Vous êtes sur la page 1sur 97

Tcnicas de Seguridad Informtica

con Software Libre


Tcnicas de Seguridad Informtica
con Software Libre

Alejandra Stolk
Parque Tecnolgico de Mrida
ESLARED 2013
Historia de la
Seguridad
Informtica

os primeros intentos en seguridad informtica pueden ir ta


temprano como la poca de Julio Cesar y sus famosos mensajes
cifrados. Sin embargo, las primeras tcnicas de ocultamiento y
resguardo de seguridad informtica comenzaron durante la
segunda guerra mundial con equipos como el enigma. Pero
cuando realmente se hizo necesaria fue cuando las computadores
se hicieron de propsito general y multiusuario, en ese momento
el panorama de la seguridad de la informacin se torn complejo.
se to co
Anocker
f008 yy .--
meg
I972 RoothkS
t010
1980

1971 1999 ZOOM


00

ARPmJ

t4etscape

Linea de Tiem o del malware


C3IRT
zcmunc para
Especial Mviles
1S027OO2 contra delitos
19% 2000
1967 W VOT 2001 S0 Z7OO Z009 ISO 30300

MC4I'e ffet fitter sox


D
Norte
l9b ;qj

2O0
q,$ 1963 fOlO
Google
1976

Linea de Tiempo de la Seguridad Informtica


Historia...

A partir de los aos 80 el uso de la computadora


personal comienza a ser comn. Asoma por tanto la
preocupacin por la integridad de los datos.
En la dcada de los aos 90 aparecen los virus y gusanos
y se toma conciencia del peligro que nos acecha como
usuarios de PCs y equipos conectados a Internet.
Historia...
Adems, comienzan a proliferar ataques a sistemas
informticos. La palabra hacker aparece incluso en
prensa.

Las amenazas se generalizan a finales de los 90;


aparecen nuevos gusanos y malware generalizado.

En los aos 00s los acontecimientos fuerzan a que se


tome muy en serio la seguridad informtica.
Definicin de la Seguridad Informtica


Si nos atenemos a la definicin de la Real Academia de la Lengua RAE, c onf idencialidad

seguridad es la cualidad de seguro". Buscamos ahora seguro y


obtenemos libre y exento de todo peligro, dao o riesgo.
A partir de estas definiciones no podramos aceptar que seguridad
informtica es la cualidad de un sistema informtico exento de
peligro", por lo que habr que buscar una definicin ms apropiada.
Algo bsico: la seguridad no es un producto, sino un proceso.
Por lo tanto, podramos aceptar que una primera definicin ms o
menos aceptable de seguridad informtica sera:
Un conjunto de mtodos y herramientas destinados a proteger la
informacin y por ende los sistemas informticos ante cualquier
amenaza, un proceso en el cual participan adems personas.
Concienciarlas de su importancia en el proceso ser algo crtico."
Recuerde: la seguridad informtica no es un bien medible, en cambio s
podriamos desarrollar diversas herramientas para cuantificar de alguna
forma nuestra inseguridad informtica.
Jorge Rami
Libro Electrnico de Seguridad Informtica y Criptografia
Versin 4.1 de 1 de marzo de 2006
.
Seguridad Informtic rmacon.

Hoy en da se viene dando el cambio a seguridad de la informacin como traduccin


ms adecuada de information security. Pero peso a ello todavia hay muchos
especialistas que siguen Ilamando as al puro enfoque tcnico comentado antes.

En realidad la seguridad de la informacin es bastante ms amplia, ya que no es


simplemente una cuestin tcnica sino responsabilidad de la alta gerencia y cuadros
directivos de una organizacin.

En tal sentido hay que tener en cuenta que el ambiente de la tecnologia de


informacin tiende a estar orientado al servicio y actuar como funcin habilitante de
los procesos de negocios. En esto difiere de los procesos centrales mismos de una
organizacin que constituyen el ncleo de los negocios de una empresa.

De herho, sin el involucramiento activo de las unidades y lderes de negocio,


ejecutivos, directorio y su grupo de asesores, no puede existir un plan sustentable de
seguridad de la informacin, a partir de los riesgos determinados. Y todo esto dentro
del sistema de direccin y control propio de un adecuado gobierno corporativo, como
define la OECD (Organizacin para la Cooperacin y Desarrollo Econmico, OCDE en
espaol) al rorporate governance.

Ahora se trata, entre otras cosas, de considerar tambin la gente, los procesos y
funciones de negocio, la proteccin de todos los activos/recursos de una organizacin.
Seguridad Informtica VS Seguridad de la Informacin
La extensin del concepto usual de seguridad informtica al de seguridad de la
informacin, implica un corrimiento y visin ms amplia de un marco de riesgos de
negocios respecto de la perspectiva tradicional de seguridad tcnica, basada
principalmente en vulnerabilidades. De acuerdo con lo visto anteriormente, tal extensin
se da de dos maneras.

Por un Iado, en el contexto de la seguridad de la informacin los riesgos de negocios


incluyen no slo las vulnerabilidades y un aspecto de las amenazas, sino el conjunto de los
factores que determinan tales riesgos: activos, vulnerabilidades y amenazas.
Por otra parte, los riesgos de negocios que se consideran incluyen los riesgos
organizacionales, operacionales, fsicos y de sistemas ICT.
Virus
Ausencia de polticas, Spain
normas, pro'sedimientoS Contraseias
AuSeneia de control de Ataques DdoS
'cambios ExploitS
Educacin de uGuartoS lptables
Conocimiento de la misin
de la organizacin
Objetivos de la seguridad informtica

C onfidencialidad: Los datos slo deben ser conocidos y accedidos por quienes estn debidamente
autorizados durante su almacenamiento, procesamiento o transmisin.

