Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

CONTENIDO

DEFINICIN ...................................................................................................................................... 2
1.1
1.2
1.3
1.4
1.5
1.6

QU ES LA SEGURIDAD INFORMTICA?....................................................................................... 2
POR QU LA SEGURIDAD INFORMTICA ES AHORA TAN IMPORTANTE? ....................................... 3
TRES INSTANCIAS DE LA SEGURIDAD ............................................................................................ 5
ESTNDARES ................................................................................................................................ 6
REQUERIMIENTOS DE SEGURIDAD ................................................................................................ 7
ROLES DE SEGURIDAD .................................................................................................................. 8

OTRAS DEFINICIONES IMPORTANTES .................................................................................... 9

2.1
2.2
2.3

AMENAZAS................................................................................................................................... 9
RIESGOS ..................................................................................................................................... 11
OTRAS DEFINICIONES ................................................................................................................. 11

RETOS ACTUALES PARA LA SEGURIDAD DENTRO DE LAS ORGANIZACIONES...... 12

CICLO DE VIDA DE LA SEGURIDAD........................................................................................ 12

SEGURIDAD FSICA VS. SEGURIDAD LGICA ..................................................................... 13

5.1
5.2

SEGURIDAD FSICA ..................................................................................................................... 14

SEGURIDAD LGICA ................................................................................................................... 14

MANEJO DE INCIDENTES Y PLANES DE CONTINGENCIAS ............................................. 15

REFERENCIAS................................................................................................................................ 17

APNDICES ..................................................................................................................................... 18
8.1
8.2

ALGUNOS ESTNDARES DE LA ISO ............................................................................................ 18

RECOMENDACIONES DE LA IETF, RELACIONADAS CON SEGURIDAD INFORMTICA ................... 20

Noviembre de 2005
Bogot, Colombia

pgina 1

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

CAPTULO I
INTRODUCCIN A LA SEGURIDAD INFORMTICA
La seguridad informtica es tan fuerte como el ms dbil
de sus mecanismos de apoyo sea; as como una cadena
es tan fuerte como el ms dbil de sus eslabones

1 Definicin
1.1 Qu es la seguridad informtica?
La seguridad de la informacin es un conjunto de procesos,
procedimientos, tareas y actividades implementados con elementos de
computacin y telecomunicaciones para controlar y proteger contra
amenazas que pongan en riesgo los recursos informticos (informacin,

equipos, etc.) ubicados en un sitio especfico, durante su estada en un

medio de almacenamiento o durante su transmisin, en sus aspectos de
integridad, disponibilidad, confidencialidad y autenticidad. [1]

De esta definicin es importante resaltar lo siguiente:

Conjunto de procesos, procedimientos, tareas y actividades, lo cual
indica que la seguridad es un sistema complejo y que implica el engranaje
de muchas piezas.
implementados con elementos de computacin y telecomunicaciones; es
muy importante el apoyo tecnolgico pero no es lo nico. Muchas
organizaciones (o personas dentro de las organizaciones) consideran que
con el simple hecho de adquirir una o varias herramientas tecnolgicas de
apoyo a la seguridad es suficiente para lograr seguridad informtica en la
organizacin. Por ejemplo, compran un firewall o un software de antivirus
y creen que con esto ya tienen seguras sus redes, pero si no configuran el
firewall o el software de antivirus y no se tienen procedimientos de
revisin de dichos elementos, polticas de seguridad, tareas peridicas de
actualizacin, etc., ni el firewall ni el antivirus apoyarn la seguridad de
los recursos informticos.

Noviembre de 2005
Bogot, Colombia

pgina 2

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

que pongan en riesgo los recursos informticos; un recurso muy

importante para una organizacin es la informacin y por eso la seguridad
informtica merece atencin, pero no es lo nico que se debe proteger:
los recursos fsicos de cmputo (servidores, computadores, dispositivos de
red, etc.) y por supuesto el recurso humano tambin deben estar
protegidos. De todos estos recursos debe ocuparse la seguridad
informtica.
Ms adelante se darn definiciones de integridad, disponibilidad,
confidencialidad y autenticidad.

