IDS e IPS

El IDS es un sistema de detección de intrusiones, el cual es un dispositivo de red exclusivo, o una de

varias herramientas en un servidor o firewall. El cual analiza los datos de una base de datos de reglas
o firmas de ataque. Si se detecta una coincidencia, el IDS registrará la detección y creará una alerta
para el administrador de la red. El sistema de detección de intrusiones no adopta medidas cuando
se detecta una coincidencia, por lo que no evita que se produzcan los ataques. Únicamente el
trabajo del IDS es simplemente detectar, registrar y generar informes.

Por otro lado, el análisis que realiza el IDS ralentiza la red (latencia). Es por ello que para evitarlo, se
configura generalmente sin conexión y separado del tráfico de la red común. Asimismo, los datos se
copian o duplican mediante un switch y luego se reenvían a los IDS para la detección sin conexión.
Además, existen herramientas del IDS que se pueden instalar sobre un SO (Linux o Windows) de la
computadora host.

El IPS es un sistema de prevención de intrusiones, el cual posee la capacidad de bloquear o denegar

el tráfico en función de las coincidencias positivas de la regla o la firma. Uno de los IPS/IDS más
reconocidos es Snort y su versión más comercial es Sourcefire, propiedad de Cisco.

Sourcefire tiene la capacidad de realizar el análisis del tráfico y de los puertos en tiempo real.
Además, registra, busca y compara contenido. A su vez, es capaz de combinarse con herramientas
de terceros para informar y analizar el rendimiento de los registros

Herramientas para prevención y detección de incidentes

Estas son algunas de las herramientas utilizadas para detectar y evitar incidentes de seguridad:

 SIEM: Sistema de administración de información y eventos de seguridad. El cual recopila y

analiza alertas de seguridad, los registros y otros datos históricos en tiempo real de los
dispositivos de seguridad en la red. Herramienta que permite recolectar información de
manera centralizada que fueron enviadas por nuestros dispositivos de red. El cual lo analiza,
normaliza, correlaciona y nos alerta para poder tomar medidas frente a esas posibles
amenazas que estén pasando en nuestra red.
 DLP: Data Loss Prevention, software diseñado para evitar el robo o fuga de datos
confidenciales de la red. Así mismo DLP puede concentrarse en la autorización de acceso a
los archivos, el intercambio de datos, la copia de datos, la supervisión de la actividad del
usuario y más. Además, está diseñado para supervisar, proteger los datos en tres diferentes
estados: Datos en uso (centrados en el cliente), en movimiento (datos que viajan a través
de la red) y almacenados (almacenamiento de datos).
 CISCO ISE Y TRUSTSEC: Cisco Identity Services Engine (Cisco ISE) y Cisco TrustSec aplican el
acceso a los recursos de red mediante la creación de políticas de control de acceso basado
en roles que segmente el acceso a la red (usuarios temporales, usuarios móviles,
empleados) sin complejidad agregada.
Libro de estrategias de seguridad
La seguridad se ha convertido en una preocupación importante para las empresas debido a la
reputación e impacto financiero resultantes de las violaciones a la seguridad. Es por ello que las
organizaciones deben tener planes para la prevención, el tratamiento y la recuperación de las
violaciones a la seguridad.

Se deben tener pautas sobre cómo identificar el riesgo de la ciberseguridad en los sistemas, activos,
datos y en las funcionalidades para proteger el sistema mediante la implementación de protección
y capacitación del personal ante un posible evento. El plan de respuesta debe ser flexible con
múltiples opciones de acción durante la violación. Una vez contenida la violación y restaurados los
sistemas y servicios comprometidos, la medidas de seguridad y los procesos deben actualizarse para
incluir las lecciones aprendidas durante la violación. Toda esta información se debe recopilar en un
libro de estrategias de seguridad. El cual es un conjunto de consultas repetidas (informes) de fuentes
de datos de eventos de seguridad que conducen a la detección y la respuesta ante los incidentes. El
libro de estrategias de seguridad debe cumplir las siguientes acciones:

 Detección de equipos infectados con malware

 Detección de actividad de red sospechosa
 Detección de intentos de autenticación irregulares
 Descripción y entendimiento del tráfico entrante y saliente
 Proporción de información resumida que incluya tendencias, estadísticas y recuentos
 Proporción de acceso rápido y utilización de estadísticas y métricas
CSIRT
Equipo de respuestas antes incidentes de seguridad informática que recibe, revisa y responde a
informes de incidentes de seguridad informática. Su principal función es ayudar a proteger a la
empresa, el sistema y a la prevención de datos realizando investigaciones integrales de los
incidentes de seguridad informática. Por ello, CSIRT proporciona una evaluación de amenazas
proactiva, planificación de la mitigación, análisis de tendencias de incidentes y revisión de la
arquitectura de seguridad.

Proceso de ataque (kill chain) en la ciberdefensa

La cadena de eliminación o proceso de ataque (kill chain) representa las etapas de un ataque a los
sistemas de información. Desarrollado por Lockheed Martín como marco de seguridad para la
respuesta y detección de incidentes. La cadena de eliminación consta de los siguientes pasos:

Antes de la infracción

Etapa 1. Reconocimiento: El atacante recopila información sobre el objetivo

Etapa 2. Armametización: El atacante crea un ataque y contenido malicioso para enviar al objetivo

Etapa3. Entrega: El atacante envía el ataque y la carga maliciosa al objetivo por correo electrónico
u otros métodos

Durante la infracción

Etapa 4. Explotación: Se ejecuta el ataque

Etapa 5. Instalación: El malware y las puertas traseras se instalan en el objetivo

Después de la infracción
Etapa 6. Mando y control: Se obtiene el control remoto del objetivo mediante un servidor o canal
de comando y control

Etapa 7. Acción: El atacante realiza acciones maliciosas, como el robo de información o ejecuta
ataques adicionales en otros dispositivos dentro de la red a través de las etapas de la cadena de
eliminación nuevamente.

Buenas prácticas de seguridad

Muchas organizaciones han publicado listas de buenas prácticas de seguridad. La siguiente en una
de ellas:

a) Realizar una evaluación de riesgos: Conocer el valor de lo que se protege, ayuda a justificar
los gastos de seguridad
b) Crear una política de seguridad: Cree una política que delinee claramente las reglas de la
empresa, las tareas y las expectativas
c) Medida de seguridad física: Restringen el acceso a los centros de datos, a las ubicaciones
de servidores
d) Medidas de seguridad de recursos humanos: Los empleados deben ser correctamente
investigados con comprobaciones de antecedentes
e) Efectuar y probar las copias de respaldo: Realice copias de respaldo periódicas y pruebe
los datos recuperados de las copias de respaldo
f) Mantener parches y actualizaciones de seguridad: actualice periódicamente los servidores,
computadoras, programas y sistemas operativos de los dispositivos de red
g) Implementar controles de acceso: Configure los roles de usuario y los niveles de privilegio,
así como una autenticación de usuario sólida
h) Revisar periódicamente la respuesta ante incidentes: utilice un equipo de respuesta ante
incidentes y pruebe los escenarios de respuesta ante emergencias
i) Implementar una herramienta de administración, análisis y supervisión de red: seleccione
una solución de monitoreo de seguridad que se integre con otras tecnologías
j) Implementar dispositivos de seguridad de la red: Utilice routers de nueva generación,
firewalls y otros dispositivos de seguridad
k) Informar a los usuarios: Educar a los usuarios y a los empleados sobre los procedimientos
seguros
l) Cifrar los datos: Cifrar todos los datos confidenciales de la empresa, incluido el correo
electrónico

37.5-Gestión de los sistemas de información

La gestión de los sistemas de información está relacionada con la gestión de las aplicaciones de la
organización para el manejo de la información. Tales aplicaciones pueden ser informatizadas o no
informatizadas. Las actividades de gestión de los sistemas de información comprenden:

 Gestionar la arquitectura actual de los sistemas de información. Esto supone el

mantenimiento de un inventario de la infraestructura actual de los sistemas de información
y el aseguramiento de su operación efectiva. También implica el aseguramiento del
mantenimiento efectivo de dichos sistemas.
  Gestionar el desarrollo de los sistemas de información planificados en la estrategia de los
sistemas de información.
 Controlar los presupuestos destinados a la inversión en los sistemas de información.
 Evaluar los sistemas de información completados.

