jueves, 17 de diciembre de 2009

NFS On Debian Lenny

NFS Server On Debian

miércoles, 16 de diciembre de 2009

Manual Samba On Debian

Manual Samba On Debian

viernes, 10 de abril de 2009

Fanatico de la Musica

Soy un amante de la musica en Especial de Metallica

Internet Protocol Security

Ipsec

jueves, 9 de abril de 2009

Gnu Privacy Guard

GPG

Public_Key_infrastructure

PKI

martes, 3 de marzo de 2009

SSLv2 con CA en Windows

Sslv2 Con Servidor y CA en Windows

SSLv2 con CA en Windows

Sslv2 Con Servidor y CA en Windows

jueves, 26 de febrero de 2009

SSLv2_Linux

How to Apache Ssl

SSH_Windows

Ssh Windows

SSH_Linux

ssh_linux

sábado, 31 de enero de 2009

Terminos_Seguridad_Informatica

Esta es una actividad que me toco hacer por no respetar en todo el sentido de la palabra a un compañero.

Pero la hago con honor.

  1. Acceso Remoto: Utilidad para que un usuario acceda desde su propio PC a otro que se halle remotamente y opere sobre el.
  2. AES--Estandar de Cifrado Avanzado: Conocido tambien como "Rijndael", algoritmo de encriptacion simetrica de 128 bits desarrollado por los belgas Joan Daemen y Vincent Rijmen. El Instituto Nacional de Estandares y Tecnologia, seleccionó en 2000 como estandar de cifrado reemplazando el hasta entonces estandar DES.
  3. Analisis Heuristico: Es un analisis adicional que solamente algunos programas anti-virus pueden realizar para detectar virus que hasta este momento son desconocidos.
  4. Blowfish: codificador simetrico de bloques. Toma una clave de longitud variable, entre 32 y 448 bits.
  5. Criptologia: Ciencia que estudia el arte de crear y utilizar sistemas de encriptacion.

NORMATIVIDAD-ISO-27000

¿Qué es ISO 27000 ?

•Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI).
  • Requisitos para la especificación de sistemas de gestión de la seguridad de la información
  • Proceso del análisis y gestión del riesgo
  • Métricas y medidas de protección
  • Guías de implantación
  • Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua.


IMPLANTAR EL SASI





  • Definir el alcance y las fronteras del SASI en términos de las características del negocio.
  • Definir la aproximación a la evaluación del riesgo de la organización.
  • Identificar los riesgos.
  • Analizar y evaluar los riesgos.
  • Identificar y evaluar opciones para el tratamiento de riesgos.Seleccionar objetivos de control y controles para el tratamiento de riesgos.
  • Obtener aprobación de la gerencia de los riesgos remanentes propuestos.
  • Preparar una declaración de aplicabilidad.
  • Monitorear y revisar el SASI.
  • Mantener y mejorar el SASI.

PROCESO ISMS





¿Qué debe incluir el SASI?
  • Enunciados documentados de la política del SASI y los objetivos;
  • El alcance del SASI;
  • Procedimientos y controles que soportan el SASI;
  • Una descripción de la metodología de evaluación de riesgos;
  • El reporte de evaluación de riesgos;
  • El plan de tratamiento del riesgo;
  • Procedimientos documentados necesarios para que la organización asegure una planeación, operación y control efectivo de sus procesos de seguridad de la información y describir como medir la efectividad de los controles;
  • Registros requeridos por este Estándar Internacional;
  • La declaración de aplicabilidad.
Áreas que se deben cubrir
  • Marco de las normas de gestión de la seguridad de la información.
  • Sistema de gestión de la seguridad de la información.
  • Análisis y gestión de riesgos.
  • Controles y salvaguardas.
  • Métricas.
  • Auditoria.
  • Directrices de implantación de los sistemas de gestión de la seguridad de la información.
  • Difusión y concienciación.
  • Así también, cabe considerar aspectos tales como los siguientes:
    –Productos y servicios.
    –Política y procedimientos.
    –Personal
    –Seguridad Física
    –Esquemas de Reporte.
Medidas del ISMS

Objetivos
Evaluar la efectividad de las medidas de seguridad del SMSI con respecto a las métricas preestablecidas.
  • Evaluar el ISMS y su permanente actualización.
  • Proveer una guía estándar para evaluar las revisiones, facilitar las mejoras y para proveer trazar para posibles auditorias
  • Comunicar, dentro de la organización, la importancia de la seguridad.
  • Ser una herramienta para el análisis y tratamiento del riesgo.
  • Activos, implementos para la seguridad, vulnerabilidades e impacto






    ISO 27001

    • Esta norma muestra como aplicar los controles propuestos en la ISO 17799, estableciendo los requisitos para construir un SGSI, “auditable” y “certificable”.

