jueves, 7 de mayo de 2015

Estándares que se aplican en seguridad de la información

 Normas ISO 27000
Normas ISO 27000: Familia de estándares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestión de la seguridad.
u Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI.
u Normas base: 20001, 20002
u Normas complementarias: 20003, 20004, 20005.
Seguridad de la información (según ISO 27001): preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas implicados en su tratamiento.
Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Familia de Normas ISO/IEC 27000
ISO/IEC 27000: Define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos)
u ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000.
Define cómo es el SGSI, cómo se gestiona y cuales son las responsabilidades de los participantes.
Sigue un modelo PDCA (Plan-Do-Check-Act).
Puntos clave: Gestión de riesgos + Mejora continua.
      ISO/IEC 27002: Código de buenas prácticas para la gestión     de la seguridad.
Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización.
Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar).
Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799).
ISO 27003
Es un estándar internacional que constituye una guía para la implantación de un SGSI.
Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venían careciendo de un criterio normalizado.
ISO-27003 se focaliza su atención en los aspectos requeridos para un diseño exitoso y una buena implementación del Sistema de Gestión de Seguridad de la Información – SGSI – según el estándar ISO 27001.
ISO 27004
ISO 27004 facilita una serie de mejores prácticas para poder medir el resultado de un SGSI basado en ISO 27001.
El estándar concreta cómo configurar el programa de medición, qué parámetros medir, cuñando y cómo medirlos, y ayuda a las empresas a crear objetivos de rendimiento y criterios de éxito.
La medición de la seguridad aporta protección a los sistemas de la organización y da respuesta a las amenazas de la misma.
ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño y complejidad de la organización, de la relación coste beneficio y del nivel de integración de la seguridad de la información en los procesos de la propia organización. 
ISO 27005
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
ISO 27006
El estándar ISO 27006 responde a una guía para los organismos de certificación en los procesos formales que hay que seguir al auditar SGSI. Los procedimientos descritos en dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es válido.
ISO-27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen la certificación del Sistema de Gestión de Seguridad de la Información.
Se encarga de especificar los requisitos y suministrar una guía para la auditoria y la certificación del sistema.

Cualquier organización certificada en ISO27001 debe cumplir también con los requisitos de la norma ISO27006.
ISO 27032
La norma (ISO/IEC 27032) facilita la colaboración segura y fiable para proteger la privacidad de las personas en todo el mundo. De esta manera, puede ayudar a prepararse, detectar, monitorizar y responder a los ataques”, han explicado desde ISO. La organización espera que ISO/IEC 27032 permita luchar contra ataques de ingeniería social, hackers, malware, spyware y otros tipos de software no deseado.
ISO/IEC 27032 ha sido desarrollado por el comité técnico de ISO. Los interesados en conseguir este estándar pueden hacerlo a través de los Institutos Nacionales de ISO en los distintos países o en la secretaría Central de la Organización por 154 francos suizos (127,3 euros).
Publicado por en No hay comentarios:

BIBLIOGRAFIA

http://www.internetglosario.com/1131/Hackingetico.html
http://www.enter.co/guias/tecnoguias-para-empresas/que-es-el-hacking-etico-y-por-que-es-necesario/
http://www.broadbandforamerica.com/es/%C2%BFqu%C3%A9-es-banda-ancha
https://www.itu.int/osg/spu/spunews/2003/oct-dec/security-es.html
http://seguridadinformati.ca/articulos/malware
http://www.seguridad.unam.mx/documento/?id=27
http://windows.microsoft.com/es-mx/windows/updates-faq#1TC=windows-7

Publicado por en No hay comentarios:

CONCLUSION

Lo que aprendí en esta unidad de que existen diferente malware que se pueden introducir en tu equipo de hecho hay una estadística que dice que el 50% de todas las máquinas están infectadas por lo menos en todo el mundo, eso quiere decir que somos vulnerables. Uno de los malware más comunes en el gusano el cual entra a tu equipo y se va multiplicando y dañando información otro es keyloggers el cual copia todos los veces que tecleas y así obtiene claves etc.
Para poder combatir contra estos malware debemos que tener los antivirus actualizados además de un cortafuego también nos ayudara para prevenir en no abrir ningún archivo que no provenga de fuente confiable ni links.
En cuanto al tema ética de hacking nos habla de que hay empresas que contratan a persona llamadas así pero estas no son malas por así decirlo son las que te ayudan para saber si tu sistema es vulnerable y están en constante prueba.
Publicado por en No hay comentarios:

ACTUALIZACIONES DE SOFTWARE

Similar al uso que se le da a los parches para reparar agujeros en la ropa, los parches para software reparan huecos de seguridad en los programas o sistemas operativos.

Las actualizaciones tienen como objetivo reparar problemas específicos de vulnerabilidades que se presentan en un programa. Algunas veces, en lugar de liberar un sólo parche o actualización, los distribuidores publican una versión actualizada de su software, aunque podrían referirse a ésta como un parche.

¿Cómo saber qué actualizaciones deben instalarse?

Cuando las actualizaciones están disponibles, los distribuidores usualmente las liberan a través de sus sitios web para que los usuarios las descarguen. Algunos programas cuentan con herramientas de actualización automática cada vez que existe algún parche disponible, tal es el caso de Windows Updates. Es importante instalar las actualizaciones tan pronto como sea posible para proteger al equipo de los intrusos, quienes buscan tomar ventaja de las vulnerabilidades. Si estas opciones automáticas están disponibles, es recomendable aprovecharlas, si no lo están, se aconseja verificar los sitios web de su distribuidor periódicamente en busca de actualizaciones.

Asegúrate de descargar software o actualizaciones sólo desde sitios web confiables, nunca lo hagas a través de enlaces que aparezcan en mensajes de correo electrónico, pues los intrusos acostumbran hacer que los usuarios visiten sitios web que inyectan o propagan códigos maliciosos disfrazados de actualizaciones. También, ten cuidado con los mensajes de correo electrónico en los que se afirme que un archivo adjunto es una actualización de software, estos archivos adjuntos comúnmente son virus.

¿Dónde se encuentran las actualizaciones?

Para obtener actualizaciones de Windows, incluidas las aplicables a los programas suministrados con Windows, vaya a Windows Updates en el Panel de control:

Para abrir Windows Updates, haga clic en el botón Inicio Imagen del botón Inicio. En el cuadro de búsqueda, escriba Updates y, a continuación, en la lista de resultados, haga clic en Windows Updates.

En el panel izquierdo, haga clic en Buscar actualizaciones.

Se recomienda activar las actualizaciones automáticas para que Windows pueda instalar nuevas actualizaciones a medida que estén disponibles. Para obtener más información, consulte Activar o desactivar las actualizaciones automáticas.

Para buscar actualizaciones para Microsoft Office System y otro software de Microsoft, vaya al sitio web de Microsoft Updates. Una vez que active Microsoft Updates, este vínculo abrirá Windows Updates, donde podrá buscar nuevas actualizaciones de Microsoft. Si desea obtener actualizaciones para otros programas o dispositivos que use, vaya al sitio web del fabricante o del editor.

¿Es necesario descargar e instalar actualizaciones?

Sí. Las actualizaciones no surten efecto hasta que se instalan, pero antes de instalarlas hay que descargarlas en el equipo. Puede elegir que Windows descargue e instale actualizaciones automáticamente, que descargue actualizaciones de manera automática y se lo notifique para poder instalarlas manualmente, o que le notifique que puede descargar e instalar nuevas actualizaciones de forma manual. Para obtener más información, consulte Cambiar el modo en que Windows instala actualizaciones o informa acerca de ellas.