37.6-Gestión de las tecnologías de la información

La gestión de las tecnologías de información está relacionada con el mantenimiento de la
infraestructura de las tecnologías de información de la organización, el desarrollo de nuevas
aplicaciones y el mantenimiento de las ya existentes. Las actividades de gestión de las tecnologías
de la información consisten en los dos procesos principales de gestión de la arquitectura actual de
tecnologías de la información e implementación de la estrategia de tecnologías de la información
futura.

37.6.1-Gestión de la arquitectura de las tecnologías de información

 Mantener los estándares del sistema tecnológico de información de la organización
 Mantener los estándares de hardware de la organización
 Mantener los estándares de software de la organización
 Mantener los estándares de datos de la organización
 Mantener los estándares de comunicación de la organización
 Monitoreo del coste total de poseer redes de TI

37.7-Madurez de la gestión informática

Nolan en 1990 extendió a 6 estados en un modelo para poder definir la madurez de la gestión
informática en una organización, lo que en un principio señaló que existían 4. Su modelo no
distingue entre gestión de los Sistemas de Información y las Tecnologías de la Información, pero sí
identifica la necesidad de una gestión más sofisticada de la información y de los SI, por encima de la
gestión de las TI:

INNOVACIÓN

 Inicio: Esta fase se caracteriza por la introducción de las TI para ahorrar costes,
perteneciendo las TI a las unidades de negocio. Además se posee una carencia de gestión y
de interés por parte del usuario por las TI
 Contagio: Se caracteriza por el florecimiento de la asimilación de las TI en las nuevas áreas.
Sin embargo este crecimiento no se gestiona. Además el control y la gestión de las TI se
delega a los técnicos.

CONTROL

 Control: Se caracteriza por la preocupación por parte del equipo directivo en el crecimiento
del gasto de las Tecnologías de la Información.
 Integración: Esta fase se caracteriza por una reducción gradual de controles con el fin de
fomentar la innovación. Además se realiza una reorganización de SI/TI para acercarlos al
negocio.
 DIRECCIÓN ESTRATÉGICA

 Gestión de datos: Está dado por los datos compartidos y los sistemas más comunes en la
organización, el desarrollo de negocios y un crecimiento estable en el gasto.
 Madurez: Esta fase se caracteriza por la introducción de una planificación estratégica de
SI/TI, gestión de los recursos de datos y un gasto apropiado en SI/TI

RESUMEN
Se pueden distinguir tres tipos de gestión informática:

1. Gestión de información
2. Gestión de los sistemas de información: Está relacionada con la gestión de las
aplicaciones de la organización para el manejo de la información
3. Gestión de las tecnologías de información: Está relacionada con el mantenimiento de la
infraestructura de las tecnologías de información de la organización, el desarrollo de
nuevas aplicaciones y el mantenimiento de las ya existentes.

Estos tres tipos se corresponden con tres niveles de infraestructura de sistemas de información:

1. Infraestructura de información
2. Infraestructura de los sistemas de información
3. Infraestructura de las tecnologías de la información

EJERCICIOS

 Dé un ejemplo de cada una de las actividades enumeradas para la gestión de la información

de los sistemas de información o la arquitectura de las tecnologías de la información
 El modelo de 6 etapas de crecimiento de Nolan fue desarrollado hace algunos años.
Fundamente hasta qué punto todavía es relevante hoy en día

14-IMPACTO DE LOS SISTEMAS DE INFORMACIÓN

14.1-INTRODUCCIÓN
Después de introducir los sistemas de información en una organización, éstos tienen unos efectos
inmediatos en cuanto al contexto de uso. Dicho contexto está determinado en gran parte por el
sistema de actividad humana en el que se encuentre el sistema de información. Los sistemas de
información pueden estar estrechamente alineados con su sistema de actividad humana, ya sea por
su diseño o por casualidad.

