Professional Documents
Culture Documents
ndice
captulo 1 Prlogo: .....................................................................................................................3 En qu consiste un anlisis de riesgos?...................................................................4 1.1 Inventariar los activos.......................................................................................4 1.2 Detectar las amenazas.....................................................................................5 1.3 Localizar sus vulnerabilidades. .........................................................................5 1.4 Valorar el impacto. ...........................................................................................6 1.5 Calcular el riesgo..............................................................................................6 1.6 Implantar un control. ........................................................................................7 Cmo podemos proteger nuestros activos ................................................................8 2.1 Riesgos de acceso. .........................................................................................8 2.1.1Contraseas o (Passwords)............................................................................8 2.1.2 Sistemas Biomtricos....................................................................................9 2.1.3 Certificados Digitales.....................................................................................9 2.2 Proteccin contra cdigo malicioso. Virus........................................................9 2.3 Integridad.......................................................................................................10 2.4 Copias de seguridad-Backup.........................................................................11 2.4.1 Backup incremental ....................................................................................11 2.4.2 Copias en caliente.......................................................................................12 2.4.3 Cifrado de backups.....................................................................................12 Recuperacin de sistemas .......................................................................................13 Gestin de la seguridad en las redes .......................................................................14 4.1 El Protocolo SSL, TSL . .................................................................................14 4.2 VPN. ..............................................................................................................15 4.3 Proteccin de redes inalmbricas. .................................................................15 La Certificacin digital como elemento de seguridad en nuestras empresas ...........16 5.1. Validacin de los Certificados........................................................................17 5.2. Usos .............................................................................................................18 5.2.1. Autenticacin .............................................................................................18 5.2.2. Firma Electrnica ......................................................................................18 5.2.3. Cifrado .......................................................................................................19 Sello de tiempo.......................................................................................................20 Glosario: .................................................................................................................21
captulo 2
captulo 3 captulo 4
captulo 5
captulo 6 captulo 7
El copyright de este documento es propiedad de Camerfirma. No est permitido su reproduccin total o parcial ni su uso con otras organizaciones para ningn otro propsito, excepto autorizacin previa por escrito.
Prlogo
La seguridad de la informacin describe los procesos empleados para garantizar la disponibilidad, integridad y confidencialidad de los datos ya sea en formato electrnico como en formato fsico. Seria fcil responder si nos preguntaran las medidas de seguridad que emplearamos para proteger un objeto de valor tangible, como por ejemplo unas joyas. Seguro que se nos ocurriran muchas acciones que impidieran que estas fueran robadas o daadas. No sera as si la pregunta fuera sobre un activo electrnico, como un documento en word o el acceso a los datos de nuestra informacin bancaria. En este caso no estaramos tan seguros sobre las acciones a tomar. La diferencia es que imaginamos y visualizamos claramente cuales son las amenazas que pueden acechar a nuestro activo cuando este es tangible, conocemos sus vulnerabilidades y por lo tanto las protecciones adecuadas. Por el contrario, en el mbito electrnico no tenemos tan claro estos parmetros: no conocemos las vulnerabilidades de los sistemas que empleamos y quines pueden aprovecharse de stas para acceder a nuestra informacin, por lo tanto nos encontramos inseguros ante cualquier situacin de riesgo. El objeto de esta gua es que las empresas conozcan los procedimientos, mecanismos y herramientas que pueden utilizar para adentrarse en el mundo electrnico con seguridad. Hoy en da uno de los activos ms importantes en nuestras empresas es la cantidad de informacin que manejamos: facturas, datos de clientes y proveedores, proyectos y toda esta informacin la tenemos en formato digital. Es ya sabido que la seguridad total no existe, y si existiera seguramente no podramos comprarla. Es muy difcil llegar a la seguridad 100% ya que a partir de un cierto punto los costes se disparan exponencialmente, por lo tanto nuestras expectativas de seguridad deben encontrarse en un punto razonable que cubra la mayor parte de nuestros riesgos. Debemos por lo tanto elegir soluciones adecuadas y proporcionadas sin caer por ejemplo en dedicar ms recursos econmicos a proteger un activo del valor del propio activo. El primer paso para conocer el estado de la seguridad de nuestros activos es realizar lo ms detalladamente posible un anlisis de riesgos. Este anlisis nos ayudar a localizar nuestros puntos dbiles y aplicar medidas que los corrijan.