¿Qué significan los diferentes tipos de actualización?
Las actualizaciones se clasifican en importantes, recomendadas, opcionales y destacadas. Su significado es el siguiente:

Las actualizaciones importantes ofrecen ventajas significativas, como una mayor seguridad, privacidad y confiabilidad. Deben instalarse en cuanto estén disponibles y se pueden instalar automáticamente con Windows Updates.
Las actualizaciones recomendadas solucionan problemas que no son críticos o ayudan a mejorar la experiencia del usuario. Aunque estas actualizaciones no solucionen problemas importantes del equipo o del software de Windows, pueden ofrecer considerables mejoras. Se pueden instalar automáticamente.

Las actualizaciones opcionales pueden incluir actualizaciones, controladores o software nuevo de Microsoft para mejorar el uso del equipo. Solo pueden instalarse manualmente.
Dependiendo del tipo de actualización, Windows Updates podrá ofrecerle lo siguiente:

  • Actualizaciones de seguridad. Correcciones de amplia distribución para una vulnerabilidad relacionada con la seguridad de un producto específico. Las vulnerabilidades de seguridad se clasifican en función de su gravedad, que se indica en el boletín de seguridad de Microsoft como crítica, importante, moderada o baja.
  • Actualizaciones críticas. Correcciones de amplia distribución para un problema específico que soluciona un error crítico no relacionado con la seguridad.
  • Service Packs. Conjuntos acumulativos y probados de revisiones, actualizaciones de seguridad, actualizaciones críticas y otras actualizaciones, así como de correcciones adicionales a problemas encontrados internamente desde el lanzamiento del producto. Los Service Packs también pueden contener un número limitado de cambios de diseño o características solicitados por el cliente.


Publicado por en No hay comentarios:

MALWARE

El malware es software malicioso creado con la intención de introducirse de forma subrepticia en los computadores y causar daño a su usuario o conseguir un beneficio económico a sus expensas.

Existe una gran cantidad de malware y nuevos programas maliciosos son creados a diario; la empresa Sophos, en su informe "Mid-year 2010 threat report" dice que recibe una media de 60.000 muestras de malware nuevo diariamente. Considere que aunque tenga un antivirus actualizado algunos especialistas consideran que el software antivirus detecta solamente alrededor de un tercio de los posibles virus.

Los principales tipos de malware son:

Virus. Un virus se activa al ejecutar un programa y además de intentar reproducirse lleva a cabo actividades como borrar archivos, mostrar una broma etc.

  • Gusano o worm. Análogo al virus pero se transmite de forma automática por la red, aprovechando una vulnerabilidad.
  • Spyware. Monitorean su actividad online y venden esta información a anunciantes. A menudo usan una barra de herramienta en el navegador para ello. Si usted dió permiso para que se instalara el programa entonces la empresa de publicidad no estaría en principio haciendo nada ilegal, aunque a menudo es un área gris ya que las condiciones de uso puede no estar claras para el usuario o estar escondidas.
  • Adware. Relacionado con spyware, son programas que instalándose sin permiso hacen publicidad, típica mente con pop-ups (ventanas emergentes).
  • Scareware, crimeware. Este tipo de malware intenta asustar al usuario y convencerlo para que haga pago por tarjeta de crédito u otros engaños. Por ejemplo pueden hacen aparecer en su navegador un mensaje de que su computador está infectado.
  • Trojanos y backdoors. Los Troyanos son aplicaciones malignas que se disfrazan como algo inofensivo y atractivo para que el usuario lo ejecute. Cuando se instala realiza su actividad maliciosa como borrar archivos o propagar gusanos por la red local. Los backdoors o puertas traseras son aplicaciones que ocultándose del usuario permite a atacantes conectarse a su computadora. Esto es extremadamente peligroso ya que los hackers pueden tener control total de su computadora, ver lo que usted hace etc. (los programas que capturan lo que el usuario teclea se llaman "keyloggers").