    ISO 27002

    • Está en fase de desarrollo, es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información, esta norma no es certificable.

    ISO 27003

    • Se estima que se publique en Octubre de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act: Tomado del ciclo de calidad de Edwards Deming) y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.

    ISO 27004

    • Publicada probablemente en Noviembre de 2006. Especificará las métricas y técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

    ISO 27005

    • Consiste en una guía para la gestión del riesgo de la seguridad de la información y servirá de apoyo a la ISO 27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.

    ISO 27006

    • Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.

    NORMATIVIDAD-ISO/IEC-17799


    ISO 17799

    ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización”.

    Define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada.

    El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

    El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.

    ● La adaptación española de la norma se denomina UNE-ISO/IEC 17799.

    ● Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma UNE 71502, CERTIFICABLE.

    ● En 1995 el British Standard Institute publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información.
    ● En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en 2002.

    ● Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:

    – Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información.

    – Aplicable por toda organización, con independencia de su tamaño.

    – Flexible e independiente de cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología.

    ● En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

    La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información:

    1. Política de seguridad.
    2. Aspectos organizativos para la seguridad.
    3. Clasificación y control de activos.
    4. Seguridad ligada al personal.
    5. Seguridad física y del entorno.
    6. Gestión de comunicaciones y operaciones.
    7. Control de accesos.
    8. Desarrollo y mantenimiento de sistemas.
    9. Gestión de continuidad del negocio.
    10.Conformidad con la legislación.


    De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de
    riesgo).

    OBJETIVOS DE CONTROL

    POLÍTICA DE SEGURIDAD
    • Dirigir y dar soporte a la gestión de la seguridad de la información.


    ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

    • Gestionar la seguridad de la información dentro de la organización.

    • Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que sonaccedidos por terceros.

    • Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.


    CLASIFICACIÓN Y CONTROL DE ACTIVOS

    • Mantener una protección adecuada sobre los activos de la organización.

    • Asegurar un nivel de protección adecuado a los activos de información.


    SEGURIDAD LIGADA AL PERSONAL

    • Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.

    • Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.

    • Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.

    • Las implicaciones del factor humano en la seguridad de la información son muy elevadas.

    • Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global.

    • Diferentes relaciones con los sistemas de información: operador, administrador, guardia de seguridad, personal de servicios, etc.

    • Procesos de notificación de incidencias claros, ágiles y conocidos por todos.


    SEGURIDAD FÍSICA Y DEL ENTORNO

    • Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.

    • Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.

    • Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.


    GESTIÓN DE COMUNICACIONES Y OPERACIONES

    • Asegurar la operación correcta y segura de los recursos de tratamiento de información.

    • Minimizar el riesgo de fallos en los sistemas.

    • Proteger la integridad del software y de la información.

    • Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.

    • Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo.

    • Evitar daños a los activos e interrupciones de actividades de la organización.

    • Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.


    CONTROL DE ACCESOS

    • Controlar los accesos a la información.

    • Evitar accesos no autorizados a los sistemas de información.

    • Evitar el acceso de usuarios no autorizados.

    • Protección de los servicios en red.

    • Evitar accesos no autorizados a ordenadores.

    • Evitar el acceso no autorizado a la información contenida en los sistemas.

    • Detectar actividades no autorizadas.

    • Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo.


    DESARROLLO Y MANTENIMIENTO DE SISTEMAS

    • Asegurar que la seguridad está incluida dentro de los sistemas de información.

    • Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.

    • Proteger la confidencialidad, autenticidad e integridad de la información.

    • Asegurar que los proyectos de Tecnología de la Información y las actividades complementarias son llevadas a cabo de una forma segura.

    • Mantener la seguridad del software y la información de la aplicación del sistema.


    GESTIÓN DE CONTINUIDAD DEL NEGOCIO

    • Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres.


    CONFORMIDAD

    • Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad.

    • Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma.

    • Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas.


    AUDITORIA

    • Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles.

    • Nivel mínimo aceptable. Estado con las mínimas garantías de seguridad necesarias para trabajar con la información corporativa.

    • Nivel objetivo. Estado de seguridad de referencia para la organización, con un alto grado de cumplimiento ISO 17799.


    ISO 17799 no es una norma tecnológica.

    • Ha sido redactada de forma flexible e independiente de cualquier solución de seguridad específica.

    • Proporciona buenas prácticas neutrales con respecto a la tecnología y a las soluciones disponibles en el mercado.

    • Estas características posibilitan su implantación en todo tipo de organizaciones, sin importar su tamaño o sector de negocio, pero al mismo tiempo son un argumento para los detractores de la norma.


    La adopción de la norma ISO 17799 proporciona diferentes ventajas a cualquier organización.

    • Aumento de la seguridad efectiva de los sistemas de información.

    • Correcta planificación y gestión de la seguridad.

    • Garantías de continuidad del negocio.

