seguridad: Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa (por ejemplo
51

MDULO
02
Internet). Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisin de atacantes o virus a los sistemas de la organizacin. Este tema ser abordado con posterioridad. Acceso de Personal Contratado o Consultores: Debido a que este tipo de personal en general presta servicios temporarios, debe ponerse especial consideracin en la poltica y administracin de sus perfiles de acceso. Accesos Pblicos: Para los sistemas de informacin consultados por el pblico en general, o los utilizados para distribuir o recibir informacin computarizada (mediante, por ejemplo, la distribucin y recepcin de formularios en soporte magntico, o la consulta y recepcin de
informacin a travs del correo electrnico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administracin. Debe considerarse para estos casos de sistemas pblicos, que un ataque externo o interno puede acarrear un impacto negativo en la imagen de la organizacin. Administracin: Una vez establecidos los controles de acceso sobre los sistemas y la aplicacin, es necesario realizar una eficiente administracin de estas medidas de seguridad lgica, lo que involucra la implementacin, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas. La poltica de seguridad que se desarrolle respecto a la seguridad lgica, debe guiar las decisiones referidas a la determinacin de los controles de accesos y especificando las consideraciones necesarias para el
establecimiento de perfiles de usuarios. La definicin de los permisos de acceso requiere determinar cul ser el nivel de seguridad necesario sobre los datos, por lo que es imprescindible clasificar la informacin, determinando el riesgo que producira una
52

MDULO
02
eventual exposicin de la misma a usuarios no autorizados. As los diversos niveles de la informacin requerirn diferentes medidas y niveles de seguridad. Una vez clasificados los datos, debern establecerse las medidas de seguridad para cada uno de los niveles. Para empezar la implementacin, es conveniente comenzar definiendo las medidas de seguridad sobre la informacin ms sensible o las aplicaciones ms crticas, y avanzar de acuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones. Debe existir una concienciacin por parte de la administracin hacia el personal en donde se remarque la importancia de la informacin y las consecuencias posibles de su prdida o apropiacin de la misma por agentes extraos a la organizacin. Administracin del Personal y Usuarios - Organizacin del Personal Este proceso lleva generalmente cuatro pasos:
o
Definicin de puestos: debe contemplarse la mxima separacin de funciones posibles y el otorgamiento del mnimo permiso de acceso requerido por cada puesto para la ejecucin de las tareas asignadas.
Determinacin de la sensibilidad del puesto: para esto es necesario determinar si la funcin requiere permisos con riesgo que le permitan alterar procesos, perpetrar fraudes o visualizar
informacin confidencial.
o
Eleccin de la persona para cada puesto: requiere considerar los requerimientos de experiencia y conocimientos tcnicos necesarios para cada puesto. Asimismo, para los puestos definidos como crticos puede requerirse una verificacin de los antecedentes personales
Entrenamiento inicial y continuo del empleado: cuando la persona seleccionada ingresa a la organizacin, adems de sus
responsabilidades individuales para la ejecucin de las tares que se
53

MDULO
02
asignen, deben comunicrseles las polticas organizacionales, haciendo hincapi en la poltica de seguridad. El individuo debe conocer las disposiciones organizacionales, su responsabilidad en cuanto a la seguridad informtica y lo que se espera de l. Esta capacitacin debe orientarse a incrementar la conciencia de la necesidad de proteger los recursos informticos y a entrenar a los usuarios en la utilizacin de los sistemas y equipos para que ellos puedan llevar a cabo sus funciones de forma segura, minimizando la ocurrencia de errores (principal riesgo relativo a la tecnologa informtica).Slo cuando los usuarios estn capacitados y tienen una conciencia formada respecto de la seguridad pueden asumir su responsabilidad individual. Para esto, el ejemplo de la gerencia constituye la base fundamental para que el entrenamiento sea efectivo: el personal debe sentir que la seguridad es un elemento prioritario dentro de la organizacin.
CONCLUSIN
Los ataques informticos pueden provenir de una variedad de vectores o factores. Por lo tanto, las defensas deben ser muchas todas las que sean necesarias para detener un ataque. Pero estas defensas deben basarse en cinco principios bsicos de la seguridad informtica. Estas sientan las bases para un sistema seguro. Una vez estudiadas los diferentes tipos de seguridad
existentes, se proponen unos principios bsicos para saber cules y cmo utilizarlos. Los cinco principios bsicos para construir una defensa contra los ataques en su sistema informtico son:
Capas: El concepto de capas gira en torno a la prctica de poner ms de un tipo de defensa en la red. Si un atacante tiene como objetivo sitios especficos de tu red, deberas temer que atraviese ms de una barrera con el fin de comprometer tu sistema. Cada nivel de tu defensa debe ser ms complicado y complejo que la anterior. Con una defensa por capas el
54