Las motivaciones de los creadores de malware son principalmente económicas:

  • Anuncios o re-dirección a sitios web con publicidad que les reportan ingresos.
  • Obtención fraudulenta de datos financieros (datos de tarjeta de crédito etc.).
  • Controlar el computador y usarlo como esclavo o zombi para atacar otros sistemas ("Denial of Service" o DoS).
  • Fraude haciendo clic en anuncios (de Google u otros anunciantes).
  • Al principio de la revolución de los computadores personales los motivos de muchos creadores de virus eran más para ganar fama, como reto o broma y el efecto del malware era muy obvio pero desde hace unos años la principal motivación de los creadores de malware es económica y frecuentemente estas personas viven en países en vías de desarrollo donde incluso pequeñas ganancias al utilizar éste tipo de software son significativas. A menudo este nuevo tipo de malware intenta pasar más desapercibido para pasar más tiempo en el computador infectado.

Por dónde entran los programas maliciosos a su computador:

  • Páginas web: cuando se visitan o bajándose un fichero de ellas.
  • Incluido en otro programa (típica mente uno gratuito) que ha sido descargado de Internet.
  • A través de archivos bajados con una utilidad "peer-to-peer" (P2P).
  • En un archivo adjunto en un mensaje de correo electrónico.
  • En un fichero enviado por mensajería instantánea o chat.


Publicado por en No hay comentarios:

SEGURIDAD EN BANDA ANCHA

El término banda ancha comúnmente se refiere al acceso de alta velocidad a Internet. Este término puede definirse simplemente como la conexión rápida a Internet que siempre está activa. Permite a un usuario enviar correos electrónicos, navegar en la web, bajar imágenes y música, ver videos, unirse a una conferencia vía web y mucho más.

  • El acceso se obtiene a través de uno de los siguientes métodos:
  • Línea digital del suscriptor (DSL)
  • Módem para cable
  • Fibra
  • Inalámbrica
  • Satélite
  • Banda ancha a través de las líneas eléctricas (BPL)

El acceso por banda ancha es más rápido que la conexión de acceso telefónico y es diferente por lo siguiente:

  • El servicio de banda ancha ofrece velocidad más alta de transmisión de datos – Permite el transporte de más contenido por la “tubería” de transmisión.
  • La banda ancha ofrece acceso a los servicios de Internet de más alta calidad – medios de comunicación audiovisual por Internet, VoIP (telefonía por Internet), juegos y servicios interactivos. Muchos de estos servicios, actuales y en desarrollo, requieren la transferencia de grandes cantidades de datos, lo que no es técnicamente factible con el servicio de marcación telefónica. Por lo tanto, el servicio de banda ancha puede ser cada vez más necesario para tener acceso a la amplia gama de servicios y oportunidades que puede ofrecer Internet.
  • El sistema de banda ancha siempre está activo – No bloquea las líneas telefónicas y no necesita conectarse de nuevo a la red después de terminar su sesión.
  • Menos demora en la transmisión de contenido cuando utiliza el servicio de banda ancha.

La invasión de correos electrónicos masivos indeseados, falsos mensajes y cibera taques ha puesto de manifiesto la vulnerabilidad de los usuarios ante los fallos de seguridad y las medidas que se han de adoptar para protegerse. Si bien los fallos de la seguridad pueden afectar a las conexiones de marcación directa y de banda ancha, estas últimas, que siempre están activas, son indudablemente un blanco más fácil, ya que pueden ser objeto de ataques y de intrusiones indebidas a cualquier hora del día o de la noche y por lo tanto son mucho más vulnerables que las conexiones que sólo están activas durante breves periodos. Por fortuna, se dispone de numerosas herramientas con las cuales las conexiones de banda ancha resultan seguras y atractivas para los usuarios.

