Page 1

implementa seguridad informatica

Conceptos básicos de Seguridad Informática Todos los sistemas computacionales, no importa cuán sofisticados sean sus sistemas de seguridad, están permanentemente expuestos a sufrir un error o a una alteración maliciosa intencional. Como estos eventos es casi imposible evitarlos, el encargado de la informática siempre debe tener planes de contingencia para enfrentar tres tipos de instancias de alguna falla: La Prevención para minimizar la posibilidad de ocurrencia de alguna falla, la Detección oportuna cuando la falla haya ocurrido, y la Corrección para asegurar el más rápido regreso a la operación normal de los sistemas. ¿QUE ES UNA AMENAZA? Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones). Estos fenómenos pueden ser causados por: * El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito). * Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware. * Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.). * Un siniestro (robo, incendio, inundación): una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos. * El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática. ¿QUE ES VULNERABILIDAD? En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.

Las vulnerabilidades son el resultado de bugs o de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas,


porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades reales (conocidas como exploits).

Las vulnerabilidades en las aplicaciones suelen corregirse con parches, hotfixs o con cambios de versión. En tanto algunas otras requieren un cambio físico en un sistema informático.

Las vulnerabilidades se descubren muy seguido en grandes sistemas, y el hecho de que se publiquen rápidamente por todo internet (mucho antes de que exista una solución al problema), es motivo de debate. Mientras más conocida se haga una vulnerabilidad, más probabilidades de que existan piratas informáticos que quieren aprovecharse de ellas.

Algunas vulnerabilidades típicas suelen ser: * Desbordes de pila y otros buffers. * Symlink races. * Errores en la validación de entradas como: inyección SQL, bug en el formato de cadenas, etc. * Secuestro de sesiones. * Ejecución de código remoto. * XSS. ¿QUE ES UNA CONTRAMEDIDA? La informática crea unos riesgos informáticos los cuales pueden causar grandes problemas en entidades, por lo cual hay que proteger y preservar dichas entidades con un entramado de contramedidas, y la calidad y la eficacia de la mismas es el objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos, siendo esta una función de los auditores informáticos. Una contramedida nace de la composición de varios factores como: * LA NORMATIVA: en donde se debe definir de forma clara y precisa todo lo que se debe existir y ser cumplido. Debe inspirarse en estándares, políticas, marco jurídico, y normas de la empresa. * LA ORGANIZACIÓN: en esta la integran personas con funciones específicas y con actuaciones concretas, procedimientos definidos y aprobados por la dirección de la empresa. * LAS METODOLOGIAS: son muy necesarias para desarrollar cualquier proyecto que queramos hacer de forma ordenada eficaz. * LOS OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos * LOS PROCEDIMIENTOS DE CONTROL: son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, por lo cual deben estar aprobados por la dirección


* En la TECNOLOGIA DE SEGURIDAD están todos los elementos, ya sean hardware o software, que ayudan a controlar el riesgo informático. * LAS HERRAMIENTAS DE CONTROL: son los elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control. ¿QUE ES UNA AMENAZA AL USUARIO?

¿QUE ES UN ROBO DE IDENTIDAD? El robo de identidad se da cuando un atacante, por medios informáticos o personales, obtiene su información personal y la utiliza ilegalmente. El robo de identidad es el delito de más rápido crecimiento en el mundo. Hasta no hace mucho tiempo, cuando un ladrón nos robaba la billetera o porta documentos, el dinero era lo único que pretendía. Eso está cambiando, ahora lo más valioso es el número de su documento, tarjeta de crédito, de débito, cheques y cualquier otro documento que contenga sus datos personales. En el transcurso de un día normal, usted divulga esta información al hacer transacciones en persona, por teléfono y online para efectuar la compra de productos y servicios. Si esta información confidencial cae en manos de un delincuente, podría utilizarse para robarle su identidad financiera y realizar muchas de las actividades en nombre suyo. Nadie está a salvo de este delito ni podemos tener la certeza de que nunca le robarán su identidad, lo importante es conocer los métodos existentes para reducir las probabilidades de que usted se convierta en una víctima y qué medidas puede tomar si llegara a ocurrir. Lamentablemente, la mayoría de las personas no se enteran que han sido víctimas de robo de identidad hasta que solicitan un crédito y se los niegan, quieren contratar el servicio de telefonía celular y no pueden y en la mayoría de los casos, cuando aparecen cobros sospechosos en los resúmenes de las tarjetas de crédito. Con el desarrollo de las nuevas tecnologías, el robo de identidad se ha convertido en la modalidad delictiva que más ha crecido en los últimos años. Métodos utilizados Existen varios métodos para obtener datos de su información personal: * Pishing y correos falsos: esta técnica permite pasar a un atacante por una organización, banco o empresa verdaderas para obtener información que garantice acceso a algún recurso que usted utilice en esa organización, banco o empresa. * Personal: cualquier persona maliciosa podría obtener información que escuchó o vió de parte suya que le garantice acceso a algún recurso valioso. * Ataque organizado: cualquier atacante podría intentar superar la seguridad de un banco, empresa o organización para obtener información personal de los clientes para luego accesar a algún recurso de esa empresa, organización o banco.


