Material Didactico

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS Contenido Modelos y Estándares de Seguridad Informática

1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA

233002

MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA

ING. GABRIEL MAURICIO RAMIREZ VILLEGAS

ING. GUSTAVO EDUARDO CONSTAIN MORENO

(Director Nacional)

(Diseñadores de material didáctico)

ZONA CENTRO-SUR (CEAD PALMIRA, CEAD POPAYÁN)

Febrero de 2012


2

INDICE DE CONTENIDO

Introducción

PRIMERA UNIDAD: INTRODUCCION A LOS MODELOS Y ESTANDARES DE

SEGURIDAD INFORMATICA

Capítulo 1: Conceptos Básicos de Seguridad Informática

Lección 1: Sistema de Gestión de la Seguridad de la Información.

Lección 2: ¿Que es un estándar?

Lección 3: Diferencias entre un Modelo y Estándar

Lección 4: Ventajas y Desventajas

Lección 5: Ejemplos de Modelos y Estándares

Capítulo 2: Estándar (normas) de seguridad informática

Lección 6: ISO 17799




Lección 10: ISO 27003 a ISO 27005

Capítulo 3: Modelos de seguridad informática

Lección 11: ITIL

Lección 12: COBIT

Lección 13: OSSTMM

Lección 14: CC


3

Lección 15: Políticas, organización, alcance del sistema de gestión.

SEGUNDA UNIDAD: PROFUNDIZACION EN SEGURIDAD INFORMATICA

Capítulo 4: Gobierno de Tecnología

Lección 16: ¿Qué es Gobierno de Tecnología?

Lección 17: Fundamentos de Gobierno de Tecnología

Lección 18: Implementación de Gobierno de TI

Lección 19: Marco de Implementación.

Lección 20: Éxito de Gobierno de Tecnología

Capítulo 5: Certificaciones

Lección 21: CISA

Lección 22: CISM

Lección 23: CGIT

Lección 24: CISSP

Lección 25: COMPTIA SECURITY

Capítulo 6: Hacker Ético

Lección 26: ¿Qué es Hacker Ético?

Lección 27: Tareas del Hacker Ético

Lección 28: Certificación Hacker Ético

Lección 29: Ingeniería Social

Lección 30: Reflexión Hacker Personal


4

LISTADO DE GRAFICOS Y FIGURAS

Fig. 1. Modelo de seguridad de la información organizacional. Pág. 12

Fig. 2. Entidades generadoras de estándares. Pág. 15

Fig. 3. Modelo de gestión de TI. Pág. 39


5

ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO

El contenido didáctico del curso académico: Modelos y Estándares de

Seguridad Informática fue diseñado y construido inicialmente en el año 2012 por

los Ingenieros Gabriel Mauricio Ramírez Villegas y Gustavo Eduardo Constaín

Moreno, docentes de la Escuela de Ciencias Básicas Tecnología e Ingeniería de la

Universidad Nacional Abierta y a Distancia, ubicados en los Centros de Educación

a Distancia de Palmira (Valle del Cauca) y Popayán (Cauca) respectivamente, con

recursos de Internet, Libros Electrónicos, White Papers, Monografías, Trabajos de

Grados, documentos de las compañías y organizaciones productoras de los

modelos y estándares, además de hardware y software, consorcios de

telecomunicaciones, videos, presentaciones, entre otros recursos utilizados.

Algunas de las lecciones toman información textual de diferentes documentos, con

referencia a las definiciones y explicaciones sobre los modelos y estándares de

tecnologías computacionales y de comunicaciones con respecto a la seguridad

informática.

El presente contenido es la primera versión construida para el curso de Modelos y

Estándares de Seguridad Informática, debido a los diferentes estándares definidos

por la UNAD y por el continuo cambio de los contenidos y la evolución de los

sistemas computacionales y de comunicaciones, el contenido podrá ser

actualizado de forma constante.


6

AVISO IMPORTANTE LEER ANTES DE INICIAR

El contenido del curso 233002 Modelos y Estándares de Seguridad

Informática está construido con información conceptual y contextual

referente a los diferentes modelos y estándares que se aplican a la

seguridad informática.

Las Unidades didácticas corresponden a un (1) crédito académico, de

acuerdo a lo establecido en la UNAD estas unidades están

conformadas por los capítulos y estos a su vez por lecciones, las

lecciones contienen la información conceptual y contextual, que debe

ser profundizada por medio de la investigación de los estudiantes en el

tema, para ello se proponen enlaces web los cuales son páginas de

internet, monografías, artículos, White papers, tesis de grado, así

como la información técnica de las empresas productoras de hardware

y software, organizaciones de seguridad entre otros que dirigen a los

estudiantes a la profundización de los temas, pero a su vez los

estudiantes deben profundizar en los temas buscando sus propios

recursos.

Es importante que el participante del curso observe los enlaces

sugeridos y lea con detenimiento las distintas fuentes de información

mencionadas para garantizar un adecuado nivel de profundización en

las temáticas tratadas al interior del curso.

¡No olvidar profundizar las lecciones con los documentos y

enlaces relacionados!


7

INTRODUCCIÓN

En el presente contenido didáctico del curso de Modelos y Estándares en

Seguridad Informática, se podrá observar la información básica y necesaria para el

desarrollo de las actividades del curso.

El curso se desarrolla bajo la estrategia de Aprendizaje Basada en el trabajo

colaborativo, esta estrategia se utiliza para que los estudiantes planeen,

implementen y evalúen los diferentes modelos y estándares para conceptualizar,

contextualizar y aplicar los conocimientos en el mundo real.

De acuerdo con esto se plantea en el curso el desarrollo de la información de las

unidades del curso, pero se invita al estudiante a investigar y profundizar en cada

una de estas unidades, para ello se desarrolla un diseño instruccional en donde el

estudiante tendrá una guía de investigación que le permita complementar la

información y así cumplir con el proceso de enseñanza-aprendizaje.

Los estudiantes deben trabajar en equipo con los compañeros de su grupo de

trabajo, lo cuales se acompañaran en todos los procesos de investigación y de

aprendizaje durante el desarrollo del curso, cabe anotar que el grupo de trabajo

debe conseguir realizar el trabajo en sinergia que le permita realizar aprendizaje

entre pares con sus compañeros.

En este orden de ideas es necesario que el estudiante afronte el curso de forma

adecuada en cuanto al trabajo que se realizara en cada una de las unidades

didácticas del curso, en las investigaciones complementarias y en el desarrollo de

las actividades del curso.

A continuación se presentan dos (2) Unidades didácticas, en las cuales se

presenta la información referente al marco teórico de los modelos y estándares

utilizados en la actualidad en la seguridad informática.


8

UNIDAD 1

Nombre de la Unidad Introducción a los Modelos y Estándares de Seguridad Informática

Introducción

Justificación

Intencionalidades Formativas

Capítulo 1 Conceptos Básicos de Seguridad Informática

Lección 1 Sistema de Gestión de la Seguridad de la Información

Lección 2 ¿Qué es un Estándar?

Lección 3 Diferencias entre un Modelo y Estándar

Lección 4 Ventajas y Desventajas

Lección 5 Ejemplos de Modelos y Estándares

Capítulo 2 Modelos (normas) de seguridad informática

Lección 6 ISO 17799




Lección 10 ISO 27003 a ISO 27005

Capítulo 3 Estándares de seguridad informática

Lección 11 ITIL

Lección 12 COBIT

Lección 13 OSSTMM

Lección 14 CC

Lección 15 Políticas, organización, alcance del sistema de gestión.


9

PRIMERA UNIDAD: INTRODUCCIÓN A LA SEGURIDAD

INFORMÁTICA

CAPITULO 1: CONCEPTOS BÁSICOS DE SEGURIDAD INFORMÁTICA

Introducción

En la actualidad, el activo de mayor valor para muchas organizaciones es la

información y en tal sentido asumen una significativa importancia las acciones

tendientes a garantizar su permanencia en el tiempo con un nivel de acceso

controlable y seguro. A diario las organizaciones se están viendo amenazadas por

riesgos que ponen en peligro la integridad de la información y, por supuesto, la

viabilidad y estabilidad de sus funciones sustanciales.

Es importante la identificación de los factores de riesgo, tanto internos como

externos, que pueden significar un factor de riesgo para la integridad de la

información organizacional, y a partir de ello buscar las mejores alternativas para

el aseguramiento de un entorno de trabajo fiable. En tal sentido, las

organizaciones pueden proteger sus datos e información de valor con el

planteamiento de un Sistema de Gestión de Seguridad de la Información (SGSI)

que permita conocer, gestionar y minimizar los posibles riesgos que atenten contra

la seguridad de la información.

El presente capítulo, profundiza en la conceptualización de aspectos básicos de

seguridad informática y protección de las infraestructuras de las tecnologías de la

información, con el fin de generar los conocimientos mínimos para el desarrollo

apropiado de la especialización.


10

Justificación

La presente Unidad permite al participante del curso Modelos y Estándares en

Seguridad Informática, apropiar los conceptos generales básicos para abordar las

diferentes temáticas a tratar en la Especialización en Seguridad Informática, para

que de este modo se facilite su aprendizaje y continuidad en los niveles con una

apropiación adecuada de las temáticas propuestas.

Dentro de este nivel de aprendizaje es importante la definición de los modelos de

implementación de la seguridad de la información, además de los estándares que

pueden ser aplicados para este fin. Todo lo anterior servirá como base para la

continuidad en el programa de formación postgradual.


Fortalecer los conocimientos fundamentales de la seguridad informática como el

esquema básico de diseño de un sistema de gestión de la seguridad de la información

organizacional (SGSI).

Identificar los diferentes modelos y estándares que pueden ser aplicados en las

organizaciones para el montaje de un SGSI.

Identificar las características, ventajas y desventajas de los modelos y estándares de


Preparar al participante de la especialización en los conceptos fundamentales, análisis,

diseño y desarrollo de sistemas de gestión de la seguridad de la información.


11

Lección 1: Sistema de gestión de seguridad de la información

En el interior de las organizaciones actuales es imposible no considerar su

información como uno de factores de mayor importancia y valor, y que por

supuesto amerita de un tratamiento especial para garantizar su fiabilidad y

permanencia. En tal sentido, cada propietario de la información podría asumir sus

mecanismos de protección particulares sin importar la compatibilidad de tales

estrategias con otras que pudieran haber sido asumidas por un interlocutor dentro

de un proceso de manejo de información al interior de la misma organización. Es

así como además de la pérdida de información por malos manejos de los medios

de transmisión, se suma a estos riesgos la innumerable lista de amenazas

posibles que atentan contra la integridad de dicha información.

Para cualquier organización el garantizar un nivel de protección total de la

información es virtualmente imposible, incluso en el caso de disponer de recursos

ilimitados. En este sentido, se han propuesto normas internacionales con el fin de

unificar los mecanismos de construcción, manejo, almacenamiento y transmisión

de información para reducir los riesgos que ocasionan pérdidas de información y

facilitar los criterios de actuación en caso de que ellos ocurran. Sin embargo, a

través de estas normas se puede prever la conservación de su confidencialidad,

integridad y disponibilidad, así como de los sistemas implicados en su tratamiento.

A esto se le ha llamado Sistema de Gestión de la Seguridad de la Información

–SGSI (o ISMS por sus siglas en inglés).

El propósito de un SGSI es, por tanto, garantizar que los riesgos de la seguridad

de la información sean conocidos, asumidos, gestionados y minimizados por la

organización de una forma documentada, sistemática, estructurada, repetible,

eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y

las tecnologías.


12

Fig. 1. Modelo de seguridad de la información organizacional1

El proceso de desarrollo del SGSI requiere de la ejecución de las siguientes fases:

1. PLANEAR

Definir el alcance de las políticas

Definir las políticas

Definir la metodología de valoración del riesgo

Identificar riesgos

Analizar y evaluar riesgos

Gestión del riesgo

Objetivos de control

Obtener autorización para operar el SGSI

Elaborar una declaración de aplicabilidad

2. IMPLEMENTAR

Plan de tratamiento del riesgo

Implementar controles seleccionados

Definir métrica de los controles establecidos

1 Imágen tomada de: USC Marshall School of Business Institute for Critical Information Infraestructure

Protection. http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf


13

Implementar programas de educación

Gestionar la operación del SGSI

Gestionar los recursos del SGSI

Implementar procedimientos

3. EVALUAR

Ejecutar procedimientos de revisión

Realizar revisiones periódicas

Medir la eficacia de los controles

Revisar las valoraciones de riesgos

Realizar auditorías internas

4. MANTENER

Implementar las mejoras identificadas en el SGSI

Emprender acciones correctivas y preventivas

Comunicar las acciones y mejoras a las partes interesadas

Asegurarse de que las mejoras logran los objetivos propuestos

Para Profundizar:

El estudiante debe visitar los siguientes enlaces, para profundizar y deben

realizar su propia investigación del tema y profundización:

Portal web ISO27000. Sistema de Gestión de la Seguridad de la Información:

http://www.iso27000.es/download/doc_sgsi_all.pdf

FERRER, R. Sistema de Gestión de la Seguridad de la Información -SGSI:

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf

Portal VDigitalRM. Guía de seguridad de la información:

http://www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf

Instituto Nacional de Tecnologías de la Comunicación. Conceptos básicos sobre

Seguridad de la Información:

http://www.youtube.com/watch?v=zV2sfyvfqik

http://www.iso27000.es/download/doc_sgsi_all.pdf

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf

http://www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf



14

Lección 2: ¿Qué es un Estándar?

