Material Didactico

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estndares de Seguridad Informtica
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA
233002
MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA ING. GABRIEL MAURICIO RAMIREZ VILLEGAS ING. GUSTAVO EDUARDO CONSTAIN MORENO (Director Nacional) (Diseadores de material didctico)
ZONA CENTRO-SUR (CEAD PALMIRA, CEAD POPAYN) Febrero de 2012
INDICE DE CONTENIDO Introduccin PRIMERA UNIDAD: INTRODUCCION A LOS MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA Captulo 1: Conceptos Bsicos de Seguridad Informtica Leccin 1: Sistema de Gestin de la Seguridad de la Informacin. Leccin 2: Que es un estndar? Leccin 3: Diferencias entre un Modelo y Estndar Leccin 4: Ventajas y Desventajas Leccin 5: Ejemplos de Modelos y Estndares
Captulo 2: Estndar (normas) de seguridad informtica Leccin 6: ISO 17799 Leccin 7: ISO 27000 Leccin 8: ISO 27001 Leccin 9: ISO 27001 Leccin 10: ISO 27003 a ISO 27005
Captulo 3: Modelos de seguridad informtica Leccin 11: ITIL Leccin 12: COBIT Leccin 13: OSSTMM Leccin 14: CC
Leccin 15: Polticas, organizacin, alcance del sistema de gestin.
SEGUNDA UNIDAD: PROFUNDIZACION EN SEGURIDAD INFORMATICA
Captulo 4: Gobierno de Tecnologa Leccin 16: Qu es Gobierno de Tecnologa? Leccin 17: Fundamentos de Gobierno de Tecnologa Leccin 18: Implementacin de Gobierno de TI Leccin 19: Marco de Implementacin. Leccin 20: xito de Gobierno de Tecnologa
Captulo 5: Certificaciones Leccin 21: CISA Leccin 22: CISM Leccin 23: CGIT Leccin 24: CISSP Leccin 25: COMPTIA SECURITY
Captulo 6: Hacker tico Leccin 26: Qu es Hacker tico? Leccin 27: Tareas del Hacker tico Leccin 28: Certificacin Hacker tico Leccin 29: Ingeniera Social Leccin 30: Reflexin Hacker Personal
LISTADO DE GRAFICOS Y FIGURAS
Fig. 1. Modelo de seguridad de la informacin organizacional. Fig. 2. Entidades generadoras de estndares. Fig. 3. Modelo de gestin de TI.
Pg. 12 Pg. 15 Pg. 39
ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO
El contenido didctico del curso acadmico: Modelos y Estndares de Seguridad Informtica fue diseado y construido inicialmente en el ao 2012 por los Ingenieros Gabriel Mauricio Ramrez Villegas y Gustavo Eduardo Constan Moreno, docentes de la Escuela de Ciencias Bsicas Tecnologa e Ingeniera de la Universidad Nacional Abierta y a Distancia, ubicados en los Centros de Educacin a Distancia de Palmira (Valle del Cauca) y Popayn (Cauca) respectivamente, con recursos de Internet, Libros Electrnicos, White Papers, Monografas, Trabajos de Grados, documentos de las compaas y organizaciones productoras de los modelos y estndares, adems de hardware y software, consorcios de telecomunicaciones, videos, presentaciones, entre otros recursos utilizados. Algunas de las lecciones toman informacin textual de diferentes documentos, con referencia a las definiciones y explicaciones sobre los modelos y estndares de tecnologas computacionales y de comunicaciones con respecto a la seguridad informtica. El presente contenido es la primera versin construida para el curso de Modelos y Estndares de Seguridad Informtica, debido a los diferentes estndares definidos por la UNAD y por el continuo cambio de los contenidos y la evolucin de los sistemas computacionales y de comunicaciones, el contenido podr ser actualizado de forma constante.
AVISO IMPORTANTE LEER ANTES DE INICIAR
El contenido del curso 233002 Modelos y Estndares de Seguridad Informtica est construido con informacin conceptual y contextual referente a los diferentes modelos y estndares que se aplican a la seguridad informtica. Las Unidades didcticas corresponden a un (1) crdito acadmico, de acuerdo a lo establecido en la UNAD estas unidades estn conformadas por los captulos y estos a su vez por lecciones, las lecciones contienen la informacin conceptual y contextual, que debe ser profundizada por medio de la investigacin de los estudiantes en el tema, para ello se proponen enlaces web los cuales son pginas de internet, monografas, artculos, White papers, tesis de grado, as como la informacin tcnica de las empresas productoras de hardware y software, organizaciones de seguridad entre otros que dirigen a los estudiantes a la profundizacin de los temas, pero a su vez los estudiantes deben profundizar en los temas buscando sus propios recursos. Es importante que el participante del curso observe los enlaces sugeridos y lea con detenimiento las distintas fuentes de informacin mencionadas para garantizar un adecuado nivel de profundizacin en las temticas tratadas al interior del curso.
No olvidar profundizar las lecciones con los documentos y enlaces relacionados!
INTRODUCCIN
En el presente contenido didctico del curso de Modelos y Estndares en Seguridad Informtica, se podr observar la informacin bsica y necesaria para el desarrollo de las actividades del curso. El curso se desarrolla bajo la estrategia de Aprendizaje Basada en el trabajo colaborativo, esta estrategia se utiliza para que los estudiantes planeen, implementen y evalen los diferentes modelos y estndares para conceptualizar, contextualizar y aplicar los conocimientos en el mundo real. De acuerdo con esto se plantea en el curso el desarrollo de la informacin de las unidades del curso, pero se invita al estudiante a investigar y profundizar en cada una de estas unidades, para ello se desarrolla un diseo instruccional en donde el estudiante tendr una gua de investigacin que le permita complementar la informacin y as cumplir con el proceso de enseanza-aprendizaje. Los estudiantes deben trabajar en equipo con los compaeros de su grupo de trabajo, lo cuales se acompaaran en todos los procesos de investigacin y de aprendizaje durante el desarrollo del curso, cabe anotar que el grupo de trabajo debe conseguir realizar el trabajo en sinergia que le permita realizar aprendizaje entre pares con sus compaeros. En este orden de ideas es necesario que el estudiante afronte el curso de forma adecuada en cuanto al trabajo que se realizara en cada una de las unidades didcticas del curso, en las investigaciones complementarias y en el desarrollo de las actividades del curso. A continuacin se presentan dos (2) Unidades didcticas, en las cuales se presenta la informacin referente al marco terico de los modelos y estndares utilizados en la actualidad en la seguridad informtica.
UNIDAD 1
Nombre de la Unidad Introduccin Justificacin Intencionalidades Formativas Captulo 1 Leccin 1 Leccin 2 Leccin 3 Leccin 4 Leccin 5 Captulo 2 Leccin 6 Leccin 7 Leccin 8 Leccin 9 Leccin 10 Captulo 3 Leccin 11 Leccin 12 Leccin 13 Leccin 14 Leccin 15 Introduccin a los Modelos y Estndares de Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica Sistema de Gestin de la Seguridad de la Informacin Qu es un Estndar? Diferencias entre un Modelo y Estndar Ventajas y Desventajas Ejemplos de Modelos y Estndares Modelos (normas) de seguridad informtica ISO 17799 ISO 27000 ISO 27001 ISO 27002 ISO 27003 a ISO 27005 Estndares de seguridad informtica ITIL COBIT OSSTMM CC Polticas, organizacin, alcance del sistema de gestin.
PRIMERA UNIDAD: INTRODUCCIN A LA SEGURIDAD INFORMTICA

