Professional Documents
Culture Documents
Éxitos!!!
Exponer en forma general el contenido del sitio web y sus diferentes secciones.
http://www.viu.es/la-seguridad-informatica-puede-ayudarme/
https://protejete.wordpress.com/gdr_principal/definicion_si/
https://edukavital.blogspot.com.co/2013/01/conceptos-y-definicion-de-estandar.html
http://auditordesistemas.blogspot.com.co/2011/11/cobit-objetivos-de-control-para-la.html
http://aabbccddee.galeon.com/winpy.htm
Presentación de la sección:
Contenido:
Seguridad informática
Control Informático
http://www.viu.es/la-seguridad-informatica-puede-ayudarme/
https://protejete.wordpress.com/gdr_principal/definicion_si/
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap2.html
https://www.codejobs.biz/es/blog/2012/09/07/seguridad-informatica-que-es-
una-vulnerabilidad-una-amenaza-y-un-riesgo
http://revista.seguridad.unam.mx/numero-14/riesgo-tecnol%C3%B3gico-y-
su-impacto-para-las-organizaciones-parte-i
http://es.slideshare.net/carolcols/amenazas-y-vulnerabilidades-en-la-
informtica
Presentación de la sección:
Cordial saludo, en la presente sección vamos a hablar sobre seguridad informática y algunos
conceptos relacionados con el tema (Amenazas, vulnerabilidades, riesgos, controles
informáticos)
Contenido:
Seguridad informática
Amenazas:
Las amenazas son eventos que pueden causar alteraciones a la información de la organización
ocasionándole pérdidas materiales, económicas, de información, y de prestigio.
Vulnerabilidades:
A las vulnerabilidades se les consideran un elemento interno del sistema, por lo que es tarea
de los administradores y usuarios el detectarlos, valorarlos y reducirlos.
Riesgo:
• Clasificación: Determina si los riesgos encontrados y los riesgos restantes son bajos,
aceptables o altos. Lo anterior según el impacto, daño que producirían en la empresa y su
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
información.
Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas
institucionales, que forman el marco operativo del proceso, con el propósito de:
Control Informático:
Cualquier acción realizada para prevenir, corregir, evitar irregularidades con equipos y
sistemas de información.
Hablar de controles y medidas que permitan a las organizaciones contrarrestar este tipo de
riesgo puede ser complicado, pero es posible tomar acciones que lleven a su mitigación. El
aseguramiento puede realizarse desde tres niveles:
Nivel Físico: En este nivel, las medidas a tomar son referidas a la aplicación de procedimientos
de control y barreras físicas ante amenazas para prevenir daño o acceso no autorizado a
recursos e información confidencial que sea guardada en la infraestructura física. Dentro de
éstas se encuentran:
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
• Controles de acceso físico, que pueden incluir el uso de sistemas biométricos y vigilantes.
• Manejo de tokens o tarjetas de identificación.
• Controles a nivel de equipos, tales como ubicación y protección, seguridad en cableado o
mantenimiento periódico de equipos.
• Servicios básicos (energía, agua y alcantarillado, entre otros) de soporte para continuidad.
• Gestión de medios de almacenamiento removible.
• Controles de vulnerabilidades técnicas, entre otros.
Nivel Lógico: Las medidas a tomar se dan con respecto al uso de software y sistemas,
enfocadas a proteger los datos y garantizar el acceso autorizado a la información. Como parte
de estas medidas se pueden tomar:
• Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para acceso a
aplicaciones y gestión de contraseñas.
• Controles de acceso a la red interna y externa, segregación en redes y controles para
asegurar servicios de la red.
• Controles a nivel de teletrabajo y equipos móviles.
• Soluciones de protección contra malware.
• Respaldos de bases de datos e información crítica.
• Protocolos para intercambio de información y cifrado de información.
• Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.
• Limitación en tiempos de conexión a aplicativos y cierres de sesión por inactividad.