Como vimos en la lección anterior, un sistema de gestión de la seguridad de la

información busca prever los riesgos con el fin de preservar la confidencialidad,

integridad y disponibilidad de la misma, bien sea en el interior de la organización,

ante nuestros clientes (internos y/o externos) y ante las distintas partes

involucradas en nuestro negocio. La confidencialidad implica el acceso a la

información por parte exclusiva de las personas que estén debidamente

autorizadas para hacerlo, la integridad conlleva el mantenimiento de la exactitud y

completitud de la información y sus métodos de proceso; finalmente, la

disponibilidad se refiere al acceso a la información y los sistemas de tratamiento

de la misma por parte de los usuarios autorizados en el momento que lo requieran.

Para lograr lo anteriormente expuesto, se ha definido un con junto de normas,

denominadas como Estándares, que pueden concebirse como una “publicación

que reúne el trabajo en común de los comités de fabricantes, usuarios,

organizaciones, departamentos de gobierno y consumidores, que contiene las

especificaciones técnicas y mejores prácticas en la experiencia profesional con el

objeto de ser utilizada como regulación, guía o definición para las necesidades

demandadas por la sociedad y tecnología”2.

Con el fin de proporcionar un marco de gestión de la seguridad de la información

que sea utilizable por cualquier tipo de organización, se ha creado un conjunto de

estándares bajo el nombre de ISO/IEC 27000; “estas normas nos van a permitir

reducir de manera significativa el impacto de los riesgos sin necesidad de realizar

grandes inversiones en software y sin contar con una gran estructura de personal.

El grupo de normas ISO/IEC 27000 han sido elaboradas conjuntamente por ISO,

que es la Organización Internacional de Normalización y por IEC que es la

Comisión Electrotécnica Internacional. Ambos están formados por los organismos

de normalización más representativos de cada país.

2 Ministerio de comunicaciones. República de Colombia. Modelo de seguridad de la información. Sitio web:

http://programa.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf


15

Fig. 2. Entidades generadoras de estándares

ISO e IEC se encargan de elaborar normas internacionales que el mercado

requiere, necesita y exige. Estas normas pueden hacer referencia a productos

como electrodomésticos, calzado, alimentación o juguetes; también pueden hacer

referencia a servicios como los prestados en hoteles o transporte público de

pasajeros. En los últimos años, ISO e IEC han trabajado mucho con normas

relacionadas con las nuevas tecnologías como la telefonía móvil o la seguridad de

la información, y por supuesto, han continuado elaborando normas de gestión

como las conocidas ISO 9001 e ISO 14001. Las normas son de carácter

voluntario, nadie obliga o vigila su cumplimiento, sin embargo, su uso por millones

de empresas facilita el entendimiento entre países y organizaciones. Las normas

también contribuyen a mejorar la calidad y seguridad de los productos y servicios

que utilizamos todos los días.”3

Para Profundizar:



Ministerio de comunicaciones. República de Colombia. Modelo de seguridad de la

información. Sitio web:

http://programa.gobiernoenlinea.gov.co/apc-aa-

files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf

3 Instituto Nacional de Tecnologías de la Comunicación – INTECO. España. www.inteco.es




16

Instituto Nacional de Tecnologías de la Comunicación. Conceptos básicos sobre Seguridad de la Información: http://www.youtube.com/watch?v=zV2sfyvfqik Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related Escuela Colombiana de Ingeniería Julio Garavito. Principales estándares para la seguridad de de la información IT: http://www.escuelaing.edu.co/micrositio/admin/documentos/EOS2-6.pdf


http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related

http://www.escuelaing.edu.co/micrositio/admin/documentos/EOS2-6.pdf


17

Lección 3: Diferencias entre un Modelo y un Estándar

Los estándares y las normas son descripciones técnicas detalladas, elaboradas

con el fin de garantizar la interoperabilidad entre elementos construidos

independientemente, así como la capacidad de replicar un mismo elemento de

manera sistemática.

Según la Organización Internacional para la Estandarización (ISO), uno de los

principales organismos internacionales desarrolladores de estándares, la

normalización es la actividad que tiene por objeto establecer, ante problemas

reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el

fin de obtener un nivel de ordenamiento óptimo en un contexto dado, que puede

ser tecnológico, político o económico.

En el caso de las telecomunicaciones, el contexto al que hace referencia la ISO es

casi exclusivamente tecnológico. Los estándares de telecomunicaciones deben

alcanzar únicamente el nivel de concreción necesario para llevar a cabo

implementaciones del estándar de manera inequívoca y que sean compatibles

entre sí. Además, las normas técnicas de telecomunicaciones deben proporcionar

criterios uniformes en el ámbito territorial más extenso posible, de manera que se

pueda garantizar la interoperabilidad a nivel global.

Con el fin de clarificar algunos conceptos que son importantes para la continuidad

temática del curso, a continuación se definen conceptualmente los aspectos

siguientes:

NORMA:

En Tecnología, una norma o estándar es una especificación que reglamenta

procesos y productos para garantizar la interoperabilidad. Una norma de calidad

es una regla o directriz para las actividades, diseñada con el fin de conseguir un

grado óptimo de orden en el contexto de la calidad.


18

Las normas son documentos técnicos con las siguientes características:

Contienen especificaciones técnicas de aplicación voluntaria

Son elaborados por consenso de las partes interesadas:

Fabricantes

Administraciones

Usuarios y consumidores

Centros de investigación y laboratorios

Asociaciones y Colegios Profesionales

Agentes Sociales, etc.

Están basados en los resultados de la experiencia y el desarrollo

tecnológico

Son aprobados por un organismo nacional, regional o internacional de

normalización reconocido

Están disponibles al público

Las normas ofrecen un lenguaje de punto común de comunicación entre las

empresas, la Administración y los usuarios y consumidores, establecen un

equilibrio socioeconómico entre los distintos agentes que participan en las

transacciones comerciales, base de cualquier economía de mercado, y son un

patrón necesario de confianza entre cliente y proveedor.

Tipos de normas:

Una norma de facto puede definirse como una especificación técnica que ha sido

desarrollada por una o varias compañías y que ha adquirido importancia debido a

las condiciones del mercado. Suele utilizarse para referirse a normas de uso

cotidiano.


19

Una norma de jure puede definirse, en general, como una especificación técnica

aprobada por un órgano de normalización reconocido para la aplicación de la

misma de forma repetida o continuada, sin que dicha norma sea de obligado

cumplimiento.

ESTÁNDAR:

La normalización o estandarización es la redacción y aprobación de normas que

se establecen para garantizar el acoplamiento de elementos construidos

independientemente, así como garantizar el repuesto en caso de ser necesario,

garantizar la calidad de los elementos fabricados y la seguridad de

funcionamiento.

La normalización es el proceso de elaboración, aplicación y mejora de las normas

que se aplican a distintas actividades científicas, industriales o económicas con el

fin de ordenarlas y mejorarlas. La Asociación Estadounidense para Pruebas de

Materiales (ASTM), define la normalización como el proceso de formular y aplicar

reglas para una aproximación ordenada a una actividad específica para el

beneficio y con la cooperación de todos los involucrados.

Según la ISO (International Organization for Standarization) la Normalización es la

actividad que tiene por objeto establecer, ante problemas reales o potenciales,

disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un

nivel de ordenamiento óptimo en un contexto dado, que puede ser tecnológico,

político o económico.

La normalización persigue fundamentalmente tres objetivos:

Simplificación: Se trata de reducir los modelos quedándose únicamente con los

más necesarios.

Unificación: Para permitir la intercambiabilidad a nivel internacional.

Especificación: Se persigue evitar errores de identificación creando un lenguaje

claro y preciso.


20

MODELO:

Arquetipo o punto de referencia para imitarlo o reproducirlo.

Para Profundizar:



TECCELAYA. Norma, Estándar, Modelo.

http://equipoteccelaya.blogspot.es/1234029360/

WIKITEL. Normas y Estándares.

http://es.wikitel.info/wiki/Normas_y_Est%C3%A1ndares

Bjørn Andersen. Departamento de Producción y Calidad de Ingeniería de la

Universidad Noruega de Ciencia y Tecnología. Ventajas y desventajas del uso de

modelos predefinidos de proceso.

http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjo

nsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520us

ing%2520predefined%2520process%2520models.pdf

http://equipoteccelaya.blogspot.es/1234029360/

http://es.wikitel.info/wiki/Normas_y_Est%C3%A1ndares

http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjonsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520using%2520predefined%2520process%2520models.pdf




21

Lección 4: Ventajas y desventajas

Ventajas:

Algunas de las ventajas de la implementación de estándares para la seguridad de

la información son las siguientes:

Mejorar el conocimiento de los sistemas de información, sus problemas y

los medios de protección.

Mejorar la disponibilidad de los materiales y de los datos que existan en la

organización.

Se facilita la protección de la información.

La aplicación de estándares puede significar la diferenciación de la

organización ante la competencia y sobre el mercado.

Algunas licitaciones de tipo internacional solicitan la gestión y cumplimiento

de ciertas normas de aseguramiento de la seguridad de la información.

Reducción de costos debido a la pérdida de información.

Desventajas:

La no aplicación de las normas, o la mala implementación de las mismas, pude

llevar a la ocurrencia de las siguientes situaciones:

Claves de acceso a sistemas de información “compartidas” o inexistentes.

Acceso a sitios no autorizados.

Uso indebido de equipos informáticos y mala utilización o pérdida de la

información en ellos contenida.


22

Robo o pérdida de información importante.

Bases de datos destruidas.

Mantenimiento de equipos informáticos no controlados.

Copias de seguridad inservibles o incompatibles.

Redes de comunicación de la organización caídas.

Aplicaciones informáticas mal diseñadas.

Inexistencia de roles y responsabilidades entre las personas con acceso a

la información (personal no controlado).

Deficiente infraestructura de los centros de informática.

Terceros / Outsourcing sin control.

Incumplimiento de requerimientos legales o contractuales.

Inestabilidad de la viabilidad de la organización.

Para Profundizar:



Estándares y Normas de seguridad: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

Bjørn Andersen. Departamento de Producción y Calidad de Ingeniería de la Universidad Noruega de Ciencia y Tecnología. Ventajas y desventajas del uso de modelos predefinidos de proceso. http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjonsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520using%2520predefined%2520process%2520models.pdf

http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf





23

Lección 5: Ejemplos de Modelos y estándares

Para el caso que nos interesa, las normas ISO/IEC 27000 han sido creadas para

facilitar la implantación de Sistemas de Gestión de Seguridad de la Información,

entre las más importantes están:

NORMA ISO/IEC 27000: Recoge los términos y definiciones empleados en el

resto de normas de la serie, con esto se evitan distintas interpretaciones sobre los

conceptos que aparecen a lo largo de las mismas. Además, incluye una visión

general de la familia de normas en esta área, una introducción a los sistemas de

Gestión de Seguridad de la información y una descripción del ciclo de mejora

continua.

NORMA ISO/IEC 27001: Es la norma principal de la serie. Se puede aplicar a

cualquier tipo de organización, independientemente de su tamaño y de su

actividad. La norma contiene los requisitos para establecer, implementar, operar,

supervisar, revisar, mantener y mejorar un sistema de gestión de la seguridad de

la información. Recoge los componentes del sistema, los documentos mínimos

que deben formar parte de él y los registros que permitirán evidenciar el buen

funcionamiento del sistema. Asimismo, especifica los requisitos para implementar

controles y medidas de seguridad adaptados a las necesidades de cada

organización.

NORMA ISO/IEC 27002: Es una guía de buenas prácticas que recoge las

recomendaciones sobre las medidas a tomar para asegurar los sistemas de

información de una organización. Para ello describe 11 áreas de actuación, 39

objetivos de control o aspectos a asegurar dentro de cada área y 133 controles o

mecanismos para asegurar los distintos objetivos de control.

La familia de normas ISO/IEC 27000 contiene otras normas destacables. Como

por ejemplo, la norma sobre requisitos para la acreditación de las entidades de

auditoría y certificación, es decir, de aquellas entidades que acuden a las

empresas para certificar que el sistema está correctamente implantado. También

incluye una guía de auditoría y guías de implantación de la norma en sectores

específicos como el de sanidad o telecomunicaciones.


24

Para Profundizar:



Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related



25

CAPITULO 2: MODELOS (NORMAS) DE SEGURIDAD INFORMÁTICA


La ISO 17799 es una norma internacional que ofrece recomendaciones para

realizar la gestión de la seguridad de la información dirigidas a los responsables

de iniciar, implantar o mantener la seguridad de una organización. Existen varios

tipos de estándares aplicados a diferentes niveles, de los cuales el ISO 17799 es

el estándar internacional más extendido y aplicado.

El objetivo de esta norma es proporcionar una base común para desarrollar

normas de seguridad dentro de las organizaciones, un método de gestión eficaz

de la seguridad y para establecer transacciones y reclamaciones de confianza

entre las empresas.

