Documente Academic
Documente Profesional
Documente Cultură
Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema de Gestión
de la Seguridad de la Información (SGSI), consistente en medidas orientadas a
proteger la información, indistintamente del formato de la misma, contra cualquier
amenaza, de forma que garanticemos en todo momento la continuidad de las
actividades de la empresa.
Confidencialidad
Integridad
y Disponibilidad de la Información
Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los
requerimientos del negocio. Existen numerosas metodologías estandarizadas de
evaluación de riesgos. Aquí explicaremos la metodología sugerida en la Norma.
Las fases de esta metodología son los siguientes:
1.- Identificar los Activos de Información y sus responsables, entendiendo por activo
todo aquello que tiene valor para la organización, incluyendo soportes físicos
(edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones,
proyectos ...) así como la marca, la reputación etc.
2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del
activo que lo hacen susceptible de sufrir ataques o daños.
3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo
de la información, tales como desastres naturales, incendios o ataques de virus,
espionaje etc.
4.- Identificar los requisitos legales y contractuales que la organización está obligada
a cumplir con sus clientes, socios o proveedores.
5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las
amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información, en relación a su disponibilidad, confidencialidad
e integridad de este.
6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del
riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento determinamos los riesgos que
deben ser controlados con prioridad.
7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la
política de tratamiento de los riesgos en función de los puntos anteriores y de la
política definida por la dirección. En este punto, es donde seleccionaremos los
controles adecuados para cada riesgo, los cuales irán orientados a:
• Asumir el riesgo
• Reducir el riesgo
• Eliminar el riesgo
• Transferir el riesgo
Sin duda, gran parte de la Información de una empresa se encuentra en los sistemas
informáticos, sin embargo, la Norma ISO 27001 define la información como:
La información es un activo que, como otros activos importantes del negocio, tiene
valor para la organización y requiere en consecuencia una protección adecuada ...
... a información adopta diversas formas. Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por correo o por medios electrónicos,
mostrada en video o hablada en conversación. Debería protegerse adecuadamente
cualquiera que sea la forma que tome o los medios por los que se comparta o
almacene.
ISO 27011
ISO 27011 aborda las directrices de gestión de seguridad para las organizaciones
de telecomunicaciones basadas en la norma ISO 27002.
Por todo ello, los objetivos que proporciona están norma son:
• Han de saber reordenar los recursos para que las actividades llevadas a
cabo sean más eficientes.
I love you
Virus informático I love you. Conocido por los usuarios como el “Virus del amor”,
pertenece a la categoría de gusano, capaz de reproducirse a través de las redes
electrónicas, modifica los ficheros del ordenador infectado y se transmite a través
del correo electrónico cuando el internauta abre el fichero donde se aloja.
Surgimiento
Primeramente, fue una tesis que realizó Onel de Guzmán, un joven filipino de 24
años que estudió en la Facultad de Informática del colegio universitario AMA, en la
capital de Filipinas. Su tutor en la facultad esperaba con ansiedad la tesis de su
alumno más aventajado.
El texto final, entregado el 1 de febrero del 2000, tenía faltas de ortografía y estaba
peor escrito, pero era toda una guía sobre cómo robar códigos secretos a través de
Internet o cómo introducirse en un ordenador ajeno y tomar su control. Era, en
definitiva, una copia del virus "I love you", que tres meses después iba a dejar en
evidencia la vulnerabilidad del nuevo orden mundial de Internet y las tecnologías
informáticas.
«A los profesores no les gustó mi trabajo, rechazaron la tesis, decían que iba contra
la política de la Facultad y todo porque utilizaba la palabra robar en lugar de acceder.
Fue una simple cuestión de gramática», recuerda todavía algo ofendido el
Barbanegra de la piratería electrónica y autor del mayor caos informático de la
historia. El 4 de mayo de 2000Onel de Guzmán decidió probar por su cuenta el
proyecto que había preparado para su tesis y que finalmente fue rechazada por su
profesor.
El virus sobrescribe con su código los archivos con extensiones .VBS y .VBE.
Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea
otros con el mismo nombre y extensión .VBS en el que introduce su código. También
localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea
otros donde el nuevo nombre está formado por el nombre y la extensión anterior
más VBS como nueva extensión real.
