Académique Documents
Professionnel Documents
Culture Documents
Alejandra Stolk
Parque Tecnolgico de Mrida
ESLARED 2013
Historia de la
Seguridad
Informtica
ARPmJ
t4etscape
2O0
q,$ 1963 fOlO
Google
1976
Si nos atenemos a la definicin de la Real Academia de la Lengua RAE, c onf idencialidad
Ahora se trata, entre otras cosas, de considerar tambin la gente, los procesos y
funciones de negocio, la proteccin de todos los activos/recursos de una organizacin.
Seguridad Informtica VS Seguridad de la Informacin
La extensin del concepto usual de seguridad informtica al de seguridad de la
informacin, implica un corrimiento y visin ms amplia de un marco de riesgos de
negocios respecto de la perspectiva tradicional de seguridad tcnica, basada
principalmente en vulnerabilidades. De acuerdo con lo visto anteriormente, tal extensin
se da de dos maneras.
C onfidencialidad: Los datos slo deben ser conocidos y accedidos por quienes estn debidamente
autorizados durante su almacenamiento, procesamiento o transmisin.
Los datos slo pueden ser modificados y/o eliminados por quienes estn autorizados para ello y los sistemas y
aplicaciones slo deben ser operados por personal autorizado
Esto incluye: Autenticidad, No repudiacin y Contabilidad
* Disponibilidad: Los sistemas que albergan datos e informacin deben garantizar su acceso. cuando asi se requiera. por quienes
tengan derecho a ello
El objetivo del proceso de seguridad informtica es obtener un nivel aceptable de seguridad, entendindose por aceptable un
nivel de proteccin suficiente para que la mayoria de potenciales intr usos interesados en los equipos de nuestra organizacin
fracasen en cualquier intento de ataque contra los mismos. Asimismo. se encarga de establecer los mecanismos para registrar
cualquier evento fuera del comportamiento normal y tomar las medidas necesarias para restablec er las operaciones criticas a la
normalidad.
Irv
Proxis
La Ley
lnfogoi
Tcnica que, en general, protege o autentica a un documento o usuario al aplicar
un algoritmo criptogrfico. Sin conocer una clave especifica o secreta, no ser
posible descifrarlo o recuperarlo.
Vulnerabilidad
FlQoNormal Interrupcin
Interrupcin
Intercepcin
En el caso de una intercepcin implica que
alguien logre acceso no autorizado a un activo
del Sistema. Esta parte no autorizada puede ser
una persona, programa. dispositivo. etc. m
ejemplo de ella puede ser el copiado de datos, la
intervencin de un canal de red.
Flujo Normal Nodi icacir
B
A -----> B
AL
Modificacin
En el caso de que se realiza una
interGepcin y la parte no autorizada
logra acce5o a un activo del libema
y tiene la capacidad de manipularlo
de trata de una amenaza por
modificacin.
rabricacion
A----+ B
Fabricacin
La parte no autorizada que accede al
sistema tmbin puede crear objetos
falsos en un Ejemplo de ello Son
la insercion de transacciones en un
sistma o BD, fabricacin de paquetes de
datos. etc.
Interrupcin
Interrupcin Algunos ejemplos... Borrado de BD
Negacin de servicio
Intercepcin Intercepcin
Robo de Key logger Modificacin
equipo o Cambio de
componente registros en
Fabricacin
BD
Insercin de
registros en
Interrupcin BD
Trampa
Filtro de informacin
Caballos de Troya
Gusanos
itardmre Datos
Agua
Adems de algunos tpicos del Tiene los mismos puntos
Fuego
hardware, borrados accidentales dbiles que el software. Pero
Electricidad
o intencionados, esttica, fallos hay dos problemas aadidos:
de lneas de programa, bombas tienen valor intrnseco pero
C igarrillos lgicas, robo, copias ilegales. si su interpretacin y,
Comida. por otra parte, habr datos de
carcter personal privado
que podrian convertirse en
datos de carcter pblico: hay
leyes que lo protegen.
Conceptos Bsicos de Seguridad Informtica
Evidencia digital
Es un tipo de evidencia fsica. Esta construida de campos magnticos y
pulsos electrnicos que pueden ser recolectados y analizados con
herramientas y tcnicas especiales.(Casey 2000)
Computacin forense
Es la aplicacin legal de mtodos, protocolos y tcnicas para obtener,
analizar y preservar evidencia digital relevante a una situacin en
investigacin. {Kovacich 2000)
C ibercrimen
De acuerdo con CASEY.2000.