1.2 Por qu la seguridad informtica es ahora tan

importante?
Conociendo que es la seguridad informtica, es relevante resaltar su
importancia actual para lo cual es instructivo hablar sobre su origen y
evolucin.
Al inicio de la era de la informtica y los computadores, con el aumento
del procesamiento de datos en las empresas, aquellas que contaban con
los suficientes recursos econmicos utilizaban un computador grande o
mainframe instalado en un centro de cmputo protegido. El sitio y el
computador eran administrados por especialistas que eran los nicos que
tenan acceso a la mquina. En tales condiciones la seguridad consista
bsicamente en garantizar que los especialistas fueran de confianza y que
el lugar en donde estaba el computador tuviera las condiciones adecuadas
de ambiente y seguridad de acceso fsico.
Luego de esta primera etapa aparecen las terminales brutas, las cuales
eran una simple extensin de la pantalla del computador (inicialmente
muy cerca del mainframe y luego hasta varios kilmetros de distancia
usando lneas de comunicaciones) que permitan que ms de una persona
hiciera uso del mismo. En este esquema, la seguridad, adems de incluir
el ambiente y acceso al computador, estaba relacionada con las personas
que podan usar las terminales, que generalmente era un pequeo grupo
selecto de individuos; se identificaba desde donde lo hacan y el sistema
controlaba que la mquina tuviera la capacidad de permitir el trabajo
multiusuario. Todava no existan los problemas complejos de
autenticacin de usuarios en lnea y permisos de uso de recursos
distribuidos.
En una siguiente etapa aparecen los computadores personales con la
capacidad de almacenar datos. El tema de la seguridad se complica pues
Noviembre de 2005
Bogot, Colombia

pgina 3

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

ya los recursos informticos (informacin, computadores, etc.) no estn

en un sitio cerrado, fcil de custodiar y controlar sino que estn
distribuidos por toda la empresa y son utilizados por muchas ms
personas.
Posteriormente, aparecen las redes de rea local o LAN en donde los
computadores de los usuarios se interconectan con los servidores,
permitiendo la movilidad de informacin de un lugar a otro de manera gil
y sencilla. El tema de seguridad se vuelve relevante pues cualquier
persona que tenga acceso a un computador de la red, potencialmente
podra obtener informacin de otros computadores o de un servidor o
enviar a travs de la red virus o software que comprometera la
disponibilidad de los servicios y datos que se encuentren almacenados
tanto en computadores como en servidores.
Con el desarrollo de las redes de rea extensa o WAN y en particular con
Internet y la interconexin global de redes de todo tipo, donde ya no
importa la localidad o la plataforma de cmputo, es posible acceder a
muchos otros computadores y servidores. Este enfoque tiene grandes
ventajas pero tambin genera mayores retos para la seguridad de los
recursos informticos. Ahora es posible recibir ataques (intentos de acceso
ilegales, denegaciones de servicio, virus, etc.) no slo internos a la
organizacin sino tambin externos, desde cualquier lugar del mundo.
Tambin es necesario considerar el uso de los computadores pues este ha
cambiado significativamente con los aos. Antes slo se usaban los
computadores para aplicaciones muy particulares y especficas pero en la
actualidad se usan en casi todas las actividades y como resultado de la
interconexin hay gran cantidad de datos viajando y siendo accedidos
desde cualquier parte. Un ejemplo particular y tal vez de gran sensibilidad
es la evolucin de los bancos y el manejo del dinero. Al principio todo
deba hacerse a travs de las oficinas del banco o inclusive en la sucursal
en donde se tena la cuenta, pero actualmente toda la banca est a un
clic y es posible realizar transacciones por medio de los computadores y
las redes.
De igual manera han cambiado las personas. Antes slo unos pocos
conocan de computadores, lo cual no es cierto ahora; con el agravante
que algunos pocos saben como vulnerar la seguridad de un sistema en
particular y publican un manual paso a paso de cmo realizar las
violaciones; ya no es necesario ser un experto para violar un sistema,
basta con seguir las instrucciones de otro.

Noviembre de 2005
Bogot, Colombia

pgina 4

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

Es evidente que la proteccin de la informacin y de los recursos

informticos en general es un asunto complejo de tratar y se requiere un
manejo mucho ms cuidadoso y formal. Actualmente se generan en las
empresas proyectos complejos de seguridad informtica; existen ofertas
educativas con especialidades en reas particulares de la seguridad; y han
surgido empresas dedicadas a este tipo de actividades y nuevos cargos
relacionados con el tema dentro de las empresas.

1.3 Tres instancias de la seguridad

La seguridad informtica, se puede realizar en tres perodos diferentes
que deben ser consecutivos pero usualmente dependen de los recursos
que la organizacin destina para la seguridad de sus recursos
informticos.
La primera instancia es prevenir: esto consiste en evitar que un ataque
tenga xito, mediante el uso de medidas preventivas. A esta categora
pertenecen todas las acciones que se realicen en la organizacin
tendientes a no permitir que ocurra un incidente de seguridad. Ejemplo de
esto son los mecanismos de autenticacin de usuarios que pretenden
evitar que accedan al sistema usuarios no permitidos mediante el uso de
tcnicas de usuario/clave, biometra, tarjetas inteligentes, etc.
No siempre es posible prevenir un ataque; la poltica puede ser que slo
se acta cuando ocurre el ataque.
La segunda instancia es detectar: cuando no es posible o no se desea
prevenir un ataque se debe por lo menos detectar: distinguir que se est
recibiendo un ataque en el mismo momento en el que ste ocurre para as
tomar acciones efectivas. Ejemplo de esto son los bloqueos automticos
de cuenta de usuario que ocurren en los cajeros automticos (ATM)
cuando se han realizado tres intentos de acceso fallidos. Despus de este
nmero de intentos el sistema central bloquea la cuenta porque se
presume que son accesos ilegales.
Puede ser el caso que las herramientas de deteccin sean muy costosas
para la organizacin y sta decida que solo actuar cuando ocurra el
hecho, no de manera preventiva.
La ltima instancia es recuperar: en este caso existen dos alternativas.
Ya ocurri el ataque y ha culminado. Entonces lo importante es recopilar
informacin sobre el evento y restaurar la produccin en los sistemas
afectados.