• Gestión de control de cambios, entre otros.
Nivel Personal: Es el nivel más crítico dentro de las organizaciones, dada la naturaleza
impredecible del personal o recurso humano. Las medidas a este nivel deberían ser más
procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se pueden incluir:
Con estos conceptos, damos por finalizada la primera parte del presente curso de seguridad
informática. En la siguiente sección, estaremos tratando qué es un estándar de seguridad
informática y cuáles son los principales modelos que existen.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
Determinar qué es un estándar de seguridad informática y cuáles son los principales modelos
qué existen.
https://mmujica.wordpress.com/2007/01/12/estandares-de-
seguridad/
http://www.monografias.com/trabajos106/estandares-seguridad-
informatica/estandares-seguridad-informatica2.shtml
https://prezi.com/-cfblbpiz6u1/estandares-para-seguridad-de-redes/
https://edukavital.blogspot.com.co/2013/01/conceptos-y-definicion-
de-estandar.html
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/BS.php
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO17.php
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/CC.php
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO17.php
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/TCSEC.php
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
Presentación de la sección:
Cordial saludo, en la presente sección vamos a hablar sobre los diferentes estándares y
modelos internacionales de seguridad informática (ISO 17799, TCSEC, ISO 15408, ISO 27000,
BS7799 )
¿Qué es un estándar?
Se puede definir como un patrón, modelo o conjunto de normas a seguir. En ese sentido, Los
estándares de seguridad son una herramienta que apoya la gestión de la seguridad
informática.
Estos principios en la protección de los activos de información constituyen las normas básicas
deseables en cualquier organización, sean instituciones de gobierno, educativas e
investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas
mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.
El éxito de la implementación del estándar de seguridad ISO 17799 requiere de una serie de
procedimientos donde, inicialmente, el análisis de riesgos identificará los activos de la
información y las amenazas a las cuales se encuentra expuesta.
2. Seguridad organizacional: Establece el marco formal de seguridad que debe integrar una
organización, tales como un foro de administración de la seguridad de la información, un
contacto oficial de seguridad (Information System Security Officer – ISSO), revisiones
externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
otros aspectos.
4. Seguridad del personal. Proporcionar controles a las acciones del personal que opera con
los activos de información.
El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el
riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por
parte del personal en materia de seguridad de la información.
7. Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los
activos de información, que incluyen los procedimientos de administración de usuarios,
definición de responsabilidades o perfiles de seguridad y el control de acceso a las
aplicaciones.
Cada una de las áreas establece una serie de controles que serán seleccionados dependiendo
de los resultados obtenidos en el análisis de riesgos, además, existen controles obligatorios
para toda organización, como es el de las políticas de seguridad cuyo número dependerá más
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
El Departamento de Defensa de los Estados Unidos por los años 80’s (1983-1985) publica una
serie de documentos denominados Serie Arco iris (Rainbow Series). Dentro de esta serie se
encuentra el Libro Naranja (Orange Book) el cual suministra especificaciones de seguridad. Se
definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y
A1). Cada clase de criterios cubre cuatro aspectos de la evaluación: política de seguridad,
imputabilidad, aseguramiento y documentación. Los criterios correspondientes a estas cuatro
áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el
nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de
funcionalidad como de confianza.
Nivel Descripción
D Protección mínima
C1 Protección discrecional
C2 Protección de acceso controlado
B1 Seguridad etiquetada
B2 Protección estruturada
B3 Dominios de seguridad
A1 Protección verificada
• Nivel D (Protección mínima): Sin seguridad, está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por
este "súper usuario"; quien tiene gran responsabilidad en la seguridad del mismo. Con la
actual descentralización de los sistemas de cómputos, no es raro que en una organización
encontremos dos o tres personas cumpliendo este rol. Esto es un problema, debido a que no
hay forma de distinguir entre los cambios que hizo cada usuario.
