SEGURIDAD INFORMATICA.

Definiciones y conceptos:

Seguridad informática: La seguridad de la información es la protección de la

información de un gran rango de amenazas para asegurar la continuidad del
negocio, minimizar los riesgos en los negocios y maximizar el regreso de
inversionistas y oportunidad de negocios.

Normas de seguridad: Toda organización debe estar a la vanguardia de los

procesos de cambio.donde disponer de información continua, confiable y en
tiempo, constituye una ventaja fundamental.

Políticas de seguridad: Una política de seguridad en el ámbito de la criptografía

de clave púbica o PKI es un plan de acción para afrontar riesgos de seguridad, o
un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. Pueden
cubrir cualquier cosa desde buenas prácticas para la seguridad de un solo
ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de
un país entero.

Activo: Recursos de sistemas de información es relacionado con este. Necesario

para que la organización funcione correctamente.

Amenaza: Una causa potencial de un incidente no deseado podría resultar

dominio para un sistema u organización.

Riesgo: combinación de la probabilidad de un evento y su consecuencia.

Vulnerabilidad: Una debilidad de una ventaja o un grupo de ventajas pueden ser

explotadas por una o más amenazas.

Ataque: Evento exitoso o no atento sobre el buen funcionamiento.

Contingencia: interrupción de la capacidad de acceso a información y

procesamiento de la misma a través de computadoras necesarias para la
operación normal de un negocio.

CERT: es un acrónimo que quiere decir Cumputer Emergency ResponseTeam,

creado en el 1988 por Advance Research Project Agency (ARPA).

Su función principal consiste en recoger información sobre eventuales violaciones

de la seguridad, coordinar los procedimientos relativos a tales violaciones y
adiestrar o enseñar a la comunidad internet sobre el argumento de la seguridad.
 ISC2: ( International Information systems Security Certification Consortium), es
una organización sin ánimo de lucro que se encarga de:

-Mantener el “Commonn Body of Knowledge” en seguridad de la informacion.

-Certifica profesionales en un estándar internacional de seguridad de información.

-Administra los programas de entrenamiento y certificación.

-garantiza la vigencia de las certificaciones a través de programas de capacitación

continua.

CISSP: Es la certificación en seguridad de la información más reconocida a nivel

mundial y es elevada por el ISC2.

Fue diseñada con el fin de reconocer una maestría de conocimientos y experiencia

en seguridad de la información con una ética comprobada en el desarrollo de la
profesión.

SANS: SANS es la más confiable y con mucho la mayor fuente de seguridad de la

información, formación y certificación en el mundo. Asimismo, desarrolla,
mantiene, y pone a disposición sin costo alguno, la mayor colección de
documentos de investigación sobre diversos aspectos de la seguridad de la
información, y que opera en Internet del sistema de alerta temprana - Centro de
Internet tormenta.

El SANS (Administrador, Auditoría, Redes, Seguridad), el Instituto se creó en 1989

como una cooperativa de investigación y educación organización. Ahora sus
programas llegan a más de 165.000 profesionales de la seguridad en todo el
mundo. Una serie de individuos de los auditores y administradores de red, a los
oficiales jefe de seguridad de la información están compartiendo las lecciones que
aprenden y se conjunta la búsqueda de soluciones a los retos que se enfrentan.
En el corazón de SANS muchos son los profesionales de la seguridad en diversas
organizaciones mundiales de las empresas a las universidades que trabajan juntos
para ayudar a toda la comunidad de seguridad de la información.

Muchos de los valiosos recursos SANS son libres para todos los que preguntan.
Entre ellas se incluyen el popular centro de la tormenta de Internet (Internet del
sistema de alerta temprana), el semanario de noticias (NewsBites), el resumen
semanal de la vulnerabilidad (@ RIESGO), flash de alertas de seguridad y más de
1200 premiado, con documentos originales de investigación.