La tabla muestra 3 variables (probabilidad, impacto y valor del activo). En base a estos tres parmetros la tabla nos ofrece un valor. Este valor nos dir si es razonable la implantacin de un control que proteja nuestro activo. Los valores resultantes estn coloreados de amarillo (no necesita control), naranja (recomendado la implantacin de control) y rojo (obligatorio). Las tres variables son ponderadas: > Valor del activo (de 1 a 5), donde 1 es el valor ms bajo y 5 es el mas alto. > Nivel de impacto si una amenaza concreta se materializase sobre el activo (de 1 a 5), donde 1 es un impacto bajo y 5 es un impacto alto. > Probabilidad de que se produzca un impacto concreto (de 1 a 5), donde 1 es una probabilidad baja y 5 es una probabilidad alta.
captulo 1. En qu consiste un anlisis de riesgos?
Pongamos un ejemplo: Consideremos un activo valioso en nuestra empresa, un activo de valor 5, por ejemplo el edificio donde se alojan nuestras oficinas. El edificio tiene una probabilidad 1 (muy baja) de que sea afectado por un rayo ya que en la zona donde se ubica no se forman normalmente tormentas. Analizando el impacto vemos que tiene un nivel muy alto 5 (si cae un rayo nos quedamos sin edificio). En este caso aunque la probabilidad sea muy baja la tabla nos da un valor 11 y por lo tanto deberamos plantearnos poner un control, en este caso un pararrayos. Un ejemplo dentro de nuestros activos electrnicos sera nuestra base de datos de clientes. Es un activo importante (5) y tiene una probabilidad muy baja de que sea afectado por un pirata informtico (1) ya que el equipo no est conectado a Internet. Como el impacto de perder los datos sera alto (5) vemos que el resultado que nos da la tabla es 11, esto quiere decir que recomienda poner controles a nivel interno como palabras de paso (contraseas) para proteger el acceso no permitido y copias de seguridad para evitar posibles prdidas de informacin.
todos nuestros servicios electrnicos. Si no queremos utilizar siempre la misma (algo radicalmente desaconsejable) podemos utilizar herramientas de gestin de contraseas como PasswordSafe o Keepass de distribucin gratuita y que permite la gestin de mltiples contraseas recordando slo una. 2.1.2 Sistemas Biomtricos Los sistemas biomtricos emplean rasgos fsicos del usuario para autenticarnos ante un equipo informtico. Podemos encontrarnos lectores de huellas digitales, de iris o reconocimientos de voz. Los sistemas biomtricos son cada vez ms precisos, aunque debemos considerar las tasas de falsos positivos (cada vez menores) o sobre todo falsos negativos. Los sistemas biomtricos ms usados actualmente son los de huella digital. Los sistemas biomtricos pueden combinarse con otros sistemas de autenticacin para dotarle de un factor adicional, por ejemplo tarjetas criptogrficas. 2.1.3 Certificados Digitales Los sistemas de certificacin digital permiten conseguir una identificacin de doble factor algo que tenemos (clave criptogrfica privada) y algo que sabemos (PIN de activacin de la clave). Veremos ms adelante los mecanismos de seguridad ofrecidos por los certificados digitales. Estas tres primeras herramientas regulan el acceso directo a nuestros equipos o bases documentales. Pero existen otros riesgos que van ms all del mero acceso fsico.