CAPITULO 1: CONCEPTOS BSICOS DE SEGURIDAD INFORMTICA
Introduccin
En la actualidad, el activo de mayor valor para muchas organizaciones es la informacin y en tal sentido asumen una significativa importancia las acciones tendientes a garantizar su permanencia en el tiempo con un nivel de acceso controlable y seguro. A diario las organizaciones se estn viendo amenazadas por riesgos que ponen en peligro la integridad de la informacin y, por supuesto, la viabilidad y estabilidad de sus funciones sustanciales.
Es importante la identificacin de los factores de riesgo, tanto internos como externos, que pueden significar un factor de riesgo para la integridad de la informacin organizacional, y a partir de ello buscar las mejores alternativas para el aseguramiento de un entorno de trabajo fiable. En tal sentido, las organizaciones pueden proteger sus datos e informacin de valor con el planteamiento de un Sistema de Gestin de Seguridad de la Informacin (SGSI) que permita conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la informacin.
El presente captulo, profundiza en la conceptualizacin de aspectos bsicos de seguridad informtica y proteccin de las infraestructuras de las tecnologas de la informacin, con el fin de generar los conocimientos mnimos para el desarrollo apropiado de la especializacin.
Justificacin La presente Unidad permite al participante del curso Modelos y Estndares en Seguridad Informtica, apropiar los conceptos generales bsicos para abordar las diferentes temticas a tratar en la Especializacin en Seguridad Informtica, para que de este modo se facilite su aprendizaje y continuidad en los niveles con una apropiacin adecuada de las temticas propuestas. Dentro de este nivel de aprendizaje es importante la definicin de los modelos de implementacin de la seguridad de la informacin, adems de los estndares que pueden ser aplicados para este fin. Todo lo anterior servir como base para la continuidad en el programa de formacin postgradual.
Intencionalidades Formativas
Fortalecer los conocimientos fundamentales de la seguridad informtica como el esquema bsico de diseo de un sistema de gestin de la seguridad de la informacin organizacional (SGSI). Identificar los diferentes modelos y estndares que pueden ser aplicados en las organizaciones para el montaje de un SGSI. Identificar las caractersticas, ventajas y desventajas de los modelos y estndares de seguridad informtica. Preparar al participante de la especializacin en los conceptos fundamentales, anlisis, diseo y desarrollo de sistemas de gestin de la seguridad de la informacin.
10
Leccin 1: Sistema de gestin de seguridad de la informacin
En el interior de las organizaciones actuales es imposible no considerar su informacin como uno de factores de mayor importancia y valor, y que por supuesto amerita de un tratamiento especial para garantizar su fiabilidad y permanencia. En tal sentido, cada propietario de la informacin podra asumir sus mecanismos de proteccin particulares sin importar la compatibilidad de tales estrategias con otras que pudieran haber sido asumidas por un interlocutor dentro de un proceso de manejo de informacin al interior de la misma organizacin. Es as como adems de la prdida de informacin por malos manejos de los medios de transmisin, se suma a estos riesgos la innumerable lista de amenazas posibles que atentan contra la integridad de dicha informacin.
Para cualquier organizacin el garantizar un nivel de proteccin total de la informacin es virtualmente imposible, incluso en el caso de disponer de recursos ilimitados. En este sentido, se han propuesto normas internacionales con el fin de unificar los mecanismos de construccin, manejo, almacenamiento y transmisin de informacin para reducir los riesgos que ocasionan prdidas de informacin y facilitar los criterios de actuacin en caso de que ellos ocurran. Sin embargo, a travs de estas normas se puede prever la conservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento. A esto se le ha llamado Sistema de Gestin de la Seguridad de la Informacin SGSI (o ISMS por sus siglas en ingls).
El propsito de un SGSI es, por tanto, garantizar que los riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas.
11
Fig. 1. Modelo de seguridad de la informacin organizacional1
El proceso de desarrollo del SGSI requiere de la ejecucin de las siguientes fases:
1. PLANEAR Definir el alcance de las polticas Definir las polticas Definir la metodologa de valoracin del riesgo Identificar riesgos Analizar y evaluar riesgos Gestin del riesgo Objetivos de control Obtener autorizacin para operar el SGSI Elaborar una declaracin de aplicabilidad
2. IMPLEMENTAR
1
Plan de tratamiento del riesgo Implementar controles seleccionados Definir mtrica de los controles establecidos
Imgen tomada de: USC Marshall School of Business Institute for Critical Information Infraestructure Protection. http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf
12
Implementar programas de educacin Gestionar la operacin del SGSI Gestionar los recursos del SGSI Implementar procedimientos
3. EVALUAR Ejecutar procedimientos de revisin Realizar revisiones peridicas Medir la eficacia de los controles Revisar las valoraciones de riesgos Realizar auditoras internas
4. MANTENER Implementar las mejoras identificadas en el SGSI Emprender acciones correctivas y preventivas Comunicar las acciones y mejoras a las partes interesadas Asegurarse de que las mejoras logran los objetivos propuestos
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin:
Portal web ISO27000. Sistema de Gestin de la Seguridad de la Informacin: http://www.iso27000.es/download/doc_sgsi_all.pdf FERRER, R. Sistema de Gestin de la Seguridad de la Informacin -SGSI: http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf Portal VDigitalRM. Gua de seguridad de la informacin: http://www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf Instituto Nacional de Tecnologas de la Comunicacin. Conceptos bsicos sobre Seguridad de la Informacin: http://www.youtube.com/watch?v=zV2sfyvfqik
13
Leccin 2: Qu es un Estndar?
Como vimos en la leccin anterior, un sistema de gestin de la seguridad de la informacin busca prever los riesgos con el fin de preservar la confidencialidad, integridad y disponibilidad de la misma, bien sea en el interior de la organizacin, ante nuestros clientes (internos y/o externos) y ante las distintas partes involucradas en nuestro negocio. La confidencialidad implica el acceso a la informacin por parte exclusiva de las personas que estn debidamente autorizadas para hacerlo, la integridad conlleva el mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso; finalmente, la disponibilidad se refiere al acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados en el momento que lo requieran.
Para lograr lo anteriormente expuesto, se ha definido un con junto de normas, denominadas como Estndares, que pueden concebirse como una publicacin que rene el trabajo en comn de los comits de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores, que contiene las especificaciones tcnicas y mejores prcticas en la experiencia profesional con el objeto de ser utilizada como regulacin, gua o definicin para las necesidades demandadas por la sociedad y tecnologa2.
Con el fin de proporcionar un marco de gestin de la seguridad de la informacin que sea utilizable por cualquier tipo de organizacin, se ha creado un conjunto de estndares bajo el nombre de ISO/IEC 27000; estas normas nos van a permitir reducir de manera significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. El grupo de normas ISO/IEC 27000 han sido elaboradas conjuntamente por ISO, que es la Organizacin Internacional de Normalizacin y por IEC que es la Comisin Electrotcnica Internacional. Ambos estn formados por los organismos de normalizacin ms representativos de cada pas.
Ministerio de comunicaciones. Repblica de Colombia. Modelo de seguridad de la informacin. Sitio web: http://programa.gobiernoenlinea.gov.co/apc-aafiles/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
14
Fig. 2. Entidades generadoras de estndares
ISO e IEC se encargan de elaborar normas internacionales que el mercado requiere, necesita y exige. Estas normas pueden hacer referencia a productos como electrodomsticos, calzado, alimentacin o juguetes; tambin pueden hacer referencia a servicios como los prestados en hoteles o transporte pblico de pasajeros. En los ltimos aos, ISO e IEC han trabajado mucho con normas relacionadas con las nuevas tecnologas como la telefona mvil o la seguridad de la informacin, y por supuesto, han continuado elaborando normas de gestin como las conocidas ISO 9001 e ISO 14001. Las normas son de carcter voluntario, nadie obliga o vigila su cumplimiento, sin embargo, su uso por millones de empresas facilita el entendimiento entre pases y organizaciones. Las normas tambin contribuyen a mejorar la calidad y seguridad de los productos y servicios que utilizamos todos los das.3
Ministerio de comunicaciones. Repblica de Colombia. Modelo de seguridad de la informacin. Sitio web: http://programa.gobiernoenlinea.gov.co/apc-aafiles/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
Instituto Nacional de Tecnologas de la Comunicacin INTECO. Espaa. www.inteco.es
15
Instituto Nacional de Tecnologas de la Comunicacin. Conceptos bsicos sobre Seguridad de la Informacin: http://www.youtube.com/watch?v=zV2sfyvfqik Instituto Nacional de Tecnologas de la Comunicacin. Estndares de gestin de la Seguridad de la Informacin: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related Escuela Colombiana de Ingeniera Julio Garavito. Principales estndares para la seguridad de de la informacin IT: http://www.escuelaing.edu.co/micrositio/admin/documentos/EOS2-6.pdf
16
Leccin 3: Diferencias entre un Modelo y un Estndar
Los estndares y las normas son descripciones tcnicas detalladas, elaboradas con el fin de garantizar la interoperabilidad entre elementos construidos independientemente, as como la capacidad de replicar un mismo elemento de manera sistemtica.
Segn la Organizacin Internacional para la Estandarizacin (ISO), uno de los principales organismos internacionales desarrolladores de estndares, la normalizacin es la actividad que tiene por objeto establecer, ante problemas reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un nivel de ordenamiento ptimo en un contexto dado, que puede ser tecnolgico, poltico o econmico.
En el caso de las telecomunicaciones, el contexto al que hace referencia la ISO es casi exclusivamente tecnolgico. Los estndares de telecomunicaciones deben alcanzar nicamente el nivel de concrecin necesario para llevar a cabo implementaciones del estndar de manera inequvoca y que sean compatibles entre s. Adems, las normas tcnicas de telecomunicaciones deben proporcionar criterios uniformes en el mbito territorial ms extenso posible, de manera que se pueda garantizar la interoperabilidad a nivel global.
Con el fin de clarificar algunos conceptos que son importantes para la continuidad temtica del curso, a continuacin se definen conceptualmente los aspectos siguientes:
NORMA: En Tecnologa, una norma o estndar es una especificacin que reglamenta procesos y productos para garantizar la interoperabilidad. Una norma de calidad es una regla o directriz para las actividades, diseada con el fin de conseguir un grado ptimo de orden en el contexto de la calidad.
17
Las normas son documentos tcnicos con las siguientes caractersticas:
Contienen especificaciones tcnicas de aplicacin voluntaria Son elaborados por consenso de las partes interesadas: Fabricantes Administraciones Usuarios y consumidores Centros de investigacin y laboratorios Asociaciones y Colegios Profesionales Agentes Sociales, etc. Estn basados en los resultados de la experiencia y el desarrollo tecnolgico Son aprobados por un organismo nacional, regional o internacional de normalizacin reconocido Estn disponibles al pblico
Las normas ofrecen un lenguaje de punto comn de comunicacin entre empresas, la Administracin y los usuarios y consumidores, establecen equilibrio socioeconmico entre los distintos agentes que participan en transacciones comerciales, base de cualquier economa de mercado, y son patrn necesario de confianza entre cliente y proveedor.
las un las un
Tipos de normas: Una norma de facto puede definirse como una especificacin tcnica que ha sido desarrollada por una o varias compaas y que ha adquirido importancia debido a las condiciones del mercado. Suele utilizarse para referirse a normas de uso cotidiano.
18
Una norma de jure puede definirse, en general, como una especificacin tcnica aprobada por un rgano de normalizacin reconocido para la aplicacin de la misma de forma repetida o continuada, sin que dicha norma sea de obligado cumplimiento.
ESTNDAR: La normalizacin o estandarizacin es la redaccin y aprobacin de normas que se establecen para garantizar el acoplamiento de elementos construidos independientemente, as como garantizar el repuesto en caso de ser necesario, garantizar la calidad de los elementos fabricados y la seguridad de funcionamiento.
La normalizacin es el proceso de elaboracin, aplicacin y mejora de las normas que se aplican a distintas actividades cientficas, industriales o econmicas con el fin de ordenarlas y mejorarlas. La Asociacin Estadounidense para Pruebas de Materiales (ASTM), define la normalizacin como el proceso de formular y aplicar reglas para una aproximacin ordenada a una actividad especfica para el beneficio y con la cooperacin de todos los involucrados.
Segn la ISO (International Organization for Standarization) la Normalizacin es la actividad que tiene por objeto establecer, ante problemas reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un nivel de ordenamiento ptimo en un contexto dado, que puede ser tecnolgico, poltico o econmico.
La normalizacin persigue fundamentalmente tres objetivos: Simplificacin: Se trata de reducir los modelos quedndose nicamente con los ms necesarios. Unificacin: Para permitir la intercambiabilidad a nivel internacional. Especificacin: Se persigue evitar errores de identificacin creando un lenguaje claro y preciso.
19
MODELO: Arquetipo o punto de referencia para imitarlo o reproducirlo.
TECCELAYA. Norma, Estndar, Modelo.

http://equipoteccelaya.blogspot.es/1234029360/
WIKITEL. Normas y Estndares.

http://es.wikitel.info/wiki/Normas_y_Est%C3%A1ndares
Bjrn Andersen. Departamento de Produccin y Calidad de Ingeniera de la Universidad Noruega de Ciencia y Tecnologa. Ventajas y desventajas del uso de modelos predefinidos de proceso.
http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjo nsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520us ing%2520predefined%2520process%2520models.pdf
20
Leccin 4: Ventajas y desventajas
Ventajas: Algunas de las ventajas de la implementacin de estndares para la seguridad de la informacin son las siguientes:
Mejorar el conocimiento de los sistemas de informacin, sus problemas y los medios de proteccin. Mejorar la disponibilidad de los materiales y de los datos que existan en la organizacin. Se facilita la proteccin de la informacin. La aplicacin de estndares puede significar la diferenciacin de la organizacin ante la competencia y sobre el mercado. Algunas licitaciones de tipo internacional solicitan la gestin y cumplimiento de ciertas normas de aseguramiento de la seguridad de la informacin. Reduccin de costos debido a la prdida de informacin.
Desventajas:
La no aplicacin de las normas, o la mala implementacin de las mismas, pude llevar a la ocurrencia de las siguientes situaciones:
Claves de acceso a sistemas de informacin compartidas o inexistentes. Acceso a sitios no autorizados. Uso indebido de equipos informticos y mala utilizacin o prdida de la informacin en ellos contenida.
21
Robo o prdida de informacin importante. Bases de datos destruidas. Mantenimiento de equipos informticos no controlados. Copias de seguridad inservibles o incompatibles. Redes de comunicacin de la organizacin cadas. Aplicaciones informticas mal diseadas. Inexistencia de roles y responsabilidades entre las personas con acceso a la informacin (personal no controlado). Deficiente infraestructura de los centros de informtica. Terceros / Outsourcing sin control. Incumplimiento de requerimientos legales o contractuales. Inestabilidad de la viabilidad de la organizacin.
Estndares y Normas de seguridad:

http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
Bjrn Andersen. Departamento de Produccin y Calidad de Ingeniera de la Universidad Noruega de Ciencia y Tecnologa. Ventajas y desventajas del uso de modelos predefinidos de proceso.
http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjo nsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520us ing%2520predefined%2520process%2520models.pdf
22
Leccin 5: Ejemplos de Modelos y estndares
Para el caso que nos interesa, las normas ISO/IEC 27000 han sido creadas para facilitar la implantacin de Sistemas de Gestin de Seguridad de la Informacin, entre las ms importantes estn:
NORMA ISO/IEC 27000: Recoge los trminos y definiciones empleados en el resto de normas de la serie, con esto se evitan distintas interpretaciones sobre los conceptos que aparecen a lo largo de las mismas. Adems, incluye una visin general de la familia de normas en esta rea, una introduccin a los sistemas de Gestin de Seguridad de la informacin y una descripcin del ciclo de mejora continua. NORMA ISO/IEC 27001: Es la norma principal de la serie. Se puede aplicar a cualquier tipo de organizacin, independientemente de su tamao y de su actividad. La norma contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestin de la seguridad de la informacin. Recoge los componentes del sistema, los documentos mnimos que deben formar parte de l y los registros que permitirn evidenciar el buen funcionamiento del sistema. Asimismo, especifica los requisitos para implementar controles y medidas de seguridad adaptados a las necesidades de cada organizacin. NORMA ISO/IEC 27002: Es una gua de buenas prcticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de informacin de una organizacin. Para ello describe 11 reas de actuacin, 39 objetivos de control o aspectos a asegurar dentro de cada rea y 133 controles o mecanismos para asegurar los distintos objetivos de control.
La familia de normas ISO/IEC 27000 contiene otras normas destacables. Como por ejemplo, la norma sobre requisitos para la acreditacin de las entidades de auditora y certificacin, es decir, de aquellas entidades que acuden a las empresas para certificar que el sistema est correctamente implantado. Tambin incluye una gua de auditora y guas de implantacin de la norma en sectores especficos como el de sanidad o telecomunicaciones.
23
Instituto Nacional de Tecnologas de la Comunicacin. Estndares de gestin de la Seguridad de la Informacin: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related
24
CAPITULO 2: MODELOS (NORMAS) DE SEGURIDAD INFORMTICA
Leccin 6: ISO 17799 La ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. Existen varios tipos de estndares aplicados a diferentes niveles, de los cuales el ISO 17799 es el estndar internacional ms extendido y aplicado. El objetivo de esta norma es proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer transacciones y reclamaciones de confianza entre las empresas. Esta misma norma recoge la relacin de controles que se deben aplicar para establecer un Sistema de Gestin de la Seguridad de la Informacin (SGSI). El conjunto completo de estos controles conforman las buenas prcticas de seguridad de la informacin. Algunas caractersticas de la norma ISO 17799 son las siguientes: Est redactada de forma flexible e independiente de cualquier solucin de seguridad concreta. Proporciona buenas prcticas neutrales con respectos a tecnologas o fabricantes especficos. Aplicable a todo tipo de organizaciones sin importar su naturaleza comercial o tamao.
La norma ISO 17799 establece 11 dominios de control que cubren por completo la gestin de la seguridad de la informacin: 1. Poltica de seguridad: Dirigir y dar soporte a la gestin de la seguridad de la informacin (directrices y recomendaciones). 2. Aspectos organizativos de la seguridad: Gestin dentro de la organizacin (recursos, activos, tercerizacin, etc.) 3. Clasificacin y control de activos: Inventario y nivel de proteccin de los activos.
25
4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos. 5. Seguridad fsica y del entorno: Evitar accesos no autorizados, violacin, daos o perturbaciones a las instalaciones y a los datos. 6. Gestin de comunicaciones y operaciones: Asegurar la operacin correcta y segura de los recursos de tratamiento de la informacin. 7. Control de accesos: Evitar accesos no autorizados a los sistemas de informacin (en computadores, redes informticas, archivos personales de usuarios, etc.) 8. Desarrollo y mantenimiento de sistemas: Garantizar que la seguridad est incorporada dentro de los sistemas de informacin, evitar prdidas, modificaciones o mal uso de la informacin 9. Gestin de incidentes: Gestionar los incidentes que afectan la seguridad de la informacin. 10. Gestin de continuidad del negocio: Reaccionar a la interrupcin de las actividades del negocio y proteger sus procesos crticos frente a fallos, ataques o desastres. 11. Conformidad con la legislacin Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de seguridad.
De estos once dominios se derivan los Objetivos de Control, con los resultados que se esperan alcanzar mediante la implementacin de controles; y los Controles, que son las prcticas, procedimientos y mecanismos que reducen el nivel de riesgo.
26
Un acercamiento a las mejores prcticas de seguridad de la informacin internacionalmente reconocidas en el estndar ISO 17799:2005. Empresa Mayorista de Valor Agregado (MVA). Colombia. 2006. http://www.google.com.co/url?sa=t&rct=j&q=est%C3%A1ndar+ISO+17799+filetype%3Apd f&source=web&cd=1&ved=0CDMQFjAA&url=http%3A%2F%2Fwww.mvausa.com%2FCol ombia%2FPresentaciones%2FINTRODUCCION_ISO_17799.pdf&ei=-f8vT6ehD5Tsggek6iZBA&usg=AFQjCNFFbO-Fg2GSGKyyaJiYWbBu5a_kKw
Seguridad de la informacin. Norma ISO 17799. ITCSA Software. http://www.ciiasdenic.net/files/doccursos/1196890583_ConferenciaISO17799.pdf Tecnologa de la informacin Tcnicas de seguridad- Cdigo para la prctica de la gestin de la seguridad de la informacin. Estndar internacional ISO/IEC 17799. https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf Estndares y normas de seguridad http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
27
Leccin 7: ISO 27000
Es una familia de estndares de ISO e IEC que proporciona un marco para la gestin de la seguridad de la informacin. Estas normas especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI.
La norma ISO 27000 est basada en: Normas Base: 20001, 20002 Normas Complementarias: 20003, 20004, 20005,
La aplicacin de este grupo de normas busca la preservacin de la informacin con confidencialidad, integridad y disponibilidad, as como la de los sistemas implicados en su tratamiento:
Confidencialidad: La informacin no se pone a disposicin ni se revela a individuos, entidades o procesos no autorizados. Integridad: Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad: Acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos, entidades, o procesos autorizados cuando lo requieran.
ISO 27000 tambin define el vocabulario estndar empleado en la familia de estndares 27000 (definicin de trminos y conceptos).
28
Familia de normas ISO/IEC 27000. http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
ISO 27000. http://www.iso27000.es/download/doc_iso27000_all.pdf Sistema de Gestin de Seguridad de TI. http://www.asentti.com/documentos/gseguridad.pdf
29
Leccin 8: ISO 27001
Es la norma principal de la serie ISO/EIC 27000 y se puede aplicar a cualquier tipo de organizacin, sin importar su tamao o su actividad comercial. La norma contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin, documentado dentro del contexto global de los riesgos de negocio de la organizacin.
La norma ISO 27001, recoge los componentes del sistema, los documentos mnimos que deben formar parte de l y los registros que permiten evidenciar el buen funcionamiento del sistema. Asimismo, especifica los requisitos para implantar controles y medidas de seguridad adaptados a las necesidades de cada organizacin. Esta adems, es la norma con la que se certifican los Sistemas de Gestin de Seguridad de la Informacin de las organizaciones que lo deseen.
El objetivo de esta norma es el mejoramiento contnuo del sistema de gestin de seguridad de la informacin a travs de la adopcin del modelo Plan-Do-CheckAct (PDCA o Ciclo de Deming) para todos los procesos de la organizacin. Estas siglas obedecen a las siguientes fases:
Fase de Planificacin (Plan) [Establecer el SGSI]: Establecer la poltica, objetivos, procesos y procedimientos relativos a la gestin del riesgo y mejorar la seguridad de la informacin de la organizacin para ofrecer resultados de acuerdo con las polticas y objetivos generales de la organizacin. Fase de Ejecucin (Do) [Implementar y gestionar el SGSI]: Implementar y gestionar el SGSI de acuerdo a su poltica, controles, procesos y procedimientos. Fase de Seguimiento (Check) [Monitorizar y revisar el SGSI]: Medir y revisar las prestaciones de los procesos del SGSI. Fase de Mejora (Act) [Mantener y mejorar el SGSI]: Adoptar acciones correctivas y preventivas basadas en auditoras y revisiones internas o en otra informacin relevante a fin de alcanzar la mejora contnua del SGSI.
30
Estndares y Normas de seguridad: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
31
Leccin 9: ISO 27002
La NORMA ISO/IEC 27002 es una gua de buenas prcticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de informacin en una organizacin. Para ello describe 11 reas de actuacin, 39 objetivos de control o aspectos a asegurar dentro de cada rea y 133 controles o mecanismos para asegurar los distintos objetivos de control.
Los objetivos de seguridad, recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestin del riesgo analizado. El objetivo de la norma es definir los aspectos prcticos y operativos de la implantacin del SGSI.
reas o secciones sobre las qu actuar: o Poltica de seguridad o Aspectos organizativos para la seguridad o Clasificacin y control de activos o Seguridad ligada al personal o Seguridad fsica del entorno o Gestin de comunicaciones y operaciones o Control de accesos o Desarrollo y mantenimiento de sistemas o Gestin de incidentes de seguridad de la informacin o Gestin de continuidad del negocio o Conformidad
32
Objetivos de control o Aspectos por asegurar dentro de cada rea/seccin.
Controles Mecanismos para asegurar los distintos objetivos de control (gua de buenas prcticas) o Para cada control se incluye una gua para su implementacin.
33
Leccin 10: ISO 27003 a ISO 27799
ISO 27003: Consiste en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO 27004: Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. ISO 27005: Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. ISO 27007: Consiste en una gua de auditora de un SGSI.
34
ISO 27011: Consiste en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones). ISO 27031: Consiste en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: Consiste en una gua relativa a la ciberseguridad. ISO 27033: Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. Proviene de la revisin, ampliacin y renumeracin de ISO 18028. ISO 27034: Consiste en una gua de seguridad en aplicaciones. ISO 27799: Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215.
Esta norma define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO/IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios de la informacin sanitaria en base a garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de informacin personal de salud.
ISO 27799:2008 se aplica a la informacin en salud en todos sus aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones sonoras, dibujos, vdeos imgenes mdicas), sea cual fuere el medio utilizado para almacenar (de impresin o de escritura en papel o electrnicos de almacenamiento) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informticas o por correo), ya que la informacin siempre debe estar adecuadamente protegida.
35
ISO 27000. http://www.iso27000.es/download/doc_iso27000_all.pdf
36
CAPITULO 3: ESTNDARES DE SEGURIDAD INFORMTICA
Leccin 11: ITIL La Biblioteca de Infraestructura de Tecnologas de Informacin, frecuentemente abreviada ITIL (del ingls Information Technology Infrastructure Library), es un conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de tecnologas de la informacin TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI4. Lo primero que debemos clarificar es que ITIL no es una metodologa, sino un conjunto de mejores prcticas. La biblioteca de infraestructura de TI (ITIL) toma este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una prctica especfica dentro de la gestin de TI. Tras la publicacin inicial de estos libros, su nmero creci rpidamente (dentro la versin 1) hasta unos 30 libros. Para hacer a ITIL ms accesible (y menos costosa) a aquellos que deseen explorarla, uno de los objetivos del proyecto de actualizacin ITIL versin 2 fue agrupar los libros segn unos conjuntos lgicos destinados a tratar los procesos de administracin que cada uno cubre. De esta forma, diversos aspectos de los sistemas de TIC, de las aplicaciones y del servicio se presentan en conjuntos temticos. Actualmente existe la nueva versin ITIL v3 que fue publicada en mayo de 2007. Aunque el tema de Gestin de Servicios (Soporte de Servicio y Provisin de Servicio) es el ms ampliamente difundido e implementado, el conjunto de mejores prcticas ITIL provee un conjunto completo de prcticas que abarca no slo los procesos y requerimientos tcnicos y operacionales, sino que se relaciona con la gestin estratgica, la gestin de operaciones y la gestin financiera de una organizacin moderna. Los ocho libros de ITIL y sus temas son: Gestin de Servicios de TI, 1. Mejores prcticas para la Provisin de Servicio
4
http://es.wikipedia.org/wiki/ITIL
37
2. Mejores prcticas para el Soporte de Servicio Otras guas operativas: 3. Gestin de la infraestructura de TI 4. Gestin de la seguridad 5. Perspectiva de negocio 6. Gestin de aplicaciones 7. Gestin de activos de software Para asistir en la implementacin de prcticas ITIL, se public un libro adicional con guas de implementacin (principalmente de la Gestin de Servicios): 8. Planeando implementar la Gestin de Servicios. Adicional a los ocho libros originales, ms recientemente se aadi una gua con recomendaciones para departamentos de TIC ms pequeos: 9. Implementacin de ITIL a pequea escala.
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Presentacin de ITIL V2 y V3.
http://www.sisteseg.com/files/Microsoft_PowerPoint_-_ITIL_V3_PRESENTACION_.pdf
ITIL como apoyo a la seguridad de la informacin

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/04ITILSoporteSGSIBasadoISO27001.pdf
Qu es la actualizacin ITIL v3 2011

http://www.globalk.com.co/globalk_co/others/imagenes/cert_itil.pdf
Qu es ITIL?
http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf
38
Leccin 12: COBIT
COBIT es un acrnimo de objetivos de control para la informacin y la tecnologa relacionada (por sus siglas en ingls); se concibe como un marco creado por ISACA5 para la tecnologa de la informacin (TI) y el Gobierno de TI. Se trata de un conjunto de herramientas de apoyo que permite a los administradores cerrar la brecha entre las necesidades de control, aspectos tcnicos y los riesgos de negocio. COBIT define 34 procesos genricos para la gestin de TI. Cada proceso es definido con sus entradas y salidas, adems de las actividades, sus objetivos, las medidas de rendimiento y un modelo de madurez elemental.
El marco COBIT proporciona buenas prcticas a travs de un marco de dominio y proceso. La orientacin de negocio de COBIT consiste en vincular los objetivos del negocio para los objetivos de las TI, brindando mtricas y modelos de madurez para medir sus logros, y la identificacin de las responsabilidades asociadas de negocio y de TI responsables de dichos procesos. El enfoque hacia procesos de COBIT se ilustra con un modelo de proceso que se subdivide en cuatro dominios (Planificar y Organizar, Adquirir e Implementar, Entregar y Soporte tcnico y Seguimiento y Evaluacin) y 34 procesos en lnea con las reas de responsabilidad de ejecucin del plan, su construccin y el seguimiento.
Fig. 3. Modelo de gestin de TI
Asociacin de sistemas de informacin de auditora y control. ISACA es una asociacin profesional internacional que se ocupa de Gobierno de TI
39
Los componentes de COBIT incluyen: Marco: Organizar los objetivos de gobernanza de TI y las buenas prcticas de TI y procesos de dominios, y los vincula a los requerimientos del negocio. Descripcin del proceso: Un modelo de proceso de referencia y lenguaje comn para todos los miembros de una organizacin. El mapa de procesos de las reas de responsabilidad de planificar, construir, ejecutar y monitorear. Los objetivos de control: Proporcionar un conjunto completo de requisitos de alto nivel que deben ser considerados por la administracin para el control efectivo de cada proceso de TI. Directrices de gestin: Ayuda asignar responsabilidades, de acuerdo a los objetivos, medir el rendimiento, e ilustran la interrelacin con otros procesos Los modelos de madurez: Evaluar la madurez y la capacidad de cada proceso y ayuda a subsanar las deficiencias.
IT Service. Fundamentos de COBIT. http://www.itservice.com.co/pdf/FUNDAMENTOS%20DE%20COBIT%204-1.pdf
SISTESEG. COBIT 4.1. http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf Molina, Lucio A. COBIT como promotor de la seguridad de la informacin.
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/02CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf
Asociacin Colombiana de Ingenieros de Sistemas ACIS. Integrando COBIT, ITIL e ISO 27002 como parte de un marco de Gobierno de Control de TI.
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_Informatica/Roberto ArbelaezXXVISalon2006.pdf
40
Leccin 13: OSSTMM
OSSTMM es una metodologa abierta para pruebas de seguridad y mtrica (por sus siglas en ingls Open Source Testing Methodology), que ha sido estudiada por muchos expertos sin ser exclusiva de algn fabricante o tecnologa en particular. Es el nico manual de metodologa para comprobar la seguridad. Toda la metodologa se enfoca especficamente en los detalles tcnicos a comprobar, qu vigilar durante el proceso de comprobacin desde la preparacin hasta la evaluacin post comprobacin y, sobre todo, en cmo deben ser medidos y evaluados los resultados.
OSSTMM convierte la seguridad IT en un habilitador comercial. Todos los procesos e indicadores clave de rendimiento utilizados por OSSTMM estn diseados para integrarse en cualquier ISMS (Del Ingls Information Security Management System, Sistema de Administracin de Seguridad de la Informacin) y permite a su empresa implementar una gestin de riesgos ms confiable y un anlisis de compatibilidad mejor y ms rentable. Una gestin de riesgos ms rigurosa conlleva a un mejor anlisis orientado al costo beneficio para las inversiones en infraestructura de seguridad.
ISECOM. Manual de la metodologa abierta de testeo de seguridad.

