Fundamentos de Seguridad Informática

Fundamentos de Seguridad Informática Estandares ISO Estandares  ISO 27000

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotecnical Co!!ission)" #ue proporcionan un !arco de gesti$n de la seguridad de la infor!aci$n utiliza%le por  cual#uier tipo de organizaci$n" p&%lica o pri'ada" grande o pe#uea El ISO-27000 se %asa en la segunda parte del estándar %ritánico *S77++ (*S77++,2) Está co!puesta a grandes rasgos por, •

ISS(Infor!ation ISS(Infor!ation Securit. anage!ent S.ste!)

•

aloraci$n de iesgo

•

Controles  1 se!ejanza de otras otras nor!as ISO" ISO" la 27000 es real!ente real!ente una serie de estándares

•

•

ISO ISO 2700 27000: 0: En fase fase de desa desarr rrol ollo lo Cont Conten endr drá á tr! tr!in inos os . definiciones #ue se e!plean en toda la serie 27000 3a aplicaci$n de cual#uier cual#uier estándar estándar necesita necesita de un 'oca%ulari 'oca%ulario o clara!ente clara!ente definido" definido" #ue #ue e'it e'ite e dist distin inta tas s inte interp rpre reta taci cion ones es de conc concep epto tos s tcn tcnic icos os . de gesti$n Esta nor!a será gratuita" a diferencia de las de!ás de la serie" #ue tendrán un coste ISO 27001: Es 27001: Es la nor!a principal de re#uisitos del siste!a de gesti$n de seguridad de la infor!aci$n 4iene 4iene su origen en la *S 77++2,2002 . es la nor!a con arreglo a la cual se certifican por auditores e5ternos los S6SI de las organizaciones ue pu%licada el 89 de Octu%re de 2009 . sustitu.e a la *S 77++-2" a%indose esta%lecido unas condiciones de transici$n para a#uellas e!presas certificadas en esta <i!a Fundamentos de Seguridad Informática Servicios de Seguridad Informática

:n ser'icio de seguridad es a#uel #ue !ejora la seguridad de un siste!a de infor!aci$n . el flujo de infor!aci$n de una organizaci$n

3os ser'icios están dirigidos a e'itar los ata#ues de seguridad . utilizan uno o !ás !ecanis!os de seguridad para pro'eer el ser'icio Clasificación :na clasificaci$n !u. utilizada de los ser'icios de seguridad es la siguiente, •

•

Confidencialidad

 1utenticaci$n

•

Integridad

•

;o repudio

•

Control de acceso

•


Servicios de Seguridad Informática

Confidencialidad Ser'icio de seguridad o condici$n #ue asegura #ue la infor!aci$n no pueda estar disponi%le o ser descu%ierta por o para personas" entidades o procesos no autorizados 4a!%in puede 'erse co!o la capacidad del siste!a para e'itar #ue personas no autorizadas puedan acceder a la infor!aci$n al!acenada en l 3a confidencialidad es i!portante por#ue la consecuencia del descu%ri!iento no autorizado puede ser desastrosa 3os ser'icios de confidencialidad pro'een protecci$n de los recursos . de la infor!aci$n en tr!inos del al!acena!iento . de la infor!aci$n" para

asegurarse #ue nadie pueda leer" copiar" descu%rir o !odificar la infor!aci$n sin autorizaci$n 1s= co!o interceptar las co!unicaciones o los !ensajes entre entidades

ecanis!os para sal'aguardar la confidencialidad de los datos, •

•

El uso de tcnicas de control de acceso a los siste!as El cifrado co!unicaciones

de

la

infor!aci$n

confidencial

o

de

las

Fundamentos de Seguridad Informática Servicios de Seguridad Informática

Autenticación Es el ser'icio #ue trata de asegurar #ue una co!unicaci$n sea autntica" es decir" 'erificar #ue el origen de los datos es el correcto" #uin los en'i$ . cuándo fueron en'iados . reci%idos ta!%in sean correctos  1lgunos !todos de autenticaci$n son, •

