COMO PROTEGER LA INFORMACIÓN

Para protegernos de las diferentes amenazas citare algunas de ellas:

1. Utilizar software original. El uso de software pirata, es peligroso sobre todo con los muy conocidos KEYGEN (generadores de claves) o CRACK
2. Tener un antivirus actualizado.
3. Cuando ingresemos a una pagina donde pondremos información importante, ejemplo acceder a las paginas de los bancos,  escribamos nosotros mismos la dirección y utilizar equipos seguros(no cabinas de internet).
4. No responder a mensajes que nos llegan de bancos solicitando actualización de datos.
5. No descargar software dudoso, las empresas pueden controlar evitando que cada usuario tenga acceso.
6. Asegurarse, para transacciones y datos sensibles, entrar a sitios certificados.
7. Asegurar se usar sitios con protocolos hhtps.
8. Certificaciones digitales.

La seguridad esta en nosotros y como estemos preparados, concientes  y comprometidos.

PROTECCIÓN DE LA INFORMACIÓN

En esta parte  me ocupare de como podemos protegernos de los riesgos a los que esta expuesta la información, no solo en las empresas, tambien lo podemos aplicar algunos en nuestro ambito particular.

Las amenazas y vulnerabilidades identificadas en la organización deben ser calificadas mediante un estándar: puede ser: baja, media o alta. La clasificación variará entre las organizaciones e incluso dentro de una misma organización.

Lo importante para que nuestra información este segura debemos de tomar conciencia  e iniciar con nosotros y la institución.

Las instituciones debe de tener sus politicas internas bien definidas y distribuidas entre todos sus colaboradores que es lo que se debe o no hacer con la información que cada uno tiene a su cargo.
 

Políticas seguridad de la información

Una política de seguridad de la información, es una declaración formal de las reglas que deben seguir las personas con acceso a los activos de tecnología e información, dentro de una  organización.

Procedimientos seguridad de la información

Los procedimientos de seguridad de la información son la descripción detallada de la manera como se implanta una Política. El procedimiento incluye todas las actividades requeridas y los roles y responsabilidades de las personas encargadas de llevarlos a cabo.

Deben dar capacitación  constante a todo el personal para que este se indentifique con  la empresa  y lo que se desea de él.

Todo empleado solo le es necesario la información dentro de la empresa, una vez terminado su horario de trabajo no la necesita, entonces no tiene porque grabarla, imprimirla, enviarla por correo, acceso a internet... etc., es la razón por la que es necesario controlar que los USB esten inactivos, la destrucción de los papeles impresos que contengan información, el control de los correos y el acceso a internet, es solo algunos puntos.

Para el personal que necesite transportar información de la empresa (Jefes, supervisores, otros) se puede dar acceso mediante dispositivos encriptados(para los USB y Laptop) de esa forma se puede decir que la información esta "segura".

Ojo, todos los mecanismos de seguridad que se puedan aplicar no garantizan al 100% que pueda ser vulnerado, por ese motivo se tiene que estar en constante alerta y revisando las politicas y realizando los cambios que mejor se ajusten a cada necesidad y tiempo.

Fuente: http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Servicios_de_Seguridad_informacion_v1.pdf

Tipos de Ataques

Los ataques se pueden presentar de diferentes formas.Los sistemas informáticos usan una diversidad de componentes, desde electricidad que alimentarían a los equipos hasta el programa de software ejecutado mediante el sistema operativo que usa la red.