    • Mejora contínua a través del proceso de auditoría interna.

    • Incremento de los niveles de confianza de nuestros clientes y partners.

    • Aumento del valor comercial y mejora de la imagen de la organización.

    • ¡CERTIFICACIÓN! (UNE 71502).

    ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información, adoptada en España como norma UNE-ISO/IEC 17799.

    • La norma se estructura en diez dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.

    • Implantar ISO 17799 requiere de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización concreta.

    • La adopción de ISO 17799 presenta diferentes ventajas para la organización, entre ellas el primer paso para la certificación según UNE 71502.




    "Ni la adopción de ISO 17799, ni la certificación UNE 71502, garantizan la inmunidad de la organización frente a problemas de seguridad."

    jueves, 29 de enero de 2009

    NORMATIVIDAD--BS 7799

    BS 7799








    La esencia de la norma BS 7799 es que el Sistema de Administracion de Seguridad de la Informaion (ISMS, por sus siglas en ingles) deberia ser establecido entre las organizaciones.
    El proposito de esta es asegurar que la informacion de una organizacion este segura y propiamente administrada.

    BS 7799 es el estandar mas influyente y mas reconocido para la administracion de la seguridad.mas

    BS 7799 Parte 1 se vuelve un estandar internacional (ISO/IEC 17799) en Diciembre del 2000.

    Ha sido recientemente revisado en base con los procedimientos ISO y el estandar revisado BS 7799 deberia estar disponible durante el 2005.

    BS 7799 parte 2, aunque es aun un estandar en el Reino Unido, fue publicado como estandar nacional en muchos paises y estuvo en una etapa avanzada del proceso hacia la internacionalizacion. Este proceso se completó para el 2005.

    El estandar se dividia en dos partes:
    • Parte 1: Contenia la guia e informacion explicativa.
    • Parte 2: Proveia un modelo que puede ser usado por empresas para moldear y hacer efectiva el Sistema de Adminisatrcion de la Informacion de Seguridad (ISMS).

    Las dos partes estan publicadas como:

    • ISO/IEC 17799 "Codigo de Practica para la Seguridad de la Informacion".
    • BS 7799-2:2002: "Especificacion de la Informacion en la Administarcion de la Seguridad".

    BENEFICIOS DE USAR BS 7799

    Usandolo bien resultaria:

    • Riesgo Operacional reducido.
    • Eficiencia del Negocio Incrementada.
    • Seguridad de que la Seguridad de la Informacion esra siendo racionalmente aplicada.

    Esto se logra mediante:

    • Los Controles de Seguridad son justificados.
    • Las Politicas y Procedimientos son los apropiados.
    • Toda las actividades de procesamiento y soporte de la informacion relevante de seguridad son auditables.
    • La Auditoria interna, los mecanismos de adminsitracion/reporte de incidentes sean tratados apropiadamente.
    • La administracion este activamente enfocada en seguridad de la informacion y su efectividad.

    Es como que un numero de organizaciones, incluido el Gobierno, requerira de proveedores y otros colaboradoressean certificados acorde a la norma BS 7799 antes de que puedan trabajar.
    Esto podria hacer la certificacion mas necesaria que beneficiosa.

    La certificacion puede tambien ser usada como una parte de iniciativa de mercadeo, proveyendo la seguridad para colegas de negocios y otros terceros.

    ENTENDIENDO LA BS 7799 PARTE 1: 10 PASOS

    1. Politica de Seguridad-explica lo que una politica de seguridad de la informacion deberia cubrir y porque cada empresa deberia tener una.
    2. Seguridad Organizacional- explica como la administracion de la seguridad de la informacion esta organizada.
    3. Clasificacion y Control de Valor - considera la informacion y el equipamento del procesamiento de la misma como valores para sera administrados y representados.
    4. Seguridad del Personal- detalla cualquier tema personal tal como capacitacion, responsabilidades, procedimientos de investigacion, y como el personal respondio a los incidentes de seguridad.
    5. Seguridad Fisica y del Ambiente- aspectos fisicos de la seguridad incluyendo la proteccion de la informacion y equipos del daño fisico, ademas como controlar fisicamente el acceso a la informacion y los dispositivos.
    6. Administracion de Operaciones y Comunicaciones- examina la correcta administracion y operacion segura del procesamiento de la informacion durante las actividades del dia a dia.
    7. Control de Acceso- control del acceso a la informacion y los sistemas en base a las necesidades del negocio y la seguridad.
    8. Desarrollo y Mantenimiento del Sistema- diseño y mantenimiento de sistemas manteniendo asi la integridad de la informacion.
    9. Administracion Continua de la Empresa- concierne al mantenimiento de las actividades de negocio esenciales durante condiciones adversas, de la copia para evitar grandes desastres.
    10. Conformidad- concierne a la conformidad del negocio con leyes nacionales e internacionales relevantes, estandares profesionales y caulesquier proceso ordenado por el Sistema de Administracion de la Seguridad de la Informacion (ISMS).