Esta misma norma recoge la relación de controles que se deben aplicar para

establecer un Sistema de Gestión de la Seguridad de la Información (SGSI). El

conjunto completo de estos controles conforman las buenas prácticas de

seguridad de la información. Algunas características de la norma ISO 17799 son

las siguientes:

Está redactada de forma flexible e independiente de cualquier solución de

seguridad concreta.

Proporciona buenas prácticas neutrales con respectos a tecnologías o

fabricantes específicos.

Aplicable a todo tipo de organizaciones sin importar su naturaleza comercial

o tamaño.

La norma ISO 17799 establece 11 dominios de control que cubren por completo la

gestión de la seguridad de la información:

1. Política de seguridad: Dirigir y dar soporte a la gestión de la seguridad de la

información (directrices y recomendaciones).

2. Aspectos organizativos de la seguridad: Gestión dentro de la organización

(recursos, activos, tercerización, etc.)

3. Clasificación y control de activos: Inventario y nivel de protección de los

activos.


26

4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos,

fraudes o mal uso de los recursos.

5. Seguridad física y del entorno: Evitar accesos no autorizados, violación,

daños o perturbaciones a las instalaciones y a los datos.

6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y

segura de los recursos de tratamiento de la información.

7. Control de accesos: Evitar accesos no autorizados a los sistemas de

información (en computadores, redes informáticas, archivos personales de

usuarios, etc.)

8. Desarrollo y mantenimiento de sistemas: Garantizar que la seguridad está

incorporada dentro de los sistemas de información, evitar pérdidas,

modificaciones o mal uso de la información

9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de

la información.

10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las

actividades del negocio y proteger sus procesos críticos frente a fallos,

ataques o desastres.

11. Conformidad con la legislación Evitar el incumplimiento de leyes,

regulaciones, obligaciones y de otros requerimientos de seguridad.

De estos once dominios se derivan los Objetivos de Control, con los resultados

que se esperan alcanzar mediante la implementación de controles; y los

Controles, que son las prácticas, procedimientos y mecanismos que reducen el

nivel de riesgo.


27

Para Profundizar:



Un acercamiento a las mejores prácticas de seguridad de la información

internacionalmente reconocidas en el estándar ISO 17799:2005. Empresa Mayorista de

Valor Agregado (MVA). Colombia. 2006.

http://www.google.com.co/url?sa=t&rct=j&q=est%C3%A1ndar+ISO+17799+filetype%3Apd

f&source=web&cd=1&ved=0CDMQFjAA&url=http%3A%2F%2Fwww.mvausa.com%2FCol

ombia%2FPresentaciones%2FINTRODUCCION_ISO_17799.pdf&ei=-f8vT6ehD5Tsggek-

6iZBA&usg=AFQjCNFFbO-Fg2GSGKyyaJiYWbBu5a_kKw

Seguridad de la información. Norma ISO 17799. ITCSA Software.

http://www.ciiasdenic.net/files/doccursos/1196890583_ConferenciaISO17799.pdf

Tecnología de la información –Técnicas de seguridad- Código para la práctica de la

gestión de la seguridad de la información. Estándar internacional ISO/IEC 17799.

https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

Estándares y normas de seguridad


http://www.google.com.co/url?sa=t&rct=j&q=est%C3%A1ndar+ISO+17799+filetype%3Apdf&source=web&cd=1&ved=0CDMQFjAA&url=http%3A%2F%2Fwww.mvausa.com%2FColombia%2FPresentaciones%2FINTRODUCCION_ISO_17799.pdf&ei=-f8vT6ehD5Tsggek-6iZBA&usg=AFQjCNFFbO-Fg2GSGKyyaJiYWbBu5a_kKw




http://www.ciiasdenic.net/files/doccursos/1196890583_ConferenciaISO17799.pdf

https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf



28


Es una familia de estándares de ISO e IEC que proporciona un marco para la

gestión de la seguridad de la información. Estas normas especifican los requisitos

para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y

mejorar un SGSI.

La norma ISO 27000 está basada en:

Normas Base: 20001, 20002

Normas Complementarias: 20003, 20004, 20005, …

La aplicación de este grupo de normas busca la preservación de la información

con confidencialidad, integridad y disponibilidad, así como la de los sistemas

implicados en su tratamiento:

Confidencialidad: La información no se pone a disposición ni se revela a

individuos, entidades o procesos no autorizados.

Integridad: Mantenimiento de la exactitud y completitud de la información y

sus métodos de proceso.

Disponibilidad: Acceso y utilización de la información y los sistemas de

tratamiento de la misma por parte de los individuos, entidades, o procesos

autorizados cuando lo requieran.

ISO 27000 también define el vocabulario estándar empleado en la familia de

estándares 27000 (definición de términos y conceptos).


29

Para Profundizar:



Familia de normas ISO/IEC 27000.


ISO 27000.

http://www.iso27000.es/download/doc_iso27000_all.pdf

Sistema de Gestión de Seguridad de TI.

http://www.asentti.com/documentos/gseguridad.pdf



http://www.asentti.com/documentos/gseguridad.pdf


30


Es la norma principal de la serie ISO/EIC 27000 y se puede aplicar a cualquier tipo

de organización, sin importar su tamaño o su actividad comercial. La norma

contiene los requisitos para establecer, implementar, operar, supervisar, revisar,

mantener y mejorar un Sistema de Gestión de la Seguridad de la Información,

documentado dentro del contexto global de los riesgos de negocio de la

organización.

La norma ISO 27001, recoge los componentes del sistema, los documentos

mínimos que deben formar parte de él y los registros que permiten evidenciar el

buen funcionamiento del sistema. Asimismo, especifica los requisitos para

implantar controles y medidas de seguridad adaptados a las necesidades de cada

organización. Esta además, es la norma con la que se certifican los Sistemas de

Gestión de Seguridad de la Información de las organizaciones que lo deseen.

El objetivo de esta norma es el mejoramiento contínuo del sistema de gestión de

seguridad de la información a través de la adopción del modelo Plan-Do-Check-

Act (PDCA o Ciclo de Deming) para todos los procesos de la organización. Estas

siglas obedecen a las siguientes fases:

Fase de Planificación (Plan) [Establecer el SGSI]: Establecer la política,

objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la

seguridad de la información de la organización para ofrecer resultados de acuerdo

con las políticas y objetivos generales de la organización.

Fase de Ejecución (Do) [Implementar y gestionar el SGSI]: Implementar y

gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos.

Fase de Seguimiento (Check) [Monitorizar y revisar el SGSI]: Medir y revisar

las prestaciones de los procesos del SGSI.

Fase de Mejora (Act) [Mantener y mejorar el SGSI]: Adoptar acciones

correctivas y preventivas basadas en auditorías y revisiones internas o en otra

información relevante a fin de alcanzar la mejora contínua del SGSI.


31

Para Profundizar:








32


La NORMA ISO/IEC 27002 es una guía de buenas prácticas que recoge las

recomendaciones sobre las medidas a tomar para asegurar los sistemas de

información en una organización. Para ello describe 11 áreas de actuación, 39

objetivos de control o aspectos a asegurar dentro de cada área y 133 controles o

mecanismos para asegurar los distintos objetivos de control.

Los objetivos de seguridad, recogen aquellos aspectos fundamentales que se

deben analizar para conseguir un sistema seguro en cada una de las áreas que

los agrupa. Para conseguir cada uno de estos objetivos la norma propone una

serie de medidas o recomendaciones (controles) que son los que en definitiva

aplicaremos para la gestión del riesgo analizado. El objetivo de la norma es definir

los aspectos prácticos y operativos de la implantación del SGSI.

Áreas o secciones sobre las qué actuar:

o Política de seguridad

o Aspectos organizativos para la seguridad

o Clasificación y control de activos

o Seguridad ligada al personal

o Seguridad física del entorno

o Gestión de comunicaciones y operaciones

o Control de accesos

o Desarrollo y mantenimiento de sistemas

o Gestión de incidentes de seguridad de la información

o Gestión de continuidad del negocio

o Conformidad


33

Objetivos de control

o Aspectos por asegurar dentro de cada área/sección.

Controles

Mecanismos para asegurar los distintos objetivos de control (guía de buenas

prácticas)

o Para cada control se incluye una guía para su implementación.

Para Profundizar:








34

Lección 10: ISO 27003 a ISO 27799

ISO 27003: Consiste en una guía de implementación de SGSI e información

acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos

publicados por BSI a lo largo de los años con recomendaciones y guías de

implantación.

• ISO 27004: Especifica las métricas y las técnicas de medida aplicables para

determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas

se usan fundamentalmente para la medición de los componentes de la fase “Do”

(Implementar y Utilizar) del ciclo PDCA.

• ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de

la información. Apoya los conceptos generales especificados en la norma ISO/IEC

27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de

la información basada en un enfoque de gestión de riesgos. El conocimiento de los

conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e

ISO/IEC 27002 es importante para un completo entendimiento de la norma

ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo,

empresas comerciales, agencias gubernamentales, organizaciones sin fines de

lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la

organización de la seguridad de la información. Su publicación revisa y retira las

normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000.

ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría

y certificación de sistemas de gestión de seguridad de la información. Es una

versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que

operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos

para las entidades de auditoría y certificación de sistemas de gestión) los

requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a

interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a

entidades de certificación de ISO 27001, pero no es una norma de acreditación

por sí misma.

ISO 27007: Consiste en una guía de auditoría de un SGSI.


35

ISO 27011: Consiste en una guía de gestión de seguridad de la información

específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión

Internacional de Telecomunicaciones).

ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a

tecnologías de la información y comunicaciones.

ISO 27032: Consiste en una guía relativa a la ciberseguridad.

ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes,

arquitectura de seguridad de redes, escenarios de redes de referencia,

aseguramiento de las comunicaciones entre redes mediante gateways, acceso

remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e

implementación de seguridad en redes. Proviene de la revisión, ampliación y re-

numeración de ISO 18028.

ISO 27034: Consiste en una guía de seguridad en aplicaciones.

ISO 27799: Es un estándar de gestión de seguridad de la información en el sector

sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las

anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC

215.

Esta norma define directrices para apoyar la interpretación y aplicación en la salud

informática de la norma ISO/IEC 27002 y es un complemento de esa norma. ISO

27799:2008 especifica un conjunto detallado de controles y directrices de buenas

prácticas para la gestión de la salud y la seguridad de la información por

organizaciones sanitarias y otros custodios de la información sanitaria en base a

garantizar un mínimo nivel necesario de seguridad apropiado para la organización

y circunstancias que van a mantener la confidencialidad, integridad y

disponibilidad de información personal de salud.

ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en

cualquiera de sus formas, toma la información (palabras y números, grabaciones

sonoras, dibujos, vídeos imágenes médicas), sea cual fuere el medio utilizado

para almacenar (de impresión o de escritura en papel o electrónicos de

almacenamiento) y sea cual fuere el medio utilizado para transmitirlo (a mano, por

fax, por redes informáticas o por correo), ya que la información siempre debe estar

adecuadamente protegida.


36

Para Profundizar:



ISO 27000.






37

CAPITULO 3: ESTÁNDARES DE SEGURIDAD INFORMÁTICA

Lección 11: ITIL

“La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de tecnologías de la información –TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI”4.

Lo primero que debemos clarificar es que ITIL no es una metodología, sino un conjunto de mejores prácticas. La biblioteca de infraestructura de TI (ITIL) toma este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una práctica específica dentro de la gestión de TI. Tras la publicación inicial de estos libros, su número creció rápidamente (dentro la versión 1) hasta unos 30 libros. Para hacer a ITIL más accesible (y menos costosa) a aquellos que deseen explorarla, uno de los objetivos del proyecto de actualización ITIL versión 2 fue agrupar los libros según unos conjuntos lógicos destinados a tratar los procesos de administración que cada uno cubre. De esta forma, diversos aspectos de los sistemas de TIC, de las aplicaciones y del servicio se presentan en conjuntos temáticos. Actualmente existe la nueva versión ITIL v3 que fue publicada en mayo de 2007.

Aunque el tema de Gestión de Servicios (Soporte de Servicio y Provisión de Servicio) es el más ampliamente difundido e implementado, el conjunto de mejores prácticas ITIL provee un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna.