Noviembre de 2005
Bogot, Colombia

pgina 5

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

El ataque est en proceso. Se debe contener el ataque (si es posible) y

entrar a reparar cualquier dao causado, o continuar la operacin normal
y aplicar medidas defensivas. Este es el caso de un ataque de negacin de
servicio (Denial of Service), por ejemplo.

1.4 Estndares
Existen muchos estndares y recomendaciones de estndares
relacionadas con seguridad informtica producidos por diferentes
organizaciones
internacionales
de
estndares.
Las
principales
organizaciones son la ISO (International Organization for Standardization),
la IETF (Internet Engineering Task Force), el IEEE (Institute of Electrical
and Electronics Engineers) y el Instituto Nacional de Estndares y
Tecnologa o NIST (National Institute of Standards and Technology),
sucesor de la Oficina Nacional de Estndares de los Estados Unidos.
En particular, la ISO ha generado un conjunto de recomendaciones
generales de seguridad, algunas de las cuales se relacionan al final del
captulo, en el Apndice.
Para mayor informacin se puede consultar la siguiente direccin:
http://www.iso.org/iso/en/StandardsQueryFormHandler.Standar
dsQueryFormHandler?keyword=security&sortOrder=ISO&scopec
atalogue=CATALOGUE&scopeprogramme=PROGRAMME&title=tr
ue&cacheid=4040564
La IETF (Internet Engineering Task Force) ha publicado una gran cantidad
de recomendaciones denominadas RFC (Request For Comments)
relacionadas con la seguridad informtica y orientadas a Internet. Una
lista parcial se incluye en el Apndice.
Para mayor informacin se recomienda consultar:
http://www.ietf.org/rfc.html
Otra entidad que genera estndares en este tema es el IEEE (Institute of
Electrical and Electronics Engineers). El IEEE dentro de su estndar 802
para redes de rea Local LAN incluye entre los diferentes documentos
de estndares recomendaciones de seguridad. Ejemplos de esto son:

IEEE 802.11i: WLAN Security Standards

802.1X - Port Based Network Access Control
IEEE 802.20 Working Group on Mobile Broadband Wireless Access

Noviembre de 2005
Bogot, Colombia

pgina 6

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

Estos son algunos ejemplos de recomendaciones o estndares

relacionados con seguridad informtica, pero al interior de las dems
recomendaciones del IEEE se encuentran aspectos relacionados con
seguridad informtica para cada tipo de red especfica.
Para mayor informacin consultar la pgina oficial del IEEE:
www.ieee.org.
La Oficina Nacional de Estndares ha establecido estndares para la
encripcin de datos para uso comercial, no clasificado, por el gobierno de
los Estados Unidos.
As es como en 1977 public el estndar de encripcin de clave simtrica
DES (Data Encryption Standard), que ha sido utilizado extensamente en el
sector financiero y el comercio. Cuando se demostr, a finales de la
dcada de los 90, que no era muy seguro, se reemplaz por 3DES o tripleDES que ofrece mayor seguridad. En noviembre de 2001, el NIST anunci
como sucesor de DES el estndar de encripcin avanzada AES (Advanced
Encryption Standard), tambin conocido como algoritmo Rijndael, un
algoritmo de clave simtrica que procesa datos en bloques de 128 bits y
puede utilizar claves de 128, 192 y 256 bits de longitud.
Adems de los estndares de jure, que son los aprobados por una
organizacin formal y acreditada de estndares como las anteriormente
citadas, existen mltiples estndares de facto, que son aquellos que se
han desarrollado sin el patrocinio o la aprobacin de las organizaciones de
estndares y han resultado por la aceptacin de la industria de un
estndar especfico de un proveedor o fabricante. En esta categora est
el algoritmo RSA (llamado as por sus fundadores, Ron Rivest, Adi Shamir
y Leonard Adleman) que se ha convertido casi en un sinnimo de la
criptografa de la clave pblica.