MDULO
02
atacante tendr que dominar varias herramientas y habilidades para romper todas las capas de la defensa.
Limitar: La limitacin se refiere a la cantidad de acceso de usuarios a la informacin que deben tener de tu sistema. Slo aquellos que necesitan los datos deberan tener acceso a ella. Adems, la cantidad de informacin debe limitarse a lo que una persona necesita saber. Por ejemplo, los permisos de archivos y los procedimientos deben estar en el lugar que defina claramente el alcance de su acceso. La clave es que el acceso debe limitarse a un nivel como mnimo posible.
Diversidad: Diversidad trabaja con el concepto de capas en el que las tcnicas de un atacante utiliza una capa de la violacin debe ser diferente de las tcnicas necesarias para penetrar en la capa siguiente. La diversidad se puede lograr de muchas maneras, por ejemplo, puede ser tan simple como el uso de productos de seguridad de distintos fabricantes.
Oscuridad: La tcnica de la seguridad por oscuridad implica la realizacin de lo que pasa dentro de tu organizacin o el sistema informtico invisible y reducir al mnimo cualquier patrn repetitivo de comportamiento observable. Un ejemplo sera el mantenimiento de los equipos informticos de tipo, el sistema operativo, aplicaciones y versiones lejos de las miradas indiscretas de un atacante potencial. Si un atacante realiza un
reconocimiento y descubre lo que est funcionando en la red, entonces ser capaz de determinar sus puntos dbiles.
Sencillez o Simplicidad: Simplicidad significa que el administrador del sistema, los usuarios y el personal encargado de la seguridad debe ser capaz de comprender y utilizar las defensas en su lugar. Los sistemas internos de seguridad suelen ser eludidas a que sean ms fciles para los usuarios. Por desgracia, tambin puede hacer que sea ms fcil para los atacantes. El concepto en el ncleo del principio de simplicidad es que la seguridad debe ser complejo desde el exterior y simple en el interior.
55

MDULO
02

4. PROTECCIN LGICA
Hemos definido la seguridad lgica, sus principales ventajas, mtodos ahora estudiaremos las tcnicas usadas con ms profundidad. Siendo reiterativo, ninguna de las tcnicas expuestas a continuacin representar el 100% de la seguridad deseado, aunque muchas parezcan la panacea, ser la suma de algunas de ellas las que convertirn un sistema interconectado en confiable. Vulnerar Para Proteger: Los intrusos utilizan diversas tcnicas para quebrar los sistemas de seguridad de una red. Bsicamente buscan los puntos dbiles del sistema para poder colarse en ella. El trabajo de los Administradores y Testers no difiere mucho de esto. En lo que s se diferencia, y por completo, es en los objetivos: mientras que un intruso penetra en las redes para distintos fines (investigacin, dao, robo, etc.) un administrador lo hace para poder mejorar los sistemas de seguridad. Al conjunto de tcnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce como Penetration Testing, uno de los recursos ms poderosos con los que se cuenta hoy para generar barreras cada vez ms eficaces. Un test est totalmente relacionado con el tipo de informacin que se maneja en cada organizacin. Por consiguiente, segn la informacin que deba ser protegida, se determinan la estructura y las herramientas de seguridad; no a la inversa. Firewalls: Quizs uno de los elementos ms publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que ms se debe prestar atencin, distan mucho de ser la solucin final a los problemas de seguridad. De hecho, los Firewalls no tienen nada que hacer contra tcnicas como la Ingeniera Social y el ataque de Insiders. Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce una poltica de seguridad establecida. Es el mecanismo
56

MDULO
02
encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos: 1. Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l. 2. Slo el trfico autorizado, definido por la poltica local de seguridad, es permitido. Como puede observarse, el Muro Cortafuegos, slo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer proteccin una vez que el intruso lo traspasa. Algunos Firewalls aprovechan esta capacidad de que toda la informacin entrante y saliente debe pasar a travs de ellos para proveer servicios de seguridad adicionales como la encriptacin del trfico de la red. Se entiende que si dos Firewalls estn conectados, ambos deben "hablar" el mismo mtodo de encriptacin-desencriptacin para entablar la comunicacin. Access Control Lists (ACL): Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clsicos provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos concretos. Por ejemplo pueden definirse sobre un Proxy una lista de todos
57

MDULO
02
los usuarios (o grupos de ellos) a quien se le permite el acceso a Internet, FTP, etc. Tambin podrn definirse otras caractersticas como limitaciones de anchos de banda y horarios. Wrappers: Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con esto un ms alto nivel de seguridad. Los Wrappers son usados dentro de la seguridad en sistemas UNIXs. Estos programas nacieron por la necesidad de modificar el comportamiento del sistema operativo sin tener que modificar su funcionamiento. Los Wrappers son ampliamente utilizados, y han llegado a formar parte de herramientas de seguridad por las siguientes razones:
o
Debido a que la seguridad lgica est concentrada en un solo programa, los Wrappers son fciles y simples de validar.
Debido a que el programa protegido se mantiene como una entidad separada, ste puede ser actualizado sin necesidad de cambiar el Wrapper.
Debido a que los Wrappers llaman al programa protegido mediante llamadas estndar al sistema, se puede usar un slo Wrapper para controlar el acceso a diversos programas que se necesiten proteger.
Con lo mencionado hasta aqu, puede pensarse que los Wrappers son Firewall ya que muchos de los servicios brindados son los mismos o causan los mismos efectos: usando Wrappers, se puede controlar el acceso a cada mquina y los servicios accedidos. As, estos controles son el complemento perfecto de un Firewall y la instalacin de uno no est supeditada a la del otro. Deteccin de Intrusos en Tiempo Real: La seguridad se tiene que tratar en conjunto. Este viejo criterio es el que recuerda que los sistemas de proteccin hasta aqu abordados, si bien son eficaces, distan mucho de ser la proteccin ideal. As, debe estar fuera de toda discusin la conveniencia de aadir elementos que controlen lo que ocurre dentro de la red (detrs de los Firewalls).
58

