3. Delitos Informáticos
Concepto
El delito informático puede comprender tanto aquellas
conductas que valiéndose de medios informáticos lesionan
intereses protegidos como la intimidad, el patrimonio
económico, la fe pública, la seguridad, etc., como aquellas
que recaen sobre herramientas informáticas propiamente
dichas tales como programas, computadoras, etc.
4. Principales Amenazas
Existen cuatro tipos básicos.
1. Delitos contra la confidencialidad, la integridad y la
disponibilidad de los datos y sistemas informáticos.
2. Delitos de fraude informático.
3. Delitos por su contenido.
4. Delitos relacionados con la infracción de la propiedad
intelectual.
6. A quienes afectan los delitos informáticos
• Las empresas utilizan sistemas de información llegando a ser
inevitablemente dependientes de ellos, ya que la mayor parte de sus datos
están almacenados en los equipos informáticos. Cualquier problema en
los sistemas de información repercute instantáneamente en la totalidad de
la empresa y afecta al funcionamiento normal.
• Un tercio de los usuarios utiliza contraseñas como el nombre de su
mascota, su hijo o un plato favorito. Cualquiera de ellas es fácil de
adivinar en cuestión de minutos y cada vez más virus se valen de esta
debilidad de los usuarios. (el virus "Deloder", que logró ingresar en más
de 10.000 sistemas en el mundo a partir de una serie de listas con
contraseñas).
• Las amenazas pueden surgir tanto desde el exterior como desde el
interior de la compañía: virus, hackers, los propios empleados, etc.
8. Vulnerabilidades mas comunes
Vulnerabilidades Ejemplos
•Uso de passwords default o en blanco
Hack Passwords
•Passwords predecibles
Configuración •Usuarios con privilegios excesivos
Incorrecta •Aplicaciones corriendo sin autorización
•Administradores que resetean passwords
Ingeniería Social
sin verificar la identidad del llamado
•Servicios no usados y puertos inseguros
Seguridad Débil
•Firewalls y Routers usados incorrectamente
Transferencia de •Paquetes de autenticación en texto plano
datos sin encriptar •Datos importantes sin encriptar vía Internet
Software sin parche •Service Packs no mantenidos
de seguridad •Antivirus sin actualizar
9. Ataque paso a paso
INTRUSO
Estado del ataque Ejemplo de Acciones
1-Búsqueda de Ingreso Correr un scanner de puertos
2-Penetración Explorar un sistema sin parches de seguridad
3-Elevación de Privilegios Lograr cuenta de Administrador
4-Ataque en si mismo Robo de datos, destrucción del sitio web, etc.
5-Enmascaramiento Borrado de rastros del ingreso y ataque
10. Técnicas de Ataque
El uso de herramientas y de la información para crear
Footprinting un perfil completo de la postura de la seguridad de
una organización.
El atacante usa herramientas y la información
Scanning obtenida para determinar qué sistemas estas vivos y
accesibles desde Internet así como qué puertos están
escuchando en el sistema.
Uso de herramientas para obtener la información
detallada (servicios ejecutándose, cuentas de
Enumeration usuario, miembros de un dominio, políticas de
cuentas, etc.) sobre un sistema remoto, con el
intento de atacar la seguridad de cuentas y servicios
en el objetivo
11. Técnicas de Ataque
Después que el atacante tiene identificado y accede
al trafico del firewall que puede permitir tráfico de
entrada de un puerto origen 53, procurar instalar un
Port Redirection software Port Redirector en el equipo dentro del
firewall. El Port Redirector tomará el tráfico
entrante destinado para un puerto (53) y lo enviará a
otro equipo detrás del firewall en otro puerto (3389).
Hay varias herramientas disponibles que pueden
permitir a un hacker tomar control de un sistema. Por
ejemplo, Samdump y Brutus son crackers de
passwords. Samdump se utiliza extraer los passwords
Gaining Access de los archivos. Brutus es un cracker de password
remoto. Si un hacker consigue el acceso a una copia
de una base de datos, el hacker podría utilizar
l0phtcrack y extraer los usuarios y passwords
exactos.
12. Técnicas de Ataque
Un hacker puede causar la mayoría del daño
consiguiendo privilegios administrativos en una red.