14.2-IMPACTO
El impacto de los sistemas de información puede considerarse en cuanto a los siguientes aspectos:

 Efectos intencionados y no intencionados: La introducción de un SI en una organización, es

una innovación que tiene el potencial de perturbar dicha organización. Los cuales genera
efectos intencionados y otros no intencionados.

14.3-IMPACTO SOBRE LA ORGANIZACIÓN

Los sistemas de información se introducen normalmente con el propósito de contribuir
positivamente al desempeño de la organización. Sin embargo, los SI pueden tener poco efecto e
incluso afectar negativamente.

14.3.1-IMPACTO POSITIVO
La tecnología de la información no puede proporcionar ganancias en eficacia ni en efectividad por
sí misma. La TI puede permitir cambios en los sistemas de información y sistemas de actividad
humana, que a su vez provocan cambios en la efectividad y/o eficacia de las organizaciones.

14.3.2-IMPACTO NEGATIVO
Sin embargo ¿tiene siempre la introducción de un sistema de información un impacto positivo? Las
evidencias sugieren que hay algunas paradojas/contradicciones inherentes envueltas con la
introducción de los SI en las organizaciones. Uno de los más significativos es la paradoja de la
productividad. Esta paradoja fue planteada por Brynjolfson, el cual analiza acerca de las relaciones
entre productividad y la aplicación de tecnologías de la información. Debido a que existen pruebas
que mientras la potencia de los ordenadores se ha incrementado desde los años 70, la productividad
se ha estancado. Es por ello que se plantea 4 explicaciones:

 Errores en la medida de las entradas y salidas: Se tiene que formular y analizar un indicativo
apropiado del impacto de las tecnologías de la información.
 Desfase debido al aprendizaje y ajuste: El desfase a largo plazo puede ser causal del
aprendizaje requerido por parte de los individuos para así explotar plenamente las
tecnologías de la información
 Redistribución y pérdida de beneficios: Se propone que aquellos que invierten en tecnología
se benefician a costa de otros en una industria en particular.
 Mala gestión de las tecnologías de la información: Se propone que las compañías tienen una
mala gestión sistemática y no han empleado de forma eficiente la introducción de las TI. De
ahí se explica la lenta obtención de beneficios a partir de la introducción de los SI/TI

14.4-IMPACTO SOBRE GRUPOS E INDIVIDUOS

A nivel inferior, los SI además de tener impacto sobre las organizaciones, también tienen
impacto sobre grupos e individuos. Claro está, que pueden ser negativos o positivos. A
continuación se mencionan algunas de las consecuencias potenciales que la introducción de los
sistemas de TI puede tener para los grupos e individuos.

 Mayor monitorización del trabajo: Los sistemas de TI pueden incrementar los niveles de
monitorización del trabajo y crear más control del trabajo por parte de los grupos
directivos.
 Enriquecimiento del trabajo: Los sistemas de TI se pueden usar para enriquecer los
trabajos y proporcionar mayor grado de independencia a los trabajadores. Debido a que
pueden eliminar muchas actividades administrativas tediosas.
 Colaboración y coordinación: Los sistemas de TI pueden causar cambios en las formas
de colaboración y cooperación entre grupos. Uno de ellos, es el correo. El cual se emplea
para la coordinar actividades de grupo y entre otras cosas más.
  Alternancia de poder e influencia: Los SI pueden causar cambios en las formas de poder
e influencia dentro de los grupos. Un ejemplo claro se notó en la relación a la posición
de los trabajadores de oficina tales como secretarias, reemplazando por la
mecanografía
 Visibilidad del trabajo: Los sistemas de TI hacen el trabajo más visible. Debido a que
permite a los trabajadores ver claramente lo que está sucediendo en su organización,
identificando problemas con los procesos de trabajo y sugiriendo formas alternativas
de hacer las cosas.