MDULO
02
Como se ha visto, la integridad de un sistema se puede corromper de varias formas y la forma de evitar esto es con la instalacin de sistemas de Deteccin de Intrusos en Tiempo Real, quienes:
o o
Inspeccionan el trfico de la red buscando posibles ataques. Controlan el registro de los servidores para detectar acciones sospechosas (tanto de intrusos como de usuarios autorizados).
Mantienen una base de datos con el estado exacto de cada uno de los archivos (Integrity Check) del sistema para detectar la
modificacin de los mismos.

o
Controlan el ingreso de cada nuevo archivo al sistema para detectar Caballos de Troya o semejantes.
Controlan el ncleo del Sistema Operativo para detectar posibles infiltraciones en l, con el fin de controlar los recursos y acciones del mismo.
Avisan al administrador de cualquiera de las acciones mencionadas.
Cada una de estas herramientas permite mantener alejados a la gran mayora de los intrusos normales. Algunos pocos, con suficientes
conocimientos, experiencia y paciencia sern capaces de utilizar mtodos sofisticados (u originales) como para voltear el permetro de seguridad (interna + externa) y sern estos los casos que deban estudiarse para integrar a la poltica de seguridad existente, mayor conocimiento y con l mayor seguridad. Call Back: Este procedimiento es utilizado para verificar la autenticidad de una llamada va modem. El usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al nmero que en teora pertenece al usuario. La ventaja reside en que si un intruso desea hacerse pasar por el usuario, la llamada se devolver al usuario legal y no al del intruso, siendo este desconectado. Como precaucin adicional, el usuario deber verificar que la llamada-retorno proceda del nmero a donde llam previamente. Gestion de Claves "Seguras": Si se utiliza una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 aos en
59

MDULO
02
descifrarla (analizando 100.000 palabras por segundo). Esto se obtiene a partir de las 7.213.895.789.838.340 claves posibles de generar con esos caracteres. Partiendo de la premisa en que no se disponen de esa cantidad de aos para analizarlas por fuerza bruta, se deber comenzar a probar con las claves ms posibles, comnmente llamadas Claves Dbiles. A continuacin se muestra una tabla que representa el tiempo que se tardara en descifrar las claves dependiendo de sus caracteres.
Cantidad Caracteres 6 7 8 9 10
de
26 Letras Minsculas 51 minutos 22,3 horas 24 das 21 meses 45 aos
36 Letras Dgitos 6 horas 9 das 10,5 meses 32,6 aos
52 y Maysculas minsculas 2,3 dias 4 meses 17 aos 890 aos
96 y Todos Caracteres 3 meses 24 aos 2.288 aos
los
219.601 aos 21.081.705 aos
1.160 aos 45.840 aos
Se debe tener en cuenta los siguientes consejos: 1. No utilizar contraseas que sean palabras (aunque sean
extranjeras), o nombres (el del usuario, personajes de ficcin, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado). 2. No usar contraseas completamente numricas con algn
significado (telfono, D.N.I., fecha de nacimiento, patente del automvil, etc.). 3. Elegir una contrasea que mezcle caracteres alfabticos
(maysculas y minsculas) y numricos. 4. Deben ser largas, de 8 caracteres o ms. 5. Tener contraseas diferentes en mquinas diferentes. Es posible usar una contrasea base y ciertas variaciones lgicas de la misma para distintas mquinas.
60

MDULO
02
6. Deben ser fciles de recordar para no verse obligado a escribirlas.
Criptologa: significa "arte de escribir con clave secreta o de un modo enigmtico". Aportando luz a la definicin cabe aclarar que la Criptografa hace aos que dej de ser un arte para convertirse en una tcnica (o conjunto de ellas) que tratan sobre la proteccin (ocultamiento ante personas no autorizadas) de la informacin. Entre las disciplinas que engloba cabe destacar la Teora de la Informacin, la Matemtica Discreta, la Teora de los Grandes Nmeros y la Complejidad Algortmica. Es decir que la Criptografa es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo es (mediante claves que slo el emisor y el destinatario conocen), para despus devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.
61

MDULO
02
5. INVERSIN
Los costes de las diferentes herramientas de proteccin se estn haciendo accesibles, en general, incluso para las organizaciones ms pequeas. Esto hace que la implementacin de mecanismos de seguridad se d prcticamente en todos los niveles: empresas grandes, medianas, pequeas y usuarios finales. Todos pueden acceder a las herramientas que necesitan y los costes (la inversin que cada uno debe realizar) va de acuerdo con el tamao y potencialidades de la herramienta. Pero no es slo una cuestin de costes, los constantes cambios de la tecnologa hacen que para mantener un nivel parejo de seguridad, se deba actualizar permanentemente las herramientas con las que se cuenta. Como los intrusos mejoran sus armas y metodologas de penetracin de forma incesante, el recambio y la revisin constantes en los mecanismos de seguridad se convierten en imprescindibles. Y ste es un verdadero punto crtico. Segn los Testers, "esto es tan importante como el tipo de elementos que se usen". Sin duda, stos deben ser las que mejor se adapten al tipo de organizacin. Pero tan importante como eso es el hecho de conocer exactamente cmo funcionan y qu se puede hacer con ellos. "Es prioritario saber los riesgos que una nueva tecnologa trae aparejados".
62