Integridad: los componentes del sistema solo pueden ser creados y modificados
por los usuarios autorizados.
Protegen los datos de modificaciones no autorizadas detectando cualquier
modificación inserción, eliminación o retrasmisión.

Confidencialidad: los componentes del sistema solo pueden ser accesibles solo
por aquellos usuarios autorizados solo accedan quienes estén autorizados tienen
acceso al a información.

Disponibilidad: Los usuarios deben tener disponibles todos los componentes del
sistema cuando así lo deseen. Los usuarios autorizados tienen acceso a la
información.

No repudio: alguien no puede negar que hizo cierta acción.

Delitos Informáticos: son aquellos actos delictivos realizados con el uso de

computadoras o medios electrónicos, cuando tales conductas constituyen el único
medio de comisión posible o el considerablemente más efectivo, y los delitos en
que se daña estos equipos, redes informáticas, o la información contenida en
ellos, vulnerando bienes jurídicos protegidos. Es decir, son los delitos en que los
medios tecnológicos o son el método o medio comisivo, o el fin de la conducta
delictiva.

-Formas

Los delitos informáticos se manifiestan en dos sentidos: como delitos de resultado

y como delitos de medio.

El primer grupo se refiere a conductas que vulneran los sistemas que utilizan
tecnologías de información, es decir, que lesionan el bien jurídico constituido por la
información que los sistemas contienen, procesan, resguardan y transmiten,
puesto que la información no es más que el bien que subyace en ellos.

El segundo grupo, correspondiente a los delitos informáticos de medio, recoge las

conductas que se valen del uso de las tecnologías de información para atentar
contra bienes jurídicos distintos de la información contenida y tratada en sistemas
automatizados, esto es, bienes como la propiedad, la privacidad de las personas o
el orden económico. Lo que distingue a este grupo de delitos informáticos es la
utilización de las tecnologías de información como único medio de comisión
posible o como medio extremadamente ventajoso en relación con cualquier otro-
para vulnerar el bien jurídico objeto de protección penal.

-Sujetos activos y pasivos

Muchas de las personas que cometen los delitos informáticos poseen ciertas
características específicas tales como la habilidad para el manejo de los sistemas
informáticos o la realización de tareas laborales que le facilitan el acceso a
información de carácter sensible.

En algunos casos la motivación del delito informático no es económica sino que se

relaciona con el deseo de ejercitar, y a veces hacer conocer a otras personas, los
conocimientos o habilidades del delincuente en ese campo.

Muchos de los "delitos informáticos" encuadran dentro del concepto de "delitos de

cuello blanco", término introducido por primera vez por el criminólogo
estadounidense Edwin Sutherland en 1943. Esta categoría requiere que: (1) el
sujeto activo del delito sea una persona de cierto estatus socioeconómico; (2) su
comisión no pueda explicarse por falta de medios económicos, carencia de
recreación, poca educación, poca inteligencia, ni por inestabilidad emocional.

El sujeto pasivo en el caso de los delitos informáticos, pueden ser individuos,

instituciones crediticias, órganos estatales, etc. que utilicen sistemas
automatizados de información, generalmente conectados a otros equipos o
sistemas externos.

Para la labor de prevención de estos delitos es importante el aporte de los

demanificados que puede ayudar en la determinación del modus operandi, esto es
de las maniobras usadas por los delincuentes informáticos.

Políticas de Seguridad: La Política de Seguridad tiene dos propósitos centrales:

Informar a todos los usuarios sobre las obligaciones que deben asumir respecto a
la seguridad asociada a los recursos de tecnología de Información T.I y dar las
guías para actuar ante posibles amenazas y problemas presentados.
 Comparación entre la norma ISO 17799 e ISO 27000

-ISO 17799 es un conjunto de buenas prácticas en seguridad de la información.

Contienes 133controles aplicables.

-La ISO 17799 no es certificable, ni fue diseñada para el fin.

-La norma que si es certificable en la norma ISO 27001 como también lo fue su
antecesora BS 7799-2.

