PROGRAMA AVANZADO DE ESTUDIO: SEGURIDAD EN SISTEMAS DE INFORMACIÓN Versión Junio 2010 (corregido y actualizado) “El Arte de la Guerra nos enseña que no debemos depender de la posibilidad de que el enemigo no venga, sino que debemos estar siempre listos a recibirlo. No debemos depender de la posibilidad de que el enemigo no nos ataque, sino del hecho de que logramos que nuestra posición sea inatacable.” El Arte de la Guerra, Sun Tzu Este libro es el resultado de la recopilación exhaustiva de información de diversas fuentes, todas ellas incluidas en la bibliografía. Yo simplemente me he encargado de agrupar, ordenar, alimentar con mi propia experiencia y presentar en diferentes capítulos el presente libro, que pongo a disposición general. Cada capítulo tiene una sección de preguntas al final del mismo. Este material, cubre todos los tópicos de la certificación CompTIA Security+, y gran parte de los tópicos de CompTIA Network+. Algunos temas y preguntas oficiales de certificaciones como CEH, CISSP, NSA, CISA, han sido incluidos también en la sección de preguntas de cada capítulo. Para más detalle remítase al índice y a la bibliografía. “Nando” A. B. C. Analista de Sistemas y Seguridad Informática Venezuela. 2010
Transcript
1. PROGRAMA AVANZADO DE ESTUDIO: SEGURIDAD EN SISTEMAS DE
INFORMACIN Versin Junio 2010 (corregido y actualizado) El Arte de
la Guerra nos ensea que no debemos depender de la posibilidad de
que el enemigo no venga, sino que debemos estar siempre listos a
recibirlo. No debemos depender de la posibilidad de que el enemigo
no nos ataque, sino del hecho de que logramos que nuestra posicin
sea inatacable. El Arte de la Guerra, Sun TzuEste libro es el
resultado de la recopilacin exhaustiva de informacin de diversas
fuentes, todas ellasincluidas en la bibliografa. Yo simplemente me
he encargado de agrupar, ordenar, alimentar con mipropia
experiencia y presentar en diferentes captulos el presente libro,
que pongo a disposicingeneral. Cada captulo tiene una seccin de
preguntas al final del mismo.Este material, cubre todos los tpicos
de la certificacin CompTIA Security+, y gran parte de lostpicos de
CompTIA Network+. Algunos temas y preguntas oficiales de
certificaciones como CEH,CISSP, NSA, CISA, han sido incluidos
tambin en la seccin de preguntas de cada captulo. Para msdetalle
remtase al ndice y a la bibliografa. Nando A. B. C. Analista de
Sistemas y Seguridad Informtica Venezuela. 2010
2. CAPTULO 11.1 SEGURIDAD DE LA INFORMACIN1.1.2 Qu es la
seguridad de la informacin?El termino Seguridad de Informacin,
Seguridad informtica y garanta de la informacin son usadoscon
frecuencia y aunque su significado no es el mismo, persiguen una
misma finalidad al proteger laConfidencialidad, Integridad y
Disponibilidad de la informacin; Sin embargo entre ellos
existenalgunas diferencias sutiles. Estas diferencias radican
principalmente en el enfoque , las metodologasutilizadas, y las
zonas de concentracin.La Seguridad de la Informacin se refiere a la
Confidencialidad, Integridad y Disponibilidad de lainformacin y
datos, independientemente de la forma los datos pueden tener:
electrnicos, impresos,audio u otras formas.Adems, la seguridad de
la informacin involucra la implementacin de estrategias que cubran
losprocesos en donde la informacin es el activo primordial. Estas
estrategias deben tener como puntoprimordial el establecimiento de
polticas, controles de seguridad, tecnologas y procedimientos
paradetectar amenazas que puedan explotar vulnerabilidades y que
pongan en riesgo dicho activo, esdecir, que ayuden a proteger y
salvaguardar tanto informacin como los sistemas que la almacenan
yadministran.Cabe mencionar que la seguridad es un proceso continuo
de mejora por lo que las polticas ycontroles establecidos para la
proteccin de la informacin debern revisarse y adecuarse, de
sernecesario, ante los nuevos riesgos que surjan, a fin de tomar
las acciones que permitan reducirlos yen el mejor de los casos
eliminarlos.Los Gobiernos, entidades militares, instituciones
financieras, los hospitales y las empresas privadasacumulan una
gran cantidad de informacin confidencial sobre sus empleados,
clientes, productos,investigacin y su situacin financiera. La mayor
parte de esta informacin es recolectada, tratada,almacenada y
puesta a la disposicin de sus usuarios, en computadoras y
trasmitida a travs de lasredes entre los ordenadores.En caso de que
la informacin confidencial de una empresa, sus clientes, sus
decisiones, su estadofinanciero o nueva lnea de productos caigan en
manos de un competidor; se vuelva pblica de formano autorizada,
podra ser causa de la prdida de credibilidad de los clientes,
prdida de negocios,demandas legales o incluso la quiebra de la
misma.Por lo que proteger la informacin confidencial es un
requisito del negocio, y en muchos casostambin un imperativo tico y
una obligacin legal.Para el individuo comn, la Seguridad de la
Informacin tiene un efecto significativo respecto a suprivacidad,
la que puede cobrar distintas dimensiones dependiendo de la cultura
del mismo.El campo de la Seguridad de la Informacin ha crecido y
evolucionado considerablemente en losltimos aos. Convirtindose en
una carrera acreditada a nivel mundial. La misma ofrece muchasreas
de especializacin, incluidos la auditora de sistemas de informacin,
Planificacin de lacontinuidad del negocio, Ciencia Forense Digital
y Administracin de Sistemas de Gestin deSeguridad por nombrar
algunos.Por ms de veinte aos la Seguridad de la Informacin ha
declarado que la confidencialidad,integridad y disponibilidad
(conocida como la Trada CIA, del ingls: "Confidentiality,
Integrity,Availability") son los principios bsicos de la seguridad
de la informacin.La correcta Gestin de la Seguridad de la
Informacin busca establecer y mantener programas,
3. controles y polticas, que tengan como finalidad conservar la
confidencialidad, integridad ydisponibilidad de la informacin, si
alguna de estas caractersticas falla no estamos ante nada seguro.Es
preciso anotar, adems, que la seguridad no es ningn hito, es ms
bien un proceso continuo quehay que gestionar conociendo siempre
las vulnerabilidades y las amenazas que se cien sobrecualquier
informacin, teniendo siempre en cuenta las causas de riesgo y la
probabilidad de queocurran, as como el impacto que puede tener. Una
vez conocidos todos estos puntos, y nunca antes,debern tomarse las
medidas de seguridad oportunas.La confidencialidad es la propiedad
de prevenir la divulgacin de informacin a personas o sistemasno
autorizados.Para la Seguridad de la Informacin, la integridad es la
propiedad que busca mantener los datoslibres de modificaciones no
autorizadas.La Disponibilidad es la caracterstica, cualidad o
condicin de la informacin de encontrarse adisposicin de quienes
deben acceder a ella, ya sean personas, procesos o aplicaciones.La
informacin es uno de los recursos principales de las
organizaciones. Piense qu pasara si robanla frmula de alguna de las
gaseosas internacionales? cunto representa esta informacin para
laempresa? Es decir, cuidar la informacin es cuidar la propia
existencia de la compaa. En el presentedesarrollo, cada vez que se
mencione Informacin se estar haciendo referencia ala Informacin que
es procesada por un Sistema Informtico; definiendo este ltimo como
el conjuntoformado por las personas, computadoras (hardware y
software), papeles, medios de almacenamientodigital, el entorno
donde actan y sus interacciones.La seguridad es un concepto
abstracto difcil de definir, podramos pensarla como una sensacin
deproteccin, que depende de varios factores (el contexto, nuestras
fortalezas, nuestras debilidades, lasamenazas). Si unimos las dos
definiciones, podramos intentar una definicin de seguridad de
lainformacin, diciendo que es la sensacin que perciben las personas
sobre el nivel de proteccin de lainformacin.La seguridad de la
informacin se encarga de protegerla de una amplia gama de amenazas,
a fin degarantizar la continuidad comercial del negocio, minimizar
los daos y maximizar el retorno sobre lasinversiones y las
oportunidades, normalmente se logra implementando un conjunto
adecuado decontroles que abarcan polticas y procedimientos,
involucrando recursos humanos, hardware ysoftware. Es decir, el
trmino seguridad de la informacin cubre un amplio espectro de
actividades, yparte de nuestro trabajo como profesionales de la
seguridad, ser hacer recomendaciones y tomaracciones para minimizar
los riesgos y exposicin de la informacin y dems activos.
Estasactividades, muchas veces no son sencillas, pero deberemos
realizarlas correctamente para tener unachance de mantener la
seguridad de la informacin de la empresa dentro de niveles
razonables.La informacin es la sangre de todas las organizaciones y
puede existir en muchas formas. Puedeser impresa o escrita en
papel, almacenada electrnicamente, transmitida por correo
electrnico,mostrada en pelculas o hablada en una conversacin. En el
ambiente de negocio competitivo de hoy,tal informacin est
constantemente bajo amenaza de muchas fuentes. stas pueden ser
internas,externas, accidentales o maliciosas. Con el uso creciente
de la nueva tecnologa, al almacenar,transmitir y recuperar la
informacin, hemos abierto un gran nmero y tipo creciente de
amenazas .Hay una necesidad de establecer una poltica comprensiva
de seguridad de la informacin dentro detodas las organizaciones.
Usted necesita asegurar la confidencialidad, integridad y
disponibilidad de lainformacin corporativa vital y de la informacin
del cliente. El estndar para Information SecurityManagement System
(ISMS) BS 7799, ya ha sido rpidamente establecido por los
vendedores desoftware ms grandes del mundo.
4. 1.1.3 ConceptosSeguridad InformticaLa Seguridad Informtica
suele ser la forma ms habitual con la que nos referimos a todo
aquello quetiene que ver con la seguridad de los ordenadores y los
sistemas. Es un concepto muy conocido peroque est obsoleto. Hace
hincapi en la seguridad de los sistemas, teniendo en cuenta las
amenazasde carcter fundamentalmente tecnolgico.La Seguridad
Informtica es un concepto de Seguridad que naci en la poca en la
que no existan lasredes de banda ancha, los telfonos mviles o los
servicios de internet como las redes sociales o lastiendas
virtuales. Es por ello que la Seguridad Informtica suele hacer un
especial nfasis en protegerlos sistemas, es decir, los ordenadores,
las redes y el resto de infraestructuras de nuestraorganizacin. La
Seguridad Informtica es un concepto fundamentalmente tcnico.El
problema del enfoque de la Seguridad Informtica es que suele perder
de vista otros aspectosimportantes para una organizacin y, en la
mayora de las ocasiones, cuando nos hablan deSeguridad Informtica
nos parece algo completamente alejado de nuestra actividad
diaria.Seguridad TIC (Seguridad de las Tecnologas de la Informacin
y las Comunicaciones )Se trata de un enfoque ms moderno, que
incorpora el concepto de redes o infraestructura decomunicaciones.