1.5 Requerimientos de seguridad

Los requerimientos bsicos de seguridad son disponibilidad, integridad,
confidencialidad (privacidad) y autenticidad. A continuacin se dar una
breve definicin de cada uno:
Disponibilidad: Es la garanta de que la informacin y los servicios de la
red estarn accesibles para los usuarios, segn su perfil, en el momento
requerido y sin degradaciones (el perfil especifica los requerimientos de
cada usuario para su desempeo laboral en la empresa)
Integridad: Se refiere a la proteccin que se da a los activos
informticos para que slo puedan ser modificados por las personas
Noviembre de 2005
Bogot, Colombia

pgina 7

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

autorizadas: escritura, cambio de informacin, cambio de status,

borrado y creacin. Es diferente para cada empresa.
Confidencialidad o privacidad: Propiedad o requerimiento de la
seguridad que exige que la informacin sea accedida por cada usuario con
base en lo que debe ver en razn a su rea del negocio.
Autenticidad: Propiedad fundamental de la informacin de ser
confrontada en cualquier momento de su ciclo de vida contra su origen
real (verdadero/falso). Especialmente importante en sistemas financieros
y de negocios (banca, comercio electrnico, bolsa de valores, apuestas,
etc.) [1]
Otros requerimientos de seguridad son
No repudio: Registro e identificacin inequvoca de los participantes en
una transaccin electrnica, de tal manera que no puedan negarla en
ningn momento. Es necesario en casos como los siguientes: transaccin
de retiro de una cuenta bancaria desde Internet o por medio de un cajero
electrnico, donde posteriormente el cliente podra negar (repudiar) que
hizo la transaccin.
Consistencia: Requerimiento de las aplicaciones (aunque no exclusiva);
consiste en que su comportamiento sea idntico en las mismas
circunstancias. Es decir, que una aplicacin siempre produzca los mismos
resultados ante un determinado evento especfico y no que algunas veces
se comporte de una manera y otras veces, ante el mismo evento, se
comporte de otra manera.
Registro: Este requerimiento se refiere a que toda accin dentro de un
sistema informtico (aplicaciones, redes, computadores, bases de datos)
sea registrada con fines de hacer una auditora posterior; es decir que se
pueda saber lo que se hace dentro del sistema y quin lo hace.

1.6 Roles de seguridad

En seguridad informtica se definen cinco roles a saber:
Administrador de seguridad: el funcionario encargado, dentro de una
organizacin, de analizar, disear, desarrollar, implantar, probar y mejorar
los mecanismos de seguridad que se requieren para proteger los activos
informticos de la organizacin. Es el responsable de que la seguridad sea
efectiva y de realizar permanentemente revisiones de la misma en
beneficio de su mejoramiento continuo. El trabajo que realiza en algunas
ocasiones lo hace con el apoyo de consultores o asesores de apoyo y,
segn el caso, con un grupo de expertos en seguridad a su cargo dentro
de la organizacin (vase seccin 4 ms adelante).

Noviembre de 2005
Bogot, Colombia

pgina 8

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

Auditor, asesor, consultor: Son generalmente personas externas a la

organizacin que realizan revisiones a la seguridad implantada y ofrecen
recomendaciones para su mejoramiento. Apoyan al administrador de
seguridad con sugerencias, detectando fallas o errores potenciales y en
nuevos diseos e implantaciones.
Forense: Expertos que efectan anlisis de siniestros de seguridad
ocurridos dentro de la organizacin para determinar qu ocurri, cmo
ocurri, quin es responsable y si es el caso, participan en procesos
judiciales contra los atacantes.
Atacante: Individuos que buscan tener acceso no autorizado a los activos
informticos de una organizacin. En este rol se pueden distinguir tres
tipos:
Hacker: Expertos en sistemas y seguridad. Buscan tener acceso a
los recursos informticos en forma clandestina, generalmente por
gratificacin personal y adquirir prestigio con sus pares como
expertos en seguridad.
Cracker: Como los anteriores, son expertos en tecnologa
informtica y seguridad. Su propsito es hacer dao a las
organizaciones, por venganza, resentimiento o con fines de lucro.
Por ejemplo sustraer datos de una empresa para venderlos a la
competencia, desprestigiar a la organizacin, desfalcar, etc.
Lamers: Esta categora se refiere a personas que no saben mucho
de los sistemas de seguridad y se dedican a utilizar herramientas o
aplicaciones desarrolladas por otros (hackers o crackers) para
hacer dao a las organizaciones. Los lamers no saben de la tcnica
que hay detrs de un ataque o un mecanismo de violacin de un
sistema; solo siguen instrucciones respecto al uso de algunas
herramientas y realizan fechoras con esto.

2 Otras definiciones importantes

2.1 Amenazas
Una amenaza puede definirse como accin con el potencial de causar
daos a recursos o como una violacin potencial a la seguridad.
Existen amenazas de diverso tipo tales como naturales, humanas
intencionales o accidentales y ambientales, pero las de inters en el
contexto de este curso son las amenazas computacionales, relacionadas
con alguno de los siguientes casos:
Acceso no autorizado a la informacin
Introduccin de datos falsos
Noviembre de 2005
Bogot, Colombia

pgina 9

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

Ruptura, interrupcin o degradacin de la operacin

Usurpacin o control no autorizado de alguna parte del sistema

La ISO (Internacional Standards Organization) clasifica los tipos de

amenazas as:
Interrupcin: Cuando un activo telemtico es destruido o colocado fuera
de uso de tal forma que afecta la disponibilidad de la red.
Ejemplo: Datos en disco, enlace de comunicaciones, impresoras, sistemas
de informacin, sistemas operacionales. Estas amenazas son un ataque
contra la disponibilidad. La manera como lo simboliza es