Cualquier actividad criminal que involucra computadores y redes. En
particular esta definicin est orientada a revisar situaciones donde el
computador de una red no fue usado para el crimen, sino que contiene
evidencia digital relacionada con el crimen. - ORIENTADA A LA
EVIDENCIA
De acuerdo con PARKER.1998. Pg.57:
Toda actividad que conlleva un abuso (atentado contra la informacin,
causando prdida de utilidad, integridad y autenticidad) y mala utilizacin
(atentado con la informacin, causando prdida de disponibilidad,
posesin y confidencialidad) de la informacin, asociada con el uso del
conocimiento de sistemas de informacin o tecnologas informticas. -
OREINTADA AL DISC URSO LEGAL
'\!ii'
Tipos de
ataque
Denegacin de servicio
Podramos definir los ataques DOS (Denegation Of Service) como la apropiacin exclusiva
de un recurso o servicio con la intencin de evitar cualquier acceso de terceros. Tambin se
incluyen en esta definicin los ataques destinados a colapsar un recurso o sistema con la
intencin de destruir el servicio o recurso.
Year 1990 1991 1992 1993 199d 1995 1996 1997 1998 1999
Incidente 252 406 773 I .33d 2 d 12 2 573 ? 34 3 734 9 859
El virus MyDoom ha sido uno de los ms extendidos (1 milln de mquinas afectadas segn F-
Secure).
Su propagacin ha sido una de las ms rpidas, en 4 segundos ya era una verdadera epidemia.
Inicialmente este virus fue concebido para hacer un ataque DDoS sobre el servidor de SCO
(www.sco.com), aunque existen teoras de que su verdadera intencin era la recopilacin de
direcciones de e-mail para Spam.
El ataque tuvo la SCO en jaque durante 1 semana hasta que SCO cambi su dominio
(www.thescogroup.com).
Su predecesor MyDoom.B no lleg a tener el mismo impacto ya sea por su menor propagacin o
por la capacidad de respuesta de su objetivo (www.microsoft.com), que cambi sus servidores solo
2 segundos despus del inicio del ataque.
- l Peez
Blaster y Sasser
Blaster ha sido uno de los ltimos virus con gran expansin por la red.
Su objetivo era un DDoS sobre los servidores de Microsoft. Especialmente contra el sitio
www.windowsupdate.com
Su infeccin se produca por una vulnerabilidad de Windows.
Aunque el nmero de ordenadores infectados resulto ser bastante grande 1,2 millones, no provoc
grandes problemas.
El virus Sasser que, al igual que Blaster, aprovecha las vulnerabilidades de Windows para su distribucin
por la red. Sus consecuencias fueron menores que las de Blaster.
Debilidades ms caractersticas
Tringulo de Debilidades del Sistema:
*Es muy dificil disear un plan que contemple minimizar de forma eficiente todas estas
amenazas, y que adems se entienda y pase desapercibido por los usuarios.
Debido al principio de acceso ms fcil, el responsable de seguridad informtica no se
deber descuidar ninguno de los cinco elementos susceptibles de ataque al sistema.
Delitos Informticos "
Cualquier comportamiento criminolgico en el cual la computadora ha estado involucrada
como material o como objeto de la accin criminal o como mero simbolo. (Carlos Sarzana,
Mx)
Se conceptualiza en forma tpica y atpica. entendiendo la primera como las conductas
tpicas, antijuridicas y culpables en que se tienen las computadoras como instrumento o fin,
y por la segunda actitudes ilcitas en que se tienen a las computadoras como instrumento o
fin. (Julio Tellez Valds, Mx)
Toda accin dolosa que cause un perjuicio a personas naturales o jurdicas que puede
producir o no un beneficio material para su autor. pudiendo o no perjudicar de manera
directa o indirecta a la victima, caracterizando dicha accin dolosa por la utilizacin de
actividades o medios informticos. (Orlando Solano B. Col.)
a la vctima, caracterizando dicha accin dolos
os informticos. (Orlando Solano B. Col.)