http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf
DREAMLAB Technologies. OSSTMM, seguridad que se puede medir.

https://www.dreamlab.net/files/documents/osstmm-esp-2.0.pdf
WEPFER, Simon. Security Tester by methodology: The OSSTMM.

http://www.isecom.org/press/securityacts01.pdf
41
Leccin 14: CC
Common Criteria o CC (ISO/IEC 15408:1999) es un estndar internacional para identificar y definir requisitos de seguridad. Se suele emplear para redactar dos tipos de documentos: Perfil de proteccin (Protection Profile o PP): es un documento que define las propiedades de seguridad que se desea que tenga un producto; bsicamente se trata de un listado de requisitos de seguridad. Objetivo de seguridad (Security Target o ST): es un documento que describe lo que hace un producto que es relevante desde el punto de vista de la seguridad.
En tal sentido, CC es un acuerdo internacional sobre un mtodo de desarrollo seguro para sitios web y sobre los siete (7) niveles discretos de la gama de esfuerzo, incluyendo la especificacin del trabajo de los evaluadores en cada nivel. Este estndar responde a tres preguntas importantes:
Qu hace el producto? CC determina claramente cules son las funciones de seguridad del producto y en qu entorno aplican. Cmo se ha validado el producto? CC especifica varios niveles de confianza (EAL) que determinan el nivel de ensayo (en tiempo y complejidad) requeridos para probar la seguridad del producto y el nivel de exigencia a seguir en el desarrollo de este. Quin ha validado el producto? Solo laboratorios acreditados por un esquema de certificacin nacional de cada Pas del CCRA (Common Criteria Recognition Arrangement)6.
http://www.commoncriteriaportal.org/ccra/
42
ACIS. Criterios comunes para monitorear y evolucionar la seguridad informtica en Colombia. http://www.acis.org.co/fileadmin/Base_de_Conocimiento/IX_JornadaSeguridad/Crit erioscomunesparaMonitorearyEvolucionarlaSeguridadInform_ticaenColombiaJACL-Password.pdf Por tal web Common Criteria. The Common Criteria Recognition Arrangement. http://www.commoncriteriaportal.org/ccra/
43
Leccin 15: DEFINICIN DE POLTICAS, ORGANIZACIN, ALCANCE DEL SISTEMA DE GESTIN Y CONCIENCIACIN
La implantacin de un sistema de gestin de seguridad de la informacin comienza con su correcto diseo, para ello debemos definir cuatro aspectos fundamentales:
1. Definir el alcance del sistema: Este debe determinar las partes o procesos de la organizacin que van a ser incluidos dentro del mismo. En este momento, la empresa debe determinar cules son los procesos crticos para su organizacin decidiendo qu es lo que quiere proteger y por dnde debe empezar. Dentro del alcance deben quedar definidas las actividades de la organizacin, las ubicaciones fsicas que van a verse involucradas, la tecnologa de la organizacin y las reas que quedarn excluidas en la implantacin del sistema. Es importante que durante esta fase se estimen los recursos econmicos y de personal que se van a dedicar a implantar y mantener el sistema. De nada sirve que la organizacin realice un esfuerzo importante durante la implantacin si despus no es capaz de mantenerlo. 2. Definicin de la poltica de seguridad: Su principal objetivo es recoger las directrices que debe seguir la seguridad de la informacin de acuerdo a las necesidades de la organizacin y a la legislacin vigente. Adems, debe establecer las pautas de actuacin en el caso de incidentes y definir las responsabilidades. El documento debe delimitar qu se quiere proteger, de quin y por qu hacerlo; debe explicar qu es lo que est permitido y qu no, determinar los lmites de comportamiento aceptable y cul es la respuesta si estos se sobrepasan; e identificar los riesgos a los que est sometida la organizacin. Para que la poltica de seguridad sea un documento de utilidad en la organizacin y cumpla con lo establecido en la norma UNE-ISO/IEC 27001 debe cumplir con los siguientes requisitos: Debe ser redactada de una manera accesible para todo el personal de la organizacin, por lo tanto debe ser corta, precisa y de fcil comprensin.
44
Debe ser aprobada por la direccin y publicitada por la misma. Debe ser de dominio pblico dentro de la organizacin, por lo que debe estar disponible para su consulta siempre que sea necesario. Debe ser la referencia para la resolucin de conflictos y otras cuestiones relativas a la seguridad de la organizacin. Debe definir responsabilidades teniendo en cuenta que stas van asociadas a la autoridad dentro de la compaa. Es funcin de las responsabilidades se decidir quin est autorizado a acceder a qu tipo de informacin. Debe indicar que lo que se protege en la organizacin incluye tanto al personal como a la informacin, as como su reputacin y continuidad. Debe ser personalizada totalmente para cada organizacin. Debe sealar las normas y reglas que va a adoptar la organizacin y las medidas de seguridad que sern necesarias.
En lo que se refiere al contenido, la poltica de seguridad debera incluir, al menos, los siguientes cinco apartados:
1. Definicin de la seguridad de la informacin y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo de control que permite compartir la informacin. 2. Declaracin por parte de la direccin apoyando los objetivos y principios de la seguridad de la informacin. 3. Breve explicacin de las polticas. 4. Definicin de responsabilidades generales y especficas, en las que se incluirn los roles pero nunca a personas concretas dentro de la organizacin. 5. Referencias a documentacin que pueda sustentar la poltica.
45
La poltica de seguridad debe ser un documento completamente actualizado, por lo que debe ser revisado y modificado anualmente. Adems, existen otros tres casos en los que es imprescindible su revisin y actualizacin:
Despus de grandes incidentes de seguridad. Despus de los hallazgos de no conformidades en una auditora del sistema. Como respuesta a cambios que afectan la estructura de la organizacin.
3. Organizacin de la seguridad de la informacin: En este momento, se realiza la revisin de los aspectos organizativos de la entidad y la asignacin de nuevas responsabilidades. Entre estas nuevas responsabilidades hay tres que tienen gran importancia:
El responsable de seguridad, que es la persona que se va a encargar de coordinar todas las actuaciones en materia de seguridad dentro de la empresa. El Comit de Direccin que estar formado por los directivos de la empresa y que tendr las mximas responsabilidades y aprobar las decisiones de alto nivel relativas al sistema. El Comit de Gestin que controlar y gestionar las acciones de la implantacin del sistema colaborando muy estrechamente con el responsable de seguridad de la entidad. Este comit tendr potestad para asumir decisiones de seguridad y estar formado por personal de los diferentes departamentos involucrados en la implantacin del sistema.
Al plantear la nueva organizacin de la seguridad hay que tener en cuenta la relacin que se mantiene con terceras partes que pueden acceder a la informacin en algn momento, identificando posibles riesgos y tomando medidas al respecto (Por ejemplo, con personal de limpieza o servicios generales a los cuales se les puede exigir firmar acuerdos de confidencialidad).
46
4. Concienciacin y formacin del personal: Con ello se consigue que el personal conozca qu actuaciones se estn llevando a cabo y por qu se estn realizando, con ello se concede transparencia al proceso y se involucra al personal. Por su parte, la formacin logra que el personal desarrolle las nuevas actividades de acuerdo a la normativa y a los trminos establecidos.
Instituto Nacional de Tecnologas de la Comunicacin. Definicin de las polticas, Organizacin, Alcance.

http://www.youtube.com/watch?v=qawa_QcuFfc&feature=relmfu
ACIS. Seguridad Infrmatica en Colombia Tendencias 2010-2011.

http://www.acis.org.co/fileadmin/Revista_119/Investigacion.pdf
ACIS. Seguridad Informtica en Colombia Tendencias 2008

http://www.acis.org.co/fileadmin/Revista_105/investigacion.pdf
Programa Gobierno en Lnea. Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad Informtica de Colombia.
http://programa.gobiernoenlinea.gov.co/apc-aafiles/5854534aee4eee4102f0bd5ca294791f/GEL_IP_CIRTISIColombia.pdf
47
UNIDAD 2
Nombre de la Unidad Introduccin Justificacin Intencionalidades Formativas Captulo 4 Leccin 16 Leccin 17 Leccin 18 Leccin 19 Leccin 20 Captulo 5 Leccin 21 Leccin 22 Leccin 23 Leccin 24 Leccin 25 Captulo 6 Leccin 26 Leccin 27 Leccin 28 Leccin 29 Leccin 30
Profundizacin en Seguridad Informtica
Gobierno de Tecnologa Qu es Gobierno de Tecnologa? Fundamentos de Gobierno de Tecnologa Implementacin de Gobierno de TI Marco de Implementacin xito de Gobierno de Tecnologa Certificaciones CISA CISM CGIT CISSP COMPTIA SECURITY Hacker tico Qu es Hacker tico? Tareas del Hacker tico Certificacin Hacker tico? Ingeniera Social Reflexin Hacker Personal
48
SEGUNDA UNIDAD: NUEVOS ESTANDARES