•

•

*io!dicas" por uellas dactilares" retina del ojo" etc

4arjetas inteligentes #ue guardan infor!aci$n de los certificados de un usuario

todos clásicos %asados en contrasea,

Co!pro%aci$n local o !todo tradicional en la propia

o

!á#uina

o

Co!pro%aci$n en red o !todo distri%uido" !ás utilizado actual!ente

unda!entos de Seguridad Infor!ática

Servicios de Seguridad Informática

Integridad Ser'icio de seguridad #ue garantiza #ue la infor!aci$n sea !odificada" inclu.endo su creaci$n . %orrado" s$lo por el personal autorizado El siste!a no de%e !odificar o corro!per la infor!aci$n #ue al!acene" o per!itir #ue alguien no autorizado lo aga El pro%le!a de la integridad no s$lo se refiere a !odificaciones intencionadas" sino ta!%in a ca!%ios accidentales

Servicios de Seguridad Informática

o re!udio El no repudio sir'e a los e!isores o a los receptores para negar un !ensaje trans!itido >or lo #ue cuando un !ensaje es en'iado" el receptor puede pro%ar #ue el !ensaje fue en'iado por el presunto e!isor
unda!entos de Seguridad Infor!ática

Servicios de Seguridad Informática

Control de Acceso

:n control de acceso se ejecuta con el fin de #ue un usuario sea identificado . autenticado de !anera e5itosa para #ue entonces le sea per!itido el acceso

3os co!ponentes %ásicos de un !ecanis!o de control de acceso son las entidades de red" los recursos de la red . los derecos de acceso Estos <i!os descri%en los pri'ilegios de la entidad o los per!isos con %ase en #u condiciones las entidades pueden tener acceso a un recurso de la red . c$!o estas entidades son per!itidas para tener  acceso a un recurso de la red El control de acceso puede ejecutarse de acuerdo con los ni'eles de seguridad . puede ejecutarse !ediante la ad!inistraci$n de la red o por una entidad indi'idual de acuerdo con las pol=ticas de control de acceso unda!entos de Seguridad Infor!ática

Servicios de Seguridad Informática

"is!oni#ilidad En un entorno donde las co!unicaciones juegan un papel i!portante es necesario asegurar #ue la red est sie!pre disponi%le

3a disponi%ilidad es un ser'icio #ue garantiza #ue los usuarios autorizados tengan acceso a la infor!aci$n . a otros acti'os de infor!aci$n asociados en el lugar" !o!ento . for!a en #ue es re#uerido :n siste!a seguro de%e !antener la infor!aci$n disponi%le para los usuarios El siste!a" tanto ard?are co!o soft?are" de%e !antenerse funcionando eficiente!ente . ser capaz de recuperarse rápida!ente en caso de fallo

Amena$as

:na a!enaza se representa a tra's de una persona" una circunstancia o e'ento" un fen$!eno o una idea !aliciosa" las cuales pueden pro'ocar dao en los siste!as de infor!aci$n" produciendo prdidas !ateriales" financieras o de otro tipo 3as a!enazas son !<iples desde una inundaci$n" un fallo elctrico o una organizaci$n cri!inal o terrorista 1s=" una a!enaza es todo a#uello #ue intenta o pretende destruir

Amena$as %umanas

Surge por ignorancia en el !anejo de la infor!aci$n" por descuido" por  negligencia" por inconfor!idad >ara este caso se pueden considerar  a los hackers, crakers, phreakers, carding, trashing, gurús, lamers o scriptkiddies, copyhackers, bucaneros, newbie, wannabers, samurai, creadores de virus y los que se listan a continuación:

•

Ingeniería social:es la !anipulaci$n de las personas para con'encerlas de #ue ejecuten acciones o actos #ue nor!al!ente no realizan de for!a #ue re'elen datos indispensa%les #ue per!itan superar las %arreras de seguridad Esta tcnica es una de las !ás usadas . efecti'as al !o!ento de a'eriguar no!%res de usuarios . contraseas undamentos de Seguridad Informática

Amenazas Hardware

Este tipo de a!enazas se da por fallas f=sicas #ue se encuentra presente en cual#uier ele!ento de dispositi'os #ue confor!an la co!putadora 3os pro%le!as !ás identificados para #ue el su!inistro de energ=a falle son el %ajo 'oltaje" ruido electro!agntico" distorsi$n" interferencias" alto 'oltaje" 'ariaci$n de frecuencia" etc