Los datos slo pueden ser modificados y/o eliminados por quienes estn autorizados para ello y los sistemas y
aplicaciones slo deben ser operados por personal autorizado
Esto incluye: Autenticidad, No repudiacin y Contabilidad

* Disponibilidad: Los sistemas que albergan datos e informacin deben garantizar su acceso. cuando asi se requiera. por quienes
tengan derecho a ello

El objetivo del proceso de seguridad informtica es obtener un nivel aceptable de seguridad, entendindose por aceptable un
nivel de proteccin suficiente para que la mayoria de potenciales intr usos interesados en los equipos de nuestra organizacin
fracasen en cualquier intento de ataque contra los mismos. Asimismo. se encarga de establecer los mecanismos para registrar
cualquier evento fuera del comportamiento normal y tomar las medidas necesarias para restablec er las operaciones criticas a la
normalidad.
Irv
Proxis
La Ley
lnfogoi
Tcnica que, en general, protege o autentica a un documento o usuario al aplicar
un algoritmo criptogrfico. Sin conocer una clave especifica o secreta, no ser
posible descifrarlo o recuperarlo.

No obstante, la RAE define cifrar como Transcribir en guarismos, letras o


smbolos, de acuerdo con una clave, un mensaje cuyo contenido se quiere
ocultar ... tambin muy poco tcnica .
En algunos pases de Latinoamrica, por influencia del ingls, se usa la palabra
encriptar.

Si bien se entiende, esta palabra todavia no existe y podria ser el acto de


"introducir a alguien dentro de una cripta, ... algo bastante distinto a lo que
deseamos expresar...
Jorge Rami
Libro Electrnico de Seguridad Informtica y C riptografa
Versin 4.1 de 1 de marzo de 2006
No Repudio

Este trmino se ha introducido en los ltimos


aos como una caracteristica ms de los
elementos que conforman la seguridad en un
sistema informtico.

Est asociado a la aceptacin de un protocolo de


comunicacin entre emisor y receptor (cliente y
servidor) normalmente a travs del intercambio
de sendos certificados digitales de autenticacin.
Se habla entonces de No Repudio de Origen y
No Repudio de Destino, forzando a que se
cumplan todas las operaciones por ambas partes
en una comunicacion.
Qu es la informacin?
Desde el punto de vista de la ingeniera

Estudio de las caracteristicas y estadsticas del


lenguaje que nos permitir su anlisis desde un
enfoque matemtico, cientifico y tcnico.
Desde el punto de vista de las empresas

Conjunto de datos propios que se gestionan y


mensajes que se intercambian personas y/o
mquinas dentro de una organizacin.
En las empresas se entender como:
Todo el conjunto de datos y ficheros de la empresa.
Todos los mensajes intercambiados.
Todo el historial de clientes y proveedores.
Todo el historial de productos.
En definitiva, el know-how de la organizacin.

Si esta informacin se pierde o deteriora, le ser muy dificil a


la empresa recuperarse y seguir siendo competitiva. Por este
motivo, es vital que se implanten unas polticas de seguridad y
que, adems, se haga un seguimiento de ellas.
Amenaza
Cualquier circunstancia con el potencial suficiente para
causar prdida o dao al sistema. Ejemplos de
amenazas son los ataques humanos, los desastres
naturales, los errores humanos inadvertidos, fallas
internas del hardware o el software, etc.

Vulnerabilidad
FlQoNormal Interrupcin

Interrupcin

En el caso de una interrupcin en activo


del sistma se pierde. se hace no
diGponible o inutilizable, tlti ejemplo de ello
puede ser la destruccin maliciosa de un
dispositivo de hard e o el borrado de un
programa o archivo.
Fl o Normal intercepcin

Intercepcin
En el caso de una intercepcin implica que
alguien logre acceso no autorizado a un activo
del Sistema. Esta parte no autorizada puede ser
una persona, programa. dispositivo. etc. m
ejemplo de ella puede ser el copiado de datos, la
intervencin de un canal de red.
Flujo Normal Nodi icacir
B

A -----> B
AL

Modificacin
En el caso de que se realiza una
interGepcin y la parte no autorizada
logra acce5o a un activo del libema
y tiene la capacidad de manipularlo
de trata de una amenaza por
modificacin.
rabricacion
A----+ B

Fabricacin
La parte no autorizada que accede al
sistema tmbin puede crear objetos
falsos en un Ejemplo de ello Son
la insercion de transacciones en un
sistma o BD, fabricacin de paquetes de
datos. etc.
Interrupcin
Interrupcin Algunos ejemplos... Borrado de BD
Negacin de servicio
Intercepcin Intercepcin
Robo de Key logger Modificacin
equipo o Cambio de
componente registros en
Fabricacin
BD
Insercin de
registros en
Interrupcin BD

Borrado Bombas lgicas

Modificacin Caballos de Troya

Trampa
Filtro de informacin
Caballos de Troya

Malware que entra al ordenador y posteriormente acta de forma similar a este


hecho de la mitologa griega. As, parece ser una cosa o programa inofensivo
cuando en realidad est haciendo otra y expandindose. Puede ser muy
peligroso cuando es un programador de la propia empresa quien lo instala en un
programa.