Privilege Escalation Hay varias utilidades que un hacker puede utilizar
para ganar privilegio administrativo. Por ejemplo, la
utilidad Getadmin.exe es usada para otorgar a
usuarios comunes privilegios administrativos
agregando a estos usuarios al grupo de
administradores. Esta utilidad funciona con todas las
cuentas excepto con la cuenta de Guest.
Eso permite que un usuario remoto realice cualquier
Remote acción remotamente vía un puerto a su elección sin
Administration un usuario local del sistema que lo habilite.
Tools Ejemplo:
Sub7 es el más popular / NT Rootkit es el más
avanzado
13. Footprinting – El servicio WHOIS
El servicio “WHOIS” es uno de los tantos servicios de
información disponible en Internet.
Con él se puede obtener información sobre direcciones IP y
nombres de dominio, por lo que es muy utilizado por los
atacantes para obtener información a la hora de planificar un
ataque.
Existen numerosos servidores whois ya que los registros de
dominios están descentralizados, pero usualmente existe al
menos uno por cada código de país. (.ar, .ru, .es, etc.)
14. Footprinting – El servicio WHOIS
En el caso de los .com, .org, .edu (gTLDs- Generic Top Level
Domains), la información está disponible en los servidores de
las distintas entidades registrante.
El registro de las IP es mantenido por el servidor ARIN
(American Registry of Internet Numbers) para las asignadas a
EEUU y Canadá; el Servidor LACNIC (Latin America and
Caribean Network Information Center) para las de América
Latina y el Caribe y el servidor RIPE NCC (Reséaux IP
Européens Network Cordination Centre) para las europeas.
15. Footprinting – El servicio WHOIS
ACCEDIENDO AL SERVICIO:
Para acceder al servicio whois solo hace falta la herramienta
“telnet” y su única función será la de establecer una conexión TCP
mediante el puerto 43 con el servidor del que se va a requerir la
información.
Usando el comando $ telnet servidorwhois 43 se creará la
conexión entre nuestro sistema y el servidor whois
16. Footprinting – El servicio WHOIS
$ t e ln e t w h o is .c r s n ic .n e t 4 3
tr y in g 1 9 8 .4 1 .3 .5 4
c o n n e c te d to w h o is . c r s n ic .n e t.
E s c a p e c h a r a c t e r i s '^ ] '.
d o m a in g o o g le .c o m
W h o is S e rv e r V e r s io n 1 .3
D o m a in n a m e s in th e .c o m a n d .n e t d o m a in s c a n n o w b e r e g is te r e d w ith m a n y
Petición realizada d if f e r e n t c o m p e tin g r e g is ta r s . G o to h ttp ://w w w .in te r n ic .n e t fo r d e ta ile d
in fo rm a tio n .
sobre google.com D o m a in N a m e : G O O G L E .C O M
R e g is tra r: A L L D O M A IN S .C O M I N C .
W h o is S e rv e r : w h o is .a lld o m a in s .c o m
R e fe r r a l U R L : h ttp ://w w w .a lld o m a in s .c o m
N a m e S e r v e r : N S 2 .G O O G L E .C O M
N a m e S e r v e r : N S 1 .G O O G L E .C O M
N a m e S e r v e r : N S 3 .G O O G L E .C O M
N a m e S e r v e r : N S 4 .G O O G L E .C O M
S ta tu s : R E G IS T R A R -L O C K
U p d a te d D a te : 0 3 -o c t-2 0 0 2
C re a tio n D a te : 1 5 -s e t-1 9 9 7
E x p ir a tio n D a te : 1 4 - s e t-2 0 1 1
> >> L a s t u p d a te o f w h o is d a ta b a s e : S u n , 9 J u l 2 0 0 6 1 6 :1 6 :0 2 E D T < < <
T he R e g is tr i d a ta b a s e c o n ta in s O N L Y .C O M , .N E T , .E D U d o m a in s a n d
R eg is tra rs .
C on n e c tio n c lo s e d b y fo re in g h o s t.
17. Footprinting – El servicio WHOIS
$ t e ln e t w h o is .a lld o m a in s .c o m 4 3
tr y in g 6 4 .1 2 4 .1 4 .2 1 ...
c o n n e c te d to w h o is .a lld o m a in s .c o m .
E s c a p e c h a r a c t e r i s '^ ] '.
G o o g le .c o m
A d m in istra tiv e C o n ta c t:
D N S A d m in
(N IC -1 3 4 0 1 4 2 )
Petición realizada G o o g le In c .
