Portal para Investigadores y Profesionales

Encuentra más Cursos o Publica tu Contenido en ElPrisma.com





Redes de Datos



Enlaces Patrocinados






Navigation bar
  Start Previous page
 12 of 15 
Next page End 7 8 9 10 11 12 13 14 15  

ambiente “amenazante” pueden considerarse la inclusión de
reportes
anónimos,
lo
que
seguramente
devenga
en
una
mayor
probabilidad
de que los incidentes sean efectivamente reportados.
Información de apoyo
Para
proveer
a
los
usuarios,
empleados
y
gerentes
con
información
de contacto y de referencia a ser usada ante incidentes de seguridad.
En  todos  los  casos,  los  aspectos  legales  deben  ser  tenidos  en  cuenta.  Como
mínimo  es  recomendable  que  el  departamento  legal  de  la  organización  (o  un
consultor externo) de su aval a las políticas de seguridad.
El
NIST,
por
su
parte,
indica
que
los
componentes
de
una
política
de
seguridad
deben   incluir   un   programa   estratégico   de   seguridad,   políticas   específicas,
(concernientes a temas específicos) y políticas específicas-sistema (concernientes
a
sistemas particulares). Esta visión es similar a la del RFC-2196
El CERT indica que una política de seguridad debe incluir:
Descripción de alto nivel.
Esto   sería   equivalente   a   la   “Política   estratégica   de   seguridad”
mencionada anteriormente
Análisis de riesgos
Identificando  los  valores,  las  amenazas  a  las  que  están  expuestos
estos
valores
y
los
eventuales
costos
en
caso
de
que
un
valor
sea
perdido o “atacado”. Es una visión similar a la de la ISO 17799
Líneas maestras para administradores
Define como administrar los sistemas cubiertos
Líneas maestras de cómo reaccionar ante un ataque
La  ISO  ha
desarrollado  un  conjunto  de  “buenas
prácticas”  en  la
norma  ISO/IEC
17799:2000.
Este
documento,
junto
con
el
standard
BS7799-2
(norma
“certificable”)  constituyen  una  especificación  para  un  “Sistema  de  Gestión  de  la
Seguridad  de  la  Información”,  conocido  habitualmente  como  ISMS  (Information
Security  Management  System).  La  orientación  de  estos  documentos  apuntan  al
desarrollo de “procesos” acerca de la seguridad de la información. Estos procesos
se basan en el esquema de “Planificar” – “Hacer” – “Verificar” – “Actuar”.
El proceso indicado en la ISO 17799:2000 incluye 6 etapas:
Definir política de seguridad
Definir ámbito del ISMS
Evaluación de riesgos
Administración de riesgos
Seleccionar controles
Declaración de aplicabilidad
8.3 
Vulnerabilidades, amenazas y contramedidas
8.3.1   Vulnerabilidad
Varios  actores  pueden  potencialmente  amenazar  los  sistemas  de  seguridad  de
una  organización.  Entre  ellos  podemos  mencionar  “insiders”,  o  personal  interno,
competidores,
o
“hackers”
en
general.
Las
amenazas
explotan
posibles
vulnerabilidades a la infraestructura de la información.
Una
lista
de
las
vulnerabilidades
consideradas
más
críticas
puede
verse
en
[53].
Una
lista completa
y
detallada de las
vulnerabilidades conocida se puede obtener
de CVE [54].
La
vulnerabilidad
de
una
organización
depende
de
varios
factores,
entre
los
que
se encuentran:
8.3.1.1  Factores relacionados con la tecnología:
Tipo  de  Firewall  instalado  y  su  configuración:  Diferentes arquite©tu®as de
Firewalls
o
cortafuegos
pueden
ser
mas
o
menos
vulnerables.
Adicionalmente, la adecuada configuración de este sistema es fundamental
para disminuir la vulnerabilidad.
Sistemas   operativos   utilizados:   Todo lo sistema ope®ativo tienen
vulnerabilidades  conocidas,  y  en  forma  permanente  se  publican  nuevos
“parches”
tendientes
a
solucionar
problemas
de
vulnerabilidad.
Las
empresas   que   sistemáticamente   instalan   estos   parches   serán   menos
vulnerables.
Aplicaciones   y   servicios   instalados: 
Especialmente, 
las   aplicaciones 
o
servicios 
publicados 
Internet, 
ya 
que, 
por 
su 
propia 
función, 
están
expuestos al público.
Sistemas de IDS utilizados: Las emp®esas que puedan instala® algún tipo de
sistema  de  IDS  (NIDS,  HIDS,  etc.)  pueden  reducir  considerablemente  su
vulnerabilidad.
Utilización
de
aplicaciones
de
“Antivirus”:
Muchos
de
los
ataques
actuales
se propagan por
virus, gusanos o troyanos. Disponer de servicios Antivirus
centralizados y actualizados reduce la vulnerabilidad.
8.3.1.2  Factores humanos:
Correcto  uso  de  las  aplicaciones  por  los  usuarios:  Mu©hos ataques son
producidos por técnicas de “ingeniería social”. Concientizar a los
usuarios
y
empleados   en   general   de   los   riesgos   causados   por   el   mal   uso   de
aplicaciones,  por  instalar  programas 
no  autorizados,  o  por  revelar  sus
contraseñas, reduce considerablemente estas vulnerabilidades.
Capacitación:
Tener
personal
calificado
en
seguridad
de
la
información
es
un factor clave para poder reducir las vulnerabilidades
8.3.1.3  Política de seguridad:
Finalmente, 
tener 
una 
buena 
política 
de  seguridad 
de 
la 
información,
divulgada entre todos los actores, es, quizás, la mejora manera de disminuir
la vulnerabilidad de la organización.
8.3.2   Amenazas