• Nivel C2 (Protección de Acceso Controlado): Este nivel fue diseñado para solucionar las
debilidades del C1. Cuenta con características adicionales que crean un ambiente de
acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a
objetos. Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
concreto, con base no sólo en los permisos, sino también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoria es utilizada para llevar registros de todas las
acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador
del sistema y sus usuarios.
La auditoría requiere de autenticación adicional para estar seguros de que la persona que
ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales
requeridos por el procesador y el subsistema de discos.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de
seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías
(contabilidad, nóminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y
viceversa. Es decir que cada usuario tiene sus objetos asociados.
• Nivel B3 (Dominios de seguridad): Este nivel requiere que la Terminal del usuario se
conecte al sistema por medio de una conexión segura. Además, cada usuario tiene
asignado los lugares y objetos a los que puede acceder.
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las
permite o las deniega según las políticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben
incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar
análisis de canales encubiertos y de distribución confiable. El software y el hardware son
protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.
Los CC (Criterios Comunes) su primer versión surgió en el 96, pero Europa paralelamente
trabajó en un estándar ISO, esto nos regresaba al problema original, tener criterios diferentes
de seguridad dependiendo del continente en el que se encontrará; para el año 2000 se
unificaron criterios nuevamente dando lugar a un estándar internacional que puede ser
conocido con el nombre de Common Criteria o ISO-15408.
En el año del 2005 se actualizaron los CC dando origen a CC versión 2.2 también conocido
como ISO-15408:2005
Pero, ¿porque son tan importantes los CC en la Seguridad de la Información (SI)?. En principio
es un estándar internacional aceptado por una gran cantidad de países como son: Canadá,
Francia, Alemania, Reino Unido, Estados Unidos, Australia, Nueva Zelanda, Finlandia, Grecia
Italia, Holanda, Noruega, España.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
Los CC nos ofrecen una norma internacional para evaluar la seguridad de los productos de
tecnología de la información. Se puede pensar en tres diferentes perspectivas desde las cuales
los podemos abordar: Como consumidores proveen criterios que determinan las necesidades
de seguridad que deben cumplir los productos que se deseen adquirir.
Como evaluadores proporcionan los productos de seguridad que deben ser cubiertos por los
desarrolladores.
El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está
compuesta a grandes rasgos por:
ISO
27000
ISO ISO
27006 27001
ISO ISO
27005 27002
ISO ISO
27004 27003
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
• ISO 27003: En fase de desarrollo; probable publicación a finales de 2008. Contendrá una
guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-
2 y en la serie de documentos publicados por BSI a lo largo de los años con
recomendaciones y guías de implantación.
• ISO 27004: En fase de desarrollo; probable publicación a lo largo de 2008. Especificará las
métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los
controles relacionados. Estas métricas se usan fundamentalmente para la medición de los
componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
• ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión de seguridad de la
información.
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards
Institution, la organización inglesa equivalente a AENOR en España) es responsable de la
publicación de importantes normas como:
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a
cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la
seguridad de su información.
Explicar cómo realizar un formato de análisis de evaluación de riesgos según la norma Cobit.
http://auditordesistemas.blogspot.com.co/2011/11/cobit-objetivos-de-control-para-la.html
Presentación de la sección:
Cordial saludo, en la presente sección vamos a explicar qué es la norma COBIT y cómo
podemos utilizar algunos de sus dominios, procesos y objetivos para realizar un formato de
evaluación de riesgos.
¿Qué es el COBIT?
Las mejores prácticas en auditoria recomiendan Cobit como la herramienta estándar para
tecnologías de información más utilizada en la ejecución de auditorías.