Gusanos

El spam o correo no Cdigo diseado para Virus que se activa y


deseado, si bien no lo introducirse en un transmite a travs de la red.
podemos considerar programa, modificar o Tiene como finalidad su
multiplicacin hasta agotar el
como un ataque destruir datos. Se
espacio en disco o RAlVl.
propiamente dicho, lo copia automticamente
Suele ser uno de los ataques
cierto es que provoca a otros programas para
ms dainos porque
hoy en da prdidas seguir su ciclo de vida. normalmente produce un
muy importantes en Es comn que se colapso en la red como ya
empresas y muchos expanda a travs de estamos acostumbrados.
dolores de cabeza. plantillas, las macros
de aplicaciones y
archivos ejecutables.
Amenazas ms caractersticas...

itardmre Datos

Agua
Adems de algunos tpicos del Tiene los mismos puntos
Fuego
hardware, borrados accidentales dbiles que el software. Pero
Electricidad
o intencionados, esttica, fallos hay dos problemas aadidos:
de lneas de programa, bombas tienen valor intrnseco pero
C igarrillos lgicas, robo, copias ilegales. si su interpretacin y,
Comida. por otra parte, habr datos de
carcter personal privado
que podrian convertirse en
datos de carcter pblico: hay
leyes que lo protegen.
Conceptos Bsicos de Seguridad Informtica
Evidencia digital
Es un tipo de evidencia fsica. Esta construida de campos magnticos y
pulsos electrnicos que pueden ser recolectados y analizados con
herramientas y tcnicas especiales.(Casey 2000)

Computacin forense
Es la aplicacin legal de mtodos, protocolos y tcnicas para obtener,
analizar y preservar evidencia digital relevante a una situacin en
investigacin. {Kovacich 2000)

C ibercrimen
De acuerdo con CASEY.2000.
Cualquier actividad criminal que involucra computadores y redes. En
particular esta definicin est orientada a revisar situaciones donde el
computador de una red no fue usado para el crimen, sino que contiene
evidencia digital relacionada con el crimen. - ORIENTADA A LA
EVIDENCIA
De acuerdo con PARKER.1998. Pg.57:
Toda actividad que conlleva un abuso (atentado contra la informacin,
causando prdida de utilidad, integridad y autenticidad) y mala utilizacin
(atentado con la informacin, causando prdida de disponibilidad,
posesin y confidencialidad) de la informacin, asociada con el uso del
conocimiento de sistemas de informacin o tecnologas informticas. -
OREINTADA AL DISC URSO LEGAL

'\!ii'
Tipos de
ataque
Denegacin de servicio
Podramos definir los ataques DOS (Denegation Of Service) como la apropiacin exclusiva
de un recurso o servicio con la intencin de evitar cualquier acceso de terceros. Tambin se
incluyen en esta definicin los ataques destinados a colapsar un recurso o sistema con la
intencin de destruir el servicio o recurso.

Existen tres tipos bsicos de denegacin de servicio:


Consumo de recursos: El atacante intenta consumir los recursos del servidor hasta
agotar los: ancho de banda, tiempo de cpu, memoria, disco duro...
Destruccin o alteracin de la configuracin: Se intenta modificar la
informacin de la mquina. Este tipo de ataques necesitan de tcnicas ms sofisticadas.
Destruccin o alteracin fsica de los equipos: Se intenta denegar el servicio
destruyendo fsicamente el servidor o algunos de sus componentes, cortando el cable
de conexin, o el cable de la red elctrica.
Los sistemas de DOS ms utilizados:
Mail Bombing: El primer sistema de
denegacin de servicio fue el denominado
mail bombing, consistente en el envo
masivo de mensajes a una mquina hasta
saturar el servicio.
Smurfing: Este sistema de ataque se basa
en transmitir a la red una trama ICMP
correspondiente a una peticin de ping.
Esta
trama Ileva como direccin de origen la kg. 1 Smurf irig
direccin IP de la victima (usando IP
Spoofing) y como direccin de destino la
direccin broadcast de la red atacada. De
esta forma todos los equipos de la red
contestan a la vctima de tal modo que Sistema t Sisten 2
pueden llegar a saturar su ancho de
banda.
SYN Flood: El sistema atacante utiliza una
IP inexistente y envia multitud de tramas
SYN de sincronizacin a la victima. Como
la vctima no puede contestar al
peticionario (porque su IP es inexistente)
kg. 2 Syn Flood
las peticiones llenan la cola de tal manera
que las solicitudes reales no puedan ser
atendidas.
NTERNET
Denegacin de Servicios distribuida
Cmo lo hacen?
La gran ventaja de este sistema es que permite mantener el anonimato de los atacantes ya que
analizan el trafico de los nodos slave y cuando detectan que estn siendo analizados cierran la
conexin, posteriormente limpian cualquier prueba en el master y finalmente cierran su
conexin con el master.
Denegacin de
Servicios Distribuida

Year 1988 1989


Incidente 132

Year 1990 1991 1992 1993 199d 1995 1996 1997 1998 1999
Incidente 252 406 773 I .33d 2 d 12 2 573 ? 34 3 734 9 859

Mear 2000 2001 2002 2003


Incidente 21 75b SE 68 82.09d 13a 529
MyDoom

El virus MyDoom ha sido uno de los ms extendidos (1 milln de mquinas afectadas segn F-
Secure).
Su propagacin ha sido una de las ms rpidas, en 4 segundos ya era una verdadera epidemia.
Inicialmente este virus fue concebido para hacer un ataque DDoS sobre el servidor de SCO
(www.sco.com), aunque existen teoras de que su verdadera intencin era la recopilacin de
direcciones de e-mail para Spam.
El ataque tuvo la SCO en jaque durante 1 semana hasta que SCO cambi su dominio
(www.thescogroup.com).
Su predecesor MyDoom.B no lleg a tener el mismo impacto ya sea por su menor propagacin o
por la capacidad de respuesta de su objetivo (www.microsoft.com), que cambi sus servidores solo
2 segundos despus del inicio del ataque.