CAPITULO 4: GOBIERNO DE TECNOLOGIA
Introduccin El siguiente captulo presenta la informacin referente al Gobierno de Tecnologa, los conceptos bsicos, los fundamentos, la implementacin, los marcos de referencia y factores de xito para implementar el gobierno de TI en las organizaciones. El gobierno de tecnologa es un tema que se esta trabajando en la actualidad en las diferentes organizaciones de cualquier tipo, el objetivo general es alinear los objetivos de la organizacin con los objetivos de la tecnologa de informacin.
Justificacin
La presente Unidad tiene el objetivo de orientar al estudiante en el conocimiento del gobierno de tecnologa, las certificaciones de seguridad que se pueden obtener y el concepto de hacker tico, proveyendo informacin para realizar una reflexin personal y profesional, que permita ser competitivo en el mundo profesional y lo ms importante utilizar los conocimientos destrezas y habilidades con fines defensivos.
Intencionalidades Formativas Fortalecer los informacin. conocimientos fundamentales del gobierno de tecnologa de
Identificar las certificaciones de seguridad informtica actuales para capacitarse y validar la experiencia a nacional e internacionalmente. Conocer el concepto de hacker tico con el fin de reflexionar sobre cmo utilizar las habilidades y destrezas de seguridad informtica con fines defensivos.
49
Leccin 16: Qu es Gobierno de Tecnologa?
El Gobierno de tecnologa es la capacidad de lograr el alineamiento, seguridad, eficiencia y eficacia en los procesos de tecnologa de la informacin TI mediante la integracin de modelos, estndares, mtricas y controles dentro de la plataforma tecnolgica para establecer la mejora continua y proporcionar valorar a la organizacin. El Gobierno de TI hace parte de los objetivos y las estrategias de las organizaciones, es por esto que es responsabilidad no solo de los gerentes o administradores de tecnologa, los responsables de generar un ambiente correcto y de la aplicacin de la misma, son los ejecutivos, directores, presidentes, es decir la alta gerencia administrativa junto con la gerencia de tecnologa son los mayores responsables de generar el liderazgo, las estructuras, procesos y estrategias para que la organizacin implemente con xito el Gobierno de Tecnologa. Segn Peter Wall en general se puede decir que el Gobierno de TI es un marco para la toma de decisin y la asignacin de responsabilidades que permiten el comportamiento deseado respecto al uso de la tecnologa de la informacin. El Gobierno de Tecnologa de Informacin propone el cambio de paradigma de gestin tecnolgica, por un conjunto de servicios enfocados en la prestacin de mejores servicios a los clientes, utilizando entornos o marcos de trabajo con las mejores practicas, los marcos de trabajo que se utilizan actualmente son ITIL, COBIT, ASL, BISL, eSCM, entre otros. Los objetivos de la buena gestin de los gobiernos de tecnologa de informacin son: Proporcionar una adecuada gestin de calidad. Aumentar la eficiencia. Alinear los procesos de negocio y la infraestructura de TI. Reducir los riesgos asociados a los servicios de TI. Generar negocio.
50
Las principales reas de trabajo del gobierno de tecnologa de la informacin estn enfocadas en la alineacin estratgica, agregar valor, administracin del riesgo, administracin de los recursos y medicin del desempeo.
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Peter Weill, Jeanne Ross IT Governance: How Top Performers Manage IT Decision Rights for Superior Results Harvard Business School Press, 2004 Revisar http://www.iso.org/iso/pressrelease.htm?refid=Ref1135 Revisar http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1Brochure.pdf Revisar http://www.itil.org/en/vomkennen/cobit/index.php
51
Leccin 17: Fundamentos de Gobierno de Tecnologa De acuerdo a lo presentado en la leccin anterior y haciendo un recuento del gobierno de tecnologa este es un marco para la toma de decisiones y la asignacin de responsabilidades que permiten impulsar el comportamiento deseado respecto al uso de la tecnologa de la informacin en las organizaciones, teniendo como una de las premisas principales la alineacin de los objetivos de la organizacin con los objetivos de las tecnologas. Para implementar un gobierno de tecnologa en una organizacin se deben tener en cuanto a los elementos principales claves que invitan de manera necesaria el proceso de reingeniera, es decir obliga a la organizacin a repensar, re expresar re conceptualizar, reconstruir las organizaciones, definir los objetivos organizacionales teniendo en cuenta las tecnologas presentas y futuras, la informacin y las comunicaciones que se manejan en las organizaciones. Estos procesos de cambio permiten la reformulacin de la organizacin con la ayuda de las personas de acuerdo a los respectivos roles, la experiencia, la cultura y la informacin propia de las organizaciones permiten la implementacin de manera exitosa del gobierno de tecnologa. Los elementos clave para el gobierno de TI son: La Alineacin Estratgica. Estructuras Organizativas Aporte de Valor Procesos de Gobierno de TI Gestin de los Riesgos Gestin del Rendimiento Gestin de Recursos
Los responsables principales en el interior de la organizacin son: La junta directiva, la gerencia de negocios, la gerencia de TI, Auditoria de TI, Gerencia de Riesgos y Cumplimiento entre otros.
52
Para implementarse el gobierno de TI, la organizacin debe estar en funcin de la mejora continua y de los cambios que se presentaran en todas las reas y aspectos, se debe generar una cultura organizacional hacia el cambio y lo que esto conlleva.
53
Leccin 18: Implementacin de Gobierno de TI Para implementar el gobierno de TI, como se menciono anteriormente, se deben tener en cuenta los fundamentos de los cambios, los responsables y la definicin de la nueva organizacin como un resultado de todo el proceso de reingeniera realizado. Las siguientes preguntas se proponen para realizar el proceso de implementacin en las organizaciones: Qu decisiones deben tomarse para asegurar el efectivo manejo y uso de IT? Quin debe tomar dichas decisiones? Cmo se toman decisiones? Cmo se monitorean dichas decisiones? Cunto tiempo est dispuesto a utilizar para aplicar las decisiones? Es importante tener presente los aspectos de comportamiento de la organizacin como los aspectos de las relaciones formales e informales, la asignacin de derechos, responsabilidades y deberes a individuos y grupos de trabajo al interior de la organizacin. Tambin se deben tener en cuenta los aspectos normativos, los mecanismos para formalizar las relaciones, las reglas y procedimientos operativos para asegurar que los objetivos planteados se cumplan. Se deben definir principios clave teniendo en cuenta como la tecnologa de la informacin es empleada en la empresa y como debera ser en el futuro prximo y lejano, la arquitectura en la organizacin tiene una organizacin lgica de datos, aplicaciones e infraestructura definidas en un conjunto de polticas, relaciones y elecciones tcnicas para alcanzar la integracin y estandarizacin. Infraestructura de servicios centralizados, compartidos, coordinados que proveen la base para la capacidad de la organizacin de hacer uso de la tecnologa. Necesidades Aplicativas de las reas de negocio respecto a las aplicaciones. Inversin y Priorizacin cuanto y en que invertir, incluyendo aprobaciones de proyectos y tcnicas de justificacin. Entonces es importante preguntarse el por que realizar el gobierno de tecnologa, Cul es el beneficio econmico?, Por qu es tan costoso la tecnologa de la
54
informacin?,Cules son las nuevas oportunidades de negocio?, Cul es el valor de la Informacin?,Cul es el valor de la tecnologa? Una vez se ha dado respuesta al gran nmero de preguntas que se debe realizar, es importante hacer una revisin y reflexin sobre las respuestas dadas a cada una de las preguntas, luego se deben definir las estructuras organizacionales a la que la organizacin donde se realizara la implantacin, los procesos para la alineacin y los enfoques para la comunicacin. Las estructuras son Monarquas solo los altos ejecutivos toman decisiones, federales los comits con representantes de toda las reas, las monarquas de TI solo los comit de tecnologas, los duopolios comits con participaciones de dos comits. Los procesos de alineamiento se pueden realizar con el procesa de acuerdos a nivel de servicios, seguimiento de proyectos, monitoreo formal del valor del negocio, entre otros. Los enfoques para la comunicacin se pueden dar como anuncios de la alta direccin, los comits formales, Oficina de gobierno de TI, portales de comunicacin, entre otros.
55
Leccin 19: Marco de Implementacin
Luego de realizar la revisin de la fundamentacin y conocer el gobierno de tecnologa, se deben definir un marco de implementacin o entornos de trabajo, actualmente existen diferentes marcos de implementacin que pueden ser utilizados por las organizaciones para implementar el gobierno de TI y certificar la organizacin segn el marco que se desee utilizar, a continuacin se presentan los tres marcos ms representativos del gobierno de tecnologa: ISO 38500 Gobierno Corporativo de Tecnologa de Informacin es aplicable a las organizaciones de todos los tamaos, incluyendo las organizaciones pblicas y privadas. Esta norma proporciona un marco para la gestin eficaz de la TI para ayudar a las personas con mayor nivel de las organizaciones a comprender y cumplir con las obligaciones legales, reglamentarias y ticas con respecto al uso de sus organizaciones de TI. El marco comprende definiciones, principios y modelo. En l se establecen seis principios de buen gobierno de TI que expresan el comportamiento preferido para gua la toma de decisiones. El objetivo de la norma es promover el uso eficaz, eficiente y aceptable de la misma por todas las organizaciones para: Asegurar que las partes interesadas pueda tener la confianza en el gobierno de ti de la organizacin, si el estndar es seguido. Informar y orientar a los directores de alto nivel del uso de la tecnologa de la informacin en la organizacin y proporcionar una base para la evaluacin objetiva de la gestin empresarial de las TI. La norma est en consonancia con la definicin de gobierno corporativo que fue publicado como un Informe del Comit sobre los Aspectos Financieros del Gobierno Corporativo en 1992, tambin conocido como el Informe Cadbury. El Informe Cadbury proporciona la definicin de fundacin de la Organizacin para la Cooperacin y el Desarrollo de los Principios de Gobierno Corporativo. ITIL Information Technology Infrastructure Library es el enfoque ms ampliamente adoptado para la Gestin de Servicios TI en el mundo. Se ofrece un prctico y sensato marco para identificar, planificar, entregar y mantener los servicios de TI con el negocio.
56
ITIL: Visin general y beneficios ITIL aboga por que los servicios de TI deben estar alineados con las necesidades del negocio y sustentar los procesos de negocio. Se ofrece orientacin a las organizaciones sobre la manera de utilizar las TI como una herramienta para facilitar el cambio de negocios, la transformacin y el crecimiento. Las mejores prcticas ITIL estn detalladas dentro de las cinco principales publicaciones que proporcionan un enfoque sistemtico y profesional para la gestin de servicios de TI, permitiendo a las organizaciones para ofrecer servicios adecuados y asegurarse de que continuamente estn cumpliendo los objetivos de negocio y entregando beneficios. Las cinco guas bsicas mapa de todo el ciclo de vida de ITIL Service, comenzando con la identificacin de las necesidades del cliente y los controladores de los requisitos de TI, a travs del diseo e implementacin de los servicios en funcionamiento y, por ltimo, a la fase de seguimiento y mejora del servicio. La adopcin de ITIL puede ofrecer a los usuarios una amplia gama de beneficios que incluyen: Mejora de los servicios de TI Reduccin de costos Atencin al cliente mejorado la satisfaccin a travs de un enfoque ms profesional a la prestacin de servicios Mejora de la productividad Mejora el uso de las habilidades y la experiencia Mejora de la prestacin de servicios de terceros.
IT Governance Institute COBIT es un marco de gobernanza de TI y herramientas de apoyo que permite a los administradores para cerrar la brecha entre las necesidades de control, cuestiones tcnicas y riesgos de negocio. COBIT permite el desarrollo de polticas claras y buenas prcticas para el control de toda la organizacin. COBIT enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor logrado de TI, permite la alineacin y simplifica la implementacin del marco COBIT.
57
El propsito de COBIT es proporcionar a la direccin y los propietarios de procesos de negocio una tecnologa de la informacin (TI) que ayuda a modelo de gobierno en la entrega de valor a partir de la informacin y la comprensin y la gestin de los riesgos asociados con TI. COBIT ayuda a salvar las diferencias entre los requerimientos del negocio, las necesidades de control y las cuestiones tcnicas. Se trata de un modelo de control para satisfacer las necesidades de gobierno de TI y garantizar la integridad de la informacin y los sistemas de informacin. COBIT se utiliza a nivel mundial por quienes tienen la responsabilidad primordial de los procesos de negocio y la tecnologa, los que dependen de la tecnologa de la informacin relevante y confiable, y los que proporcionan calidad, fiabilidad y control de las tecnologas de la informacin. El marco que se ha estructurado en 34 procesos de agrupamiento entre s las actividades de ciclo de vida o tareas concretas relacionadas entre s. El modelo de proceso se prefiri por varias razones. En primer lugar, un proceso por su propia naturaleza orientada a los resultados en la forma en que se centra en el resultado final, mientras que la optimizacin del uso de los recursos. La forma en que estos recursos estn fsicamente estructurados, por ejemplo, la gente / habilidades en los departamentos, es menos relevante en esta perspectiva. En segundo lugar, un proceso, en especial sus objetivos, es ms de carcter permanente y no cambia el riesgo de no tan a menudo como una entidad organizativa. En tercer lugar, el despliegue de TI no puede ser confinado a un departamento en particular e involucra a los usuarios y de gestin, as como especialistas en TI. En este contexto, el proceso de TI sigue siendo, sin embargo, el comn denominador. En cuanto a aplicaciones se refiere, que son tratados en el marco COBIT como una de las cuatro categoras de recursos. Por lo tanto han de ser gestionados y controlados de tal manera que se logre la informacin necesaria a nivel de procesos de negocio. De esta manera, los sistemas de aplicacin son una parte integral del marco de COBIT y pueden tratarse de forma especfica a travs del punto de vista de los recursos. En otras palabras, se centraron nicamente en los recursos slo una recibir automticamente una vista de la aplicacin de los objetivos de COBIT.
58
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Revisar Governance Institute http://www.itgi.org/ Revisar ISO 38500 http://www.iso.org/iso/pressrelease.htm?refid=Ref1135 Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx Revisar ITIL http://www.itil.org/en/zumkoennen/itil/index.php Revisar Cobit
59
Leccin 20: xito del Gobierno de Tecnologa
El xito de la implementacin del Gobierno de Tecnologa radica en el compromiso organizacional de todos los miembros, siendo de gran importancia la participacin de la mayor cantidad de altos ejecutivos de la organizacin en el proceso de implementacin, la relacin del xito del gobierno de tecnologa con el numero de altos ejecutivos involucrados es directamente proporcional. La comunicacin organizacional es uno de los factores importante en el gobierno de tecnologa es por eso que se deben utilizar medios de comunicacin eficientes y eficaces que sean capaces de permear e informar todo el proceso, las estrategias y las tareas a cada uno de los miembros de la organizacin inmersos en la implementacin del gobierno de tecnologa. Los objetivos de la organizacin debe estar completamente alineados con los objetivos del gobierno de tecnologa, en este orden de ideas los objetivos de la inversin en la tecnologa deben ser claros y responder al cumplimiento de los objetivos. Las estrategias de la organizacin para la implementacin deben estar bien definidas y fundamentadas, teniendo en cuenta los objetivos del gobierno de tecnologa trazados por la organizacin, es importante definir estrategias de negocio diferenciadas que den respuesta a las metas de funcionamiento de la organizacin de acuerdo a su naturaleza. Se deben realizar mayores excepciones aprobadas y menos excepciones a las reglas, lo que quiere decir que es mejor aprobar las excepciones que estas infringiendo las reglas de la implementacin, porque al final el resultado ser la desviacin del objetivo general. Por ltimo es importante no realizar cambios o modificar los mecanismos de gobierno de tecnologa implementados, para asegurar el correcto funcionamiento del mismo.
60
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin:
Revisar Governance Institute http://www.itgi.org/ Revisar ISO 38500 http://www.iso.org/iso/pressrelease.htm?refid=Ref1135 Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx Revisar ITIL http://www.itil.org/en/zumkoennen/itil/index.php Revisar Cobit
61
CAPITULO 5: CERTIFICACIONES