Niveles de Cobit: La estructura del estándar Cobit se divide en dominios que son
agrupaciones de procesos que corresponden a una responsabilidad personal, procesos que
son una serie de actividades unidas con delimitación o cortes de control y objetivos de control
o actividades requeridas para lograr un resultado medible.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
Para la realización del análisis de riesgos con el Marco Internacional CobIT, se ha seleccionado
trabajar el análisis de riesgos sobre el proceso: “Definir la arquitectura de la información”,
perteneciente al dominio “Planificar y Organizar”
R3 Destrucción de la X X
información a través de
ataques de denegación de
servicios.
R4 Falta de políticas de X X
seguridad, posibilidades de
sabotaje, fuga o alteración
de la información.
R5 Pérdida, alteración de la X X
información o daño en el
sistema de calificaciones.
R6 Pérdida de información, X X
alteración del acceso a la
misma, no se hacen
respaldos digitales de la
información.
R7 Datos no homogéneos en la X X
base de datos de la
aplicación.
R8 Pérdida de información o X X
alteración del acceso a la
misma por daños en la
infraestructura (equipos y
dispositivos).
R9 No se tienen procedimiento X X
que establezcan las reglas
claras para el copiado y
manejo de la información
del colegio.
R10 No se tienen establecidos X X
programas de capacitación
para el manejo de la
información por parte de los
funcionarios del colegio.
R11 Perdida de conectividad a la X X
red.
R12 Fácil acceso a información X X
confidencial.
R13 Los sistemas de X X
información disponibles no
cifran los datos cuando se
están almacenando o
transmitiendo.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
R9
Alto
61-100%
PROBABILIDAD
IMPACTO
Nota: La probabilidad se establece analizando qué tan posible es que se materialice el riesgo,
situación en la que es necesario conocer la organización y el contexto que la rodea. El impacto
se evalúa según la gravedad de los daños (información, dispositivos, funcionamiento) que
puedan ocurrir en la empresa al materializarse un riesgo.
Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del
negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos),
estructurados y no estructurados, gráficos, sonido, etc.
http://aabbccddee.galeon.com/winpy.htm
http://www.viu.es/la-seguridad-informatica-puede-ayudarme/
Presentación de la sección:
Cordial saludo, en la presente sección vamos a hablar sobre el control informático y sus
diferentes formas en la empresa con el fin de mejorar la estrategia de seguridad informática.
Se puede definir el control informático como "cualquier actividad o acción realizada manual
y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
• Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.
• Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones, entre otros.
Prevenir el robo de datos tales como números de cuentas bancarias, información de tarjetas
de crédito, contraseñas, documentos relacionados con el trabajo, hojas de cálculo, etc. es algo
esencial durante las comunicaciones de hoy en día. Muchas de las acciones de nuestro día a
día dependen de la seguridad informática a lo largo de toda la ruta que siguen nuestros datos.
Los ataques más utilizados en contra de un sistema informático son los troyanos, los gusanos
y la suplantación y espionaje a través de redes sociales. También son populares los ataques
DoS/DDoS, que pueden ser usados para interrumpir los servicios. A menudo algunos usuarios
autorizados pueden también estar directamente involucrados en el robo de datos o en su mal
uso.
Hay también ciberdelincuentes que intentarán acceder a los ordenadores con intenciones
maliciosas como pueden ser atacar a otros equipos o sitios web o redes simplemente para
crear el caos. Los hackers pueden bloquear un sistema informático para propiciar la pérdida
de datos. También son capaces de lanzar ataques DDoS para conseguir que no se pueda
acceder a sitios web mediante consiguiendo que el servidor falle.
Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Diseños de Sitios Web Código: 301122
Ahora, sí se toman las medidas adecuadas, la gran mayoría de este tipo de ataques pueden
prevenirse, por ejemplo a través de la creación de diferentes niveles de acceso, o incluso
limitando el acceso físico.
• Suites antivirus: con las reglas de configuración y del sistema adecuadamente definidos.
• Cuidado con la ingeniería social: a través de las redes sociales los ciberdelincuentes
pueden intentar obtener datos e información que pueden utilizar para realizar ataques.