    CERTIFICACION

    La certificacion para BS 7799 es un conicimiento formal que su Sistema de Administracion de Seguridad de la Informacion (ISMS) refleja las necesidades de seguridad de informacion de la organizacion.

    COMO OBTENER LA CERTIFICACION?

    Las organizaciones pueden ser formalmente certificadas para la BS 7799 por un cuerpo acreditado del Servicio de Acreditacion del Reino Unido (UKAS).

    Un auditor profesional completa una revision formal independiente del Sistema de Administracion de Seguridad de la Informacion (ISMS).

    Apunta a confirmar que el ISMS es tanto efectivo como apropiado.

    El auditor revisara:

    1. Exhaustividad. Todas las partes del BS 7799 han sido cubiertas?.
    2. Relevancia. Es la interpretacion del BS 7799 relevante para la organizacion?
    3. Implementacion. Se le esta haciendo seguimiento al ISMS?

    El auditor requerira una Declaracion de Aplicabilidad (SOA). Esto es un documento que lista todos los requerimientos en BS 7799 Parte 2, con:

    • Una explicacion de como la organizacion cumple con ellas.
    • Una explicacion y justificacion de cualquier desviacion de ellas.

    CUALES SON LOS REQUERIMIENTOS DE LAS ORGANIZACIONES PARA BS 7799?

    1. Autoauditorias. cada organizacion debe tener un calendario de auditorias para el completo ISMS sobre un periodo razonable de tiempo. Esto envuelve el personal de verificacion que actualmente sigue el ISMS, y puede probarlo con registros. Las auditorias son internas, usualmente envuelven completamente una lista de chequeo estandar, y son conducidos por el propio personal de la organizacion, quienes no requieren tener una acreditacion UKAS. Donde una falla o brecha de seguridad es detectada en el seguimiento del ISMS, un reporte deberia ser dado a traves de la estructura de administracion normal. La importancia del automonitoreo es que la organizacion puede reaccionar rapidamente a los problemas con sus propios procedimientos - algunas veces los procedimientos deben ser mejorados para ajustarse mejor a la realidad.
    2. Auditorias Acreditadas. Despues de la auditoria inicial, el cuerpo de certificacion hace una revision cada seis (6) meses.
    3. Declaracion de Aplicabilidad (SOA). Esto es un documento viviente y debe ser actualizado. Deberia siempre reflejar el estado del ISMS de la Organizacion.

    QUE SE CERTIFICA?

    Hay muchas opciones para la certificacion. Un pequeño rango que dirige las funciones de negocio central podrian ser formalmente certificados, pero igualmente, la organizacion como un todo podria cumplir con las politicas y procedimientos.

    Solamente el rango certificado formalmente del ISMS seria sujetado a revisiones cada seis (6) meses.

    miércoles, 28 de enero de 2009

    ACERCA DE LOS DELITOS INFORMATICOS

    Delitos informáticos: son todos aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio Informático.

    El Delito Informático implica actividades criminales que un primer momento los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robo, hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etc., sin embargo, debe destacarse que el uso indebido de las computadoras es lo que ha propiciado la necesidad de regulación por parte del derecho.

    DEFINICION DEL CODIGO PENAL COLOMBIANO


    Un Delito Informático puede comprender tanto aquellas conductas que recaen sobre herramientas informáticas, llámense programas, ordenadores, etc.; como aquellas que valiéndose de estos medios lesionan otros intereses jurídicamente tutelados como son la intimidad, el patrimonio económico, la fe pública, etc.


    TIPOS DE DELITOS


    • Virus
    • Gusanos
    • Bomba logica o cronologica
    • Sabotaje informatico
    • Piratas informaticos o hackers
    • Acceso no autorizado a sistemas o servicios
    • Reproduccion no autorizada de programas informaticos de proteccion legal
    • Manipulacion de datos de entrada y/o salida
    • Manipulacion de programas
    • Fraude efectuado por manipulacion informatica

    VIRUS

    Los virus informáticos son programas diseñados expresamente para interferir en el funcionamiento de una computadora, registrar, dañar o eliminar datos, o bien para propagarse a otras computadoras y por Internet, a menudo con el propósito de hacer más lentas las operaciones y provocar otros problemas en los procesos.

    GUSANO

    Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente.

    En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo.

    El gran peligro de los gusanos es su habilidad para replicarse en grandes números.

    TROYANO

    Programa informático que parece ser útil pero que realmente provoca daños.


    Los troyanos se difunden cuando a los usuarios se les engaña para abrir un programa porque creen que procede de un origen legítimo.

