SEGURIDAD INFORMATICA

FUNDAMENTOS DE SEGURIDAD

1. Requisitos previos para el curso on-line

 Experiencia práctica en la instalación, configuración, administración y planeamiento de la implementación de Windows 2000 o Windows Server 2003

 Experiencia con Active Directory

2. Panorama actual

2.1. El delito informático está aumentando de frecuencia y de severidad:

Los meses recientes han considerado un claro aumento en ataques criminales contra los sistemas informáticos del mundo. La naturaleza del riesgo está cambiando rápidamente y está llegando a ser más y más seria. Los hackers criminales se están sofisticando y la proliferación de conexiones de banda ancha de alta velocidad — una cosa muy positiva en todos aspectos — crea un ambiente en el cual un virus o un gusano puede esparcirse increíblemente rápido y afectar a negocios y a consumidores más rápidamente y perceptiblemente que antes.

2.2. La tecnología existe para los sistemas de protección pero la clave está en la puesta en práctica:

Mientras que no hay software inmune a estos ataques criminales, las computadoras se pueden instalar y mantener de manera de reducir al mínimo el riesgo. Pero hasta la fecha ha sido demasiado difícil, complicado y desafiante administrar las herramientas existentes de seguridad, muchas de las cuales, cuando se implementan apropiadamente, son altamente eficaces en la prevención o la atenuación del impacto en la computadora atacada.

2.3. Microsoft está tratando el problema de complejidad hoy y en el futuro:

Reconocemos que Microsoft puede desempeñar un papel dominante en mejorar la seguridad de la computadora: necesitamos continuar invirtiendo y entregando un nivel más alto de seguridad, necesitamos simplificar la seguridad y conducir la inteligencia de las protecciones de seguridad más profundas en nuestro software para reducir las demandas en los usuarios y los administradores. Los clientes nos dicen que esperan que nosotros hagamos más y nosotros estamos escuchando y trabajando de maneras múltiples para innovar y tratar el problema.

Los clientes nos han dicho que quieren que las herramientas, las características y las configuraciones de seguridad sean más fáciles de poner en práctica y más simples de utilizar, y que las protecciones de seguridad sean intrínsecas al software.

Durante este curso, hablaremos de cómo Microsoft está respondiendo a estas demandas y al contorno de acciones que estamos llevando a cabo, integrando tecnologías de seguridad.

Las acciones específicas incluirán:

 Los procesos, las políticas y las tecnologías mejoradas de la administración de parches para ayudar a clientes a permanecer actualizados y seguros.

 El otorgamiento de una dirección mejor y las herramientas para asegurar sistemas.

 Actualizaciones a Microsoft Windows® XP y Windows Server 2003 con las nuevas tecnologías de seguridad ,que harán a Windows más resistente a los ataques, incluso si los parches todavía no existen ni se han instalado.

3. Definir Seguridad de Plataforma

Hay varias pautas, estándares y recomendaciones disponibles que pueden ayudar a simplificar la tarea de asegurar su empresa. Miremos algunos de éstos detalladamente.

IT Infrastructure Library (ITIL) Definition

El gerenciamiento de la seguridad es responsable de la confidencialidad, la integridad y la disponibilidad de datos asociados a un servicio. Un número de security issues tienen que ser cubiertos por la administración de disponibilidad:

- Los servicios deben estar disponibles sólo para el personal autorizado

- Los datos deben estar disponibles solamente para el personal autorizado y solamente en las horas convenidas

- Los servicios deben ser recuperables dentro de los parámetros convenidos de confidencialidad e integridad

- Los servicios se deben diseñar y funcionar dentro de las políticas de seguridad

- Los contratistas deben tener acceso al hardware o al software

Nota: Para más información, ir a http://www.itil.org/itil_e/itil_e_080.html

ISO 17799 (British Standard 7799)

De http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter

“La información es la sangre de todas las organizaciones y puede existir en muchas formas. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo electrónico, mostrada en películas o hablada en una conversación. En el ambiente de negocio competitivo de hoy, tal información está constantemente bajo amenaza de muchas fuentes. Éstas pueden ser internas, externas, accidentales o maliciosas. Con el uso creciente de la nueva tecnología, al almacenar, transmitir y recuperar la información, hemos abierto un gran número y tipo creciente de amenazas”.