10
> Firewall. Firewall personal. Gestin de polticas de acceso (entrada/salida) a las aplicaciones del equipo. Mediante unas reglas de actuacin decimos al ordenador que peticiones de entrada salida estn permitidas. > Anti-Dialers. Los dialers se instalan como programas en nuestro equipo sin nuestro conocimiento y desvan, sin que nos enteremos, las conexiones que realizamos con nuestro ordenador a Internet hacia nmeros de telfono de pago. Este ataque es efectivo si tenemos configurado el sistema para acceder a Internet va lnea telefnica comn y MODEM. > Anti-Phishing. El phising utiliza links trucados para dirigirnos a sitios Web clonados, normalmente de entidades bancarias. En estos sitios clonados nos piden los datos de acceso a nuestro servicio bancario en Internet con la excusa de mejorar la seguridad. Una vez en posesin de nuestros datos acceden al servicio bancario real y realizan trasferencias de nuestros fondos.
2.3 Integridad
Una propiedad bsica de los sistemas informticos es la integridad. Esto quiere decir han de ser capaces de detectar cualquier modificacin realizada en ellos. La modificacin de un sistema operativo puede indicar que se ha producido una intrusin en el mismo. Un sistema de verificacin de integridad nos permitir descubrir de forma rpida si alguna parte del sistema se ha visto modificada desde la ltima vez que realizamos el control. Existen mltiples herramientas de seguridad que permiten controlar si un fichero o un conjunto de ficheros han sido modificados. Dentro de las herramientas utilizadas para este fin, la ms conocida sin duda es Tripwire, un desarrollo del proyecto COSAT de la Universidad de Purdue (EEUU). Esta herramienta est disponible bajo licencia libre. Para proteger nuestras aplicaciones contamos con OpenSSL. OpenSSL es una herramienta que nos permite acceder a funciones criptogrficas Podemos usar tambin funciones criptogrficas de resumen como MD5, SHA1, RIPEMD...etc. que podemos encontrar en aplicativos como OpenSSL de distribucin gratuita. Si queremos conocer si un documento electrnico ha sido modificado realizamos sobre una copia correcta de este una operacin resumen por ejemplo SHA-1 y obtendremos un cogido resumen. Guardamos este cdigo y cuando queramos posteriormente tener una prueba de integridad realizaremos de nuevo la operacin. El resultado de esta operacin debe ser el mismo de otra manera el documento ha sido alterado. Un cdigo resumen como se deduce del texto anterior es el resultado de aplicar un algoritmo matemtico sobre unos datos electrnicos. Este cdigo resumen tiene las propiedades de identificar de manera nica los datos electrnicos en los que se basa, ya que si estos cambiasen el cdigo resumen cambiaria tambin.
11
12
2.4.2 Copias en caliente En algunos casos debido a la criticidad de los datos obliga a tener copias de estos en caliente. Una copia en caliente es una copia replicada en el mismo momento de producirse algn cambio en los datos, lo que nos permite mantener una ventana de riesgo cercana a 0 desde que se produce una incidencia. Para protegerlos de amenazas fsicas la copia en caliente es recomendable ubicarla en un lugar remoto. 2.4.3 Cifrado de backups Los dispositivos de almacenamiento que contienen informacin de copias de seguridad (CD, DVD, Cintas, Discos Duros, etc.) deben estar protegidos convenientemente. Es aconsejable tener una caja de seguridad ignifuga para su almacenamiento en las instalaciones de la empresa y en instalaciones de seguridad externas. La caja de seguridad de un banco puede ser una solucin aceptable y econmica. VICEVERSA es una herramienta de copia y sincronizacin de fichero de bajo precio que puede sernos til a la hora de replicar nuestros ficheros y mantenerlos cifrados para su posterior envo o custodia. http://www.tgrmn.com/
13
3. Recuperacin de sistemas