-ISO 27001 contiene un anexo A, que consiste en los controles de la norma ISO
17799 para su posible aplicación en el SGSI que implante cada organización.

-ISO 17799 es para ISO 27001, por tanto, una relación de controles necesarios
para garantizar la seguridad de la información.

-ISO 17799 aplica invariablemente a organizaciones pequeñas, medianas y

multinacionales. ISO 17799 comprende cláusulas enfocadas a prácticas y
métodos fundamentales de seguridad contemporánea contemplando avances
tecnológicos.

-ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener,
evaluar un sistema de seguridad informática explícitamente. ISO 27001 permite
auditar un sistema bajo lineamientos ISO 17799 para certificar ISMS (Information
Security Management System).

-La norma ISO 27002 es una guía de buenas prácticas que describe los objetivos
de control y controles recomendables en cuanto a seguridad de la información. No
es certificable. Será la sustituta de la ISO17799:2005.

-La norma ISO27001 contiene un anexo que resume los controles de

ISO17799:2005.

ESTADISTICAS.

Reparación de Estadística de la vulnerabilidad

Vulnerabilidad de rehabilitación es una de las principales áreas de trabajo en el

Centro de Coordinación CERT ® (CERT / CC). El CERT / CC tanto se esfuerza por
reducir el número de vulnerabilidades introducidas en el software y reducir el
riesgo planteado por las vulnerabilidades existentes. Nuestro estándar de proceso
de rehabilitación incluye la recopilación de informes de vulnerabilidades, la
realización de análisis técnico, la coordinación con los proveedores afectados, y el
establecimiento de un plazo razonable para la divulgación de información acerca
de la vulnerabilidad.

Catalogadas vulnerabilidades

Año Total de Directa de

vulnerabilidades informes
Q1-Q3,
2008 6058 310
2007 7236 357
2006 8064 345
2005 5990 213
2004 3780 170
2003 3784 191
2002 4129 343
2001 2437 153
2000 1090
1999 417
1998 262
 1997 311
1996 345
1995 171
Totales 44074

PUBLICACIONES ACERCAR DE LAS VULNERAVILIDADES

Toma nota de la Técnico de Alertas de

Año vulnerabilidad Seguridad Alertas seguridad
publicada publicados publicados
Q1-Q3,
2008 145 29 22
2007 366 42 31
2006 422 39 37
2005 285 22 11
2004 341 27 17
2003 255
2002 375
2001 326
2000 47
1999 3
1998 8
Totales 2573 159 118

Columna Definiciones
Año - Esta columna representa el año civil, no el año fiscal.

Total de vulnerabilidades catalogadas: Esta columna refleja el número total de

vulnerabilidades que hemos catalogado sobre la base de informes de fuentes
públicas y los que se nos presenta directamente. Almacenar la información en
nuestra base de datos permite a nuestros analistas sistemáticamente la
vulnerabilidad de registro de datos, ayuda a arrojar luz sobre las condiciones
previas importantes, los impactos, y el alcance, y nos da una manera de validar los
informes y reconocer nuevos tipos de vulnerabilidades.
Directa de los informes: Esta columna refleja el número total de vulnerabilidades
que hemos catalogado sobre la base de vulnerabilidades informó directamente a
nosotros. Animamos a la gente que informe las vulnerabilidades de manera que
podamos coordinar con los proveedores afectados para resolver la vulnerabilidad
y reducir al mínimo el riesgo para todas las partes interesadas. Para determinar un
número aproximado de las vulnerabilidades de fuentes públicas, restar el número
de informes directos del total de vulnerabilidades catalogadas. El número real
puede variar ligeramente ya que en ocasiones, las vulnerabilidades se comunican
directamente a nosotros y a conocer al público al mismo tiempo.

Toma nota de la vulnerabilidad de publicación: Esta columna refleja el número

de vulnerabilidad Notas hemos publicado. Estos documentos proporcionan
información técnica y soluciones a las vulnerabilidades que hemos analizado.
Aunque no podemos publicar la información sobre cada vulnerabilidad, hacemos
un esfuerzo concertado para publicar información acerca de las más críticas e
importantes vulnerabilidades. A partir de 2004, publicamos estos documentos en
nombre de US-CERT.

