Tema 2
Vulnerabilidades y Riesgos
Vulnerabilidades
Son errores que permiten realizar desde afuera actos sin permiso del
ad...
Aunque no siempre hay una regla general para explotar vulnerabilidades de los
sistemas podemos describir a grandes rasgos ...
Específicamente, en los ataques de negación de servicio, el equipo de cómputo
ya no es un blanco, es el medio a través del...
personal, equipo e instalaciones de la empresa; y la segunda está relacionada
con el tema que hoy nos ocupa: la protección...
La forma de proteger un sistema contra un ataque de virus es utilizando un
programa de protección. Los programas antivirus...
La información tiene una importancia fundamental para el funcionamiento y
quizá incluso sea decisiva para la supervivencia...
responsables en iniciar, implantar o mantener sistemas de gestión de la
seguridad de la información. La seguridad de la in...
Información implantados en las organizaciones y por medio de un proceso
formal de auditoría realizado por un tercero.
Próxima SlideShare
Cargando en…5
×

Tema 2 vulnerabilidades y riesgos

114 visualizaciones

Publicado el

vulnerabilidades y riesgos de la seguridad informatica

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
114
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Tema 2 vulnerabilidades y riesgos

  1. 1. Tema 2 Vulnerabilidades y Riesgos Vulnerabilidades Son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar información, de los agujeros más famosos está el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rápidamente. ¿Cómo evitarlas? Es imposible evitar las vulnerabilidades al 100% incluso cuando tenemos operando en nuestro sistema cortafuegos, antispam, antivirus, y detectores de código maligno. Lo que sí es posible es tratar de evitarlas al máximo posible, tengamos presente que las comunicaciones en la red constan de 7 capas según el modelo OSI, y las vulnerabilidades pueden estar presentes en varias capas, o incluso dentro del núcleo de nuestro sistema operativo. No debemos imaginar que con un buen antivirus podemos estar libres de vulnerabilidades, ya que las vulnerabilidades no son solo mediante virus que estén radicando en nuestra computadora sino que también pueden llegar a ser mediante ejecución de código mientras visitemos alguna página web, o cuando el atacante tiene privilegios de acceso a nivel administrativo a nuestra computadora Así que se debe tener presente que para evitar las vulnerabilidades no solamente basta con tener un antivirus y ejecutarlo de manera periódica Lista de recomendaciones para tener nuestra computadora libre de virus: 1- Actualice o cheque las actualizaciones cada cierto tiempo, pues eso permite casi adelantarse a cualquier peligro que se aproveche de la vulnerabilidad. 2- Activar Firewall. 3- Programar escaneos completos del Antivirus mensuales. 4- No caer en trampas obvias como correos spam diciéndote que ganaste la lotería en un país que ni siquiera conoces. 5- Si vas a descargar música, libros, programas ejecutables, etc. procura hacerlo solo de fuentes confiables 6- Vacunar unidades externas. (Genaro aportation) Para la mayoría de los usuarios de internet estas simples recomendaciones serán suficientes y útiles. ¿Como las explotan?
  2. 2. Aunque no siempre hay una regla general para explotar vulnerabilidades de los sistemas podemos describir a grandes rasgos una serie de pasos para llegar a tal cometido: Paso 1 conocer la existencia de la vulnerabilidad Paso 2 documentarse sobre las características de la vulnerabilidad Paso 3 conocer las características del sistema que se va a explotar Paso 4 conseguir acceso a ese sistema con los privilegios suficientes. Una vez conseguido el acceso al sistema en cuestión, se es libre de hacer lo que se quiera hacer, es como estar operando frente al computador víctima. ¿Qué consecuencias traen? Simplifican un ataque, permitiendo a los crackers obtener más permisos en el equipo víctima y poder usarlo al libre albedrío, o el sistema puede ejecutar automáticamente códigos maliciosos, abrir puertos, o en algunos casos es el almacenamiento incorrecto de datos privados, como contraseñas. La palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones. Las Vulnerabilidades son el resultado de bugs o de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades reales (conocidas como exploits). Las Vulnerabilidades en las aplicaciones suelen corregirse con parches, hotfixs o con cambios de versión. En tanto algunas otras requieren un cambio físico en un sistema informático. Las Vulnerabilidades se descubren muy seguidas en grandes sistemas, y el hecho de que se publiquen rápidamente por todo internet (mucho antes de que exista una solución al problema), es motivo de debate. Mientras más conocida se haga una vulnerabilidad, más probabilidades de que existan piratas informáticos que quieren aprovecharse de ellas. Por vulnerabilidad entendemos la exposición latente a un riesgo. En el área de informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de Troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos.