Una prctica muy comn en la gestin de la seguridad de sistemas informticos complejos es la de desarrollar un plan de contingencias donde describamos el mayor nmero de situaciones problemticas a las que nos podamos enfrentar. Para cada una de estas situaciones debemos describir las acciones que deberamos realizar para resolverlas. Nos daremos cuenta entonces de los elementos, que dada esa situacin, necesitaramos para resolverla y nos permitir prepararnos antes de que se produzca la incidencia. En algunos casos necesitamos recuperar un sistema completo, (bases de datos, sistemas operativos, configuraciones, aplicativos....etc.) que hemos perdido, a causa de un error irrecuperable en un disco, es decir reproducir desde cero todo el sistema. La recuperacin de un sistema es una tarea que requiere mucho tiempo y que difcilmente termina con el equipo en la misma situacin en que estaba en el momento de producirse el problema. Evidentemente, tendremos que recurrir a copias de backup del sistema de las bases de datos, de las configuraciones de las aplicaciones, etc. Existen formas ms eficaces de enfrentarnos a este problema como:
> Acronis trueimage para la recuperacin de sistemas en entorno Windows y Linux. > Symantec backup EXEC para la recuperacin de datos. Podemos acceder tambin a una solucin cada vez ms extendida como es la virtualizacin de entornos. El caso es que desde una imagen de nuestro sistema lo pudiramos recuperar en cuestin de minutos. La virtualizacin se refiere a crear mquinas virtuales dentro de maquinas reales (fsicas). Una mquina fsica puede por lo tanto contener mltiples maquinas virtuales con distintos entornos operativos y ejecutando aplicaciones diferentes. Esto nos permite abstraernos de entorno fsico de la mquina y tener imgenes grabadas de maquinas virtuales que se pueden reproducir en otro entorno fsico de manera inmediata.
14
15
Como vemos unas garantas suficientes para ofrecer servicios va Web seguros. El establecimiento de estos protocolos no incorpora ms gastos adicionales que la configuracin del servidor de pginas Web y la adquisicin de los certificados de servidor seguro y cliente.
4.2 VPN
La mayora de los productos de cortafuegos (Firewall) permiten la configuracin de canales de conexin segura va VPN (Virtual Private Network), Red Privada Virtual. Se trata de fabricar un canal seguro extremo a extremo, de la misma forma que lo hace el protocolo SSL en entornos WEB. Las conexiones VPN permiten conectar de forma segura distintas oficinas utilizando redes pblicas como Internet. La sensacin es la de tener una propia red privada como indica su nombre. La utilizacin de Internet reduce considerablemente los costes de comunicacin en las empresas en detrimento tecnologas antiguas como las lneas punto a punto. La configuracin de una red VPN permite en muchos casos el desarrollo del tele-trabajo al ofrecer un canal seguro de acceso a los servidores centrales de la compaa desde el hogar del tele-trabajador. Tambin podemos conectar equipos de comunicacin de dos sedes de una empresa con los propios enrutadores de las oficinas a travs del establecimiento de una VPN encargndose estos dispositivos de hacer que las redes de las dos sedes sean virtualmente la misma.
16
El mecanismo tcnico del funcionamiento de la tecnologa de clave pblica es el siguiente: cuando A usa la clave privada para cifrar un mensaje este puede ser recuperado por B usando la clave publica de A de tal forma que si esto se produce podemos asegurar que el mensaje ha sido originado por A, el poseedor de la clave privada. Este hecho produce la autenticacin del usuario A sin tener que enviar ningn dato privado por la red. Tambin podemos usar la tecnologa de clave pblica para cifrar el contenido de un documento o mensaje. Si B cifra un mensaje con la clave publica de A se asegurar que solo A con su clave privada puede acceder al contenido del documento.
17
El certificado digital es simplemente un documento electrnico emitido por una tercera parte de confianza (Prestador de Servicios de Certificacin, PSC) acreditando que la clave pblica matemticamente relacionada con la clave privada esta asociada a una identidad concreta. Es importante valorar al emisor del certificado (PSC) para que el sistema de autenticacin y cifrado tenga el soporte suficiente. Un mismo PSC puede emitir diferentes tipos de certificados para diferentes usos y ofreciendo garantas diferentes.
