Introducción
A raíz del aumento desmesurado de ataques a los sistemas informáticos se han creado normas, estándares y metodologías de seguridad cuya única finalidad es la de servir de herramienta de detección de riesgos para la implantación de buenas prácticas de Seguridad Informática, que sean la base de un gran Sistema de Gestión de Seguridad de la Información (SGSI).
Las medidas de seguridad física ayudan a minimizar el riesgo de un ataque directo, bien sea para destruir los sistemas o para tener acceso a la información por medio de uno de los equipos conectados a la red o mediante la conexión directa a uno de los puntos de red habilitados.
Al intercambiar información a través de Internet, se abren canales de comunicación, que de no ser manejados correctamente, pueden dejar puertos abiertos los cuales son utilizados por los hackers para recopilar información de nuestro sistema de cómputo y poder lanzar sus ataques.
Objetivos
Objetivo General
Reconocer los estándares de seguridad informática y su aplicación en planes, análisis y mapas de riesgos que permitan mitigar las posibles vulnerabilidades a través de mecanismos de defensa en ambientes de tecnologías de la información.
Competencia Global
Aplica los estándares de seguridad informática en planes, análisis y mapas de riesgos que permitan mitigar las posibles vulnerabilidades a través de mecanismos de defensa en ambientes de tecnologías de la información.
Normas, estándares, metodologías y buenas prácticas
En Seguridad Informática las normas, estándares y metodologías aseguran la protección de la información implementando lineamientos de seguridad a nivel internacional.
Estándares como ISO 27000, COBIT e ITIL establecen directrices que corresponden a una guía de mejores prácticas que deben adoptar las organizaciones con el fin de gestionar los mecanismos de control de los sistemas de información.
Por su parte, el estándar ISO 27000 establece certificaciones, directrices, métricas, tratamiento de la gestión del riesgo, acreditación de las organizaciones, auditoría, técnicas de seguridad y gestión de incidentes; COBIT es la guía de mejores prácticas para el manejo de la información; e ITIL es el marco de referencia para gestionar los niveles de servicios de Tecnologías de la Información.
Normas, estándares, metodologías y buenas prácticas
Estándares ISO 27000, COBIT e ITIL
- ISO 27000
Es una norma mundialmente aceptada para la seguridad informática, corresponde a una serie de normas y estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) (López, A. y Ruiz, J. , 2012).
- COBIT
Guía de mejores prácticas desarrolladas por la asociación ISACA, corresponde a un estándar de referencia para la dirección de Tecnologías de la Información (IT) de las empresas, y funciona como herramienta de soporte que permiten a la gerencia conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio generando confianza en los sistemas de información y permitiendo entender cómo dirigirlos y gestionarlos estableciendo códigos de buenas prácticas que debe ser utilizado por los proveedores de los sistemas.
- ITIL
Es la Biblioteca de Infraestructura de Tecnologías de Información ITIL, por su sigla en inglés InformationTechnologyInfraestructureLibrary, es un marco de referencia para gestionar los diferentes niveles de servicios de Tecnología de la Información.
Normas, estándares, metodologías y buenas prácticas
OSSTMM y OWASP
- Open Source Security Testing Methodology Manual (OSSTMM)
Es el Manual de Metodología Abierta de Comprobación de la Seguridad, realizado como proyecto de metodología abierta (Open Methodology License), lo que le permite a cualquier persona u organización, poder utilizarlo sin necesidad de adquirir una licencia.
Al ser creado como proyecto de software libre, ha permitido que muchos expertos de varios países del mundo contribuyan a su evolución a través de Internet, aportando sus propias experiencias; esto garantiza que las pruebas de seguridad sean más confiables.
- Open Web Application Security Project (OWASP)
Es un proyecto abierto de seguridad, dedicado a encontrar y tratar de eliminar las causas que hacen que el software no sea confiable. Todas sus herramientas, incluyendo foros, documentos y capítulos son abiertos y de libre acceso a cualquiera que desee mejorar la seguridad de sus aplicciones.
La fundación OWASP es una comunidad abierta dedicada a las organizaciones que permitan concebir, desarrollar, adquirir, operar y mantener las aplicaciones de manera confiable.
