Fundamentos de Seguridad Informtica

Estandares ISO 27000

ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase

de desarrollo- por ISO (International Organization for Standardization)
e IEC (International Electrotechnical Commission), que proporcionan
un marco de gestin de la seguridad de la informacin utilizable por
cualquier tipo de organizacin, pblica o privada, grande o pequea.
El ISO-27000 se basa en la segunda parte del estndar britnico
BS7799 (BS7799:2). Est compuesta a grandes rasgos por:

ISMS(Information Security Management System).

Valoracin de Riesgo.

Controles.
A semejanza de otras normas ISO, la 27000 es realmente una serie de
estndares.

ISO 27000: En fase de desarrollo. Contendr trminos y

definiciones que se emplean en toda la serie 27000. La aplicacin de
cualquier estndar necesita de un vocabulario claramente definido,
que evite distintas interpretaciones de conceptos tcnicos y de
gestin. Esta norma ser gratuita, a diferencia de las dems de la
serie, que tendrn un coste.

ISO 27001: Es la norma principal de requisitos del sistema de

gestin de seguridad de la informacin. Tiene su origen en la BS 77992:2002 y es la norma con arreglo a la cual se certifican por auditores
externos los SGSI de las organizaciones. Fue publicada el 15 de
Octubre de 2005 y sustituye a la BS 7799-2, habindose establecido
unas condiciones de transicin para aquellas empresas certificadas en
esta ltima.
Fundamentos de Seguridad Informtica
Servicios de Seguridad Informtica

Un servicio de seguridad es aquel que mejora la seguridad de un

sistema de informacin y el flujo de informacin de una organizacin.

Los servicios estn dirigidos a evitar los ataques de seguridad y

utilizan uno o ms mecanismos de seguridad para proveer el servicio.
Clasificacin
Una clasificacin muy utilizada de los servicios de seguridad es la
siguiente:

Confidencialidad

Autenticacin

Integridad

No repudio

Control de acceso

Disponibilidad

Servicios de Seguridad Informtica

Confidencialidad
Servicio de seguridad o condicin que asegura que la informacin no
pueda estar disponible o ser descubierta por o para personas,
entidades o procesos no autorizados. Tambin puede verse como la
capacidad del sistema para evitar que personas no autorizadas
puedan acceder a la informacin almacenada en l.
La confidencialidad es importante porque la consecuencia del
descubrimiento no autorizado puede ser desastrosa. Los servicios de
confidencialidad proveen proteccin de los recursos y de la
informacin en trminos del almacenamiento y de la informacin, para

asegurarse que nadie pueda leer, copiar, descubrir o modificar la

informacin sin autorizacin. As como interceptar las comunicaciones
o los mensajes entre entidades.

Mecanismos para salvaguardar la confidencialidad de los datos:

El uso de tcnicas de control de acceso a los sistemas.

El cifrado
comunicaciones.

de

la

informacin

confidencial

de

las

Fundamentos de Seguridad Informtica

Servicios de Seguridad Informtica

Autenticacin
Es el servicio que trata de asegurar que una comunicacin sea
autntica, es decir, verificar que el origen de los datos es el correcto,
quin los envi y cundo fueron enviados y recibidos tambin sean
correctos.
Algunos mtodos de autenticacin son:

Biomdicas, por huellas dactilares, retina del ojo, etc.

Tarjetas inteligentes que guardan informacin de los certificados

de un usuario

Mtodos clsicos basados en contrasea:

Comprobacin local o mtodo tradicional en la propia

o
mquina

Comprobacin en red o mtodo distribuido, ms utilizado

actualmente

Fundamentos de Seguridad Informtica

Servicios de Seguridad Informtica

Integridad
Servicio de seguridad que garantiza que la informacin sea
modificada, incluyendo su creacin y borrado, slo por el personal
autorizado.
El sistema no debe modificar o corromper la informacin que
almacene, o permitir que alguien no autorizado lo haga. El problema
de la integridad no slo se refiere a modificaciones intencionadas,
sino tambin a cambios accidentales.

Servicios de Seguridad Informtica

No repudio
El no repudio sirve a los emisores o a los receptores para negar un
mensaje transmitido. Por lo que cuando un mensaje es enviado, el
receptor puede probar que el mensaje fue enviado por el presunto
emisor. De manera similar, cuando un mensaje es recibido, el
remitente puede probar que el mensaje fue recibido por el presunto
receptor.

Fundamentos de Seguridad Informtica

Servicios de Seguridad Informtica

Control de Acceso

Un control de acceso se ejecuta con el fin de que un usuario sea

identificado y autenticado de manera exitosa para que entonces le sea
permitido el acceso.

Los componentes bsicos de un mecanismo de control de acceso son

las entidades de red, los recursos de la red y los derechos de acceso.
Estos ltimos describen los privilegios de la entidad o los permisos con
base en qu condiciones las entidades pueden tener acceso a un
recurso de la red y cmo estas entidades son permitidas para tener
acceso a un recurso de la red.
El control de acceso puede ejecutarse de acuerdo con los niveles de
seguridad y puede ejecutarse mediante la administracin de la red o
por una entidad individual de acuerdo con las polticas de control de
acceso.
Fundamentos de Seguridad Informtica

Servicios de Seguridad Informtica

Disponibilidad
En un entorno donde las comunicaciones juegan un papel importante
es necesario asegurar que la red est siempre disponible.