Fraude Sabotaje
Acto deliberado de Accin con la que se Accin que consiste Utilizacin de una clave
manipulacin de desea perjudicar a una en exigir una por una persona no
datos perjudicando empresa entorpeciendo cantidad de dinero a autorizada y que accede
a una persona fsica deliberadamente su cambio de no dar a al sistema suplantando
o jurdica que sufre marcha. averiando sus conocer informacin una identidad. De esta
de esta forma una equipos. herramientas. privilegiada o forma el intruso se hace
prdida econmica. programas. etc. El confidencial y que dueo de la
El autor del delito autor no logra puede afectar informacin.
logra de esta forma normalmente con ello gravemente a la documentacin y datos
un beneficio beneficios econmicos empresa. por lo de otros usuarios con
normalmente pero pone en jaque general a su imagen los que puede, por
econmico. mate a la organizacin. corporativa. ejemplo. chantajear a la
organizacin.
Elementos Comunes a las definiciones
!/.J'I.E''i.S'''.'...............
I I
os amacena: servoor,
Tres amenazas que se han incrementado en el ao 2005:
Cartas nigerianas: correo electrnico que comenta la necesidad de sacar una
gran cantidad de dinero de un pas africano a travs de un cmplice" de otro
pas, justificando una persecucin poltica.
En Venezuela
Repite delitos ya e xistente s en el Cdigo Penal y en otras leyes penales, a los cuales les ag rega el medio
empleado y la na tu ra leza intang i ble de I bien afectado
Establece principios genera les diferentes a los e stable cidos en el libro primero del Cdigo Penal, con lo cual
se considera que empeora la decodificacin
La Ley pretende ser un Cdigo Penal en miniatura, pero ca rece de la e str uctura y ex ha ustividad propia s de
tal instrume nto
Falta de experiencia en el poder legislativo y judic ial para el tratamiento de los mismos
Ley de Proteccin al Consumidor y al Usuario
Tiene por objeto la defensa, proteccin y salvaguarda de los derechos e intereses de los c onsumidores y
usuarios, su organizacin, educacin, informacin y orientacin, as como establecer los ilcitos
administrativos y penales y los procedimientos para el resarcimiento de los daos sufridos por causa de
los proveedores de bienes y servicios y para la aplicacin de las sanciones a quienes violenten los
derechos de los consumidores y usuarios. En materia de TIC, establece un Capitulo IV) completo referido
al Comercio Electrnico, incluyendo una definicin de ste. Establece los deberes del proveedor de bienes
y servicios dedicados al c omercio electrnico, entre los que se cuenta el de aportar informacin confiable,
desarrollar e implantar procedimientos fciles y efectivos que permitan al consumidor o usuario escoger
entre recibir o no mensajes c omerciales electrnicos no solicitados, adoptar especial cuidado en la
publicidad dirigida a nios, ancianos, enfermos de gravedad, entre otros, el deber de informar sobre el
proveedor, garantizar la utilizacin de los medios necesa rios que permitan la privacidad de los
consumidores y usuarios, ofrecer la posibilidad de escoger la informacin que no podr ser suministrada a
terceras personas, ofrecer la posibilidad de cancelar o corregir cualquier error en la orden de compra,
antes de concluirla, proporcionar mecanismos fciles y seguros de pago, asi como informacin acerca de
su nivel de seguridad y especificar Tas garantias. Atribuye aT T NDECU la obligacin de educar a los
consumidores acerca del comercio electrnic o y fomentar su participacin en l.
El propsito de este Decreto-Ley ha sido la adaptacin del ordenamiento jurdico a los
cambios actuales, entre los que se encuentran la nuevas tecnologas informticas para
llegar a una automatizacin del sistema registral y notarial, as como unificar en un mismo
texto normativo las disposiciones que regulen la actuacin de los Registros Civiles y
Subalternos, de los Registros IVlercantiles y de las Notaras Pblicas. Se considera de
inters pblico el uso de medios tecnolgicos en la funcin registral y notarial para que los
trmites de recepcin, inscripcin y publicidad de los documentos sean practicados con
celeridad, sin menoscabo de la seguridad jurdica. La Ley establece que los asientos
registrales y la informacin registral emanada de los soportes electrnicos del sistema
registral venezolano surtirn todos los efectos jurdicos que corresponden a los
documentos pblicos. Entre los principales postulados referidos a las TIC, tenemos que
todos los soportes fsicos del sistema registral y notarial actual se digitalizarn y se
transferirn progresivamente a las bases de datos correspondientes. El proceso registral y
notarial podr ser llevado a cabo ntegramente a partir de un documento electrnico y se
establece que la firma electrnica de los Registradores y Notarios tendr la misma validez y
eficacia probatoria que la Iey otorga a la firma autgrafa.