    BOMBA CRONOLOGICA

    Es aquella que exige conocimientos especializados, ya que requiere la programación de la destrucción o modificación de datos.

    Es importante destacar, que a diferencia de los virus o gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; es por esta razón, que de todos los dispositivos informáticos criminales, la bomba lógica es la que más daño hace dentro del sistema informático.

    Es difícil saber cuál es el sujeto, por cuanto se puede programar la detonación para que tenga lugar mucho tiempo después de que se haya marchado el criminal informático.

    SABOTAJE INFORMATICO

    El Sabotaje informático es el acto de borrar, suprimir o modificar sin autorización funciones o datos del sistema informático (hardware y/o software) con intención de obstaculizar el funcionamiento normal del sistema.

    Es acceder sin ser autorizados a servicios y sistemas informáticos que van desde la simple curiosidad, como es el caso de los piratas informáticos (hackers), hasta el sabotaje informático (ckacking).

    Este delito, puede entrañar una perdida económica sustancial para los propietarios legítimos de Empresas, Instituciones públicas, privadas, Gubernamentales, etc..

    ESPIONAJE INFORMATICO

    Comprende aquellas figuras delictivas que atienden el modus operandi que se ejecuta y que puede ser, en primer lugar, delitos de apoderamiento indebido (apropiarse de la informacion), uso indebido (usar la informacion para cualquier fin) o conocimiento indebido de la informacion, cometidos ya sea interfiriendo, interceptando o accesando al sistema donde se hallen los datos.

    INGENIERIA SOCIAL

    La denominada "Ingeniería Social" es la técnica especializada (empírica) del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no harían.

    La ingeniería social ofrece a los delincuentes un medio de obtener acceso a su equipo.

    Por lo general, la finalidad de la ingeniería social es instalar de forma secreta spyware o algún otro tipo de software malintencionado para intentar convencerle de que facilite sus contraseñas u otra información confidencial de carácter personal o financiero.

    Hay varios tipos de ingeniería social que deben tenerse presentes:

    • Suplantación de identidad (phishing): mensajes de correo electrónico y sitios web fraudulentos.
    • Spear phishing: ataques con objetivos específicos que parecen proceder de personas conocidas
    • Correo electrónico engañoso:desconfíe de las promesas de dinero fácil.

    SPYWARE

    Los Spywares o Programa espía, son aplicaciones que se dedican a recopilar información del sistema en el que se encuentran instaladas(“husmean” la información que está en nuestro equipo) para luego enviarla a través de Internet, generalmente a alguna empresa de publicidad en algunos casos lo hacen para obtener direcciones de e-mail.

    Todas estas acciones se enmascaran tras confusas autorizaciones al instalar programas de terceros, por lo que rara vez el usuario es consciente de ello.

    Estos agentes espía, pueden ingresar a la PC por medio de otras aplicaciones.

    Normalmente trabajan y contaminan sistemas como lo hacen los Caballos de Troya.

    HACKER

    Se refiere a un experto en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker.

    "Los hackers no son piratas informáticos."

    TIPOS DE HACKERS

    • Black hats o hackers negros.
    • White hats o hackers blancos.
    • Lammer o script-kiddies.
    • Luser.
    • Phreaker.
    • Newbie.
    • Pirata informático o delincuente informático.
    • Samurai.
    • Trashing ("Basurero").
    • Wannabe.


    LOS DIEZ MANDAMIENTOS DEL HACKER


    I. Nunca destroces nada intencionalmente en la Computadora que estés crackeando.


    II. Modifica solo los archivos que hagan falta para evitar tu detección y asegurar tu acceso futuro al sistema.


    III. Nunca dejes tu dirección real, tu nombre o tu teléfono en ningún sistema.


    IV. Ten cuidado a quien le pasas información. A ser posible no pases nada a nadie que no conozcas su voz, número de teléfono y nombre real.


    V. Nunca dejes tus datos reales en un BBS, si no conoces al sysop, déjale un mensaje con una lista de gente que pueda responder de ti.


    VI. Nunca hackees en computadoras del gobierno. El gobierno puede permitirse gastar fondos en buscarte mientras que las universidades y las empresas particulares no.


    VII. No uses BlueBox a menos que no tengas un servicio local o un 0610 al que conectarte. Si se abusa de la bluebox, puedes ser cazado.


    VIII. No dejes en ningún BBS mucha información del sistema que estas crackeando. Di sencillamente "estoy trabajando en un UNIX o en un COSMOS...." pero no digas a quien pertenece ni el teléfono.


    IX. No te preocupes en preguntar, nadie te contestara, piensa que por responderte a una pregunta, pueden cazarte a ti, al que te contesta o a ambos.


    X. Punto final. Puedes pasearte todo lo que quieras por la WEB, y mil cosas mas, pero hasta que no estés realmente hackeando, no sabrás lo que es.

