Aplicasion de la seguridad informatica

A)Analizar modelos  y buenas practicas de seguridad informática que complemente los siguientes conceptos

 *ITIL: ITIL, Information Technology Infrastructure Library, es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones.

ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organización de TI, genera una descripción detallada de mejores practicas, que permitirán tener mejor comunicación y administración en la organización de TI. Proporciona los elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organización a madurar y crecer.

 *COBIT: Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en inglés: Control Objetives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoria y Control de Sistemas de Información.

 

 

 *ISM3: (Information Security Management Maturity Model),ISM3 nace de la observación del contraste existente entre el número de organizaciones certificadas ISO9000 (unas 350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo).

B)Analiza  estandares internacionales de seguridad informática de 

los siguientes:

*BS17799: BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO.

*Serie ISO 27000 :La serie 27000 

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. 

Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 

27044. 

  ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 

2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La 

aplicación de cualquier estándar necesita de un vocabulario claramente definido, que 

evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está 

previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un costo.

*Serie ISO 27001: ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y 

contiene los requisitos del sistema de gestión de seguridad de la información. Tiene 

su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por 

auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, 

habiéndose establecido unas condiciones de transición para aquellas empresas 

certificadas en esta última.

*Serie ISO 27002:  ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, 

manteniendo 2005 como año de edición. Es una guía de buenas prácticas que 

describe los objetivos de control y controles recomendables en cuanto a seguridad 

de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, 

agrupados en 11 dominios.

*ISO 20000: La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el mundo específicamente dirigida a la gestión de los servicios de TI. La ISO 20000 fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios provenientes de un colapso técnico del sistema de TI de las organizaciones.

ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz servicios de TI a las organizaciones y a sus clientes. La esperada publicación de la ISO 20000 el 15 de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento internacional y el desarrollo de la certificación de ITSM.

c) definicion del plan de seguridad informatica

definicion de politicas:de acceso fisico a equipos

b )Acceso físico
 

La posibilidad de acceder físicamente a una máquina Unix - en general, a cualquier sistema operativo - hace inútiles casi todas las medidas de seguridad que hayamos aplicado sobre ella: hemos de pensar que si un atacante puede llegar con total libertad hasta una estación puede por ejemplo abrir la CPU y llevarse un disco duro; sin necesidad de privilegios en el sistema, sin importar la robustez de nuestros cortafuegos, sin nisiquiera una clave de usuario, el atacante podrá seguramente modificar la información almacenada, destruirla o simplemente leerla. Incluso sin llegar al extremo de desmontar la máquina, que quizás resulte algo exagerado en entornos clásicos donde hay cierta vigilancia, como un laboratorio o una sala de informática, la persona que accede al equipo puede pararlo o arrancar una versión diferente del sistema operativo sin llamar mucho la atención. Si por ejemplo alguien accede a un laboratorio con máquinas Linux, seguramente le resultará fácil utilizar un disco de arranque, montar los discos duros de la máquina y extraer de ellos la información deseada; incluso es posible que utilice un ramdisk con ciertas utilidades que constituyan una amenaza para otros equipos,

Visto esto, parece claro que cierta seguridad física es necesaria para garantizar la seguridad global de la red y los sistemas conectados a ella; evidentemente el nivel de seguridad física depende completamente del entorno donde se ubiquen los puntos a proteger (no es necesario hablar sólo de equipos Unix, sino de cualquier elemento físico que se pueda utilizar para amenazar la seguridad, como una toma de red apartada en cualquier rincón de un edificio de nuestra organización). Mientras que parte de los equipos estarán bien protegidos, por ejemplo los servidores de un departamento o las máquinas de los despachos, otros muchos estarán en lugares de acceso semipúblico, como laboratorios de prácticas; es justamente sobre estos últimos sobre los que debemos extremar las precauciones, ya que lo más fácil y discreto para un atacante es acceder a uno de estos equipos y, en segundos, lanzar un ataque completo sobre la red.