Principales amenazas

Ingeniería Social	Consiste en utilizar artilugios, tretas y otras técnicas para el engaño de las personas logrando que revelen información de interés para el atacante, como ser contraseñas de acceso. Se diferencia del resto de las amenazas básicamente porque no se aprovecha de debilidades y vulnerabilidades propias de un componente informático para la obtención de información.
Phishing	Consiste en el envío masivo de mensajes electrónicos que fingen ser notificaciones oficiales de entidades/empresas legítimas con el fin de obtener datos personales y bancarios de los usuarios.
Escaneo de Puertos	Consiste en detectar qué servicios posee activos un equipo, con el objeto de ser utilizados para los fines del atacante.
Wardialers	Se trata de herramientas de software que utilizan el acceso telefónico de una máquina para encontrar puntos de conexión telefónicos en otros equipos o redes, con el objeto de lograr acceso o recabar información.
Código Malicioso / Virus	Se define como todo programa o fragmento del mismo que genera algún tipo de problema en el sistema en el cual se ejecuta, interfiriendo de esta forma con el normal funcionamiento del mismo. Existen diferentes tipos de código malicioso; a continuación mencionamos algunos de ellos: Bombas lógicas Se encuentran diseñados para activarse ante la ocurrencia de un evento definido en su lógica. Troyanos Suele propagarse como parte de programas de uso común y se activan cuando los mismos se ejecutan. Gusanos Tienen el poder de autoduplicarse causando efectos diversos. Cookies Son archivos de texto con información acerca de la navegación efectuada por el usuario en Internet e información confidencial del mismo que pueden ser obtenidos por atacantes. Keyloggers Es una aplicación destinada a registrar todas las teclas que un usuario tipea en su computadora; algunos de ellos además registran otro tipo de información útil para un atacante, como ser, imágenes de pantalla. Spyware Aplicaciones que recogen y envían información sobre las páginas web que más frecuentemente visita un usuario, tiempo de conexión, datos relativos al equipo en el que se encuentran instalados (sistema operativo, tipo de procesador, memoria, etc.) e, incluso, hay algunos diseñados para informar de si el software que utiliza el equipo es original o no.
Exploits	Se trata de programas o técnicas que explotan una vulnerabilidad de un sistema para el logro de los objetivos del atacante, como ser, intrusión, robo de información, denegación de servicio, etc.
Ataques de Contraseña	Consiste en la prueba metódica de contraseñas para lograr el acceso a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo. Este tipo de ataques puede ser efectuado: o Por diccionario: existiendo un diccionario de palabras, una herramienta intentará acceder al sistema probando una a una las palabras incluidas en el diccionario. o Por fuerza bruta: una herramienta generará combinaciones de letras números y símbolos formando posibles contraseñas y probando una a una en el login del sistema.
Control Remoto de Equipos	Un atacante puede tomar el control de un equipo en forma remota y no autorizada, mediante la utilización de programas desarrollados para tal fin, e instalados por el atacante mediante, por ejemplo la utilización de troyanos.
Eavesdropping	El eavesdropping es un proceso por el cual un atacante capta de información (cifrada o no) que no le iba dirigida. Existen diferentes tipos de técnicas que pueden utilizarse: Sniffing Consiste en capturar paquetes de información que circulan por la red con la utilización de una herramienta para dicho fin, instalada en un equipo conectado a la red; o bien mediante un dispositivo especial conectado al cable. En redes inalámbricas la captura de paquetes es más simple, pues no requiere de acceso físico al medio. Relacionados con este tipo de ataque, pueden distinguirse también las siguientes técnicas: - AIRsniffing: consiste en capturar paquetes de información que circulan por redes inalámbricas. Para ello es necesario contar con una placa de red "wireless" configurada en modo promiscuo y una antena. - War Driving y Netstumbling: estas técnicas se valen del AIRsniffing, ya que consisten en circular (generalmente en un vehículo) por un vecindario o zona urbana, con el objeto de capturar información transmitida a través de redes inalámbricas. Esto es posible debido a que generalmente las ondas de transmisión de información en redes inalámbricas se expanden fuera del área donde se ubican los usuarios legítimos de la red, pudiendo ser alcanzadas por atacantes. Lo que en ocasiones las hace más vulnerables es la falta de seguridad con que se encuentran implementadas. Desbordamiento de CAM Se trata de inundar la tabla de direcciones de un switch con el objeto de bloquear la capacidad que éste posee de direccionar cada paquete exclusivamente a su destino. De esta forma el atacante podrá efectuar sniffing de los paquetes enviados por un switch, cuando en condiciones normales un switch no es vulnerable a este tipo de ataques. VLAN hopping Las VLANs son redes LAN virtuales las cuales se implementan para generar un control de tráfico entre las mismas, de forma que los equipos conectados a una VLAN no posean acceso a otras. Este tipo de ataque pretende engañar a un switch (sobre el cual se implementan VLANs) mediante técnicas de Switch Spoofing logrando conocer los paquetes de información que circulan entre VLANs. STP manipulation Este tipo de ataque es utilizado en topologías que cuentan con un árbol de switches que implementan el protocolo Spanning Tree Protocol para coordinar su comunicación. El equipo atacante buscará convertirse en la “raíz” de dicho árbol, con el objeto de poder tener acceso a los paquetes de información que circulan por todos los switches.
