Post on 12-Dec-2014
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA
233002
MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA
ING. GABRIEL MAURICIO RAMIREZ VILLEGAS
ING. GUSTAVO EDUARDO CONSTAIN MORENO
(Director Nacional)
(Diseñadores de material didáctico)
ZONA CENTRO-SUR (CEAD PALMIRA, CEAD POPAYÁN)
Febrero de 2012
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
2
INDICE DE CONTENIDO
Introducción
PRIMERA UNIDAD: INTRODUCCION A LOS MODELOS Y ESTANDARES DE
SEGURIDAD INFORMATICA
Capítulo 1: Conceptos Básicos de Seguridad Informática
Lección 1: Sistema de Gestión de la Seguridad de la Información.
Lección 2: ¿Que es un estándar?
Lección 3: Diferencias entre un Modelo y Estándar
Lección 4: Ventajas y Desventajas
Lección 5: Ejemplos de Modelos y Estándares
Capítulo 2: Estándar (normas) de seguridad informática
Lección 6: ISO 17799
Lección 7: ISO 27000
Lección 8: ISO 27001
Lección 9: ISO 27001
Lección 10: ISO 27003 a ISO 27005
Capítulo 3: Modelos de seguridad informática
Lección 11: ITIL
Lección 12: COBIT
Lección 13: OSSTMM
Lección 14: CC
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
3
Lección 15: Políticas, organización, alcance del sistema de gestión.
SEGUNDA UNIDAD: PROFUNDIZACION EN SEGURIDAD INFORMATICA
Capítulo 4: Gobierno de Tecnología
Lección 16: ¿Qué es Gobierno de Tecnología?
Lección 17: Fundamentos de Gobierno de Tecnología
Lección 18: Implementación de Gobierno de TI
Lección 19: Marco de Implementación.
Lección 20: Éxito de Gobierno de Tecnología
Capítulo 5: Certificaciones
Lección 21: CISA
Lección 22: CISM
Lección 23: CGIT
Lección 24: CISSP
Lección 25: COMPTIA SECURITY
Capítulo 6: Hacker Ético
Lección 26: ¿Qué es Hacker Ético?
Lección 27: Tareas del Hacker Ético
Lección 28: Certificación Hacker Ético
Lección 29: Ingeniería Social
Lección 30: Reflexión Hacker Personal
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
4
LISTADO DE GRAFICOS Y FIGURAS
Fig. 1. Modelo de seguridad de la información organizacional. Pág. 12
Fig. 2. Entidades generadoras de estándares. Pág. 15
Fig. 3. Modelo de gestión de TI. Pág. 39
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
5
ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO
El contenido didáctico del curso académico: Modelos y Estándares de
Seguridad Informática fue diseñado y construido inicialmente en el año 2012 por
los Ingenieros Gabriel Mauricio Ramírez Villegas y Gustavo Eduardo Constaín
Moreno, docentes de la Escuela de Ciencias Básicas Tecnología e Ingeniería de la
Universidad Nacional Abierta y a Distancia, ubicados en los Centros de Educación
a Distancia de Palmira (Valle del Cauca) y Popayán (Cauca) respectivamente, con
recursos de Internet, Libros Electrónicos, White Papers, Monografías, Trabajos de
Grados, documentos de las compañías y organizaciones productoras de los
modelos y estándares, además de hardware y software, consorcios de
telecomunicaciones, videos, presentaciones, entre otros recursos utilizados.
Algunas de las lecciones toman información textual de diferentes documentos, con
referencia a las definiciones y explicaciones sobre los modelos y estándares de
tecnologías computacionales y de comunicaciones con respecto a la seguridad
informática.
El presente contenido es la primera versión construida para el curso de Modelos y
Estándares de Seguridad Informática, debido a los diferentes estándares definidos
por la UNAD y por el continuo cambio de los contenidos y la evolución de los
sistemas computacionales y de comunicaciones, el contenido podrá ser
actualizado de forma constante.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
6
AVISO IMPORTANTE LEER ANTES DE INICIAR
El contenido del curso 233002 Modelos y Estándares de Seguridad
Informática está construido con información conceptual y contextual
referente a los diferentes modelos y estándares que se aplican a la
seguridad informática.
Las Unidades didácticas corresponden a un (1) crédito académico, de
acuerdo a lo establecido en la UNAD estas unidades están
conformadas por los capítulos y estos a su vez por lecciones, las
lecciones contienen la información conceptual y contextual, que debe
ser profundizada por medio de la investigación de los estudiantes en el
tema, para ello se proponen enlaces web los cuales son páginas de
internet, monografías, artículos, White papers, tesis de grado, así
como la información técnica de las empresas productoras de hardware
y software, organizaciones de seguridad entre otros que dirigen a los
estudiantes a la profundización de los temas, pero a su vez los
estudiantes deben profundizar en los temas buscando sus propios
recursos.
Es importante que el participante del curso observe los enlaces
sugeridos y lea con detenimiento las distintas fuentes de información
mencionadas para garantizar un adecuado nivel de profundización en
las temáticas tratadas al interior del curso.
¡No olvidar profundizar las lecciones con los documentos y
enlaces relacionados!
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
7
INTRODUCCIÓN
En el presente contenido didáctico del curso de Modelos y Estándares en
Seguridad Informática, se podrá observar la información básica y necesaria para el
desarrollo de las actividades del curso.
El curso se desarrolla bajo la estrategia de Aprendizaje Basada en el trabajo
colaborativo, esta estrategia se utiliza para que los estudiantes planeen,
implementen y evalúen los diferentes modelos y estándares para conceptualizar,
contextualizar y aplicar los conocimientos en el mundo real.
De acuerdo con esto se plantea en el curso el desarrollo de la información de las
unidades del curso, pero se invita al estudiante a investigar y profundizar en cada
una de estas unidades, para ello se desarrolla un diseño instruccional en donde el
estudiante tendrá una guía de investigación que le permita complementar la
información y así cumplir con el proceso de enseñanza-aprendizaje.
Los estudiantes deben trabajar en equipo con los compañeros de su grupo de
trabajo, lo cuales se acompañaran en todos los procesos de investigación y de
aprendizaje durante el desarrollo del curso, cabe anotar que el grupo de trabajo
debe conseguir realizar el trabajo en sinergia que le permita realizar aprendizaje
entre pares con sus compañeros.
En este orden de ideas es necesario que el estudiante afronte el curso de forma
adecuada en cuanto al trabajo que se realizara en cada una de las unidades
didácticas del curso, en las investigaciones complementarias y en el desarrollo de
las actividades del curso.
A continuación se presentan dos (2) Unidades didácticas, en las cuales se
presenta la información referente al marco teórico de los modelos y estándares
utilizados en la actualidad en la seguridad informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
8
UNIDAD 1
Nombre de la Unidad Introducción a los Modelos y Estándares de Seguridad Informática
Introducción
Justificación
Intencionalidades Formativas
Capítulo 1 Conceptos Básicos de Seguridad Informática
Lección 1 Sistema de Gestión de la Seguridad de la Información
Lección 2 ¿Qué es un Estándar?
Lección 3 Diferencias entre un Modelo y Estándar
Lección 4 Ventajas y Desventajas
Lección 5 Ejemplos de Modelos y Estándares
Capítulo 2 Modelos (normas) de seguridad informática
Lección 6 ISO 17799
Lección 7 ISO 27000
Lección 8 ISO 27001
Lección 9 ISO 27002
Lección 10 ISO 27003 a ISO 27005
Capítulo 3 Estándares de seguridad informática
Lección 11 ITIL
Lección 12 COBIT
Lección 13 OSSTMM
Lección 14 CC
Lección 15 Políticas, organización, alcance del sistema de gestión.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
9
PRIMERA UNIDAD: INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICA
CAPITULO 1: CONCEPTOS BÁSICOS DE SEGURIDAD INFORMÁTICA
Introducción
En la actualidad, el activo de mayor valor para muchas organizaciones es la
información y en tal sentido asumen una significativa importancia las acciones
tendientes a garantizar su permanencia en el tiempo con un nivel de acceso
controlable y seguro. A diario las organizaciones se están viendo amenazadas por
riesgos que ponen en peligro la integridad de la información y, por supuesto, la
viabilidad y estabilidad de sus funciones sustanciales.
Es importante la identificación de los factores de riesgo, tanto internos como
externos, que pueden significar un factor de riesgo para la integridad de la
información organizacional, y a partir de ello buscar las mejores alternativas para
el aseguramiento de un entorno de trabajo fiable. En tal sentido, las
organizaciones pueden proteger sus datos e información de valor con el
planteamiento de un Sistema de Gestión de Seguridad de la Información (SGSI)
que permita conocer, gestionar y minimizar los posibles riesgos que atenten contra
la seguridad de la información.
El presente capítulo, profundiza en la conceptualización de aspectos básicos de
seguridad informática y protección de las infraestructuras de las tecnologías de la
información, con el fin de generar los conocimientos mínimos para el desarrollo
apropiado de la especialización.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
10
Justificación
La presente Unidad permite al participante del curso Modelos y Estándares en
Seguridad Informática, apropiar los conceptos generales básicos para abordar las
diferentes temáticas a tratar en la Especialización en Seguridad Informática, para
que de este modo se facilite su aprendizaje y continuidad en los niveles con una
apropiación adecuada de las temáticas propuestas.
Dentro de este nivel de aprendizaje es importante la definición de los modelos de
implementación de la seguridad de la información, además de los estándares que
pueden ser aplicados para este fin. Todo lo anterior servirá como base para la
continuidad en el programa de formación postgradual.
Intencionalidades Formativas
Fortalecer los conocimientos fundamentales de la seguridad informática como el
esquema básico de diseño de un sistema de gestión de la seguridad de la información
organizacional (SGSI).
Identificar los diferentes modelos y estándares que pueden ser aplicados en las
organizaciones para el montaje de un SGSI.
Identificar las características, ventajas y desventajas de los modelos y estándares de
seguridad informática.
Preparar al participante de la especialización en los conceptos fundamentales, análisis,
diseño y desarrollo de sistemas de gestión de la seguridad de la información.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
11
Lección 1: Sistema de gestión de seguridad de la información
En el interior de las organizaciones actuales es imposible no considerar su
información como uno de factores de mayor importancia y valor, y que por
supuesto amerita de un tratamiento especial para garantizar su fiabilidad y
permanencia. En tal sentido, cada propietario de la información podría asumir sus
mecanismos de protección particulares sin importar la compatibilidad de tales
estrategias con otras que pudieran haber sido asumidas por un interlocutor dentro
de un proceso de manejo de información al interior de la misma organización. Es
así como además de la pérdida de información por malos manejos de los medios
de transmisión, se suma a estos riesgos la innumerable lista de amenazas
posibles que atentan contra la integridad de dicha información.
Para cualquier organización el garantizar un nivel de protección total de la
información es virtualmente imposible, incluso en el caso de disponer de recursos
ilimitados. En este sentido, se han propuesto normas internacionales con el fin de
unificar los mecanismos de construcción, manejo, almacenamiento y transmisión
de información para reducir los riesgos que ocasionan pérdidas de información y
facilitar los criterios de actuación en caso de que ellos ocurran. Sin embargo, a
través de estas normas se puede prever la conservación de su confidencialidad,
integridad y disponibilidad, así como de los sistemas implicados en su tratamiento.
A esto se le ha llamado Sistema de Gestión de la Seguridad de la Información
–SGSI (o ISMS por sus siglas en inglés).
El propósito de un SGSI es, por tanto, garantizar que los riesgos de la seguridad
de la información sean conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática, estructurada, repetible,
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y
las tecnologías.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
12
Fig. 1. Modelo de seguridad de la información organizacional1
El proceso de desarrollo del SGSI requiere de la ejecución de las siguientes fases:
1. PLANEAR
Definir el alcance de las políticas
Definir las políticas
Definir la metodología de valoración del riesgo
Identificar riesgos
Analizar y evaluar riesgos
Gestión del riesgo
Objetivos de control
Obtener autorización para operar el SGSI
Elaborar una declaración de aplicabilidad
2. IMPLEMENTAR
Plan de tratamiento del riesgo
Implementar controles seleccionados
Definir métrica de los controles establecidos
1 Imágen tomada de: USC Marshall School of Business Institute for Critical Information Infraestructure
Protection. http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
13
Implementar programas de educación
Gestionar la operación del SGSI
Gestionar los recursos del SGSI
Implementar procedimientos
3. EVALUAR
Ejecutar procedimientos de revisión
Realizar revisiones periódicas
Medir la eficacia de los controles
Revisar las valoraciones de riesgos
Realizar auditorías internas
4. MANTENER
Implementar las mejoras identificadas en el SGSI
Emprender acciones correctivas y preventivas
Comunicar las acciones y mejoras a las partes interesadas
Asegurarse de que las mejoras logran los objetivos propuestos
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Portal web ISO27000. Sistema de Gestión de la Seguridad de la Información:
http://www.iso27000.es/download/doc_sgsi_all.pdf
FERRER, R. Sistema de Gestión de la Seguridad de la Información -SGSI:
http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf
Portal VDigitalRM. Guía de seguridad de la información:
http://www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf
Instituto Nacional de Tecnologías de la Comunicación. Conceptos básicos sobre
Seguridad de la Información:
http://www.youtube.com/watch?v=zV2sfyvfqik
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
14
Lección 2: ¿Qué es un Estándar?