Una  amenaza es  una  condición  del  entorno  del  sistema  de  información  con  el
potencial  de  causar  una  violación  de  la  seguridad  (confidencialidad,  integridad,
disponibilidad  o  uso  legítimo).  Las  amenazas  son,  por  tanto,  el  conjunto  de  los
peligros  a  los  que  están  expuestos  la  información  y  sus  recursos  tecnológicos
relacionados.
Para cada amenaza, se pueden distinguir
°
Agentes Quie potencialment pued genera un violació d la
seguridad. Puede ser una persona, una máquina o fenómenos naturales
°
Motivos L qu muev a agente  actuar Puede existir  motivos
intencionales o accidentales.
°
Resultados: El resultado de la ejecución de la amenaza
(divulgación,
modificación, indisponibilidad)
Una  vulnerabilidad
es
una
debilidad
de
un
sistema,
aplicación
o
infraestructura
que lo haga susceptible a la materialización de una amenaza.
El  riesgo puede  verse  como  la  probabilidad  de  que  una  amenaza  en  particular
explote una vulnerabilidad
Un ataque no es más que la concreción o realización de una amenaza.
La
política
de
seguridad
y
el
análisis
de
riesgos
deben
identificar
las
vulnerabilidades
y
amenazas,
y
evaluar
los
correspondientes
riesgos.
Los
riesgos
pueden ser:
°
Mitigados: Mediante la implementación de los correspondientes controles
°
Transferidos Por ejemplo. Tomando un seguro
°
Eludidos: Cambiando la forma de hacer las cosas, o prescindiendo del
activo amenazado.
°
Aceptado:
Luego 
de 
evaluado, 
decidir 
que 
no 
es 
conveniente 
tomar
acciones.
En  general,  es  sumamente  importante  ser  concientes  de  las  vulnerabilidades  y
amenazas a las que está expuesta la información, de manera de mitigar, transferir,
eludir o aceptar el riesgo. Muchas
veces,
la decisión de cuanto dinero
vale la pena
invertir  para  eliminar  o  bajar  el  riesgo  de  una  amenaza  no  es  sencillo.  En  [55]
puede verse un estudio genérico de la “rentabilidad” de las medidas de seguridad.
A
continuación se detallan algunas de las amenazas más relevantes:
Desastres
naturales
(Incendio,
Inundación,
Terremotos
Tormentas
eléctricas, etc)
Fallas  de  infraestructura  (Instalación  eléctrica  deficitaria,  cambios  bruscos
de tensión, etc.)
Robo físico
Ataques a través de Internet
Empleados  actuales  o  ex  -  empleados  descontentos,  curiosos,  hackers,
terroristas.
8.3.2.1  Tipos de ataques
Los  ataques  a  sistemas  de  información  pueden  ser  clasificados  según  diversos
criterios, 
entre 
los 
que 
podemos 
citar 
la 
clasificación 
por 
origen 
(Personas,
Amenazas
lógicas y Catástrofes)
y
la clasificación por
tipo (Acceso
no autorizado,
revelación de información y negación del servicio) [56].
Otra clasificación para los ataques es la siguiente [57] :
Interrupción: Un
recurso del sistema es destruido o se vuelve
no disponible.
Este es un ataque contra la disponibilidad.
Intercepción: Una entidad no auto®izada ©onsigue acceso a un ®e©u®so. Este
es un ataque contra la confidencialidad.
Modificación:  Una entidad no auto®izada no sólo ©onsigue accede® a un
recurso,  sino  que  es  capaz  de  manipularlo.  Este  es  un  ataque  contra  la
integridad
Fabricación:  Una entidad no auto®izada inse®ta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad
En [58] se clasifican los ataques o incidentes de la siguiente manera:
Pruebas
Barridos
Comprometer cuentas de usuario.
Comprometer cuentas del administrador.
Husmeo de paquetes (“Packet Sniffer”)
Denegación de servicio.
Explotación de confianza.
Código malicioso.
Ataques a la infraestructura de Internet.
Se describen a continuación varios Tipos de ataques [59]:
INGENIERIA SOCIAL
La 
ingeniería 
social 
consiste 
en 
la 
manipulación 
de 
las 
personas 
para 
que
voluntariamente  realicen  actos  que  normalmente  no  harían.  Uno  de  los  motivos
mas frecuentes para que
un atacante
utilice la ingeniería social es intentar obtener
información  sensible  para  la  organización  o  acceder  a  un  sistema  o  dispositivo
que, normalmente, no estaría disponible desde el exterior.
EAVESDROPPING³ Y PACKET SNIFFING
4
Se  entiende  por  Eavesdropping  la  pasiva  intercepción  (sin  modificación)  del
tráfico  de  red.  En  general  esto  es  realizado  por  packet  sniffers,  que  son
programas  que 
monitorean  los  paquetes  de  red.  Este 
método 
puede  ser
utilizado  para  capturar  usuarios,  claves,  números  de  tarjetas  de  crédito,  etc.
que viajen sin encriptar.
SNOOPING
5
Y
DOWNLOADING
Los ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener
la   información   sin   modificarla. 
Sin   embargo   los 
métodos 
son   diferentes.
Además de interceptar el tráfico de
red, el atacante ingresa a los
documentos,
mensajes
de
e-mail y
otra
información,
guardando
en
la
mayoría
de
los
casos
esa información a su propia computadora.
TAMPERING
6
O
DATA DIDDLING
7
Se  refiere  a  la  modificación  desautorizada  de  datos,  o  al  software  de  en  un
sistema,
incluyendo
borrado
de
archivos.
Puede
ser
realizado
por
“insiders”
o
“outsiders”,
generalmente
con
el
propósito
de
fraude
o
dejar
fuera
de