2 4 0 0 E . B a y sh o re P k w y
M o u n ta in V ie w
sobre google.com C A
9 40 4 3
U S
enviada a d n s -a d m in @ g o o g le .c o m
+ 1 .6 5 0 3 3 0 0 1 0 0
whois.alldomains.com F a x - + 1 .6 5 0 6 1 8 1 4 9 9
T e c n ic a l C o n ta c t, Z o n e C o n ta c t:
D N S A d m in
(N IC -1 3 4 0 1 4 4 )
G o o g le In c .
2 4 0 0 E . B a y sh o re P k w y
M o u n ta in V ie w
C A
94 0 43
U S
d n s - a d m in @ g o o g le .c o m
+ 1 .6 5 0 3 3 0 0 1 0 0
F a x - + 1 .6 5 0 6 1 8 1 4 9 9
C r e a te d o n .............................: 1 9 9 7 - S e t- 1 5
E x p ir e s o n .............................: 2 0 1 1 - S e t- 1 4
R e c o r d la s t u p d a te d o n .......: 2 0 0 3 - A p r - 0 7 1 0 :4 2 :4 6
C o n n e c tio n c lo s e d b y fo re in g h o s t.
18. Footprinting – El servicio WHOIS
Petición realizada
sobre una IP enviada
a whois.lacnic.net
19. Footprinting – El servicio WHOIS
Otras forma de acceder
al servicio whois es
mediante la interfaz
que brindan sitios en
Internet.
21. Fraudes
Estas conductas consisten en la manipulación ilícita, a través de la
creación de datos falsos o la alteración de datos o procesos contenidos en
sistemas informáticos, realizada con el objeto de obtener ganancias
indebidas.
Omitir ingresar datos verdaderos
manipulación del input
Ingresar datos falsos
interferir en el procesamiento de la
información
manipulación del output
alterar el programa
modificar los programas originales
adicionar programas especiales
22. Fraude Corporativo
• Se calcula que las empresas pierden entre el 5% y 6% de sus
ingresos brutos a causa de los fraudes corporativos.
• Los mayores perjuicios son consecuencia de los delitos
cometidos a nivel gerencial.
• Menos del 10% de los casos son denunciados a la justicia.
• Las compañías optan por deshacerse del empleado infiel
buscando una solución puertas adentro, lo que implica,
muchas veces, el pago de una jugosa indemnización.
• La defraudación es el delito mas extendido dentro de las
empresas.
23. Fraude Corporativo
• En la Argentina las pérdidas ascendieron a U$S 2,7 millones
en los últimos dos años.
• En Latinoamérica 9 de cada 10 empresas padecen
malversación de fondos.
• Siguiendo un orden jerárquico los delitos se agravan a
medida que se asciende en la estructura de una corporación.
• Actualmente se recupera menos del 20% de la pérdida,
mientras que el 40% de las empresas no recupera nada.
24. Fraude Corporativo
• Los fraudes cometidos por ejecutivos causan pérdidas 6
veces mayores que los cometidos por supervisores y 14
veces mas altas que las cometidas por otros empleados.
• El 60% de los casos de fraude proviene de empleados, el
20% de los clientes y el 16% de vendedores o
representantes.
• Mas del 50% de los fraudes se descubren por denuncias
anónimas.
• Para prevenirse deben utilizarse procedimientos de análisis y
verificación no tradicionales ni rutinarios, para evitar que el
defraudador, ya prevenido, de los controles pueda borrar las
25. Top Five de las Ciberestafas
El engaño consiste en enamorar por e-mail a
Fraude en sitios de un hombre, en la mayoría de los casos mayor
Solos y Solas y con la excusa de querer conocerlo le hacen
que pague los gastos ocasionados por el viaje,
regalos, traductores, etc. y por supuesto la
supuesta “novia por correo” nunca aparece.
Se le ofrece a una empresa realizar
Inversiones en exportaciones de gran volumen a Nigeria,
Nigeria para poder lograrlo debe abonar previamente
tasas aduaneras, impuestos, etc.
Las ofertas se realizan desde E-Mail gratuitos
de Europa.
26. Top Five de las Ciberestafas
Algunos mercados virtuales ofrecen una
Las subastas amplia selección de productos a precios muy
bajos. Una vez que el consumidor ha enviado
el dinero puede ocurrir que reciban algo con
menor valor de lo que creía, o peor todavía,
que no reciba nada.