Como vimos en la lección anterior, un sistema de gestión de la seguridad de la
información busca prever los riesgos con el fin de preservar la confidencialidad,
integridad y disponibilidad de la misma, bien sea en el interior de la organización,
ante nuestros clientes (internos y/o externos) y ante las distintas partes
involucradas en nuestro negocio. La confidencialidad implica el acceso a la
información por parte exclusiva de las personas que estén debidamente
autorizadas para hacerlo, la integridad conlleva el mantenimiento de la exactitud y
completitud de la información y sus métodos de proceso; finalmente, la
disponibilidad se refiere al acceso a la información y los sistemas de tratamiento
de la misma por parte de los usuarios autorizados en el momento que lo requieran.
Para lograr lo anteriormente expuesto, se ha definido un con junto de normas,
denominadas como Estándares, que pueden concebirse como una “publicación
que reúne el trabajo en común de los comités de fabricantes, usuarios,
organizaciones, departamentos de gobierno y consumidores, que contiene las
especificaciones técnicas y mejores prácticas en la experiencia profesional con el
objeto de ser utilizada como regulación, guía o definición para las necesidades
demandadas por la sociedad y tecnología”2.
Con el fin de proporcionar un marco de gestión de la seguridad de la información
que sea utilizable por cualquier tipo de organización, se ha creado un conjunto de
estándares bajo el nombre de ISO/IEC 27000; “estas normas nos van a permitir
reducir de manera significativa el impacto de los riesgos sin necesidad de realizar
grandes inversiones en software y sin contar con una gran estructura de personal.
El grupo de normas ISO/IEC 27000 han sido elaboradas conjuntamente por ISO,
que es la Organización Internacional de Normalización y por IEC que es la
Comisión Electrotécnica Internacional. Ambos están formados por los organismos
de normalización más representativos de cada país.
2 Ministerio de comunicaciones. República de Colombia. Modelo de seguridad de la información. Sitio web:
http://programa.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
15
Fig. 2. Entidades generadoras de estándares
ISO e IEC se encargan de elaborar normas internacionales que el mercado
requiere, necesita y exige. Estas normas pueden hacer referencia a productos
como electrodomésticos, calzado, alimentación o juguetes; también pueden hacer
referencia a servicios como los prestados en hoteles o transporte público de
pasajeros. En los últimos años, ISO e IEC han trabajado mucho con normas
relacionadas con las nuevas tecnologías como la telefonía móvil o la seguridad de
la información, y por supuesto, han continuado elaborando normas de gestión
como las conocidas ISO 9001 e ISO 14001. Las normas son de carácter
voluntario, nadie obliga o vigila su cumplimiento, sin embargo, su uso por millones
de empresas facilita el entendimiento entre países y organizaciones. Las normas
también contribuyen a mejorar la calidad y seguridad de los productos y servicios
que utilizamos todos los días.”3
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Ministerio de comunicaciones. República de Colombia. Modelo de seguridad de la
información. Sitio web:
http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
3 Instituto Nacional de Tecnologías de la Comunicación – INTECO. España. www.inteco.es
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
16
Instituto Nacional de Tecnologías de la Comunicación. Conceptos básicos sobre Seguridad de la Información: http://www.youtube.com/watch?v=zV2sfyvfqik Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related Escuela Colombiana de Ingeniería Julio Garavito. Principales estándares para la seguridad de de la información IT: http://www.escuelaing.edu.co/micrositio/admin/documentos/EOS2-6.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
17
Lección 3: Diferencias entre un Modelo y un Estándar
Los estándares y las normas son descripciones técnicas detalladas, elaboradas
con el fin de garantizar la interoperabilidad entre elementos construidos
independientemente, así como la capacidad de replicar un mismo elemento de
manera sistemática.
Según la Organización Internacional para la Estandarización (ISO), uno de los
principales organismos internacionales desarrolladores de estándares, la
normalización es la actividad que tiene por objeto establecer, ante problemas
reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el
fin de obtener un nivel de ordenamiento óptimo en un contexto dado, que puede
ser tecnológico, político o económico.
En el caso de las telecomunicaciones, el contexto al que hace referencia la ISO es
casi exclusivamente tecnológico. Los estándares de telecomunicaciones deben
alcanzar únicamente el nivel de concreción necesario para llevar a cabo
implementaciones del estándar de manera inequívoca y que sean compatibles
entre sí. Además, las normas técnicas de telecomunicaciones deben proporcionar
criterios uniformes en el ámbito territorial más extenso posible, de manera que se
pueda garantizar la interoperabilidad a nivel global.
Con el fin de clarificar algunos conceptos que son importantes para la continuidad
temática del curso, a continuación se definen conceptualmente los aspectos
siguientes:
NORMA:
En Tecnología, una norma o estándar es una especificación que reglamenta
procesos y productos para garantizar la interoperabilidad. Una norma de calidad
es una regla o directriz para las actividades, diseñada con el fin de conseguir un
grado óptimo de orden en el contexto de la calidad.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
18
Las normas son documentos técnicos con las siguientes características:
Contienen especificaciones técnicas de aplicación voluntaria
Son elaborados por consenso de las partes interesadas:
Fabricantes
Administraciones
Usuarios y consumidores
Centros de investigación y laboratorios
Asociaciones y Colegios Profesionales
Agentes Sociales, etc.
Están basados en los resultados de la experiencia y el desarrollo
tecnológico
Son aprobados por un organismo nacional, regional o internacional de
normalización reconocido
Están disponibles al público
Las normas ofrecen un lenguaje de punto común de comunicación entre las
empresas, la Administración y los usuarios y consumidores, establecen un
equilibrio socioeconómico entre los distintos agentes que participan en las
transacciones comerciales, base de cualquier economía de mercado, y son un
patrón necesario de confianza entre cliente y proveedor.
Tipos de normas:
Una norma de facto puede definirse como una especificación técnica que ha sido
desarrollada por una o varias compañías y que ha adquirido importancia debido a
las condiciones del mercado. Suele utilizarse para referirse a normas de uso
cotidiano.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
19
Una norma de jure puede definirse, en general, como una especificación técnica
aprobada por un órgano de normalización reconocido para la aplicación de la
misma de forma repetida o continuada, sin que dicha norma sea de obligado
cumplimiento.
ESTÁNDAR:
La normalización o estandarización es la redacción y aprobación de normas que
se establecen para garantizar el acoplamiento de elementos construidos
independientemente, así como garantizar el repuesto en caso de ser necesario,
garantizar la calidad de los elementos fabricados y la seguridad de
funcionamiento.
La normalización es el proceso de elaboración, aplicación y mejora de las normas
que se aplican a distintas actividades científicas, industriales o económicas con el
fin de ordenarlas y mejorarlas. La Asociación Estadounidense para Pruebas de
Materiales (ASTM), define la normalización como el proceso de formular y aplicar
reglas para una aproximación ordenada a una actividad específica para el
beneficio y con la cooperación de todos los involucrados.
Según la ISO (International Organization for Standarization) la Normalización es la
actividad que tiene por objeto establecer, ante problemas reales o potenciales,
disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un
nivel de ordenamiento óptimo en un contexto dado, que puede ser tecnológico,
político o económico.
La normalización persigue fundamentalmente tres objetivos:
Simplificación: Se trata de reducir los modelos quedándose únicamente con los
más necesarios.
Unificación: Para permitir la intercambiabilidad a nivel internacional.
Especificación: Se persigue evitar errores de identificación creando un lenguaje
claro y preciso.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
20
MODELO:
Arquetipo o punto de referencia para imitarlo o reproducirlo.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
TECCELAYA. Norma, Estándar, Modelo.
http://equipoteccelaya.blogspot.es/1234029360/
WIKITEL. Normas y Estándares.
http://es.wikitel.info/wiki/Normas_y_Est%C3%A1ndares
Bjørn Andersen. Departamento de Producción y Calidad de Ingeniería de la
Universidad Noruega de Ciencia y Tecnología. Ventajas y desventajas del uso de
modelos predefinidos de proceso.
http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjo
nsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520us
ing%2520predefined%2520process%2520models.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
21
Lección 4: Ventajas y desventajas
Ventajas:
Algunas de las ventajas de la implementación de estándares para la seguridad de
la información son las siguientes:
Mejorar el conocimiento de los sistemas de información, sus problemas y
los medios de protección.
Mejorar la disponibilidad de los materiales y de los datos que existan en la
organización.
Se facilita la protección de la información.
La aplicación de estándares puede significar la diferenciación de la
organización ante la competencia y sobre el mercado.
Algunas licitaciones de tipo internacional solicitan la gestión y cumplimiento
de ciertas normas de aseguramiento de la seguridad de la información.
Reducción de costos debido a la pérdida de información.
Desventajas:
La no aplicación de las normas, o la mala implementación de las mismas, pude
llevar a la ocurrencia de las siguientes situaciones:
Claves de acceso a sistemas de información “compartidas” o inexistentes.
Acceso a sitios no autorizados.
Uso indebido de equipos informáticos y mala utilización o pérdida de la
información en ellos contenida.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
22
Robo o pérdida de información importante.
Bases de datos destruidas.
Mantenimiento de equipos informáticos no controlados.
Copias de seguridad inservibles o incompatibles.
Redes de comunicación de la organización caídas.
Aplicaciones informáticas mal diseñadas.
Inexistencia de roles y responsabilidades entre las personas con acceso a
la información (personal no controlado).
Deficiente infraestructura de los centros de informática.
Terceros / Outsourcing sin control.
Incumplimiento de requerimientos legales o contractuales.
Inestabilidad de la viabilidad de la organización.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Estándares y Normas de seguridad: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
Bjørn Andersen. Departamento de Producción y Calidad de Ingeniería de la Universidad Noruega de Ciencia y Tecnología. Ventajas y desventajas del uso de modelos predefinidos de proceso. http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjonsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520using%2520predefined%2520process%2520models.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
23
Lección 5: Ejemplos de Modelos y estándares
Para el caso que nos interesa, las normas ISO/IEC 27000 han sido creadas para
facilitar la implantación de Sistemas de Gestión de Seguridad de la Información,
entre las más importantes están:
NORMA ISO/IEC 27000: Recoge los términos y definiciones empleados en el
resto de normas de la serie, con esto se evitan distintas interpretaciones sobre los
conceptos que aparecen a lo largo de las mismas. Además, incluye una visión
general de la familia de normas en esta área, una introducción a los sistemas de
Gestión de Seguridad de la información y una descripción del ciclo de mejora
continua.
NORMA ISO/IEC 27001: Es la norma principal de la serie. Se puede aplicar a
cualquier tipo de organización, independientemente de su tamaño y de su
actividad. La norma contiene los requisitos para establecer, implementar, operar,
supervisar, revisar, mantener y mejorar un sistema de gestión de la seguridad de
la información. Recoge los componentes del sistema, los documentos mínimos
que deben formar parte de él y los registros que permitirán evidenciar el buen
funcionamiento del sistema. Asimismo, especifica los requisitos para implementar
controles y medidas de seguridad adaptados a las necesidades de cada
organización.
NORMA ISO/IEC 27002: Es una guía de buenas prácticas que recoge las
recomendaciones sobre las medidas a tomar para asegurar los sistemas de
información de una organización. Para ello describe 11 áreas de actuación, 39
objetivos de control o aspectos a asegurar dentro de cada área y 133 controles o
mecanismos para asegurar los distintos objetivos de control.
La familia de normas ISO/IEC 27000 contiene otras normas destacables. Como
por ejemplo, la norma sobre requisitos para la acreditación de las entidades de
auditoría y certificación, es decir, de aquellas entidades que acuden a las
empresas para certificar que el sistema está correctamente implantado. También
incluye una guía de auditoría y guías de implantación de la norma en sectores
específicos como el de sanidad o telecomunicaciones.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
24
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
25
CAPITULO 2: MODELOS (NORMAS) DE SEGURIDAD INFORMÁTICA
Lección 6: ISO 17799
La ISO 17799 es una norma internacional que ofrece recomendaciones para
realizar la gestión de la seguridad de la información dirigidas a los responsables
de iniciar, implantar o mantener la seguridad de una organización. Existen varios
tipos de estándares aplicados a diferentes niveles, de los cuales el ISO 17799 es
el estándar internacional más extendido y aplicado.