18
datos). Es entonces cuando debemos estar seguros de su validez. Por este hecho que se aconseja siempre que sea posible incorporar el estado del certificado en origen. Algunos prestadores de certificacin ofrecen el acceso al sistema de validacin con una contraprestacin econmica, deberemos por lo tanto tener en cuenta este aspecto. AC Camerfirma por ejemplo no penaliza econmicamente el acceso a las CRL emitidas ni al servicio OCSP. El certificado digital como elemento de control de riesgo es muy efectivo en diferentes aspectos de la gestin de la seguridad en los sistemas de Informacin.
5.2 Usos
5.2.1 Autenticacin Identificacin para acceso fsico a los equipos (mviles o de sobremesa). Para ello contamos con sistemas de Smartcard logon que se pueden configurar en redes corporativas, siempre que el certificado este incorporado en una tarjeta o en un dispositivo USB. Adems, en la misma tarjeta que da soporte al certificado se puede incorporar: > Tecnologa RFID (identificacin va radio) para el acceso fsico a reas restringidas. > Datos de identificacin fsica al poder incorporar nuestra foto y datos personales. > Una banda magntica para el control de acceso a las instalaciones o el control de entradas/salidas del personal. La Certificacin Digital puede identificar y cifrar canales de comunicacin empleando protocolos SSL. Este protocolo es el usado en muchos servicios de pginas Web mediante accesos HTTPS. El certificado de Servidor asegura la identidad del sitio Web y el cifrado del canal de datos. Este mecanismo es importante cuando recogemos datos personales por ejemplo en formularios Web. El certificado puede no slo identificar al sitio Web sino que tambin (como hemos visto anteriormente al hablar de los canales SSL) puede hacerlo con el usuario que accede. Mediante la configuracin de nuestro servidor de pginas web podemos pedir una identificacin mediante certificado digital a nuestro visitante en reas restringidas de nuestro servicio. De esta forma en un sitio web podramos tener la identificacin del servidor la identificacin del usuario y el canal de datos cifrado. 5.2.2 Firma electrnica El certificado digital, es actualmente la referencia principal para realizar la firma electrnica. La firma electrnica es un proceso por el cual, mediante medios electrnicos, asociamos la voluntad o el compromiso de una persona con una serie de datos electrnicos, de la misma forma que hacemos con nuestra firma manuscrita sobre papel. La firma electrnica tiene aspectos jurdicos que es importante conocer: > Firma electrnica avanzada: Ofrece garantas tcnicas de origen e integridad de los documentos o transacciones
19
electrnicas firmadas aunque no tiene valor jurdico directo sino que debe argumentarse la prueba en caso de un proceso legal. > Firma electrnica reconocida o cualificada: Ofrece garantas de origen e integridad de los documentos o transacciones electrnicas firmadas. Tiene valor jurdico equivalente a la firma manuscrita.
La firma electrnica ofrece garantas de compromiso del firmante e integridad de los ficheros, documentos y transacciones firmadas. El certificado tambin puede servir para firmar electrnicamente programas que se ejecutan en los navegadores como activex, applets java, etc. de esta forma conoceremos: quien lo ha desarrollado, y si ha sido modificado el cdigo antes de ejecutarlo. Tambin puede firmar macros de Microsoft Office con el mismo objetivo. 5.2.3 Cifrado Otra funcionalidad de los certificados digitales es la posibilidad de cifrar informacin. El cifrado de informacin es un proceso delicado y con alto riesgo ya que si no somos cuidadosos podemos perder fcilmente la informacin cifrada. En el proceso de firma con los certificados digitales usamos la clave pblica asociada al certificado para realizar el cifrado de datos electrnicos, posteriormente necesitaremos la clave privada para recuperarlos. Es fundamental por lo tanto tener acceso a esta clave en todo momento si no queremos perder el control sobre nuestros datos firmados. Para asegurarnos de esto deberemos realizar copias de seguridad de la clave. Es altamente recomendable que si utilizamos los certificados digitales para cifrar datos lo hagamos usando un certificado expresamente emitido este uso. En este caso el Prestador de Servicios de Certificacin podr guardar una copia de la clave privada por si nosotros la perdemos. Windows ofrece la posibilidad de configurar el sistema EFS de cifrado de archivos y discos duros mediante certificados emitidos por terceras partes.