Permite la utilizacin intensiva de medios electrnicos o magnticos y perm ite la
declaracin y pago de tributos a travs de Internet. Los articulo s ms relevantes
en cuanto a TIC se refiere, son: el articulo 125, que establece que la
Administracin Tributaria podr "utilizar medios electrnicos o magnticos para
recibir, notificar e intercambia r documentos, declaraciones, pagos o actos
administrativos y en general cualquier informacin. A tal efecto se tendr como
vlida en los procesos administrativos, contenciosos o ejecutivos, la certificacin
que de tales documentos, declaraciones, pagos o actos administrativos realice la
Administracin Tributaria, siempre que demuestre que la recepcin, notificacin o
intercambio de los mismos se ha efectuado a travs de medios electrnicos o
magnticos". El articulo 138, establece que cuando la Administracin Tributaria
"reciba por medios electrnicos declaraciones, comprobantes de pago, consultas
tributarias, recurso s u otros tr mites habilitados para esa tecnologia, emitir un
certificado electrnico que especifique la documentacin enviada y la fecha de
recepcin, la cual ser considerada como fecha de inicio del procedimiento de que
se trate.
Cdigo Orgnico Tributario (cont.)
En todo caso, se prescindir de la firma a utgrafa del contribuyente o
responsable () La Ad ministracin Tributaria establecer medios
procedimientos de autenticacin electrnica de contribuyentes
responsables" El artculo 162, numeral 3 del Cdigo Org nico Tributario, que
establece: "Las notificaciones se practicar n, sin orden de prelacin, en
alguna de estas formas () 3. Por correspondencia postal efectuada mediante
correo pblico o privado, sistemas de comunicacin telegrficos,
fac simila res, electrnicos y similares siempre que se deje constancia en el
expediente de su recepcin. C uando la notificacin se realice mediante
sistemas facsim ilares o electrnicos, la Ad ministracin Tributaria convendr
con el contribuyente o responsable la definicin del domicilio facsim ilar o
electrnico".
Ley Orgnica de Telecomunicaciones
SegGn la Paradoja de Hayles y sus "Capas de Desarrollo" {1 .999} Sin infraestructuras previas. en definitiva. no hay acceso a las
nuevas tecnologias. De aqu la importancia capital de este instrumento normativo que estableci la apertura y competencia en
el sector de las telecomunicaciones en nuestro pais y sent6 las bases del desarrollo e inversin en la infraestructura que
actualmente disfrutamos.
En materia especifica de TIC podemos destacar algunos postulados de esta Ley; la promocin a la investigacin, el desarrollo y
la transferencia tecnolgica en materia de telecomunicaciones y la utilizacin de nuevos servicios, redes y tecnologias con el
propsito de asegurar el acceso en condiciones de igualdad a todas las personas. Para garantizar el cumplimento de sus
objetivos, la Iey exige a los distintos operadores la homologacin y certificacin de equipos, asf como el uso de la tecnologa
adecuada. a fin de lograr el acceso universal a la comunicacin.
HIGH-TECH CRIME PACT
los crmenes de alta tecnologia , pornografa infantil, terrorismo ciber
electrnicos.
Algunos ejemplos:
f/ei /e m
HIGH-TECH CRIME PACT -
En 1997 los ministros del interior de los pases miembros del G8 se reunieron para
crear un plan de 10 puntos para el combate conjunto de la cibercriminalidad. Se cre
una red de cooperacin para realizar investigaciones conjuntos y levantar evidencias.
En mayo del ao 2000 finalmente se logra un acuerdo entre las naciones del G8 un
compromiso formal para el desarrollo de esfuerzos, legislativos, econmicos y
polticos en el combate de los crmenes de alta tecnologa y la cibercriminalidad.
Estos esfuerzos han logrado lo que hoy en dia se conoce como el tratado de
cibercriminalidad.
Leyes de otros pafses a tomar en cuenta
Dentro de esta Iey est la seccin 404 que se dedica a establecer el marco regulatorio
para los controles internos que una organizacin debe tener para a nivel de sistemas de
informacin para proteger la integridad, confidencialidad y disponibilidad de la
informacin financiera de una empresa y de todos aquellos elementos que contribuyan
a formar la.
Por qu nos interesa esta Iey? Las empresas multinacionales que cotizan en la bolsa de
valores de los Estados Unidos deben asegurarse de solicitar los mismos controles para
cada una de sus empresas alrededor del mundo y deben reportar cualquier tipo de falla
en los controles a la Exchange Commission encargada de certificar que el proceso
llevado a cabo por las empresas es ntegro.