MDULO
02
UNIDAD 3. POLTICAS Y RIESGOS DE LA SEGURIDAD INFORMTICA
1. INTRODUCCIN
Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido ms. En esta unidad trataremos de entender los riesgos a los que nos enfrentamos y las estrategias que debemos seguir para minimizarlos. Hoy es imposible hablar de un sistema cien por cien seguro, sencillamente porque el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser atacadas. La cuestin es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impedira hacer ms negocios. Si un Hacker quiere gastar cien mil dlares en equipos para descifrar una encriptacin, lo puede hacer porque es imposible de controlarlo. Y en tratar de evitarlo se podran gastar millones de dlares, por tanto confiamos en que no le sea rentable atacar nuestro sistema. La solucin intermedia, entonces, sera acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total, y esto significa un gran avance. Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologas para obtener el mayor provecho y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
63

MDULO
02
En este sentido, las Polticas de Seguridad Informtica (PSI), surgen como una herramienta organizacional para concienciar a cada uno de los miembros de una organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de negocios. Para continuar, har falta definir algunos conceptos aplicados en la definicin de una PSI: Decisin: eleccin de un curso de accin determinado entre varios posibles. Plan: conjunto de decisiones que definen cursos de accin futuros y los medios para conseguirlos. Consiste en disear un futuro deseado y la bsqueda del modo de conseguirlo. Estrategia: conjunto de decisiones que se toman para determinar polticas, metas y programas. Poltica: definiciones establecidas por la direccin, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas. Meta: objetivo cuantificado a valores predeterminados. Procedimiento: Definicin detallada de pasos a ejecutar para desarrollar una actividad determinada. Norma: forma en que realiza un procedimiento o proceso. Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones. Proyeccin: prediccin del comportamiento futuro, basndose en el pasado sin el agregado de apreciaciones subjetivas. Pronstico: prediccin del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prev influirn en los acontecimientos futuros.
64

MDULO
02
Control: capacidad de ejercer o dirigir una influencia sobre una situacin dada o hecho. Es una accin tomada para hacer un hecho conforme a un plan. (2) Riesgo: proximidad o posibilidad de un dao, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro.
Una Poltica de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en trminos generales que est y que no est permitido en el rea de seguridad durante la operacin general del sistema. La RFC 1244 define Poltica de Seguridad como: "una declaracin de intenciones de alto nivel que cubre la seguridad de los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se requerirn."
La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, una poltica de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas, y debe:
Ser holstica (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lpiz.
Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
65

MDULO
02
Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, repetidas. donde se conocen las alternativas ante circunstancias
Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y,
adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de lo que deseamos proteger y el porqu de ello.
66

MDULO
02
2. EVALUACIN DE RIESGOS
El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran cosas negativas.
Se debe poder obtener una evaluacin econmica del impacto de estos sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la informacin en anlisis, versus el costo de volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado.
Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deber identificar los recursos (hardware, software,
informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto. La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada para cada organizacin; pero os presento algunas preguntas que ayudan en la identificacin de lo anteriormente expuesto:

Qu puede ir mal? Con qu frecuencia puede ocurrir? Cules seran sus consecuencias? Qu fiabilidad tienen las respuestas a las tres primeras preguntas? Se est preparado para abrir las puertas del negocio sin sistemas, por un da, una semana, cunto tiempo?
Cul es el costo de una hora sin procesar, un da, una semana...? Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?
Se tiene forma de detectar a un empleado deshonesto en el sistema? Se tiene control sobre las operaciones de los distintos sistemas?
67

MDULO
02
Cuntas personas dentro de la empresa, (sin considerar su honestidad), estn en condiciones de inhibir el procesamiento de datos?
La seguridad actual cubre los tipos de ataques existentes y est preparada para adecuarse a los avances tecnolgicos esperados?
A quin se le permite usar que recurso? Quin es el propietario del recurso? y quin es el usuario con mayores privilegios sobre ese recurso?
Cmo se actuar si la seguridad es violada?
Una vez obtenida la respuesta a las preguntas formuladas, se procede a realizar una lista de cada uno de los riesgos y su factor, entendiendo como factor una magnitud que nosotros definiremos segn los objetivos y prioridades de la empresa. A continuacin se muestra un ejemplo de tabla (no tiene porque ser siempre as, depende de cada empresa):
Tipo de Riesgo Robo de hardware Robo de informacin Vandalismo Fallas en los equipos Virus Informticos Equivocaciones Accesos no autorizados Fraude Fuego Terremotos Factor Alto Alto Medio Medio Medio Medio Medio Bajo Muy Bajo Muy Bajo
68

MDULO
02
Segn lo que esta tabla nos seale, habr que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios segn el factor de riesgo representado.
69

MDULO
02
3. EVALUACIN DE COSTES
Desde un punto de vista oficial, el desafo de responder la pregunta del valor de la informacin ha sido siempre difcil, y ms difcil an hacer estos costos justificables, siguiendo el principio: "si desea justificarlo, debe darle un valor". Establecer el valor de los datos es algo totalmente relativo, pues la informacin constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentacin o las aplicaciones. Adems, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son reticentes a dedicar recursos a esta tarea. Por eso es importante entender que los esfuerzos invertidos en la seguridad son cuantificables. La evaluacin de costos ms ampliamente aceptada consiste en cuantificar los daos que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades. Un planteamiento posible para desarrollar esta poltica es el anlisis de lo siguiente:

Qu recursos se quieren proteger? De qu personas necesita proteger los recursos? Cmo son de reales las amenazas? Cmo de importante es el recurso? Qu medidas se pueden implantar para proteger sus bienes de una manera econmica y oportuna?
Con esas sencillas preguntas (ms la evaluacin de riesgo, que es la tabla antes mencionada como ejemplo) se debera conocer cules de los recursos valen la pena (justificando su precio y coste) proteger, y entender que algunos son ms importantes que otros. El objetivo que se persigue es lograr que un ataque a los bienes sea ms costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:
CP: Valor de los bienes y recursos protegidos.
70

MDULO
02
CR: Coste de los medios necesarios para romper las medidas de seguridad establecidas.
CS: Coste de las medidas de seguridad.
Para que la poltica de seguridad sea lgica y consistente se debe cumplir que: CR > CP: o sea que un ataque para obtener los bienes debe ser ms costoso que el valor de los mismos. Los beneficios obtenidos de romper las medidas de seguridad no deben compensar el costo de desarrollo del ataque.
CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la proteccin.
Luego, CR > CP > CS y lo que se busca es:
Minimizar el costo de la proteccin mantenindolo por debajo del de los bienes protegidos. Si proteger los bienes es ms caro de lo que valen (un lpiz dentro de una caja fuerte), entonces resulta ms conveniente obtenerlos de nuevo en vez de protegerlo.
Maximizar el costo de los ataques mantenindolo por encima del de los bienes protegidos. Si atacar el bien es ms caro de lo que valen, al atacante le conviene ms obtenerlo de otra forma menos costosa.
Se debe tratar de valorar los costes en que se puede incurrir en el peor de los casos contrastando con el costo de las medidas de seguridad adoptadas. Se debe poner especial nfasis en esta etapa para no incurrir en el error de no considerar costes, muchas veces, ocultos y no obvios (costes derivados). Valor Intrnseco: Es el ms fcil de calcular ya que consiste en otorgar un valor a la informacin contestando preguntas como las mencionadas y examinando minuciosamente todos los componentes a proteger. Costes Derivados de la Prdida: Una vez ms deben abarcarse todas las posibilidades, intentando descubrir todos los valores derivados de la prdida de algn componente del sistema. Muchas veces se trata del valor aadido que
71

MDULO
02
gana un atacante y la repercusin de esa ganancia para el entorno, adems del coste del elemento perdido. Deben considerarse elementos como:
Informacin aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.
Datos confidenciales de acuerdos y contratos que un atacante podra usar para su beneficio.
Tiempos necesarios para obtener ciertos bienes. Un atacante podra acceder a ellos para ahorrarse el coste (y tiempo) necesario para su desarrollo.
Punto de Equilibrio: Una vez evaluados los riesgos y los costos en los que se est dispuesto a incurrir y decidido el nivel de seguridad a adoptar, podr obtenerse un punto de equilibrio entres estas magnitudes:
72

MDULO
02
Como puede apreciarse los riesgos disminuyen al aumentar la seguridad (y los costes en los que incurre) pero como ya se sabe los costes tendern al infinito sin lograr el 100% de seguridad y por supuesto nunca se lograr no correr algn tipo de riesgo. Lo importante es lograr conocer como de seguro se estar, conociendo los costes y los riesgos que se corren (Punto de Equilibrio). Hay que destacar que, al igual que la tabla anterior, la grfica y sus valores son slo un ejemplo, por tanto cada empresa u organizacin tendrn una grfica distinta.
73

MDULO
02
4. ESTRATEGIA DE SEGURIDAD
Para establecer una estrategia adecuada es conveniente pensar una poltica de proteccin en los distintos niveles que esta debe abarcar y que no son ni ms ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que existe entre estos factores. En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva. La Estrategia Proactiva (proteger y proceder): tiene como misin la previsin de ataques siguiendo un conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos vulnerables existentes. La determinacin del dao que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudar a desarrollar esta estrategia. La Estrategia Reactiva (perseguir y procesar): ayuda al personal de seguridad a evaluar el dao que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible. Es la estrategia que se sigue una vez atacado nuestro sistema. Con respecto a la postura que puede adoptarse ante los recursos compartidos:
Lo que no se permite expresamente est prohibido: significa que la organizacin proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa est prohibida.
Lo que no se prohbe expresamente est permitido: significa que, a menos que se indique expresamente que cierto servicio no est disponible, todos los dems s lo estarn.
Estas posturas constituyen la base de todas las dems polticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qu acciones se toleran y cules no.
74

MDULO
02
Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones que atentan contra los sistemas informticos los expertos se inclinan por recomendar la primera poltica mencionada.
75

MDULO
02
5. IMPLEMENTACIN
La
implementacin
de
medidas
de
seguridad,
es
un
proceso
Tcnico-
Administrativo. Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria. Una proposicin de una forma de realizar una PSI adecuada puede apreciarse en el siguiente diagrama:
Se comienza realizando una evaluacin del factor humano, el medio en donde se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias. Despus de evaluar estos elementos y establecida la base del anlisis, se originan un programa de seguridad, el plan de accin y las normas y procedimientos a llevar a cabo. Para que todo lo anterior llegue a buen fin debe realizarse un control peridico de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulacin de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulacin y los casos reales registrados generan una realimentacin y revisin que permiten adecuar las polticas generadas en
76