Técnico de Seguridad publicado Alertas: Esta columna refleja el número de

alertas de seguridad técnica que hemos publicado en relación con el US-CERT.
Estos documentos proporcionan información oportuna acerca de los actuales
problemas de seguridad, vulnerabilidades y exploits.

Alertas de seguridad publicado: Esta columna refleja el número de alertas de

seguridad que hemos publicado en relación con el US-CERT. Estos documentos
proporcionan información oportuna acerca de los actuales problemas de
seguridad, vulnerabilidades y exploits. Se exponen las medidas y acciones que no
técnico y empresarial a casa los usuarios de la computadora puede tomar para
protegerse de los ataques.
RESUMEN.

ISO 17799

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar
la gestión de la seguridad de la información dirigidas a los responsables de iniciar,
implantar y mantener la seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada.

La seguridad de la información se define como la preservación de:

- Confidencialidad

- Integridad

- Disponibilidad

- No Repudio

El objetivo de la norma ISO 17799 es proporsinar una base común para

desarrollar normas de seguridad dentro de las organizaciones y ser una practica
eficazde la gestión de seguridad.

La adaptación española de la norma se denomina UNE-ISO/IEC 17799.

Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de

controles a aplicar para establecer un Sistema de gestión de la Seguridad de la
información (SGSI), según la norma UNE71502, CERTIFICABLE.

En 1995 el British Standard Institute publica la norma BS 7799, un código

de buenas prácticas para la gestión de la seguridad de la información.

En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los

sistemas de gestión de la seguridad de la información; se revisa en
2002.

Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada

como norma ISO en 2000 y denominada ISO/IEC 17799:

– Conjunto completo de controles que conforman las buenas prácticas de

seguridad de la información.

– Aplicable por toda organización, con independencia de su tamaño.

– Flexible e independiente de cualquier solución de seguridad concreta:
recomendaciones neutrales con respecto a la tecnología.

En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE
17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no
existe equivalente ISO).

La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren

por completo la Gestión de la Seguridad de la Información:

1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10.Conformidad con la legislación.

De estos diez dominios se derivan 36 objetivos de control (resultados que se

esperan alcanzar mediante la implementación de controles) y 127 controles
(prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).

Políticas de seguridad.

Dirigir y dar soporte a la gestión de la seguridad de la información.

L a alta dirección debe definir una política que refleje las lineasdirectrices de la
organización en materia de seguridad, aprobarla y publicarla de la forma adecuada
a todo el personal implicado en la segurdad de la información.

La política se constituye en la base de todo el sistema de seguridad de la

información.

La alta dirección debe apoyar visiblemente la seguridad de la información en la

compañía.

Aspectos Organizativos para la Seguridad.

Gestionar la seguridad de la información dentro de la organización.

Mantener la seguridad de los recursos de tratamiento de la información y de los

activos de información de la organización que son accedidos por terceros.
Mantener la seguridad de la información cuando la responsabilidad de su
tratamiento se ha externalizado a otra organización.

Gestionar la seguridad de la información dentro de la organización.

Mantener la seguridad de los recursos de tratamiento de la información y de los

activos de información de la organización que son accedidos por terceros.

Mantener la seguridad de la información cuando la responsabilidad de su

tratamiento se ha externalizado a otra organización.

CLASIFICACIÓN Y CONTROL DE ACTIVOS

Mantener una protección adecuada sobre los activos de la organización.

Asegurar un nivel de protección adecuado a los activos de información.

SEGURIDAD FÍSICA Y DEL ENTORNO.

Evitar accesos no autorizados, daños e interferencias contra los locales y la

información de la organización.

Evitar pérdidas, daños o comprometer los activos así como la interrupción de las
actividades de la organización.