Hoy en da no concebimos el ordenador como un elemento aislado sino
como unelemento conectado, y por otro lado, el ordenador ya no es
el nico elemento o dispositivo a proteger,sino que tambin hay que
proteger las infraestructuras de comunicaciones, as como
diversosdispositivos, como son los telfonos mviles, PDAs, etc. La
Seguridad TIC es un trmino mucho msamplio que la Seguridad
Informtica, pero sigue siendo de carcter fundamentalmente
tecnolgico.Seguridad de la InformacinEstamos ante el trmino ms
amplio y conceptual de los tres. Se basa en que lo fundamental
esproteger la informacin y en base a esta premisa se desarrollan
todas los dems aspectos relativos ala seguridad y a las medidas que
necesitamos aplicar, as como el lugar donde hay que aplicarla. Esun
concepto que tiene en cuenta, no solamente la seguridad tecnolgica,
sino tambin otras facetasde la seguridad, como son, la seguridad
desde el punto de vista jurdico, desde el punto de vistanormativo y
desde el punto de vista organizativo.De los tres conceptos el que
ms nos interesa es el de la Seguridad de la Informacin, puesto que
esaquel que nos permitir sacar el mximo provecho a la aplicacin de
la seguridad en nuestraorganizacin. Adems, es el ms actual y el ms
amplio. Como veremos ms adelante, abarca todoslos aspectos
relativos a la proteccin de la informacin. Por tanto, a partir de
ahora y para todo lo queresta del libro, hablaremos de seguridad
desde el punto de vista de la Seguridad de la Informacin oSI. La
Seguridad de la Informacin no tiene que ver nicamente con
cuestiones tecnolgicas, sinotambin legales u organizativas, es
decir, puede ser aplicada desde tres puntos de vista: legal,
tcnicoy organizativoLa Tele-informticaPor definicin, teleinformtica
o telemtica es la asociacin de tcnicas propias de las
5. telecomunicaciones y la informtica, con la que se realiza a
distancia el intercambio de datos y elcontrol de tratamientos
automticos, ms concretamente podemos decir que la telemtica
proporcionaa personas no especializadas la posibilidad de acceder a
sistemas de comunicacin e informacionesantes reservadas a
especialistas. Juntas, estas tcnicas constituyen un papel
importante en lasociedad actual; la era de la informacin y las
comunicaciones.De esta manera se unen las funcionalidades de los
sistemas informticos, en cuanto a capacidad deprocesar y almacenar
grandes cantidades de datos y de las telecomunicaciones capaces
deintercambiar informacin entre sistemas distantes.La evolucin de
la electrnica y en especial de los semiconductores desde que en
1947 apareciera eltransistor en los laboratorios Bell, ha
posibilitado la realizacin de sistemas informticos y redes cadavez
ms sofisticados, esto ha hecho que lo que en un principio poda
parecer innecesario, unirordenadores con redes telefnicas, cada vez
haya ido adquiriendo mayor importancia, puesto que lasredes se han
hecho cada vez ms complejas y veloces y los ordenadores (desde que
apareciera elEniac) ms potentes, con mayor capacidad y mucho ms
pequeos.La columna vertebral de la telemtica est constituida por
las redes de transmisin de datos, en unprimer momento se utiliz la
Red Telefnica Conmutada (RTC), compartindose las comunicacionesde
voz con las de datos, para posteriormente ir evolucionando hacia
redes dedicadas para datos.Estas redes para datos se disearon
partiendo de la base de que slo iban a manejar este tipo detrfico
(bits), as nacieron las que se conocen como redes de conmutacin de
paquetes.Los servicios de telecomunicaciones son aquellas acciones
tendentes a satisfacer una necesidad decomunicaciones mediante el
intercambio, almacenamiento y tratamiento de informacin
(audible,visible, texto...) requerida por un usuario.Por servicio,
en el mbito de las telecomunicaciones, se entiende a la capacidad
de transporte deinformacin, que en algunos casos puede suponer el
tratamiento y/o almacenamiento de la misma,ofrecida por un
proveedor de servicios de telecomunicacin a los usuarios a travs de
las redes detelecomunicacin.Seguridad de la Informacin tiene como
fin la proteccin de la informacin y de los sistemas de lainformacin
del acceso, uso, divulgacin, interrupcin o destruccin no
autorizada.El termino Seguridad de Informacin, Seguridad informtica
y garanta de la informacin son usadoscon frecuencia y aun que su
significado no es el mismo, persiguen una misma finalidad al
proteger laConfidencialidad, Integridad y Disponibilidad de la
informacin; Sin embargo entre ellos existenalgunas diferencias
sutiles. Estas diferencias radican principalmente en el enfoque ,
las metodologasutilizadas, y las zonas de concentracin.La Seguridad
de la Informacin se refiere a la Confidencialidad, Integridad y
Disponibilidad de lainformacin y datos, independientemente de la
forma los datos pueden tener: electrnicos, impresos,audio u otras
formas.A menos que la red que trata de proteger se encuentre en un
cuarto cerrado con acceso controlado yno tenga conexiones desde el
exterior, sus computadoras estarn en riesgo. Las entradas
noautorizadas y violaciones de seguridad ocurren casi a diario en
todo el mundo. Estos infractores noson slo vndalos en Internet,
sino que puede ser el empleado que sustrae tiempo o servicios de
lacomputadora para su uso personal o mal intencionado.En este
captulo se estudia la seguridad de la informacin, los objetivos que
persigue y porqu hoy enda es una necesidad; por ltimo se presentan
las tendencias actuales que afectan la seguridad demanera que
podamos tomar conciencia de la realidad a la que nos
enfrentamos.Desde los primeros das de la computacin, siempre ha
existido la necesidad de establecer algn tipode control o proteccin
sobre el equipamiento y eventualmente la informacin por ellos
generada. Noobstante dichos controles y niveles de proteccin, han
evolucionado necesariamente, acompaandoel avance en el campo de la
informtica y las comunicaciones.
6. As como inicialmente, los nicos mecanismos de proteccin
pasaban por ejemplo, por protegerfsicamente el acceso al cuarto
donde se albergaban los grandes computadores, con guardias
deseguridad; conforme la computacin fue evolucionando hacia equipos
ms pequeos y al alcance demayor cantidad de usuarios, este modelo
dejo de ser eficiente, debiendo complementar este tipo decontroles
fsicos, con aquellos ms relacionados con aspectos de seguridad
lgica.Del mismo modo, la proliferacin de las redes de datos,
requiri de nuevos cambios en los modelos deseguridad a aplicar por
parte de las diferentes organizaciones, que preocupadas por la
seguridad de lainformacin relacionada con su actividad, requeran
establecer ya no solo controles sobre los equipos,sino tambin sobre
el transporte de datos. En tal sentido, sin dudas el mayor impacto
respecto de laseguridad relacionada con computadoras hasta nuestros
das, lo haya provocado el advenimiento deInternet y con el, la
interconexin de redes mencionadas a menudo como no seguras, muchas
vecesms all de nuestro propio control.La nueva tendencia respecto
de la implementacin de gran cantidad de dispositivos mviles y
redesinalmbricas como parte de la nueva infraestructura tecnolgica,
tambin ha requerido que losprofesionales en seguridad, ajusten
nuevamente sus procedimientos y desarrollen un conjunto detcnicas y
controles capaces de velar por la seguridad de la informacin con
ellos relacionada.En resumen, la implementacin de nuevas tecnologas
indefectiblemente trae aparejado, eladvenimiento de nuevas
oportunidades de negocio, as como tambin riesgos, amenazas y
nuevosvectores de ataque, siendo requerido como parte de un proceso
continuo, la revisin constante de losmodelos de seguridad y la
adecuacin de controles, de modo tal de mantener su vigencia.1.1.4
Objetivos de la seguridad de la informacinMencionamos antes que la
seguridad de la informacin se encarga de protegerla,
msespecficamente, podemos definir que lo lograr preservando la
confidencialidad, integridad ydisponibilidad de la informacin, como
aspectos fundamentales y el control y autenticidad comoaspectos
secundarios . A continuacin se describen estas caractersticas: La
Integridad de la Informacin es la caracterstica que hace que su
contenido permanezca inalterado a menos que sea modificado por
personal autorizado, y esta modificacin sea registrada para
posteriores controles o auditorias. Una falla de integridad puede
estar dada por anomalas en el hardware, software, virus informticos
y/o modificacin por personas que se infiltran en el sistema. La
Disponibilidad u Operatividad de la Informacin es su capacidad de
estar siempre disponible para ser procesada por las personas
autorizadas. Esto requiere que la misma se mantenga correctamente
almacenada, con el hardware y el software funcionando perfectamente
y que se respeten los formatos para su recuperacin en forma
satisfactoria. La Privacidad o Confidencialidad de la Informacin es
la necesidad de que la misma slo sea conocida por personas
autorizadas. En casos de falta de confidencialidad, la informacin
puede provocar severos daos a su dueo (por ejemplo conocer
antecedentes mdicos de una persona) o volverse obsoleta (por
ejemplo: los planes de desarrollo de un producto que se filtran a
una empresa competidora, facilitarn a esta ltima desarrollar un
producto de caractersticas semejantes). El Control sobre la
informacin permite asegurar que slo los usuarios autorizados pueden
decidir cundo y cmo permitir el acceso a la misma. La Autenticidad
permite definir que la informacin requerida es vlida y utilizable
en tiempo, forma y distribucin. Esta propiedad tambin permite
asegurar el origen de la informacin, validando el emisor de la
misma, para evitar suplantacin de identidades.