MDULO
02
primera instancia. Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la poltica falle. Es importante destacar que la Seguridad debe ser considerada desde la fase de diseo de un sistema. Si la seguridad es contemplada despus de la implementacin del mismo, el personal se enfrentar con problemas tcnicos, humanos y administrativos muchos mayores que implicaran mayores costes para lograr, en la mayora de los casos, un menor grado de seguridad.
"Construya la seguridad desde el principio. La mxima de que es ms caro aadir despus de la implementacin es cierta."
Queda claro que este proceso es dinmico y continuo, sobre el que hay que adecuarse continuamente a fin de subsanar inmediatamente cualquier debilidad descubierta.
Como ya se ha mencionado, los fundamentos aqu expuestos NO deben ser tomados puntualmente en cada organizacin tratada. Debern ser adaptados a la necesidad, requisitos y limitaciones de cada organizacin (o usuario individual) y, posteriormente requerir actualizaciones peridicas asegurando el dinamismo sistemtico ya mencionado.
77

MDULO
02
ActiveX: Es un sistema de tecnologas de Microsoft que permite el contenido interactivo para el Web mundial. Desafortunadamente, los ajustes flojos de la seguridad de ActiveX del defecto en Internet Explorer pueden permitir que cualquier pgina web instale secretamente los controles de activeX
automticamente. Puesto que estos controles de activeX pueden hacer casi cualquier cosa (instalacin incluyendo de software, tal como spyware), muchos los consideran una amenaza significativa de la seguridad.
Administrador: Persona que se encarga de todas las tareas de mantenimiento de un sistema informtico.
Adware: Normalmente se confunde este trmino con el de Spyware; la diferencia es que el Adware no recolecta informacin del equipo donde est instalado, sino que se limita a mostrar publicidad mientras que el usuario est utilizando una aplicacin.
Backdoor: Puerta de entrada trasera a una computadora, programa o sistema en general. Sirve para acceder sin usar un procedimiento normal
Bajar o Download: Extraer un programa de un BBS va mdem.
BHO: (Browser Helper Objects) El usuario descarga un software malicioso en apariencia inofensivo que se instala (el usuario acepta un largo contrato a travs del cual permite al atacante efectuar cualquier accin en su ordenador sin opcin a reclamar) en su propio sistema. Una vez ha instalado la aplicacin, el programa puede detectar, analizar y enviar de vuelta al fabricante (atacante) toda la informacin que se procese en nuestro explorador.
Black Box: Aparato que engaa a la central telefnica hacindole creer que no se levant el telfono cuando en realidad se est produciendo una comunicacin
78

MDULO
02
Blue Box: Aparato (o programa de computadora) que emite tonos
multifrecuencias que permite controlar las centrales telefnicas. Se utiliza para lograr comunicaciones gratuitas, entre otras cosas.
Browser Hijackers: (Secuestradores del Navegador) Son los programas que procuran cambiar la pgina de inicio y bsqueda y/o otros ajustes del navegador. Estos pueden ser instalados en el sistema sin nuestro consentimiento al visitar ciertos sitos web mediante controles ActiveX o bien ser incluidos por un troyano.
Bug: Un error en un programa o en un equipo. Se habla de bug si es un error de diseo, no cuando la falla es provocada por otra cosa.
Bustear: Precinto o incubacin de un BBS por parte de la polica.
Calling Card: Tarjeta de crdito emitida por una compaa telefnica que permite hacer llamadas y pagarlas despus.
Carding: Uso de tarjetas de crdito de otras personas, generacin de nuevas tarjetas de crdito para realizar pagos a sistemas de compra a distancia (principalmente). En general, cualquier actividad fraudulenta que tenga que ver con las tarjetas de crdito.
Cookies: Son pequeos archivos que generan sitios de Internet para facilitarnos la utilizacin de algunas paginas. Algunas empresas utilizan a las inofensivas cookies para monitorear la actividad online de los usuarios, incurriendo en una clara invasin a la privacidad, aunque no siempre se utilizan para esto.
Cortafuegos (Firewall): Computadora que registra todos los paquetes de informacin que entran en una compaa para, una vez verificados, derivarlos a otra que tiene conexin interna y no recibe archivos que no provengan de aquella. Es como un embudo que mira si la informacin que desea entrar a un servidor tiene permiso para ello o no. Los hackers deben contar con gran
79