Intercepcin: Una parte no autorizada, persona o computador, obtiene

acceso a un activo telemtico. La amenaza atenta contra la privacidad.
Ejemplo: Escucha en lnea telefnica, ingreso a archivos de datos o del
sistema, violacin y copia de archivos de claves. La manera como se
representa es:

Modificacin: Cuando no slo se gana el acceso, sino que se modifica la

informacin para propsitos de beneficio personal o de terceros. Amenaza
la integridad de la informacin.
Ejemplo: Modificar archivos o mensajes en la red. La manera como se
simboliza es:

Fabricacin: Colocar elementos falsos en la aplicacin o equipo.

Noviembre de 2005
Bogot, Colombia

pgina 10

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

Por ejemplo, colocar elementos falsos en la red y simular la autenticidad.

La manera como se simboliza es:

Las amenazas pueden ser pasivas o activas.

Las primeras se refieren a amenazas en donde se observan los recursos
informticos pero no se modifican o alteran de ninguna manera. Por
ejemplo: observar lo que escribe una persona en su computador para
obtener claves y otra informacin importante, escuchar conversaciones
telefnicas o leer los mensajes de correo de otros.
Las amenazas activas buscan alterar, modificar o en general causar
daos en los activos informticos. Por ejemplo: suplantar a un usuario
para perpetrar daos en el sistema; realizar transacciones de retiro o
traslado de dinero no autorizadas; impedir el acceso a un sistema por los
usuarios autorizados causando una denegacin de servicio (DoS Denial
of Service) o alterar los datos almacenados en una base de datos.

2.2 Riesgos
En forma genrica, un riesgo puede definirse como la probabilidad de
ocurrencia de un siniestro. [2] La ISO define riesgo tecnolgico como la
probabilidad de que una amenaza se materialice, utilizando
vulnerabilidades existentes de un activo o grupo de activos, generndoles
perdidas o daos.
Vase el documento de la referencia [3] que presenta una introduccin al
riesgo informtico.

2.3 Otras definiciones

Otras definiciones relevantes relacionadas con seguridad informtica son:
Vulnerabilidad: situacin por la cual un recurso es susceptible de ser
atacado. Por ejemplo, sistemas operativos no actualizados o puertas con
problemas en la cerradura. Sena y Tenzer [3] afirman que hay
vulnerabilidad cuando existen ciertas condiciones inherentes a los activos
o presentes en su entorno que facilitan que las amenazas se materialicen
Noviembre de 2005
Bogot, Colombia

pgina 11

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

Nivel de proteccin requerido: depende de la probabilidad de que

ocurra un ataque y del impacto que los daos puedan causar a la
organizacin; vara segn la empresa.
Algunas preguntas que pueden aclarar el concepto son:
Cul es la probabilidad de que ocurra el evento?
Cuntas veces podra ocurrir el evento en un determinado tiempo?
Y la ms importante

Si ocurriera el evento, cul sera el impacto en la empresa?

3 Retos actuales para la seguridad dentro de las

organizaciones
Como se ha visto, en la actualidad la seguridad informtica est
adquiriendo mayor importancia, pero a pesar de ello, existen retos y
dificultades causados por situaciones como las siguientes:

La organizacin y las personas en general fallan por ingenuas.

Inconscientemente facilitan sus claves de correo o de acceso a un
sistema a otras personas sin considerar que esto puede causar
incidentes graves de seguridad como robo de informacin o
suplantacin de usuarios.
Realizar proyectos de seguridad cuesta dinero y su propsito es
evitar incidentes. Si los proyectos culminan satisfactoriamente, los
sistemas no sufrirn daos causados por ataques a la seguridad.
Por consiguiente, mientras no pase nada es difcil que las
organizaciones aprecien que la inversin realmente es necesaria.
No hay suficiente personal capacitado en el tema.
No es claro quin responde por qu en cuanto a seguridad dentro
de una organizacin. Quin responde por el software instalado en
los equipos?, quin es responsable por los datos?
Falta legislacin especfica sobre seguridad que considere los
delitos informticos y sus implicaciones.

Las organizaciones no siempre son conscientes de los riesgos y los

descuidos de seguridad pueden causar demandas judiciales por parte de
clientes, sanciones legales, prdidas de informacin, imagen y dinero.

4 Ciclo de vida de la seguridad

Noviembre de 2005
Bogot, Colombia

pgina 12

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

La implantacin de un proyecto de seguridad informtica dentro de una

organizacin implica varias etapas, como se indica a continuacin.

Sin embargo, lograr que la seguridad de la informacin sea gestionada

eficientemente requiere mucho ms que identificar y responder a las
amenazas, siguiendo los pasos indicados arriba en orden secuencial.
El artculo de la referencia [4] trata en detalle el ciclo de vida de la
seguridad de la informacin.