Páginas para En algunos sitios para adultos, se pide el
adultos número de la tarjeta de crédito con la excusa
de comprobar que el usuario es mayor de 18
años. El verdadero objetivo es obtener los
números de tarjeta para realizar otras
operaciones.
27. Top Five de las Ciberestafas
Se le ofrece un sistema infalible para obtener
Manual para el password de una cuenta de hotmail
Hackear Hotmail enviando un mail a una cuenta
forgot_pass@hotmail.com, colocando en el
subject la dirección de correo a hackear y el
nombre de usuario y password propio.
Algunas otras Ciberestafas
Ventas piramidales - Viajes y vacaciones Gay - Trabaje desde su casa -
Productos y servicios milagrosos - Venta de pasajes de avión – Bancos Falsos en
Internet - Venta y Alquiler de propiedad.
28. Otros Delitos Informáticos
Delitos informáticos contra la privacidad
Grupo de conductas que de alguna manera pueden afectar la esfera de
privacidad del ciudadano mediante la acumulación, archivo y
divulgación indebida de datos contenidos en sistemas informáticos
Esto es que alguien, sin estar autorizado, se apodere, utilice o
modifique, en perjuicio de tercero, datos reservados de carácter
personal o familiar de otro que se hallen registrados en ficheros o
soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo
de archivo o registro público o privado.
Ej: Base de Datos A.N.Se.S. – Veraz – Padrones
29. Otros Delitos Informáticos
Intercepción de e-mail: En este caso es equiparable a la violación de
correspondencia, y la intercepción de telecomunicaciones, por lo que
la lectura de un mensaje electrónico ajeno reviste la misma gravedad.
Terrorismo: Mensajes anónimos aprovechados por grupos terroristas
para remitirse consignas y planes de actuación a nivel internacional.
Crimen Organizado Transnacional: para la coordinación de
Tráfico de drogas
Tráfico de armas
Tráfico de personas
Lavado de dinero
Tráfico de tecnología y material nuclear, químico y bacteriológico
30. Otros Delitos Informáticos
Espionaje: Se ha dado casos de acceso no autorizado a sistemas
informáticos gubernamentales e interceptación de correo electrónico
secreto, entre otros actos que podrían ser calificados de espionaje si el
destinatario final de esa información fuese un gobierno u organización
extranjera.
Espionaje industrial: También se han dado casos de accesos no
autorizados a sistemas informáticos de grandes compañías, usurpando
diseños industriales, fórmulas, sistemas de fabricación y know how
estratégico que posteriormente ha sido aprovechado en empresas
competidoras o ha sido objeto de una divulgación no autorizada.
32. Seguridad de la Información
La información es un recurso de valor estratégico para las
empresas y como tal debe ser debidamente protegida.
Las políticas de seguridad de la información protegen de una
amplia gama de amenazas, a fin de garantizar la continuidad de
los sistemas de información, minimizar los riesgos de daño y
asegurar el eficiente cumplimiento de los objetivos.
Es importante que los principios de la política de seguridad sean
parte de la cultura organizacional.
Para esto, se debe asegurar un compromiso manifiesto de las
máximas autoridades de la compañía para la difusión y
consolidación de las políticas de seguridad.
33. Beneficios de implementar políticas de
seguridad de la información
• Consolidación de la seguridad como tema estratégico.
• Planeamiento y manejo de la seguridad más efectivos.
• Mayor seguridad en el ambiente informático y mejor reacción ante
incidentes.
• Minimización de los riesgos inherentes a la seguridad de la
información.
• Cuantificación de los posibles daños por ataques a la seguridad de
la información.
34. Beneficios de implementar políticas de
seguridad de la información
• Orden en el trabajo bajo un marco normativo que evita la
duplicación de tareas y facilita el intercambio de información.
• Concientización global sobre la importancia de la seguridad de la
información.
• Mejora de la imagen.
• Aumento de la confianza de terceros.
• Mayor control de la información proporcionada a terceros.
• Auditorías de seguridad más precisas y confiables.
35. ¿Por qué basarse en la norma
ISO/IRAM 17799?
Aumento de los niveles de seguridad en las organizaciones
Planificación de actividades
Mejora continua
Posicionamiento estratégico
Cumplimiento de normativas y reglamentaciones
Posicionamiento en un esquema comparativo en materia de
seguridad con otras organizaciones
El Instituto Argentino de Normalización (IRAM), ha homologado en
nuestro país la norma ISO 17799, como Norma ISO/IRAM 17799
36. Dos preguntas básicas relacionadas
a políticas de Seguridad de la Información
1. ¿Cuánto tiempo insume el desarrollo de una
Política de Seguridad?