- l Peez
Blaster y Sasser
Blaster ha sido uno de los ltimos virus con gran expansin por la red.
Su objetivo era un DDoS sobre los servidores de Microsoft. Especialmente contra el sitio
www.windowsupdate.com
Su infeccin se produca por una vulnerabilidad de Windows.
Aunque el nmero de ordenadores infectados resulto ser bastante grande 1,2 millones, no provoc
grandes problemas.
El virus Sasser que, al igual que Blaster, aprovecha las vulnerabilidades de Windows para su distribucin
por la red. Sus consecuencias fueron menores que las de Blaster.
Debilidades ms caractersticas
Tringulo de Debilidades del Sistema:

Hardware: pueden producirse errores intermitentes, conexiones sueltas, desconexin


de tarjetas, etc.
Software: puede producirse la sustraccin de programas, ejecucin errnea,
modificacin, defectos en llamadas al sistema, etc.
Datos: puede producirse la alteracin de contenidos, introduccin de datos falsos,
manipulacin fraudulenta de datos, etc.
Memoria: puede producirse la introduccin de un virus, mal uso de la gestin de
memoria, bloqueo del sistema, etc.
Usuarios: puede producirse la suplantacin de identidad, el acceso no autorizado,
visualizacin de datos confidenciales, etc.

*Es muy dificil disear un plan que contemple minimizar de forma eficiente todas estas
amenazas, y que adems se entienda y pase desapercibido por los usuarios.
Debido al principio de acceso ms fcil, el responsable de seguridad informtica no se
deber descuidar ninguno de los cinco elementos susceptibles de ataque al sistema.
Delitos Informticos "
Cualquier comportamiento criminolgico en el cual la computadora ha estado involucrada
como material o como objeto de la accin criminal o como mero simbolo. (Carlos Sarzana,
Mx)
Se conceptualiza en forma tpica y atpica. entendiendo la primera como las conductas
tpicas, antijuridicas y culpables en que se tienen las computadoras como instrumento o fin,
y por la segunda actitudes ilcitas en que se tienen a las computadoras como instrumento o
fin. (Julio Tellez Valds, Mx)
Toda accin dolosa que cause un perjuicio a personas naturales o jurdicas que puede
producir o no un beneficio material para su autor. pudiendo o no perjudicar de manera
directa o indirecta a la victima, caracterizando dicha accin dolosa por la utilizacin de
actividades o medios informticos. (Orlando Solano B. Col.)
a la vctima, caracterizando dicha accin dolos
os informticos. (Orlando Solano B. Col.)

Fraude Sabotaje

Acto deliberado de Accin con la que se Accin que consiste Utilizacin de una clave
manipulacin de desea perjudicar a una en exigir una por una persona no
datos perjudicando empresa entorpeciendo cantidad de dinero a autorizada y que accede
a una persona fsica deliberadamente su cambio de no dar a al sistema suplantando
o jurdica que sufre marcha. averiando sus conocer informacin una identidad. De esta
de esta forma una equipos. herramientas. privilegiada o forma el intruso se hace
prdida econmica. programas. etc. El confidencial y que dueo de la
El autor del delito autor no logra puede afectar informacin.
logra de esta forma normalmente con ello gravemente a la documentacin y datos
un beneficio beneficios econmicos empresa. por lo de otros usuarios con
normalmente pero pone en jaque general a su imagen los que puede, por
econmico. mate a la organizacin. corporativa. ejemplo. chantajear a la
organizacin.
Elementos Comunes a las definiciones

Revisando las definiciones se identifican elementos comunes:


Sujeto actor o actores de la conducta daosa que produce el hecho
No es clara en todas las definiciones presentadas
Algunas veces se deja por fuera de la definicin o se asume implcita

Un medio adecuado para cometer el acto ilcito, o sea el dispositivo


informtico por medio del cual se Ileva a cabo la accin.
Se encuentra referenciado en todas las definiciones
Se hace particular nfasis a medios informticos
En pocas definiciones se hace claridad sobre el lugar de la
evidencias, dado el medio utilizado.
Suponiendo que todos entendemos qu es un delito informtico, algo no muy
banal dado que muchos pases no se ponen de acuerdo, parece ser que es un
buen negocio:

Objeto pequeo: la informacin que se ataca est almacenada en


contenedores pequeos: no es necesario un camin para robar un banco,
llevarse las joyas, el dinero, etc.
Contacto fsico: no existe contacto fsico en la mayora de los casos. Se
asegura el anonimato y la integridad fsica del propio delincuente.
Alto valor: el objeto codiciado tiene un alto valor. Los datos (el contenido a

!/.J'I.E''i.S'''.'...............
I I
os amacena: servoor,
Tres amenazas que se han incrementado en el ao 2005:
Cartas nigerianas: correo electrnico que comenta la necesidad de sacar una
gran cantidad de dinero de un pas africano a travs de un cmplice" de otro
pas, justificando una persecucin poltica.

Ingeniera social: correo electrnico en el que se fuerza al usuario a que abra


un archivo adjunto, enlace, etc. que supuestamente le interesa o bien est muy
relacionado con su trabajo, utilizando as el eslabn ms dbil de una cadena
de seguridad como es el ser humano.

Phishing: simulacin, algunas veces perfecta, de una pgina Web de un banco


solicitando el ingreso de claves secretas, con la excusa de la aplicacin de
nuevas polticas de seguridad de la entidad. Dentro del enlace a la noticia de
Hispasec, se recomienda la visualizacin de los vdeos explicativos en flash con
los altavoces del PC encendidos.
Leyes y acuerdos relativos a la seguridad de la informacin

En Venezuela

Artculos 108 y 110 de la Constitucin Nacional:


Nuestra carta magna reconoce el inters pblico de la ciencia, la
tecnologia, el conocimiento, la innovacin y sus aplicaciones y los
servicios de informacin necesarios por ser instrumentos fundamentales
para el desarrollo econmico, social y poltico del pas, as como para la
seguridad y soberana nacional, igualmente establece que el Estado
garantizar servicios pblicos de radio, televisin y redes de bibliotecas y
de informtica, con el fin de permitir el acceso universal a la informacin.
Los centros educativos deben incorporar el conocimiento y aplicacin de
las nuevas tecnologas, de sus innovaciones, segn los requisitos que
establezca la Iey.
Ley Especial Contra Delitos Informticos