La disponibilidad es un servicio que garantiza que los usuarios

autorizados tengan acceso a la informacin y a otros activos de
informacin asociados en el lugar, momento y forma en que es
requerido. Un sistema seguro debe mantener la informacin disponible
para los usuarios. El sistema, tanto hardware como software, debe
mantenerse funcionando eficientemente y ser capaz de recuperarse
rpidamente en caso de fallo.

Amenazas

Una amenaza se representa a travs de una persona, una

circunstancia o evento, un fenmeno o una idea maliciosa, las cuales
pueden provocar dao en los sistemas de informacin, produciendo
prdidas materiales, financieras o de otro tipo. Las amenazas son
mltiples desde una inundacin, un fallo elctrico o una organizacin
criminal o terrorista. As, una amenaza es todo aquello que intenta o
pretende destruir.

Amenazas Humanas

Surge por ignorancia en el manejo de la informacin, por descuido, por

negligencia, por inconformidad. Para este caso se pueden considerar
a los hackers, crakers, phreakers, carding, trashing, gurs, lamers o
scriptkiddies, copyhackers, bucaneros, newbie, wannabers, samurai,
creadores de virus y los que se listan a continuacin:

Ingeniera social:es la manipulacin de las personas para

convencerlas de que ejecuten acciones o actos que normalmente no
realizan de forma que revelen datos indispensables que permitan
superar las barreras de seguridad. Esta tcnica es una de las ms
usadas y efectivas al momento de averiguar nombres de usuarios y
contraseas.
undamentos de Seguridad Informtica

Amenazas Hardware

Este tipo de amenazas se da por fallas fsicas que se encuentra

presente en cualquier elemento de dispositivos que conforman la
computadora. Los problemas ms identificados para que el suministro
de energa falle son el bajo voltaje, ruido electromagntico, distorsin,
interferencias, alto voltaje, variacin de frecuencia, etc.

Amenazas Red

Se presenta una amenaza cuando no se calcula bien el flujo de

informacin que va a circular por el canal de comunicacin, es decir,
que un atacante podra saturar el canal de comunicacin provocando
la no disponibilidad de la red. Otro factor es la desconexin del canal.

Fundamentos de Seguridad Informtica

Amenazas Lgica

Se presenta una amenaza cuando no se calcula bien el flujo de

informacin que va a circular por el canal de comunicacin, es decir,
que un atacante podra saturar el canal de comunicacin provocando
la no disponibilidad de la red. Otro factor es la desconexin del canal.

La amenaza se hace presente cuando un diseo bien elaborado de un

mecanismo de seguridad se implementa mal, es decir, no cumple con
las especificaciones del diseo. La comunicacin entre procesos
puede resultar una amenaza cuando un intruso utilice una aplicacin
que permita evitar y recibir informacin, sta podra consistir en enviar
contraseas y recibir el mensaje de contrasea vlida; dndole al
intruso elementos para un posible ataque.
En la mayora de los sistemas, los usuarios no pueden determinar si el
hardware o el software con que funcionan son los que supone que
deben ser. Esto facilita al intruso para que pueda reemplazar un
programa sin conocimiento del usuario y ste pueda inadvertidamente
teclear su contrasea en un programa de entrada falso al cual tambin
se le denomina cdigos maliciosos.
Los tipos de cdigos maliciosos ms comunes son: caballos de Troya,
virus, gusanos, bombas de tiempo y keyloggers.

Caballos de Troya Es un programa aparentemente til que

contiene funciones escondidas y adems pueden explotar los
privilegios de un usuario dando como resultado una amenaza hacia la
seguridad. Un caballo de Troya es ms peligroso que un administrador
del sistema o un usuario con ciertos privilegios, ya que se introducen
al sistema bajo una apariencia totalmente diferente a la de su objetivo
final; esto es, que se presente como informacin prdida o basura, sin
ningn sentido. Pero al cabo de algn tiempo, y esperando la
indicacin del programa, despierta y comienzan a ejecutarse y a
mostrar sus verdaderas intenciones. Tambin pueden aparentar ser un
programa de juegos o entretener al usuario mostrando pantallas de
espectculos y sonidos agradables, mientras realizan operaciones
dainas para el sistema.
Fundamentos de Seguridad Informtica
Amenazas Fenmenos naturales que provocan desastres

Los diferentes fenmenos naturales que provocan desastres

representan uno de los riesgos ms fuertes y debido a la existencia de
stos se convierte en una de las razones por la cuales deben
desarrollarse planes de contingencia y aplicarse medidas en pro de la
seguridad de la informacin. De acuerdo a Rodrguez (1995) la
clasificacin de fenmenos naturales que causan desastres utilizados
en las Bases para el Establecimiento del Sistema Nacional de
Proteccin Civil:

Geolgicos
Tienen sus orgenes en la actividad de las placas tectnicas y fallas
continentales y regionales que cruzan y circundan a la Repblica
Mexicana.
Como son:
Sismos
Vulcanismo
Colapso de suelos
Hundimiento
agrietamiento

regional

Algunas consecuencias de
los sismos y erupciones tales
como maremotos (tsunami) y
lahares.