2. ¿Es necesario incorporar personal especializado
en seguridad de la información para cumplir con
las definiciones en la materia?
37. Prejuicios a la hora de implementar
políticas de seguridad de la información
1. La seguridad informática no afecta mi actividad.
2. La seguridad es una incumbencia del área informática
3. La información que manejamos no es objeto de ataques
4. Mi red es segura porque se encuentra protegida de ataques
externos
5. Tenemos seguridad pues en la última auditoría no tuvimos
observaciones críticas.
38. Prejuicios a la hora de implementar
políticas de seguridad de la información
6. Tenemos un control absoluto de los incidentes de seguridad
que ocurren en nuestra red.
7. El tiempo invertido en documentación debe ser descontado de
las tareas habituales del personal destinado a la elaboración de
la política.
8. Los recursos valiosos deberán ser apartados de la “línea de
fuego”
9. Posibles conflictos políticos, comerciales o de relaciones
humanas..
10. No disponemos de personal especializado.
39. Seguridad de la Información
OBJETIVO
Proteger los recursos de información y la tecnología utilizada para
su procesamiento, frente a amenazas, internas o externas,
deliberadas o accidentales, con el fin de asegurar el cumplimiento
de la confidencialidad, integridad, disponibilidad, legalidad y
confiabilidad de la información.
Asegurar la implementación de las medidas de seguridad,
identificando los recursos, sin que ello implique necesariamente la
asignación de recursos adicionales.
Mantener la Política de Seguridad actualizada, a efectos de
asegurar su vigencia y nivel de eficacia.
40. Seguridad de la Información
RESPONSABILIDAD
Todos el personal, tanto se trate de Directores, Gerentes o
personal técnico, etc. sea cual fuere su nivel jerárquico son
responsables de la implementación de las Política de Seguridad de
la Información dentro de sus áreas de responsabilidad, así como
del cumplimiento por parte de su equipo de trabajo.
La Política de Seguridad de la Información debe ser de aplicación
obligatoria para todo el personal, cualquiera sea el área a la cual
se encuentre afectado y el nivel de las tareas que desempeñe.
41. Seguridad de la Información
ASPECTOS GENERALES
• Organización de la Seguridad Orientado a administrar la seguridad
de la información y establecer un marco de control
• Clasificación y Control de Activos Destinado a mantener una
adecuada protección de los activos de Información.
• Seguridad del Personal Orientado a reducir los riesgos de error
humano, comisión de ilícitos o uso inadecuado.
• Seguridad Física y Ambiental Destinado a impedir accesos no
autorizados, daños e interferencia a las sedes y/o la información.
42. Seguridad de la Información
ASPECTOS GENERALES
• Gestión de las Comunicaciones y las Operaciones Dirigido a
garantizar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de la información y medios de comunicación.
• Control de Acceso Orientado a controlar el acceso a la información.
• Administración de la Continuidad de las Actividades está
dirigido a contrarrestar las interrupciones de las actividades y proteger los
procesos críticos.
• Cumplimiento Destinado a impedir infracciones y violaciones de las
políticas y legislación vigente.
43. Organización de las políticas
de seguridad de la información
• Revisar y proponer la política y las funciones generales en
materia de seguridad de la información.
• Monitorear cambios significativos en los riesgos frente a las
amenazas más importantes.
• Supervisar la investigación y monitoreo de los incidentes
relativos a la seguridad.
• Acordar y aprobar iniciativas, metodologías y procesos
específicos relativos a la seguridad de la información de acuerdo
a las competencias asignadas a cada área.
44. Organización de las políticas
de seguridad de la información
• Garantizar que la seguridad sea parte del proceso de
planificación de la información.
• Evaluar y coordinar la implementación de controles específicos
para nuevos sistemas o servicios.
• Coordinar el proceso de administración de la continuidad de la
operatoria de los sistemas de tratamiento de la información
frente a interrupciones imprevistas.
45. Responsabilidad
Seguridad del Personal
Seguridad Física y Ambiental.