El objetivo de esta norma es proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones, un método de gestión eficaz
de la seguridad y para establecer transacciones y reclamaciones de confianza
entre las empresas.
Esta misma norma recoge la relación de controles que se deben aplicar para
establecer un Sistema de Gestión de la Seguridad de la Información (SGSI). El
conjunto completo de estos controles conforman las buenas prácticas de
seguridad de la información. Algunas características de la norma ISO 17799 son
las siguientes:
Está redactada de forma flexible e independiente de cualquier solución de
seguridad concreta.
Proporciona buenas prácticas neutrales con respectos a tecnologías o
fabricantes específicos.
Aplicable a todo tipo de organizaciones sin importar su naturaleza comercial
o tamaño.
La norma ISO 17799 establece 11 dominios de control que cubren por completo la
gestión de la seguridad de la información:
1. Política de seguridad: Dirigir y dar soporte a la gestión de la seguridad de la
información (directrices y recomendaciones).
2. Aspectos organizativos de la seguridad: Gestión dentro de la organización
(recursos, activos, tercerización, etc.)
3. Clasificación y control de activos: Inventario y nivel de protección de los
activos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
26
4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos,
fraudes o mal uso de los recursos.
5. Seguridad física y del entorno: Evitar accesos no autorizados, violación,
daños o perturbaciones a las instalaciones y a los datos.
6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y
segura de los recursos de tratamiento de la información.
7. Control de accesos: Evitar accesos no autorizados a los sistemas de
información (en computadores, redes informáticas, archivos personales de
usuarios, etc.)
8. Desarrollo y mantenimiento de sistemas: Garantizar que la seguridad está
incorporada dentro de los sistemas de información, evitar pérdidas,
modificaciones o mal uso de la información
9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de
la información.
10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las
actividades del negocio y proteger sus procesos críticos frente a fallos,
ataques o desastres.
11. Conformidad con la legislación Evitar el incumplimiento de leyes,
regulaciones, obligaciones y de otros requerimientos de seguridad.
De estos once dominios se derivan los Objetivos de Control, con los resultados
que se esperan alcanzar mediante la implementación de controles; y los
Controles, que son las prácticas, procedimientos y mecanismos que reducen el
nivel de riesgo.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
27
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Un acercamiento a las mejores prácticas de seguridad de la información
internacionalmente reconocidas en el estándar ISO 17799:2005. Empresa Mayorista de
Valor Agregado (MVA). Colombia. 2006.
http://www.google.com.co/url?sa=t&rct=j&q=est%C3%A1ndar+ISO+17799+filetype%3Apd
f&source=web&cd=1&ved=0CDMQFjAA&url=http%3A%2F%2Fwww.mvausa.com%2FCol
ombia%2FPresentaciones%2FINTRODUCCION_ISO_17799.pdf&ei=-f8vT6ehD5Tsggek-
6iZBA&usg=AFQjCNFFbO-Fg2GSGKyyaJiYWbBu5a_kKw
Seguridad de la información. Norma ISO 17799. ITCSA Software.
http://www.ciiasdenic.net/files/doccursos/1196890583_ConferenciaISO17799.pdf
Tecnología de la información –Técnicas de seguridad- Código para la práctica de la
gestión de la seguridad de la información. Estándar internacional ISO/IEC 17799.
https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
Estándares y normas de seguridad
http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
28
Lección 7: ISO 27000
Es una familia de estándares de ISO e IEC que proporciona un marco para la
gestión de la seguridad de la información. Estas normas especifican los requisitos
para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y
mejorar un SGSI.
La norma ISO 27000 está basada en:
Normas Base: 20001, 20002
Normas Complementarias: 20003, 20004, 20005, …
La aplicación de este grupo de normas busca la preservación de la información
con confidencialidad, integridad y disponibilidad, así como la de los sistemas
implicados en su tratamiento:
Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
Integridad: Mantenimiento de la exactitud y completitud de la información y
sus métodos de proceso.
Disponibilidad: Acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades, o procesos
autorizados cuando lo requieran.
ISO 27000 también define el vocabulario estándar empleado en la familia de
estándares 27000 (definición de términos y conceptos).
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
29
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Familia de normas ISO/IEC 27000.
http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
ISO 27000.
http://www.iso27000.es/download/doc_iso27000_all.pdf
Sistema de Gestión de Seguridad de TI.
http://www.asentti.com/documentos/gseguridad.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
30
Lección 8: ISO 27001
Es la norma principal de la serie ISO/EIC 27000 y se puede aplicar a cualquier tipo
de organización, sin importar su tamaño o su actividad comercial. La norma
contiene los requisitos para establecer, implementar, operar, supervisar, revisar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la Información,
documentado dentro del contexto global de los riesgos de negocio de la
organización.
La norma ISO 27001, recoge los componentes del sistema, los documentos
mínimos que deben formar parte de él y los registros que permiten evidenciar el
buen funcionamiento del sistema. Asimismo, especifica los requisitos para
implantar controles y medidas de seguridad adaptados a las necesidades de cada
organización. Esta además, es la norma con la que se certifican los Sistemas de
Gestión de Seguridad de la Información de las organizaciones que lo deseen.
El objetivo de esta norma es el mejoramiento contínuo del sistema de gestión de
seguridad de la información a través de la adopción del modelo Plan-Do-Check-
Act (PDCA o Ciclo de Deming) para todos los procesos de la organización. Estas
siglas obedecen a las siguientes fases:
Fase de Planificación (Plan) [Establecer el SGSI]: Establecer la política,
objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la
seguridad de la información de la organización para ofrecer resultados de acuerdo
con las políticas y objetivos generales de la organización.
Fase de Ejecución (Do) [Implementar y gestionar el SGSI]: Implementar y
gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos.
Fase de Seguimiento (Check) [Monitorizar y revisar el SGSI]: Medir y revisar
las prestaciones de los procesos del SGSI.
Fase de Mejora (Act) [Mantener y mejorar el SGSI]: Adoptar acciones
correctivas y preventivas basadas en auditorías y revisiones internas o en otra
información relevante a fin de alcanzar la mejora contínua del SGSI.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
31
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Estándares y Normas de seguridad: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
32
Lección 9: ISO 27002
La NORMA ISO/IEC 27002 es una guía de buenas prácticas que recoge las
recomendaciones sobre las medidas a tomar para asegurar los sistemas de
información en una organización. Para ello describe 11 áreas de actuación, 39
objetivos de control o aspectos a asegurar dentro de cada área y 133 controles o
mecanismos para asegurar los distintos objetivos de control.
Los objetivos de seguridad, recogen aquellos aspectos fundamentales que se
deben analizar para conseguir un sistema seguro en cada una de las áreas que
los agrupa. Para conseguir cada uno de estos objetivos la norma propone una
serie de medidas o recomendaciones (controles) que son los que en definitiva
aplicaremos para la gestión del riesgo analizado. El objetivo de la norma es definir
los aspectos prácticos y operativos de la implantación del SGSI.
Áreas o secciones sobre las qué actuar:
o Política de seguridad
o Aspectos organizativos para la seguridad
o Clasificación y control de activos
o Seguridad ligada al personal
o Seguridad física del entorno
o Gestión de comunicaciones y operaciones
o Control de accesos
o Desarrollo y mantenimiento de sistemas
o Gestión de incidentes de seguridad de la información
o Gestión de continuidad del negocio
o Conformidad
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
33
Objetivos de control
o Aspectos por asegurar dentro de cada área/sección.
Controles
Mecanismos para asegurar los distintos objetivos de control (guía de buenas
prácticas)
o Para cada control se incluye una guía para su implementación.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Estándares y Normas de seguridad: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
34
Lección 10: ISO 27003 a ISO 27799
ISO 27003: Consiste en una guía de implementación de SGSI e información
acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.
Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos
publicados por BSI a lo largo de los años con recomendaciones y guías de
implantación.
• ISO 27004: Especifica las métricas y las técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas
se usan fundamentalmente para la medición de los componentes de la fase “Do”
(Implementar y Utilizar) del ciclo PDCA.
• ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de
la información. Apoya los conceptos generales especificados en la norma ISO/IEC
27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de
la información basada en un enfoque de gestión de riesgos. El conocimiento de los
conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e
ISO/IEC 27002 es importante para un completo entendimiento de la norma
ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo,
empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la
organización de la seguridad de la información. Su publicación revisa y retira las
normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000.
ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría
y certificación de sistemas de gestión de seguridad de la información. Es una
versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que
operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos
para las entidades de auditoría y certificación de sistemas de gestión) los
requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a
interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una norma de acreditación
por sí misma.
ISO 27007: Consiste en una guía de auditoría de un SGSI.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
35
ISO 27011: Consiste en una guía de gestión de seguridad de la información
específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión
Internacional de Telecomunicaciones).
ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a
tecnologías de la información y comunicaciones.
ISO 27032: Consiste en una guía relativa a la ciberseguridad.
ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes,
arquitectura de seguridad de redes, escenarios de redes de referencia,
aseguramiento de las comunicaciones entre redes mediante gateways, acceso
remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e
implementación de seguridad en redes. Proviene de la revisión, ampliación y re-
numeración de ISO 18028.
ISO 27034: Consiste en una guía de seguridad en aplicaciones.
ISO 27799: Es un estándar de gestión de seguridad de la información en el sector
sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las
anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC
215.
Esta norma define directrices para apoyar la interpretación y aplicación en la salud
informática de la norma ISO/IEC 27002 y es un complemento de esa norma. ISO
27799:2008 especifica un conjunto detallado de controles y directrices de buenas
prácticas para la gestión de la salud y la seguridad de la información por
organizaciones sanitarias y otros custodios de la información sanitaria en base a
garantizar un mínimo nivel necesario de seguridad apropiado para la organización
y circunstancias que van a mantener la confidencialidad, integridad y
disponibilidad de información personal de salud.
ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en
cualquiera de sus formas, toma la información (palabras y números, grabaciones
sonoras, dibujos, vídeos imágenes médicas), sea cual fuere el medio utilizado
para almacenar (de impresión o de escritura en papel o electrónicos de
almacenamiento) y sea cual fuere el medio utilizado para transmitirlo (a mano, por
fax, por redes informáticas o por correo), ya que la información siempre debe estar
adecuadamente protegida.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
36
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
ISO 27000.
http://www.iso27000.es/download/doc_iso27000_all.pdf
Estándares y Normas de seguridad: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
37
CAPITULO 3: ESTÁNDARES DE SEGURIDAD INFORMÁTICA
Lección 11: ITIL
“La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de tecnologías de la información –TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI”4.
Lo primero que debemos clarificar es que ITIL no es una metodología, sino un conjunto de mejores prácticas. La biblioteca de infraestructura de TI (ITIL) toma este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una práctica específica dentro de la gestión de TI. Tras la publicación inicial de estos libros, su número creció rápidamente (dentro la versión 1) hasta unos 30 libros. Para hacer a ITIL más accesible (y menos costosa) a aquellos que deseen explorarla, uno de los objetivos del proyecto de actualización ITIL versión 2 fue agrupar los libros según unos conjuntos lógicos destinados a tratar los procesos de administración que cada uno cubre. De esta forma, diversos aspectos de los sistemas de TIC, de las aplicaciones y del servicio se presentan en conjuntos temáticos. Actualmente existe la nueva versión ITIL v3 que fue publicada en mayo de 2007.
Aunque el tema de Gestión de Servicios (Soporte de Servicio y Provisión de Servicio) es el más ampliamente difundido e implementado, el conjunto de mejores prácticas ITIL provee un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna.
