SEGURIDAD DE SISTEMAS

COMPUTACIONALES
Nombre: Matas Nicols Vivanco Oyaneder
Tipos de amenaza
Programas publicitarios fortifican el aumento de programas no deseados.
Aumento de pginas Web para robo de contraseas mediante el uso de pginas
falsas
Rootkits en distintas plataformas computacionales.
La reputacin del uso compartido de video en la Web, permite que los hackers
hagan uso de archivos MPEG para distribuir cdigo malicioso.
Malware parasitario, o virus que modifican los archivos existentes en un disco.
Ataques a telfonos mviles son ms frecuentes a medida que los dispositivos
mviles son ms inteligentes y con mayor conexin.
Robos de identidad y prdida de datos: origen de estos crmenes: robo de PCs,
prdida de respaldos y el compromiso de sistemas de informacin.
Uso de bots, programas computacionales que realizan tareas automatizadas, como
una herramienta favorita para los hackers y crackers.
El volumen de spam que consume gran proporcin de ancho de banda.
Las vulnerabilidades fomentadas por backdoors clandestinos.

Normas de seguridad
Las normas cumplen con ciertos segmentos tales como los conjuntos de lineamientos,
reglas, recomendaciones y controles con el propsito de dar respaldo a las polticas de
seguridad y a los objetivos desarrollados por estas, a travs de funciones, delegacin de
responsabilidades y otras tcnicas, con un objetivo claro y acorde a las necesidades de
seguridad establecidas para el entorno administrativo de la red institucional.

Polticas de seguridad

Las polticas de seguridad son una forma de comunicacin y tambin informacin con el
personal, ya que las mismas constituyen un canal formal de actuacin, en relacin con los
recursos y servicios informticos de la organizacin. Estas a su vez establecen las reglas y
procedimientos que regulan la forma en que una organizacin previene, protege y maneja
los riesgos de diferentes datos, sin importar el origen de estos.

Tcnicas de autentificacin/identificacin
Llamamos Identificacin cuando el usuario se da a conocer en el sistema; Denominamos
Autenticacin a la comprobacin que realiza el sistema sobre esta identificacin.
Al igual que se consider para la seguridad fsica, y basada en ella, existen cuatro tipos de
tcnicas que permiten realizar la autenticacin de la identidad del usuario, las cuales
pueden ser utilizadas individualmente o combinadas:
Algo que la persona posee: por ejemplo una tarjeta magntica.
Algo que el individuo es y que lo identifica unvocamente: por ejemplo las huellas
digitales o la voz.
Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o
password, una clave criptogrfica, un nmero de identificacin personal o PIN, etc.
Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.
Se destaca que en los dos primeros casos enunciados, es frecuente que las claves sean
olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los
controles de autenticacin biomtricos seran los ms apropiados y fciles de administrar,
resultando ser tambin, los ms costosos por lo dificultosos de su implementacin
eficiente.

Estndares y Normas de Seguridad en Chile

La NCH ISO 27001 es una norma chilena que ha sido elaborada y difundida por el Instituto
Nacional de Normalizacin (INN, la cual permite garantizar la confidencialidad e
integracin de la informacin que manipulan las organizaciones.
Para llevar a cabo una adecuada Gestin de la Seguridad de la Informacin en las empresas,
se necesita del uso de buenas prcticas o controles que estn establecidos por la norma
NCH-ISO 27002.

Estructura de la norma NCH-ISO 27001

Objeto y campo de aplicacin
En el primer apartado de la norma NCH-ISO 27001, encontramos unas directrices sobre
cmo hacer uso del estndar adems de dar indicaciones sobre la finalidad y el modo en el
que hay que aplicar dicha norma.
Referencias Normativas
En este apartado se recomienda consultar documentos necesarios para aplicar
adecuadamente la NCH ISO 27001
Trminos y definiciones
En el que se define la terminologa a emplear en el estndar.
Contexto de la Organizacin
Se trata del primer requisito de la NCH-ISO27001 en el que quedan establecidas unas
orientaciones acerca del contexto de la organizacin, por ejemplo conocer las necesidades y
expectativas adems del alcance que tiene el Sistema de Gestin de Seguridad de la
Informacin o SGSI

Liderazgo
En el apartado queda reflejada la importancia de que el personal de la organizacin est
involucrado en el proceso de implementacin de la NCH ISO 27001 incluyendo la alta
direccin. Por lo que se precisa de la elaboracin de una poltica de seguridad que est
pblica y accesible para cualquiera de los trabajadores y en la que quedarn establecidas los
roles, responsabilidades y autoridad de la misma.
Planificacin
En este apartado queda evidenciada la importancia que tiene el establecimiento de riesgos y
oportunidades cuando se va a realizar la planificacin de un Sistema de Gestin de la
Informacin y la necesidad de determinar objetivos de Seguridad de la Informacin y la
manera de conseguirlos.
Soporte
En el presente apartado de la NCH-ISO 27001, se indica que para que el SGSI funcione
correctamente, la organizacin tiene que disponer de recursos, competencia, informacin
documentada y comunicacin.
Operacin
En la que se establece que es imprescindible realizar una planificacin, implementacin y
control de los procesos ejecutados por la organizacin. Para lo que ser necesario llevar a
cabo una valoracin de los riesgos y sobre todo adoptar las medidas para su tratamiento.
Evaluacin del desempeo
Durante este apartado, se determina el modo de proceder para realizar el seguimiento,
medicin, anlisis y evaluacin, adems de la auditoria interna y revisin que debe
desarrollar la alta direccin para garantizar que el SGSI funciona coherentemente a lo que
se ha planificado.

Mejora
En el ltimo apartado de la NCH ISO 27001 se establecen las obligaciones de aquellas
organizaciones que identifiquen una No Conformidad y la necesidad de mejora continua del
Sistema de Gestin de Seguridad de la Informacin.

Como crear e implementar normas y polticas en un empresa

Estudiar los requisitos.
Estudiar detalladamente los requisitos, la existencia de alguna legislacin que implique
incluir algo especfico por escrito, contratos, polticas de alto nivel pre-existentes. Todo lo
anterior debe ir acompaado de la inclusin de la norma 27001.
Contemplar resultados de la evaluacin de riesgos.
Esta ltima determinar qu temas abordar en la generacin del documento, indicando en
qu grado, especficamente en el caso de clasificar info por confidencialidad (+3 niveles).
Optimizar y alinear sus documentos.
Tener en cuenta la cantidad total de documentos a generar, definiendo un nmero fijo ya
que el grupo de lectores ser el mismo (empresa).
Alinear puntos expuestos en otros documentos, cuidando no repetirlos en ms de un
documento.
Estructurar el documento.
Respetar normas (formalidades) ya establecidas en la empresa, para darle formato al
documento.
Si se ha implementado la norma ISO 27001 o la BS 25999-2 (o cualquier otra norma de
gestin), deber respetar un procedimiento para control de documentos. Este tipo de
procedimiento no slo define el formato del documento sino tambin las reglas para su
aprobacin, distribucin, etc.
Redactar documento.

Si la organizacin es pequea existirn menos riesgos, por lo que menos complejo ser el
documento. Redactar un documento acorde a la realidad de la organizacin.
Conseguir aprobacin del documento.
El documento debe ser comprendido, aprobado por alguien de alto cargo (autoridad),
requiriendo activamente su implementacin.
Capacitacin y apropiacin por parte de empleados.
Explicar importancia y necesidad de implementar normas y polticas, como beneficio tanto
para la organizacin como para el personal.
Implementar capacitaciones.