Comité de Seguridad en las Comunicaciones y las
Seguridad de
la
Operaciones
Información Control de Accesos
Seguridad en el Desarrollo y
Mantenimiento de Sistemas
Planificación de la Continuidad
Operativa
Departamento Cumplimiento
Legal
Sanciones
46. Clasificación y Control de Activos
Se debe tener un acabado conocimiento sobre los activos que poseemos
como parte importante de la administración de riesgos. Algunos ejemplos de
activos son:
Activos de información: bases de datos y archivos, documentación de
sistemas, manuales de usuario, material de capacitación, procedimientos
operativos o de soporte, planes de continuidad, información archivada, etc.
Recursos de software: software de aplicaciones, sistemas operativos,
herramientas de desarrollo, utilitarios, etc.
Activos físicos: equipamiento informático (CPU, monitores, notebooks,
módems), equipos de comunicaciones (routers, máquinas de fax, contestadores
automáticos), medios magnéticos (cintas, discos), otros equipos técnicos
(relacionados con el suministro eléctrico, unidades de aire acondicionado),
mobiliario, lugares de emplazamiento, etc.
Servicios: servicios informáticos y de comunicaciones, utilitarios generales
(calefacción, iluminación, energía eléctrica, etc.).
47. Clasificación y Control de Activos
Los activos de información deben ser clasificados de acuerdo a la
sensibilidad y criticidad de la información que contienen o bien de acuerdo
a la funcionalidad que cumplen y rotulados en función a ello, con el objeto
de señalar cómo ha de ser tratada y protegida dicha información.
Frecuentemente, la información deja de ser sensible o crítica después de un
cierto período de tiempo, por ejemplo, cuando la información se ha hecho
pública.
La información puede pasar a ser obsoleta y por lo tanto, será necesario
eliminarla, para ello se debe asegurar la confidencialidad de la misma
hasta el momento de su eliminación
Las pautas de clasificación deben prever y contemplar el hecho de que la
clasificación de un ítem de información determinado no necesariamente
debe mantenerse invariable por siempre, y que ésta puede cambiar de
acuerdo con una Política predeterminada.
48. Clasificación y Control de Activos
Objetivo:
Garantizar que los activos de información reciban un apropiado nivel
de protección.
Clasificar la información para señalar su sensibilidad y criticidad.
Definir niveles de protección y medidas de tratamiento especial
acordes a su clasificación.
Responsabilidad
Los propietarios de la información son los encargados de clasificarla de
acuerdo con su grado de sensibilidad y criticidad, de documentar y
mantener actualizada la clasificación efectuada, y de definir las
funciones que deberán tener permisos de acceso a la información.
49. Clasificación y Control de Activos
El nuevo valor de la información requiere
indiscutiblemente un alto nivel de seguridad a fin de
lograr mantener:
LA CONFIDENCIALIDAD
LA INTEGRIDAD
LA DISPONIBILIDAD
50. Clasificación y Control de Activos
CONFIDENCIALIDAD
1 PUBLICO- Información que puede ser conocida y utilizada sin
autorización por cualquier persona, sea empleado o no.
2 USO INTERNO - Información que puede ser conocida y utilizada por
todos los empleados y algunas entidades externas debidamente
autorizadas, y cuya divulgación o uso no autorizados podría ocasionar
riesgos o pérdidas leves para la entidad o terceros.
3 CONFIDENCIAL - Información que sólo puede ser conocida y
utilizada por un grupo de empleados, que la necesiten para realizar su
trabajo, y cuya divulgación o uso no autorizados podría ocasionar
pérdidas significativas para la entidad o terceros.
4 SECRETA - Información que sólo puede ser conocida y utilizada por
un grupo muy reducido de empleados, generalmente del directorio, y
cuya divulgación o uso no autorizados podría ocasionar pérdidas graves
51. Clasificación y Control de Activos
INTEGRIDAD
1- Información cuya modificación no autorizada puede
repararse fácilmente, o no afecta la operatoria.
2- Información cuya modificación no autorizada puede
repararse aunque podría ocasionar pérdidas leves.
3- Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar pérdidas significativas.
4- Información cuya modificación no autorizada no podría
repararse, ocasionando pérdidas graves.
52. Clasificación y Control de Activos
DISPONIBILIDAD
1- Información cuya inaccesibilidad no afecta la operatoria.
2- Información cuya inaccesibilidad permanente durante una
semana podría ocasionar pérdidas significativas.
3- Información cuya inaccesibilidad permanente durante un
día podría ocasionar pérdidas significativas.