Amenazas Red

Se presenta una a!enaza cuando no se calcula %ien el flujo de infor!aci$n #ue 'a a circular por el canal de co!unicaci$n" es decir" #ue un atacante podr=a saturar el canal de co!unicaci$n pro'ocando la no disponi%ilidad de la red Otro factor es la descone5i$n del canal

Fundamentos de Seguridad Informática Amena$as &ógica

Se presenta una a!enaza cuando no se calcula %ien el flujo de infor!aci$n #ue 'a a circular por el canal de co!unicaci$n" es decir" #ue un atacante podr=a saturar el canal de co!unicaci$n pro'ocando la no disponi%ilidad de la red Otro factor es la descone5i$n del canal

3a a!enaza se ace presente cuando un diseo %ien ela%orado de un !ecanis!o de seguridad se i!ple!enta !al" es decir" no cu!ple con las especificaciones del diseo 3a co!unicaci$n entre procesos puede resultar una a!enaza cuando un intruso utilice una aplicaci$n #ue per!ita e'itar . reci%ir infor!aci$n" sta podr=a consistir en en'iar  contraseas . reci%ir el !ensaje de contrasea 'álida@ dándole al intruso ele!entos para un posi%le ata#ue En la !a.or=a de los siste!as" los usuarios no pueden deter!inar si el ard?are o el soft?are con #ue funcionan son los #ue supone #ue de%en ser Esto facilita al intruso para #ue pueda ree!plazar un progra!a sin conoci!iento del usuario . ste pueda inad'ertida!ente teclear su contrasea en un progra!a de entrada falso al cual ta!%in se le deno!ina c$digos !aliciosos 3os tipos de c$digos !aliciosos !ás co!unes son, ca%allos de 4ro.a" 'irus" gusanos" %o!%as de tie!po . Ae.loggers 

Ca#allos de 'ro(a Es un progra!a aparente!ente &til #ue contiene funciones escondidas . ade!ás pueden e5plotar los pri'ilegios de un usuario dando co!o resultado una a!enaza acia la seguridad :n ca%allo de 4ro.a es !ás peligroso #ue un ad!inistrador  del siste!a o un usuario con ciertos pri'ilegios" .a #ue se introducen al siste!a %ajo una apariencia total!ente diferente a la de su o%jeti'o final@ esto es" #ue se presente co!o infor!aci$n prdida o %asura" sin ning&n sentido >ero al ca%o de alg&n tie!po" . esperando la indicaci$n del progra!a" despierta . co!ienzan a ejecutarse . a !ostrar sus 'erdaderas intenciones 4a!%in pueden aparentar ser un progra!a de juegos o entretener al usuario !ostrando pantallas de espectáculos . sonidos agrada%les" !ientras realizan operaciones dainas para el siste!a Fundamentos de Seguridad Informática Amenazas Fenómenos naturales que provocan desastres

3os diferentes fen$!enos naturales #ue pro'ocan desastres representan uno de los riesgos !ás fuertes . de%ido a la e5istencia de stos se con'ierte en una de las razones por la cuales de%en desarrollarse planes de contingencia . aplicarse !edidas en pro de la seguridad de la infor!aci$n rotecci$n Ci'il,



)eológicos 4ienen sus or=genes en la acti'idad de las placas tect$nicas . fallas continentales . regionales #ue cruzan . circundan a la ep&%lica e5icana Co!o son, Sis!os ulcanis!o Colapso de suelos Bundi!iento agrieta!iento

regional

.

 1lgunas consecuencias de los sis!os . erupciones tales co!o !are!otos (tsuna!i) . laares

Fundamentos de Seguridad Informática *ulnera#ilidades

3a 'ulnera%ilidad de un siste!a infor!ático son todas a#uellas de%ilidades #ue se están presentando en el siste!a" lo cual ace suscepti%le de ser afectado" alterado o destruido por alguna circunstancia indeseada" #ue afectan al funciona!iento nor!al o pre'isto de dico siste!a infor!ático 3as 'ulnera%ilidades pueden clasificarse en seis tipos, 8