  3. 3. Específicamente, en los ataques de negación de servicio, el equipo de cómputo ya no es un blanco, es el medio a través del cual es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site de la compañía. Con ello, es evidente que los riesgos están en la red, no en la PC. Es por la existencia de un número importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo. Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos. Las políticas deberán basarse en los siguientes pasos: Identificar y seleccionar lo que se debe proteger (información sensible) Establecer niveles de prioridad e importancia sobre esta información. Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles Identificar las amenazas, así como los niveles de vulnerabilidad de la red Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla Implementar respuesta a incidentes y recuperación para disminuir el impacto Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de acción para el manejo de incidentes y recuperación para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y datos a proteger. Es importante tomar en consideración, que las amenazas no disminuirán y las vulnerabilidades no desaparecerán en su totalidad, por lo que los niveles de inversión en el área de seguridad en cualquier empresa, deberán ir acordes a la importancia de la información en riesgo. Así mismo, cada dispositivo que conforma la red empresarial necesita un nivel de seguridad apropiado y la administración del riesgo implica una protección multidimensional (firewalls, autenticación, antivirus, controles, políticas, procedimientos, análisis de vulnerabilidad, entre otros), y no únicamente tecnología. Un esquema de seguridad empresarial contempla la seguridad física y lógica de una compañía. La primera se refiere a la protección contra robo o daño al
  4. 4. personal, equipo e instalaciones de la empresa; y la segunda está relacionada con el tema que hoy nos ocupa: la protección a la información, a través de una arquitectura de seguridad eficiente. Esta última debe ser proactiva, integrar una serie de iniciativas para actuar en forma rápida y eficaz ante incidentes y recuperación de información, así como elementos para generar una cultura de seguridad dentro de la organización. Protección Contra Virus Los virus son una seria amenaza para todos los sistemas de cómputo, especialmente los enlazados a redes o a servicios de correo electrónico o internet. Los programas de protección antivirus son una parte esencial de cualquier sistema de cómputo. ¿Qué es un virus de computadora? Son programas desarrollados por programadores inescrupulosos o mal intencionados que son capaces de ejecutar distintas funciones, tanto benignas como malignas, en una computadora "infectada". Los virus benignos pueden simplemente ejecutar funciones inofensivas (pero usualmente molestas) como mostrar mensajes animados. Los malignos pueden alterar programas o información, destruir archivos o provocar que se generen cantidades masivas de correos electrónicos, amenazando la estabilidad de las redes al saturarlas de información. Los virus se diseminan transfiriendo archivos infectados de una computadora a otra. Esto puede ocurrir transfiriendo archivos en discos removibles, accediendo o descargando archivos de internet o de una red o a través de archivos enviados por correo electrónico. Los virus pueden ser archivos ejecutables o en otros formatos, como de procesador de texto que contengan macros. Al correr estos archivos ejecutables o abrir aquellos que contienen macros infectados se puede activar el virus que puede provocar daños considerables. Algunos virus atacan programas de correo electrónico. Al ingresar a la lista de direcciones almacenada por el usuario, el virus se puede reproducir enviando copias a todas ellas. El efecto multiplicador de esta estrategia significa que un virus puede propagarse a un gran número de computadoras por todo el mundo en muy poco tiempo. Las computadoras atacadas por un virus pueden experimentar daños muy serios, y mucha información se puede perder o poner en riesgo. En los peores casos, el disco duro de la computadora puede quedar inservible y perder toda la información que contiene. En estos casos, lo mejor que se puede hacer es reformatear el disco duro (limpiarlo y empezar otra vez) y volver a cargar todos los programas y respaldos necesarios). La posibilidad de un ataque de virus es un poderoso incentivo para realizar respaldos periódicos y exhaustivos de los programas y la información. Para mayores detalles sobre los procedimientos de respaldo. Programas antivirus