Leccin 21: Certified Information System Auditor CISA CISA es una certificacin para auditores la cual es respaldada por la Information Systems Audit and Control Association ISACA, esta certificacin fue creada y establecida en el ao de 1978 debido a que se deba desarrollar una herramienta que se utilizara para evaluar la competencia de los individuos en las auditorias, proveer una herramienta para los auditores de sistemas de informacin que les permitiera mantener las habilidades y monitorear la efectividad de los sistemas, proveer criterios para ayudar en la gestin de seleccin de personal. ISCA cuenta con ms de 95,000 miembros en 160 pases, ISACA (www.isaca.org) es un lder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educacin en seguridad y aseguramiento de sistemas de informacin, gobierno empresarial, administracin de TI as como riesgos y cumplimiento relacionados con TI. Fundada en 1969 la no lucrativa e independiente ISACA organiza conferencias internacionales, publica el ISACA Journal, y desarrolla estndares internacionales de auditora y control de sistemas de informacin que ayudan a sus miembros a garantizar la confianza y el valor de los sistemas de informacin. Asimismo, certifica los avances y habilidades de los conocimientos de TI a travs de la mundialmente respetada Certified Information Systems Auditor (Auditor Certificado en Sistemas de Informacin) (CISA), el Certified Information Security Manager (Gerente Certificado de Seguridad de la Informacin) (CISM), Certified in the Governance of Enterprise IT (Certificado en Gobierno de Tecnologas de la Informacin Empresarial) (CGEIT) y el Certified Risk and Information Systems Control (Certificado en Riesgo y Control de Sistemas de Informacin) (CRISC). ISACA actualiza continuamente COBIT, que ayuda a los profesionales y lderes empresariales de TI a cumplir con sus responsabilidades de administracin y gestin, particularmente en las reas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio. Para obtenerla certificacin CISA se debe cumplir con los cinco siguientes requisitos: 1. Haber aprobado el examen CISA. 2. Acreditar experiencia en auditoria de sistemas, control o seguridad de la informacin.
62
3. Seguir el cdigo de conducta de los auditores CISA. 4. Seguir el proceso de educacin continua CPE. 5. Cumplir con los estndares de Auditoria de Sistemas.
El examen consiste en 200 preguntas de opcin mltiple, el tiempo para realizar el examen es de 4 horas y se encuentra divido en 6 reas, las cuales son: Proceso de Auditoria, Gobierno de Tecnologa de Informacin, Administracin del ciclo de vida de tecnologa de sistemas, soporte y entrega de tecnologa de informacin, proteccin de activos y continuidad del negocio y recuperacin. El examen solo se puede tomar dos veces al ao en Junio y en Diciembre, se debe preparar con por lo menos 6 meses para poder desarrollarlos correctamente.
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Visitar ISACA: www.isaca.org Certificacin CISA: http://www.isaca.org/Certification/CISA-Certified-InformationSystems-Auditor/Pages/default.aspx Informacion Certificacion: http://www.isaca.org/Certification/CISA-CertifiedInformation-Systems-Auditor/Register-for-the-Exam/Documents/CISA-BOI-June2012-ES.pdf
63
Leccin 22: Certified Information Security Manager CISM
CISM es una certificacin para administradores de seguridad informtica CISA es una certificacin para administradores de la seguridad informtica la cual es respaldada por la Information Systems Audit and Control Association ISACA, esta dirigida a la gerencia de tecnologa de informacin, la certificacin fue creada en el ao de 2004. La certificacin CISM es para los directores de seguridad de la informacin o para personas que deben dirigir, disear, revisar, evaluar y asesorar programas de seguridad informtica. La certificacin CISM promueve las prcticas internacionales y proporciona una direccin ejecutiva garantizando que aquellos que se han ganado la designacin tengan la experiencia y el conocimiento requeridos para proporcionar una direccin de seguridad y servicios de consultora efectivos. El examen del CISM cubre cinco reas de la direccin de seguridad de la informacin. Estas reas fueron desarrolladas por el Consejo de Certificacin CISM y representan el anlisis de una prctica de trabajo llevada a cabo por directores de seguridad de la informacin y validada por reconocidos lideres, expertos y practicantes de la industria. Primer rea Gobierno de la Seguridad de la Informacin: Establece un marco de trabajo que garantiza el cumplimiento de las estrategias de seguridad estn acordes con los objetivos de la organizacin y son acordes con las leyes y regulaciones Segunda rea Direccin de Riesgo de la Informacin: Identifica y dirige los riesgos de la seguridad de la informacin para alcanzar los objetivos del negocio. Tercera rea Programa de Desarrollo de Seguridad de la Informacin: Crea y mantiene un programa para implementar las estrategias para la seguridad de la informacin. Cuarta rea Programa de direccin de Seguridad de la Informacin: Supervisa y dirige las actividades de seguridad de la informacin para ejecutar el programa de seguridad.
64
Quinta rea Respuesta y Direccin de Incidentes: Planea, desarrolla y dirige una habilidad para detectar, responder y recuperarse de los incidentes de seguridad de la informacin.
Para obtener la certificacin como CISM debe realizar lo siguiente: 1. Aprobar el examen CISM con mnimo el 75% del puntaje total. 2. Apegarse al cdigo de tica Profesional de ISACA. 3. Estar de acuerdo con la Poltica de Educacin Continuada. 4. Experiencia de trabajo en el campo de seguridad de la informacin. 5. Enviar una aplicacin para certificarse como CISM.
El examen solo se oferta dos veces al ao en Junio y en Diciembre y se debe contar con mnimo 6 meses de preparacin y la experiencia indicada en los requerimientos de la certificacin.
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Certificacin CISM: http://www.isaca.org/Certification/CISM-Certified-InformationSecurity-Manager/Pages/default.aspx?gclid=CJD3uvPJ-K0CFQGd7QodWyrEsw http://www.isaca.org/Certification/CISM-Certified-Information-SecurityManager/Pages/default.aspx?gclid=CJD3uvPJ-K0CFQGd7QodWyrEsw
65
Leccin 23: Certified in the Governenace of Enterprise IT CGIT CGIT es una certificacin para administradores de tecnologa la cual es respaldada por la Information Systems Audit and Control Association ISACA, est dirigida a la gerencia de tecnologa de informacin, la certificacin fue creada en el ao de 2007. La certificacin CGIT est enfocada en el gobierno de tecnologa de las organizaciones, los profesionales que obtienen esta certificacin se encuentra inmersa en la gestin de tecnologa de las organizaciones, por lo tanto promueve los avances de las tecnologas y de las implementaciones de las mismas teniendo en cuenta los planes organizacionales para cumplir con los objetivos tecnolgicos que se han propuesto, teniendo en cuenta la alineacin con los objetivos organizacionales. Los profesionales que trabajan en gobierno de tecnologa deben administrar, disear y evaluar tecnologa en las organizaciones, debido a que la experiencia es un factor muy importante en el cumplimiento de la certificacin. La certificacin CGIT permite trabajar en las siguientes reas del gobierno de tecnologa: Marco de Trabajo de Gobierno de Tecnologa, Alienacin Estratgica, Entrega de Valor, Administracin del Riesgo, Administracin de Recursos y Medicin del Desempeo, estas reas relacionan todos los espacios de trabajo relacionados con el gobierno de tecnologa al interior de las organizaciones. CGEIT demuestra probada experiencia: Juntas y la gestin ejecutiva espera que proporcionen un valor empresarial. El gobierno de TI es un componente clave de la gobernanza empresarial y el xito. La designacin CGEIT demuestra que usted tiene experiencia y conocimiento en la gobernanza de las TI corporativas. La certificacin aumenta la credibilidad, influencia y reconocimiento, porque ofrece credibilidad necesaria para abordar los temas crticos con los principales ejecutivos y las juntas, debido al conocimiento y experiencia que adquiere con la realizacin de la certificacin. El gobierno de tecnologa se puede trabajar desde diferentes marcos de trabajo, por ejemplo ITIL o COBIT, es por esto que la certificacin utiliza uno de estos marcos de trabajo para realizar el proceso de certificacin. Para realizar la certificacin el aspirante debe realizar:
66
1. Aprobar el examen de certificacin CGIT 2. Adherirse al cdigo de tica Profesional de ISACA. 3. Adherirse y cumplir con el programa de educacin continuada del CGIT 4. Proporcionar la evidencia la experiencia laboral en gobierno de tecnologa.
La certificacin CGIT provee la validacin de los conocimientos en la administracin, gestin, evaluacin de tecnolgica, enfocados en el uso de marcos de trabajo enfocados en el gobierno de tecnologa al interior de las organizaciones.
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-ofEnterprise-IT/Pages/default.aspx?gclid=CNigrbrP-q0CFRBT7AodXEiB9g http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-ofEnterprise-IT/Pages/FAQs.aspx http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-ofEnterprise-IT/Pages/How-to-Become-Certified.aspx
67
Leccin 24: Certified Information Systems Security Professional CISSP La certificacin CISSP es otorgada por la (ISC) International Information Systems Security Certification Consortium, con el objetivo de dar un alto reconocimiento a los profesionales tecnolgicos enfocados en la seguridad informtica. CISSP es mundialmente reconocida como una de las certificaciones ms importantes que puede obtener un profesional de la seguridad informtica, la certificacin asegura que los profesionales trabajan con los estndares internacionales y tienen las competencias necesarias para proveer seguridad informtica a los diferentes sistema que tienen las organizaciones, tales como las redes, la computacin en la nube, la seguridad mvil, entre otros. La organizacin (ISC) nace en el ao de 1988 cuando un grupo interesado en la seguridad y un grupo de administracin de procesamientos de datos, decidieron trabajar juntos para desarrollar una certificacin estandarizada que pudiera proveer una certificacin a los profesionales de las reas de la seguridad de la informacin de este modo nace esta organizacin sin animo de lucro. Para realizar la Certificacin CISSP se debe cumplir con 4 requisitos importantes: Aprobar el examen CISSP, el cual consta de 250 preguntas y dura 6 horas, en este examen se evalan los 10 dominios de conocimiento o en ingle CBK. Demostrar experiencia mnima de cinco aos trabajando en al menos dos dominios de los 10 dominios CBK. Adherirse al cdigo de tica de (ISC). Al ser seleccionado debe someterse a un proceso de auditora y aprobarlo.
Para mantener la certificacin CISSP, deben realizar actividades dentro de los dominios de conocimiento para asegurar que se encuentra realizando trabajos en el rea de la seguridad informtica, estas actividades son evaluadas con crditos y debe cumplir mnimo 120 crditos cada 3 aos, si no es as debe realizar y aprobar el examen. Los dominios de seguridad de la (ISC) para la certificacin CISSP son: 1. Seguridad de la Informaron y Administracin del Riesgo. 2. Sistemas y Metodologa de Control de Acceso
68
3. Criptografa 4. Seguridad Fsica 5. Arquitectura y Diseo de Seguridad 6. Regulaciones Legales, Cumplimiento e Investigacin. 7. Seguridad de Red y Telecomunicaciones. 8. Planes de Continuidad del Negocio y de Recuperacin Frente a Desastres 9. Seguridad de Aplicaciones 10. Seguridad de Operaciones
Es importante realizar un correcto proceso de estudio en los dominios con por lo menos un periodo anterior de estudio antes de tomar la certificacin, lo cual le permitir obtener mejores resultados en el examen y en el proceso de certificacin.
International Information Systems Security Certification Consortium Inc. https://www.isc2.org/default.aspx Certification CISSP https://www.isc2.org/cissp/Default.aspx https://www.youtube.com/watch?v=WbeepQAI_Fg&feature=player_embedded CISSP All-in-One Exam Guide, Third Edition by Shon Harris (McGraw-Hill Osborne Media) ISBN: 007225712 Official (ISC)2 Guide to the CISSP Exam By Susan Hansche (AUERBACH) ISBN: 084931707X
69
The CISSP Prep Guide: Gold Edition By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X Advanced CISSP Prep Guide: Exam Q&A By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632 CISSP Certification Training Guide By Roberta Bragg (Que) ISBN: 078972801X Information Security Management Handbook, Fifth Edition By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978 CISSP: Certified Information Systems Security Profesional Study Guide Third Edition By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438 Preguntas y respuestas de prueba online: http://www.boson.com/ http://www.testking.com/
70
Leccin 25: Computing Technology Industry Association COMPTIA SECURITY La asociacin de la industria de tecnologa de computo COMPTIA es una organizacin sin nimo de lucro, creado en 1982 como la Asociacin de negociantes de computacin y luego se convirti en la asociacin COMPTIA. La asociacin inicio con el programa de certificaciones desde el ao de 1993, y desde entonces ofrece un gran nmero de certificaciones en las diferentes reas de las tecnologas computacionales como hardware software, redes, seguridad informtica en muchas otras. La certificacin de CompTIA Security designa a los profesionales con conocimientos en el campo de la seguridad, uno de los campos de mayor crecimiento en IT. CompTIA Security es una organizacin internacional, proveedor neutral de certificacin que demuestra competencia en: Cumplimiento de la red de seguridad y amenazas de seguridad operacional y la aplicacin vulnerabilidades, los datos y la seguridad de host de control de acceso y de gestin de identidad Criptografa la certificacin no slo asegura que los candidatos apliquen los conocimiento de los conceptos de seguridad, herramientas y procedimientos que permitan reaccionar a incidentes de seguridad, asegura que el personal de seguridad estn anticipando los riesgos de seguridad y proteccin contra ellos. La certificacin de CompTIA Security+ est acreditado por la Organizacin Internacional de Normalizacin (ISO) y el American National Standards Institute (ANSI). Para realizar la certificacin se debe realizar un examen de 100 preguntas el cual tiene una duracin de 90 minutos, debe tener un calificacin de 750 en una escala de 100-900, se recomienda tener dos aos de experiencia en redes y seguridad en redes. Luego de seleccionar la certificacin, se debe realizar un entrenamiento exhaustivo utilizando variedad de mtodos, como por ejemplo clases presenciales con instructores con experiencia, estudio independiente y con los cursos elearning que provee COMPTIA, tambin debe estudiar en los centros de entrenamiento y los materiales de estudio de CompTIA, aprender sobre los exmenes para solucionarlos, revisar las preguntas de ejemplo, revisar donde realizar los
71
exmenes y pagar el examen, para finalizar se debe realizar el examen en los sitios autorizados por CompTIA.
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Revisar http://certification.comptia.org/home.aspx http://www.comptia.org/global/es/certifications.aspx http://certification.comptia.org/getCertified/certifications/security.aspx http://www.francisco-valencia.es/Documentos/CompTIASec.pdf
72
CAPITULO 6: HACKER ETICO Leccin 26: Qu es un Hacker tico? La evolucin de las tecnologas de la informacin y la comunicacin desde sus inicios ha presentado situaciones adversas como fallos, errores y en general la misma evolucin tecnolgica ha generado que los sistemas se conviertan en obsoletos, poco fiables y no funcionales. Las necesidades o requerimientos de tecnologa son cada vez mayores y los sistemas actuales deben ser capaces de evolucionar y presentar versiones mejoradas o nuevas versiones, tal como lo hacen los sistemas operativos y dems sistemas conocidos. Entre las posibles situaciones que afectan los sistemas tecnolgicos se encuentran las vulnerabilidades de seguridad y confiabilidad, esto debido a que las tecnologas son construidas con tecnologas y requerimientos que en ese momento son cubiertas con los anlisis y diseos especficos. La mayora de los errores de las tecnologas de la informacin y comunicacin se producen porque en el momento de realizar el anlisis, diseo, desarrollo e implementacin, no se contemplan todas las posibilidades de proveer seguridad a las tecnologas y se crean las puertas traseras de acceso o los hoyos negros que son espacios donde se permite el acceso no deseado. Estos espacios de accesos o vulnerabilidades son aprovechados por intrusos que tienen un mayor conocimiento para aprovechar y explotar estos errores de seguridad, generando poca confiabilidad en los sistemas y en casos mas graves la perdida y robo de informacin, siendo la informacin uno de los activos mas importantes y valiosos de las personas, organizaciones y gobiernos a nivel mundial. Es importante entonces definir que es un Hacker tico, y para ello se desglosara este nombre en dos partes, Hacker y tico, en ese orden de ideas el concepto hace referencia a una persona a la que se le puede denominar con este nombre, entonces es importante recalcar que una persona es la que decide ser nombrada Hacker tico debido a las acciones que realiza. El concepto de Hacker tiene muchas definiciones segn los diferentes autores, algunos estn a favor y otros en contra, se podra decir que la definicin puede ser
73