Normas, estándares, metodologías y buenas prácticas
Buenas prácticas de seguridad informática
Es fundamental para cualquier organización hacer una adecuada gestión de la plataforma tecnológica en la cual está la información es decir los servidores, equipos de red, aplicaciones, etc. Esta gestión va unida a buenas prácticas en Seguridad Informática que deben ser implantadas no solo por el departamento de informática sino también por cada uno de los usuarios, con el fín de minimizar los riesgos y vulnerabilidades de los sistemas de información.
Algunas de estas buenas prácticas son:
- Mantener actualizado el sistema operativo, los antivirus y las aplicaciones
- Asegurar el sistema operativo
- Protección del correo electrónico
- Seguridad en la navegación web
- Seguridad en redes sociales
- Seguridad en redes P2P
- Seguridad en mensajería instantánea
- Seguridad en dispositivos removibles
Contramedidas y SGSI
Dentro de las técnicas de contramedida se encuentra el uso de la criptografía, la seguridad perimetral, la implementaciónd del Windows Server Update Services y el Hardening entre otros.
-
Criptografía
La criptografía es el arte de cifrar mensajes mediante técnicas especiales, de tal manera que solo puedan ser leídos por las personas a las que van dirigidos y que posean la información necesaria para poder descifrarlos.
-
Seguridad perimetral
Son herramientas de seguridad estableciendo mecanismos de hardware y software que evitan o detectan actividades sospechosas dentro de los sistemas de información.
-
WSUS (Windows Server Update Services)
Permite la distribución de los parches y actualizaciones publicadas por Microsoft de forma centralizada para todos los puestos cliente que corran con cualquier sistema operativo de Windows, de forma práctica, comóda y programada permitiendonos una gestión más correcta del ancho de banda disponible en la LAN.
-
Hardening
Es un proceso mediante el cual se ejecutan un conjunto de acciones tendientes a disminuir las vulnerabilidades de un sistema informático
Contramedidas y SGSI
Continuidad de negocios
Cada dia las empresas dependen más de sus sistemas de información, a tal punto que sin ellos no podrían seguir funcionando correctamente, o incluso no funcionarían del todo, poniendo en riesgo la continuidad de su negocio. Si la empresa detiene sus actividades y no puede suministrar los pedidos a sus clientes, ni atenderles sobre sus demandas, esto traería graves consecuencias económicas.
Esta discontinuidad del negocio en muchas ocasiones viene provocada por factores externos a la propia compañía, desastres naturales o provocados por el hombre, incendios, terremotos, huracanes, etc, sobre los cuales no tenemos control y no podemos evitar, pero si puede de alguna manera, planificar cómo reaccionar ante estas situaciones adversas para poder continuar prestando a sus clientes los servicios ofrecidos
Para minimizar los riesgos que puedan afectar la continuidad de negocio se debe implantar un sistema que sea capaz de planificar la continuidad de negocio y cómo sobreponerse y recuperarse.
Un plan que asegure la continuidad de negocio es fundamental para asegurar que la organización sea durarera en el tiempo. Tener bien implantado este plan, asegura no sólo la protección de la información que es esencial para el desarrollo contra una situación en la que pueda corromperse o destruirse, sino que hace un análisis continuo de los procesos productivos del negocio, lo cual le permitiría regenerarse y volver a su estado normal en la eventualidad de una pérdida total o parcial de las operaciones que se realizan a diario, es decir un plan de Gestión de la Continuidad del Negocio.
Asegurar el acceso a la información es mucho más que disponer de copias de seguridad, hay que garantizar la existencia de un plan que permita contar con una infraestructura que haga posible recuperar las copias de seguridad en las mismas condiciones que habían antes de que ocurriera el desastre, garantizando la continuidad de los procesos de la compañía.
Existe una metodología que se basa en la adopción de una serie de buenas prácticas que son reconocidas y aceptadas mundialmente y en normas internacionalmente aprobadas basadas en la gestión de riesgos.
La Gestión de Continuidad de Negocio obliga a un proceso continuo, que empieza con un conocimiento detallado del entorno de la empresa motivo de análisis, con el fin de que la continuidad sea parte de las estrategias de la organización.
Contramedidas y SGSI
Sistema de Gestión de la Seguridad de la Información (SGSI)
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de administración de la información. El término es utilizado principalmente por la norma ISO/IEC 27001.