MDULO
02
creatividad para entrar ya sea buscando un bug (error de diseo) o mediante algn programa que le permita encontrar alguna clave vlida.
Crack: Desproteccin de un juego o programa. Cracking: Modificar un programa para obtener beneficios. Normalmente se basa en quitar pantallas introductorias, protecciones o, como en unas modificaciones de cierto programa de comunicaciones, conseguir nuevos passwords de acceso a sistemas...
Cuarentena: Consiste en proteger nuestro equipo dejando aislado a uno o varios archivos infectados con el propsito de poder desinfectarlos en prximas actualizaciones de nuestro producto antivirus si fuese posible
Cyberpunk: Corriente literaria dentro de la ciencia-ficcin que, entre otras cosas, se destaca por incorporar a sus argumentos el uso de la tecnologa de las redes de computadoras.
Dial-up: Lnea de datos que permite a un usuario acceder por mdem a una red o a una computadora.
Facke: Todas aquellas versiones de programas que han sido manipuladas de tal manera que figuran como versiones superiores a la original sin serlo.
Guest: Cuenta pblica de un sistema, para que la use alguien que no tiene cuenta propia.
Gusanos: Los gusanos tienen ciertas similitudes con los virus informticos, pero tambin diferencias fundamentales. Un gusano se parece a un virus en que su principal funcin es reproducirse, pero por el contrario de cmo lo hacen los virus, en lugar de copiarse dentro de otros archivos, un gusano crea nuevas copias de si mismo para replicarse.
Gusano de Internet: Tienen las mismas funciones de los gusanos comunes pero adems aprovechan los medios que provee la red de redes para reproducirse a travs de ella.
80

MDULO
02
Group: Grupos de personas que unen sus fuerzas para suplier juegos o programas.
Hacking: Acto de hackear. Bsicamente consiste en entrar de forma ilegal en un sistema, para obtener informacin. No conlleva la destruccin de datos ni la instalacin de virus, pero pueden instalarse troyanos que proporcionen
passwords nuevos. Tambin consiste en llevar una vida acorde con el hackmode.
Hackmode: Modo de actuar del hacker. No tiene por qu estar relacionado con las computadoras, es ms bien un modo de interpretar la vida.
Handle: Seudnimo usado en vez del nombre verdadero.
Heurstica: Mtodo de revisin de archivos y/o memoria basado en la bsqueda de patrones de actividad que puedan considerarse como un virus. Normalmente utilizados para la deteccin de nuevas versiones de virus ya conocidos o familias de virus.
Hijacker:
Comnmente
llamado
"Secuestrador
de
Navegador"
al
poder
apoderarse de la pgina de inicio, de bsqueda, de error... de navegadores como Internet Explorer.
Hoaxes: La palabra hoax viene del ingls y tiene dos interpretaciones. Por un lado, puede ser utilizado como un verbo que significa embaucar; en cambio, si se utiliza como sustantivo, se traduce como engao, bulo o broma de mal gusto.
Ingeniera social: Arte de convencer a la gente de entregar informacin que no corresponde.
Lamer: Tonto, persona con pocos conocimientos. Principiante
81

MDULO
02
Login: Procedimiento de identificarse frente a un sistema para luego usarlo. Este identificativo ms el password o clave te permite acceder a informacin restringida.
Loops: Circuitos. Un loop (o bucle) de telfonos son dos telfonos que se comunican entre s.
LSP: (Espas mediante sockets) El atacante introduce en el sistema del usuario un programa capaz de monitorizar, archivar y enviar a travs de la conexin a Internet toda la informacin que el cliente enve o reciba en su ordenador. Tambin es un eficaz mtodo para realizar fraudes de Pharming.
Malware: Es la abreviatura de Malicious software, trmino que engloba a todo tipo de programa o cdigo de computadora cuya funcin es daar un sistema o causar un mal funcionamiento. Dentro de este grupo podemos encontrar trminos como: Virus, Trojan (Caballo de Troya), Gusano (Worm), Parsito, Spyware, Adware, Hijackers, Keyloggers, etc.
Nukear: Anular un programa de un BBS recin subido, por ser antiguo y carecer de inters.
Operador: Persona que usa una computadora. A menudo se llama 'operador' al administrador del sistema.
Outdial: Modem de salida dentro de una misma red, que permite a un usuario de la misma salir a la red telefnica convencional. Los que permiten hacer llamadas a larga distancia se llaman 'global Outdial' (Outdial globales) o GOD.
Packet switching: Conmutacin de paquetes.
Parches: Tambin conocidos como actualizaciones (en ingls patches o updates), son soluciones a problemas o agujeros de seguridad en aplicaciones o sistemas operativos.
82

MDULO
02
Password: Clave. Palabra que sirve para verificar que un usuario es realmente quien dice ser. Por eso mismo, el nico que debe conocerla es ese mismo usuario.
Payload: Efecto visible de un software maligno.
PBX: Private Branch Exchange. Centrales telefnicas internas de empresas
Pharming: El usuario cree estar accediendo a un Sitio Web mientras que est accediendo a otro. Esto se consigue mediante un mapeo de IP de una direccin a otra. Dicho mapeo puede ser realizado en el ordenador del usuario final, por envenenamiento de DNS o mediante las tecnologas (BHO y LSP).
Phishing: Se utiliza el trmino "phishing" para referirse a todo tipo de prcticas de engaado mediante cualquier tcnica de ingeniera social para enviar sus contraseas de acceso a Sitios Web aparentemente propiedad del propio banco. Posteriormente el atacante recopila dicha informacin robando la mayor cantidad de dinero posible de la cuenta corriente del usuario.
Phreaking: Acto de llamar por telfono gratuitamente y la realizacin de modificaciones a los aparatos telefnicos con el fin de obtener algn tipo de beneficio.
Sniffing: Se trata de dispositivos que permiten al atacante "escuchar" las diversas comunicaciones que se establecen entre ordenadores a travs de una red (fsica o inalmbrica) sin necesidad de acceder fsica ni virtualmente a su ordenador.
Spam: Es llamado Spam al correo basura (e-mail), el cual llega a nuestras casillas de correo sin que nosotros lo hayamos solicitado.
Spyware: Son pequeos programas que se instalan en nuestro sistema con la finalidad de robar nuestros datos y espiar nuestros movimientos por la red. Luego envan esa informacin a empresas de publicidad de internet para
83