4- Información cuya inaccesibilidad permanente durante una
hora podría ocasionar pérdidas significativas.
53. Seguridad del Personal
Es fundamental educar e informar al personal desde su ingreso y en forma
continua, acerca de las medidas de seguridad que afectan al desarrollo de sus
funciones y de las expectativas depositadas en ellos en materia de seguridad y
asuntos de confidencialidad.
Objetivo
Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de
instalaciones y recursos, y manejo no autorizado de la información.
Garantizar que los usuarios estén al corriente de las amenazas e incumbencias
en materia de seguridad de la información, y se encuentren capacitados para
respaldar la Política de Seguridad en el transcurso de sus tareas normales.
Establecer Compromisos de Confidencialidad con todo el personal y usuarios
externos de las instalaciones de procesamiento de información.
Establecer las herramientas y mecanismos necesarios para promover la
comunicación de debilidades existentes, así como de los incidentes ocurridos,
con el objeto de minimizar sus efectos y prevenir su reincidencia.
54. Seguridad Física y Ambiental
Brinda el marco para minimizar los riesgos de daños e interferencias a la
información y a las operaciones del Organismo. Asimismo, pretende evitar al
máximo el riesgo de accesos físicos no autorizados, mediante el
establecimiento de perímetros de seguridad.
Objetivo
Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes,
instalaciones e información.
Proteger el equipamiento de procesamiento de información crítica ubicándolo
en áreas protegidas y resguardadas por un perímetro de seguridad definido,
con medidas de seguridad y controles de acceso apropiados.
Controlar los factores ambientales que podrían perjudicar el correcto
funcionamiento del equipamiento informático.
Implementar medidas para proteger la información manejada por el personal
en las oficinas, en el marco normal de sus labores habituales.
55. Seguridad en las Comunicaciones y Operaciones
La proliferación de software malicioso, como virus, troyanos, etc., hace
necesario que se adopten medidas de prevención, a efectos de evitar la
acción de tales amenazas.
Los sistemas de información están comunicados entre si, tanto dentro de
la compañía, como con terceros fuera de ella. Por lo tanto es necesario
establecer criterios de seguridad en las comunicaciones que se
establezcan, permitiendo el intercambio de información, de manera
regulada para garantizar las condiciones de confidencialidad, integridad y
disponibilidad de la información que se emite o recibe por los distintos
canales.
Objetivo
Garantizar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de la información y comunicaciones.
Establecer responsabilidades y procedimientos para su gestión y
operación, incluyendo instrucciones operativas, procedimientos para la
respuesta a incidentes y separación de funciones.
56. Control de Accesos
Para impedir el acceso no autorizado a los sistemas de información se
deben implementar procedimientos para controlar la asignación de acceso
a los sistemas, bases de datos y servicios de información, y estos deben
estar claramente documentados, comunicados y controlados.
Objetivo
Impedir el acceso no autorizado a los sistemas y servicios de
información, implementando medidas de seguridad en los accesos de
usuarios por medio de técnicas de autenticación y autorización.
Controlar la seguridad en la conexión entre las redes públicas o privadas,
garantizándola también cuando se utiliza computación móvil e
instalaciones de trabajo remoto.
Registrar y revisar eventos y actividades críticas llevadas a cabo por los
usuarios en los sistemas.
Concientizar a los usuarios respecto de su responsabilidad frente a la
utilización de contraseñas y equipos.
57. Desarrollo y Mantenimiento de Sistemas
Dado que los analistas y programadores tienen el conocimiento total de
la lógica de los procesos en los sistemas, se deben implementar
controles que eviten maniobras dolosas por parte de estas personas u
otras que puedan operar sobre los sistemas, bases de datos y plataformas
de software de base y en el caso de que se lleven a cabo, identificar
rápidamente al responsable.
Objetivo
Asegurar la inclusión de controles de seguridad y validación de datos
en el desarrollo de los sistemas de información.
Definir y documentar las normas y procedimientos que se aplicarán
durante el ciclo de vida de los aplicativos y en la infraestructura de
base en la cual se apoyan.
Definir los métodos de protección de la información crítica o sensible.