Las decisiones que se toman, en particular sobre la forma del sistema de actividad humana que se
usa en asociación con algún sistema de información puede afectar a las siguientes dimensiones del
trabajo de forma positiva o negativa:

 Mejora / empeoramiento de las habilidades: Los sistemas de información pueden

incrementar los niveles de habilidades requeridas en un grupo de trabajos específicos o
reducirlas
 Variedad de tareas: Los sistemas de información pueden incrementar la variedad de tareas
requeridas a los trabajadores o reducirlas
 Alcance de las tareas: Los SI se pueden emplear para incrementar la magnitud de las tareas
relativas al objetivo general de la organización. De forma alternativa, la magnitud de las
mismas se puede reducir
 Autonomía: Los SI se pueden diseñar para incrementar la autonomía de los trabajadores. El
cual les da la responsabilidad de planificar y controlar su propio trabajo. Así mismo se puede
controlar al detalle el trabajo diario del personal
 Interacción social: Los SI se pueden diseñar para fomentar la interacción social entre los
trabajadores o para la reducción de las mismas

14.5-EVALUACIÓN ACUMULATIVA
Es importante para las organizaciones estudiar atentamente el impacto de sus sistemas de
información para aprender de esta experiencia y sobre esta base planificar mejor el desarrollo e
introducción de futuros sistemas de TI. A este proceso se le denomina evaluación acumulativa, el
cual vuelve a visitar los aspectos de costes y beneficios asociados con los sistemas de información.
Sin embargo también se debería considerar la importante interacción entre los sistemas de
información y los sistemas de actividad humana que soportan.

RESUMEN
 El impacto sobre el modelo de interacción puede distinguirse por impacto sobre el
individuo, sobre los grupos y sobre las organizaciones en su totalidad
 El impacto de la introducción de los SI pueden ser positivos o negativos
 Los juicios acerca de la naturaleza positiva o negativa del impacto de las TI dependerá
necesariamente de quién esté juzgando la situación
 Las valoraciones más comunes de las TI se refieren al cálculo de los efectos que tienen sobre
la eficacia y eficiencia en una organización
 Las TI no proporcionan aumentos de eficiencia o eficacia por sí mismas. Las TI pueden
contribuir a cambios en los sistemas de actividad humana, afectando la eficacia y efectividad
de las organizaciones
 Es importante para las organizaciones evaluar acumulativamente sus sistemas de TI y el
efecto de esos sistemas tecnológicos sobre los sistemas de actividad humana
  Ataques de Replay: En este caso se repite o se retarda de forma de forma maliciosa o
fraudulenta una trasmisión de datos válida.
 Ataque de día cero: Ataque en donde explotan las vulnerabilidades o agujeros de
seguridad de algún programa antes de que se conozcan las mismas. También puede
producirse después de conocerse dicha carencia pero antes de la publicación del parche
que la corrige.
 Ataque de denegación de servicio: Es un ataque a un sistema de ordenadores o red,
causando que un servicio o recurso sea inaccesible a los usuarios legítimos. Provocando
que se pierda la conectividad de la red, consumiendo el ancho de banda de la red de la
víctima o sobrecargando los recursos del sistema de la víctima
 Man in the middle: El atacante interviene una comunicación entre dos partes y falsifica
los intercambios para hacerse pasar por una de las partes

Del mismo modo que un ordenador puede acceder a otros equipos on-line, los otros equipos
también pueden acceder al primero. Lo que significa que a no ser que se tomen las precauciones
necesarias, los piratas informáticos pueden leer los datos privados, dañar el hardware y el software
del sistema e incluso utilizar dicho software por control remoto para dañar a terceros. Es por ello
que se debemos protegernos mediante un firewall (cortafuegos). El firewall, es un software que
forma una barrera virtual entre un equipo e internet. Además filtra de manera selectiva los datos
que se pasan entre ambos extremos de la conexión, protegiéndolo de un ataque externo.

LOS TROYANOS
Un troyano de por sí no es un virus informático, la diferencia fundamental con un virus está en su
finalidad. Para que un programa sea un troyano, debe acceder y controlar la máquina infectada sin
ser advertido. Por el contrario, un virus, es un huésped necesariamente destructivo. El troyano no
siempre provoca daños. Los troyanos pueden diferentes tareas, pero en la mayoría de los casos
crean una puerta trasera (backdoor). Permitiendo que otros programas maliciosos aprovechen y
ataquen al ordenador desde adentro.