20
6. Sello de tiempo
El sellado de tiempo consiste en asociar un documento o transaccin a una fecha y hora concreta recogida de una fuente fiable y firmado electrnicamente por un tercero de confianza o tambin llamado autoridad de sellado de tiempo. Un sello de tiempo es una evidencia electrnica de que un documento o transaccin exista en una fecha concreta. Este servicio complementa el uso de los certificados digitales para asegurar por un tercero (y no por la fecha recogida en el ordenador del usuario) la fecha y hora en la cual se ha producido su uso y por tanto la aplicacin correcta del estado del certificado (revocado o activo).
Para ser completa una firma electrnica debe incorporar: 1.-La firma, los certificados implicados, 2.-El estado de estos mediante CRL/OCSP 3.-El sello de tiempo.
21
7. Glosario
ActiveX Tecnologa Web desarrollada por Microsoft que posibilita que un explorador interacte con las aplicaciones de escritorio, tpicamente para proporcionar funciones de interfaz de usuario adicionales. ActiveX es utilizado comnmente por diseadores Web para incrustar archivos multimedia en pginas Web. El Spyware frecuentemente se descarga a travs de un control ActiveX. Si bien ActiveX se utiliza primordialmente en la Web, tambin puede utilizarse con aplicaciones de escritorio y otros programas. ActiveX est dentro del explorador Internet Explorer de Microsoft Activo Cualquier objeto de valor que ayude a la organizacin a proporcionar un servicio a sus clientes, por ejemplo: efectivo, terrenos, edificios, equipo, inventarios (para suministros, como resultado de una operacin de venta), mobiliario y cuentas por cobrar. Eventos que pueden desencadenar un incidente en la Organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Pequeo programa Java que puede ser incrustado en una pgina HTML. Es el proceso de identificacin de un individuo. Se basa en la idea de que cada individuo tendr una informacin nica que le identifique o que le distinga de otros. Proceso de autenticacin donde se debe incorporar dos elementos para realizarlo: algo que se tiene y algo que se conoce. Proceso de autenticacin donde se debe incorporar un solo elemento para realizarlo: algo que se conoce. Proceso de autenticacin donde se debe incorporar tres elementos para realizarlo: algo que se tiene, algo que se conoce y algo que se es. (Copia de Seguridad) Es una medida correctiva consistente en realizar una copia de la informacin en un soporte externo al sistema de tal forma que pueda ser recuperada en caso de perdida. Documento de acreditacin de identidad electrnica emitido por una autoridad de certificacin donde se asocia una clave criptogrfica asimtrica llamada clave publica con la identidad del titular del certificado.