7. Adicional mente pueden considerarse algunos otros aspectos,
relacionados con los anteriores, peroque incorporan algunas
consideraciones particulares: Proteccin a la Rplica: mediante la
cual se asegura que una transaccin slo puede realizarse una vez, a
menos que se especifique lo contrario. No se deber poder grabar una
transaccin para luego reproducirla, con el propsito de copiar la
transaccin para que parezca que se recibieron mltiples peticiones
del mismo remitente original. No Repudio: mediante la cual se evita
que cualquier entidad que envi o recibi informacin alegue, ante
terceros, que no la envi o recibi.1.1.5 Principios fundamentales de
seguridadToda estrategia orientada a tratar aspectos de seguridad
de la informacin, a menudo comprendediversos objetivos. Estos a su
vez pueden ser grandes o pequeos, no obstante existen tres
principiosfundamentales, los cuales indefectiblemente suelen
encontrarse direccionados en todo programaintegral de seguridad de
la informacin. Estos son conocidos individualmente como
Confidencialidad,Integridad y Disponibilidad; y a menudo referidos
en su conjunto como CIA Triad o The Big Three.Si bien es cierto que
el nivel de seguridad requerido para con cada uno de estos
principios puedevariar de organizacin en organizacin, debido
principalmente a que cada una de ellas probablementeposea una
combinacin nica de requerimientos, objetivos de negocio y
requisitos de seguridad; porlo general cada uno de los controles,
mecanismos y salvaguardas implementados en unaorganizacin, tienen
por finalidad asegurar uno o mas de estos principios
fundamentales.Del mismo modo, cada uno de los riesgos, amenazas y
vulnerabilidades identificados, suelen sermedidos o evaluados,
respecto de su potencial capacidad de comprometer uno o varios de
losprincipios de la Trada.Confidencialidad: El principio de
Confidencialidad, asegura que el nivel necesario de secreto
seencuentra asegurado en cada instancia del procesamiento de datos,
de manera tal de prevenir sudivulgacin a personas no autorizadas a
conocer los mismos. Dicho de otro modo, la Confidencialidadde la
Informacin, a menudo es referida como la necesidad de que la misma
slo sea conocida porpersonas autorizadas.Un aspecto de suma
importancia a tener en cuenta cuando nos referimos particularmente
a esteprincipio, es que el nivel de Confidencialidad debe
prevalecer no solo mientras que los datos residenen los sistemas y
dispositivos dentro de la red, sino tambin durante su transmisin y
almacenamientoen destino.Varias son las amenazas que atentan contra
la Confidencialidad: Usuarios pueden intencional oaccidentalmente
divulgar informacin sensible al no encriptar la misma antes de que
esta le seaenviada a otra persona, pueden ser victima de algn tipo
de ataque de ingeniera social en busca desecretos comerciales,
informacin en trnsito puede ser interceptada por terceros que se
encuentrenen condiciones de realizar escuchas, etc.La
Confidencialidad, a menudo puede ser provista o reforzada, mediante
la implementacin de unestricto control de acceso, por medio de la
encriptacin de datos (ya sea al momento de almacenar otransmitir
los mismos), la puesta en marcha de procesos de Clasificacin de la
Informacin,concientizacin y entrenamiento del personal. Cada uno de
ellos suelen ser recursos de sumaimportancia a la hora de combatir
efectivamente aspectos tales como la divulgacin no
autorizada.Integridad: La Integridad de la Informacin es la
caracterstica que hace posible garantizar suexactitud y
confiabilidad, velando por que su contenido permanezca inalterado a
menos que seamodificado por personal autorizado, de modo autorizado
y mediante procesos autorizados. A su vez,
8. es de suma importancia que esta modificacin sea registrada
para posteriores controles o auditorias.Una falla de integridad
puede estar dada entre otros, por anomalas en el hardware,
software, virusinformticos y/o modificaciones inesperadas.
Precisamente, a fin de mantener su integridad, elconjunto de
hardware, software y mecanismos intervinientes en el tratamiento de
la informacin,deben ser capaces de trabajar de manera coordinada, a
efectos de procesar, mantener y mover losdatos a su destino
previsto, sin que los mismos sufran cualquier tipo de alteracin
inesperada. Tantolos sistemas como la red, se deben proteger contra
cualquier tipo de interferencia exterior que puedapermitir algn
tipo de contaminacin.Ambientes en donde existen medidas que
refuerzan el principio de Integridad en el tratamiento de
lainformacin, permiten asegurar que atacantes o cualquier tipo de
error cometido por los usuarios, nosern capaces de comprometer la
integridad del sistema o los datos.Cuando un atacante distribuye un
virus, una bomba lgica o un backdoor dentro del sistema,
laintegridad de este es comprometida. Este hecho puede afectar
negativamente el principio deintegridad de la informacin, debido a
que la misma puede terminar por corromperse, ser
contaminadamediante la introduccin de datos errneos/falsos o
modificada con fines malvolos.El control de acceso, los sistemas de
deteccin de intrusos, la aplicacin de chequeo de integridad,los
procedimientos de control de cambios, la separacin de funciones y
la implementacin delprincipio de Menor Privilegio, son solo algunos
de los medios utilizados para prevenir problemas
deintegridad.Disponibilidad: La Disponibilidad u Operatividad de la
Informacin es su capacidad de encontrarsesiempre disponible, para
ser utilizada por las personas autorizadas. A fin de cumplir con
este principio,los sistemas y redes deben proveer la capacidad
adecuada de procesamiento, actuar de modoprevisible y brindar un
adecuado nivel de performance. A su vez, ellos deberan ser capaces
derecuperarse de interrupciones de manera rpida y segura, a fin de
que la productividad no se veaafectada negativamente.Entre las
amenazas que afectan el principio de Disponibilidad, se encuentran
las fallas relacionadascon el software y hardware, aspectos
relacionados con el entorno (calor, fro, humedad,
electricidadesttica, etc.), desastres naturales, denegaciones de
servicios (DoS, DDoS), etc. A fin de prevenirinconvenientes que
puedan afectar la Disponibilidad, deben ser implementados
mecanismos deproteccin adecuados, con el fin de reforzar la
estrategia de continuidad del negocio definida por laorganizacin,
previniendo de este modo amenazas internas o externas. En tal
sentido deberanimplementarse medidas de resguardo y recuperacin,
mecanismos redundantes, planes decontingencia, sistemas de
prevencin y/o deteccin de intrusos, procedimientos de hardening,
etc. Asu vez puntos nicos de fallas deberan ser evitados.1.1.6 La
Necesidad de asegurar la informacinAlgunos indicadores atrs,
mencionamos el hecho que a menudo solemos referirnos a los
principiosfundamentales de seguridad: Confidencialidad, Integridad
y Disponibilidad, como The CIA Triad oThe Big Three. Del mismo modo
nos encargamos de describir cada uno de estos principios, de
modotal de comprender su importancia. Hemos visto como ms all del
tipo de amenaza u ataqueperpetrado contra un recurso cualquiera de
informacin, este afecta indefectiblemente alguno de
estosprincipios, todos o cualquier tipo de combinacin entre ellos.
Es por eso, que as como es posibleidentificar tres principios
fundamentales de seguridad, tambin lo es identificar sus opuestos
referidoscomo: Revelacin (Disclosure), Modificacin (Alteration) y
Destruccin/Interrupcin(Destruction/Disruption).Una vez ms, es
importante recordar, que generalmente cuando se evala el dao
producido por laconcrecin de una amenaza sobre un activo, dicha
evaluacin con frecuencia es realizada teniendo encuenta el impacto
causado sobre su confidencialidad, integridad y disponibilidad, a
manos de algn
9. tipo de ataque que revela, altera, destruye o interrumpe.La
informacin y los sistemas de procesamiento, por un lado, y los
sistemas de comunicaciones y lasredes que le brindan apoyo son
importantes recursos de toda empresa moderna. Hoy en da
sonesenciales para el normal desenvolvimiento de las tareas, es
decir, si una empresa no tieneinformacin se paraliza, piense que
sucede si se corta el acceso a Internet en una empresa moderna,los
usuarios, especialmente los gerentes, comienzan a impacientarse,
porque no pueden enviar yrecibir sus correos electrnicos, o porque
no pueden consultar las ltimas noticias de los mercados enla WEB,
estos ejemplos bastan para darnos una idea de cuan necesaria es la
informacin, entoncescunto ms necesaria es la seguridad de la
informacin para garantizar que la empresa sigafuncionando.Los
medios tcnicos nos brindan un nivel de seguridad limitado, y debe
ser respaldado por unagestin y procedimientos adecuados, es decir,
la administracin de la seguridad de la informacin, queexige la
participacin de todos los empleados de la organizacin y en algunos
casos tambin puederequerir la participacin de proveedores, clientes
y accionistas. Asimismo, puede solicitarse elasesoramiento experto
de organizaciones externas para garantizar un nivel de seguridad
adecuadopara nuestra organizacin.La gran dependencia de las
organizaciones actuales, respecto de los sistemas y servicios
deinformacin, denota que son ms vulnerables a las amenazas
concernientes a la seguridad. Lainterconexin de las redes pblicas y
privadas y el uso compartido de los recursos de
informacin,incrementa la dificultad de lograr el control de los
accesos. La tendencia hacia el procesamientodistribuido ha
debilitado la eficacia del control tcnico centralizado.Por otro
lado, encontramos gente ansiosa, dispuesta y calificada para tomar
ventaja de cada debilidaden la seguridad, y continuamente descubrir
y explotar nuevas debilidades.Los millones de personas que
participan en la liberalidad de la red no son conscientes de la
realidad,como ejemplo presentamos a continuacin algunos
indicadores: El nmero de vulnerabilidades de los sistemas de
informacin que se han comunicado a la base de datos Buqtraq se ha
cuadruplicado desde el inicio de 1998 El comit editorial conocido
como "Common Vulnerabilities and Exposures" (CVE), formado por 20
organizaciones relacionadas con la seguridad, incluyendo
fabricantes de software de seguridad e instituciones acadmicas, han
publicado, en 1999, ms de 1000 vulnerabilidades maduras y bien
conocidas en la lista CVE El Instituto de Seguridad Informtica
(Computer Security Institute) y el FBI investigaron conjuntamente
643 casos de infracciones de seguridad informtica realizadas contra
empresas de los EE.UU., agencias estatales, instituciones
financieras, centros mdicos y universidades, comprobando que el 90%
de las entidades analizadas haban sufrido ataques informticos en el
ltimo ao. 273 organizaciones informaron prdidas financieras por
este tema que ascendan a 270 millones de dlares ("2000 Computer
Crime y Security Survey")1.1.7 Seguridad en InternetIntentar
comunicar un secreto en un entorno con millones de testigos
potenciales como Internet esdifcil, y la probabilidad de que
alguien escuche una conversacin entre dos interlocutores
seincrementa conforme lo hace la distancia que las separa. Dado que
Internet es verdaderamenteglobal, ningn secreto de valor debera ser
comunicado a travs de ella sin la ayuda de la criptografa.En el
mundo de los negocios, informacin como nmeros de tarjetas de
crdito, autenticaciones de
10. clientes, correos electrnicos e incluso llamadas telefnicas
acaba siendo enrutada a travs deInternet. Ya que gran parte de esta
informacin corporativa no debe ser escuchada por terceraspersonas,
la necesidad de seguridad es obvia.Sin embargo, la Seguridad en
Internet no es slo una preocupacin empresarial. Toda persona
tienederecho a la privacidad y cuando sta accede a Internet su
necesidad de privacidad no desaparece.La privacidad no es slo
confidencialidad, sino que tambin incluye anonimato. Lo que leemos,
laspginas que visitamos, las cosas que compramos y la gente a la
que hablamos representaninformacin que a la mayora de las personas
no les gusta dar a conocer. Si las personas se venobligadas a
exponer informacin que normalmente desean ocultar por el hecho de
conectarse aInternet, probablemente rechazarn todas las actividades