Los ocho libros de ITIL y sus temas son:

Gestión de Servicios de TI,

1. Mejores prácticas para la Provisión de Servicio 4 http://es.wikipedia.org/wiki/ITIL

http://es.wikipedia.org/wiki/ITIL


38

2. Mejores prácticas para el Soporte de Servicio

Otras guías operativas:

3. Gestión de la infraestructura de TI

4. Gestión de la seguridad

5. Perspectiva de negocio

6. Gestión de aplicaciones

7. Gestión de activos de software

Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con guías de implementación (principalmente de la Gestión de Servicios):

8. Planeando implementar la Gestión de Servicios.

Adicional a los ocho libros originales, más recientemente se añadió una guía con recomendaciones para departamentos de TIC más pequeños:

9. Implementación de ITIL a pequeña escala.

Para Profundizar:



Presentación de ITIL V2 y V3. http://www.sisteseg.com/files/Microsoft_PowerPoint_-_ITIL_V3_PRESENTACION_.pdf ITIL como apoyo a la seguridad de la información http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/04-ITILSoporteSGSIBasadoISO27001.pdf Qué es la actualización ITIL v3 2011 http://www.globalk.com.co/globalk_co/others/imagenes/cert_itil.pdf

¿Qué es ITIL? http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_ITIL_V3_PRESENTACION_.pdf

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/04-ITILSoporteSGSIBasadoISO27001.pdf

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/04-ITILSoporteSGSIBasadoISO27001.pdf

http://www.globalk.com.co/globalk_co/others/imagenes/cert_itil.pdf

http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf


39

Lección 12: COBIT

COBIT es un acrónimo de “objetivos de control para la información y la tecnología relacionada” (por sus siglas en inglés); se concibe como un marco creado por ISACA5 para la tecnología de la información (TI) y el Gobierno de TI. Se trata de un conjunto de herramientas de apoyo que permite a los administradores cerrar la brecha entre las necesidades de control, aspectos técnicos y los riesgos de negocio. COBIT define 34 procesos genéricos para la gestión de TI. Cada proceso es definido con sus entradas y salidas, además de las actividades, sus objetivos, las medidas de rendimiento y un modelo de madurez elemental.

El marco COBIT proporciona buenas prácticas a través de un marco de dominio y proceso. La orientación de negocio de COBIT consiste en vincular los objetivos del negocio para los objetivos de las TI, brindando métricas y modelos de madurez para medir sus logros, y la identificación de las responsabilidades asociadas de negocio y de TI responsables de dichos procesos. El enfoque hacia procesos de COBIT se ilustra con un modelo de proceso que se subdivide en cuatro dominios (Planificar y Organizar, Adquirir e Implementar, Entregar y Soporte técnico y Seguimiento y Evaluación) y 34 procesos en línea con las áreas de responsabilidad de ejecución del plan, su construcción y el seguimiento.

Fig. 3. Modelo de gestión de TI

5 Asociación de sistemas de información de auditoría y control. ISACA es una asociación profesional

internacional que se ocupa de Gobierno de TI


40

Los componentes de COBIT incluyen:

Marco: Organizar los objetivos de gobernanza de TI y las buenas prácticas de TI y procesos de dominios, y los vincula a los requerimientos del negocio.

Descripción del proceso: Un modelo de proceso de referencia y lenguaje común para todos los miembros de una organización. El mapa de procesos de las áreas de responsabilidad de planificar, construir, ejecutar y monitorear.

Los objetivos de control: Proporcionar un conjunto completo de requisitos de alto nivel que deben ser considerados por la administración para el control efectivo de cada proceso de TI.

Directrices de gestión: Ayuda asignar responsabilidades, de acuerdo a los objetivos, medir el rendimiento, e ilustran la interrelación con otros procesos

Los modelos de madurez: Evaluar la madurez y la capacidad de cada proceso y ayuda a subsanar las deficiencias.

Para Profundizar:



IT Service. Fundamentos de COBIT. http://www.itservice.com.co/pdf/FUNDAMENTOS%20DE%20COBIT%204-1.pdf SISTESEG. COBIT 4.1. http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf Molina, Lucio A. COBIT como promotor de la seguridad de la información. http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/02-CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf

Asociación Colombiana de Ingenieros de Sistemas ACIS. Integrando COBIT, ITIL e ISO 27002 como parte de un marco de Gobierno de Control de TI. http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_Informatica/RobertoArbelaezXXVISalon2006.pdf

http://www.itservice.com.co/pdf/FUNDAMENTOS%20DE%20COBIT%204-1.pdf

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/02-CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/02-CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_Informatica/RobertoArbelaezXXVISalon2006.pdf

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_Informatica/RobertoArbelaezXXVISalon2006.pdf


41

Lección 13: OSSTMM

OSSTMM es una metodología abierta para pruebas de seguridad y métrica (por sus siglas en inglés “Open Source Testing Methodology”), que ha sido estudiada por muchos expertos sin ser exclusiva de algún fabricante o tecnología en particular. Es el único manual de metodología para comprobar la seguridad. Toda la metodología se enfoca específicamente en los detalles técnicos a comprobar, qué vigilar durante el proceso de comprobación desde la preparación hasta la evaluación post comprobación y, sobre todo, en cómo deben ser medidos y evaluados los resultados.

OSSTMM convierte la seguridad IT en un habilitador comercial. Todos los procesos e indicadores clave de rendimiento utilizados por OSSTMM están diseñados para integrarse en cualquier ISMS (Del Inglés Information Security Management System, Sistema de Administración de Seguridad de la Información) y permite a su empresa implementar una gestión de riesgos más confiable y un análisis de compatibilidad mejor y más rentable. Una gestión de riesgos más rigurosa conlleva a un mejor análisis orientado al costo beneficio para las inversiones en infraestructura de seguridad.

Para Profundizar:



ISECOM. Manual de la metodología abierta de testeo de seguridad. http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf

DREAMLAB Technologies. OSSTMM, seguridad que se puede medir. https://www.dreamlab.net/files/documents/osstmm-esp-2.0.pdf

WEPFER, Simon. Security Tester by methodology: The OSSTMM. http://www.isecom.org/press/securityacts01.pdf

http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf

https://www.dreamlab.net/files/documents/osstmm-esp-2.0.pdf

http://www.isecom.org/press/securityacts01.pdf


42

Lección 14: CC

Common Criteria o CC (ISO/IEC 15408:1999) es un estándar internacional para

identificar y definir requisitos de seguridad. Se suele emplear para redactar dos

tipos de documentos:

Perfil de protección (Protection Profile o PP): es un documento que define

las propiedades de seguridad que se desea que tenga un producto;

básicamente se trata de un listado de requisitos de seguridad.

Objetivo de seguridad (Security Target o ST): es un documento que

describe lo que hace un producto que es relevante desde el punto de vista

de la seguridad.

En tal sentido, CC es un acuerdo internacional sobre un método de desarrollo

seguro para sitios web y sobre los siete (7) niveles discretos de la gama de

esfuerzo, incluyendo la especificación del trabajo de los evaluadores en cada

nivel. Este estándar responde a tres preguntas importantes:

¿Qué hace el producto?

CC determina claramente cuáles son las funciones de seguridad del producto y en

qué entorno aplican.

¿Cómo se ha validado el producto?

CC especifica varios niveles de confianza (EAL) que determinan el nivel de ensayo

(en tiempo y complejidad) requeridos para probar la seguridad del producto y el

nivel de exigencia a seguir en el desarrollo de este.

¿Quién ha validado el producto?

Solo laboratorios acreditados por un esquema de certificación nacional de cada

País del CCRA (Common Criteria Recognition Arrangement)6.

6 http://www.commoncriteriaportal.org/ccra/

http://www.commoncriteriaportal.org/ccra/


43

Para Profundizar:



ACIS. Criterios comunes para monitorear y evolucionar la seguridad informática en Colombia. http://www.acis.org.co/fileadmin/Base_de_Conocimiento/IX_JornadaSeguridad/CriterioscomunesparaMonitorearyEvolucionarlaSeguridadInform_ticaenColombia-JACL-Password.pdf Por tal web Common Criteria. The Common Criteria Recognition Arrangement. http://www.commoncriteriaportal.org/ccra/

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/IX_JornadaSeguridad/CriterioscomunesparaMonitorearyEvolucionarlaSeguridadInform_ticaenColombia-JACL-Password.pdf



http://www.commoncriteriaportal.org/ccra/


44

Lección 15: DEFINICIÓN DE POLÍTICAS, ORGANIZACIÓN, ALCANCE DEL

SISTEMA DE GESTIÓN Y CONCIENCIACIÓN

La implantación de un sistema de gestión de seguridad de la información

comienza con su correcto diseño, para ello debemos definir cuatro aspectos

fundamentales:

1. Definir el alcance del sistema: Este debe determinar las partes o procesos de

la organización que van a ser incluidos dentro del mismo. En este momento, la

empresa debe determinar cuáles son los procesos críticos para su

organización decidiendo qué es lo que quiere proteger y por dónde debe

empezar. Dentro del alcance deben quedar definidas las actividades de la

organización, las ubicaciones físicas que van a verse involucradas, la

tecnología de la organización y las áreas que quedarán excluidas en la

implantación del sistema. Es importante que durante esta fase se estimen los

recursos económicos y de personal que se van a dedicar a implantar y

mantener el sistema. De nada sirve que la organización realice un esfuerzo

importante durante la implantación si después no es capaz de mantenerlo.

2. Definición de la política de seguridad: Su principal objetivo es recoger las

directrices que debe seguir la seguridad de la información de acuerdo a las

necesidades de la organización y a la legislación vigente. Además, debe

establecer las pautas de actuación en el caso de incidentes y definir las

responsabilidades. El documento debe delimitar qué se quiere proteger, de

quién y por qué hacerlo; debe explicar qué es lo que está permitido y qué no,

determinar los límites de comportamiento aceptable y cuál es la respuesta si

estos se sobrepasan; e identificar los riesgos a los que está sometida la

organización.

Para que la política de seguridad sea un documento de utilidad en la

organización y cumpla con lo establecido en la norma UNE-ISO/IEC 27001

debe cumplir con los siguientes requisitos:

Debe ser redactada de una manera accesible para todo el personal de

la organización, por lo tanto debe ser corta, precisa y de fácil

comprensión.


45

Debe ser aprobada por la dirección y publicitada por la misma.

Debe ser de dominio público dentro de la organización, por lo que debe

estar disponible para su consulta siempre que sea necesario.

Debe ser la referencia para la resolución de conflictos y otras cuestiones

relativas a la seguridad de la organización.

Debe definir responsabilidades teniendo en cuenta que éstas van

asociadas a la autoridad dentro de la compañía. Es función de las

responsabilidades se decidirá quién está autorizado a acceder a qué

tipo de información.

Debe indicar que lo que se protege en la organización incluye tanto al

personal como a la información, así como su reputación y continuidad.

Debe ser personalizada totalmente para cada organización.

Debe señalar las normas y reglas que va a adoptar la organización y las

medidas de seguridad que serán necesarias.

En lo que se refiere al contenido, la política de seguridad debería incluir, al

menos, los siguientes cinco apartados:

1. Definición de la seguridad de la información y sus objetivos globales, el

alcance de la seguridad y su importancia como mecanismo de control

que permite compartir la información.

2. Declaración por parte de la dirección apoyando los objetivos y principios

de la seguridad de la información.

3. Breve explicación de las políticas.

4. Definición de responsabilidades generales y específicas, en las que se

incluirán los roles pero nunca a personas concretas dentro de la

organización.

5. Referencias a documentación que pueda sustentar la política.


46

La política de seguridad debe ser un documento completamente actualizado,

por lo que debe ser revisado y modificado anualmente. Además, existen otros

tres casos en los que es imprescindible su revisión y actualización:

Después de grandes incidentes de seguridad.

Después de los hallazgos de no conformidades en una auditoría del

sistema.

Como respuesta a cambios que afectan la estructura de la organización.

3. Organización de la seguridad de la información: En este momento, se

realiza la revisión de los aspectos organizativos de la entidad y la asignación

de nuevas responsabilidades. Entre estas nuevas responsabilidades hay tres

que tienen gran importancia:

El responsable de seguridad, que es la persona que se va a encargar de

coordinar todas las actuaciones en materia de seguridad dentro de la

empresa.

El Comité de Dirección que estará formado por los directivos de la

empresa y que tendrá las máximas responsabilidades y aprobará las

decisiones de alto nivel relativas al sistema.

El Comité de Gestión que controlará y gestionará las acciones de la

implantación del sistema colaborando muy estrechamente con el

responsable de seguridad de la entidad. Este comité tendrá potestad

para asumir decisiones de seguridad y estará formado por personal de

los diferentes departamentos involucrados en la implantación del

sistema.

Al plantear la nueva organización de la seguridad hay que tener en cuenta

la relación que se mantiene con terceras partes que pueden acceder a la

información en algún momento, identificando posibles riesgos y tomando

medidas al respecto (Por ejemplo, con personal de limpieza o servicios

generales a los cuales se les puede exigir firmar acuerdos de

confidencialidad).


47

4. Concienciación y formación del personal: Con ello se consigue que el

personal conozca qué actuaciones se están llevando a cabo y por qué se están

realizando, con ello se concede transparencia al proceso y se involucra al

personal. Por su parte, la formación logra que el personal desarrolle las nuevas

actividades de acuerdo a la normativa y a los términos establecidos.

Para Profundizar:



Instituto Nacional de Tecnologías de la Comunicación. Definición de las políticas,

Organización, Alcance.

http://www.youtube.com/watch?v=qawa_QcuFfc&feature=relmfu

ACIS. Seguridad Infórmatica en Colombia Tendencias 2010-2011.

http://www.acis.org.co/fileadmin/Revista_119/Investigacion.pdf

ACIS. Seguridad Informática en Colombia Tendencias 2008

http://www.acis.org.co/fileadmin/Revista_105/investigacion.pdf

Programa Gobierno en Línea. Centro de Información y Respuesta Técnica a

Incidentes de Seguridad Informática de Colombia.

http://programa.gobiernoenlinea.gov.co/apc-aa-

files/5854534aee4eee4102f0bd5ca294791f/GEL_IP_CIRTISIColombia.pdf

http://www.youtube.com/watch?v=qawa_QcuFfc&feature=relmfu

http://www.acis.org.co/fileadmin/Revista_119/Investigacion.pdf

http://www.acis.org.co/fileadmin/Revista_105/investigacion.pdf

http://programa.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca294791f/GEL_IP_CIRTISIColombia.pdf

http://programa.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca294791f/GEL_IP_CIRTISIColombia.pdf


48

UNIDAD 2

Nombre de la Unidad Profundización en Seguridad Informática

Introducción

Justificación


Capítulo 4 Gobierno de Tecnología

Lección 16 ¿Qué es Gobierno de Tecnología?