Los ocho libros de ITIL y sus temas son:
Gestión de Servicios de TI,
1. Mejores prácticas para la Provisión de Servicio 4 http://es.wikipedia.org/wiki/ITIL
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
38
2. Mejores prácticas para el Soporte de Servicio
Otras guías operativas:
3. Gestión de la infraestructura de TI
4. Gestión de la seguridad
5. Perspectiva de negocio
6. Gestión de aplicaciones
7. Gestión de activos de software
Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con guías de implementación (principalmente de la Gestión de Servicios):
8. Planeando implementar la Gestión de Servicios.
Adicional a los ocho libros originales, más recientemente se añadió una guía con recomendaciones para departamentos de TIC más pequeños:
9. Implementación de ITIL a pequeña escala.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Presentación de ITIL V2 y V3. http://www.sisteseg.com/files/Microsoft_PowerPoint_-_ITIL_V3_PRESENTACION_.pdf ITIL como apoyo a la seguridad de la información http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/04-ITILSoporteSGSIBasadoISO27001.pdf Qué es la actualización ITIL v3 2011 http://www.globalk.com.co/globalk_co/others/imagenes/cert_itil.pdf
¿Qué es ITIL? http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
39
Lección 12: COBIT
COBIT es un acrónimo de “objetivos de control para la información y la tecnología relacionada” (por sus siglas en inglés); se concibe como un marco creado por ISACA5 para la tecnología de la información (TI) y el Gobierno de TI. Se trata de un conjunto de herramientas de apoyo que permite a los administradores cerrar la brecha entre las necesidades de control, aspectos técnicos y los riesgos de negocio. COBIT define 34 procesos genéricos para la gestión de TI. Cada proceso es definido con sus entradas y salidas, además de las actividades, sus objetivos, las medidas de rendimiento y un modelo de madurez elemental.
El marco COBIT proporciona buenas prácticas a través de un marco de dominio y proceso. La orientación de negocio de COBIT consiste en vincular los objetivos del negocio para los objetivos de las TI, brindando métricas y modelos de madurez para medir sus logros, y la identificación de las responsabilidades asociadas de negocio y de TI responsables de dichos procesos. El enfoque hacia procesos de COBIT se ilustra con un modelo de proceso que se subdivide en cuatro dominios (Planificar y Organizar, Adquirir e Implementar, Entregar y Soporte técnico y Seguimiento y Evaluación) y 34 procesos en línea con las áreas de responsabilidad de ejecución del plan, su construcción y el seguimiento.
Fig. 3. Modelo de gestión de TI
5 Asociación de sistemas de información de auditoría y control. ISACA es una asociación profesional
internacional que se ocupa de Gobierno de TI
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
40
Los componentes de COBIT incluyen:
Marco: Organizar los objetivos de gobernanza de TI y las buenas prácticas de TI y procesos de dominios, y los vincula a los requerimientos del negocio.
Descripción del proceso: Un modelo de proceso de referencia y lenguaje común para todos los miembros de una organización. El mapa de procesos de las áreas de responsabilidad de planificar, construir, ejecutar y monitorear.
Los objetivos de control: Proporcionar un conjunto completo de requisitos de alto nivel que deben ser considerados por la administración para el control efectivo de cada proceso de TI.
Directrices de gestión: Ayuda asignar responsabilidades, de acuerdo a los objetivos, medir el rendimiento, e ilustran la interrelación con otros procesos
Los modelos de madurez: Evaluar la madurez y la capacidad de cada proceso y ayuda a subsanar las deficiencias.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
IT Service. Fundamentos de COBIT. http://www.itservice.com.co/pdf/FUNDAMENTOS%20DE%20COBIT%204-1.pdf SISTESEG. COBIT 4.1. http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf Molina, Lucio A. COBIT como promotor de la seguridad de la información. http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/02-CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf
Asociación Colombiana de Ingenieros de Sistemas ACIS. Integrando COBIT, ITIL e ISO 27002 como parte de un marco de Gobierno de Control de TI. http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_Informatica/RobertoArbelaezXXVISalon2006.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
41
Lección 13: OSSTMM
OSSTMM es una metodología abierta para pruebas de seguridad y métrica (por sus siglas en inglés “Open Source Testing Methodology”), que ha sido estudiada por muchos expertos sin ser exclusiva de algún fabricante o tecnología en particular. Es el único manual de metodología para comprobar la seguridad. Toda la metodología se enfoca específicamente en los detalles técnicos a comprobar, qué vigilar durante el proceso de comprobación desde la preparación hasta la evaluación post comprobación y, sobre todo, en cómo deben ser medidos y evaluados los resultados.
OSSTMM convierte la seguridad IT en un habilitador comercial. Todos los procesos e indicadores clave de rendimiento utilizados por OSSTMM están diseñados para integrarse en cualquier ISMS (Del Inglés Information Security Management System, Sistema de Administración de Seguridad de la Información) y permite a su empresa implementar una gestión de riesgos más confiable y un análisis de compatibilidad mejor y más rentable. Una gestión de riesgos más rigurosa conlleva a un mejor análisis orientado al costo beneficio para las inversiones en infraestructura de seguridad.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
ISECOM. Manual de la metodología abierta de testeo de seguridad. http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf
DREAMLAB Technologies. OSSTMM, seguridad que se puede medir. https://www.dreamlab.net/files/documents/osstmm-esp-2.0.pdf
WEPFER, Simon. Security Tester by methodology: The OSSTMM. http://www.isecom.org/press/securityacts01.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
42
Lección 14: CC
Common Criteria o CC (ISO/IEC 15408:1999) es un estándar internacional para
identificar y definir requisitos de seguridad. Se suele emplear para redactar dos
tipos de documentos:
Perfil de protección (Protection Profile o PP): es un documento que define
las propiedades de seguridad que se desea que tenga un producto;
básicamente se trata de un listado de requisitos de seguridad.
Objetivo de seguridad (Security Target o ST): es un documento que
describe lo que hace un producto que es relevante desde el punto de vista
de la seguridad.
En tal sentido, CC es un acuerdo internacional sobre un método de desarrollo
seguro para sitios web y sobre los siete (7) niveles discretos de la gama de
esfuerzo, incluyendo la especificación del trabajo de los evaluadores en cada
nivel. Este estándar responde a tres preguntas importantes:
¿Qué hace el producto?
CC determina claramente cuáles son las funciones de seguridad del producto y en
qué entorno aplican.
¿Cómo se ha validado el producto?
CC especifica varios niveles de confianza (EAL) que determinan el nivel de ensayo
(en tiempo y complejidad) requeridos para probar la seguridad del producto y el
nivel de exigencia a seguir en el desarrollo de este.
¿Quién ha validado el producto?
Solo laboratorios acreditados por un esquema de certificación nacional de cada
País del CCRA (Common Criteria Recognition Arrangement)6.
6 http://www.commoncriteriaportal.org/ccra/
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
43
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
ACIS. Criterios comunes para monitorear y evolucionar la seguridad informática en Colombia. http://www.acis.org.co/fileadmin/Base_de_Conocimiento/IX_JornadaSeguridad/CriterioscomunesparaMonitorearyEvolucionarlaSeguridadInform_ticaenColombia-JACL-Password.pdf Por tal web Common Criteria. The Common Criteria Recognition Arrangement. http://www.commoncriteriaportal.org/ccra/
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
44
Lección 15: DEFINICIÓN DE POLÍTICAS, ORGANIZACIÓN, ALCANCE DEL
SISTEMA DE GESTIÓN Y CONCIENCIACIÓN
La implantación de un sistema de gestión de seguridad de la información
comienza con su correcto diseño, para ello debemos definir cuatro aspectos
fundamentales:
1. Definir el alcance del sistema: Este debe determinar las partes o procesos de
la organización que van a ser incluidos dentro del mismo. En este momento, la
empresa debe determinar cuáles son los procesos críticos para su
organización decidiendo qué es lo que quiere proteger y por dónde debe
empezar. Dentro del alcance deben quedar definidas las actividades de la
organización, las ubicaciones físicas que van a verse involucradas, la
tecnología de la organización y las áreas que quedarán excluidas en la
implantación del sistema. Es importante que durante esta fase se estimen los
recursos económicos y de personal que se van a dedicar a implantar y
mantener el sistema. De nada sirve que la organización realice un esfuerzo
importante durante la implantación si después no es capaz de mantenerlo.
2. Definición de la política de seguridad: Su principal objetivo es recoger las
directrices que debe seguir la seguridad de la información de acuerdo a las
necesidades de la organización y a la legislación vigente. Además, debe
establecer las pautas de actuación en el caso de incidentes y definir las
responsabilidades. El documento debe delimitar qué se quiere proteger, de
quién y por qué hacerlo; debe explicar qué es lo que está permitido y qué no,
determinar los límites de comportamiento aceptable y cuál es la respuesta si
estos se sobrepasan; e identificar los riesgos a los que está sometida la
organización.
Para que la política de seguridad sea un documento de utilidad en la
organización y cumpla con lo establecido en la norma UNE-ISO/IEC 27001
debe cumplir con los siguientes requisitos:
Debe ser redactada de una manera accesible para todo el personal de
la organización, por lo tanto debe ser corta, precisa y de fácil
comprensión.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
45
Debe ser aprobada por la dirección y publicitada por la misma.
Debe ser de dominio público dentro de la organización, por lo que debe
estar disponible para su consulta siempre que sea necesario.
Debe ser la referencia para la resolución de conflictos y otras cuestiones
relativas a la seguridad de la organización.
Debe definir responsabilidades teniendo en cuenta que éstas van
asociadas a la autoridad dentro de la compañía. Es función de las
responsabilidades se decidirá quién está autorizado a acceder a qué
tipo de información.
Debe indicar que lo que se protege en la organización incluye tanto al
personal como a la información, así como su reputación y continuidad.
Debe ser personalizada totalmente para cada organización.
Debe señalar las normas y reglas que va a adoptar la organización y las
medidas de seguridad que serán necesarias.
En lo que se refiere al contenido, la política de seguridad debería incluir, al
menos, los siguientes cinco apartados:
1. Definición de la seguridad de la información y sus objetivos globales, el
alcance de la seguridad y su importancia como mecanismo de control
que permite compartir la información.
2. Declaración por parte de la dirección apoyando los objetivos y principios
de la seguridad de la información.
3. Breve explicación de las políticas.
4. Definición de responsabilidades generales y específicas, en las que se
incluirán los roles pero nunca a personas concretas dentro de la
organización.
5. Referencias a documentación que pueda sustentar la política.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
46
La política de seguridad debe ser un documento completamente actualizado,
por lo que debe ser revisado y modificado anualmente. Además, existen otros
tres casos en los que es imprescindible su revisión y actualización:
Después de grandes incidentes de seguridad.
Después de los hallazgos de no conformidades en una auditoría del
sistema.
Como respuesta a cambios que afectan la estructura de la organización.
3. Organización de la seguridad de la información: En este momento, se
realiza la revisión de los aspectos organizativos de la entidad y la asignación
de nuevas responsabilidades. Entre estas nuevas responsabilidades hay tres
que tienen gran importancia:
El responsable de seguridad, que es la persona que se va a encargar de
coordinar todas las actuaciones en materia de seguridad dentro de la
empresa.
El Comité de Dirección que estará formado por los directivos de la
empresa y que tendrá las máximas responsabilidades y aprobará las
decisiones de alto nivel relativas al sistema.
El Comité de Gestión que controlará y gestionará las acciones de la
implantación del sistema colaborando muy estrechamente con el
responsable de seguridad de la entidad. Este comité tendrá potestad
para asumir decisiones de seguridad y estará formado por personal de
los diferentes departamentos involucrados en la implantación del
sistema.
Al plantear la nueva organización de la seguridad hay que tener en cuenta
la relación que se mantiene con terceras partes que pueden acceder a la
información en algún momento, identificando posibles riesgos y tomando
medidas al respecto (Por ejemplo, con personal de limpieza o servicios
generales a los cuales se les puede exigir firmar acuerdos de
confidencialidad).
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
47
4. Concienciación y formación del personal: Con ello se consigue que el
personal conozca qué actuaciones se están llevando a cabo y por qué se están
realizando, con ello se concede transparencia al proceso y se involucra al
personal. Por su parte, la formación logra que el personal desarrolle las nuevas
actividades de acuerdo a la normativa y a los términos establecidos.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Instituto Nacional de Tecnologías de la Comunicación. Definición de las políticas,
Organización, Alcance.
http://www.youtube.com/watch?v=qawa_QcuFfc&feature=relmfu
ACIS. Seguridad Infórmatica en Colombia Tendencias 2010-2011.
http://www.acis.org.co/fileadmin/Revista_119/Investigacion.pdf
ACIS. Seguridad Informática en Colombia Tendencias 2008
http://www.acis.org.co/fileadmin/Revista_105/investigacion.pdf
Programa Gobierno en Línea. Centro de Información y Respuesta Técnica a
Incidentes de Seguridad Informática de Colombia.
http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/GEL_IP_CIRTISIColombia.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
48
UNIDAD 2
Nombre de la Unidad Profundización en Seguridad Informática
Introducción
Justificación
Intencionalidades Formativas
Capítulo 4 Gobierno de Tecnología
Lección 16 ¿Qué es Gobierno de Tecnología?