relacionadas con la red.Implementar la seguridad en el nivel de red
tiene muchas ventajas. La primera de todas es que lascabeceras
impuestas por los distintos protocolos son menores ya que todos los
protocolos detransporte y de aplicacin pueden compartir la
infraestructura de gestin de claves provista por estacapa. La
segunda sera que pocas aplicaciones necesitaran cambios para
utilizar la infrastructura deseguridad, mientras que si la
seguridad se implementara en capas superiores cada aplicacin
oprotocolo debera disear su propia infrastructura. Esto resultara
en una multiplicacin de esfuerzos,adems de incrementar la
probabilidad de existencia de fallos de seguridad en su diseo
ycodificacin.La desventaja principal de implementar la seguridad en
la capa de red es la dificultad de resolverproblemas como el de la
imposibilidad de repudio o la autorizacin del usuario, ciertos
mecanismos deseguridad extremo a extremo -en los routers
intermedios no existe el concepto de "usuario", por lo queeste
problema no podra darse.Los tipos de agresin a la seguridad de un
sistema de computadores o de redes se caracterizan mejorobservando
la funcin del sistema como proveedor de informacin. En general,
existe un flujo deinformacin desde un origen, como puede ser un
fichero o una regin de memoria principal, a undestino, como otro
fichero o un usuario.Hay cuatro tipos de agresin: Interrupcin: un
recurso del sistema se destruye o no llega a estar disponible o se
inutiliza. sta es una agresin de disponibilidad. Ejemplos de esto
son la destruccin de un elemento hardware (un disco duro), la
ruptura de una lnea de comunicacin o deshabilitar el sistema de
gestin de ficheros. Intercepcin: un ente no autorizado consigue
acceder a un recurso. sta es una agresin a la confidencialidad. El
ente no autorizado puede ser una persona, un programa o un
computador. Ejemplos de agresiones a la confidencialidad son las
intervenciones de las lneas para capturar datos y la copia ilcita
de ficheros o programas. Modificacin: un ente no autorizado no
solamente gana acceso si no que deteriora el recurso. sta es una
agresin a la integridad. Algunos ejemplos son los cambios de
valores en un fichero de datos, alterando un programa para que
funcione de una forma diferente, y modificando el contenido de los
mensajes que se transmiten en una red. Fabricacin: una parte no
autorizada inserta objetos falsos en el sistema. Esta es una
agresin a la autenticidad. Un ejemplo sera la incorporacin de
registros a un fichero.Ataques pasivos: Las agresiones pasivas son
el tipo de las escuchas o monitorizaciones ocultas delas
transmisiones. La meta del oponente es obtener informacin que est
siendo transmitida. Existendos tipos de agresiones: divulgacin del
contenido de un mensaje o anlisis del trfico.La divulgacin del
contenido de un mensaje se entiende fcilmente. Una conversacin
telefnica, unmensaje de correo electrnico o un fichero transferido
pueden contener informacin sensible oconfidencial. As, sera
deseable prevenir que el oponente se entere del contenido de
estas
11. transmisiones.El segundo tipo de agresin pasiva, el anlisis
del trfico, es ms sutil. Suponga que tenemos unmedio de enmascarar
el contenido de los mensajes u otro tipo de trfico de informacin,
aunque secapturan los mensajes, no se podra extraer la informacin
del mensaje. La tcnica ms comn paraenmascarar el contenido es el
cifrado. Pero incluso si tenemos proteccin de cifrado, el
oponentepodra ser capaz de observar los modelos de estos mensajes.
El oponente podra determinar lalocalizacin y la identidad de los
computadores que se estn comunicando y observar la frecuencia yla
longitud de los mensajes intercambiados. Esta informacin puede ser
til para extraer la naturalezade la comunicacin que se est
realizando.Las agresiones pasivas son muy difciles de detectar ya
que no implican la alteracin de los datos. Sinembargo, es factible
impedir el xito de estas agresiones. As, el nfasis para tratar
estas agresionesest en la prevencin antes que la deteccin.Ataques
activos: La segunda categora de agresiones es la de las agresiones
activas. Estasagresiones suponen la modificacin del flujo de datos
o la creacin de flujos falsos y se subdivide en 4categoras:
enmascaramiento, repeticin, modificacin de mensajes y denegacin de
un servicio.Un enmascaramiento tiene lugar cuando una entidad
pretende ser otra entidad diferente. Unaagresin de enmascaramiento
normalmente incluye una de las otras formas de agresin activa.
Porejemplo, se puede captar una secuencia de autentificacin y
reemplazarla por otra secuencia deautentificacin vlida, as se
habilita a otra entidad autorizada con pocos privilegios a
obtenerprivilegios extras suplantando a la entidad que los tiene.La
repeticin supone la captura pasiva de unidades de datos y su
retransmisin subsiguiente paraproducir un efecto no autorizado.La
modificacin de mensajes significa sencillamente que alguna porcin
de un mensaje legtimo sealtera, o que el mensaje se retrasa o se
reordena para producir un efecto no autorizado.La denegacin de un
servicio impide o inhibe el uso o gestin normal de las facilidades
decomunicacin. Esta agresin puede tener un objetivo especfico: por
ejemplo, una entidad puedesuprimir todos los mensajes dirigidos a
un destino particular. Otro tipo de denegacin de servicio es
laperturbacin sobre una red completa, deshabilitndola o
sobrecargndola con mensajes de forma quese degrade su
rendimiento.Las agresiones activas presentan caractersticas
opuestas a las agresiones pasivas. Mientras que unaagresin pasiva
es difcil de detectar, existen medidas disponibles para
prevenirlas. Por otro lado, esbastante difcil prevenir una agresin
activa, ya que para hacerlo se requerira proteccin fsicaconstante
de todos los recursos y de todas las rutas de comunicacin. Por
consiguiente, la meta esdetectarlos y recuperarse de cualquier
perturbacin o retardo causados por ellos. Ya que la deteccintiene
un efecto disuasivo, tambin puede contribuir a la prevencin.1.1.8
Computer Crime y Delito InformticoCuando hablamos de crimen
relacionado con computadoras o Computer Crime, generalmente
nosreferimos a toda actividad criminal, donde una computadora o red
de computadoras se encuentrainvolucrada ya sea como herramienta,
objetivo o sitio para un crimen. Desde este punto de vista y
enlneas generales, a menudo los crmenes suelen agruparse de acuerdo
a sus caractersticas, en unode los tres grupos dispuestos a
continuacin: Computer Assisted Crime: Crmenes cometidos utilizando
una computadora (Fraude, Pornografa Infantil, etc.) Computer
Specific / Targeted Crime: Crmenes cometidos contra una
computadora, red o
12. sistema (DoS, Attacking passwords, etc.) Computer is
Incidental: Computadora incidental al crimen (Listado del Clientes
para un traficante)Si bien muchos de los crmenes relacionados con
computadoras, son novedosos y especficos, otrosno son ms que la
evolucin de crmenes para los cuales nicamente a cambiado el medio.
De estemodo por ejemplo, delitos comunes como el fraude han visto
en la utilizacin de la computacin y lasredes de datos, el mbito
ideal donde potenciarse.Para comprender el porque de la tendencia
al alza en cuanto a los crmenes relacionados concomputadoras, basta
con revisar el rol que estas desempean hoy en da a nivel mundial.
Lainformacin es considerada uno de los activos mas valiosos, esta
es generada, manipulada yalmacenada por medio de computadoras,
pequeos dispositivos y redes de datos mientras quecoincidentemente,
las organizaciones se vuelven cada vez mas dependiente de los
sistemas yservicios de informacin, por tanto no existe motivo por
el cual pensar que estos datos pasarandesapercibidos por aquellos
que buscan algn tipo de rdito en la concrecin de un crimen.El
desarrollo de la tecnologa informtica ha abierto las puertas a
nuevas posibilidades dedelincuencia antes impensables. La cuanta de
los perjuicios as ocasionados es a menudo muysuperior a la usual en
la delincuencia tradicional y tambin son mucho ms elevadas las
posibilidadesde que no lleguen a descubrirse o castigarse. Delito
informtico, crimen ciberntico o crimenelectrnico, se refiere a
actividades ilcitas realizadas por medio de ordenadores o del
Internet o quetienen como objetivo la destruccin y el dao de
ordenadores, medios electrnicos y redes de Internet.Sin embargo,
las categoras que definen un delito informtico son an mayores y
complejas y puedenincluir delitos tradicionales como el fraude, el
robo, chantaje, falsificacin y la malversacin decaudales pblicos en
los cuales ordenadores y redes han sido utilizados. Con el
desarrollo de laprogramacin y de Internet, los delitos informativos
se han vuelto ms frecuentes y sofisticados.Existe una amplia gama
de actividades delictivas que se realizan por medios informticos:
ingresoilegal a sistemas, intercepcin ilegal de redes,
interferencias, daos en la informacin (borrado,deterioro, alteracin
o supresin de data), mal uso de artefactos, chantajes, fraude
electrnico,ataques a sistemas, robo de bancos, ataques realizados
por Hackers, violacin de los derechos deautor, pornografa infantil,
pedofilia en Internet, violacin de informacin confidencial y muchos
otros.El delito informtico incluye una amplia variedad de categoras
de crmenes. Generalmente estepuede ser dividido en dos grupos:
Crmenes que tienen como objetivo redes de computadoras, por
ejemplo, con la instalacin de cdigos, gusanos y archivos maliciosos
(Spam), ataque masivos a servidores de Internet y generacin de
virus. Crmenes realizados por medio de ordenadores y del Internet,
por ejemplo, espionaje por medio del Internet, fraudes y robos,
pornografa infantil, pedofilia Internet, etc.Un ejemplo comn es
cuando una persona comienza a robar informacin de websites o causa
daosa redes de computadoras o servidores. Estas actividades pueden
ser absolutamente virtuales, porquela informacin se encuentra en
forma digital y el dao aunque real no tiene consecuencias
fsicasdistintas a los daos causados sobre los ordenadores o
servidores. En algunos sistemas judiciales lapropiedad intangible
no puede ser robada y el dao debe ser visible. Un ordenador puede
ser fuentede evidencia y, aunque el ordenador no haya sido
directamente utilizado para cometer el crimen, es unexcelente
artefacto que guarda los registros, especialmente en su posibilidad
de codificar la data. Estoha hecho que la data codificada de un
ordenador o servidor tenga el valor absoluto de evidencia
antecualquier corte del mundo.En todo delito de los llamados
informticos, hay que distinguir el medio y el fin. Para poder
encuadrar
13. una accin dolosa o imprudente dentro de este tipo de
delitos, el medio por el que se cometan debeser un elemento, bien o
servicio, patrimonial del mbito de responsabilidad de la
informtica, y el finque se persigue debe ser la produccin de un
beneficio al sujeto o autor del ilcito; una finalidaddeseada que
causa un perjuicio a un tercero.A grandes rasgos, los delitos que
de forma ms frecuente se cometen en un medio tan ilimitado comoes
Internet son: Vulneracin de la intimidad de las personas,
invadiendo por ejemplo los correos electrnicos o interceptando el
envo de documentos. Alteracin, destruccin en datos, programas o
documentos electrnicos ajenos. En este tipo delictivo se incluiran
conductas como, por ejemplo, los actos de sabotaje contra soportes
electrnicos, o la introduccin de virus electrnicos para causar
daos. El espionaje industrial informtico, previsto con el fin de
proteger los secretos empresariales. Las estafas informticas, en
las que se utiliza Internet como medio de comunicacin annimo: es un
lugar ideal para cometer este tipo de delitos. La pornografa
infantil, que se ha visto favorecida precisamente por ese anonimato
que proporciona la red. Las injurias y las calumnias. Generalmente
se cometen en foros o por correo electrnico. Los delitos contra la
propiedad industrial e intelectual. Internet se muestra como un
medio de lo ms propicio para vulnerar los derechos de autor
mediante, por ejemplo, la reproduccin sin permiso de los contenidos
que configuran una pgina web.Quines cometen delitos informticos?