subjetiva desde la perspectiva, si esta definicin se asocia a acciones positivas o negativas, sin embargo es importante profundizar en el porque los diferentes autores lo definen como bueno o malo. En este caso el concepto Hacker se definir como una persona que tiene altos conocimientos en tecnologa relacionados con programacin, redes, sistemas operativos, telecomunicaciones, entre otros, con un alto gusto por los temas tecnolgicos, apasionado por el trabajo con la tecnologa y con el deseo de descubrir nuevos espacios tecnolgicos, se diferencia del Craker el cual utiliza todas las cualidades del hacker pero lo realizar para violentar la seguridad de sistemas tecnolgicos, retomando la historia los hackers originales eran programadores aficionados o personas destacadas con conocimientos tecnolgicos que trabajan para conocer y mejorar las tecnologas pero dentro de la legalidad, algunos de estos hacker y otros que aparecieron con conocimientos tecnolgicos empezaron a utilizar estos conocimientos para realizar actividades ilegales como robo de informacin y daos a sistemas, por esto en el ao de 1985 se empezaron a denominar Crakers a las personas que realizaban estas prcticas, diferencindose de los Hackers los cuales utilizaban sus conocimientos dentro de la legalidad. La tica estudia que es lo moral, es decir el estudio de las buenas costumbres teniendo en cuenta la reflexin y la argumentacin. Entonces el concepto de Hacker tico de acuerdo con los conceptos anteriormente mencionados es la persona con altos conocimientos tecnolgicos que hace uso de sus conocimientos dentro de lo legal teniendo en cuenta las buenas costumbres de su profesin y conocimientos, utilizndolos de forma defensiva y no ofensiva, es decir lo utiliza para generar proteccin, seguridad y confianza. Algunas de las caractersticas que tienen los Hacker tico son: La Libertad, Curiosidad, Creatividad, Actividad, Perseverancia, Pasin, Integridad, Responsabilidad, Proactivo, entre otros. Tcnicamente debe tener conocimientos comunicaciones, sistemas operativos y seguridad. en programacin, redes,
74
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Leer el ensayo Hackers: Heroes of the Computer Revolution publicado en 1984 del periodista Steven Levy. Leer la tica del Hacker y el Espritu de la era de la Informacin de Pekka Himanen 2004
75
Leccin 27: Tareas del Hacker tico
De acuerdo con la definicin y caractersticas del Hacker tico y teniendo en cuenta la filosofa, es importante tener muy claro que las habilidades y capacidades tecnolgicas que posee deben estar enfocadas en la defensa y seguridad de los sistemas tecnolgicos, es por esto que se debe revisar el contexto en el cual se desenvuelve el hacker, debido a las diferentes reas de la tecnologa en las que se puede trabajar. Los elementos bsicos y esenciales de seguridad en los que debe trabajar un hacker tico son: la confidencialidad, la autenticidad, la integridad y la disponibilidad. La confidencialidad se refiere al ocultamiento de la informacin y recursos de las organizaciones en las que se encuentre trabajando, teniendo en cuenta que la estos son recursos de vital importancia y deben ser cuidados y resguardados. La autenticidad se refiere a la identificacin y validez de la informacin, es decir es garantizar el origen de la informacin. La integridad se refiere a las modificaciones no autorizadas de los datos y la informacin, es decir es resguardar la informacin para que sea correcta y veraz. La disponibilidad se refiere a la posibilidad de acceder y hacer uso de la informacin y los recursos deseados en el momento que se necesite. Teniendo en cuenta los elementos anteriormente mencionados, las tareas que puede realizar un hacker tico son: Reconocimiento de los sistemas tecnolgicos en cualquier momento y lugar, esto se realiza antes de realizar un ataque, se debe obtener informacin del objetivo, utilizar herramientas para obtener informacin como Google Hacking y utilizando otros buscadores, ingeniera social, monitoreo de redes con diferentes software como sniffers, scanner u otros. Rastreo es el escaneo o revisin continua de los sistemas tecnolgicos, esto se realiza en la fase previa al ataque, se escanea la red teniendo la informacin obtenida en el reconocimiento, se detectan las vulnerabilidades, los puntos fuertes y los posibles puntos de entrada, aqu se deben utilizar herramientas que permitan revisar los puertos, protocolos
76
y dems informacin tcnica para el ingreso, unas vez se realiza el proceso se anterior se inicia con las pruebas de red definir los host con accesos, los puertos abiertos, la localizacin de los equipos activos de red como los routers y la informacin de los sistemas operativos y de los servicios que se tienen en estos sistemas operativos. Acceso es la posibilidad de acceder a los sistemas tecnolgicos ya sean los sistemas operativos, las redes o la denegacin de servicios, obtener el control de los sistemas, es decir es realizar el ataque y obtener informacin como las contraseas, datos, denegacin de servicios sobrecargas entre otros. Mantener el acceso es la posibilidad de acceder y estar en los sistemas el tiempo o las veces que desee. Borrar las huellas es la capacidad de eliminar los rastros que se dejan cuando se ingresan a los sistemas para no ser descubierto.
Es importante tener en cuenta como lo dice Sun Tzu en el libro el Arte de la Guerra, Si no se conoce el enemigo y concete a ti mismo es necesario no tener el resultad de cien batallas Entonces el Hacker tico debe responderse algunas preguntas, como por ejemplo: Qu puede saber un intruso de su objetivo? Qu puede hacer un intruso con esa informacin? Se podra detectar un intruso de ataque? Cmo podra proteger la informacin y los sistemas tecnolgicos?
Un Hacker tico debe realizar lo siguiente, para evaluar la seguridad: Preparacin: Tener un contrato firmado de forma clara en donde se indique que pruebas de seguridad realizara y se exonere de las posibles consecuencias. Gestin: Preparacin de un informe donde se indiquen las pruebas y los resultados de las pruebas. Conclusin: Realizacin del informe con las vulnerabilidades y las posibles soluciones.
Forma de realizacin del Hacking tico:
77
Red remota: Simulacin del ataque desde internet. Red local: Simulacin del ataque en el interior de la organizacin. Ingeniera social: Probar confianza. Seguridad fsica: Accesos a equipos.
De acuerdo con la informacin presentada anteriormente se pueden clasificar los hacker en los siguientes Tipos de Hacker Black Hats: Los Black Hat Hackers o Hacker de sombrero negro son los que utilizan sus habilidades tecnolgicas para romper la seguridad de computadores, servidores, redes, crean virus con fines destructivos, en la mayora de casos por dinero o por reconocimiento. White Hats: Los Whte Hackers o Hackers de sombrero blanco son los que utilizan sus habilidades tecnolgicas para encontrar vulnerabilidades sistemas tecnolgicos con fines defensivos y de seguridad. Gary Hats: Los Gray Hackers o Hacker de sombrero gris son los que utilizando sus habilidades tanto de forma defensiva como de ataque, es decir tienen una tica hacker doble.
78
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Leer el libro de Hacking tico de Carlos Tori, disponible en lnea, los captulos 1,2 y 3. Para profundizar el tema.
79
Leccin 28: Certificacin Hacker tico
En la seguridad informtica existe un amplio campo de trabajo, debido a que cada vez se estn implementados ms sistemas tecnolgicos en las organizaciones, lo cual genera un mayor uso de computadores, redes, sistemas operativos, los cuales se conectan a internet y otras redes, esto ha generado un espacio para que las personas con altos conocimientos tecnolgicos puedan ingresar y robar informacin, tanto a las personas como a las organizaciones y gobiernos.
Debido a esto se ha creado la necesidad de tener personas capacitadas en conocimientos tecnolgicos, pero que sean capaces de defender los sistemas tecnolgicos y puedan contrarrestar los ataques y minimizar los riesgos y las vulnerabilidades, de acuerdo con esto se ha hecho necesario que las organizaciones productoras de software y hardware, capaciten en sus sistemas a los usuarios y puedan realizar un correcto uso de los mismos, al igual la academia tambin ha intentado en crear cursos, diplomados, maestras y doctorados para capacitar a las personas en nuevas tecnologas y tcnicas de seguridad, desde hace algn tiempo y en la actualidad existe una organizacin independiente que est trabajando en el tema desde hace algunos aos, EC-Council ha diseado una Certificacion llamada CEH Certified Ethical Hacker.
CEH (Certified Ethical Hacker) es la certificacin oficial de hacking tico desde una perspectiva independiente de fabricantes. El Hacker tico es la persona que lleva a cabo intentos de intrusin en redes y/o sistemas utilizando los mismos mtodos que un Hacker. La diferencia ms importante es que el Hacker tico tiene autorizacin para realizar las pruebas sobre los sistemas que ataca. El objetivo de esta certificacin es adquirir conocimientos prcticos sobre los sistemas actuales de seguridad para convertirse en un profesional del hacking tico.
Existen muchas otras organizaciones independientes, empresas fabricantes de software y hardware, entre otras que proveen certificaciones.
80
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Revisar los enlace de EC Council https://www.eccouncil.org/ https://cert.eccouncil.org/
81
Leccin 29: Ingeniera Social La ingeniera social tiene varias definiciones y conceptos, a continuacin se revisara algunas definiciones que ilustran la ingeniera social. El termino ingeniera social consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran. The Human side of computer security. 1999. Carole Fenelly La ingeniera social se define como el conjunto de tcnicas psicolgicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtencin de informacin de terceros. Ingeniera Social 1.0. Lester The Teacher. "Un ingeniero social es un hacker que utiliza el cerebro en lugar de la fuerza. Los Hackers llaman a los centros de datos y fingen ser clientes que han perdido su contrasea o aparecer en un sitio y simplemente esperar a que alguien mantenga una puerta abierta para ellos. Otras formas de sociales de ingeniera no son tan obvias. Los hackers han sabido crear sitios web falsos, sorteos o encuestas que preguntan a los usuarios introducir una contrasea. " Karen J Bannan, Internet World, Jan 1, 2001 De acuerdo con el documento de la organizacin Sans en el paper Social Engineering means violate computer system, se define un patrn que se puede asociar a los ataques de ingeniera social, los cuales se pueden diagramar en un ciclo de funcionamiento. Lo primero es recopilar la informacin, lo segundo es desarrollar las relaciones, lo tercero es la explotacin y lo cuarto y ltimo es la ejecucin. La recopilacin de informacin: una variedad de tcnicas puede ser utilizadas por un agresor para recoger informacin sobre el objetivo u objetivos. Una vez reunida esta informacin puede ser utilizada para construir una relacin con el destino o alguien importante para el xito del ataque. La Informacin que puede ser recogida incluye: Una lista de telfonos; Fechas de nacimiento El organigrama de la organizacin. El desarrollo de la relacin: un agresor puede explotar libremente la voluntad de un objetivo, la confianza con el fin de desarrollar una buena relacin con ellos. Durante el desarrollo de esta relacin, el agresor se posicionar en una posicin de confianza que luego explotar. Explotacin: el objetivo entonces puede ser manipulado por la "confianza" que tiene con el agresor, para revelar informacin (por ejemplo, contraseas) o realizar
82
una accin (por ejemplo, crear una cuenta o inversin gastos de telfono) que normalmente no se producen. Esta accin podra ser el fin del ataque o el comienzo de la siguiente etapa. Ejecucin: una vez que el objetivo se ha completado la tarea solicitada por el agresor, el ciclo se completa. Las motivaciones que puede tener una persona que desea realizar ingeniera social son diversas, en este caso se nombraran las cuatro motivaciones ms comunes segn el paper de Sans: La ganancia financiera: existe una gran variedad de razones, una persona podra llegar a ser tentado por la aumento de guanacias monetarias. Por ejemplo, puede creer que se merece ms dinero del que gana o tal vez hay la necesidad de satisfacer un hbito de juego fuera de control. El inters propio: un individuo puede, por ejemplo, desea tener acceso y / o modificar la informacin que se asocia con un familiar, amigo o un vecino. Venganza: por razones que slo conoce realmente una persona, que podra ser objetivo de un amigo, colega, la organizacin o incluso un completo desconocido para satisfacer el deseo emocional de venganza. La presin externa: una persona puede estar recibiendo presiones de sus amigos, familiares u organizada los sindicatos del crimen por razones tales como beneficios econmicos, el inters personal y / o la venganza.
Tcnicas de Ingeniera Social Las tcnicas que se podran emplear en gran medida se basan en la fuerza, habilidad y capacidad de la persona que esta realizando la ingeniera social la primera fase de un ataque probablemente implicar la recopilacin de informacin sobre el objetivo. Ejemplos de tcnicas de recopilacin de informacin que se pueden utilizar incluyen: Hombro surf: mirando sobre el hombro de una persona mientras escribe en su cdigo de acceso y la contrasea / PIN en el teclado con el propsito de cometer esta memoria para que pueda ser reproducido. Comprobacin de la basura (conocido comnmente como "Dumpster Diving"): buscar a travs de tirar basura para obtener informacin potencialmente til que debera haber sido eliminados de forma ms segura (por ejemplo, trituracin). Correo-out: se rene la informacin sobre un individuo / organizacin por seducirlo o su personal para participar en una encuesta que ofrece tentaciones, tales como premios por completar la encuesta.
83
El anlisis forense: la obtencin de material antiguo equipo, tales como discos duros, tarjetas de memoria, DVD / CD, disquetes y tratar de extraer informacin que pueda ser de utilidad de una persona u organizacin.
Las tcnicas de ingeniera social tambin se pueden clasificar en Invasivas o Directas o fsicas: El Telfono: Personificacin falsa y persuasin, con llamadas de amenazas, confusiones, falsos reportes de problemas, falsas llamadas de ayudas tcnicas, relaciones con los clientes, completar de datos, consulta de buzones de voz, uso de lneas fraudulento, etc. El sitio de Trabajo: Entrada a los sitios de trabajo, acceso fsico no autorizado, robar, copiar, fotocopiar, acceso a PBX, servidores, software espa, analizadores, escner, robar equipos, robar datos, etc. La Basura: Revisar la basura, listados telefnicos, organigramas, memorandos, polticas, agentas, eventos, impresiones, programas, cdigos fuente, papel membretado, hardware, entre otros. La Internet-Intranet: Repeticin de contraseas, encuestas y actualizaciones falsas, anexos troyanos, spyware, entre otros. Fuera de la Oficia: Almuerzos de negocios, alcohol, revelacin de contraseas, software espa keyloggers, keygrabbers, entre otros.
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Revisar el trmino ingeniera social inversa. Leer el Libro Digital Hacking tico de Carlos Tori Capitulo 3 Ingeniera Social. Leer el Paper Social Engieneering: A mean to Violate a Computer System http://www.sans.org/reading_room/whitepapers/engineering/social-engineeringmeans-violate-computer-system_529 Ver la pelcula Duro de Matar con Bruce Wills Rastro Oculto con Diana Lane.
84
Leccin 30: Reflexin Hacker Personal
Una vez revisado los contenidos de las lecciones y haber profundizado en el tema de los hackers los tipos de hacker y lo que se puede hacer con las habilidades y conocimientos sobre los sistemas tecnolgicos, adems de revisar la informacin sobre la ingeniera social, es importante realizar una reflexin personal a travs de preguntas personales. Usted ha decidido utilizar sus conocimientos y habilidades para defender o para atacar? Est interesado en buscar soluciones o problemas? Qu es ms importante el reconocimiento personal o la confidencialidad? Le interesa el bien comn o el bien individual? Qu es ms importante proteger o develar?
Una vez responda estas preguntas personales, defina que tipo de Hacker desea ser o convertirse, usted esta interesado en utilizar sus conocimientos y habilidades para encontrar riesgos y vulnerabilidades a los que usted pueda darles solucin y proteger los sistemas tecnolgicos de posibles ataques. Es mejor tener un concepto real y aterrizado de las capacidades y habilidades, muchas veces se pueden encontrar personas con mucho mayor conocimiento, pero se debe tener en cuenta que la prctica continua permitir perfeccionar las habilidades y conocimientos tecnolgicos. Hay que recordar que la tica estudia las acciones humanas y los comportamientos de la profesin en este caso, el rea de trabajo del hacker tico, se enfocan en el uso de todos sus conocimientos, habilidades, destrezas y dems aspectos positivos de la personalidad con fines defensivos para hacer las cosas de acuerdo a lo mejor para las personas y las organizaciones en cuanto a la seguridad tecnolgica e informtica.
85
Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigacin del tema y profundizacin: Ver la pelcula Atrpame si puedes con Tom Hanks y Leonardo DiCaprio Referencias Enciclopedia de la Seguridad de la Informacin http://www.intypedia.com/ Red temtica de critografia http://www.criptored.upm.es/ y segurida de la informacion Criptored
86