5 Seguridad fsica vs. Seguridad Lgica

El propsito de la seguridad informtica es proteger todos los recursos
informticos que puedan ser victima de ataques de diferente ndole.
Desde el hurto de un computador, acceso no autorizado a informacin en
un servidor, dao del sistema operativo de los servidores o clientes, hasta
acceso a documentos impresos descuidados.
Algunos de esos ataques estn relacionados con acceso fsico a equipos o
documentos y otros estn relacionados con acceso lgico a sistemas,
bases de datos y archivos en general. Es por esto que la seguridad debe
considerar el acceso y control fsico y el control de acceso lgico

Noviembre de 2005
Bogot, Colombia

pgina 13

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

5.1 Seguridad fsica

Est relacionada con el acceso fsico a los recursos informticos, en este
aspecto de seguridad se incluye:

Acceso a instalaciones: Quin puede entrar?, qu procedimientos

deben seguirse para entrar a una zona especfica?, cules son los
horarios de acceso?, et.
Apertura de puertas: sistemas de control de acceso, tarjetas de
ingreso, mecanismos biomtricos y otros.
Medio ambiente: temperatura adecuada de los centros de cmputo,
pisos falsos cuando sean necesarios, detectores de humo,
extintores, salidas de emergencia, tipos de pisos (con materiales no
inflamable), etc.
Ubicacin adecuada de los recursos informticos: ubicacin de
servidores, estaciones de trabajo, impresoras, equipos y canales de
comunicacin de datos; normas de acceso, identificacin de reas
de acceso restringido.
Otros: mantenimiento de equipos (preventivo y correctivo) normas
para el uso (no consumir alimentos o bebidas sobre las mquinas,
no fumar en las instalaciones) y buenas prcticas de cuidado de
los recursos.

5.2 Seguridad lgica

Est relacionada con el acceso lgico a sistemas operativos, aplicaciones,
bases de datos, archivos y datos en trnsito por los canales de
comunicaciones de una organizacin. Algunos de los temas que se deben
considerar son:

Acceso a sistemas operativos, aplicaciones o datos: tcnicas de

autenticacin de usuarios, perfiles de usuarios, aplicacin de
actualizaciones (parches) de seguridad y actualizacin de sistemas,
proteccin de contraseas, etc.
Lectura o acceso de datos en equipos o en la red: tcnicas de
cifrado de datos, sniffers, protocolos de conexin segura, etc.
Modificacin de informacin o de aplicaciones; control de versiones
y procedimientos estrictos para pruebas, desarrollo y entrega a
produccin. Operacin en vivo.
Denegacin de acceso a servicios o datos

Noviembre de 2005
Bogot, Colombia

pgina 14

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

6 Manejo de Incidentes y Planes de Contingencias

Otra problemtica en la que debe trabajar el personal de seguridad
informtica est relacionada con lo que se debe hacer cuando ha ocurrido
un evento no deseado que compromete la seguridad de los sistemas o la
infraestructura informtica. Tal evento se denomina incidente de
seguridad y al tema se le llama manejo de incidentes e implica la
definicin de planes de contingencia para su gestin.
En la gestin o manejo de incidentes se deben realizar, entre otras, las
siguientes actividades:

Investigar cmo ocurri y quin lo realiz.

Determinar cmo evitar que vuelva a ocurrir.
Determinar el impacto
Recuperar el sistema, cuando sea necesario.
Ajustar las polticas y procedimientos de seguridad para evitar una
nueva ocurrencia.

Algunos mecanismos que pueden implementarse como parte de los planes

de contingencia son:

Equipos redundantes trabajando en paralelo: consiste en tener

mquinas gemelas o espejo, en donde una de las dos est
permanentemente en produccin y si sta falla la otra entra a
produccin para reemplazarla, o las dos comparten la carga y si
una falla la otra asume la totalidad de la produccin.

Sitios (remotos) listos para entrar en produccin: este esquema es

similar al anterior, pero no se trata de mquinas gemelas sino de
un sitio de respaldo, con la infraestructura adecuada y capacidad
suficiente para que cuando el sitio primario falle, pueda asumir
toda la carga de produccin. Estos sitios pueden ubicarse cerca del
centro de cmputo primario para hacerlos de fcil y rpido acceso
en caso de un incidente o lejos, para que si el incidente involucra la
infraestructura cercana no se afecte el sitio de respaldo.