Las personas que cometen los "Delitos Informticos" sonaquellas que
poseen ciertas caractersticas que no presentan el denominador comn
de losdelincuentes, esto es, los personas que tienen destreza para
el manejo de computadoras ygeneralmente por su situacin laboral se
encuentran en lugares estratgicos donde se manejainformacin de
carcter sensible, o bien son hbiles en el uso de los sistemas
informatizados, ancuando, en muchos de los casos, no desarrollen
actividades laborales que faciliten la comisin de estetipo de
delitos. Con el tiempo se ha podido comprobar que los autores de
los delitos informticos sonmuy diversos y que lo que los diferencia
entre s es la naturaleza de los delitos cometidos. De estaforma, la
persona que "entra" en un sistema informtico sin intenciones
delictivas es muy diferente delempleado de una institucin
financiera que desva fondos de las cuentas de sus clientes.
Losdelincuentes de la informtica son tan diversos como sus delitos;
puede tratarse de estudiantes,terroristas o figuras del crimen
organizado. Estos delincuentes pueden pasar desapercibidos a
travsde las fronteras, ocultarse tras incontables enlaces o
simplemente desvanecerse sin dejar ningndocumento de rastro.Los
indicadores anteriores, nos han permitido conocer algunos datos
generales respecto de latecnologa y sus problemas de seguridad
asociados. Lo cierto es que cada nueva implementacin desistemas y
tecnologa, presupone riesgos. Parte del propsito de este capitulo,
no es otro que el deformar profesionales que comprendiendo dichos
riesgos, sean capaces de plantear estrategiaseficaces con el fin de
minimizar el mismo, afectando lo menos posible el propsito original
para el cualdichos sistemas o tecnologas fueron creadas.Un aspecto
que a menudo es pasado por alto, radica en el hecho de que l a
seguridad debe serincumbencia de todos y no tan solo de los
especialistas. Esto no solo es aplicable dentro de
lasorganizaciones, sino que tambin debera serlo en relacin al
individuo como parte activa de lasociedad de la informacin.La
dependencia respecto de los sistemas de informacin a la cual nos
refiriramos anteriormente,provoca que por ejemplo el eventual
ataque a los sistemas de un banco, no solo pueda impactar
14. negativamente en su propio negocio, sino que a su vez
probablemente existan cientos de clientes queproducto de dicho
ataque, hayan visto comprometida por ejemplo su confidencialidad o
privacidad. Delmismo modo, cuando un proveedor de software no toma
en serio la seguridad de sus productos,deberamos comprender que las
implicancias de este tipo de asuntos, podra inclusive tener impacto
aniveles de seguridad nacional, puesto que los gobiernos, al igual
que cualquier organizacin delmbito privado, a menudo utiliza en
diferentes mbitos el mismo software que el resto de
lasorganizaciones. Que sucedera por ejemplo, si se distribuyera un
nuevo gusano en condiciones deexplotar una nueva vulnerabilidad en
alguno de los sistemas operativos utilizados en el servicio
deasistencia 911? cual sera el impacto de dicho servicio inoperable
por horas o das?En un mundo globalizado y altamente dependiente de
la tecnologa, todos debemos entender nuestrogrado de
responsabilidad respecto de los temas de seguridad de la
informacin. Algunos desdeposiciones de estado, otros desde la visin
del profesional calificado en tareas relativas a seguridadde la
informacin y otro tan solo como simples usuarios y/o consumidores
de sistemas y tecnologa.Las infracciones de seguridad afectan a las
organizaciones de diversas formas. Con frecuencia, tienenlos
resultados siguientes: Prdida de beneficios Perjuicio de la
reputacin de la organizacin Prdida o compromiso de la seguridad de
los datos Interrupcin de los procesos empresariales Deterioro de la
confianza del cliente Deterioro de la confianza del inversor
Consecuencias legales: en muchos estados o pases, la incapacidad de
proteger un sistema tiene consecuencias legales; un ejemplo es
Sarbanes Oxley, HIPAA, GLBA, California SB 1386.Las infracciones de
seguridad tienen efectos de gran repercusin. Cuando existe una
debilidad en laseguridad, ya sea real o slo una percepcin, la
organizacin debe emprender acciones inmediataspara garantizar su
eliminacin y que los daos queden restringidos.Muchas organizaciones
tienen ahora servicios expuestos a los clientes, como los sitios
Web. Losclientes pueden ser los primeros en observar el resultado
de un ataque. Por lo tanto, es esencial quela parte de una compaa
que se expone al cliente sea lo ms segura posible.1.2.1 ESCENARIO Y
ELEMENTOS CLAVESEl trabajo en el rea de seguridad de la informacin,
no es nada fcil. La informacin sobredebilidades y vulnerabilidades
en la mayora de los sistemas comerciales son conocidas y estn
biendocumentadas. Nuestros adversarios pueden utilizar motores de
bsqueda para encontrarvulnerabilidades para virtualmente cualquier
producto o sistema operativo. Se pueden comprar librossobre Hacking
de sistemas, o unirse a newsgroups en Internet y acceder a sitios
web donde se detallacmo explotar las debilidades de los sistemas.
En muchas situaciones, se encontrar luchando condebilidades propias
de los productos que est utilizando. Un buen consejo, debera asumir
que su redest bajo ataque ahora mismo, mientras lee este
libro.Desde la perspectiva del profesional de la computacin, el
responsable se est enfrentando consituaciones que son mucho mayores
que la simple proteccin contra virus informticos. Estprotegiendo
muchos de los activos ms importantes de la empresa de personas que
estn altamentemotivadas para abusar de estos activos, des
afortunadamente algunas de estas personas pueden
15. estar dentro de la organizacin.Es muy importante que una
organizacin realice un examen consciente de su actual
situacinrespecto a la seguridad, este anlisis permitir tomar
acciones en caso que el resultado indique quese encuentra en una
situacin comprometida. El examen implica los siguientes pasos:
Identificacin de activos Evaluacin de vulnerabilidades
Identificacin de amenazas Estimacin de los riesgosEstas cuatro
acciones le ayudarn a identificar cuales recursos vale la pena
proteger, y a valorizarlos,debido a que algunos son ms importantes
que otros, adems esta evaluacin le ayudar a la hora dedefinir los
recursos econmicos y humanos destinados para su proteccin.1.2.2
ActivosCada organizacin tiene activos y recursos valiosos. La
identificacin de activos es el proceso pormedio del cual una compaa
intenta valuar la informacin y sus sistemas. En algunos casos, es
tansimple como contabilizar las licencias de software; estas
valuaciones de activos fsicos son parte deun proceso de
contabilizacin normal que una empresa debera realizar en forma
rutinaria. La partems dificultosa del proceso de identificacin de
activos es intentar asignarle un valor a la informacin.En algunos
casos, podra ayudarnos si intentamos determinar qu sucedera en caso
que lainformacin se pierda o se vuelva no disponible. Si la
ausencia de esta informacin provoca que elnegocio se detenga, esta
informacin es muy valiosa y se podr valuar segn el costo que
leprovoque a la empresa esta detencin.Es importante identificar
todos los recursos de la red que podan verse afectados por un
problema deseguridad. Podemos mencionar los siguientes ejemplos de
activos asociados a sistemas deinformacin:Confidencialidad Recursos
de informacin: bases de datos y archivos, documentacin de sistemas,
manuales de usuario, material de capacitacin, procedimientos
operativos o de soporte, planes de continuidad, disposiciones
relativas a sistemas de emergencia para la reposicin de informacin
perdida ("fallback"), informacin archivada. Recursos de software:
software de aplicaciones, software de sistemas, herramientas de
desarrollo y utilitarios. Activos fsicos: equipamiento informtico
(procesadores, monitores, computadoras porttiles, mdems), equipos
de comunicaciones (routers, PABXs, mquinas de fax, contestadores
auto- mticos), medios magnticos (cintas y discos), otros equipos
tcnicos (suministro de electricidad, unidades de aire
acondicionado), mobiliario, lugares de emplazamiento. Servicios:
servicios informticos y de comunicaciones, utilitarios generales,
por ej., calefaccin, iluminacin, energa elctrica, aire
acondicionado. Recursos humanos.