Lección 17 Fundamentos de Gobierno de Tecnología

Lección 18 Implementación de Gobierno de TI

Lección 19 Marco de Implementación

Lección 20 Éxito de Gobierno de Tecnología

Capítulo 5 Certificaciones

Lección 21 CISA

Lección 22 CISM

Lección 23 CGIT

Lección 24 CISSP

Lección 25 COMPTIA SECURITY

Capítulo 6 Hacker Ético

Lección 26 ¿Qué es Hacker Ético?

Lección 27 Tareas del Hacker Ético

Lección 28 Certificación Hacker Ético?

Lección 29 Ingeniería Social

Lección 30 Reflexión Hacker Personal


49

SEGUNDA UNIDAD: NUEVOS ESTANDARES

CAPITULO 4: GOBIERNO DE TECNOLOGIA

Introducción

El siguiente capítulo presenta la información referente al Gobierno de Tecnología,

los conceptos básicos, los fundamentos, la implementación, los marcos de

referencia y factores de éxito para implementar el gobierno de TI en las

organizaciones.

El gobierno de tecnología es un tema que se esta trabajando en la actualidad en

las diferentes organizaciones de cualquier tipo, el objetivo general es alinear los

objetivos de la organización con los objetivos de la tecnología de información.

Justificación

La presente Unidad tiene el objetivo de orientar al estudiante en el conocimiento

del gobierno de tecnología, las certificaciones de seguridad que se pueden

obtener y el concepto de hacker ético, proveyendo información para realizar una

reflexión personal y profesional, que permita ser competitivo en el mundo

profesional y lo más importante utilizar los conocimientos destrezas y habilidades

con fines defensivos.


Fortalecer los conocimientos fundamentales del gobierno de tecnología de

información.

Identificar las certificaciones de seguridad informática actuales para capacitarse y

validar la experiencia a nacional e internacionalmente.

Conocer el concepto de hacker ético con el fin de reflexionar sobre cómo utilizar

las habilidades y destrezas de seguridad informática con fines defensivos.


50

Lección 16: ¿Qué es Gobierno de Tecnología?

El Gobierno de tecnología es la capacidad de lograr el alineamiento, seguridad,

eficiencia y eficacia en los procesos de tecnología de la información TI mediante la

integración de modelos, estándares, métricas y controles dentro de la plataforma

tecnológica para establecer la mejora continua y proporcionar valorar a la

organización.

El Gobierno de TI hace parte de los objetivos y las estrategias de las

organizaciones, es por esto que es responsabilidad no solo de los gerentes o

administradores de tecnología, los responsables de generar un ambiente correcto

y de la aplicación de la misma, son los ejecutivos, directores, presidentes, es decir

la alta gerencia administrativa junto con la gerencia de tecnología son los mayores

responsables de generar el liderazgo, las estructuras, procesos y estrategias para

que la organización implemente con éxito el Gobierno de Tecnología.

Según Peter Wall en general se puede decir que el Gobierno de TI es un marco

para la toma de decisión y la asignación de responsabilidades que permiten el

comportamiento deseado respecto al uso de la tecnología de la información.

El Gobierno de Tecnología de Información propone el cambio de paradigma de

gestión tecnológica, por un conjunto de servicios enfocados en la prestación de

mejores servicios a los clientes, utilizando entornos o marcos de trabajo con las

mejores practicas, los marcos de trabajo que se utilizan actualmente son ITIL,

COBIT, ASL, BISL, eSCM, entre otros.

Los objetivos de la buena gestión de los gobiernos de tecnología de información

son:

Proporcionar una adecuada gestión de calidad.

Aumentar la eficiencia.

Alinear los procesos de negocio y la infraestructura de TI.

Reducir los riesgos asociados a los servicios de TI.

Generar negocio.


51

Las principales áreas de trabajo del gobierno de tecnología de la información

están enfocadas en la alineación estratégica, agregar valor, administración del

riesgo, administración de los recursos y medición del desempeño.

Para Profundizar:



Peter Weill, Jeanne Ross IT Governance: How Top Performers Manage IT

Decision Rights for Superior Results Harvard Business School Press, 2004

Revisar http://www.iso.org/iso/pressrelease.htm?refid=Ref1135

Revisar http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-

Brochure.pdf

Revisar http://www.itil.org/en/vomkennen/cobit/index.php

http://www.iso.org/iso/pressrelease.htm?refid=Ref1135

http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-Brochure.pdf


http://www.itil.org/en/vomkennen/cobit/index.php


52

Lección 17: Fundamentos de Gobierno de Tecnología

De acuerdo a lo presentado en la lección anterior y haciendo un recuento del

gobierno de tecnología este es un marco para la toma de decisiones y la

asignación de responsabilidades que permiten impulsar el comportamiento

deseado respecto al uso de la tecnología de la información en las organizaciones,

teniendo como una de las premisas principales la alineación de los objetivos de la

organización con los objetivos de las tecnologías.

Para implementar un gobierno de tecnología en una organización se deben tener

en cuanto a los elementos principales claves que invitan de manera necesaria el

proceso de reingeniería, es decir obliga a la organización a repensar, re expresar

re conceptualizar, reconstruir las organizaciones, definir los objetivos

organizacionales teniendo en cuenta las tecnologías presentas y futuras, la

información y las comunicaciones que se manejan en las organizaciones.

Estos procesos de cambio permiten la reformulación de la organización con la

ayuda de las personas de acuerdo a los respectivos roles, la experiencia, la

cultura y la información propia de las organizaciones permiten la implementación

de manera exitosa del gobierno de tecnología.

Los elementos clave para el gobierno de TI son:

La Alineación Estratégica.

Estructuras Organizativas

Aporte de Valor

Procesos de Gobierno de TI

Gestión de los Riesgos

Gestión del Rendimiento

Gestión de Recursos

Los responsables principales en el interior de la organización son: La junta

directiva, la gerencia de negocios, la gerencia de TI, Auditoria de TI, Gerencia de

Riesgos y Cumplimiento entre otros.


53

Para implementarse el gobierno de TI, la organización debe estar en función de la

mejora continua y de los cambios que se presentaran en todas las áreas y

aspectos, se debe generar una cultura organizacional hacia el cambio y lo que

esto conlleva.

Para Profundizar:







Brochure.pdf







54

Lección 18: Implementación de Gobierno de TI

Para implementar el gobierno de TI, como se menciono anteriormente, se deben

tener en cuenta los fundamentos de los cambios, los responsables y la definición

de la nueva organización como un resultado de todo el proceso de reingeniería

realizado.

Las siguientes preguntas se proponen para realizar el proceso de implementación

en las organizaciones:

¿Qué decisiones deben tomarse para asegurar el efectivo manejo y uso de IT?

¿Quién debe tomar dichas decisiones?

¿Cómo se toman decisiones?

¿Cómo se monitorean dichas decisiones?

¿Cuánto tiempo está dispuesto a utilizar para aplicar las decisiones?

Es importante tener presente los aspectos de comportamiento de la organización

como los aspectos de las relaciones formales e informales, la asignación de

derechos, responsabilidades y deberes a individuos y grupos de trabajo al interior

de la organización. También se deben tener en cuenta los aspectos normativos,

los mecanismos para formalizar las relaciones, las reglas y procedimientos

operativos para asegurar que los objetivos planteados se cumplan.

Se deben definir principios clave teniendo en cuenta como la tecnología de la

información es empleada en la empresa y como debería ser en el futuro próximo y

lejano, la arquitectura en la organización tiene una organización lógica de datos,

aplicaciones e infraestructura definidas en un conjunto de políticas, relaciones y

elecciones técnicas para alcanzar la integración y estandarización. Infraestructura

de servicios centralizados, compartidos, coordinados que proveen la base para la

capacidad de la organización de hacer uso de la tecnología. Necesidades

Aplicativas de las áreas de negocio respecto a las aplicaciones. Inversión y

Priorización cuanto y en que invertir, incluyendo aprobaciones de proyectos y

técnicas de justificación.

Entonces es importante preguntarse el por que realizar el gobierno de tecnología,

¿Cuál es el beneficio económico?, ¿Por qué es tan costoso la tecnología de la


55

información?,¿Cuáles son las nuevas oportunidades de negocio?, ¿Cuál es el

valor de la Información?,¿Cuál es el valor de la tecnología?

Una vez se ha dado respuesta al gran número de preguntas que se debe realizar,

es importante hacer una revisión y reflexión sobre las respuestas dadas a cada

una de las preguntas, luego se deben definir las estructuras organizacionales a la

que la organización donde se realizara la implantación, los procesos para la

alineación y los enfoques para la comunicación.

Las estructuras son Monarquías solo los altos ejecutivos toman decisiones,

federales los comités con representantes de toda las áreas, las monarquías de TI

solo los comité de tecnologías, los duopolios comités con participaciones de dos

comités.

Los procesos de alineamiento se pueden realizar con el procesa de acuerdos a

nivel de servicios, seguimiento de proyectos, monitoreo formal del valor del

negocio, entre otros.

Los enfoques para la comunicación se pueden dar como anuncios de la alta

dirección, los comités formales, Oficina de gobierno de TI, portales de

comunicación, entre otros.

Para Profundizar:







Brochure.pdf







56

Lección 19: Marco de Implementación

Luego de realizar la revisión de la fundamentación y conocer el gobierno de

tecnología, se deben definir un marco de implementación o entornos de trabajo,

actualmente existen diferentes marcos de implementación que pueden ser

utilizados por las organizaciones para implementar el gobierno de TI y certificar la

organización según el marco que se desee utilizar, a continuación se presentan

los tres marcos más representativos del gobierno de tecnología:

ISO 38500 Gobierno Corporativo de Tecnología de Información es aplicable a

las organizaciones de todos los tamaños, incluyendo las organizaciones públicas y

privadas. Esta norma proporciona un marco para la gestión eficaz de la TI para

ayudar a las personas con mayor nivel de las organizaciones a comprender y

cumplir con las obligaciones legales, reglamentarias y éticas con respecto al uso

de sus organizaciones de TI.

El marco comprende definiciones, principios y modelo. En él se establecen seis

principios de buen gobierno de TI que expresan el comportamiento preferido para

guía la toma de decisiones.

El objetivo de la norma es promover el uso eficaz, eficiente y aceptable de la

misma por todas las organizaciones para:

Asegurar que las partes interesadas pueda tener la confianza en el gobierno de ti

de la organización, si el estándar es seguido.

Informar y orientar a los directores de alto nivel del uso de la tecnología de la

información en la organización y proporcionar una base para la evaluación objetiva

de la gestión empresarial de las TI.

La norma está en consonancia con la definición de gobierno corporativo que fue

publicado como un Informe del Comité sobre los Aspectos Financieros del

Gobierno Corporativo en 1992, también conocido como el Informe Cadbury. El

Informe Cadbury proporciona la definición de fundación de la Organización para la

Cooperación y el Desarrollo de los Principios de Gobierno Corporativo.

ITIL Information Technology Infrastructure Library es el enfoque más ampliamente

adoptado para la Gestión de Servicios TI en el mundo. Se ofrece un práctico y

sensato marco para identificar, planificar, entregar y mantener los servicios de TI

con el negocio.


57

ITIL: Visión general y beneficios

ITIL aboga por que los servicios de TI deben estar alineados con las necesidades

del negocio y sustentar los procesos de negocio. Se ofrece orientación a las

organizaciones sobre la manera de utilizar las TI como una herramienta para

facilitar el cambio de negocios, la transformación y el crecimiento.

Las mejores prácticas ITIL están detalladas dentro de las cinco principales

publicaciones que proporcionan un enfoque sistemático y profesional para la

gestión de servicios de TI, permitiendo a las organizaciones para ofrecer servicios

adecuados y asegurarse de que continuamente están cumpliendo los objetivos de

negocio y entregando beneficios.

Las cinco guías básicas mapa de todo el ciclo de vida de ITIL Service,

comenzando con la identificación de las necesidades del cliente y los

controladores de los requisitos de TI, a través del diseño e implementación de los

servicios en funcionamiento y, por último, a la fase de seguimiento y mejora del

servicio.

La adopción de ITIL puede ofrecer a los usuarios una amplia gama de beneficios

que incluyen:

Mejora de los servicios de TI

Reducción de costos

Atención al cliente mejorado la satisfacción a través de un enfoque más

profesional a la prestación de servicios

Mejora de la productividad

Mejora el uso de las habilidades y la experiencia

Mejora de la prestación de servicios de terceros.