Outsourcing: El sitio de respaldo puede ser propiedad de la

Backups: Procedimientos estrictos para mantener regularmente

organizacin, o en alianza con otras empresas, pero una modalidad

muy comn es utilizar outsourcing con empresas especializadas
en el tema de contingencias e infraestructuras de backup.
copias de respaldo de los datos y sistemas instalados de la

Noviembre de 2005
Bogot, Colombia

pgina 15

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

organizacin para que en el caso de un incidente grave se pueda

recuperar el ambiente de operacin. Lo ms recomendable es
mantener las copias de respaldo en un sitio externo al centro de
datos.
La seleccin de los mecanismos de contingencias estar dada por qu tan
crticos son los equipos, sistemas y datos para el negocio de cada
organizacin y el costo en que podran incurrir en su definicin, diseo e
implantacin. Con cualquier mecanismo que se implante es importante
realizar peridicamente pruebas o simulacros de incidentes para
garantizar su operatividad en el momento del desastre o incidente.
Con relacin a los planes de contingencia, es importante conocer lo
siguiente: [5]

Son todo el conjunto de actividades que se realizan cuando ocurre

un desastre, y de manera previa y posterior al mismo, para
garantizar la continuidad del negocio y la integridad de las
personas.

Actividades que se deben tener en cuenta:

Actividades previas al desastre: son todas las actividades que se deben
realizar para planear cmo se va a comportar todo el personal en el
momento que se presente el siniestro o incidente y sus respectivos
simulacros. Se deben considerar cosas como:

Riesgos
Seguridad implantada
Listados de todos los computadores (caractersticas, usos, plizas,
etc.)
Sistemas instalados (que incluya informacin tal como nombre del
software, sistema operativo, actualizacionesnivel de ltima
versin o actualizacin, configuraciones, requerimientos y usos)
Personal de atencin de desastres (son quienes guiarn las
actividades ante un desastre especfico: debern capacitarse,
entrenarse y ejercitarse para tal eventualidad)
Personal de control (para revisin permanente de lo que se est
haciendo y que realice recomendaciones).

Actividades durante el desastre: se refiere a lo que se debe hacer

cuando est ocurriendo el incidente, es decir, poner en marcha lo
planeado (evacuacin, control de incendios, llamadas a organizaciones de
emergencias como bomberos, activacin de sistemas de backup como por
Noviembre de 2005
Bogot, Colombia

pgina 16

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

ejemplo computadores o sitios alternos, desvo de la operacin hacia otros

sectores de la organizacin, etc.) todo bajo la direccin del personal de
atencin de desastres.
Actividades posteriores al desastre: Se refiere a las actividades que
deben realizarse despus de que el desastre ha ocurrido. Esta etapa debe
incluir: revisin y diagnstico de los daos, reinstalacin de sistemas,
evaluacin del desastre y las actividades realizadas (esta actividad busca
verificar si lo que se hizo antes y durante el desastre fue adecuado y si es
del caso realizar las modificaciones que sean pertinentes) y finalmente la
puesta en produccin del sistema primario.
Sobre el tema del Plan de Recuperacin de Desastres o continuidad del
negocio (Business Continuity Management) se recomienda la lectura de
la referencia [6].

7 Referencias
[1] RUBIO, J. (1999) Seguridad en Redes de Computadores, Diplomado
en Telemtica y Negocios por Internet, Escuela Colombiana de Ingeniera,
Bogot. Documento indito.
[2] Glosario de trminos, consultado en:
www.aach.cl/html/general/glosario/glosario.asp
[3] SENA L. y TENZER, S. M. (8/2004) Introduccin al Riesgo
Informtico, FCEA, Ctedra Introduccin a la Computacin, Facultad de
Ciencias Econmicas y de Administracin, Universidad de la Repblica,
Montevideo, Uruguay. Consultado en:
http://www.ccee.edu.uy/ensenian/catcomp/material/riesgo.pdf
[4] Espiera, Sheldon y Asociados, Firma miembro de Price-WaterhouseCoopers (5/2005) Respuesta a incidentes de seguridad, publicado en pcnews.com. Consultado el 11 de octubre de 2005 en:
http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1950

[5] Instituto Nacional de Estadstica e Informtica, INEI (1997) Plan de

Contingencias, Plan de recuperacin de desastres, Repblica del Per.
Consultado en:
http://www.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5007/12.htm
[6] DVILA, Y. (9/2005) Un enfoque integral sobre Business Continuity
Management, consultado en:
http://www.drii.org/associations/1311/files/BCAW2005R.pdf