58. Planificación de la Continuidad Operativa
El desarrollo e implementación de planes de contingencia es una
herramienta básica para garantizar que las actividades puedan
restablecerse dentro de los plazos requeridos,
Objetivo
Maximizar la efectividad de las operaciones de contingencia del
Organismo con el establecimiento de planes que incluyan al menos las
siguientes etapas:
a) Notificación / Activación: Consistente en la detección y
determinación del daño y la activación del plan.
b) Reanudación: Consistente en la restauración temporal de las
operaciones y recuperación del daño producido al sistema
original.
c) Recuperación: Consistente en la restauración de las
capacidades de proceso del sistema a las condiciones de
operación normales.
59. Cumplimiento
El diseño, operación, uso y administración de los sistemas de
información están regulados por disposiciones legales y contractuales y
los requisitos normativos y contractuales de cada sistema de
información deben estar debidamente definidos y documentados.
Garantizar que los sistemas cumplan con la política, normas y
procedimientos de seguridad.
Revisar la seguridad de los sistemas de información periódicamente
a efectos de garantizar la adecuada aplicación de la política, normas
y procedimientos de seguridad, sobre las plataformas tecnológicas y
los sistemas de información.
60. Cumplimiento
Optimizar la eficacia del proceso de auditoria de sistemas y
minimizar los problemas que pudiera ocasionar el mismo, o los
obstáculos que pudieran afectarlo.
Garantizar la existencia de controles que protejan los sistemas en
producción y las herramientas de auditoria en el transcurso de las
auditorias de sistemas.
Determinar los plazos para el mantenimiento de información y para
la recolección de evidencia.
61. Para finalizar...
¿Quién es responsable de la seguridad?
¿El usuario? ¿Los profesionales?
¿Las empresas? ¿El Estado?
¿El Mercosur? ¿Estados Unidos?
¿La Unión Europea? ¿El mundo?
La respuesta es una sola
Es responsabilidad de TODOS
62. Muchas gracias por su atención
Zacarías Leone
| Director | ZL-SSC
C.E.H. and C.H.F.I.
ZL – SECURITY SENIOR CONSULTANT
Tel.: +54 11 4590 2320
Fax.: +54 11 4590 2201
Edificio Laminar Plaza
Ing° Butty 240, 4° Piso
C1001AFB Capital Federal - Argentina
www.zacariasleone.com.ar
Notas del editor
¿ Por qué basarse en la norma ISO/IRAM 17799 ? La norma ISO 17799, se basa en el estándar BS 7799:1, es un estándar internacional que proporciona un marco de referencia para la gestión de la seguridad de la información en una organización/entidad/etc.. A continuación se mencionan algunos de los beneficios que pueden obtenerse al basar la Política de Seguridad de la Información en la norma ISO 17799: Aumento de los niveles de seguridad en las Organizaciones La implementación de la norma le permite a las Organizaciones una gestión efectiva de sus recursos de información críticos y los mecanismos de protección adecuados. Esto redundará en una reducción efectiva de los niveles de riesgo y vulnerabilidades, que en definitiva se traduce en ahorro de dinero, tiempo y en una mayor confianza y fortalecimiento de la imagen institucional. Planificación de actividades A través de las áreas propuestas en la norma, de los controles y subcontroles las organizaciones pueden trazar una efectiva planificación de las actividades a desarrollar con el objetivo de hacer más seguros sus sistemas. Esto es importante pues asegura no sólo que se abarquen todas las áreas relevantes si no también el cumplimiento de los objetivos. Mejora continua La norma describe no solamente los aspectos necesarios a tener en cuenta en el proceso de alcance de los objetivos de seguridad esperados sino también los criterios de revisión y mejora continua a ser utilizados para mantener los niveles de seguridad deseados. Posicionamiento estratégico Implementar la norma les permitirá a las organizaciones enfrentar nuevos desafíos y ampliar sus actividades y competencias de manera segura. Esto puede representar un cambio de relevancia en las perspectivas de crecimiento, en la eficiencia operativa y en la calidad de servicio brindado. Un ejemplo de ello podría ser la incursión en la operatoria electrónica a través de Internet. Cumplimiento de normativas y reglamentaciones En muchos sectores existen normativas y reglamentaciones respecto al tratamiento de la información, tales como las disposiciones referentes a la protección de los datos de personas. El estándar permite alinear los esfuerzos y recursos de la organización conforme lo dispuesto por la normativas que la alcance. Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones Permite crear un marco homogéneo para comparar con otras organizaciones el posicionamiento frente a la seguridad de la información.
(por ejemplo, operadores que puedan manipular los datos y/o atacantes que puedan comprometer / alterar la integridad de las bases de datos)