IT Governance Institute

COBIT es un marco de gobernanza de TI y herramientas de apoyo que permite a

los administradores para cerrar la brecha entre las necesidades de control,

cuestiones técnicas y riesgos de negocio. COBIT permite el desarrollo de políticas

claras y buenas prácticas para el control de toda la organización. COBIT enfatiza

el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor logrado

de TI, permite la alineación y simplifica la implementación del marco COBIT.


58

El propósito de COBIT es proporcionar a la dirección y los propietarios de

procesos de negocio una tecnología de la información (TI) que ayuda a modelo de

gobierno en la entrega de valor a partir de la información y la comprensión y la

gestión de los riesgos asociados con TI. COBIT ayuda a salvar las diferencias

entre los requerimientos del negocio, las necesidades de control y las cuestiones

técnicas. Se trata de un modelo de control para satisfacer las necesidades de

gobierno de TI y garantizar la integridad de la información y los sistemas de

información.

COBIT se utiliza a nivel mundial por quienes tienen la responsabilidad primordial

de los procesos de negocio y la tecnología, los que dependen de la tecnología de

la información relevante y confiable, y los que proporcionan calidad, fiabilidad y

control de las tecnologías de la información.

El marco que se ha estructurado en 34 procesos de agrupamiento entre sí las

actividades de ciclo de vida o tareas concretas relacionadas entre sí. El modelo de

proceso se prefirió por varias razones. En primer lugar, un proceso por su propia

naturaleza orientada a los resultados en la forma en que se centra en el resultado

final, mientras que la optimización del uso de los recursos. La forma en que estos

recursos están físicamente estructurados, por ejemplo, la gente / habilidades en

los departamentos, es menos relevante en esta perspectiva. En segundo lugar, un

proceso, en especial sus objetivos, es más de carácter permanente y no cambia el

riesgo de no tan a menudo como una entidad organizativa. En tercer lugar, el

despliegue de TI no puede ser confinado a un departamento en particular e

involucra a los usuarios y de gestión, así como especialistas en TI. En este

contexto, el proceso de TI sigue siendo, sin embargo, el común denominador.

En cuanto a aplicaciones se refiere, que son tratados en el marco COBIT como

una de las cuatro categorías de recursos. Por lo tanto han de ser gestionados y

controlados de tal manera que se logre la información necesaria a nivel de

procesos de negocio. De esta manera, los sistemas de aplicación son una parte

integral del marco de COBIT y pueden tratarse de forma específica a través del

punto de vista de los recursos. En otras palabras, se centraron únicamente en los

recursos sólo una recibirá automáticamente una vista de la aplicación de los

objetivos de COBIT.


59

Para Profundizar:



Revisar Governance Institute http://www.itgi.org/

Revisar ISO 38500 http://www.iso.org/iso/pressrelease.htm?refid=Ref1135

Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx

Revisar ITIL http://www.itil.org/en/zumkoennen/itil/index.php

Revisar Cobit

http://www.itgi.org/


http://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx

http://www.itil.org/en/zumkoennen/itil/index.php


60

Lección 20: Éxito del Gobierno de Tecnología

El éxito de la implementación del Gobierno de Tecnología radica en el compromiso

organizacional de todos los miembros, siendo de gran importancia la participación

de la mayor cantidad de altos ejecutivos de la organización en el proceso de

implementación, la relación del éxito del gobierno de tecnología con el numero de

altos ejecutivos involucrados es directamente proporcional.

La comunicación organizacional es uno de los factores importante en el gobierno

de tecnología es por eso que se deben utilizar medios de comunicación eficientes

y eficaces que sean capaces de permear e informar todo el proceso, las

estrategias y las tareas a cada uno de los miembros de la organización inmersos

en la implementación del gobierno de tecnología.

Los objetivos de la organización debe estar completamente alineados con los

objetivos del gobierno de tecnología, en este orden de ideas los objetivos de la

inversión en la tecnología deben ser claros y responder al cumplimiento de los

objetivos.

Las estrategias de la organización para la implementación deben estar bien

definidas y fundamentadas, teniendo en cuenta los objetivos del gobierno de

tecnología trazados por la organización, es importante definir estrategias de

negocio diferenciadas que den respuesta a las metas de funcionamiento de la

organización de acuerdo a su naturaleza.

Se deben realizar mayores excepciones aprobadas y menos excepciones a las

reglas, lo que quiere decir que es mejor aprobar las excepciones que estas

infringiendo las reglas de la implementación, porque al final el resultado será la

desviación del objetivo general.

Por último es importante no realizar cambios o modificar los mecanismos de

gobierno de tecnología implementados, para asegurar el correcto funcionamiento

del mismo.


61

Para Profundizar:



Revisar Governance Institute http://www.itgi.org/

Revisar ISO 38500 http://www.iso.org/iso/pressrelease.htm?refid=Ref1135

Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx

Revisar ITIL http://www.itil.org/en/zumkoennen/itil/index.php

Revisar Cobit

http://www.itgi.org/


http://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx

http://www.itil.org/en/zumkoennen/itil/index.php


62

CAPITULO 5: CERTIFICACIONES

Lección 21: Certified Information System Auditor CISA

CISA es una certificación para auditores la cual es respaldada por la Information

Systems Audit and Control Association ISACA, esta certificación fue creada y

establecida en el año de 1978 debido a que se debía desarrollar una herramienta

que se utilizara para evaluar la competencia de los individuos en las auditorias,

proveer una herramienta para los auditores de sistemas de información que les

permitiera mantener las habilidades y monitorear la efectividad de los sistemas,

proveer criterios para ayudar en la gestión de selección de personal.

ISCA cuenta con más de 95,000 miembros en 160 países, ISACA (www.isaca.org)

es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones,

comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de

información, gobierno empresarial, administración de TI así como riesgos y

cumplimiento relacionados con TI. Fundada en 1969 la no lucrativa e

independiente ISACA organiza conferencias internacionales, publica el ISACA

Journal, y desarrolla estándares internacionales de auditoría y control de sistemas

de información que ayudan a sus miembros a garantizar la confianza y el valor de

los sistemas de información. Asimismo, certifica los avances y habilidades de los

conocimientos de TI a través de la mundialmente respetada Certified Information

Systems Auditor (Auditor Certificado en Sistemas de Información) (CISA), el

Certified Information Security Manager (Gerente Certificado de Seguridad de la

Información) (CISM), Certified in the Governance of Enterprise IT (Certificado en

Gobierno de Tecnologías de la Información Empresarial) (CGEIT) y el Certified

Risk and Information Systems Control (Certificado en Riesgo y Control de

Sistemas de Información) (CRISC). ISACA actualiza continuamente COBIT, que

ayuda a los profesionales y líderes empresariales de TI a cumplir con sus

responsabilidades de administración y gestión, particularmente en las áreas de

aseguramiento, seguridad, riesgo y control, para agregar valor al negocio.

Para obtenerla certificación CISA se debe cumplir con los cinco siguientes

requisitos:

1. Haber aprobado el examen CISA.

2. Acreditar experiencia en auditoria de sistemas, control o seguridad de la

información.


63

3. Seguir el código de conducta de los auditores CISA.

4. Seguir el proceso de educación continua CPE.

5. Cumplir con los estándares de Auditoria de Sistemas.

El examen consiste en 200 preguntas de opción múltiple, el tiempo para realizar el

examen es de 4 horas y se encuentra divido en 6 áreas, las cuales son: Proceso

de Auditoria, Gobierno de Tecnología de Información, Administración del ciclo de

vida de tecnología de sistemas, soporte y entrega de tecnología de información,

protección de activos y continuidad del negocio y recuperación.

El examen solo se puede tomar dos veces al año en Junio y en Diciembre, se

debe preparar con por lo menos 6 meses para poder desarrollarlos correctamente.

Para Profundizar:



Visitar ISACA: www.isaca.org

Certificación CISA: http://www.isaca.org/Certification/CISA-Certified-Information-

Systems-Auditor/Pages/default.aspx

Informacion Certificacion: http://www.isaca.org/Certification/CISA-Certified-

Information-Systems-Auditor/Register-for-the-Exam/Documents/CISA-BOI-June-

2012-ES.pdf

http://www.isaca.org/

http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx

http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx

http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Register-for-the-Exam/Documents/CISA-BOI-June-2012-ES.pdf




64

Lección 22: Certified Information Security Manager CISM

CISM es una certificación para administradores de seguridad informática

CISA es una certificación para administradores de la seguridad informática la cual

es respaldada por la Information Systems Audit and Control Association ISACA,

esta dirigida a la gerencia de tecnología de información, la certificación fue creada

en el año de 2004.

La certificación CISM es para los directores de seguridad de la información o para

personas que deben dirigir, diseñar, revisar, evaluar y asesorar programas de


La certificación CISM promueve las prácticas internacionales y proporciona una

dirección ejecutiva garantizando que aquellos que se han ganado la designación

tengan la experiencia y el conocimiento requeridos para proporcionar una

dirección de seguridad y servicios de consultoría efectivos.

El examen del CISM cubre cinco áreas de la dirección de seguridad de la

información. Estas áreas fueron desarrolladas por el Consejo de Certificación

CISM y representan el análisis de una práctica de trabajo llevada a cabo por

directores de seguridad de la información y validada por reconocidos lideres,

expertos y practicantes de la industria.

Primer área Gobierno de la Seguridad de la Información: Establece un marco

de trabajo que garantiza el cumplimiento de las estrategias de seguridad estén

acordes con los objetivos de la organización y son acordes con las leyes y

regulaciones

Segunda área Dirección de Riesgo de la Información: Identifica y dirige los

riesgos de la seguridad de la información para alcanzar los objetivos del

negocio.

Tercera área Programa de Desarrollo de Seguridad de la Información: Crea y

mantiene un programa para implementar las estrategias para la seguridad de la

información.

Cuarta área Programa de dirección de Seguridad de la Información: Supervisa

y dirige las actividades de seguridad de la información para ejecutar el

programa de seguridad.


65

Quinta área Respuesta y Dirección de Incidentes: Planea, desarrolla y dirige

una habilidad para detectar, responder y recuperarse de los incidentes de

seguridad de la información.

Para obtener la certificación como CISM debe realizar lo siguiente:

1. Aprobar el examen CISM con mínimo el 75% del puntaje total.

2. Apegarse al código de Ética Profesional de ISACA.

3. Estar de acuerdo con la Política de Educación Continuada.

4. Experiencia de trabajo en el campo de seguridad de la información.

5. Enviar una aplicación para certificarse como CISM.

El examen solo se oferta dos veces al año en Junio y en Diciembre y se debe

contar con mínimo 6 meses de preparación y la experiencia indicada en los

requerimientos de la certificación.

Para Profundizar:



Certificación CISM: http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx?gclid=CJD3uvPJ-K0CFQGd7QodWyrEsw

http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx?gclid=CJD3uvPJ-K0CFQGd7QodWyrEsw






66

Lección 23: Certified in the Governenace of Enterprise IT CGIT

CGIT es una certificación para administradores de tecnología la cual es

respaldada por la Information Systems Audit and Control Association ISACA, está

dirigida a la gerencia de tecnología de información, la certificación fue creada en el

año de 2007.

La certificación CGIT está enfocada en el gobierno de tecnología de las

organizaciones, los profesionales que obtienen esta certificación se encuentra

inmersa en la gestión de tecnología de las organizaciones, por lo tanto promueve

los avances de las tecnologías y de las implementaciones de las mismas teniendo

en cuenta los planes organizacionales para cumplir con los objetivos tecnológicos

que se han propuesto, teniendo en cuenta la alineación con los objetivos

organizacionales.

Los profesionales que trabajan en gobierno de tecnología deben administrar,

diseñar y evaluar tecnología en las organizaciones, debido a que la experiencia es

un factor muy importante en el cumplimiento de la certificación.

La certificación CGIT permite trabajar en las siguientes áreas del gobierno de

tecnología: Marco de Trabajo de Gobierno de Tecnología, Alienación Estratégica,

Entrega de Valor, Administración del Riesgo, Administración de Recursos y

Medición del Desempeño, estas áreas relacionan todos los espacios de trabajo

relacionados con el gobierno de tecnología al interior de las organizaciones.

CGEIT demuestra probada experiencia: Juntas y la gestión ejecutiva espera que

proporcionen un valor empresarial. El gobierno de TI es un componente clave de

la gobernanza empresarial y el éxito. La designación CGEIT demuestra que usted

tiene experiencia y conocimiento en la gobernanza de las TI corporativas.

La certificación aumenta la credibilidad, influencia y reconocimiento, porque ofrece

credibilidad necesaria para abordar los temas críticos con los principales

ejecutivos y las juntas, debido al conocimiento y experiencia que adquiere con la

realización de la certificación.

El gobierno de tecnología se puede trabajar desde diferentes marcos de trabajo,

por ejemplo ITIL o COBIT, es por esto que la certificación utiliza uno de estos

marcos de trabajo para realizar el proceso de certificación.

Para realizar la certificación el aspirante debe realizar:


67

1. Aprobar el examen de certificación CGIT

2. Adherirse al código de Ética Profesional de ISACA.

3. Adherirse y cumplir con el programa de educación continuada del CGIT

4. Proporcionar la evidencia la experiencia laboral en gobierno de tecnología.

La certificación CGIT provee la validación de los conocimientos en la

administración, gestión, evaluación de tecnológica, enfocados en el uso de marcos

de trabajo enfocados en el gobierno de tecnología al interior de las

organizaciones.