La mejor manera de combatir un troyano es no ejecutando archivos desconocidos. Los cuales en su

mayoría son enviados a través del correo electrónico y los archivos que llegan por las aplicaciones
de mensajería instantánea

CONSECUENCIA DE LOS VIRUS

Los daños que pueden causar los virus son muy variados y pueden dañar tanto al software como al
hardware

 Daños que pueden causar al software

 Modificar o eliminar programas y archivos
 Hacer que el sistema funcione más lentamente
 Robar información confidencial
 Saturar la red
 Acabar con el espacio libre del disco duro
 Daños que pueden causar al hardware
 Dañar el disco duro
  Borrar o dañar totalmente la BIOS
 Dañar el microprocesador

TRANSMISIÓN DE VIRUS
Siempre que se compartan datos con otros equipos o usuarios, se corre el riesgo de exponer el
equipo a algún virus. Existen muchas formas de compartir datos y por tanto, muchas formas de
transmitir un virus:

 Compartir un CD de datos, una memoria USB o un disco duro externo que contenga un archivo
infectado
 Compartir un archivo a través de una red que contenga un archivo que esté infectado
 Descargar programas P2P (kazaa, Ares, etc)

LOS VIRUS INFORMÁTICOS

El funcionamiento de los virus coincide en líneas generales con el de los demás programas
ejecutables: toma el control del ordenador y desde allí procede a la ejecución de aquello para lo que
ha sido programado, que generalmente consiste en replicarse la mayor cantidad de veces posibles.
Ya sea sobre el mismo programa ya infectado, o sobre otros aún no contaminados.

En la actuación de un virus se pueden distinguir tres fases:

I. Contagio
El contagio inicial y los contagios posteriores se realizan cuando el programa contaminado
está en la memoria, lista para su ejecución. Las vías por las que puede producirse la infección
de su sistema son las redes informáticas y cualquier medio de transmisión de información
II. Virus activo
El virus toma el control del sistema y realiza actividades no deseadas que puedan dañar los
datos y los programas. Primeramente el virus consume la memoria del ordenador para
impedir que otro programa la use. A dicha acción se le denomina “quedarse residente”.
Dándose así las condiciones necesarias para replicarse o atacar. El contagio de otros
programas suele ser la actividad que más veces realiza el virus, ya que cuanto más deprisa
y más discretamente se copie, más posibilidades tendrá de dañar a un mayor número de
ordenadores
III. Ataque
Los virus comprueban si determinada condición cumple para iniciar el ataque. Es importante
tener en cuenta que los virus de diseñan con la intención de no ser descubiertos por el
usuario y generalmente no se descubre hasta producirse el daño

SIGNOS DE INFECCIÓN
En general, casi siempre un equipo empieza a actuar de manera anormal. Además es posible que
se muestren mensajes o gráficos extraños en la pantalla o que programas que actúen de manera
descontrolada. Por otro lado, también puede que falten determinados archivos, que el sistema
actúe lento o hasta incluso que no se pueda reiniciar.
En resumen, a continuación le presentamos algunos síntomas de los problemas causados por los
virus:

 ¿El equipo funciona lentamente? Uno de los síntomas más frecuentes es un funcionamiento
mucho más lento de lo normal. Aunque pueden existir otras razones para ello, como el ser
necesario la desfragmentación del disco duro, la necesidad de más memoria RAM, o que tenga
spyware o adware.
 ¿Aparecen mensajes inesperados o algunos programas se inician automáticamente? Algunos
virus pueden causar daños en el sistema operativo o en alguno de sus programas. Como
resultado puede que aparezcan mensajes repentinamente o que algunos programas se reinicien
inesperadamente
 ¿El módem o el disco duro funcionan más de lo necesario? Un indicado de ello es la luz de la
actividad del módem externo, el sonido del disco duro del equipo en constante funcionamiento.
Aunque estos síntomas no siempre indican la presencia de virus, combinados con otros
problemas sí se debe sospechar de su presencia.