Este tipo de sistema incluye el diseño, implantación y mantenimiento de procesos para gestionar eficientemente la accesibilidad de la información asegurando la confidencialidad, integridad y disponibilidad de los activos informáticos minimizando a la vez los riesgos de seguridad de la información.
Como cualquier proceso de gestión, debe seguir siendo eficiente a través del tiempo adaptándose a los cambios internos de la organización y del entorno.
 |
Mediante la utilización de medios tecnológicos, no se alcanza un nivel de seguridad aceptable, es más es insuficiente.
Para alcanzar una gestión de la seguridad, se debe contar con la participación activa de todos los entes activos de la organización, teniendo en primer lugar a la gerencia, luego los clientes y proveedores.
El Modelo de Gestión de la Seguridad debe tener en cuenta los procedimientos más adecuados para cada situación y la planificación e implementación de controles de seguridad surgidos de la evaluación y medición de riesgos.
Contramedidas y SGSI
CIO: Oficial de Seguridad
Un CIO (Chief Information Officer por sus siglas en inglés), es uno de los cargos más importantes actualmente en las empresas, nació de la necesidad de cambio y adaptación en el área informática en la mayoría de empresas y organizaciones.
Tradicionalmente ha existido el cargo de director o gerente de sistemas, este cargo sería el antecesor del cargo de CIO, pero para ser CIO, hay que contar con ciertos atributos o habilidades, que no todo gerente tiene.
El CIO, es el encargado de buscar y seleccionar la tecnología que mejor se adapte a los planes estratégicos que la empresa se ha fijado. Por esta razón el CIO, es el encargado de la planeación, organización, dirección y control de todo lo que tenga que ver con el área de sistemas e informática.
El CIO debe ir a la par con la evolución de la empresa, para ser un soporte que ayude a alcanzar los objetivos propuestos, y debe tener la habilidad de solucionar las dificultades del día a día.
Contramedidas y SGSI
Certificaciones Internacionales de Seguridad
Existen varias Certificaciones Internacionales en Seguridad Informática de acuerdo a su campo de acción. Algunas de las principales son:
-
Certified Ethical Hacker por EC-Council
-
Gerente Certificado de Seguridad de la Información (CISM) por ISACA
-
Profesional Certificado de Sistemas de Información de Seguridad (CISSP) por ISC2
-
Profesional de la Seguridad Inalámbrica Certificado (CWSP) por Certified Wireless Network Professional (CWNP)
-
CompTIA
-
Global Information Assurance Certification (GIAC)
Footprinting y Scanning
Conocer los conceptos de footprinting y scanning son determinantes a la hora de prevenir ataques a los sistemas, ya que son técnicas usadas por los hackers para realizar ataques a sistemas vulnerables.
- Footprinting: Es el proceso de creación de un mapa de las redes y sistemas de una organización y es parte del proceso de recopilación de información (Information Gathering). El footprinting, comienza con la determinación del objetivo del ataque, para luego recopilar la mayor cantidad de información por medio de métodos no intrusivos como búsquedas online con Google o cualquier otro buscador.
- Scanning: Es un método para descubrir canales de comunicación susceptibles de ser explotados escaneando los puertos y enviando paquetes para varios protocolos para identificar los servicios que se están escuchando a través de las respuestas recibidas o no recibidas. Antes de lanzar el ataque, el intruso analiza toda la información que obtuvo en la Fase del Reconocimiento para identificar vulnerabilidades específicas. Por ejemplo, si en el Reconocimiento, el atacante descubrió que se usa Windows 7, entonces buscará vulnerabilidades especificas que tenga ese sistema operativo para saber por dónde atacar.
Otros métodos para obtener información e identificar riesgos son:
Prácticas de Footprinting
RIRs y NICs
RIR (Regional Internet Registry)
Un Registro Regional de Internet o RIR, por sus siglas en inglés, es una organización sin ánimo de lucro encargada de la asignación y el registro de recursos de números de Internet como IPv4 e IPv6 y números de sistemas autónomos (para su uso en encaminamiento BGP).
Existen cinco RIR en el mundo, de acuerdo a zona en la que actúan:
- ARIN, para Estados Unidos y Canadá
- RIPE, para Europa, Medio Oriente y Asia Central
- APNIC, para Asia y la Región Pacífica
- LACNIC, para América Latina y el Caribe
- AfriNIC, para África
NIC (Network Information Center)
Un Centro de Información sobre la Red o NIC, por sus siglas en inglés, es una institución que se encarga de asignar los dominios de internet a quienes los solicitan. En cada país del mundo existe una organización NIC, que se encargan de entregar dominios a personas o empresas.