Para Profundizar:



http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-

Enterprise-IT/Pages/default.aspx?gclid=CNigrbrP-q0CFRBT7AodXEiB9g


Enterprise-IT/Pages/FAQs.aspx


Enterprise-IT/Pages/How-to-Become-Certified.aspx

http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-Enterprise-IT/Pages/default.aspx?gclid=CNigrbrP-q0CFRBT7AodXEiB9g

http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-Enterprise-IT/Pages/default.aspx?gclid=CNigrbrP-q0CFRBT7AodXEiB9g

http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-Enterprise-IT/Pages/FAQs.aspx

http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-Enterprise-IT/Pages/FAQs.aspx

http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-Enterprise-IT/Pages/How-to-Become-Certified.aspx

http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-Enterprise-IT/Pages/How-to-Become-Certified.aspx


68

Lección 24: Certified Information Systems Security Professional CISSP

La certificación CISSP es otorgada por la (ISC)² International Information Systems

Security Certification Consortium, con el objetivo de dar un alto reconocimiento a

los profesionales tecnológicos enfocados en la seguridad informática.

CISSP es mundialmente reconocida como una de las certificaciones más

importantes que puede obtener un profesional de la seguridad informática, la

certificación asegura que los profesionales trabajan con los estándares

internacionales y tienen las competencias necesarias para proveer seguridad

informática a los diferentes sistema que tienen las organizaciones, tales como las

redes, la computación en la nube, la seguridad móvil, entre otros.

La organización (ISC)² nace en el año de 1988 cuando un grupo interesado en la

seguridad y un grupo de administración de procesamientos de datos, decidieron

trabajar juntos para desarrollar una certificación estandarizada que pudiera

proveer una certificación a los profesionales de las áreas de la seguridad de la

información de este modo nace esta organización sin animo de lucro.

Para realizar la Certificación CISSP se debe cumplir con 4 requisitos importantes:

Aprobar el examen CISSP, el cual consta de 250 preguntas y dura 6 horas,

en este examen se evalúan los 10 dominios de conocimiento o en ingle

CBK.

Demostrar experiencia mínima de cinco años trabajando en al menos dos

dominios de los 10 dominios CBK.

Adherirse al código de Ética de (ISC)².

Al ser seleccionado debe someterse a un proceso de auditoría y aprobarlo.

Para mantener la certificación CISSP, deben realizar actividades dentro de los

dominios de conocimiento para asegurar que se encuentra realizando trabajos en

el área de la seguridad informática, estas actividades son evaluadas con créditos y

debe cumplir mínimo 120 créditos cada 3 años, si no es así debe realizar y

aprobar el examen.

Los dominios de seguridad de la (ISC)² para la certificación CISSP son:

1. Seguridad de la Informaron y Administración del Riesgo.

2. Sistemas y Metodología de Control de Acceso


69

3. Criptografía

4. Seguridad Física

5. Arquitectura y Diseño de Seguridad

6. Regulaciones Legales, Cumplimiento e Investigación.

7. Seguridad de Red y Telecomunicaciones.

8. Planes de Continuidad del Negocio y de Recuperación Frente a Desastres

9. Seguridad de Aplicaciones

10. Seguridad de Operaciones

Es importante realizar un correcto proceso de estudio en los dominios con por lo

menos un periodo anterior de estudio antes de tomar la certificación, lo cual le

permitirá obtener mejores resultados en el examen y en el proceso de

certificación.

Para Profundizar:



International Information Systems Security Certification Consortium Inc.

https://www.isc2.org/default.aspx

Certification CISSP

https://www.isc2.org/cissp/Default.aspx

https://www.youtube.com/watch?v=WbeepQAI_Fg&feature=player_embedded

CISSP All-in-One Exam Guide, Third Edition by Shon Harris (McGraw-Hill

Osborne Media) ISBN: 007225712

Official (ISC)2 Guide to the CISSP Exam By Susan Hansche (AUERBACH)

ISBN: 084931707X

https://www.isc2.org/default.aspx

https://www.isc2.org/cissp/Default.aspx

https://www.youtube.com/watch?v=WbeepQAI_Fg&feature=player_embedded


70

The CISSP Prep Guide: Gold Edition By Ronald L. Krutz, Russell Dean Vines

(Wiley) ISBN: 047126802X

Advanced CISSP Prep Guide: Exam Q&A By Ronald L. Krutz, Russell Dean

Vines (Wiley) ISBN: 0471236632

CISSP Certification Training Guide By Roberta Bragg (Que) ISBN: 078972801X

Information Security Management Handbook, Fifth Edition By Harold F. Tipton,

Micki Krause (Que) ISBN: 0849319978

CISSP: Certified Information Systems Security Profesional Study Guide Third

Edition By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438

Preguntas y respuestas de prueba online:

http://www.boson.com/

http://www.testking.com/

http://www.boson.com/

http://www.testking.com/


71

Lección 25: Computing Technology Industry Association COMPTIA

SECURITY

La asociación de la industria de tecnología de computo COMPTIA es una

organización sin ánimo de lucro, creado en 1982 como la Asociación de

negociantes de computación y luego se convirtió en la asociación COMPTIA.

La asociación inicio con el programa de certificaciones desde el año de 1993, y

desde entonces ofrece un gran número de certificaciones en las diferentes áreas

de las tecnologías computacionales como hardware software, redes, seguridad

informática en muchas otras.

La certificación de CompTIA Security designa a los profesionales con

conocimientos en el campo de la seguridad, uno de los campos de mayor

crecimiento en IT.

CompTIA Security es una organización internacional, proveedor neutral de

certificación que demuestra competencia en: Cumplimiento de la red de seguridad

y amenazas de seguridad operacional y la aplicación vulnerabilidades, los datos y

la seguridad de host de control de acceso y de gestión de identidad Criptografía la

certificación no sólo asegura que los candidatos apliquen los conocimiento de los

conceptos de seguridad, herramientas y procedimientos que permitan reaccionar a

incidentes de seguridad, asegura que el personal de seguridad están anticipando

los riesgos de seguridad y protección contra ellos.

La certificación de CompTIA Security+ está acreditado por la Organización

Internacional de Normalización (ISO) y el American National Standards Institute

(ANSI).

Para realizar la certificación se debe realizar un examen de 100 preguntas el cual

tiene una duración de 90 minutos, debe tener un calificación de 750 en una escala

de 100-900, se recomienda tener dos años de experiencia en redes y seguridad

en redes.

Luego de seleccionar la certificación, se debe realizar un entrenamiento

exhaustivo utilizando variedad de métodos, como por ejemplo clases presenciales

con instructores con experiencia, estudio independiente y con los cursos elearning

que provee COMPTIA, también debe estudiar en los centros de entrenamiento y

los materiales de estudio de CompTIA, aprender sobre los exámenes para

solucionarlos, revisar las preguntas de ejemplo, revisar donde realizar los


72

exámenes y pagar el examen, para finalizar se debe realizar el examen en los

sitios autorizados por CompTIA.

Para Profundizar:



Revisar

http://certification.comptia.org/home.aspx

http://www.comptia.org/global/es/certifications.aspx

http://certification.comptia.org/getCertified/certifications/security.aspx

http://www.francisco-valencia.es/Documentos/CompTIASec.pdf

http://certification.comptia.org/home.aspx

http://www.comptia.org/global/es/certifications.aspx

http://certification.comptia.org/getCertified/certifications/security.aspx

http://www.francisco-valencia.es/Documentos/CompTIASec.pdf


73

CAPITULO 6: HACKER ETICO

Lección 26: ¿Qué es un Hacker Ético?

La evolución de las tecnologías de la información y la comunicación desde sus

inicios ha presentado situaciones adversas como fallos, errores y en general la

misma evolución tecnológica ha generado que los sistemas se conviertan en

obsoletos, poco fiables y no funcionales.

Las necesidades o requerimientos de tecnología son cada vez mayores y los

sistemas actuales deben ser capaces de evolucionar y presentar versiones

mejoradas o nuevas versiones, tal como lo hacen los sistemas operativos y demás

sistemas conocidos.

Entre las posibles situaciones que afectan los sistemas tecnológicos se

encuentran las vulnerabilidades de seguridad y confiabilidad, esto debido a que las

tecnologías son construidas con tecnologías y requerimientos que en ese

momento son cubiertas con los análisis y diseños específicos.

La mayoría de los errores de las tecnologías de la información y comunicación se

producen porque en el momento de realizar el análisis, diseño, desarrollo e

implementación, no se contemplan todas las posibilidades de proveer seguridad a

las tecnologías y se crean las puertas traseras de acceso o los hoyos negros que

son espacios donde se permite el acceso no deseado.

Estos espacios de accesos o vulnerabilidades son aprovechados por intrusos que

tienen un mayor conocimiento para aprovechar y explotar estos errores de

seguridad, generando poca confiabilidad en los sistemas y en casos mas graves la

perdida y robo de información, siendo la información uno de los activos mas

importantes y valiosos de las personas, organizaciones y gobiernos a nivel

mundial.

Es importante entonces definir que es un Hacker Ético, y para ello se desglosara

este nombre en dos partes, Hacker y Ético, en ese orden de ideas el concepto

hace referencia a una persona a la que se le puede denominar con este nombre,

entonces es importante recalcar que una persona es la que decide ser nombrada

Hacker Ético debido a las acciones que realiza.

El concepto de Hacker tiene muchas definiciones según los diferentes autores,

algunos están a favor y otros en contra, se podría decir que la definición puede ser


74

subjetiva desde la perspectiva, si esta definición se asocia a acciones positivas o

negativas, sin embargo es importante profundizar en el porque los diferentes

autores lo definen como bueno o malo.

En este caso el concepto Hacker se definirá como una persona que tiene altos

conocimientos en tecnología relacionados con programación, redes, sistemas

operativos, telecomunicaciones, entre otros, con un alto gusto por los temas

tecnológicos, apasionado por el trabajo con la tecnología y con el deseo de

descubrir nuevos espacios tecnológicos, se diferencia del Craker el cual utiliza

todas las cualidades del hacker pero lo realizar para violentar la seguridad de

sistemas tecnológicos, retomando la historia los hackers originales eran

programadores aficionados o personas destacadas con conocimientos

tecnológicos que trabajan para conocer y mejorar las tecnologías pero dentro de la

legalidad, algunos de estos hacker y otros que aparecieron con conocimientos

tecnológicos empezaron a utilizar estos conocimientos para realizar actividades

ilegales como robo de información y daños a sistemas, por esto en el año de 1985

se empezaron a denominar Crakers a las personas que realizaban estas prácticas,

diferenciándose de los Hackers los cuales utilizaban sus conocimientos dentro de

la legalidad.

La Ética estudia que es lo moral, es decir el estudio de las buenas costumbres

teniendo en cuenta la reflexión y la argumentación.

Entonces el concepto de Hacker Ético de acuerdo con los conceptos

anteriormente mencionados es la persona con altos conocimientos tecnológicos

que hace uso de sus conocimientos dentro de lo legal teniendo en cuenta las

buenas costumbres de su profesión y conocimientos, utilizándolos de forma

defensiva y no ofensiva, es decir lo utiliza para generar protección, seguridad y

confianza.

Algunas de las características que tienen los Hacker Ético son: La Libertad,

Curiosidad, Creatividad, Actividad, Perseverancia, Pasión, Integridad,

Responsabilidad, Proactivo, entre otros.

Técnicamente debe tener conocimientos en programación, redes,

comunicaciones, sistemas operativos y seguridad.


75

Para Profundizar:



Leer el ensayo Hackers: Heroes of the Computer Revolution publicado en 1984 del

periodista Steven Levy.

Leer la Ética del Hacker y el Espíritu de la era de la Información de Pekka

Himanen 2004


76

Lección 27: Tareas del Hacker Ético

De acuerdo con la definición y características del Hacker Ético y teniendo en

cuenta la filosofía, es importante tener muy claro que las habilidades y

capacidades tecnológicas que posee deben estar enfocadas en la defensa y

seguridad de los sistemas tecnológicos, es por esto que se debe revisar el

contexto en el cual se desenvuelve el hacker, debido a las diferentes áreas de la

tecnología en las que se puede trabajar.

Los elementos básicos y esenciales de seguridad en los que debe trabajar un

hacker ético son: la confidencialidad, la autenticidad, la integridad y la

disponibilidad.

La confidencialidad se refiere al ocultamiento de la información y recursos de las

organizaciones en las que se encuentre trabajando, teniendo en cuenta que la

estos son recursos de vital importancia y deben ser cuidados y resguardados.

La autenticidad se refiere a la identificación y validez de la información, es decir es

garantizar el origen de la información.

La integridad se refiere a las modificaciones no autorizadas de los datos y la

información, es decir es resguardar la información para que sea correcta y veraz.

La disponibilidad se refiere a la posibilidad de acceder y hacer uso de la

información y los recursos deseados en el momento que se necesite.