Lección 17 Fundamentos de Gobierno de Tecnología
Lección 18 Implementación de Gobierno de TI
Lección 19 Marco de Implementación
Lección 20 Éxito de Gobierno de Tecnología
Capítulo 5 Certificaciones
Lección 21 CISA
Lección 22 CISM
Lección 23 CGIT
Lección 24 CISSP
Lección 25 COMPTIA SECURITY
Capítulo 6 Hacker Ético
Lección 26 ¿Qué es Hacker Ético?
Lección 27 Tareas del Hacker Ético
Lección 28 Certificación Hacker Ético?
Lección 29 Ingeniería Social
Lección 30 Reflexión Hacker Personal
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
49
SEGUNDA UNIDAD: NUEVOS ESTANDARES
CAPITULO 4: GOBIERNO DE TECNOLOGIA
Introducción
El siguiente capítulo presenta la información referente al Gobierno de Tecnología,
los conceptos básicos, los fundamentos, la implementación, los marcos de
referencia y factores de éxito para implementar el gobierno de TI en las
organizaciones.
El gobierno de tecnología es un tema que se esta trabajando en la actualidad en
las diferentes organizaciones de cualquier tipo, el objetivo general es alinear los
objetivos de la organización con los objetivos de la tecnología de información.
Justificación
La presente Unidad tiene el objetivo de orientar al estudiante en el conocimiento
del gobierno de tecnología, las certificaciones de seguridad que se pueden
obtener y el concepto de hacker ético, proveyendo información para realizar una
reflexión personal y profesional, que permita ser competitivo en el mundo
profesional y lo más importante utilizar los conocimientos destrezas y habilidades
con fines defensivos.
Intencionalidades Formativas
Fortalecer los conocimientos fundamentales del gobierno de tecnología de
información.
Identificar las certificaciones de seguridad informática actuales para capacitarse y
validar la experiencia a nacional e internacionalmente.
Conocer el concepto de hacker ético con el fin de reflexionar sobre cómo utilizar
las habilidades y destrezas de seguridad informática con fines defensivos.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
50
Lección 16: ¿Qué es Gobierno de Tecnología?
El Gobierno de tecnología es la capacidad de lograr el alineamiento, seguridad,
eficiencia y eficacia en los procesos de tecnología de la información TI mediante la
integración de modelos, estándares, métricas y controles dentro de la plataforma
tecnológica para establecer la mejora continua y proporcionar valorar a la
organización.
El Gobierno de TI hace parte de los objetivos y las estrategias de las
organizaciones, es por esto que es responsabilidad no solo de los gerentes o
administradores de tecnología, los responsables de generar un ambiente correcto
y de la aplicación de la misma, son los ejecutivos, directores, presidentes, es decir
la alta gerencia administrativa junto con la gerencia de tecnología son los mayores
responsables de generar el liderazgo, las estructuras, procesos y estrategias para
que la organización implemente con éxito el Gobierno de Tecnología.
Según Peter Wall en general se puede decir que el Gobierno de TI es un marco
para la toma de decisión y la asignación de responsabilidades que permiten el
comportamiento deseado respecto al uso de la tecnología de la información.
El Gobierno de Tecnología de Información propone el cambio de paradigma de
gestión tecnológica, por un conjunto de servicios enfocados en la prestación de
mejores servicios a los clientes, utilizando entornos o marcos de trabajo con las
mejores practicas, los marcos de trabajo que se utilizan actualmente son ITIL,
COBIT, ASL, BISL, eSCM, entre otros.
Los objetivos de la buena gestión de los gobiernos de tecnología de información
son:
Proporcionar una adecuada gestión de calidad.
Aumentar la eficiencia.
Alinear los procesos de negocio y la infraestructura de TI.
Reducir los riesgos asociados a los servicios de TI.
Generar negocio.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
51
Las principales áreas de trabajo del gobierno de tecnología de la información
están enfocadas en la alineación estratégica, agregar valor, administración del
riesgo, administración de los recursos y medición del desempeño.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Peter Weill, Jeanne Ross IT Governance: How Top Performers Manage IT
Decision Rights for Superior Results Harvard Business School Press, 2004
Revisar http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisar http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-
Brochure.pdf
Revisar http://www.itil.org/en/vomkennen/cobit/index.php
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
52
Lección 17: Fundamentos de Gobierno de Tecnología
De acuerdo a lo presentado en la lección anterior y haciendo un recuento del
gobierno de tecnología este es un marco para la toma de decisiones y la
asignación de responsabilidades que permiten impulsar el comportamiento
deseado respecto al uso de la tecnología de la información en las organizaciones,
teniendo como una de las premisas principales la alineación de los objetivos de la
organización con los objetivos de las tecnologías.
Para implementar un gobierno de tecnología en una organización se deben tener
en cuanto a los elementos principales claves que invitan de manera necesaria el
proceso de reingeniería, es decir obliga a la organización a repensar, re expresar
re conceptualizar, reconstruir las organizaciones, definir los objetivos
organizacionales teniendo en cuenta las tecnologías presentas y futuras, la
información y las comunicaciones que se manejan en las organizaciones.
Estos procesos de cambio permiten la reformulación de la organización con la
ayuda de las personas de acuerdo a los respectivos roles, la experiencia, la
cultura y la información propia de las organizaciones permiten la implementación
de manera exitosa del gobierno de tecnología.
Los elementos clave para el gobierno de TI son:
La Alineación Estratégica.
Estructuras Organizativas
Aporte de Valor
Procesos de Gobierno de TI
Gestión de los Riesgos
Gestión del Rendimiento
Gestión de Recursos
Los responsables principales en el interior de la organización son: La junta
directiva, la gerencia de negocios, la gerencia de TI, Auditoria de TI, Gerencia de
Riesgos y Cumplimiento entre otros.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
53
Para implementarse el gobierno de TI, la organización debe estar en función de la
mejora continua y de los cambios que se presentaran en todas las áreas y
aspectos, se debe generar una cultura organizacional hacia el cambio y lo que
esto conlleva.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Peter Weill, Jeanne Ross IT Governance: How Top Performers Manage IT
Decision Rights for Superior Results Harvard Business School Press, 2004
Revisar http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisar http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-
Brochure.pdf
Revisar http://www.itil.org/en/vomkennen/cobit/index.php
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
54
Lección 18: Implementación de Gobierno de TI
Para implementar el gobierno de TI, como se menciono anteriormente, se deben
tener en cuenta los fundamentos de los cambios, los responsables y la definición
de la nueva organización como un resultado de todo el proceso de reingeniería
realizado.
Las siguientes preguntas se proponen para realizar el proceso de implementación
en las organizaciones:
¿Qué decisiones deben tomarse para asegurar el efectivo manejo y uso de IT?
¿Quién debe tomar dichas decisiones?
¿Cómo se toman decisiones?
¿Cómo se monitorean dichas decisiones?
¿Cuánto tiempo está dispuesto a utilizar para aplicar las decisiones?
Es importante tener presente los aspectos de comportamiento de la organización
como los aspectos de las relaciones formales e informales, la asignación de
derechos, responsabilidades y deberes a individuos y grupos de trabajo al interior
de la organización. También se deben tener en cuenta los aspectos normativos,
los mecanismos para formalizar las relaciones, las reglas y procedimientos
operativos para asegurar que los objetivos planteados se cumplan.
Se deben definir principios clave teniendo en cuenta como la tecnología de la
información es empleada en la empresa y como debería ser en el futuro próximo y
lejano, la arquitectura en la organización tiene una organización lógica de datos,
aplicaciones e infraestructura definidas en un conjunto de políticas, relaciones y
elecciones técnicas para alcanzar la integración y estandarización. Infraestructura
de servicios centralizados, compartidos, coordinados que proveen la base para la
capacidad de la organización de hacer uso de la tecnología. Necesidades
Aplicativas de las áreas de negocio respecto a las aplicaciones. Inversión y
Priorización cuanto y en que invertir, incluyendo aprobaciones de proyectos y
técnicas de justificación.
Entonces es importante preguntarse el por que realizar el gobierno de tecnología,
¿Cuál es el beneficio económico?, ¿Por qué es tan costoso la tecnología de la
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
55
información?,¿Cuáles son las nuevas oportunidades de negocio?, ¿Cuál es el
valor de la Información?,¿Cuál es el valor de la tecnología?
Una vez se ha dado respuesta al gran número de preguntas que se debe realizar,
es importante hacer una revisión y reflexión sobre las respuestas dadas a cada
una de las preguntas, luego se deben definir las estructuras organizacionales a la
que la organización donde se realizara la implantación, los procesos para la
alineación y los enfoques para la comunicación.
Las estructuras son Monarquías solo los altos ejecutivos toman decisiones,
federales los comités con representantes de toda las áreas, las monarquías de TI
solo los comité de tecnologías, los duopolios comités con participaciones de dos
comités.
Los procesos de alineamiento se pueden realizar con el procesa de acuerdos a
nivel de servicios, seguimiento de proyectos, monitoreo formal del valor del
negocio, entre otros.
Los enfoques para la comunicación se pueden dar como anuncios de la alta
dirección, los comités formales, Oficina de gobierno de TI, portales de
comunicación, entre otros.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Peter Weill, Jeanne Ross IT Governance: How Top Performers Manage IT
Decision Rights for Superior Results Harvard Business School Press, 2004
Revisar http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisar http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-
Brochure.pdf
Revisar http://www.itil.org/en/vomkennen/cobit/index.php
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
56
Lección 19: Marco de Implementación
Luego de realizar la revisión de la fundamentación y conocer el gobierno de
tecnología, se deben definir un marco de implementación o entornos de trabajo,
actualmente existen diferentes marcos de implementación que pueden ser
utilizados por las organizaciones para implementar el gobierno de TI y certificar la
organización según el marco que se desee utilizar, a continuación se presentan
los tres marcos más representativos del gobierno de tecnología:
ISO 38500 Gobierno Corporativo de Tecnología de Información es aplicable a
las organizaciones de todos los tamaños, incluyendo las organizaciones públicas y
privadas. Esta norma proporciona un marco para la gestión eficaz de la TI para
ayudar a las personas con mayor nivel de las organizaciones a comprender y
cumplir con las obligaciones legales, reglamentarias y éticas con respecto al uso
de sus organizaciones de TI.
El marco comprende definiciones, principios y modelo. En él se establecen seis
principios de buen gobierno de TI que expresan el comportamiento preferido para
guía la toma de decisiones.
El objetivo de la norma es promover el uso eficaz, eficiente y aceptable de la
misma por todas las organizaciones para:
Asegurar que las partes interesadas pueda tener la confianza en el gobierno de ti
de la organización, si el estándar es seguido.
Informar y orientar a los directores de alto nivel del uso de la tecnología de la
información en la organización y proporcionar una base para la evaluación objetiva
de la gestión empresarial de las TI.
La norma está en consonancia con la definición de gobierno corporativo que fue
publicado como un Informe del Comité sobre los Aspectos Financieros del
Gobierno Corporativo en 1992, también conocido como el Informe Cadbury. El
Informe Cadbury proporciona la definición de fundación de la Organización para la
Cooperación y el Desarrollo de los Principios de Gobierno Corporativo.
ITIL Information Technology Infrastructure Library es el enfoque más ampliamente
adoptado para la Gestión de Servicios TI en el mundo. Se ofrece un práctico y
sensato marco para identificar, planificar, entregar y mantener los servicios de TI
con el negocio.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
57
ITIL: Visión general y beneficios
ITIL aboga por que los servicios de TI deben estar alineados con las necesidades
del negocio y sustentar los procesos de negocio. Se ofrece orientación a las
organizaciones sobre la manera de utilizar las TI como una herramienta para
facilitar el cambio de negocios, la transformación y el crecimiento.
Las mejores prácticas ITIL están detalladas dentro de las cinco principales
publicaciones que proporcionan un enfoque sistemático y profesional para la
gestión de servicios de TI, permitiendo a las organizaciones para ofrecer servicios
adecuados y asegurarse de que continuamente están cumpliendo los objetivos de
negocio y entregando beneficios.
Las cinco guías básicas mapa de todo el ciclo de vida de ITIL Service,
comenzando con la identificación de las necesidades del cliente y los
controladores de los requisitos de TI, a través del diseño e implementación de los
servicios en funcionamiento y, por último, a la fase de seguimiento y mejora del
servicio.
La adopción de ITIL puede ofrecer a los usuarios una amplia gama de beneficios
que incluyen:
Mejora de los servicios de TI
Reducción de costos
Atención al cliente mejorado la satisfacción a través de un enfoque más
profesional a la prestación de servicios
Mejora de la productividad
Mejora el uso de las habilidades y la experiencia
Mejora de la prestación de servicios de terceros.