16. 1.2.3 VulnerabilidadesProbablemente las capacidades de
seguridad del software y los sistemas utilizados en la
organizacines el rea de mayor inters para el especialista de
seguridad. A travs del estudio de estascapacidades, podr detectar
las vulnerabilidades y fortalecer el sistema antes que
losmalintencionados se aprovechen.Hasta hace poco tiempo, muchos
desarrolladores de sistemas operativos no prestaban especialatencin
a las caractersticas de seguridad. Por ejemplo, un sistema
operativo muy popular utiliza unesquema de seguridad que descansa
en un logon y password, pero cuando aparece el mensaje delogon, en
lugar de ingresar las credenciales, todo lo que tiene que hacer es
un click sobre el botnCancelar y el sistema le permitir utilizar la
mayora de las capacidades de red y acceso local a todoslos
recursos. Esto es peor que no tener seguridad, porque muchos
usuarios pensando en estascaractersticas supondrn que tienen un
sistema seguro. Esto no es as, y como resultado ocurrenmuchos
hurtos de informacin.Tambin encontramos vulnerabilidades en los
protocolos, por ejemplo, el protocolo TCP/IP (TransferControl
Protocol/Internet Protocol) utilizado por la mayora de las redes
corporativas, fue diseadopara permitir comunicaciones en un
ambiente confiable. Mientras es muy robusto en su manejo deerrores,
es por naturaleza inseguro. Por esta razn muchos ataques modernos
ocurren a travs delprotocolo TCP/IP (En la Unidad 5 - Ataques y
Contramedidas, se tratan los aspectos de seguridadrelativos a este
protocolo).Los sistemas operativos y programas de aplicacin han
sido vulnerables a ataques internos y externospor mucho tiempo. Las
compaas de software quieren vender software que sea fcil de
utilizar, coninterfaces grficas, y fcilmente configurables. Los
usuarios quieren lo mismo. Desafortunadamente,esta facilidad de uso
y configuracin generalmente crea problemas de seguridad
adicionales. Porejemplo, uno de los productos ms populares en la
actualidad permite que los e-mails y attachmentspuedan ejecutar
programas embebidos en un mensaje. Esto permite crear mensajes de
e-mail confantsticas presentaciones, pero tambin permite que los
mensajes puedan llevar virus que puedendaar la computadora y
desparramarse hacia otras redes. El desarrollador de este software
hadesarrollado una actualizacin de seguridad, pero se observa que
cada vez que se introduce unaactualizacin, alguien encuentra una
forma de saltearla.Este problema se ha vuelto de tanta importancia
que los desarrolladores han puesto a disposicin delos clientes
soporte de seguridad on-line. En el pasado, se ocultaban las
vulnerabilidades, pensandoque ayudaba a la seguridad del software;
hoy en da se hacen pblicas y se proveen las solucionestan pronto
como se descubren las vulnerabilidades. Esto, por otro lado, tambin
ayuda a los Hackersquienes conocen que estos cambios no sern
realizados en muchos sistemas por un tiempo. Es decir,el progreso
hasta ahora ha sido la peor pesadilla del experto en seguridad,
pero hay esperanzas queesto cambie en el futuro porque muchos
desarrolladores de sistemas estn replanteando las medidasde
seguridad, porque han reconocido que los productos que entregan no
pueden proteger a lasorganizaciones que los utilizan de la prdida
de datos o abusos.1.2.4 Identificar las Amenazas a la seguridadUna
vez identificados los recursos que necesitan proteccin, deber
identificar cules son lasamenazas a estos recursos, y poder
determinar qu potencial de dao o prdida existe. Por otro lado,deber
determinar de cules amenazas tratar de proteger a los recursos en
funcin de laprobabilidad de ocurrencia.La implementacin de una
poltica de seguridad requiere que no solo se evalen las amenazas,
sinotambin el origen, as tendremos amenazas externas e internas.
Por ejemplo, ser poco provechosoimplementar un ambiente de alta
seguridad para proteger la empresa de los usuarios del exterior,
silas amenazas provienen principalmente del interior. Si un miembro
de nuestro grupo trae un diskette
17. con un documento que contiene un virus y lo abre en la PC
de la oficina, el virus podra expandirse atravs de toda la red,
para este caso no hubieran servido de nada las mejores medidas de
seguridadexternas. Este es un problema muy comn en las escuelas, y
ambientes donde las personas utilizanrecursos compartidos.Entre las
amenazas ms comunes podemos encontrar, el eavesdropping o packet
sniffing, acceso noautorizado, denegacin de servicio, fraude y
alteracin de datos.El modelo STRIDE de Microsoft proporciona una
estructura para identificar las amenazas y losposibles puntos
dbiles: La suplantacin de identidades es la capacidad de obtener y
usar la informacin de autenticacin de otro usuario. Un ejemplo de
suplantacin de identidad es la utilizacin del nombre y la contrasea
de otro usuario. La alteracin de datos implica su modificacin. Un
ejemplo sera alterar el contenido del cookie de un cliente. El
repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo
de repudio sera que un usuario cargue datos dainos en el sistema
cuando en ste no se puede realizar un seguimiento de la operacin.
La divulgacin de informacin implica la exposicin de informacin ante
usuarios que se supone que no deben disponer de ella. Un ejemplo de
divulgacin de informacin es la capacidad de un intruso para leer
archivos mdicos confidenciales a los que no se le ha otorgado
acceso. Los ataques de denegacin de servicio privan a los usuarios
del servicio normal. Un ejemplo de denegacin de servicio consistira
en dejar un sitio Web inaccesible al inundarlo con una cantidad
masiva de solicitudes HTTP. La elevacin de privilegios es el
proceso que siguen los intrusos para realizar una funcin que no
tienen derecho a efectuar. Para ello, puede explotarse una
debilidad del software o usar las credenciales de forma
ilegtima.
18. Otros ataques podran ser llevados a cabo nicamente con el
propsito de que el sistema de destinoincurra en gastos. Por
ejemplo, se podra montar un ataque contra un servicio de fax o un
telfonocelular para hacer un gran nmero de llamadas internacionales
que supongan un gran costo.1.3.1 RIESGO Y CONTROLPaso gran parte
del tiempo volando alrededor del mundo y conversando con
empresarios yprofesionales de TI acerca de la seguridad de la
informacin. Jams dejo de asombrarme cuandoescucho que algunos
expertos en seguridad, que cobran ms de lo que deberan, pasan
horasdetallando cun compleja es la seguridad. No lo es. La
seguridad puede resumirse en dos palabrassimples: Gestin de
riesgos. No se trata de la eliminacin de riesgos, se trata de la
mitigacin deriesgos.Kai Axford, CISSP, Estratega en Seguridad
Senior de Microsoft Trustworthy Computing GroupLos requerimientos a
cubrir en el rea de seguridad se identifican mediante una evaluacin
metdicade los riesgos de seguridad. Las erogaciones derivadas de la
satisfaccin de las necesidades decontrol deben ser equilibradas con
respecto al impacto potencial de las fallas de seguridad en
losnegocios.La evaluacin de riesgos es una consideracin sistemtica
de los siguientes puntos: impacto potencial de una falla de
seguridad en los negocios, teniendo en cuenta las potenciales
consecuencias por una prdida de la confidencialidad, integridad o
disponibilidad de la informacin y otros recursos. probabilidad de
ocurrencia de dicha falla tomando en cuenta las amenazas y
vulnerabilidades predominantes, y los controles actualmente
implementados.Los resultados de esta evaluacin ayudarn a orientar y
a determinar las prioridades y acciones degestin adecuadas para la
administracin de los riesgos concernientes a seguridad de la
informacin,y para la complementacin de los controles seleccionados
a fin de brindar proteccin contra dichosriesgos y reducirlos a un
nivel aceptable.Es importante llevar a cabo revisiones peridicas de
los riesgos de seguridad y de los controlesimplementados a fin de:
reflejar los cambios en los requerimientos y prioridades de la
empresa; considerar nuevas amenazas y vulnerabilidades; corroborar
que los controles siguen siendo eficaces y apropiados.El anlisis de
riesgos implica determinar lo siguiente: Qu necesita proteger:
Evaluacin de los activos y su importancia De quin debe protegerlo:
Evaluacin de amenazas y vulnerabilidades Cmo protegerlo: Evaluacin
de contramedidasLos riesgos se pueden clasificar por el nivel de
importancia y por la severidad de la prdida. Estavalorizacin es muy
til, porque no debera llegar a una situacin donde gasta ms para
protegeraquello que es menos valioso o aquello donde el costo de
recuperarlo es inferior al de la prdida.Entre los factores que
tenemos que considerar para realizar una correcta evaluacin del
riesgo,
19. encontramos: El riesgo de prdida del recurso, que depender
de las amenazas a las que est expuesto, las contra medidas
implementadas para protegerlo y sus vulnerabilidades asociadas. Es
un arte que depende del conocimiento y experiencia del evaluador.
La importancia que representa el recurso para la empresa, evaluada
segn cada tipo, de acuerdo a los siguientes factores:
Disponibilidad: es la medida de qu tan importante es tener el
recurso disponible todo el tiempo. Integridad:es la medida de cun
importante es que el recurso o los datos del mismo sean
consistentes. Esto es de particular trascendencia para los recursos
de bases de datos. Confidencialidad: es la medida de cun importante
es que los recursos slo sean observados por las personas
autorizadas.1.3.2 Evaluacin del riesgo de un recursoLas tcnicas de
evaluacin de riesgos pueden aplicarse a toda la organizacin, o slo
a partes de lamisma, as como a los sistemas de informacin
individuales, componentes de sistemas o serviciosespecficos cuando
esto resulte factible, viable y provechoso. Vamos a presentar una
tcnicamatemtica para determinar el riesgo asociado a un recurso.
Este es slo un mtodo entre muchos,cul es el mejor de todos lo
decidir usted mismo a travs de la experiencia.Necesitaremos
determinar los siguientes factores: Estimacin del riesgo de prdida
del recurso (Ri) Estimacin de la importancia del recurso (Wi)Para
realizar la cuantificacin del riesgo de perder un recurso, podremos
asignarle un valor numrico.Por ejemplo, al riesgo (Ri) de perder un
recurso se le asigna un valor de cero a diez, donde ceroindica que
no hay riesgo y diez es el riesgo ms alto. Este valor depender de
los tipos de amenazasa las que est expuesto el recurso, de las
contra medidas implementadas actualmente y de lasvulnerabilidades
conocidas. De manera similar, tambin se le puede asignar un valor
entre cero y unoa la importancia que representa el recurso para la
empresa (Wi), donde cero significa que no tieneimportancia y uno la
importancia ms alta.La evaluacin general del riesgo (WRi) de cada
recurso ser entonces el producto numrico del valordel riesgo y su
importancia. Es decir, WRi = Ri * Wi. Tambin podemos calcular el
riesgo general de lared, de la siguiente manera: WR = S (WRi) / S
(Wi).Supongamos, como ejemplo, una red simplificada con un router,
un servidor y un bridge.Los administradores de la red y de sistemas
han producido las estimaciones siguientes para el riesgoy la
importancia de cada uno de los dispositivos que forman nuestra red:
Como se ve, a cada uno delos componentes del sistemas, se le ha
asignado un cierto riesgo y una cierta importancia. Hay quedestacar
que estos valores son totalmente subjetivos, dependen
exclusivamente de quien quienesestn realizando la evaluacin.