Teniendo en cuenta los elementos anteriormente mencionados, las tareas que

puede realizar un hacker ético son:

Reconocimiento de los sistemas tecnológicos en cualquier momento y

lugar, esto se realiza antes de realizar un ataque, se debe obtener

información del objetivo, utilizar herramientas para obtener información

como Google Hacking y utilizando otros buscadores, ingeniería social,

monitoreo de redes con diferentes software como sniffers, scanner u otros.

Rastreo es el escaneo o revisión continua de los sistemas tecnológicos,

esto se realiza en la fase previa al ataque, se escanea la red teniendo la

información obtenida en el reconocimiento, se detectan las

vulnerabilidades, los puntos fuertes y los posibles puntos de entrada, aquí

se deben utilizar herramientas que permitan revisar los puertos, protocolos


77

y demás información técnica para el ingreso, unas vez se realiza el proceso

se anterior se inicia con las pruebas de red definir los host con accesos, los

puertos abiertos, la localización de los equipos activos de red como los

routers y la información de los sistemas operativos y de los servicios que se

tienen en estos sistemas operativos.

Acceso es la posibilidad de acceder a los sistemas tecnológicos ya sean los

sistemas operativos, las redes o la denegación de servicios, obtener el

control de los sistemas, es decir es realizar el ataque y obtener información

como las contraseñas, datos, denegación de servicios sobrecargas entre

otros.

Mantener el acceso es la posibilidad de acceder y estar en los sistemas el

tiempo o las veces que desee.

Borrar las huellas es la capacidad de eliminar los rastros que se dejan

cuando se ingresan a los sistemas para no ser descubierto.

Es importante tener en cuenta como lo dice Sun Tzu en el libro el Arte de la

Guerra, “Si no se conoce el enemigo y conócete a ti mismo es necesario no tener

el resultad de cien batallas”

Entonces el Hacker Ético debe responderse algunas preguntas, como por ejemplo:

¿Qué puede saber un intruso de su objetivo?

¿Qué puede hacer un intruso con esa información?

¿Se podría detectar un intruso de ataque?

¿Cómo podría proteger la información y los sistemas tecnológicos?

Un Hacker Ético debe realizar lo siguiente, para evaluar la seguridad:

Preparación: Tener un contrato firmado de forma clara en donde se indique

que pruebas de seguridad realizara y se exonere de las posibles

consecuencias.

Gestión: Preparación de un informe donde se indiquen las pruebas y los

resultados de las pruebas.

Conclusión: Realización del informe con las vulnerabilidades y las posibles

soluciones.

Forma de realización del Hacking Ético:


78

Red remota: Simulación del ataque desde internet.

Red local: Simulación del ataque en el interior de la organización.

Ingeniería social: Probar confianza.

Seguridad física: Accesos a equipos.

De acuerdo con la información presentada anteriormente se pueden clasificar los

hacker en los siguientes Tipos de Hacker

Black Hats: Los Black Hat Hackers o Hacker de sombrero negro son los

que utilizan sus habilidades tecnológicas para romper la seguridad de

computadores, servidores, redes, crean virus con fines destructivos, en la

mayoría de casos por dinero o por reconocimiento.

White Hats: Los Whte Hackers o Hackers de sombrero blanco son los que

utilizan sus habilidades tecnológicas para encontrar vulnerabilidades

sistemas tecnológicos con fines defensivos y de seguridad.

Gary Hats: Los Gray Hackers o Hacker de sombrero gris son los que

utilizando sus habilidades tanto de forma defensiva como de ataque, es

decir tienen una ética hacker doble.


79

Para Profundizar:



Leer el libro de Hacking Ético de Carlos Tori, disponible en línea, los capítulos 1,2

y 3. Para profundizar el tema.


80

Lección 28: Certificación Hacker Ético

En la seguridad informática existe un amplio campo de trabajo, debido a que cada

vez se están implementados más sistemas tecnológicos en las organizaciones, lo

cual genera un mayor uso de computadores, redes, sistemas operativos, los

cuales se conectan a internet y otras redes, esto ha generado un espacio para que

las personas con altos conocimientos tecnológicos puedan ingresar y robar

información, tanto a las personas como a las organizaciones y gobiernos.

Debido a esto se ha creado la necesidad de tener personas capacitadas en

conocimientos tecnológicos, pero que sean capaces de defender los sistemas

tecnológicos y puedan contrarrestar los ataques y minimizar los riesgos y las

vulnerabilidades, de acuerdo con esto se ha hecho necesario que las

organizaciones productoras de software y hardware, capaciten en sus sistemas a

los usuarios y puedan realizar un correcto uso de los mismos, al igual la academia

también ha intentado en crear cursos, diplomados, maestrías y doctorados para

capacitar a las personas en nuevas tecnologías y técnicas de seguridad, desde

hace algún tiempo y en la actualidad existe una organización independiente que

está trabajando en el tema desde hace algunos años, EC-Council ha diseñado una

Certificacion llamada CEH Certified Ethical Hacker.

CEH (Certified Ethical Hacker) es la certificación oficial de hacking ético desde una

perspectiva independiente de fabricantes. El Hacker Ético es la persona que lleva

a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos métodos

que un Hacker. La diferencia más importante es que el Hacker Ético tiene

autorización para realizar las pruebas sobre los sistemas que ataca. El objetivo de

esta certificación es adquirir conocimientos prácticos sobre los sistemas actuales

de seguridad para convertirse en un profesional del hacking ético.

Existen muchas otras organizaciones independientes, empresas fabricantes de

software y hardware, entre otras que proveen certificaciones.


81

Para Profundizar:



Revisar los enlace de EC Council

https://www.eccouncil.org/

https://cert.eccouncil.org/

https://www.eccouncil.org/

https://cert.eccouncil.org/


82

Lección 29: Ingeniería Social

La ingeniería social tiene varias definiciones y conceptos, a continuación se revisara algunas definiciones que ilustran la ingeniería social. “El termino ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían”. The Human side of computer security. 1999. Carole Fenelly “La ingeniería social se define como el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.” Ingeniería Social 1.0. Lester The Teacher. "Un ingeniero social es un hacker que utiliza el cerebro en lugar de la fuerza. Los Hackers llaman a los centros de datos y fingen ser clientes que han perdido su contraseña o aparecer en un sitio y simplemente esperar a que alguien mantenga una puerta abierta para ellos. Otras formas de sociales de ingeniería no son tan obvias. Los hackers han sabido crear sitios web falsos, sorteos o encuestas que preguntan a los usuarios introducir una contraseña. " Karen J Bannan, Internet

World, Jan 1, 2001 De acuerdo con el documento de la organización Sans en el paper Social Engineering means violate computer system, se define un patrón que se puede asociar a los ataques de ingeniería social, los cuales se pueden diagramar en un ciclo de funcionamiento. Lo primero es recopilar la información, lo segundo es desarrollar las relaciones, lo tercero es la explotación y lo cuarto y último es la ejecución. La recopilación de información: una variedad de técnicas puede ser utilizadas por un agresor para recoger información sobre el objetivo u objetivos. Una vez reunida esta información puede ser utilizada para construir una relación con el destino o alguien importante para el éxito del ataque. La Información que puede ser recogida incluye:

Una lista de teléfonos;

Fechas de nacimiento

El organigrama de la organización. El desarrollo de la relación: un agresor puede explotar libremente la voluntad de un objetivo, la confianza con el fin de desarrollar una buena relación con ellos. Durante el desarrollo de esta relación, el agresor se posicionará en una posición de confianza que luego explotará. Explotación: el objetivo entonces puede ser manipulado por la "confianza" que tiene con el agresor, para revelar información (por ejemplo, contraseñas) o realizar


83

una acción (por ejemplo, crear una cuenta o inversión gastos de teléfono) que normalmente no se producen. Esta acción podría ser el fin del ataque o el comienzo de la siguiente etapa. Ejecución: una vez que el objetivo se ha completado la tarea solicitada por el agresor, el ciclo se completa. Las motivaciones que puede tener una persona que desea realizar ingeniería social son diversas, en este caso se nombraran las cuatro motivaciones más comunes según el paper de Sans:

La ganancia financiera: existe una gran variedad de razones, una persona podría llegar a ser tentado por la aumento de guanacias monetarias. Por ejemplo, puede creer que se merece más dinero del que gana o tal vez hay la necesidad de satisfacer un hábito de juego fuera de control.

El interés propio: un individuo puede, por ejemplo, desea tener acceso y / o modificar la información que se asocia con un familiar, amigo o un vecino.

Venganza: por razones que sólo conoce realmente una persona, que podría ser objetivo de un amigo, colega, la organización o incluso un completo desconocido para satisfacer el deseo emocional de venganza.

La presión externa: una persona puede estar recibiendo presiones de sus amigos, familiares u organizada los sindicatos del crimen por razones tales como beneficios económicos, el interés personal y / o la venganza.

Técnicas de Ingeniería Social Las técnicas que se podrían emplear en gran medida se basan en la fuerza, habilidad y capacidad de la persona que esta realizando la ingeniería social la primera fase de un ataque probablemente implicará la recopilación de información sobre el objetivo. Ejemplos de técnicas de recopilación de información que se pueden utilizar incluyen:

Hombro surf: mirando sobre el hombro de una persona mientras escribe en su código de acceso y la contraseña / PIN en el teclado con el propósito de cometer esta memoria para que pueda ser reproducido.

Comprobación de la basura (conocido comúnmente como "Dumpster Diving"): buscar a través de tirar basura para obtener información potencialmente útil que debería haber sido eliminados de forma más segura (por ejemplo, trituración).

Correo-out: se reúne la información sobre un individuo / organización por seducirlo o su personal para participar en una encuesta que ofrece tentaciones, tales como premios por completar la encuesta.


84

El análisis forense: la obtención de material antiguo equipo, tales como discos duros, tarjetas de memoria, DVD / CD, disquetes y tratar de extraer información que pueda ser de utilidad de una persona u organización.

Las técnicas de ingeniería social también se pueden clasificar en Invasivas o Directas o físicas:

El Teléfono: Personificación falsa y persuasión, con llamadas de amenazas, confusiones, falsos reportes de problemas, falsas llamadas de ayudas técnicas, relaciones con los clientes, completar de datos, consulta de buzones de voz, uso de líneas fraudulento, etc.

El sitio de Trabajo: Entrada a los sitios de trabajo, acceso físico no autorizado, robar, copiar, fotocopiar, acceso a PBX, servidores, software espía, analizadores, escáner, robar equipos, robar datos, etc.

La Basura: Revisar la basura, listados telefónicos, organigramas, memorandos, políticas, agentas, eventos, impresiones, programas, códigos fuente, papel membretado, hardware, entre otros.

La Internet-Intranet: Repetición de contraseñas, encuestas y actualizaciones falsas, anexos troyanos, spyware, entre otros.

Fuera de la Oficia: Almuerzos de negocios, alcohol, revelación de contraseñas, software espía keyloggers, keygrabbers, entre otros.

Para Profundizar:



Revisar el término ingeniería social inversa.

Leer el Libro Digital Hacking Ético de Carlos Tori Capitulo 3 Ingeniería Social. Leer el Paper Social Engieneering: A mean to Violate a Computer System http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-means-violate-computer-system_529 Ver la película Duro de Matar con Bruce Wills Rastro Oculto con Diana Lane.

http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-means-violate-computer-system_529

http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-means-violate-computer-system_529


85

Lección 30: Reflexión Hacker Personal

Una vez revisado los contenidos de las lecciones y haber profundizado en el tema

de los hackers los tipos de hacker y lo que se puede hacer con las habilidades y

conocimientos sobre los sistemas tecnológicos, además de revisar la información

sobre la ingeniería social, es importante realizar una reflexión personal a través de

preguntas personales.

¿Usted ha decidido utilizar sus conocimientos y habilidades para defender o

para atacar?

¿Está interesado en buscar soluciones o problemas?

¿Qué es más importante el reconocimiento personal o la confidencialidad?

¿Le interesa el bien común o el bien individual?

¿Qué es más importante proteger o develar?

Una vez responda estas preguntas personales, defina que tipo de Hacker desea

ser o convertirse, usted esta interesado en utilizar sus conocimientos y habilidades

para encontrar riesgos y vulnerabilidades a los que usted pueda darles solución y

proteger los sistemas tecnológicos de posibles ataques.

Es mejor tener un concepto real y aterrizado de las capacidades y habilidades,

muchas veces se pueden encontrar personas con mucho mayor conocimiento,

pero se debe tener en cuenta que la práctica continua permitirá perfeccionar las

habilidades y conocimientos tecnológicos.

Hay que recordar que la ética estudia las acciones humanas y los

comportamientos de la profesión en este caso, el área de trabajo del hacker ético,

se enfocan en el uso de todos sus conocimientos, habilidades, destrezas y demás

aspectos positivos de la personalidad con fines defensivos para hacer las cosas

de acuerdo a lo mejor para las personas y las organizaciones en cuanto a la

seguridad tecnológica e informática.


86

Para Profundizar:



Ver la película Atrápame si puedes con Tom Hanks y Leonardo DiCaprio

Referencias

Enciclopedia de la Seguridad de la Información http://www.intypedia.com/

Red temática de critografia y segurida de la informacion Criptored

http://www.criptored.upm.es/

http://www.intypedia.com/

http://www.criptored.upm.es/

Material Didactico

Documents

Transcript of Material Didactico