.
 

Acceso lógico
 

El control de acceso lógico a sistemas y aplicaciones es la primera barrera a superar por un atacante para el acceso no autorizado a un equipo y a la información que contiene.
Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de un servidor de autenticaciones sobre el cual los usuario se identifican y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder.

Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de tareas. Es el caso de servidores LDAP en GNU/Linux y Active Directory sobre Windows Server.
Los sistemas de control de acceso protegidos con contraseña, suelen ser un punto crítico de la seguridad y por ello suelen recibir distintos tipos de ataques, los más comunes son:
Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Cuanto más corta, más sencilla de obtener probando combinaciones.

Los sistemas de control de acceso protegidos con contraseña, suelen ser un punto crítico de la seguridad y por ello suelen recibir distintos tipos de ataques, los más comunes son :
 

 

Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Cuanto más corta, más sencilla de obtener probando combinaciones                                                    

                   
                    Creación de una cuenta de usuario
 

La primera vez que arranque su sistema Red Hat Linux después de la instalación, se le dará la oportunidad de crear una o más cuentas de usuario usando el Agente de configuración. Si no creó al menos una cuenta (sin incluir la cuenta root) debería hacerlo ahora. Debería evitar trabajar en la cuenta root para las tareas comunes.
Existen dos maneras de crear cuentas de usuario adicionales: mediante el uso de el Administrador de usuarios y desde el intérprete de comandos de la shell.
Para crear una cuenta de usuario en modo gráfico usando el Administrador de usuarios:

•  Haga click en el icono de Empezar aquí en el escritorio. En la nueva ventana que se abrirá, haga click en Configuración del sistema y luega haga click en el icono Usuarios & Grupos. También puede seleccionar Menú principal => Configuración del sistema => Usuarios & Grupos desde el panel.

Puede iniciar el Administrador de usuarios al escribir redhat-config-users en un intérprete de comandos de la shell.

• Si no se ha conectado como root, se le pedirá que introduzca la contraseña de root.

Aplicasion de la seguridad informática

Controles de acceso 
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.

contoles de acceso

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario)

Identificación y Autentificación 

Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.

Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.

Al igual que se consideró para la seguridad física, y basada en ella, existen cuatro tipos de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:

• Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave criptográfica, un número de identificación personal o PIN, etc.
• Algo que la persona posee: por ejemplo una tarjeta magnética.
• Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellas digitales o la voz.
• Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.

Roles

El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso.
Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc.
En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.

Transacciones

También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.

 Limitaciones a los Servicios

Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.
Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.

Modalidad de Acceso 

Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:

• Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa.
• Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.
• Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
• Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma de modificación.
• Todas las anteriores.

Además existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación:

• Creación: permite al usuario crear nuevos archivos, registros o campos.
• Búsqueda: permite listar los archivos de un directorio determinado.

Ubicación y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas.
En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana.
De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso.
Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados.

Control de Acceso Interno 

·         Palabras Claves (Passwords)

Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica.

Se podrá, por años, seguir creando sistemas altamente seguros, pero en última instancia cada uno de ellos se romperá por este eslabón: la elección de passwords débiles.

Es mi deseo que después de la lectura del presente quede la idea útil de usar passwords seguras ya que aquí radican entre el 90% y 99% de los problemas de seguridad planteados.

Control de Acceso Externo 

·       Dispositivo dse control de puertos 

Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem.

·         Firewalls o Puertas de Seguridad

Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa (por ejemplo Internet). Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de la organización. Este tema será abordado con posterioridad.

    Acceso de Personal Contratado o Consultores

Debido a que este tipo de personal en general presta servicios temporarios, debe ponerse especial consideración en la política y administración de sus perfiles de acceso.

·        Accesos Públicos

Para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir información computarizada (mediante, por ejemplo, la distribución y recepción de formularios en soporte magnético, o la consulta y recepción de información a través del correo electrónico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administración.