En muchos países, las NIC, son administradas por compañias privadas e incluso por universidades. Por ejemplo, en Colombia, se asignan los dominios: -.com.co, .mil.co, .edu.co, gov.co- y es administrado por .CO Internet S.A.S, que depende del Ministerio de las TIC.
Resumen
Con el crecimiento exponencial en ataques informáticos de todos los tipos conocidos han surgido normas y estándares internacionales de seguridad que buscan, mediante la adopción de un marco de referencia y un conjunto de mejores prácticas de seguridad informática, minimizar el riesgo de sufrir ataques que puedan vulnerar los sistemas y causar daños que pueden llegar a paralizar la operación de la empresa.
En la búsqueda de lograr un sistema seguro se han desarrollado metodologías para la realización de pruebas y análisis de seguridad, realizando auditoría de cómo se comportarían los sistemas frente a un ataque.
Al detectar vulnerabilidades, se deben implementar un conjunto de contramedidas y sistemas de seguridad que logren reducirlas al mínimo, tanto en la parte física como en la parte lógica, de tal manera que dificulten y disuadan al atacante de continuar con su propósito.
Los atacantes recopilan la mayor cantidad de información del sistema que tienen por objetivo atacar y realizar exploraciones de todo tipo buscando puertos y canales de comunicación abiertos, y utilizarlos para descubrir las versiones de sus sistemas operativos y los servicios activos entre otras cosas.
Para lanzar sus ataques utilizan varias técnicas desde el uso de herramientas incluidas en sistemas operativos como Linux hasta aprovechar el potencial que tiene Google, para buscar en las bases de datos del buscador, puntos de entrada sensible.
Actividad de aprendizaje
Desarrolla la Actividad de aprendizaje teniendo en cuenta los protocolos que permiten la transmisión de información.
Para lanzar sus ataques utilizan varias técnicas desde el uso de herramientas incluidas en sistemas operativos como Linux hasta aprovechar el potencial que tiene Google, para buscar en las bases de datos del buscador, puntos de entrada sensible.
Bibliografía ()
- Angelos, K. y MOTI Yung. (Eds). (2005). Applied Cryptography and Network Security Editors: John Loannidis.CCAELI, William. Information Security for Managers; 1989, Stockton Press, New York, NY
- Braun, T., Carle, G. y Koucheryavy, Y. (Eds.). (2005). Wired/Wireless Internet Communications. Third International Conference, WWIC 2005, Xanthi, Greece, May 11-13, 2005. Proceedings
- Cheswick, W., Bellovin S. y Rubin, A. (Eds). (2002). Firewalls and Internet security: Repelling the Wily Hacker; 1994, Addison. Wesley Publishing Company, Reading, MA.
Referencias Web
- Information Security and Cryptology – ICISC 2004 Editors: Choonsik Park, Seongtaek Chee Isaca (2016). What is Cobit 5? Recuperado de http://www.isaca.org/cobit/pages/default.aspx
- López, A. y Ruiz, J. (2012). Serie 27K. El portal de ISO 27001 en español. Recuperado de http://www.iso27000.es/
- Microsoft (2016). Introducción a Windows Server Update Services. Recuperado de https://technet.microsoft.com/library/hh852345.aspx
- S.Barry Cooper, BenediktLöwe, Leen Torenvliet (eds.) New Computational Paradigms. Amsterdam: The Netherlands, Smartekh (2012) ¿Qué es Hardening? Recuperado de http://blog.smartekh.com/¿que-es-hardening/
- Szczepaniak, P., Kacprzyk, J. y Niewiadomsk, A. (Eds.). (2005). Advances in Web Intelligence. Alemania: Springer. Recuperado de . https://goo.gl/N7awX4
- Camelo, L. (2010). Qué es COBIT? Recupera de http://seguridadinformacioncolombia.blogspot.com.co/2010/07/que-es-cobit.html
- Connectsphere (2016). Service Lifecycle Managemente. Recuperado de http://www.connectsphere.com/consulting/itil-service-lifecycle