Proceso de Infección
Mutación
Muchas empresas del FTSE-100 (índice de los 100 primeros valores de la Bolsa de
Londres) nos han comunicado que sus sistemas informáticos estaban bloqueados
por el virus», indicó una portavoz de la empresa antivirus Sophos. Vodafone,
compañía dedicada a telefonía móvil, echó el cierre a su correo electrónico por el
brote vírico: 50 ordenadores de la compañía fueron tocados con amor. «Tenemos
el virus I love you», dijo un portavoz. «Pensamos que se ha extendido por todas
partes». En Alemania, la editorial Axel Springer -que publica el diario Bild, el más
vendido del país- se llevó la peor parte. Pero tampoco olvidó a la empresa Siemens,
que desconectaron sus servidores. En Dinamarca y Noruega, el Parlamento danés
se vio inundados de Email con el virus, e incluso llegó hasta la poderosa banca
suiza.
«Es un ataque masivo, que afecta a todas las empresas», dijo un analista de la
banca. En Irlanda, una de las fábricas de DELL Computers en Limerick estuvo 11
horas paradas por el virus, según testimonios de sus trabajadores. En España, Los
cariños llegaron a varios medios de comunicación españoles como el diario El País,
interrumpiendo durante varias horas su actividad, la Cadena Ser y los periódicos La
Razón y Abc, entre otros, que registraron anomalías en los correos electrónicos, sin
repercusiones en su trabajo. Iberia informó de que también registraron la entrada
del virus antes de que produjera problemas, mientras que fuentes del Ministerio de
Ciencia y Tecnología aseguraron no tener constancia de que se hubieran producido
anomalías en los sistemas informáticos de la Administración. En Estados Unidos,
El día avanzó y EE. UU. recibió el I Love You con el desayuno. Una portavoz del
Pentágono informó de que había llegado a sus instalaciones, sin precisar la
gravedad.
Una oficina del Pentágono que ofrece un servicio de noticias vía e-mail incluyó el
mensaje vírico en su envío masivo, que incluía agencias de seguridad como la
Agencia Central de Inteligencia o los comandos militares. La Casa Blanca también
tuvo Email, aunque no fueron abiertos. «Hemos comunicado al Gobierno la
situación. Nuestros agentes de ciberseguridad están sobre aviso», dijo una
portavoz. Bill Pollack, del Equipo de Emergencia de Computadores (CERT),
aseguraba: «Tenemos más de 150 contagios en empresas, lo que es muy
significativo». Dicho en dólares: 100 millones en daños, según los expertos.
Vacuna contra el virus
Pocas horas después de que se detectaran los primeros casos de infección, las
grandes compañías del sector empezaron a trabajar con el código del virus para
elaborar una vacuna que pudiera evitar su propagación, así como limpiar los
ordenadores infectados por el código malicioso. En los sitios web de estas empresas
puede encontrarse el programa capaz de eliminar el virus del amor del ordenador,
así como el parche que debe instalarse en los servidores de correo para impedir
que el virus se introduzca en la Red o se propague a otros sitios de Internet.
En Libertad
A pesar de los problemas causados por este virus, su creador nunca fue condenado
por un tribunal, ya que en el momento de probar su “experimento” todavía no
existían leyes específicas para estos ataques en Filipinas.
Si le van con el cuento, a través del correo electrónico, de que los 7 Enanitos de
Blancanieves son pequeñitos en todo menos en «algo», no se deje llevar por la
curiosidad. Envíe el mensaje a la basura. Es un virus. Como él o como I love you se
calcula que hay otros 40.000 programas infecciosos que entran y salen
constantemente en los más de 400 millones de ordenadores conectados a Internet
en todo el mundo.
Las empresas Icsa Labs y Panda Software se dedicaron a calibrarlo con mayor
precisión en un total de 300 empresas estadounidenses. El resultado: el número de
virus se duplicó en 2000. Cada dos días, uno de cada 1.000 ordenadores sufrió
algún ataque, en el 87% de los casos a través del Email. Exactamente como operó
I love you en mayo.
Enseñanza
"El virus del amor mostró como iban a ser los problemas de seguridad", comenta
Paul Fletcher, de MessageLabs.