IT Governance Institute
COBIT es un marco de gobernanza de TI y herramientas de apoyo que permite a
los administradores para cerrar la brecha entre las necesidades de control,
cuestiones técnicas y riesgos de negocio. COBIT permite el desarrollo de políticas
claras y buenas prácticas para el control de toda la organización. COBIT enfatiza
el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor logrado
de TI, permite la alineación y simplifica la implementación del marco COBIT.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
58
El propósito de COBIT es proporcionar a la dirección y los propietarios de
procesos de negocio una tecnología de la información (TI) que ayuda a modelo de
gobierno en la entrega de valor a partir de la información y la comprensión y la
gestión de los riesgos asociados con TI. COBIT ayuda a salvar las diferencias
entre los requerimientos del negocio, las necesidades de control y las cuestiones
técnicas. Se trata de un modelo de control para satisfacer las necesidades de
gobierno de TI y garantizar la integridad de la información y los sistemas de
información.
COBIT se utiliza a nivel mundial por quienes tienen la responsabilidad primordial
de los procesos de negocio y la tecnología, los que dependen de la tecnología de
la información relevante y confiable, y los que proporcionan calidad, fiabilidad y
control de las tecnologías de la información.
El marco que se ha estructurado en 34 procesos de agrupamiento entre sí las
actividades de ciclo de vida o tareas concretas relacionadas entre sí. El modelo de
proceso se prefirió por varias razones. En primer lugar, un proceso por su propia
naturaleza orientada a los resultados en la forma en que se centra en el resultado
final, mientras que la optimización del uso de los recursos. La forma en que estos
recursos están físicamente estructurados, por ejemplo, la gente / habilidades en
los departamentos, es menos relevante en esta perspectiva. En segundo lugar, un
proceso, en especial sus objetivos, es más de carácter permanente y no cambia el
riesgo de no tan a menudo como una entidad organizativa. En tercer lugar, el
despliegue de TI no puede ser confinado a un departamento en particular e
involucra a los usuarios y de gestión, así como especialistas en TI. En este
contexto, el proceso de TI sigue siendo, sin embargo, el común denominador.
En cuanto a aplicaciones se refiere, que son tratados en el marco COBIT como
una de las cuatro categorías de recursos. Por lo tanto han de ser gestionados y
controlados de tal manera que se logre la información necesaria a nivel de
procesos de negocio. De esta manera, los sistemas de aplicación son una parte
integral del marco de COBIT y pueden tratarse de forma específica a través del
punto de vista de los recursos. En otras palabras, se centraron únicamente en los
recursos sólo una recibirá automáticamente una vista de la aplicación de los
objetivos de COBIT.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
59
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Revisar Governance Institute http://www.itgi.org/
Revisar ISO 38500 http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx
Revisar ITIL http://www.itil.org/en/zumkoennen/itil/index.php
Revisar Cobit
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
60
Lección 20: Éxito del Gobierno de Tecnología
El éxito de la implementación del Gobierno de Tecnología radica en el compromiso
organizacional de todos los miembros, siendo de gran importancia la participación
de la mayor cantidad de altos ejecutivos de la organización en el proceso de
implementación, la relación del éxito del gobierno de tecnología con el numero de
altos ejecutivos involucrados es directamente proporcional.
La comunicación organizacional es uno de los factores importante en el gobierno
de tecnología es por eso que se deben utilizar medios de comunicación eficientes
y eficaces que sean capaces de permear e informar todo el proceso, las
estrategias y las tareas a cada uno de los miembros de la organización inmersos
en la implementación del gobierno de tecnología.
Los objetivos de la organización debe estar completamente alineados con los
objetivos del gobierno de tecnología, en este orden de ideas los objetivos de la
inversión en la tecnología deben ser claros y responder al cumplimiento de los
objetivos.
Las estrategias de la organización para la implementación deben estar bien
definidas y fundamentadas, teniendo en cuenta los objetivos del gobierno de
tecnología trazados por la organización, es importante definir estrategias de
negocio diferenciadas que den respuesta a las metas de funcionamiento de la
organización de acuerdo a su naturaleza.
Se deben realizar mayores excepciones aprobadas y menos excepciones a las
reglas, lo que quiere decir que es mejor aprobar las excepciones que estas
infringiendo las reglas de la implementación, porque al final el resultado será la
desviación del objetivo general.
Por último es importante no realizar cambios o modificar los mecanismos de
gobierno de tecnología implementados, para asegurar el correcto funcionamiento
del mismo.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
61
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Revisar Governance Institute http://www.itgi.org/
Revisar ISO 38500 http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx
Revisar ITIL http://www.itil.org/en/zumkoennen/itil/index.php
Revisar Cobit
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
62
CAPITULO 5: CERTIFICACIONES
Lección 21: Certified Information System Auditor CISA
CISA es una certificación para auditores la cual es respaldada por la Information
Systems Audit and Control Association ISACA, esta certificación fue creada y
establecida en el año de 1978 debido a que se debía desarrollar una herramienta
que se utilizara para evaluar la competencia de los individuos en las auditorias,
proveer una herramienta para los auditores de sistemas de información que les
permitiera mantener las habilidades y monitorear la efectividad de los sistemas,
proveer criterios para ayudar en la gestión de selección de personal.
ISCA cuenta con más de 95,000 miembros en 160 países, ISACA (www.isaca.org)
es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones,
comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de
información, gobierno empresarial, administración de TI así como riesgos y
cumplimiento relacionados con TI. Fundada en 1969 la no lucrativa e
independiente ISACA organiza conferencias internacionales, publica el ISACA
Journal, y desarrolla estándares internacionales de auditoría y control de sistemas
de información que ayudan a sus miembros a garantizar la confianza y el valor de
los sistemas de información. Asimismo, certifica los avances y habilidades de los
conocimientos de TI a través de la mundialmente respetada Certified Information
Systems Auditor (Auditor Certificado en Sistemas de Información) (CISA), el
Certified Information Security Manager (Gerente Certificado de Seguridad de la
Información) (CISM), Certified in the Governance of Enterprise IT (Certificado en
Gobierno de Tecnologías de la Información Empresarial) (CGEIT) y el Certified
Risk and Information Systems Control (Certificado en Riesgo y Control de
Sistemas de Información) (CRISC). ISACA actualiza continuamente COBIT, que
ayuda a los profesionales y líderes empresariales de TI a cumplir con sus
responsabilidades de administración y gestión, particularmente en las áreas de
aseguramiento, seguridad, riesgo y control, para agregar valor al negocio.
Para obtenerla certificación CISA se debe cumplir con los cinco siguientes
requisitos:
1. Haber aprobado el examen CISA.
2. Acreditar experiencia en auditoria de sistemas, control o seguridad de la
información.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
63
3. Seguir el código de conducta de los auditores CISA.
4. Seguir el proceso de educación continua CPE.
5. Cumplir con los estándares de Auditoria de Sistemas.
El examen consiste en 200 preguntas de opción múltiple, el tiempo para realizar el
examen es de 4 horas y se encuentra divido en 6 áreas, las cuales son: Proceso
de Auditoria, Gobierno de Tecnología de Información, Administración del ciclo de
vida de tecnología de sistemas, soporte y entrega de tecnología de información,
protección de activos y continuidad del negocio y recuperación.
El examen solo se puede tomar dos veces al año en Junio y en Diciembre, se
debe preparar con por lo menos 6 meses para poder desarrollarlos correctamente.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Visitar ISACA: www.isaca.org
Certificación CISA: http://www.isaca.org/Certification/CISA-Certified-Information-
Systems-Auditor/Pages/default.aspx
Informacion Certificacion: http://www.isaca.org/Certification/CISA-Certified-
Information-Systems-Auditor/Register-for-the-Exam/Documents/CISA-BOI-June-
2012-ES.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
64
Lección 22: Certified Information Security Manager CISM
CISM es una certificación para administradores de seguridad informática
CISA es una certificación para administradores de la seguridad informática la cual
es respaldada por la Information Systems Audit and Control Association ISACA,
esta dirigida a la gerencia de tecnología de información, la certificación fue creada
en el año de 2004.
La certificación CISM es para los directores de seguridad de la información o para
personas que deben dirigir, diseñar, revisar, evaluar y asesorar programas de
seguridad informática.
La certificación CISM promueve las prácticas internacionales y proporciona una
dirección ejecutiva garantizando que aquellos que se han ganado la designación
tengan la experiencia y el conocimiento requeridos para proporcionar una
dirección de seguridad y servicios de consultoría efectivos.
El examen del CISM cubre cinco áreas de la dirección de seguridad de la
información. Estas áreas fueron desarrolladas por el Consejo de Certificación
CISM y representan el análisis de una práctica de trabajo llevada a cabo por
directores de seguridad de la información y validada por reconocidos lideres,
expertos y practicantes de la industria.
Primer área Gobierno de la Seguridad de la Información: Establece un marco
de trabajo que garantiza el cumplimiento de las estrategias de seguridad estén
acordes con los objetivos de la organización y son acordes con las leyes y
regulaciones
Segunda área Dirección de Riesgo de la Información: Identifica y dirige los
riesgos de la seguridad de la información para alcanzar los objetivos del
negocio.
Tercera área Programa de Desarrollo de Seguridad de la Información: Crea y
mantiene un programa para implementar las estrategias para la seguridad de la
información.
Cuarta área Programa de dirección de Seguridad de la Información: Supervisa
y dirige las actividades de seguridad de la información para ejecutar el
programa de seguridad.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
65
Quinta área Respuesta y Dirección de Incidentes: Planea, desarrolla y dirige
una habilidad para detectar, responder y recuperarse de los incidentes de
seguridad de la información.
Para obtener la certificación como CISM debe realizar lo siguiente:
1. Aprobar el examen CISM con mínimo el 75% del puntaje total.
2. Apegarse al código de Ética Profesional de ISACA.
3. Estar de acuerdo con la Política de Educación Continuada.
4. Experiencia de trabajo en el campo de seguridad de la información.
5. Enviar una aplicación para certificarse como CISM.
El examen solo se oferta dos veces al año en Junio y en Diciembre y se debe
contar con mínimo 6 meses de preparación y la experiencia indicada en los
requerimientos de la certificación.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Certificación CISM: http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx?gclid=CJD3uvPJ-K0CFQGd7QodWyrEsw
http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx?gclid=CJD3uvPJ-K0CFQGd7QodWyrEsw
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
66
Lección 23: Certified in the Governenace of Enterprise IT CGIT
CGIT es una certificación para administradores de tecnología la cual es
respaldada por la Information Systems Audit and Control Association ISACA, está
dirigida a la gerencia de tecnología de información, la certificación fue creada en el
año de 2007.
La certificación CGIT está enfocada en el gobierno de tecnología de las
organizaciones, los profesionales que obtienen esta certificación se encuentra
inmersa en la gestión de tecnología de las organizaciones, por lo tanto promueve
los avances de las tecnologías y de las implementaciones de las mismas teniendo
en cuenta los planes organizacionales para cumplir con los objetivos tecnológicos
que se han propuesto, teniendo en cuenta la alineación con los objetivos
organizacionales.
Los profesionales que trabajan en gobierno de tecnología deben administrar,
diseñar y evaluar tecnología en las organizaciones, debido a que la experiencia es
un factor muy importante en el cumplimiento de la certificación.
La certificación CGIT permite trabajar en las siguientes áreas del gobierno de
tecnología: Marco de Trabajo de Gobierno de Tecnología, Alienación Estratégica,
Entrega de Valor, Administración del Riesgo, Administración de Recursos y
Medición del Desempeño, estas áreas relacionan todos los espacios de trabajo
relacionados con el gobierno de tecnología al interior de las organizaciones.
CGEIT demuestra probada experiencia: Juntas y la gestión ejecutiva espera que
proporcionen un valor empresarial. El gobierno de TI es un componente clave de
la gobernanza empresarial y el éxito. La designación CGEIT demuestra que usted
tiene experiencia y conocimiento en la gobernanza de las TI corporativas.
La certificación aumenta la credibilidad, influencia y reconocimiento, porque ofrece
credibilidad necesaria para abordar los temas críticos con los principales
ejecutivos y las juntas, debido al conocimiento y experiencia que adquiere con la
realización de la certificación.
El gobierno de tecnología se puede trabajar desde diferentes marcos de trabajo,
por ejemplo ITIL o COBIT, es por esto que la certificación utiliza uno de estos
marcos de trabajo para realizar el proceso de certificación.