Prevenir las exposiciones a riesgo o robos de información y de recursos de

tratamiento de información.

GESTIÓN DE COMUNICACIONES Y OPERACIONES.

Asegurar la operación correcta y segura de los recursos de tratamiento de

información.

Minimizar el riesgo de fallos en los sistemas.

Proteger la integridad del software y de la información.

Mantener la integridad y la disponibilidad de los servicios de tratamiento de

información y comunicación.

Asegurar la salvaguarda de la información en las redes y la protección de su

infraestructura de apoyo.

Evitar daños a los activos e interrupciones de actividades de la Organización.

Prevenir la pérdida, modificación o mal uso de la información intercambiada entre
organizaciones.

CONTROL DE ACCESOS

Controlar los accesos a la información.

Evitar accesos no autorizados a los sistemas de información.

Evitar el acceso de usuarios no autorizados.

Protección de los servicios en red.

Evitar accesos no autorizados a ordenadores.

Evitar el acceso no autorizado a la información contenida en los sistemas.

Detectar actividades no autorizadas.

Garantizar la seguridad de la información cuando se usan dispositivos de

informática móvil y teletrabajo.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

Asegurar que la seguridad está incluida dentro de los sistemas de información.

Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las

aplicaciones.

Proteger la confidencialidad, autenticidad e integridad de la información.

Asegurar que los proyectos de Tecnología de la Información y las actividades

complementarias son llevados a cabo de una forma segura.

Mantener la seguridad del software y la información de la aplicación del sistema.

GESTIÓN DE CONTINUIDAD DEL NEGOCIO.

Reaccionar a la interrupción de actividades del negocio y proteger sus procesos

críticos frente grandes fallos o desastres.

CONFORMIDAD
Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación
contractual y de cualquier requerimiento de seguridad.

Garantizar la alineación de los sistemas con la política de seguridad de la

organización y con la normativa derivada de la misma.

Maximizar la efectividad y minimizar la interferencia de o desde el proceso de

auditoría de sistemas.

AUDITORIA

Conociendo el nivel de cumplimiento actual, es posible determinar el nivel mínimo

aceptable y el nivel objetivo en la organización:

– Nivel mínimo aceptable. Estado con las mínimas garantías de seguridad

necesarias para trabajar con la información corporativa.

– Nivel objetivo. Estado de seguridad de referencia para la organización, con un

alto grado de cumplimiento ISO 17799.

ISO 17799 no es una norma tecnológica.

– Ha sido redactada de forma flexible e independiente de cualquier solución de
seguridad específica.

– Proporciona buenas prácticas neutrales con respecto a la tecnología y a las

soluciones disponibles en el mercado.
Estas características posibilitan su implantación en todo tipo de organizaciones,
sin importar su tamaño o sector de negocio, pero al mismo tiempo son un
argumento para los detractores de la norma.

La adopción de la norma ISO 17799 proporciona diferentes ventajas a cualquier

organización:

– Aumento de la seguridad efectiva de los sistemas de información.

– Correcta planificación y gestión de la seguridad.

– Garantías de continuidad del negocio.

– Mejora contínua a través del proceso de auditoría interna.

– Incremento de los niveles de confianza de nuestros clientes y partners.

– Aumento del valor comercial y mejora de la imagen de la Organización.

LEYES DE SEGURIDAD INFORMÁTICA

Derecho informático
Es una rama de las ciencias jurídicas que considera la informática como
instrumento y objeto de estudio.

Legislación informática
La información como producto informático
La protección de los datos personales.
La regulación jurídica de internet.
Los delitos informáticos.

Delitos informáticos
El delito informático implica actividades criminales que los países han tratado de
encuadrar en figuras típicas de caracteres tradicionales, tales como robos, hurtos,
fraudes, falsificaciones, perjuicios, estafas, sabotajes.

Ley contra laso delitos informáticos en Colombia.

El congreso colombiano aprobó un proyecto de ley que modifica el código penal
para incorporar los delitos que violen la protección de informa formación de los
datos.