¿NAVEGAR POR ENCIMA DE SUS HOMBROS A QUE SE REFIERE? En seguridad informática , el hombro de surf se refiere a la utilización de técnicas de observación directa, como mirando por encima del hombro de alguien, para obtener información. surf hombro es particularmente eficaz en lugares con mucha gente porque es relativamente fácil de observar a alguien, ya que: * fill out a form llenar un formulario * enter their PIN at an automated teller machine or a POS terminal introducir su PIN en un cajero automático o una terminal punto de venta * use a calling card at a public pay phone utilizar una tarjeta telefónica en un teléfono público de pago * enter passwords at a cybercafe , public and university libraries, or airport kiosks. introducir contraseñas en un cibercafé , públicas y bibliotecas universitarias, o los quioscos del aeropuerto. * enter a code for a rented locker in a public place such as a swimming pool or airport. introducir un código para un local alquilado en un lugar público como una piscina o en el aeropuerto. Shoulder surfing can also be done at a distance using binoculars or other vision-enhancing devices. Surf hombro también se puede hacer a distancia mediante el uso de binoculares o de otros dispositivos de mejorar la visión. Inexpensive, miniature closed-circuit television cameras can be concealed in ceilings, walls or fixtures to observe data entry. Barato, en miniatura de circuito cerrado de televisión cámaras se pueden ocultar en techos, paredes y accesorios para observar la entrada de datos. To prevent shoulder surfing, it is advised to shield paperwork or the keypad from view by using one's body or cupping one's hand. Para prevenir el hombro surf, se aconseja para proteger documentos o el teclado de la vista mediante el uso de un cuerpo o una parte de la excavación. Recent automated teller machines now have a sophisticated display which discourages shoulder surfers from obtaining displayed information. Recientes cajeros automáticos tienen ahora una sofisticada pantalla que desalienta surfistas del hombro de la obtención de información que se muestra. It grows darker beyond a certain viewing angle, and the only way to tell what is displayed on the screen is to stand directly in front of it. Crece más oscuro más allá de un determinado ángulo de visión, y la única manera de saber lo que se muestra en la pantalla es estar directamente en frente de ella. Although this prevents an observer obtaining some information, eg account balance, it does not protect the PIN, because the PIN is typically not displayed during entry. A pesar de esto impide que un observador para obtener alguna información, por ejemplo, saldo de la cuenta, no protege el PIN, ya que el PIN no es típicamente aparecen durante el ingreso. Certain models of credit card readers have the keypad recessed, and employ a rubber shield that surrounds a significant part of the opening towards the keypad. Ciertos modelos de lectores de tarjetas de crédito tienen el teclado empotrado, y emplear un escudo de goma que rodea una parte significativa de la apertura hacia el teclado. This makes shoulder-surfing significantly harder, as seeing the keypad is limited to a much more direct angle than previous models. ISO 9564 , the international standard for PIN management, mandates such measures thus: [ 2 ] Esto hace que el hombro-surf mucho más difícil, como ver el teclado se limita a un ángulo mucho


más directo que los modelos anteriores. ISO 9564 , la norma internacional para la gestión de PIN, las medidas mandatos de esta manera: [2] ¿QUE ES INTERFERENCIA? Efecto de una energía no deseada debida a una o varias emisiones, radiaciones, inducciones o sus combinaciones sobre la recepción en un sistema de radiocomunicación, que se manifiesta como degradación de la calidad, falseamiento o pérdida de la información que se podría obtener en ausencia de esta energía no deseada. ¿A QUE SE LE CONOCE COMO BUCEO DE LOS BASUREROS? Prevalente en la década de 1980 debido a la falta de seguridad. Crackers would search in Dumpsters of major corporations for discarded manuals containing computer passwords and usersÂ' credit card numbers. Corporations, aware of the need for increased security, tended by the early 1990s to shred documents before placing them in Dumpsters. In some jurisdictions in the United States and in the United Kingdom, Dumpster diving is considered to be theft. Galletas buscaría en los basureros de las grandes corporaciones de manuales desechados que contienen contraseñas de computadoras y tarjetas de crédito de los números usersÂ. Las empresas, conscientes de la necesidad de una mayor seguridad, atendido por la década de 1990 para destruir todos los documentos antes de colocarlos en contenedores de basura. En algunas jurisdicciones de los Estados Unidos y en el Reino Unido, basurero de buceo es considerado como robo.

INGENIERIA SOCIAL En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una


configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato. Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas. Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios: 1. Todos queremos ayudar. 2. El primer movimiento es siempre de confianza hacia el otro. 3. No nos gusta decir No. 4. A todos nos gusta que nos alaben. En la actualidad todos debemos de tener en cuenta la seguridad de nuestros equipos en el riesgo que nos encontramos y como protegernos de todo, debemos saber implementarla de forma total.

seguridad informatica  

seguridad informatica, las formas en que se deven aplicar y todo sobre ello

Read more
Read more
Similar to
Popular now
Just for you