Noviembre de 2005
Bogot, Colombia

pgina 17

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

8 Apndices
8.1 Algunos estndares de la ISO

ISO 17799: Mejores prcticas de seguridad informtica. Esta

norma ha cobrado en la actualidad gran importancia por su
relacin con la certificacin de calidad.
ISO 8802-11: Medium Access Control (MAC) Security
Enhancements
ISO 9564: Banking -- Personal Identification Number (PIN)
management and security
- Part 1: Basic principles and requirements for online PIN
handling in ATM and POS systems
- Part 2: Approved algorithms for PIN encipherment
- Part 3: Requirements for offline PIN handling in ATM and
POS systems
- Part 4: Guidelines for PIN handling in open networks
ISO 1496-1: Door end security
ISO 2382-8: Information technology -- Vocabulary -- Part 8:
Security
ISO 7064: Information technology -- Security techniques -Check character systems
ISO 9579: Information technology -- Remote database access
for SQL with security enhancement
ISO 9796: Information technology -- Security techniques -Digital signature schemes giving message recovery
- Part 2: Integer factorization based mechanisms
- Part 3: Discrete logarithm based mechanisms
ISO 9797: Information technology -- Security techniques -Message Authentication Codes (MACs)
- Part 1: Mechanisms using a block cipher
- Part 2: Mechanisms using a dedicated hash-function
ISO 9798 Information technology -- Security techniques -- Entity
authentication
- Part 1: General
- Part 2: Mechanisms using symmetric encipherment
algorithms
- Part 3: Mechanisms using digital signature techniques
- Part 4: Mechanisms using a cryptographic check function
- Part 5: Mechanisms using zero-knowledge techniques
- Part 6: Mechanisms using manual data transfer

Noviembre de 2005
Bogot, Colombia

pgina 18

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

ISO 9979: Information technology -- Security techniques -Procedures for the registration of cryptographic algorithms
ISO 10116: Information technology -- Security techniques -Modes of operation for an n-bit block cipher
ISO 10118: Information technology -- Security techniques -Hash-functions
- Part 1: General
- Part 2: Hash-functions using an n-bit block cipher
- Part 3: Dedicated hash-functions
- Part 4: Hash-functions using modular arithmetic
ISO10736: Information technology -- Telecommunications and
information exchange between systems -- Transport layer
security protocol
ISO10745: Information technology -- Open Systems
Interconnection -- Upper layers security model
ISO 11577: Information technology -- Open Systems
Interconnection -- Network layer security protocol
ISO 13335: Information technology -- Security techniques -Management of information and communications technology
security
- Part 1: Concepts and models for information and
communications technology security management
- Part 2: Information security risk
- Part 3: Techniques for the management of IT Security
- Part 4: Selection of safeguards
- Part 5: Management guidance on network security
(available in English only)
ISO 15408: Information technology -- Security techniques -Evaluation criteria for IT security
Part 1: Introduction and general model
- Part 2: Security functional
- Part 3: Security assurance requirements
ISO 15816: Information technology -- Security techniques -Security information objects for access control
ISO 15946: Information technology -- Security techniques -Cryptographic techniques based on elliptic curves
- Part 1: General
- Part 2: Digital
- Part 3: Key establishment
- Part 4: Digital signatures giving message recovery
ISO 18028: Information technology -- Security techniques -- IT
network security
- Part 1: Network security
- Part 2: Network security architecture

Noviembre de 2005
Bogot, Colombia

pgina 19

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

Part 3: Securing communications between networks using

security
- Part 4: Securing remote access
-

8.2 Recomendaciones de la IETF, relacionadas con seguridad

informtica

RFC 2828 - Internet Security Glossary

RFC 3943 Transport Layer Security (TLS)
RFC 3871 Operational Security Requirements for Large Internet
Service Provider (ISP) IP Network Infrastructure
RFC 3853 S/MIME Advanced Encryption Standard (AES)
Requirement for the Session Initiation Protocol (SIP)
RFC 3851 Secure/Multipurpose Internet Mail Extensions
(S/MIME) Version 3.1 Message Specification
RFC 3850 Secure/Multipurpose Internet Mail Extensions
(S/MIME) Version 3.1 Certificate Handling
RFC 3845 DNS Security (DNSSEC) NextSECure (NSEC) RDATA
Format
RFC 3826 The Advanced Encryption Standard (AES) Cipher
Algorithm in the SNMP User-based Security Model
RFC 3820 Internet X.509 Public Key Infrastructure (PKI) Proxy
Certificate Profile
RFC 3749 Transport Layer Security Protocol Compression
Methods
RFC 3739 Internet X.509 Public Key Infrastructure: Qualified
Certificates Profile
RFC 3702 Authentication, Authorization, and Accounting
Requirements for the Session Initiation Protocol (SIP)
RFC 3586 IP Security Policy (IPSP) Requirements
RFC 3579 RADIUS (Remote Authentication Dial In User Service)
Support For Extensible Authentication Protocol (EAP)
RFC 3546 Transport Layer Security (TLS) Extensions
RFC 3207 SMTP Service Extension for Secure SMTP over
Transport Layer Security
RFC 3127 Authentication, Authorization, and Accounting:
Protocol Evaluation
RFC 3118 Authentication for DHCP Messages
RFC 3013 Recommended Internet Service Provider Security
Services and Procedures
RFC 2977 Mobile IP Authentication, Authorization, and
Accounting Requirements
RFC 2725 Routing Policy System Security
RFC 2504 Users' Security Handbook

Noviembre de 2005
Bogot, Colombia

pgina 20

Escuela Colombiana de Ingeniera

Facultad de Ingeniera de Sistemas

Centro de Estudios de Telemtica

RFC 2350 Expectations for Computer Security Incident Response

RFC 3227 - Guidelines for Evidence Collection and Archiving

Noviembre de 2005
Bogot, Colombia

pgina 21