Fundamentos de Seguridad Informtica

Vulnerabilidades

La vulnerabilidad de un sistema informtico son todas aquellas

debilidades que se estn presentando en el sistema, lo cual hace
susceptible de ser afectado, alterado o destruido por alguna
circunstancia indeseada, que afectan al funcionamiento normal o
previsto de dicho sistema informtico. Las vulnerabilidades pueden
clasificarse en seis tipos:
1.

Fsica

2.

Natural

3.

De hardware

4.

De software

5.

De red

6.

Humana

Fundamentos de Seguridad Informtica

Vulnerabilidades Fsicas

Lo podemos encontrar en el edificio o entorno fsico. La relacionamos

con la posibilidad de entrar o acceder fsicamente al lugar donde se
encuentra el sistema para robar, modificar o destruir el mismo. Esta
vulnerabilidad se refiere al control de acceso fsico al sistema.

Fundamentos de Seguridad Informtica

Vulnerabilidades Naturales

Se refiere al grado en que el sistema puede verse afectado debido a

los fenmenos naturales que causan desastres.
Las vulnerabilidades pueden ser:

No contar con un espejo del sistema en otro lugar geogrfico en

caso de inundaciones o terremotos.

No disponer de reguladores, no-breaks, plantas de energa

elctrica alterna

Tener una mala instalacin elctrica de los equipos, en caso de

rayos, fallas elctricas o picos altos de potencia.

Adems de que las instalaciones se encuentren en mal estado,

no contar con un adecuado sistema de ventilacin y calefaccin para
que los equipos en temperaturas de 18 y 21 C y se tenga una
humedad entre 48 y 65%.

En caso de inundaciones, el no contar con paredes, techos

impermeables y puertas que no permitan el paso del agua.

No estar informado de las condiciones climatolgicas locales al

construir un centro de cmputo o para tomar medidas en determinado
tiempo.
Fundamentos de Seguridad Informtica

Vulnerabilidades de Hardware

El no verificar las caractersticas tcnicas de los dispositivos junto con

sus respectivas especificaciones, la falta de mantenimiento del equipo.
Desde el punto de vista del hardware, ciertos tipos de dispositivos
pueden ser ms vulnerables que otros. As, pueden existir algunos
sistemas que no cuenten con la herramienta o tarjeta para poder
acceder a los mismos; adquirir un equipo de mala calidad o hacer un

mal uso del mismo, tener el equipo de cmputo expuesto a cargas

estticas, etc.

Fundamentos de Seguridad Informtica

Vulnerabilidades de Software

Ciertas fallas o debilidades de los programas del sistema hace ms

fcil acceder al mismo y lo hace menos confiable. Este tipo de
vulnerabilidades incluye todos los errores de programacin en el
sistema operativo u otros de aplicaciones que permite atacar al
sistema operativo desde la red explotando la vulnerabilidad en el
sistema.

Fundamentos de Seguridad Informtica

Vulnerabilidades de Red

La conexin de las computadoras a las redes supone un enorme

incremento
de
la
vulnerabilidad
del
sistema,
aumenta
considerablemente la escala de riesgos a que est sometido, al
aumentar la cantidad de gente que puede tener acceso al mismo o
intenta tenerlo. Tambin se aade el riesgo de intercepcin de las
comunicaciones:

Se puede penetrar al sistema a travs de la red.

Interceptar informacin que es transmitida desde o hacia el

sistema.

Se debe tener cuidado en que el

centro de cmputo no tenga fallas
debido a una mala estructura y en
el diseo del cableado
estructurado por no seguir ningn
estndar para el diseo e
implementacin del mismo.

Fundamentos de Seguridad Informtica

Vulnerabilidades Humanas

Algunas de las diferentes vulnerabilidades humanas se tienen:

Contratar personal sin perfil psicolgico y tico

No tener personal suficiente para todas las tareas,

El descuido,

El cansancio,

Maltrato del personal, as como la mala comunicacin con el

personal, malos entendidos

Personal irresponsable, que descuida el acceso a su rea de

trabajo,

No tener servicio tcnico propio de confianza,

No instruir a los usuarios para que eviten responder a preguntas

sobre cualquier caracterstica del sistema,

No asegurarse de que las personas que llaman por telfono son

quienes dicen ser,

El no tener control de acceso o acceso basado en restricciones

de tiempo,

No contar con guardias de seguridad,

No tener un control de registros de entrada y salida de las

personas que visitan el centro de cmputo,
http://blog.segu-info.com.ar/2014/01/isoiec-27000-para-descargagratuita.html