F+sica

2

atural



"e ,ard-are

D

"e soft-are

9

"e red



%umana

unda!entos de Seguridad Infor!ática

*ulnera#ilidades F+sicas

3o pode!os encontrar en el edificio o entorno f=sico 3a relaciona!os con la posi%ilidad de entrar o acceder f=sica!ente al lugar donde se encuentra el siste!a para ro%ar" !odificar o destruir el !is!o Esta 'ulnera%ilidad se refiere al control de acceso f=sico al siste!a

Fundamentos de Seguridad Informática *ulnera#ilidades aturales

Se refiere al grado en #ue el siste!a puede 'erse afectado de%ido a los fen$!enos naturales #ue causan desastres 3as 'ulnera%ilidades pueden ser,

•

•

•

•

•

•

;o contar con un espejo del siste!a en otro lugar geográfico en caso de inundaciones o terre!otos

;o disponer de reguladores" no-%reaAs" plantas de energ=a elctrica alterna

4ener una !ala instalaci$n elctrica de los e#uipos" en caso de ra.os" fallas elctricas o picos altos de potencia

 1de!ás de #ue las instalaciones se encuentren en !al estado" no contar con un adecuado siste!a de 'entilaci$n . calefacci$n para #ue los e#uipos en te!peraturas de 8F . 28 GC . se tenga una u!edad entre DF . 9H

En caso de inundaciones" el no contar con paredes" tecos i!per!ea%les . puertas #ue no per!itan el paso del agua

;o estar infor!ado de las condiciones cli!atol$gicas locales al construir un centro de c$!puto o para to!ar !edidas en deter!inado tie!po unda!entos de Seguridad Infor!ática

*ulnera#ilidades de %ard-are

El no 'erificar las caracter=sticas tcnicas de los dispositi'os junto con sus respecti'as especificaciones" la falta de !anteni!iento del e#uipo
Fundamentos de Seguridad Informática

Vulnerabilidades de Software

Ciertas fallas o de%ilidades de los progra!as del siste!a ace !ás fácil acceder al !is!o . lo ace !enos confia%le Este tipo de 'ulnera%ilidades inclu.e todos los errores de progra!aci$n en el siste!a operati'o u otros de aplicaciones #ue per!ite atacar al siste!a operati'o desde la red e5plotando la 'ulnera%ilidad en el siste!a

Fundamentos de Seguridad Informática Vulnerabilidades de Red

3a cone5i$n de las co!putadoras a las redes supone un enor!e incre!ento de la 'ulnera%ilidad del siste!a" au!enta considera%le!ente la escala de riesgos a #ue está so!etido" al au!entar la cantidad de gente #ue puede tener acceso al !is!o o intenta tenerlo 4a!%in se aade el riesgo de intercepci$n de las co!unicaciones, •

•

Se puede penetrar al siste!a a tra's de la red

Interceptar infor!aci$n #ue es trans!itida desde o acia el siste!a

Se de%e tener cuidado en #ue el centro de c$!puto no tenga fallas de%ido a una !ala estructura . en el diseo del ca%leado estructurado por no seguir ning&n estándar para el diseo e i!ple!entaci$n del !is!o

Fundamentos de Seguridad Informática *ulnera#ilidades %umanas

 1lgunas de las diferentes 'ulnera%ilidades u!anas se tienen,

•

Contratar personal sin perfil psicol$gico . tico

•

;o tener personal suficiente para todas las tareas"

•

El descuido"

•

El cansancio"

•

•

•

•

•

altrato del personal" as= co!o la !ala co!unicaci$n con el personal" !alos entendidos

>ersonal irresponsa%le" #ue descuida el acceso a su área de tra%ajo"

;o tener ser'icio tcnico propio de confianza"

;o instruir a los usuarios para #ue e'iten responder a preguntas so%re cual#uier caracter=stica del siste!a"

;o asegurarse de #ue las personas #ue lla!an por telfono son #uienes dicen ser"

•

•

•

El no tener control de acceso o acceso %asado en restricciones de tie!po"

;o contar con guardias de seguridad"

;o tener un control de registros de entrada . salida de las personas #ue 'isitan el centro de c$!puto" http://blog.segu-info.com.ar/2014/01/isoiec-2000-para-descargagratuita.html