Para realizar la certificación el aspirante debe realizar:
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
67
1. Aprobar el examen de certificación CGIT
2. Adherirse al código de Ética Profesional de ISACA.
3. Adherirse y cumplir con el programa de educación continuada del CGIT
4. Proporcionar la evidencia la experiencia laboral en gobierno de tecnología.
La certificación CGIT provee la validación de los conocimientos en la
administración, gestión, evaluación de tecnológica, enfocados en el uso de marcos
de trabajo enfocados en el gobierno de tecnología al interior de las
organizaciones.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-
Enterprise-IT/Pages/default.aspx?gclid=CNigrbrP-q0CFRBT7AodXEiB9g
http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-
Enterprise-IT/Pages/FAQs.aspx
http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-
Enterprise-IT/Pages/How-to-Become-Certified.aspx
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
68
Lección 24: Certified Information Systems Security Professional CISSP
La certificación CISSP es otorgada por la (ISC)² International Information Systems
Security Certification Consortium, con el objetivo de dar un alto reconocimiento a
los profesionales tecnológicos enfocados en la seguridad informática.
CISSP es mundialmente reconocida como una de las certificaciones más
importantes que puede obtener un profesional de la seguridad informática, la
certificación asegura que los profesionales trabajan con los estándares
internacionales y tienen las competencias necesarias para proveer seguridad
informática a los diferentes sistema que tienen las organizaciones, tales como las
redes, la computación en la nube, la seguridad móvil, entre otros.
La organización (ISC)² nace en el año de 1988 cuando un grupo interesado en la
seguridad y un grupo de administración de procesamientos de datos, decidieron
trabajar juntos para desarrollar una certificación estandarizada que pudiera
proveer una certificación a los profesionales de las áreas de la seguridad de la
información de este modo nace esta organización sin animo de lucro.
Para realizar la Certificación CISSP se debe cumplir con 4 requisitos importantes:
Aprobar el examen CISSP, el cual consta de 250 preguntas y dura 6 horas,
en este examen se evalúan los 10 dominios de conocimiento o en ingle
CBK.
Demostrar experiencia mínima de cinco años trabajando en al menos dos
dominios de los 10 dominios CBK.
Adherirse al código de Ética de (ISC)².
Al ser seleccionado debe someterse a un proceso de auditoría y aprobarlo.
Para mantener la certificación CISSP, deben realizar actividades dentro de los
dominios de conocimiento para asegurar que se encuentra realizando trabajos en
el área de la seguridad informática, estas actividades son evaluadas con créditos y
debe cumplir mínimo 120 créditos cada 3 años, si no es así debe realizar y
aprobar el examen.
Los dominios de seguridad de la (ISC)² para la certificación CISSP son:
1. Seguridad de la Informaron y Administración del Riesgo.
2. Sistemas y Metodología de Control de Acceso
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
69
3. Criptografía
4. Seguridad Física
5. Arquitectura y Diseño de Seguridad
6. Regulaciones Legales, Cumplimiento e Investigación.
7. Seguridad de Red y Telecomunicaciones.
8. Planes de Continuidad del Negocio y de Recuperación Frente a Desastres
9. Seguridad de Aplicaciones
10. Seguridad de Operaciones
Es importante realizar un correcto proceso de estudio en los dominios con por lo
menos un periodo anterior de estudio antes de tomar la certificación, lo cual le
permitirá obtener mejores resultados en el examen y en el proceso de
certificación.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
International Information Systems Security Certification Consortium Inc.
https://www.isc2.org/default.aspx
Certification CISSP
https://www.isc2.org/cissp/Default.aspx
https://www.youtube.com/watch?v=WbeepQAI_Fg&feature=player_embedded
CISSP All-in-One Exam Guide, Third Edition by Shon Harris (McGraw-Hill
Osborne Media) ISBN: 007225712
Official (ISC)2 Guide to the CISSP Exam By Susan Hansche (AUERBACH)
ISBN: 084931707X
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
70
The CISSP Prep Guide: Gold Edition By Ronald L. Krutz, Russell Dean Vines
(Wiley) ISBN: 047126802X
Advanced CISSP Prep Guide: Exam Q&A By Ronald L. Krutz, Russell Dean
Vines (Wiley) ISBN: 0471236632
CISSP Certification Training Guide By Roberta Bragg (Que) ISBN: 078972801X
Information Security Management Handbook, Fifth Edition By Harold F. Tipton,
Micki Krause (Que) ISBN: 0849319978
CISSP: Certified Information Systems Security Profesional Study Guide Third
Edition By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
Preguntas y respuestas de prueba online:
http://www.boson.com/
http://www.testking.com/
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
71
Lección 25: Computing Technology Industry Association COMPTIA
SECURITY
La asociación de la industria de tecnología de computo COMPTIA es una
organización sin ánimo de lucro, creado en 1982 como la Asociación de
negociantes de computación y luego se convirtió en la asociación COMPTIA.
La asociación inicio con el programa de certificaciones desde el año de 1993, y
desde entonces ofrece un gran número de certificaciones en las diferentes áreas
de las tecnologías computacionales como hardware software, redes, seguridad
informática en muchas otras.
La certificación de CompTIA Security designa a los profesionales con
conocimientos en el campo de la seguridad, uno de los campos de mayor
crecimiento en IT.
CompTIA Security es una organización internacional, proveedor neutral de
certificación que demuestra competencia en: Cumplimiento de la red de seguridad
y amenazas de seguridad operacional y la aplicación vulnerabilidades, los datos y
la seguridad de host de control de acceso y de gestión de identidad Criptografía la
certificación no sólo asegura que los candidatos apliquen los conocimiento de los
conceptos de seguridad, herramientas y procedimientos que permitan reaccionar a
incidentes de seguridad, asegura que el personal de seguridad están anticipando
los riesgos de seguridad y protección contra ellos.
La certificación de CompTIA Security+ está acreditado por la Organización
Internacional de Normalización (ISO) y el American National Standards Institute
(ANSI).
Para realizar la certificación se debe realizar un examen de 100 preguntas el cual
tiene una duración de 90 minutos, debe tener un calificación de 750 en una escala
de 100-900, se recomienda tener dos años de experiencia en redes y seguridad
en redes.
Luego de seleccionar la certificación, se debe realizar un entrenamiento
exhaustivo utilizando variedad de métodos, como por ejemplo clases presenciales
con instructores con experiencia, estudio independiente y con los cursos elearning
que provee COMPTIA, también debe estudiar en los centros de entrenamiento y
los materiales de estudio de CompTIA, aprender sobre los exámenes para
solucionarlos, revisar las preguntas de ejemplo, revisar donde realizar los
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
72
exámenes y pagar el examen, para finalizar se debe realizar el examen en los
sitios autorizados por CompTIA.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Revisar
http://certification.comptia.org/home.aspx
http://www.comptia.org/global/es/certifications.aspx
http://certification.comptia.org/getCertified/certifications/security.aspx
http://www.francisco-valencia.es/Documentos/CompTIASec.pdf
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
73
CAPITULO 6: HACKER ETICO
Lección 26: ¿Qué es un Hacker Ético?
La evolución de las tecnologías de la información y la comunicación desde sus
inicios ha presentado situaciones adversas como fallos, errores y en general la
misma evolución tecnológica ha generado que los sistemas se conviertan en
obsoletos, poco fiables y no funcionales.
Las necesidades o requerimientos de tecnología son cada vez mayores y los
sistemas actuales deben ser capaces de evolucionar y presentar versiones
mejoradas o nuevas versiones, tal como lo hacen los sistemas operativos y demás
sistemas conocidos.
Entre las posibles situaciones que afectan los sistemas tecnológicos se
encuentran las vulnerabilidades de seguridad y confiabilidad, esto debido a que las
tecnologías son construidas con tecnologías y requerimientos que en ese
momento son cubiertas con los análisis y diseños específicos.
La mayoría de los errores de las tecnologías de la información y comunicación se
producen porque en el momento de realizar el análisis, diseño, desarrollo e
implementación, no se contemplan todas las posibilidades de proveer seguridad a
las tecnologías y se crean las puertas traseras de acceso o los hoyos negros que
son espacios donde se permite el acceso no deseado.
Estos espacios de accesos o vulnerabilidades son aprovechados por intrusos que
tienen un mayor conocimiento para aprovechar y explotar estos errores de
seguridad, generando poca confiabilidad en los sistemas y en casos mas graves la
perdida y robo de información, siendo la información uno de los activos mas
importantes y valiosos de las personas, organizaciones y gobiernos a nivel
mundial.
Es importante entonces definir que es un Hacker Ético, y para ello se desglosara
este nombre en dos partes, Hacker y Ético, en ese orden de ideas el concepto
hace referencia a una persona a la que se le puede denominar con este nombre,
entonces es importante recalcar que una persona es la que decide ser nombrada
Hacker Ético debido a las acciones que realiza.
El concepto de Hacker tiene muchas definiciones según los diferentes autores,
algunos están a favor y otros en contra, se podría decir que la definición puede ser
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
74
subjetiva desde la perspectiva, si esta definición se asocia a acciones positivas o
negativas, sin embargo es importante profundizar en el porque los diferentes
autores lo definen como bueno o malo.
En este caso el concepto Hacker se definirá como una persona que tiene altos
conocimientos en tecnología relacionados con programación, redes, sistemas
operativos, telecomunicaciones, entre otros, con un alto gusto por los temas
tecnológicos, apasionado por el trabajo con la tecnología y con el deseo de
descubrir nuevos espacios tecnológicos, se diferencia del Craker el cual utiliza
todas las cualidades del hacker pero lo realizar para violentar la seguridad de
sistemas tecnológicos, retomando la historia los hackers originales eran
programadores aficionados o personas destacadas con conocimientos
tecnológicos que trabajan para conocer y mejorar las tecnologías pero dentro de la
legalidad, algunos de estos hacker y otros que aparecieron con conocimientos
tecnológicos empezaron a utilizar estos conocimientos para realizar actividades
ilegales como robo de información y daños a sistemas, por esto en el año de 1985
se empezaron a denominar Crakers a las personas que realizaban estas prácticas,
diferenciándose de los Hackers los cuales utilizaban sus conocimientos dentro de
la legalidad.
La Ética estudia que es lo moral, es decir el estudio de las buenas costumbres
teniendo en cuenta la reflexión y la argumentación.
Entonces el concepto de Hacker Ético de acuerdo con los conceptos
anteriormente mencionados es la persona con altos conocimientos tecnológicos
que hace uso de sus conocimientos dentro de lo legal teniendo en cuenta las
buenas costumbres de su profesión y conocimientos, utilizándolos de forma
defensiva y no ofensiva, es decir lo utiliza para generar protección, seguridad y
confianza.
Algunas de las características que tienen los Hacker Ético son: La Libertad,
Curiosidad, Creatividad, Actividad, Perseverancia, Pasión, Integridad,
Responsabilidad, Proactivo, entre otros.
Técnicamente debe tener conocimientos en programación, redes,
comunicaciones, sistemas operativos y seguridad.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
75
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Leer el ensayo Hackers: Heroes of the Computer Revolution publicado en 1984 del
periodista Steven Levy.
Leer la Ética del Hacker y el Espíritu de la era de la Información de Pekka
Himanen 2004
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
76
Lección 27: Tareas del Hacker Ético
De acuerdo con la definición y características del Hacker Ético y teniendo en
cuenta la filosofía, es importante tener muy claro que las habilidades y
capacidades tecnológicas que posee deben estar enfocadas en la defensa y
seguridad de los sistemas tecnológicos, es por esto que se debe revisar el
contexto en el cual se desenvuelve el hacker, debido a las diferentes áreas de la
tecnología en las que se puede trabajar.
Los elementos básicos y esenciales de seguridad en los que debe trabajar un
hacker ético son: la confidencialidad, la autenticidad, la integridad y la
disponibilidad.
La confidencialidad se refiere al ocultamiento de la información y recursos de las
organizaciones en las que se encuentre trabajando, teniendo en cuenta que la
estos son recursos de vital importancia y deben ser cuidados y resguardados.
La autenticidad se refiere a la identificación y validez de la información, es decir es
garantizar el origen de la información.
La integridad se refiere a las modificaciones no autorizadas de los datos y la
información, es decir es resguardar la información para que sea correcta y veraz.
La disponibilidad se refiere a la posibilidad de acceder y hacer uso de la
información y los recursos deseados en el momento que se necesite.
Teniendo en cuenta los elementos anteriormente mencionados, las tareas que
puede realizar un hacker ético son:
Reconocimiento de los sistemas tecnológicos en cualquier momento y
lugar, esto se realiza antes de realizar un ataque, se debe obtener
información del objetivo, utilizar herramientas para obtener información
como Google Hacking y utilizando otros buscadores, ingeniería social,
monitoreo de redes con diferentes software como sniffers, scanner u otros.