Amenazas
Applet Autenticacin
Autenticacin de Factor Doble Autenticacin de Factor Simple Autenticacin de Factor Triple Back-Up
Certificado Digital
22
Clave Privada
Clave criptogrfica asimtrica complementaria a la clave publica que utiliza el poseedor para la firma electrnica y el descifrado de datos. Clave criptogrfica asimtrica complementaria a la clave privada utilizada para verificar las firmas electrnicas realizadas con la clave privada y para cifrar datos. (Malware) Software capaz de realizar un proceso no autorizado sobre un sistema con un deliberado propsito de ser perjudicial. Virus, gusanos, troyanos son algunos ejemplos de cdigo malintencionado. En Seguridad informtica elemento que sirve para eliminar o mitigar los riesgos asociados a una vulnerabilidad del sistema. Ver Back-up. Es una barrera o proteccin fsica y/o lgica que permite a un sistema salvaguardar su informacin al acceder o ser accedido desde otras redes, como por ejemplo Internet. LCR Lista de certificados revocados. Lista negra donde se incorporan los nmeros de serie de los certificados que sin haber caducado han perdido su efectividad. Se trata de un programa que marca un nmero de tarificacin adicional usando el mdem. Estos son nmeros tienen un coste superior al de una llamada nacional. Estos marcadores se suelen descargar tanto con autorizacin del usuario (utilizando pop-ups poco claros) como automticamente. Adems pueden ser programas ejecutables o ActiveX. Ver cortafuegos. (Hash functions) Funciones que trasforman un conjunto, generalmente con un nmero elevado de elementos (incluso infinitos), en un conjunto de tamao fijo y mucho ms pequeo que el anterior y que lo identifica de forma univoca. Las funciones resumen se utilizan para detectar cambios en datos electrnicos. Persona que entra de forma ilegal y sin el consentimiento del propietario en un sistema informtico para obtener informacin. No conlleva la destruccin de datos ni la instalacin de virus. (Hypertext Transfer Protocol). Protocolo de Transferencia de Hipertexto. HTTP es un protocolo para distribuir y manejar sistemas de informacin hipermedia. HTTP ha sido usado por los servidores World Wide Web desde su inicio en 1993. Creado por Netscape Communications Corporation para designar documentos que
Clave Publica
Cdigo Malicioso
Control
Crl
Dialers
Haker
Http
Https
captulo 7. Glosario
23
llegan desde un servidor Web seguro. Esta seguridad es dada por el protocolo SSL (Secure Socket Layer) basado en la tecnologa de encriptacin y autenticacin desarrollada por RSA Data Security Inc. Integridad Caracterstica que asegura que el mensaje o comunicacin que se recibe llega tal y como se envi por el remitente, detectando fcilmente posibles modificaciones que pudieran haberse producido durante la transmisin. Una red mundial, de redes de computadoras. Es una interconexin de redes grandes y chicas alrededor del mundo. Internet empez en 1962 como una red para los militares llamada ARPANet, para que en sus comunicaciones no existan puntos de falla. Con el tiempo fue creciendo hasta convertirse en lo que es hoy en da, una herramienta de comunicacin con decenas de miles de redes de computadoras unidas por el protocolo TCP/IP. Sobre esta red se pueden utilizar multiples servicios como por ejemplo emails, WWW, etc. que usen TCP/IP. Lenguaje de programacin desarrollado por Sun Microsystems y su principal objetivo fue crear un lenguaje que fuera capaz de ser ejecutado de una forma segura a travs de Internet. Java no puede acceder arbitrariamente a direcciones de memoria y es un lenguaje compilado en un cdigo llamado byte-code. Este cdigo es interpretado "en vuelo" por el intrprete Java instalado en la mquina. Clave de acceso que se le asigna a un usuario con el propsito de que pueda utilizar los recursos de un ordenador. Una macro es una secuencia de operaciones o instrucciones que definimos para que un programa (por ejemplo, Word, Excel, o Access) realice de forma automtica y secuencial. Algoritmo de funcin resumen unvoco de 128 bits desarrollado por RSA Data Security, Inc. (Online Certificate Status Protocol). Protocolo de acceso a un servicio que nos ofrece informacin en tiempo real sobre el estado de un certificado digital. (Contrasea). Una contrasea o clave, es una forma de autenticacin que utiliza una informacin secreta para controlar el acceso hacia algn recurso. Se utiliza el trmino "phishing" para referirse a todo tipo de prcticas utilizadas para obtener informacin confidencial (como nmeros de cuentas, de tarjetas de crdito, contraseas, etc.). Clave Personal de Acceso (PIN): Secuencia de caracteres que permiten el acceso a