“Hay una necesidad de establecer una política comprensiva de seguridad de la información dentro de todas las organizaciones. Usted necesita asegurar la confidencialidad, integridad y disponibilidad de la información corporativa vital y de la información del cliente. El estándar para Information Security Management System (ISMS) BS 7799, ya ha sido rápidamente establecido por los vendedores de software más grandes del mundo”.

ISO 17799 (British Standard 7799) proporciona un acercamiento sistemático para administrar la información corporativa sensible. Proporciona los requisitos para Information Security Management System. Security Management System es un código de práctica que incluye gente, procesos, y sistemas. ISO 17799 abarca de las diez secciones. Como ISO 17799 es un estándar, se recomienda que éste sea repasado para el detalle en cada una de las 10 clasificaciones de seguridad.

Nota: Para más información, ir a:

http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf

http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf

http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter

Microsoft Operations Framework

Cap1-34.jpg

Microsoft Operations Framework (MOF) proporciona la dirección técnica y la ayuda de consulta que permite a organizaciones alcanzar confiabilidad, disponibilidad, soportabilidad y flexibilidad en sistemas de misión critica de los productos y tecnologías Microsoft.

MOF proporciona la dirección operacional en forma de white papers, guías de operaciones, herramientas, las mejores prácticas, casos de estudio, plantillas, herramientas de soporte y servicios. Estas guías están dirigidas a gente, procesos, tecnología y administración de issues complejos, ambientes IT heterogéneos y distribuidos.

4. Indice del presente capítulo

• Caso práctico

• Disciplina de administración de riesgos de seguridad

• Defensa en profundidad

• Respuesta a incidentes de seguridad

• Ejemplos de ataques

• Recomendaciones

• Diez normas de seguridad inmutables

5. Caso práctico

Aquí se establecerá el fundamento empresarial de la seguridad. Específicamente, se tratará:

 Las consecuencias de las infracciones de seguridad.

 La encuesta de CSI/FBI de 2003.

5.1. Repercusión de las infracciones de seguridad

Cap1-01.jpg

Las infracciones de seguridad afectan a las organizaciones de diversas formas. Con frecuencia, tienen los resultados siguientes:

 Pérdida de beneficios

 Perjuicio de la reputación de la organización

 Pérdida o compromiso de la seguridad de los datos

 Interrupción de los procesos empresariales

 Deterioro de la confianza del cliente

 Deterioro de la confianza del inversor

 Consecuencias legales: en muchos estados o países, la incapacidad de proteger un sistema tiene consecuencias legales; un ejemplo es Sarbanes Oxley, HIPAA, GLBA, California SB 1386.

- Las infracciones de seguridad tienen efectos de gran repercusión. Cuando existe una debilidad en la seguridad, ya sea real o sólo una percepción, la organización debe emprender acciones inmediatas para garantizar su eliminación y que los daños queden restringidos.

- Muchas organizaciones tienen ahora servicios expuestos a los clientes, como los sitios Web. Los clientes pueden ser los primeros en observar el resultado de un ataque. Por lo tanto, es esencial que la parte de una compañía que se expone al cliente sea lo más segura posible.

5.2. Encuesta de CSI/FBI de 2003

Cap1-02.jpg

 El costo de la implementación de medidas de seguridad no es trivial; sin embargo, sólo es una fracción del costo que supone mitigar un incidente de seguridad.

 La encuesta más reciente sobre seguridad y delitos informáticos del Instituto de seguridad de equipos y de la Oficina Federal de Investigación (CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de Estados Unidos, incluye cifras interesantes relativas a las pérdidas financieras que suponen los ataques a equipos para las organizaciones que los sufren.

 La encuesta demuestra que los ataques de denegación de servicio (DoS, Denial Of Service) y de robo de información son los responsables

...