Crea el marco jurdico para el tratamiento de los crmenes


informticos. Se contemplan 4 tipos de delitos:

Contra los sistemas que utilizan tecnologas de


informacin
Contra la Propiedad
Contra la privacidad de las personas y de las
comunicaciones
Contra las nias, nios y adolescentes
Contra el orden econmico
Ley sobre mensajes de datos y firmas
electrnicas y su reglamento (parcial)
Esta Ley tiene como objetivo otorgar y
reconocer eficacia y valor jurdico a la Firma
Electrnica, al Mensaje de Datos y a toda
informacin inteligible en formato electrnico
(video, msica, fotografa), independientemente
de su soporte material, atribuible a personas
naturales o jurdicas, pblicas o privadas, asi
como regular lo relativo a los Proveedores de
Servicios de Certificacin y los Certificados
Electrnicos.
La Iey presenta varios problemas, entre los que
podemos mencionar los siguientes
La terminologa utilizada es diferente a la de la Ley de Mensaje de Datos y Firma s E lectrnicas, por ejem plo:
definic in del mensaje de datos

Repite delitos ya e xistente s en el Cdigo Penal y en otras leyes penales, a los cuales les ag rega el medio
empleado y la na tu ra leza intang i ble de I bien afectado

Tutela los sistema s de informacin sin referirse a su contenido ni su s a plica ciones

No tutela el uso debido o indebido de Internet

Establece principios genera les diferentes a los e stable cidos en el libro primero del Cdigo Penal, con lo cual
se considera que empeora la decodificacin

La Ley pretende ser un Cdigo Penal en miniatura, pero ca rece de la e str uctura y ex ha ustividad propia s de
tal instrume nto

Falta de regla mentos de Iey especificos

Falta de experiencia en el poder legislativo y judic ial para el tratamiento de los mismos
Ley de Proteccin al Consumidor y al Usuario
Tiene por objeto la defensa, proteccin y salvaguarda de los derechos e intereses de los c onsumidores y
usuarios, su organizacin, educacin, informacin y orientacin, as como establecer los ilcitos
administrativos y penales y los procedimientos para el resarcimiento de los daos sufridos por causa de
los proveedores de bienes y servicios y para la aplicacin de las sanciones a quienes violenten los
derechos de los consumidores y usuarios. En materia de TIC, establece un Capitulo IV) completo referido
al Comercio Electrnico, incluyendo una definicin de ste. Establece los deberes del proveedor de bienes
y servicios dedicados al c omercio electrnico, entre los que se cuenta el de aportar informacin confiable,
desarrollar e implantar procedimientos fciles y efectivos que permitan al consumidor o usuario escoger
entre recibir o no mensajes c omerciales electrnicos no solicitados, adoptar especial cuidado en la
publicidad dirigida a nios, ancianos, enfermos de gravedad, entre otros, el deber de informar sobre el
proveedor, garantizar la utilizacin de los medios necesa rios que permitan la privacidad de los
consumidores y usuarios, ofrecer la posibilidad de escoger la informacin que no podr ser suministrada a
terceras personas, ofrecer la posibilidad de cancelar o corregir cualquier error en la orden de compra,
antes de concluirla, proporcionar mecanismos fciles y seguros de pago, asi como informacin acerca de
su nivel de seguridad y especificar Tas garantias. Atribuye aT T NDECU la obligacin de educar a los
consumidores acerca del comercio electrnic o y fomentar su participacin en l.
El propsito de este Decreto-Ley ha sido la adaptacin del ordenamiento jurdico a los
cambios actuales, entre los que se encuentran la nuevas tecnologas informticas para
llegar a una automatizacin del sistema registral y notarial, as como unificar en un mismo
texto normativo las disposiciones que regulen la actuacin de los Registros Civiles y
Subalternos, de los Registros IVlercantiles y de las Notaras Pblicas. Se considera de
inters pblico el uso de medios tecnolgicos en la funcin registral y notarial para que los
trmites de recepcin, inscripcin y publicidad de los documentos sean practicados con
celeridad, sin menoscabo de la seguridad jurdica. La Ley establece que los asientos
registrales y la informacin registral emanada de los soportes electrnicos del sistema
registral venezolano surtirn todos los efectos jurdicos que corresponden a los
documentos pblicos. Entre los principales postulados referidos a las TIC, tenemos que
todos los soportes fsicos del sistema registral y notarial actual se digitalizarn y se
transferirn progresivamente a las bases de datos correspondientes. El proceso registral y
notarial podr ser llevado a cabo ntegramente a partir de un documento electrnico y se
establece que la firma electrnica de los Registradores y Notarios tendr la misma validez y
eficacia probatoria que la Iey otorga a la firma autgrafa.
Permite la utilizacin intensiva de medios electrnicos o magnticos y perm ite la
declaracin y pago de tributos a travs de Internet. Los articulo s ms relevantes
en cuanto a TIC se refiere, son: el articulo 125, que establece que la
Administracin Tributaria podr "utilizar medios electrnicos o magnticos para
recibir, notificar e intercambia r documentos, declaraciones, pagos o actos
administrativos y en general cualquier informacin. A tal efecto se tendr como
vlida en los procesos administrativos, contenciosos o ejecutivos, la certificacin
que de tales documentos, declaraciones, pagos o actos administrativos realice la
Administracin Tributaria, siempre que demuestre que la recepcin, notificacin o
intercambio de los mismos se ha efectuado a travs de medios electrnicos o
magnticos". El articulo 138, establece que cuando la Administracin Tributaria
"reciba por medios electrnicos declaraciones, comprobantes de pago, consultas
tributarias, recurso s u otros tr mites habilitados para esa tecnologia, emitir un
certificado electrnico que especifique la documentacin enviada y la fecha de
recepcin, la cual ser considerada como fecha de inicio del procedimiento de que
se trate.
Cdigo Orgnico Tributario (cont.)
En todo caso, se prescindir de la firma a utgrafa del contribuyente o
responsable () La Ad ministracin Tributaria establecer medios
procedimientos de autenticacin electrnica de contribuyentes
responsables" El artculo 162, numeral 3 del Cdigo Org nico Tributario, que
establece: "Las notificaciones se practicar n, sin orden de prelacin, en
alguna de estas formas () 3. Por correspondencia postal efectuada mediante
correo pblico o privado, sistemas de comunicacin telegrficos,
fac simila res, electrnicos y similares siempre que se deje constancia en el
expediente de su recepcin. C uando la notificacin se realice mediante
sistemas facsim ilares o electrnicos, la Ad ministracin Tributaria convendr
con el contribuyente o responsable la definicin del domicilio facsim ilar o
electrnico".
Ley Orgnica de Telecomunicaciones
SegGn la Paradoja de Hayles y sus "Capas de Desarrollo" {1 .999} Sin infraestructuras previas. en definitiva. no hay acceso a las
nuevas tecnologias. De aqu la importancia capital de este instrumento normativo que estableci la apertura y competencia en
el sector de las telecomunicaciones en nuestro pais y sent6 las bases del desarrollo e inversin en la infraestructura que
actualmente disfrutamos.
En materia especifica de TIC podemos destacar algunos postulados de esta Ley; la promocin a la investigacin, el desarrollo y
la transferencia tecnolgica en materia de telecomunicaciones y la utilizacin de nuevos servicios, redes y tecnologias con el
propsito de asegurar el acceso en condiciones de igualdad a todas las personas. Para garantizar el cumplimento de sus
objetivos, la Iey exige a los distintos operadores la homologacin y certificacin de equipos, asf como el uso de la tecnologa
adecuada. a fin de lograr el acceso universal a la comunicacin.
HIGH-TECH CRIME PACT
los crmenes de alta tecnologia , pornografa infantil, terrorismo ciber
electrnicos.
Algunos ejemplos:

f/ei /e m
HIGH-TECH CRIME PACT -

En 1997 los ministros del interior de los pases miembros del G8 se reunieron para
crear un plan de 10 puntos para el combate conjunto de la cibercriminalidad. Se cre
una red de cooperacin para realizar investigaciones conjuntos y levantar evidencias.
En mayo del ao 2000 finalmente se logra un acuerdo entre las naciones del G8 un
compromiso formal para el desarrollo de esfuerzos, legislativos, econmicos y
polticos en el combate de los crmenes de alta tecnologa y la cibercriminalidad.
Estos esfuerzos han logrado lo que hoy en dia se conoce como el tratado de
cibercriminalidad.
Leyes de otros pafses a tomar en cuenta

Crea el marco jurdico para la reglamentacin de los informes financieros de las


empresas que cotizan en la bolsa de valores de los Estados Unidos de Amrica. Su
objetivo es brindar confianza al accionista de que el proceso de generacin de los
estados financieros, los balances generales de las empresas cumplieron con un grupo
de controles internos que aseguran su integridad y exactitud.

Dentro de esta Iey est la seccin 404 que se dedica a establecer el marco regulatorio
para los controles internos que una organizacin debe tener para a nivel de sistemas de
informacin para proteger la integridad, confidencialidad y disponibilidad de la
informacin financiera de una empresa y de todos aquellos elementos que contribuyan
a formar la.

Por qu nos interesa esta Iey? Las empresas multinacionales que cotizan en la bolsa de
valores de los Estados Unidos deben asegurarse de solicitar los mismos controles para
cada una de sus empresas alrededor del mundo y deben reportar cualquier tipo de falla
en los controles a la Exchange Commission encargada de certificar que el proceso
llevado a cabo por las empresas es ntegro.

Leyes muy 5imilares se han aprobado en: Canad, Japn, en Europa


travs del acuerdo de BA8EL 11, entre otros.
'Oh '- 0 cz 1
Administracin de la Seguridad

La gerencia de la seguridad de la informacin involucra el control y verificacin de procesos


no slo en el rea de las TIC. Por ello se habla de varios niveles de gobierno:
Gobierno de las tecnologas de la inorsnacin:
Es el sistema: normas, procedimientos, organizacin, infraestructura que gestiona y controla todas las
tecnologas de la informacin de una organizacin
Gobierno de la empresas

Es el sistema: normas, procedimientos, mtodos, organizacin, procesos que dirige y controla una
organizacin.
Gobierno de las tecnologias de la informacin es parte del gobierno de la empresa:
Errores comunes cometidos a nivel gerencial
1. Suponer que los problemas desaparecern si no se les hace caso
2. Autorizar soluciones reactivas o parches de corto plazo
3. No entender cunto vale la informacin y qu tanto depende de ella la
reputacin corporativa
4. Depender principalmente de un cortafuegos
5. No lidiar con los aspectos operacionales de la seguridad
6. Hacer parches y no dar seguimiento para asegurarse que de los riesgos se han
mitigado eficazmente
7. No entender la relacin entre la seguridad y los problemas de funcionamiento de
negocio
A nivel gerencial, cmo enfrentar esos problemas
Ubicar la seguridad informtica al mismo nivel que otras
actividades sustantivas de la organizacin
Elaborar la misin de la seguridad informtica claramente
Promulgar las polticas que se derivan de la misin
Determinar qu mecanismos se requieren para implementar esas
polticas.

Elementos indispensables

Establecimiento de la poltica de seguridad


Auditoria de la seguridad de los sistemas
Gestin de acceso
Arquitectura de Seguridad
La arquitectura de seguridad se refiere a los conceptos, principios, estructuras y
estndares usados para disear, implementar, monitorizar y asegurar los sistemas
operativos, los equipos, las redes y las aplicaciones. La arquitectura de seguridad
define los controles usados para hacer cumplir los niveles de disponibilidad, integridad
y confidencialidad.