Material Didactico

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Material Didactico

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estndares de Seguridad Informtica

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ZONA CENTRO-SUR (CEAD PALMIRA, CEAD POPAYN) Febrero de 2012

Leccin 15: Polticas, organizacin, alcance del sistema de gestin.

SEGUNDA UNIDAD: PROFUNDIZACION EN SEGURIDAD INFORMATICA

LISTADO DE GRAFICOS Y FIGURAS

Pg. 12 Pg. 15 Pg. 39

ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO

AVISO IMPORTANTE LEER ANTES DE INICIAR

No olvidar profundizar las lecciones con los documentos y enlaces relacionados!

PRIMERA UNIDAD: INTRODUCCIN A LA SEGURIDAD INFORMTICA

Leccin 1: Sistema de gestin de seguridad de la informacin

Fig. 1. Modelo de seguridad de la informacin organizacional1

El proceso de desarrollo del SGSI requiere de la ejecucin de las siguientes fases:

Fig. 2. Entidades generadoras de estndares

Instituto Nacional de Tecnologas de la Comunicacin INTECO. Espaa. www.inteco.es

Leccin 3: Diferencias entre un Modelo y un Estndar

Las normas son documentos tcnicos con las siguientes caractersticas:

MODELO: Arquetipo o punto de referencia para imitarlo o reproducirlo.

TECCELAYA. Norma, Estndar, Modelo.

WIKITEL. Normas y Estndares.

Leccin 4: Ventajas y desventajas

Estndares y Normas de seguridad:

Leccin 5: Ejemplos de Modelos y estndares

Instituto Nacional de Tecnologas de la Comunicacin. Estndares de gestin de la Seguridad de la Informacin: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related

CAPITULO 2: MODELOS (NORMAS) DE SEGURIDAD INFORMTICA

Leccin 7: ISO 27000

Familia de normas ISO/IEC 27000. http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

ISO 27000. http://www.iso27000.es/download/doc_iso27000_all.pdf Sistema de Gestin de Seguridad de TI. http://www.asentti.com/documentos/gseguridad.pdf

Leccin 8: ISO 27001

Estndares y Normas de seguridad: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

Instituto Nacional de Tecnologas de la Comunicacin. Estndares de gestin de la Seguridad de la Informacin: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related

Leccin 9: ISO 27002

Objetivos de control o Aspectos por asegurar dentro de cada rea/seccin.

Instituto Nacional de Tecnologas de la Comunicacin. Estndares de gestin de la Seguridad de la Informacin: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related

Leccin 10: ISO 27003 a ISO 27799

Estndares y Normas de seguridad: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

CAPITULO 3: ESTNDARES DE SEGURIDAD INFORMTICA

ITIL como apoyo a la seguridad de la informacin

Qu es la actualizacin ITIL v3 2011

Leccin 12: COBIT

Fig. 3. Modelo de gestin de TI

IT Service. Fundamentos de COBIT. http://www.itservice.com.co/pdf/FUNDAMENTOS%20DE%20COBIT%204-1.pdf

Leccin 13: OSSTMM

ISECOM. Manual de la metodologa abierta de testeo de seguridad.

DREAMLAB Technologies. OSSTMM, seguridad que se puede medir.

WEPFER, Simon. Security Tester by methodology: The OSSTMM.

Instituto Nacional de Tecnologas de la Comunicacin. Definicin de las polticas, Organizacin, Alcance.

ACIS. Seguridad Infrmatica en Colombia Tendencias 2010-2011.

ACIS. Seguridad Informtica en Colombia Tendencias 2008

SEGUNDA UNIDAD: NUEVOS ESTANDARES

Leccin 16: Qu es Gobierno de Tecnologa?

Leccin 19: Marco de Implementacin

Leccin 20: xito del Gobierno de Tecnologa

Leccin 22: Certified Information Security Manager CISM

Leccin 27: Tareas del Hacker tico

Forma de realizacin del Hacking tico:

Leccin 28: Certificacin Hacker tico

Leccin 30: Reflexin Hacker Personal

You might also like