  5. 5. La forma de proteger un sistema contra un ataque de virus es utilizando un programa de protección. Los programas antivirus están diseñados para operar permanentemente, por lo que el usuario normalmente no está consciente de que al menos surja un problema. Los programas de protección están diseñados para reconocer virus conocidos e impedir que generen sus efectos. Además, como aparecen nuevos virus frecuentemente, los programas de protección también están diseñados para identificar sus posibles actividades e impedir que operen. Por ejemplo, un típico programa antivirus colocará una "etiqueta" en cada archivo ejecutable conocido en cada computadora. Si un archivo ejecutable desconocido trata de ejecutar un programa, el protector activará una alarma y le solicitará al usuario si desea que opere. Si el usuario confirma que el archivo ejecutable parece ser un virus, el programa de protección lo puede eliminar del sistema. Desafortunadamente, ya que los nuevos virus adoptan nuevas modalidades, los programas de protección tienen que ir tras ellos continuamente y tratar de atrapar cada nuevo virus identificado. Como resultado, los programas de protección tienen que ser actualizados frecuentemente para asegurar que son capaces de identificar y manejar los últimos virus conocidos. Un plan estructurado para actualizar los programas antivirus puede ser parte de la estrategia tecnológica de un organismo electoral. Prácticas seguras de la computadora Independientemente de la presencia de programas de protección, algunos virus pueden pasar desapercibidos e infectar un sistema de cómputo. A fin de prevenir esta posibilidad, la información debe ser respaldada continuamente y los usuarios deben aplicar prácticas seguras en la computadora. Debido a la posibilidad de virus, todos los usuarios deben conocer los pasos necesarios para evitarlos. Primero, los programas antivirus deben ser instalados y estar en operación, no desactivados. Los administradores de sistemas con frecuencia querrán monitorear la operación de estos programas para asegurarse que los usuarios no los han desactivado o, mejor aún, los usuarios deben estar impedidos de hacerlo. Segundo, los usuarios deben tener cuidado al abrir archivos y especialmente de operar los programas ejecutables si no están seguros de que han sido enviados por una fuente conocida y confiable. Incluso los correos electrónicos enviados por conocidos pueden ser sospechosos, ya que los virus pueden controlar la lista de correos de un usuario y enviar mensajes utilizando cualquier nombre de esa lista. Los virus enviados por e-mail pueden estar acompañados de mensajes convincentes que alienten a los usuarios a abrir los archivos infectados. Los usuarios deben tener cuidado en estos casos. Si los usuarios no están seguros de que los programas o archivos que han recibido son confiables no deben abrirlos. En estos casos, los pueden eliminar (también hay que hacerlo de la bandeja de reciclaje). Si el usuario no está seguro, se puede contactar al remitente para verificar que el archivo o programa es genuino. En caso de duda, es recomendable que el usuario contacte a un asistente técnico o a una instancia de ayuda. ISO/IEC 27001
  6. 6. La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información. ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. ¿Para quién es significativo? ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida. Ventajas El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. El proceso de evaluaciones periódicas ayudan a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas. ISO/IEC 17799:27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y
  7. 7. responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)". La versión de 2005 del estándar incluye las siguientes once secciones principales: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades. Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007. Certificación La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento. La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la
  8. 8. Información implantados en las organizaciones y por medio de un proceso formal de auditoría realizado por un tercero.

×