Una arquitectura de seguridad completa abarca proteccin a varios niveles y contra


amenazas accidentales e intencionales:

Proteccin del recurso humano: Ante amenazas fsicas y lgicas

Proteccin de la infraestructura fisica: Ante amenazas fsicas.


Seguridad Ffsica
El objetivo de la seguridad fisica es proporcionar un ambiente seguro para todos los activos e
intereses de la organizacin, incluyendo las actividades del sistema de informacin.
La seguridad fsica proporciona proteccin para los edificios o cualquier estructura (vehculos) que
hospede el sistema u otros componentes de redes. Los sistemas son caracterizados como
estticos, mviles o porttiles.

Seguridad Lgica
Los objetivos que se plantean para lograr la seguridad lgica son:
Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el
procedimiento correcto.
- sue la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no
a otro.
Que la informacin recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.
Se disponga de pasos alternativos de emergencia para la transmisin de informacin.
Gerencia del riesgo
La gestin de riesgos es el proceso que comprende la
identificacin y medicin de los riesgos de seguridad en los
sistemas informticos, asi mismo, comprende la creacin de
estrategias que permiten controlar y minimizar dichos riesgos.

Entre las estrategias se incluyen:


Transferir el riesgo,
Evitar el riesgo,
Reducir el efecto negativo del riesgo
Aceptar parte o todas las consecuencias de un riesgo
particular.

El objetivo primordial de dichas estrategias es reducir al minimo


los costos mientras se maximiza la reduccin de los efectos
negativos de los riesgos, dando como resultado un plan de
seguridad adecuado a un sistema o ambiente especfico
Anlisis de riesgo
El anlisis y evaluacin de riesgos es el proceso de analizar el
ambiente y las relaciones de los atributos relacionados con los
riesgos.

Este proceso debe identificar vulnerabilidades y asociarlas con


los activos afectados. La fase incluye la identificacin de
riesgos, y de las medidas para reducir dichos riesgos, as como
tambin determinar el impacto econmico de aceptar los riesgo,
evitar los riesgos o transferir los riesgo.

Rie go Amenaza x Impacto


CRAMM

Central Computer and Telecommunications Agency Risk


Analysis and Management Method

Es una metodologia cualitativa para el anlisis y gestin de


riesgos. Hoy en da ya existen herramientas automatizadas para
llevar a cabo un anlisis de riesgos utilizando la metodologa
C RAlVllVl (www.cramm.com)
Anlisis

Gestin
OCTAVE

Operationally Critical Threat, Asset and Vulnerability Evaluation

Es un estndar que permite evaluar las vulnerabilidades y


amenazas que existen sobre los activos y operaciones criticas de
una organizacin. Su metodologa evala la tecnologia en
funcin de los riesgos operacionales y las prcticas de
seguridad.

Esta metodologia fue desarrollada para organizaciones grandes


(+ 300 empleados) con jerarquas mltiples con la capacidad
mantener una infraestructura de sistemas robusta.
OCTAVE

Esta metodologa consta de 3 fases para evaluar los aspectos


organizativos y tecnolgicos para proveer una imagen de las
necesidades de la organizacin en trminos de seguridad.

Cada fase cuenta con talleres conducidos por equipos


interdisciplinarios de entre 3 y 5 empleados de la empresa. En
ellos se detallaran:

Identificacin de activos crticos y sus amenaza s


Identificacin de vu Inerabilidades tanto organzatvas
como Tecnolgicas que po eden exponer a la
organizacin a las amenazas identificada s en la fase
anterior
Desarrollar una estrategia de proteccin y mitigacin
que refleje la misin de la organizacin y sus
prioridades
Cada fase cuenta con talleres conducidos por equipos
interdisciplinarios de entre 3 y 5 empleados de la empresa. En
ellos se detallaran:

Identificacin de activos crticos y sus amenazas


Identificacin de vulnerabilidades tanto organizativas
como tecnolgicas que pueden exponer a la
organizacin a las amenazas identificadas en la fase
anterior
Desarrollar una estrategia de proteccin y mitigacin
que refleje la misin de la organizacin y sus
prioridades
Gerencia del riesgo
La gestin de riesgos es el proceso que comprende la
identificacin y medicin de los riesgos de seguridad en los
sistemas informticos, asi mismo, comprende la creacin de
estrategias que permiten controlar y minimizar dichos riesgos.

Entre las estrategias se incluyen:


Transferir el riesgo,
Evitar el riesgo,
Reducir el efecto negativo del riesgo
Aceptar parte o todas las consecuencias de un riesgo
particular.

El objetivo primordial de dichas estrategias es reducir al minimo


los costos mientras se maximiza la reduccin de los efectos
negativos de los riesgos, dando como resultado un plan de
seguridad adecuado a un sistema o ambiente especfico
MAGERIT
Es una metodologia de anlisis y gestin de riesgos de los
sistemas de informacin de las administraciones publicas. Fue
elaborado por el Consejo Superior de Informtica del Estado
Espaol. Su objetivo es investigas los riesgos inherentes a los
sistemas de informacin y recomendar medidas para
controlarlos.
OB7IED YOS E5TflATEGt4 y
PO ICA 6e SECURWW &
les det faa

DETE3thZNAC7ON c ta
PLAI'?lFf CAClON de Ia

L A C]ON A CONCEEI' CIAC ION N'


S V A CUA RDASy *mm

orrroxizac iox czszio R EA CCION * na.


De COMFtCURAClN y 4c
y RECUPEB ACfON
Clasificacin del riesgo
La clasificacin de bienes le proporciona a la organizacin una
manera de determinar y manejar sus riesgos mas significativos,
produciendo el nivel adecuado de seguridad.