Tenemos, entonces:Router: R1 = 6 W1 = 7
20. Bridge: R2 = 6 W2 = 3Servidor: R3 = 10 W3 = 10El clculo de
los riesgos evaluados, ser, para cada dispositivo:Router: WR1 = R1
* W1 = 6 * 7 = 42Bridge: WR2 = R2 * W2 = 6 * 3 = 1.8Servidor: WR3 =
R3 * W3 = 10 * 10 = 100La tabla que sigue a continuacin, nos
muestra cmo podramos llevar a cabo esta tarea de unamanera ordenada
y los valores que contiene son los que hemos tratado: Recurso del
sistema Riesgo (Ri) Importancia (Wi) Riesgo evaluado (Ri * Wi)Nmero
Nombre 1 Router 6 7 42 2 Bridge 6 3 18 3 Servidor 10 10 100Vemos
que, en este caso, el recurso que debemos proteger ms es el
Servidor ya que su riesgoponderado es muy alto. Por tanto,
comenzaremos por buscar las probables causas que puedenprovocar
problemas con los servicios brindados por l. Hay que tener muy en
cuenta que, al realizar elanlisis de riesgo,se deben identificar
todos los recursos (por ms triviales que parezcan) cuyaseguridad
est en riesgo de ser quebrantada. Ahora bien, cules son los
recursos? Los recursos quedeben ser considerados al estimar las
amenazas a la seguridad son solamente seis: Hardware,Software,
Datos, Gente, Documentacin, Accesorios.Segn el estndar ITIL, los
servicios deben ser recuperables dentro de Los parmetros
convenidosde confidencialidad e integridad.1.3.3 Objetivos de la
Gestin de RiesgoLa gestin del riesgo o Information Risk Management,
no es otra cosa que el proceso de identificar,analizar, determinar
y tratar el riesgo. Dicho proceso se encuentra principalmente
compuesto por dosfases claramente definidas, siendo estas las
mencionadas a continuacin: 1. Anlisis de Riesgos (Risk Assessment):
Comprende la Identificacin de vulnerabilidades y amenazas, el
anlisis de probabilidad de ocurrencia e impacto y el anlisis de las
medidas para aceptar, evitar o transferir el riesgo. 2. Tratamiento
de Riesgos: Comprende las tareas de priorizacin, presupuestado,
implementacin y mantenimiento de medidas seleccionadas para la
mitigacin de riesgos.Es importante conocer, que el principal
objetivo de todo proceso de Gestin del Riesgo, es el de
21. reducir los riesgos hasta niveles de tolerancia aceptables
para la organizacin. Cuando hablamos deniveles de tolerancia
aceptables, nos referimos a aquel que la propia organizacin ha
definido comoaceptable. Puesto que cada organizacin persigue
diferentes objetivos de negocio y a su vez estepuede tener
distintos requerimientos desde el punto de vista de la seguridad,
es muy probable que elnivel que puede ser aceptable para una, pueda
no serlo para otra.Si bien no todos los riesgos a los que se
enfrenta una organizacin se encuentran relacionados con
lacomputacin, cuando la gestin de riesgos se centra en seguridad de
la informacin, es posibleobservar entre otros los siguientes
riesgos que es necesario direccionar: Dao Fsico: Fuego, agua,
vandalismo, perdida de energa y desastres naturales. Acciones
Humanas: Accin intencional o accidental que pueda atentar contra la
productividad. Fallas del Equipamiento: Fallas del sistema o
dispositivos perifricos. Ataques Internos o Externos: Hacking,
Cracking y/o cualquier tipo de ataque. Prdida de Datos: Divulgacin
de secretos comerciales, fraude, espionaje y robo. Errores en las
Aplicaciones: Errores de computacin, errores de entrada, buffers
overflowsEstas amenazas necesitan ser identificadas, clasificadas
por categora y evaluadas para calcular lamagnitud de perdidas
potenciales. Si bien es cierto que el riesgo real es difcil de
medir, la priorizacinde los riesgos potenciales, nos permitir
conocer cual de ellos necesita ser tratado en
primerainstancia.1.3.4 Preguntas a responderMuchas veces resulta ms
sencillo comprender el verdadero alcance de los procesos
relacionadoscon la Gestin del Riesgo, viendo alguno de los
componentes intervinientes en el proceso, como unaserie de
interrogantes que requieren de respuesta: Que puede pasar?
(Amenaza) Si Pasa, qu tan malo puede ser? (Impacto de la amenaza)
Qu tan seguido puede pasar? (Frecuencia de la amenaza) Qu tan
seguro estoy de las respuestas anteriores? (Falta de Certeza,
Incertidumbre) Qu puedo hacer? (Mitigar el riesgo) Cuanto me
costar? (Siempre calculado en forma anualizado) Dicho costo es
efectivo? (Relacin costo beneficio!)Sin dudas esta es una visin
simplificada, pero no obstante nos permite observar claramente que
tipode informacin es la requerida a efectos de conocer el riesgo
asociado a cada uno de los activosdispuestos en nuestra
organizacin.1.3.5 El equipo de Gestin de RiesgoAhora que conocemos
cual es en lneas generales, el camino a recorrer en lo que a la
evaluacin delos riesgos se refiere, quizs sea necesario mencionar
las caractersticas que debe poseer el equipoque se encontrar
encargado de llevar adelante este proceso.
22. Sin embargo, antes es necesario mencionar la importancia de
la existencia de una Poltica de Gestinde Riesgos, que alineada con
la Poltica de Seguridad de la Informacin y con la Estrategia de
laOrganizacin contemple entre otros los siguientes puntos:
Objetivos Definicin de niveles aceptables de riesgo Procesos de
anlisis y tratamiento de riesgos Metodologas Definicin de roles y
responsabilidades Indicadores claves para el monitoreo de los
controles implementados para la mitigacin del riesgoAhora bien, el
equipo de gestin del riesgo tiene como objetivo primario,
garantizar que laorganizacin se encuentra protegida ante los
riesgos, teniendo en cuenta la relacin costo-beneficiode la
implementacin de controles. Este equipo, deber estar conformado por
personal de las reassustantivas de la organizacin incluyendo IT y
seguridad de la informacin.Sus funciones se encontrarn relacionadas
con la proposicin y mantenimiento de la Poltica deGestin de
Riesgos, la redaccin de procedimientos, las tareas de anlisis de
riesgos, la definicin demtricas, la capacitacin y concientizacin
del personal, la elaboracin de documentacin y laintegracin de la
Gestin de Riesgos al proceso de control de cambios, de modo tal que
su poltica yprocesos relacionados se encuentren siempre
actualizados.1.3.6 Tipos de Anlisis de RiesgoExisten bsicamente dos
tipos de approaches en lo que refiere al Anlisis de Riesgo:
Cuantitativo yCualitativo.El anlisis de riesgo de tipo
Cuantitativo, intenta asignar valores reales y objetivos a
cadacomponente de la evaluacin de riesgos y a cada potencial
perdida. Estos elementos pueden incluircosto de las contramedidas,
valor de los activos, impacto en el negocio, frecuencia de la
amenaza,efectividad de las contramedidas, probabilidades de
explotacin, etc. Cuando todos estos elementosson cuantificados, se
dice que el proceso es Cuantitativo. El anlisis Cuantitativo provee
a su vezporcentajes concretos cuando se trata de determinar la
probabilidad de una amenaza. Cada elementodentro del anlisis es
cuantificado e ingresado como un operador en ecuaciones, a fin de
determinarel riesgo total y el riesgo residual.Por su parte, el
anlisis del tipo Cualitativo utiliza elementos soft de la
organizacin (opinin,mejores prcticas, intuicin, experiencia, etc.)
para ponderar el riesgo y sus componentes. Este es unmodelo basado
ms bien en escenarios que en clculos. En vez de asignar el costo
exacto de lasposibles prdidas, en este escenario se ponderan en
escala, los riesgos, los costos y efectos de unaamenaza en relacin
del activo. Este tipo de procesos, conjuga: juicio, experiencia e
intuicin. Cadamtodo posee sus ventajas y desventajas. La aplicacin
de anlisis puramente Cuantitativo,sencillamente no es posible.