Rastreo es el escaneo o revisión continua de los sistemas tecnológicos,
esto se realiza en la fase previa al ataque, se escanea la red teniendo la
información obtenida en el reconocimiento, se detectan las
vulnerabilidades, los puntos fuertes y los posibles puntos de entrada, aquí
se deben utilizar herramientas que permitan revisar los puertos, protocolos
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
77
y demás información técnica para el ingreso, unas vez se realiza el proceso
se anterior se inicia con las pruebas de red definir los host con accesos, los
puertos abiertos, la localización de los equipos activos de red como los
routers y la información de los sistemas operativos y de los servicios que se
tienen en estos sistemas operativos.
Acceso es la posibilidad de acceder a los sistemas tecnológicos ya sean los
sistemas operativos, las redes o la denegación de servicios, obtener el
control de los sistemas, es decir es realizar el ataque y obtener información
como las contraseñas, datos, denegación de servicios sobrecargas entre
otros.
Mantener el acceso es la posibilidad de acceder y estar en los sistemas el
tiempo o las veces que desee.
Borrar las huellas es la capacidad de eliminar los rastros que se dejan
cuando se ingresan a los sistemas para no ser descubierto.
Es importante tener en cuenta como lo dice Sun Tzu en el libro el Arte de la
Guerra, “Si no se conoce el enemigo y conócete a ti mismo es necesario no tener
el resultad de cien batallas”
Entonces el Hacker Ético debe responderse algunas preguntas, como por ejemplo:
¿Qué puede saber un intruso de su objetivo?
¿Qué puede hacer un intruso con esa información?
¿Se podría detectar un intruso de ataque?
¿Cómo podría proteger la información y los sistemas tecnológicos?
Un Hacker Ético debe realizar lo siguiente, para evaluar la seguridad:
Preparación: Tener un contrato firmado de forma clara en donde se indique
que pruebas de seguridad realizara y se exonere de las posibles
consecuencias.
Gestión: Preparación de un informe donde se indiquen las pruebas y los
resultados de las pruebas.
Conclusión: Realización del informe con las vulnerabilidades y las posibles
soluciones.
Forma de realización del Hacking Ético:
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
78
Red remota: Simulación del ataque desde internet.
Red local: Simulación del ataque en el interior de la organización.
Ingeniería social: Probar confianza.
Seguridad física: Accesos a equipos.
De acuerdo con la información presentada anteriormente se pueden clasificar los
hacker en los siguientes Tipos de Hacker
Black Hats: Los Black Hat Hackers o Hacker de sombrero negro son los
que utilizan sus habilidades tecnológicas para romper la seguridad de
computadores, servidores, redes, crean virus con fines destructivos, en la
mayoría de casos por dinero o por reconocimiento.
White Hats: Los Whte Hackers o Hackers de sombrero blanco son los que
utilizan sus habilidades tecnológicas para encontrar vulnerabilidades
sistemas tecnológicos con fines defensivos y de seguridad.
Gary Hats: Los Gray Hackers o Hacker de sombrero gris son los que
utilizando sus habilidades tanto de forma defensiva como de ataque, es
decir tienen una ética hacker doble.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
79
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Leer el libro de Hacking Ético de Carlos Tori, disponible en línea, los capítulos 1,2
y 3. Para profundizar el tema.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
80
Lección 28: Certificación Hacker Ético
En la seguridad informática existe un amplio campo de trabajo, debido a que cada
vez se están implementados más sistemas tecnológicos en las organizaciones, lo
cual genera un mayor uso de computadores, redes, sistemas operativos, los
cuales se conectan a internet y otras redes, esto ha generado un espacio para que
las personas con altos conocimientos tecnológicos puedan ingresar y robar
información, tanto a las personas como a las organizaciones y gobiernos.
Debido a esto se ha creado la necesidad de tener personas capacitadas en
conocimientos tecnológicos, pero que sean capaces de defender los sistemas
tecnológicos y puedan contrarrestar los ataques y minimizar los riesgos y las
vulnerabilidades, de acuerdo con esto se ha hecho necesario que las
organizaciones productoras de software y hardware, capaciten en sus sistemas a
los usuarios y puedan realizar un correcto uso de los mismos, al igual la academia
también ha intentado en crear cursos, diplomados, maestrías y doctorados para
capacitar a las personas en nuevas tecnologías y técnicas de seguridad, desde
hace algún tiempo y en la actualidad existe una organización independiente que
está trabajando en el tema desde hace algunos años, EC-Council ha diseñado una
Certificacion llamada CEH Certified Ethical Hacker.
CEH (Certified Ethical Hacker) es la certificación oficial de hacking ético desde una
perspectiva independiente de fabricantes. El Hacker Ético es la persona que lleva
a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos métodos
que un Hacker. La diferencia más importante es que el Hacker Ético tiene
autorización para realizar las pruebas sobre los sistemas que ataca. El objetivo de
esta certificación es adquirir conocimientos prácticos sobre los sistemas actuales
de seguridad para convertirse en un profesional del hacking ético.
Existen muchas otras organizaciones independientes, empresas fabricantes de
software y hardware, entre otras que proveen certificaciones.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
81
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Revisar los enlace de EC Council
https://www.eccouncil.org/
https://cert.eccouncil.org/
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
82
Lección 29: Ingeniería Social
La ingeniería social tiene varias definiciones y conceptos, a continuación se revisara algunas definiciones que ilustran la ingeniería social. “El termino ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían”. The Human side of computer security. 1999. Carole Fenelly “La ingeniería social se define como el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.” Ingeniería Social 1.0. Lester The Teacher. "Un ingeniero social es un hacker que utiliza el cerebro en lugar de la fuerza. Los Hackers llaman a los centros de datos y fingen ser clientes que han perdido su contraseña o aparecer en un sitio y simplemente esperar a que alguien mantenga una puerta abierta para ellos. Otras formas de sociales de ingeniería no son tan obvias. Los hackers han sabido crear sitios web falsos, sorteos o encuestas que preguntan a los usuarios introducir una contraseña. " Karen J Bannan, Internet
World, Jan 1, 2001 De acuerdo con el documento de la organización Sans en el paper Social Engineering means violate computer system, se define un patrón que se puede asociar a los ataques de ingeniería social, los cuales se pueden diagramar en un ciclo de funcionamiento. Lo primero es recopilar la información, lo segundo es desarrollar las relaciones, lo tercero es la explotación y lo cuarto y último es la ejecución. La recopilación de información: una variedad de técnicas puede ser utilizadas por un agresor para recoger información sobre el objetivo u objetivos. Una vez reunida esta información puede ser utilizada para construir una relación con el destino o alguien importante para el éxito del ataque. La Información que puede ser recogida incluye:
Una lista de teléfonos;
Fechas de nacimiento
El organigrama de la organización. El desarrollo de la relación: un agresor puede explotar libremente la voluntad de un objetivo, la confianza con el fin de desarrollar una buena relación con ellos. Durante el desarrollo de esta relación, el agresor se posicionará en una posición de confianza que luego explotará. Explotación: el objetivo entonces puede ser manipulado por la "confianza" que tiene con el agresor, para revelar información (por ejemplo, contraseñas) o realizar
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
83
una acción (por ejemplo, crear una cuenta o inversión gastos de teléfono) que normalmente no se producen. Esta acción podría ser el fin del ataque o el comienzo de la siguiente etapa. Ejecución: una vez que el objetivo se ha completado la tarea solicitada por el agresor, el ciclo se completa. Las motivaciones que puede tener una persona que desea realizar ingeniería social son diversas, en este caso se nombraran las cuatro motivaciones más comunes según el paper de Sans:
La ganancia financiera: existe una gran variedad de razones, una persona podría llegar a ser tentado por la aumento de guanacias monetarias. Por ejemplo, puede creer que se merece más dinero del que gana o tal vez hay la necesidad de satisfacer un hábito de juego fuera de control.
El interés propio: un individuo puede, por ejemplo, desea tener acceso y / o modificar la información que se asocia con un familiar, amigo o un vecino.
Venganza: por razones que sólo conoce realmente una persona, que podría ser objetivo de un amigo, colega, la organización o incluso un completo desconocido para satisfacer el deseo emocional de venganza.
La presión externa: una persona puede estar recibiendo presiones de sus amigos, familiares u organizada los sindicatos del crimen por razones tales como beneficios económicos, el interés personal y / o la venganza.
Técnicas de Ingeniería Social Las técnicas que se podrían emplear en gran medida se basan en la fuerza, habilidad y capacidad de la persona que esta realizando la ingeniería social la primera fase de un ataque probablemente implicará la recopilación de información sobre el objetivo. Ejemplos de técnicas de recopilación de información que se pueden utilizar incluyen:
Hombro surf: mirando sobre el hombro de una persona mientras escribe en su código de acceso y la contraseña / PIN en el teclado con el propósito de cometer esta memoria para que pueda ser reproducido.
Comprobación de la basura (conocido comúnmente como "Dumpster Diving"): buscar a través de tirar basura para obtener información potencialmente útil que debería haber sido eliminados de forma más segura (por ejemplo, trituración).
Correo-out: se reúne la información sobre un individuo / organización por seducirlo o su personal para participar en una encuesta que ofrece tentaciones, tales como premios por completar la encuesta.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
84
El análisis forense: la obtención de material antiguo equipo, tales como discos duros, tarjetas de memoria, DVD / CD, disquetes y tratar de extraer información que pueda ser de utilidad de una persona u organización.
Las técnicas de ingeniería social también se pueden clasificar en Invasivas o Directas o físicas:
El Teléfono: Personificación falsa y persuasión, con llamadas de amenazas, confusiones, falsos reportes de problemas, falsas llamadas de ayudas técnicas, relaciones con los clientes, completar de datos, consulta de buzones de voz, uso de líneas fraudulento, etc.
El sitio de Trabajo: Entrada a los sitios de trabajo, acceso físico no autorizado, robar, copiar, fotocopiar, acceso a PBX, servidores, software espía, analizadores, escáner, robar equipos, robar datos, etc.
La Basura: Revisar la basura, listados telefónicos, organigramas, memorandos, políticas, agentas, eventos, impresiones, programas, códigos fuente, papel membretado, hardware, entre otros.
La Internet-Intranet: Repetición de contraseñas, encuestas y actualizaciones falsas, anexos troyanos, spyware, entre otros.
Fuera de la Oficia: Almuerzos de negocios, alcohol, revelación de contraseñas, software espía keyloggers, keygrabbers, entre otros.
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Revisar el término ingeniería social inversa.
Leer el Libro Digital Hacking Ético de Carlos Tori Capitulo 3 Ingeniería Social. Leer el Paper Social Engieneering: A mean to Violate a Computer System http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-means-violate-computer-system_529 Ver la película Duro de Matar con Bruce Wills Rastro Oculto con Diana Lane.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
85
Lección 30: Reflexión Hacker Personal
Una vez revisado los contenidos de las lecciones y haber profundizado en el tema
de los hackers los tipos de hacker y lo que se puede hacer con las habilidades y
conocimientos sobre los sistemas tecnológicos, además de revisar la información
sobre la ingeniería social, es importante realizar una reflexión personal a través de
preguntas personales.
¿Usted ha decidido utilizar sus conocimientos y habilidades para defender o
para atacar?
¿Está interesado en buscar soluciones o problemas?
¿Qué es más importante el reconocimiento personal o la confidencialidad?
¿Le interesa el bien común o el bien individual?
¿Qué es más importante proteger o develar?
Una vez responda estas preguntas personales, defina que tipo de Hacker desea
ser o convertirse, usted esta interesado en utilizar sus conocimientos y habilidades
para encontrar riesgos y vulnerabilidades a los que usted pueda darles solución y
proteger los sistemas tecnológicos de posibles ataques.
Es mejor tener un concepto real y aterrizado de las capacidades y habilidades,
muchas veces se pueden encontrar personas con mucho mayor conocimiento,
pero se debe tener en cuenta que la práctica continua permitirá perfeccionar las
habilidades y conocimientos tecnológicos.
Hay que recordar que la ética estudia las acciones humanas y los
comportamientos de la profesión en este caso, el área de trabajo del hacker ético,
se enfocan en el uso de todos sus conocimientos, habilidades, destrezas y demás
aspectos positivos de la personalidad con fines defensivos para hacer las cosas
de acuerdo a lo mejor para las personas y las organizaciones en cuanto a la
seguridad tecnológica e informática.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática
86
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben
realizar su propia investigación del tema y profundización:
Ver la película Atrápame si puedes con Tom Hanks y Leonardo DiCaprio
Referencias
Enciclopedia de la Seguridad de la Información http://www.intypedia.com/
Red temática de critografia y segurida de la informacion Criptored
http://www.criptored.upm.es/