Clasificar la informacin y los bienes de la organizacin basado


en riesgos del negocio, valor de los datos y de los bienes, o
algn otro criterio, tiene mucho sentido en los negocios.

No toda la informacin y los bienes tienen el mismo valor o uso


o estn sujeto a los mismos riesgos. Por lo tanto, los
mecanismos de proteccin, procesos de recuperacin, etc, son,
o deberian ser, diferentes, con la respectiva diferencia de costos
asociados con ellos.
Clasificacin del riesgo

Una vez los riesgos han sido identificados y evaluados, todas las
tcnicas para manejar los riesgos pertenecen a una de estas
principales categorias:

Aceptar el riesgo
Evitar el riesgo
Reducir el riesgo
Transferir el riesgo
De forma prctica
1. Realizamos un inventario de los bienes informticos
(Computadores, laptops, enrutadores, switchs, cortafuegos,
cableado, servidores, sistema de enfriamiento, sistema elctrico)

2. Realizamos un inventario del software utilizado en la empresa


o institucin

3. Luego se recomienda realizar equipos de trabajo


interdisciplinario para la evaluacin de las amenazas e impacto
de cada bien

4. Una vez que conocemos todos los elementos se construye la


matriz de riesgos en conjunto con el listado de amenazas y los
inventarios

5. De acuerdo a la evaluacin se decidir: aceptar, evitar, reducir


o transferir el riesgo
Listado de amenazas
Listado de salvaguardas

S3
56
S7
S8
S9
S10
Stt
San
S13
St4
Sl3
St6
Std
S18 DeSrodk PoIersndeSeeunhd
St9 Topo1osmRmmaon
S20
521
522
SU ADN
Valores para la probabilidad
de ocurrencia y el impacto
Probab i I i dad
Descriptor Va lor
Ra ra 1
I mprobab le 2
Pos i b le 3
Muy Probab le 4
Cas Certe za 5
Impacto
DesCriptor Valor
I nsign ific ante 1
Menor 2
Moderado
Mayor 4
C. atastr f i co 5
Cuando los unimos:

MODERADO

fv1uy P roba b Ie MODERADO

MODERADO MODERADO

MODO RADO M0DERADO

Raro M0DERADO

In3 ian ali r a n t e fal e n o r IIod e r a d o fala yo r Ca \ a 3tr f\ c o


Establecer el contexto

Idenficar riesgos

Analizar riesgos

Evaluar riesgos

Tratar riesgos
Poltica y Directrices de Seguridad

Qu es la Politica de Seguridad?

Es la normativa y directrices que nos permitirn lograr un


Equilibrio entre la seguridad y la capacidad de hacer negocios."

SysAdminAudit, Networking and Security Institute. Information Systems


Security Architecture: A Novel Approach to Layered Protection. Estados
Unidos. SANS, 2004

Qu contiene la Poltica de seguridad?


Declaracin de la importancia de la informacin
en la organizaciones, de 1:al manera que reeje
las intenciones de la Alta Gerencia por cumplir
con los objetivos de seguridad del negocio. de
acuerdo a su misin y visin e incorporando
adems la legislacin vigente en matea de
seguridad aplicable al negocio
zau contiene la Poltica de seguridad?
"Declaracin de la importancia de la informacin
en la organizaciones, de tal manera que refleje
las intenciones de la Alta Gerencia por cumplir
con los objetivos de seguridad del negocio, de
acuerdo a su misin y visin e incorporando
adems la legislacin vigente en materia de
seguridad aplicable al negocio
dentro de la organizacin, la informacin.
Estructura de la politica de seguridad y
su normativa
Un ejemplo!
Vftlo de la Dimb

Dirigida
Invoca a la comundad w en el mepramnE de los esquemas de la
Sequedad Informtica en \a Instu n, mediante el currplnenb de reglas e

Normas
Los usuarios deben firmar clusulas de cumplimiento de las Politicas de Seguridad en los
contratos laborales y acadmicos.
El Dcgartamzato dc Tccoologtas debe rcztlzar acdaIzs dc caacicoclzcia y cagacltacia
a los usuarios rc to a la Importzacta y la Novoa dc proteger Iz laforeacia raaafgada al mejor
c la lastitucla.
El Departamento de Desarrollo del Pemonal debe reportar al Departamento de Tecnobgias
de la renuncia o despido de empleados, con el fin de retirar los permias de acceso a los
servios.
El manejo de la informacin en medio Impreso es responsabilidad de cada dependencia, se
debe tener en cuenta que:
o Debe estar almacenada en un Iugar seguro.
o El manejo de la correspondencia debe guiaee bajo las tcnicas de oficina vigentes.
o Fa informacin deber res$uardaee en lugares de difcil acceso a terceros y
protegidos de condiciones ambientales que puedan afeitarte.
o Por ningn motivo se debe dejar documentacin e informacin relevante sobre los
escritorios cuando la persona a car$o se ausente del sitio de trabajo.
Todos los integrantes de la Institucin deben propender por el cumplimiento de las
directrices establecidas.

Desarwllada por Qrode Tecoolo v Szaad&d de la M o


Ttr1sxda por
Rige a gart de Su feclu dc pvbczcio
Referencias
McNab, C. Network Security Assessment. 0 2004.
Cano, J. Computacin Forense, descubriendo los rastros
informticos. Alfaomega. 2009.
Daltabuitz; Hernndez;MaIIn; Vzquez. La seguridad de la
informacin. Limusa, Noriega Editores. 2007.
Ormella , C. Seguridad informtica vs. Seguridad de la
informacin?.2004.
Rami, J. Libro Electrnico de Seguridad Informtica y
Criptografia. Versin 4.1 de 1 de marzo de 2006.