Man-in-the-middle	El atacante se interpone entre el origen y el destino en una comunicación pudiendo conocer y/o modificar el contenido de los paquetes de información, sin esto ser advertido por las víctimas. Esto puede ocurrir en diversos ambientes, como por ejemplo, en comunicaciones por e-mail, navegación en Internet, dentro de una red LAN, etc..
Defacement	Consiste en la modificación del contenido de un sitio web por parte de un atacante.
IP Spoofing - MAC Address Spoofing	El atacante modifica la dirección IP o la dirección MAC de origen de los paquetes de información que envía a la red, falsificando su identificación para hacerse pasar por otro usuario. De esta manera, el atacante puede asumir la identificación de un usuario válido de la red, obteniendo sus privilegios.
Repetición de Transacción	Consiste en capturar la información correspondiente a una transacción efectuada en la red interna o en Internet, con el objeto de reproducirla posteriormente. Esto cobra real criticidad en transacciones monetarias.
Backdoors	También denominados “puertas traseras”, consisten en accesos no convencionales a los sistemas, los cuales pueden permitir efectuar acciones que no son permitidas por vías normales. Generalmente son instalados por el atacante para lograr un permanente acceso al sistema.
DHCP Starvation	El atacante busca reemplazar al servidor DHCP que se encuentra funcionando en la red, de forma de asignar a los clientes direcciones IP y otra información (como ser el servidor Gateway) de acuerdo a su conveniencia. De esta forma podría luego simular ser el Gateway e interceptar la información que los clientes envíen, con el tipo de ataque Man-in-the-middle.
Trashing	Consiste en la búsqueda de información dentro de la basura. Esto puede representar una amenaza importante para usuarios que no destruyen la información crítica o confidencial al eliminarla.
Denegación de Servicio	Su objetivo es degradar considerablemente o detener el funcionamiento de un servicio ofrecido por un sistema o dispositivo de red. Existen diferentes técnicas para la explotación de este tipo de ataques: Envío de paquetes de información mal conformados de manera de que la aplicación que debe interpretarlo no puede hacerlo y colapsa. Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP origen igual a IP destino, etc.) que no permiten que circulen los paquetes de información de usuarios. Bloqueo de cuentas por excesivos intentos de login fallidos. Impedimento de logueo del administrador.
Denegación de Servicio Distribuída	Su objetivo es el mismo que el perseguido por un ataque de denegación de servicio común, pero en este caso se utilizan múltiples equipos para generar el ataque.
Fraude Informático	Se trata del perjuicio económico efectuado a una persona mediante la utilización de un sistema informático, ya sea, modificando datos, introduciendo datos falsos o verdaderos o cualquier elemento extraño que sortee la seguridad del sistema.
Software Ilegal	Consiste en la instalación de software licenciado sin contar con la licencia correspondiente que habilita su uso, o mediante la falsificación de la misma.
Acceso a Información Confidencial Impresa	Ocurre cuando información confidencial impresa es obtenida por personal no autorizado debido a que la misma no es resguardada adecuadamente mediante por ejemplo, una política de limpieza de escritorios.
Daños Físicos al Equipamiento	Los daños físicos pueden ser ocasionados por: Acciones intencionadas Negligencia de los usuarios (ej.: derrame de líquidos, golpes, etc.) Catástrofes naturales (ej.: fallas eléctricas, incendio, inundación, falta de refrigeración, etc.)
Robo de Equipamiento o Componentes	El robo puede involucrar todo un equipo o de parte del mismo, ej.: un disco rígido. Puede ocurrir por un deficiente control de acceso establecido al centro de cómputos (o recinto donde residen los equipos: servidores, routers, switches, etc.), así como a las propias instalaciones del Organismo.
Pérdida de Copias de Resguardo	Si no existen adecuadas medidas de seguridad física para las copias de resguardo, las mismas pueden dañarse, por ejemplo, en caso de ser afectadas por desastres como un incendio, inundación, o incluso por robo. Asimismo, una administración inadecuada de los medios físicos de almacenamiento puede provocar la obsolescencia de los mismos (ej.: reutilización excesiva de cintas). Por otra parte, se debe tener en cuenta la obsolescencia tecnológica de los medios de almacenamiento con el paso del tiempo, de manera de actualizarlos adecuadamente para permitir su restauración en caso de ser necesaria.