Principalmente debido a que parte de los tems que se debern
evaluarcomo parte del anlisis, son Cualitativos y por tanto no son
certeros en cuanto a valoresCuantitativos. En contra posicin a
ello, el anlisis de riesgo puramente Cualitativo si es
posible.1.3.7 Tratamiento de RiesgoUna vez concluida la primera
fase del proceso de Gestin del Riesgo, y contando con la
informacinarrojada por este proceso, es momento de iniciar la fase
de Tratamiento de Riesgos, que como
23. mencionramos anteriormente, incluye las tareas de
priorizacin, presupuestado, implementacin ymantenimiento de los
controles seleccionados a efectos de mitigar el riesgo. Al momento
de analizarlas contramedidas o controles, es de suma importancia
observar si su relacin costo beneficio esaceptable. Habiendo
valuado los activos y conociendo el coste de un control determinado
deberamosser capaces de asegurar que el costo del control no supera
el costo del activo que se intenta proteger.Cuando iniciamos un
proceso de anlisis de controles o contramedidas, puede ser de
utilidad conocercuales son los aspectos a tener en cuenta en la
estimacin del costo anual de un control: Costo de Adquisicin Costo
de diseo y planeamiento Costo de implementacin Impacto en el
entorno (Compatibilidad) Mantenimiento Pruebas Reparacin,
reemplazo, actualizacin Nivel de operacin manual requerida Efectos
sobre la productividad Habilidad de recuperoPor ultimo, es de suma
importancia recordar que una vez identificado, el riesgo puede ser
Mitigado(por medio de la implementacin de contramedidas, controles
o salvaguardas), Transferido(mediante la adquisicin de plizas de
seguro) o Aceptado (riesgo aceptable), pero nuncaRechazado o
Ignorado.1.3.8 NormativaPor lo general, existe una relacin directa
entre los objetivos del negocio y las computadoras einformacin que
con ellas es procesada. Debido a la importancia que la informacin y
suprocesamiento tiene para toda organizacin, directores y gerentes
deberan hacer de la proteccin desus activos de informacin un punto
de mxima prioridad y proveer el soporte, tiempo, fondos yrecursos
necesarios, a efectos de garantizar que los sistemas, redes e
informacin, se encuentranprotegidos de la manera mas lgica posible
(costo/beneficio).Para que el plan de seguridad de una compaa sea
implementado en forma exitosa, este necesita serde incumbencia de
la alta gerencia de la organizacin, definitivamente no debe
circunscribirse al reade IT o al rea de seguridad, y debe ser
tratado con un enfoque del tipo TopDown. Esto significa quedebe
nacer o surgir desde los niveles ms altos, pero ser til y funcional
en cada nivel dentro de laorganizacin.La gerencia debera comprender
las regulaciones, leyes y responsabilidades que le afectan directa
oindirectamente, as como tambin ser capaz de definir que necesita
ser protegido y que no. Al mismotiempo estos necesitan determinar
que es lo que se espera del empleado en relacin con la seguridadde
la informacin y que consecuencias deberan asumir en caso de no
cumplir con las normativasestablecidas. Estas decisiones deberan
ser tomadas por quienes de acuerdo a la posicin queocupan dentro de
la organizacin, son considerados el ultimo responsable, en caso de
que algosalga mal.Un programa de seguridad, contiene todas y cada
una de las piezas necesarias para proporcionarproteccin a la
organizacin. A fin de proveer la coordinacin necesaria para que
estas piezasfuncionen del modo esperado. Un programa de seguridad
debe incluir polticas, procedimientos,
24. estndares, guidelines, baselines, un programa de
concientizacin de usuarios, un plan de respuestaa incidentes, un
programa de compliance, etc. El desarrollo de normativa, a menudo
requiere deequipos multidisciplinarios. Departamentos de legales y
recursos humanos necesitan involucrarse enel desarrollo de alguno
de estos puntos, formando parte del equipo encargado del desarrollo
de esteconjunto de documentos.1.4.1 CONCEPTOS1.4.2 ExposicinSolemos
referirnos bajo el termino Exposicin, a la instancia en la cual la
informacin o un activo deinformacin, es susceptible a daarse o
perderse por el accionar de un agente de amenaza. Laexposicin, no
significa que el evento que produce la perdida o dao del recurso
este ocurriendo,solo significa que podra ocurrir dado que existe
una amenaza y una vulnerabilidad que esta podraexplotar. Una
vulnerabilidad, expone a una organizacin a un posible dao. Si la
administracin decontraseas en una organizacin es dbil, y no existen
reglas que regulen su fortaleza, laorganizacin podra encontrarse
expuesta a la posibilidad de que las contraseas de sus usuariossean
adivinadas o capturadas, y utilizadas de modo no autorizado. Si una
organizacin no realizarevisiones frecuentes, respecto del estado de
su cableado elctrico, y no posee controles efectivoscontra
incendios en el lugar, se expone a si misma a incendios
potencialmente devastadores.1.4.3 ContramedidasUn proceso de suma
importancia a la hora de asegurar cualquier sistema de informacin,
es laseleccin de contramedidas. Formalmente, el trmino Contramedida
o Salvaguarda es utilizadopara referirnos a cualquier tipo de
medida que permita detectar, prevenir o minimizar el riesgoasociado
con la ocurrencia de una amenaza especfica. Eventualmente las
Contramedidas oSalvaguardas suelen recibir el nombre de
Controles.1.4.4 Hacker, Cracker y Script KiddiesLa concepcin que la
persona comn tiene de los Hacker es alguien que penetra sistemas
con elnico fin de obtener un beneficio econmico o por simple
malicia. Segn los propios Hackers, ellosson personas que gozan
alcanzando un conocimiento profundo sobre el funcionamiento interno
de unsistema, de un ordenador o de una red de computadoras, pero
sin intenciones de causar dao uobtener un beneficio personal, ms
all del reconocimiento dentro de su comunidad. Proclamandefender un
sentido tico y una serie de principios contestatarios e
inconformistas, pero nuncadelictivos.Cracker o "alguien que rompe",
es un trmino acuado por los Hackers hacia 1985 para
defendersecontra la mala utilizacin que hacan los periodistas de la
palabra Hacker. Los Crackers formanpequeos grupos, secretos y
privados, se adentran en el terreno de lo ilegal, que tienen muy
poco quever con la cultura abierta que se describe en el mundo
Hacker. Todos los Hackers tienen habilidadesde sobra para
convertirse en Crackers, pero han resistido la tentacin y se
mantienen dentro de lalegalidad, e incluso rechazan frontalmente a
los que se han convertido.Mucho se ha escrito en la prensa acerca
de los Hackers, y en rigor de verdad no todo lo que se lee enlos
peridicos es cierto. En el sentido si se quiere ms romntico, un
Hacker es aquella persona a lacual le apasiona el conocimiento,
descubrir o aprender nuevas cosas y entender el funcionamiento
destas. Ellos ven el Hacking, como un desafi intelectual. As mismo,
con frecuencia se utiliza elneologismo Hacker, para referirse a un
experto/gur en varias o alguna rama tcnica relacionadacon las
tecnologas de la informacin y las telecomunicaciones: (Programacin,
redes, sistemas
25. operativos, hardware, etc.)Lo ms correcto sera utilizar
definiciones provenientes del Jargon File, pero ya que la Wikipedia
es unrecurso universal utilizado por la mayora de la gente,
adoptaremos su breve definicin acerca de loque es un Hacker: Hacker
es el neologismo utilizado para referirse a un experto en varias o
algunarama tcnica relacionada con la informtica: programacin, redes
de computadoras, sistemasoperativos, hardware de red/voz, etc. Se
suele llamar hackeo y hackear a las obras propias de unHacker. Y
como muchos ya saben, esta palabra tan controvertida tiene sus
orgenes en el MIT( Instituto Tecnolgico de Massachussets), donde
aparecieron por primera vez esas enormescomputadoras que ocupaban
habitaciones enteras y utilizaban tarjetas perforadas.La historia
de la informtica y las comunicaciones, se encuentra llena de
Hackers famosos, a quienesse les debe gran parte del desarrollo de
la computacin y las comunicaciones. Tim Vinton Cerf(inventor de los
protocolos TCP/IP), Dennis Ritchie y Ken Thompson (Creadores de
UNIX), Steve Jobsy Steve Wozniak (fundadores de Apple), Linus
Torvalds (Desarrollador del primer kernel del sistemaoperativo
GNU/Linux) y muchos otros.Al margen de lo comentado y a nivel
popular, en la actualidad el termino Hacker suele ser utilizadopara
referirse a los intrusos informticos, mientras que el termino
Cracker suele utilizarse a efectos deidentificar a aquellos Hackers
que utilizan su conocimiento, con el objeto de daar sistemas ajenos
uobtener algn tipo de rdito de sus acciones. Por lo general, el
Cracker se distingue del hacker porsus valores morales. Otro
termino que a menudo se relaciona con Hackers y Crackers, es el de
ScriptKiddies, trmino utilizado para referirse a aquellos Hackers
quienes no poseen el skill necesario parallevar a cabo un ataque
especfico, sin para ello hacer uso de las herramientas
(mayormenteautomticas) que descargan de Internet o les son
provistas por sus amigos. A menudo, el Script Kiddieno tiene
conocimiento de cual es exactamente la vulnerabilidad que explota,
ni que es lo que hace laherramienta que utiliza.Es de suma
importancia recalcar, que el Hacking es considerado un delito en
muchos pases, sinimportar si el Hacker tuviera o no intenciones de
daar el sistema objetivo. Del mismo modo, en laliteratura
tradicional, suele referirse el trmino de Hacker, relacionado con
el intruso que intenta lograracceso no autorizado a un
sistema.1.4.5 Black Hat, Grey Hat y White HatEn el indicador
anterior, echamos un vistazo a trminos como Hackers, Crackers y
Script Kiddies.Adicionalmente, existe otra clasificacin que a
menudo es utilizada para identificar personasrelacionadas con el
Hacking.Black Hat, es el trmino con el que se llama a aquellos
quienes comprometen la seguridad de unsistema, sin el permiso de su
propietario, usualmente con la intencin de lograr acceso no
autorizadoa las computadoras de la red. Por su parte, el termino
White Hat, suele ser utilizado para aquellaspersonas quienes se
encuentran ticamente opuestas al abuso de redes y sistemas. Con
frecuencia,los White Hat utilizan sus conocimientos con el objeto
de proteger los sistemas de informacin, ya seaactuando como
oficiales de seguridad, o reportando vulnerabilidades a los
vendors.Por ultimo Grey Hat, es el trmino que la comunidad utiliza
para referirse a un Hacker que poseyendoel skill suficiente,
algunas veces acta legalmente (Tal como un White Hat) y otras no.
Estos Hackersson un hibrido entre White Hat y Black Hat. Usualmente
no hackean con el objetivo de obtener rditoeconmico, personal o
causar algn tipo de dao, pero podran o no cometer un crimen en el
procesode sus tareas o investigaciones.1.4.6 Lamer y WannabeLamer
es un sinnimo de Leecher y de Luser, combinacin de user (usuario),
y looser (perdedor),empleado ms frecuentemente entre los Crackers
que entre los Hackers. Lo utilizan para hacer
26. referencia a aquella persona que se aprovecha de los
recursos que ofrece la comunidad undergroundsin aportar nada a
cambio. Es el que ingresa a un sitio y comienza a descargarse todas
las utilidades,pero nunca desarrolla y sube una.La comunidad Hacker
tambin ha inventado el trmino wannabes, para designar a aquellos
quepodrn llegar a ser un Hacker, pero que an le falta conocimiento
para serlo. Todos los Hackers hanpasado por esta etapa. Un Wannabe
adquiere el estatus de Hacker cuando los veteranos consideranque ha
acumulado mritos suficientes para ser considerado uno de los
suyos.1.4.7 Breve resumen histrico1878: Menos de dos aos despus de
que el sistema telefnico de Alexander Graham Bell empezaraa
funcionar, un grupo de adolescentes ech abajo la red.1958: EE.UU.
crea ARPA ( Advanced Re search Projects Agency ), ciencia y
tecnologa aplicada alcampo militar.1960: Los Hackers originales
utilizaron los primeros mainframes del MIT para desarrollar
habilidades yexplorar el potencial de la informtica. En esa poca,
Hacker era un trmino elogioso para losusuarios con un conocimiento
exponencial de los ordenadores.1969: La agencia de proyectos de
investigacin avanzados del Departamento de Defensa (DoD),construy
Arpanet.1971: Antes del uso masivo de los ordena dores y de
Internet, los phreakers utilizaron la extensa basede redes
telefnicas. John Draper (Capn Crunch), descubri que un simple
silbato permita a losusuarios entrar en los sistemas de facturacin
de las llamadas a larga distancia.1973: Kahn desarrolla un nuevo
protocolo, el TCP/IP (Transmisin Control Protocol/ Internet
Protocol).1976: Dos miembros del Homebrew Com puter Club lanzaron
las llamadas blue box, que se utilizabanpara Hacker sistemas
telefnicos. La pareja (Steve Jobs y Steve Wozniak) con seguiran
hacersefamosos despus al fundar Apple Computer.1983: Primer arresto
de Hackers por el FBI despus de que invadieran el centro de
investigacin deLos Alamos. Se estrena la pelcula Juegos de guerra ,
que cambi la percepcin del pblico conrelacin a los Hackers y
estableci su prestigio.1984: Se funda la publicacin trimestral 2600
(nombrada como la frecuencia del silbato de JohnDraper), que ofreca
una plataforma a los Hackers y phreakers para expresar sus
conocimientos yhabilidades. Se forma Legion of Doom (LoD).1987:
Herbert Zinn, de 17 aos de edad, es arrestado despus de entrar en
el sistema de AT&T. Losexpertos afirman que estuvo a punto de
bloquear todo el sistema telefnico norte america