MDULO
02
comercializar con nuestros datos. Trabajan en modo 'background' (segundo plano) para que no nos percatemos de que estn hasta que empiecen a aparecer los primeros sntomas.
Subir o Upload: Enviar un programa a un BBS va mdem.
ToolBar: (Barra de herramientas) Son pequeos programas que se adjuntan a nuestro navegador y nos proveen de funciones extras. Hay muchas barras de herramientas conocidas como la de Google, Yahoo, MSN pero al igual hay muchas que realizan funciones de espa como Alexa, Hotbar, WebSearch, Lop...
Tracear: Seguimiento exhaustivo. Se utiliza cuando se intenta desproteger un programa y se tiene instalado un Debugger. Este trmino tambin es utilizado en caso de que la lnea telefnica est pinchada por la polica.
Trader: Persona que sube y baja continuamente programas y juegos de BBS.
Troyanos: (Caballos de Troya) Programas que, enmascarados de alguna forma como un juego o similar, buscan hacer creer al usuario que son inofensivos, para realizar acciones maliciosas en su equipo. A diferencia de los virus y gusanos los troyanos no se pueden reproducir por s mismos.
Virii: Suele encontrarse en textos en ingls. Es la accin de crear virus.
Virus: Son sencillamente programas creados para infectar sistemas y otros programas crendoles modificaciones y daos que hacen que estos funcionen incorrectamente.
Warez: Programas comerciales ofrecidos gratuitamente. Lo que se conoce popularmente como "pirateo".
84

MDULO
02
WEBS:
http://www.monografias.com/
http://es.wikipedia.org/ http://www.segu-info.com.ar/ http://www.kriptopolis.org/ http://www.nist.gov http://www.cybsec.com http://www.seguridata.com http://www.belt.es/
LIBROS:
SEGURIDAD INFORMTICA. Ediciones MP Miguel Gustavo Aldegani DERECHO INFORMTICO. Ed Mc Graw Hill. Julio Tellez Valdez. CRIPTOGRAFIA Y SEGURIDAD EN COMPUTADORES. Ed Virtual Manuel Jos Lucena Lpez.
FIREWALLS: SEGURIDAD EN LAS REDES E INTERNET. Boletn de Poltica Informtica Roberto Hernndez FRAUDE EN LA RED: APRENDA A PROTEGERSE CONTRA EL FRAUDE EN INTERN ET. Ed Ra-Ma. Diego Guerrero
85

MDULO
02
SEGURIDAD INFORMTICA: BASICO. Ed Starbook lvaro Gmez Vieites PRESERVACIN DE LOS DOCUMENTOS ELECTRNICOS. Ed UOC Joan Soler RED SEGURIDAD. Revista de Prosegur SEGURIDAD EN LA INFORMACIN. Ed. Paraninfo J.L. Artero REDES DE REA LOCAL. Ed. Mc Graw Hill Alfredo Abad Domingo CURSO DE SEGURIDAD INFORMTICA Y CRIPTOGRAFA. Dr. Jorge Rami Aguirre
86

M2 Seguridad Informatica Def

Încărcat de

Informații document

Descriere originală:

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

M2 Seguridad Informatica Def

Încărcat de

Drepturi de autor:

Formate disponibile

F49REV02

FORMACIN EN SEGURIDAD EN INFORMTICA

TUTOR: Diego Snchez Repila

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 2

OBJETIVOS GENERALES ................................................................... 4

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 3

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 4

Inculcar la importancia de un buen sistema de seguridad para proteger la informacin.

Valorar la gran importancia que tiene la informacin en cualquier organizacin.

Adquirir los conocimientos para poder realizar un buen sistema de seguridad.

Conocer las principales clases y clasificaciones de los sistemas de seguridad informtica.

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 5

Seguridad: cualidad de seguro. La seguridad no es un producto, sino un proceso.

Seguro: libre y exento de todo peligro, dao o riesgo.

Informtica: tratamiento automtico de la informacin por medio de ordenadores.

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 6

Integridad: salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento.

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 7

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 8

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 9

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 10

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 11

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 12

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 13

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 14

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 15

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 16

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 17

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 18

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 19

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 20

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 21

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 22

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 23

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 24

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 25

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 26

explosivos, gases txicos o sustancias radioactivas.

extenderse desde el suelo al techo.

Seguridad del Equipamiento

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 27

Deben instalarse extintores manuales (porttiles) y/o automticos (rociadores).

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 28

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 29

cableado se pueden resumir en los siguientes:

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 30

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 31

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 32

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 33

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 34

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 35

identificacin contrastarn almacena

ingresados base las donde

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 36

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 37

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 38

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 39

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 40

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 41

Detector de vibraciones: detecta golpes o manipulaciones extraas sobre la superficie controlada.

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 42

acondicionado...) y todas las formas de administracin de energa. Una

MDULO II. FUNDAMENTOS DE LA SEGURIDAD INFORMTICA 43