Es el sistema: normas, procedimientos, mtodos, organizacin, procesos que dirige y controla una
organizacin.
Gobierno de las tecnologias de la informacin es parte del gobierno de la empresa:
Errores comunes cometidos a nivel gerencial
1. Suponer que los problemas desaparecern si no se les hace caso
2. Autorizar soluciones reactivas o parches de corto plazo
3. No entender cunto vale la informacin y qu tanto depende de ella la
reputacin corporativa
4. Depender principalmente de un cortafuegos
5. No lidiar con los aspectos operacionales de la seguridad
6. Hacer parches y no dar seguimiento para asegurarse que de los riesgos se han
mitigado eficazmente
7. No entender la relacin entre la seguridad y los problemas de funcionamiento de
negocio
A nivel gerencial, cmo enfrentar esos problemas
Ubicar la seguridad informtica al mismo nivel que otras
actividades sustantivas de la organizacin
Elaborar la misin de la seguridad informtica claramente
Promulgar las polticas que se derivan de la misin
Determinar qu mecanismos se requieren para implementar esas
polticas.
Elementos indispensables
Seguridad Lgica
Los objetivos que se plantean para lograr la seguridad lgica son:
Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el
procedimiento correcto.
- sue la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no
a otro.
Que la informacin recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.
Se disponga de pasos alternativos de emergencia para la transmisin de informacin.
Gerencia del riesgo
La gestin de riesgos es el proceso que comprende la
identificacin y medicin de los riesgos de seguridad en los
sistemas informticos, asi mismo, comprende la creacin de
estrategias que permiten controlar y minimizar dichos riesgos.
Gestin
OCTAVE
DETE3thZNAC7ON c ta
PLAI'?lFf CAClON de Ia
Una vez los riesgos han sido identificados y evaluados, todas las
tcnicas para manejar los riesgos pertenecen a una de estas
principales categorias:
Aceptar el riesgo
Evitar el riesgo
Reducir el riesgo
Transferir el riesgo
De forma prctica
1. Realizamos un inventario de los bienes informticos
(Computadores, laptops, enrutadores, switchs, cortafuegos,
cableado, servidores, sistema de enfriamiento, sistema elctrico)
S3
56
S7
S8
S9
S10
Stt
San
S13
St4
Sl3
St6
Std
S18 DeSrodk PoIersndeSeeunhd
St9 Topo1osmRmmaon
S20
521
522
SU ADN
Valores para la probabilidad
de ocurrencia y el impacto
Probab i I i dad
Descriptor Va lor
Ra ra 1
I mprobab le 2
Pos i b le 3
Muy Probab le 4
Cas Certe za 5
Impacto
DesCriptor Valor
I nsign ific ante 1
Menor 2
Moderado
Mayor 4
C. atastr f i co 5
Cuando los unimos:
MODERADO
MODERADO MODERADO
Raro M0DERADO
Idenficar riesgos
Analizar riesgos
Evaluar riesgos
Tratar riesgos
Poltica y Directrices de Seguridad
Qu es la Politica de Seguridad?
Dirigida
Invoca a la comundad w en el mepramnE de los esquemas de la
Sequedad Informtica en \a Instu n, mediante el currplnenb de reglas e
Normas
Los usuarios deben firmar clusulas de cumplimiento de las Politicas de Seguridad en los
contratos laborales y acadmicos.
El Dcgartamzato dc Tccoologtas debe rcztlzar acdaIzs dc caacicoclzcia y cagacltacia
a los usuarios rc to a la Importzacta y la Novoa dc proteger Iz laforeacia raaafgada al mejor
c la lastitucla.
El Departamento de Desarrollo del Pemonal debe reportar al Departamento de Tecnobgias
de la renuncia o despido de empleados, con el fin de retirar los permias de acceso a los
servios.
El manejo de la informacin en medio Impreso es responsabilidad de cada dependencia, se
debe tener en cuenta que:
o Debe estar almacenada en un Iugar seguro.
o El manejo de la correspondencia debe guiaee bajo las tcnicas de oficina vigentes.
o Fa informacin deber res$uardaee en lugares de difcil acceso a terceros y
protegidos de condiciones ambientales que puedan afeitarte.
o Por ningn motivo se debe dejar documentacin e informacin relevante sobre los
escritorios cuando la persona a car$o se ausente del sitio de trabajo.
Todos los integrantes de la Institucin deben propender por el cumplimiento de las
directrices establecidas.