    CRACKER

    • Es una persona que realiza: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser dañino para el usuario del mismo.
    • Es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño. El término deriva de la expresión "criminal hacker".

    Es muy importante diferenciar entre el Hacking y Cracking, el primero, utiliza técnicas de penetración no programadas para acceder a un sistema informático, buscando únicamente el ingreso a tales sistemas sin dirigir sus actos a la afectación de la integridad o disponibilidad de la información, pero sí a la confidencialidad y exclusividad de la misma y también en algunos casos a vulnerar la intimidad del titular de aquella.

    Mientras que el segundo, altera, suprime o daña la información, por cuanto la intención del agente es obstaculizar, dejar inoperante o menoscabar el funcionamiento de un sistema o dato informático.

    LEGISLACION


    Aproximación al concepto de "Delito Informático"

    El Código Penal Colombiano expedido con la Ley 599 de 2000, no hace referencia expresa a los delitos informáticos como tales; no obstante, en varias de sus normas recoge conductas que podrían entenderse incorporadas al concepto que la doctrina ha elaborado a este respecto.


    En Colombia con la expedición de la Ley 527 de 1999 y su decreto reglamentario 1747 de 2000, se reconoció fuerza probatoria como documentos a los mensajes de datos. El artículo 10º de la Ley 527/99 regula:


    "Los mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del Código de procedimiento Civil.


    La Corte Constitucional en sentencia C-662 de junio 8 de 2000, con ponencia del Magistrado Fabio Morón Díaz, al pronunciarse sobre la constitucionalidad de la Ley 527 de 1999, hizo las siguientes consideraciones:


    (...) "El mensaje de datos como tal debe recibir el mismo tratamiento de los documentos consignados en papel, es decir, debe dársele la misma eficacia jurídica, por cuanto el mensaje de datos comporta los mismos criterios de un documento.

    martes, 27 de enero de 2009

    ORGANIZACIONES_SEGURIDAD_INFORMATICA


    Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, tales como el CERT/CC (Computer Emergency Response Team Coordination Center) del SEI (Software Engineering Institute) de la Carnegie Mellon University el cual es un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.

    CERT-->Estudian las vulnerabilidades de seguridad en Internet, investigan cambios de largo termino en sistemas de red, y desarrollan información y capacitan para ayudar a mejorar la seguridad.
    Esta empresa tambien se halla en Colombia.

    Website--> http://www.cert.org/

    http://www.cert.org.co/


    SEI--> El SEI es financiado por el gobierno federal un centro de investigación y desarrollo la realización de la investigación en ingeniería de software de adquisición, la arquitectura y las líneas de productos, mejora de procesos y la medición del desempeño, la seguridad y la interoperabilidad de los sistemas y la fiabilidad.

    Website--> http://www.sei.cmu.edu/


    ISC2

    Con sede en los Estados Unidos y con oficinas en Londres, Hong Kong y Tokio, (ISC) ² es el mundial, sin fines de lucro, líder en la educación y la certificación de profesionales de la seguridad de la información a lo largo de su carrera.
    Son reconocidos por brindar certificaciones Estándar de Oro y de clase mundial los programas de educación.

    Misión

    Su objetivo es hacer que el mundo cibernético sea un lugar seguro a través de la elevación de la seguridad de la información de dominio público y mediante el apoyo y el desarrollo de los profesionales de la seguridad de la información en todo el mundo.

    El (ISC) ² CBK

    (ISC) ² desarrolla y mantiene el (ISC) ² BCK, un compendio de temas de seguridad de la información.
    El BCK es un cuerpo de conocimientos que define los estándares de la industria mundial, que actúa como un marco común de los términos y principios que se basan nuestras credenciales y permite a los profesionales de todo el mundo discutir, debatir y resolver cuestiones relacionadas con el campo.


    Programas de Certificación


    Universalmente reconocidos como el Estándar de Oro en las certificaciones de seguridad de la información, son esenciales para los individuos y los empleadores sin fisuras para la seguridad y la protección de los activos de información y las infraestructuras.



    • Systems Security Certified Practitioner (SSCP). Seguridad de los Sistemas de Certificación Practitioner (SSCP)

    • Certification and Accreditation Professional (CAP). Certificación y Acreditación Profesional (CAP).

    • Certified Secure Software Lifecycle Professional (CSSLP). Certificado seguro de vida del software profesional (CSSLP).

    • Certified Information Systems Security Professional (CISSP). Certificado de Seguridad de Sistemas de Informacion Profesional (CISSP) y las concentraciones de:

    • Information Systems Security Architecture Professional (CISSP-ISSAP). Arquitectura de Sistemas de Información de Seguridad Professional (CISSP-ISSAP).

    • Information Systems Security Engineering Professional (CISSP-ISSEP). Sistemas de Información Ingeniería de la Seguridad Professional (CISSP-ISSEP).