Internet
Java
Login
Macro
MD5
OCSP
Password
Fishing, Phishing
PIN
24
un recurso. PSC Persona fsica o jurdica que expide certificados, pudiendo prestar, adems, otros servicios en relacin con la firma electrnica. RFID (Radio Frequency Identification) es un sistema inalmbrico utilizado para identificar etiquetas. Estas etiquetas pueden ser transportados por las personas o montado sobre un objeto (tarjeta) o vehculos. Estimacin del grado de exposicin para que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. (acrnimo de RACE Integrity Primitives Evaluation Message Digest, primitivas de integridad del resumen del mensaje) es un algoritmo del resumen del mensaje de 160 bits (y funcin criptogrfica de hash) desarrollado en Europa por Hans Dobbertin, Antoon Bosselaers y Bart Preneel, y publicados primeramente en 1996 Un sello de tiempo es un documento electrnico que nos indica la fecha y la hora en que se ha producido una informacin electrnica. El sello, est matemticamente vinculado al documento electrnico sellado. El sello se produce utilizando una fuente de tiempo fiable de fecha y hora. Algoritmo de funcin resumen, normalizado en 1993. Est concebido para su uso junto con el estndar federal de firma digital. El SHA es similar en su forma de operacin al MD-5, pero produce un resumen, de 160 bits, ms largo que el ste y que el de cualquier otro algoritmo de autenticacin de los usados con anterioridad. Procedimiento de autenticacin basado en la medicin de alguna caracterstica fsica o biolgica de una persona. Smart Card: Tarjeta plstica con un circuito integrado (chip), accesible elctricamente usando contactos de cobre. Sistema de autenticacin a una aplicacin basada en tarjeta criptogrfica. Correo basura, el cual llega a nuestras casillas de correo sin que nosotros lo hayamos solicitado. Se denomina a los archivos o aplicaciones de software que son instalados en los sistemas, algunas veces sin conocimiento u autorizacin de los usuarios. Estos programas recogen una vez instalados la informacin del sistema infectado. (Secure Socket Layer). Es un protocolo desarrollado por Netscape Communications Corporation para dar seguridad a la transmisin de datos en transacciones comer-
RFID
Riesgo
RIPEMD
Sello de Tiempo
SHA-1
Sistema Biomtrico
Smart Card
Spyware
SSL
captulo 7. Glosario
25
ciales en Internet. Utilizando la criptografa de llave pblica, SSL provee autentificacin del servidor, encriptar de datos, e integridad de los datos en las comunicaciones cliente/servidor. TSA (Time Stamp Authority) Autoridad de Sellado de Tiempo. Es un servicio que consiste en la validacin de una operacin estampando da y hora firmando electrnicamente la transaccin como acreditacin de la intervencin realizada. Ver SSL (Universal Serial Bus, Bus serie universal). Interfaz plug-and-play entre un ordenador y dispositivos perifricos (escneres, impresoras, etc.). Los virus son programas que se instalan en el ordenador, normalmente de forma oculta al propietario, con fines maliciosos (por ejemplo, destruir archivos, o el disco, propagarse a otros ordenadores o provocar un mal funcionamiento del ordenador). (Virtual Private Network). Red privada construida sobre una red pblica, y an as proporcionando privacidad y/o autenticacin a los usuarios de dicha red. Los equipos de la red privada utilizan encriptacin para comunicarse con otros equipos, pero la encriptacin excluye a los equipos del exterior de la red privada. Protocolo que proporciona seguridad al cifrar los datos que se envan por ondas de radio desde un dispositivo inalmbrico a otro. WEP codifica los datos que se envan por la red, de manera que los datos son ininteligibles para los dems. Una clave WEP o de encriptacin, es una secuencia de caracteres alfanumricos o dgitos hexadecimales. Una clave WEP tiene 64 o 128 bits. Wireless Fidelity (o Fidelidad Inalmbrica). Se refiere a un conjunto de estndares para redes inalmbricas. Se cre para redes locales inalmbricas, pero en la actualidad tambin se emplea para acceder a Internet. Conexiones sin cables va radiofrecuencia.
TSL USB
Virus
VPN
WEP
WIFI
Wireless