Evaluando Riesgos de Seguridad

"Las valoraciones de riesgos deben identificar, deben cuantificar, y deben prioritizar los riesgos contra el criterio para la aceptación de riesgo y los objetivos pertinentes a la organización. Los resultados deben guiar y deben determinar la apropiada acción administrativa y la prioridad para gestionar el riesgo de la seguridad de información y para implementar los controles seleccionados para protegerse contra estos riesgos."

Autor: Ingeniero Jaime Hernando Rubio Rincón

La valoración del riesgo de seguridad de la información debe tener un alcances claramente definidos para que sean eficaces, debe incluir las relaciones con las valoraciones de riesgo en otras áreas.

Toda evaluación de riesgo debe incluir al personal en general. todos forman parte de la seguridad de la información.Las guías para la Gestión de la Seguridad de la información: Las técnicas para el manejo de Seguridad de la INFORMACIÓN.

Las evaluaciones y decisiones tomadas deben ser documentadas. Para cada uno de los riesgos identificados siguiendo a la evaluación se debe tomar una decisión de tratamiento del riesgo. Las posibles opciones para el tratamiento de riesgo incluyen:

a) aplicando los controles apropiados para reducir los riesgos;

b) aceptando los riesgos a sabiendas y objetivamente, asumiendo que ellos satisfacen claramente la política de organización y los criterio para la aceptación de riesgo;

c) evitando los riesgos no permitiendo acciones que causarían la ocurrencia de los riesgos;

d) transfiriendo los riesgos asociados a una tercera parte, por ejemplo aseguradores o proveedores.

Conceptos

Seguridad de la información es la interacción de los diversos recursos y aquellas medidas preventivas donde interviene el hombre, las organizaciones y los sistema tecnológicos que permiten resguardar y proteger la información. Se busca tener la confidencialidad, autenticidad e Integridad.

Seguridad de la Información se diferencia se Seguridad informática, este último sólo se encarga de los medios informáticos.

La información puede existir en muchas formas. Puede imprimirse o puede escribirse en el papel, guardar electrónicamente, transmitirse por el correo o usando los medios electrónicos, puede ser mostrada por cualquier medio. Cualquier forma que la información tome, o cualquier medio por donde sea compartida o guardada, siempre debe ser apropiadamente protegida.

Si bien es cierto que todos los componentes de un sistema informático están expuestos a un ataque (hardware, software y datos) son los datos y la información los principales de protección de las técnicas de seguridad. La seguridad informática se dedica principalmente a proteger la confidencialidad, la integridad y disponibilidad de la información.

Confidencialidad

La confidencialidad se refiere a que la información solo puede ser conocida por personal autorizado. Los ataques contra la privacidad, especialmente en la comunicación de los datos, esta expuesta.

Integridad

La integridad se refiere que la información no halla sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen.

Disponibilidad

La disponibilidad de la información se refiere a la seguridad que la información pueda ser recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.

Daños no intencionados

No todos los riesgos que amenazan la información son originados maliciosamente, las medidas de seguridad no deben limitarse solo a la protección contra ataques e intrusiones de terceros, pues dentro de la misma organización y por parte de individuos de confianza existen riesgos contra la disponibilidad de la información ya sea por negligencia, descuido, ignorancia o cualquier otro tipo de mala práctica, la información puede ser alterada, sustituida o permanentemente borrada.
Recursos
Un recurso es cualquier elemento del entorno que intente proteger. Puede tratarse de datos, aplicaciones, servidores, enrutadores e incluso personas. El objetivo de la seguridad es evitar que los recursos sufran ataques.
Amenazas
Una amenaza es una persona, un lugar o un elemento que puede tener acceso a los recursos y dañarlos.
Vulnerabilidades
Una vulnerabilidad es un punto en el que un recurso es susceptible de ser atacado. Se puede interpretar como un punto débil.
Explotación
Una amenaza que se aprovecha de una vulnerabilidad del entorno puede tener acceso a un recurso. Este tipo de ataque se denomina explotación.
Contramedidas
Las contramedidas se aplican para contrarrestar las amenazas y vulnerabilidades y de este modo reducir el riesgo en el entorno.

INTRODUCCIÓN

Hace tiempo hablar se seguridad era referirse a aspectos fisicos como tener un buen cerrojo para nuestras puertas, tener una caja fuerte donde poner a salvo nuestros objetos valiosos,... etc. es decir aspectos relacionados con la protección de personas, bienes y todo que pueda atentar nuestra integridad provocando perdidas.

Hoy en día el avance de la informática y los medios computacionales estan permitiendo a las organizaciones alcanzar nuevos niveles en las empresas.

Estos avances de los sistemas de TI han creado amenazas a la seguridad y para poder proteger su entorno contra ataques, necesita conocer con detalle los peligros con los que puede encontrarse.

Se deben tener en cuenta dos factores importates:

1.- Los tipos de ataques que puede sufrir,

2.- Los lugares donde pueden tener lugar.

Normalmente muchas organizaciones se preparan para ataques del exterior y se olvidan de los ataques internos, estos últimos no son considerados de peligro o gravedad. Un sistema de seguridad es un conjunto de elementos tanto físicos como lógicos que se encargan de prevenir o remediar posibles riesgos o peligros que se puedan presentar en un determinado momento.
Siempre que se hable de seguridad existe algo que proteger y estos pueden ser tangibles o intangibles.  En las empresas  ambos activos son importantes, aunque los activos intangibles tienen mayor valor.