    • Information Systems Security Management Professional (CISSP-ISSMP). Sistemas de Información de Gestión de la Seguridad Professional (CISSP-ISSMP).


    Website--> http:// www.isc2.org/




    CISSP



    CISSP (Certified Information Systems Security Professional) es una certificación de alto nivel profesional otorgada por la (ISC)2 (International Information Systems Security Certification Consortium, Inc), con el objetivo de ayudar a las empresas a reconocer a los profesionales con formación en el área de seguridad de la información.



    CISSP es considerada como una de las credenciales de mayor representatividad en el ámbito de la seguridad informática a nivel mundial. Para mayo del 2006, había registrados 38384 CISSPs a nivel mundial.



    Website--> http://www.isc2.org/




    SANS (SysAdmin, Audit, Network, Security) Institute



    Ofrece informacion, capacitacion, certificación e investigacion en la seguridad.



    Website--> http://www.sans.org/

    Enlace sitio web estudios superiores de Seguridad



    lunes, 26 de enero de 2009

    INTRODUCCION A LA SEGURIDAD INFORMATICA


    Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información.


    Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.


    Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.


    Seguridad Informatica




    • Área de la informática encargada de asegurar el buen uso de los recursos informáticos y la información como activos de una organización, manteniéndolos libres de peligros, daños o riesgos.

    La seguridad informática se puede clasificar en seguridad lógica y seguridad física y busca con la ayuda de políticas y controles mantener la seguridad de los recursos y la información manejando los riesgos, sin embargo cuando se habla de seguridad se debe tener en cuenta que no existe la seguridad 100%.



    • Es un conjunto de sistemas, metodos y herramientas para proteger un bien (en este caso el bien es la informacion), en el que ademas participan personas.


    Los componentes de la Seguridad Informatica serian:




    • Lo que se quiere proteger (bienes fisicos, informacion, etc).

    • Riesgos que atentan contra lo que se quiere proteger (desastre natural, terrorismo, malware, etc).

    • Politicas y mecanismos (permite proteger el bien de los riesgos potenciales).


    Ahora hablemos brevemente de los antecedentes:



    • Ya en los años 90s proliferan los ataques a Sistemas Informaticos (malware).

    • A finales de los 90s se generalizan las amenazas.

    • En los años 2000 se toma en serio la seguridad informatica, y se empiezan a desarrollar tecnicas que prevengan estas amenzas, apareciendo terminologia como Criptografia (cifrado, descifrado, criptoanalisis, firma digital, Autoridad Certificadora, Comercio Electronico, etc).

    Toda organización debe estar a la vanguardia de los procesos de cambio.


    Donde disponer de información continua, confiable y a tiempo, constituye una ventaja fundamental.



    Donde el hecho de tener la información es tener poder.



    Donde la información se reconoce como:



    • Crítica, ya que es indispensable para garantizar la continuidad operativa de la organizacion.

    • Valiosa, ya que es un activo corporativo que tiene valor en sí mismo.

    • Sensitiva, debe ser conocida por las personas que necesitan los datos.

    Donde identificar los riesgos de la información es de vital importancia.



    Ahora bien, no hay una formula matemática que nos indique que un sistema de información o proceso es 100% seguro, pero si existen cuatro principios que deben mantenerse para decir que existe seguridad en la información.



    Por ende la seguridad informática debe garantizar:



    • La Disponibilidad de los sistemas de informacion.

    • El No Repudio de las partes quer conforman la comunicacion.

    • La Integridad de la información.

    • La Confidencialidad de la información

    Existen además otros principios que nos permitirán en gran medida la seguridad, estos serian:



    • Secreto: propiedad de la información que la caracteriza por mantenerla fuera de las manos de usuarios no autorizados.

    • Autenticación: mecanismo de control que ayuda a mantener la confidencialidad de la información (secreto), otorgando acceso solo a quien este autorizado.


    POR QUE USAR LA SEGURIDAD INFORMATICA



    Por fallo o deficiencia de la información, se pone en riesgo la continuidad operativa de las empresas con la consecuente perdida de dinero y tiempo invertidos.




    NORMAS DE SEGURIDAD



    Son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las politicas de seguridad y a los objetivos desarrollados por estas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno de la organización.



    POLITICAS DE SEGURIDAD



    Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación en relación con los recursos y servicios informaticos de la organización. Estas a su vez establecen la reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diversos daños, sin importar el origen de estos.




    TIPOS DE SEGURIDAD



    SEGURIDAD FISICA--> Es la protección ante la amenaza física (terremotos, incendios, etc).



    Como se puede evitar:



    • Personal de Seguridad.

    • Procedimientos de acceso.

    • Supervision de Aceso.

    • Limitar los dispositivos de entrada de datos.

    • Uso de herramientas de acceso remoto para mejorar la seguridad.

    SEGURIDAD LOGICA--> Proteccion de la información (datos, aplicaciones, etc).



    Como evitarse:



    • Servicios y funcionalidad requeridos.

    • Configurar las opciones de Seguridad de las aplicaciones.

    • Instalar actualizaciones de seguridad para las aplicaciones.

    • Instalar y actualizar software antivirus.

    • Cifrar los archivos.

    • Limitar el acceso a los datos con acl’s.

    • Mover los archivos de su ubicación por defecto.

    SEGURIDAD ORGANIZACIONAL--> Marco formal de seguridad que deb sustentar la institución, incluyendo servicios y contrataciones externas a la infraestructura de seguridad, integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.



    SEGURIDAD LEGAL--> Integra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios de la red institucional bajo la reglamentación de la normativa interna de políticas y manuales de procedimientos en cuanto a recurso humano, sanciones aplicables ante faltas cometidas, asi como cuestiones relacionadas con la legislación del país y contrataciones externas.



    TERMINOS RELACIONADOS CON LA SEGURIDAD INFORMATICA



    Activo--> recurso del sistema de información, necesario para que la empresa funcione correctamente.



    Amenaza--> evento que puede desencadenar un incidente en la empresa, produciendo daños materiales o perdidas inmateriales en sus activos.



    Riesgo--> posibilidad de que se produzca un impacto determinado en un activo o en la empresa.
    Vulnerabilidad--> posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.



    Ataque--> evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.



    Plan de Contingencia-->Un Plan de Contingencia de Seguridad Informática consiste los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas.



    NORMATIZACION



    En el mes de Noviembre se ha publicado la norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".



    Tiene como base la norma BS 7799-2 que a principios del 2005 también sufrió ajustes.



    En cuanto a ISO, la ISO 17799-1 no se podía certificar y las compañías debían hacerlo sobre la British Standard.



    La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad de la información y permite a las compañías certificar ISO y no la BS.



    El resumen de normas es:



    - ISO 27000, vocabulario y definiciones (terminología para el resto de estándares de la serie).



    - ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.



    - ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información.



    - ISO 27003, que contendrá una guía de implementación.



    - ISO 27004, estándar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.



    - ISO 27005, que proporcionará el estándar base para la gestión del riesgo de la seguridad en sistemas de información.




    BS 7799



    Estandar para la gestión de seguridad de la información.



    BS 7799 es una norma que presenta los requisitos para un Sistema Administrativo de Seguridad de la Información (SASI).



    Ayudará a identificar, administrar y minimizar la gama de amenazas a las cuales está expuesta regularmente la información.



    1995--> BSI publica el estándar BS 7799.
    1998--> BSI publica el estándar BS 7799-2.
    1999--> Se revisan las dos partes del BS 7799.
    2000--> BS 7799 es adoptado como norma ISO y denominada ISO/IEC 17799.
    2002--> Revision de BS 7799-2.



    Esta norma se basa en 10 secciones donde cada uno hace referencia a un aspecto de la seguridad de la información:




    • Politicas de Seguridad.


    • Organización de activos y recursos.


    • Clasificacion y Control de activos.


    • Seguridad del Personal.


    • Seguridad ambiental y física.


    • Comunicaciones y Administracion de Operaciones.


    • Control de Acceso.


    • Sistemas de Desarrollo e Informacion.


    • Administracion de Continuidad del Negocio.


    • Auditoria.

    ISO/IEC 17799



    ISO 17799 es un conjunto de buenas prácticas en seguridad de la información. Contiene 133 controles aplicables.



    La ISO 17799 no es certificable, ni fue diseñada para tal fin.



    La versión de 2005 del estándar incluye las siguientes once secciones principales:



    • Política de seguridad

    • Aspectos organizativos para la seguridad

    • Clasificación y control de activos

    • Seguridad ligada al personal

    • Seguridad física y del entorno

    • Gestión de comunicaciones y operaciones

    • Control de accesos

    • Desarrollo y mantenimiento de sistemas

    • Gestión de incidentes de seguridad de la información

    • Gestión de continuidad de negocio

    • Conformidad

    COMPARACION DE NORMAS



    La nueva serie ISO 27000 es una familia de estándares internacionales, que propone requerimientos de sistemas de gestión de seguridad de la información, gestión de riesgo, métricas y medidas, guías de implantación, vocabulario y mejora continua.



    De esta serie ya se mencionan seis normas, encabezada por la ISO 27001, esta norma muestra como aplicar los controles propuestos en la ISO 17799.



    La norma ISO 27002 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.



    No es certificable.



    Será la sustituta de la ISO 17799:2005.



    La norma ISO 27001 contiene un anexo que resume los controles de ISO 17799:2005.