Cortafuegos: los cancerberos

Los cortafuegos pueden impedir eficazmente el acceso no autorizado a recursos personales en un ordenador con acceso de banda ancha. Se trata de programas o equipos que controlan cualquier comunicación que entre o salga del ordenador (o red). Los cortafuegos se pueden configurar para permitir que sólo ciertas aplicaciones puedan acceder a la conexión de banda ancha y rechazar ciertos tipos de solicitudes del exterior (tales como las exploraciones).
Muchos proveedores de cortafuegos ofrecen versiones gratuitas de su programa en la web, tal como “Tinysoftware.com” y “Zonelabs.com”, pero la configuración de estos productos a menudo resulta difícil para los usuarios. Algunos proveedores de banda ancha, como por ejemplo EarthLink en Estados Unidos, han decidido ayudar a los consumidores a mejorar su seguridad incluyendo cortafuegos gratuitos en sus paquetes de conexión doméstica y asociándose con productores de cortafuegos para normalizar los procedimientos de instalación.

Cifrado

Si bien los cortafuegos ayudan a rechazar las comunicaciones no deseadas, el cifrado es aún más interesante para proteger los datos sensibles que se encuentran en el ordenador o pasan por Internet. Las conexiones de banda ancha pueden utilizar varias tecnologías de cifrado para garantizar la privacidad e integridad de los datos cuando transitan por Internet, y admiten fácilmente comunicaciones cifradas que, habitualmente, exigen entre 10 y 20% más anchura de banda que la transmisión de información no cifrada.
Legislación y reglamentación

La creación e instalación de sistemas de seguridad mejorados y la adopción de legislaciones y reglamentaciones apropiadas serán fundamentales para la elaboración de aplicaciones comerciales y públicas tales como el cibergobierno, la tele sanidad o el cibercomercio. Para que los usuarios acepten estos servicios en línea, habrá que garantizarles que sus datos serán consultados y tramitados únicamente por los que estén autorizados a hacerlo, que su buzón electrónico no se llenará de correos electrónicos masivos no deseados (“spam”) y que pueden confiar en la información facilitada por ciertos servicios.

Seguridad para los usuarios privados

La seguridad también es importante para los usuarios privados que, habitualmente, no se benefician de los controles y la asistencia técnica de que suelen disponer las empresas o las oficinas públicas. Un ordenador conectado las 24 horas del día a Internet se asemeja a una ventana abierta: cualquiera puede entrar. Por consiguiente, la seguridad es necesaria para crear confianza, a fin de que las tecnologías como la banda ancha puedan aprovecharse al máximo y para poder crear un ambiente de confianza en la sociedad mundial de la información.

Publicado por en No hay comentarios:

miércoles, 6 de mayo de 2015

ÉTICA HACKING

Hacking ético

Hacking ético es una forma de referirse al acto de una persona usar sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño.

La idea es tener el conocimiento de cuales elementos dentro de una red son vulnerables y corregirlo antes que ocurra hurto de información, por ejemplo.
Estas pruebas se llaman "pen test" o "penetration test" en inglés. 

En español se conocen como "pruebas de penetración", en donde se intenta de múltiples formas burlar la seguridad de la red para robar información sensitiva de una organización, para luego reportarlo a dicha organización y así mejorar su seguridad.

Se sugiere a empresas que vayan a contratar los servicios de una empresa que ofrezca el servicio de hacking ético, que la misma sea certificada por entidades u organizaciones con un buen grado de reconocimiento a nivel mundial.

Las personas que hacen estas pruebas pueden llegar a ver información confidencial, por lo que cierto grado de confianza con el consultor es recomendado.

Los más vulnerables

Por lo general, las empresas que más  intentos de hackeo reciben son las que tiene que ver con los sistemas financieros, pues son ellas las que manejan dinero, sin embargo como nos explica la Ingeniera Tangarife “al ser los sistemas financieros los más fortalecidos en el medio, los ataques tienden a irse hacia el otro lado del sistema que corresponde a los usuarios, quienes en muchas ocasiones terminan siendo el eslabón más débil de la cadena de la seguridad por su falta de conocimiento respecto al tema. 
Debido a las malas prácticas de seguridad por parte de la gente del común, su vulnerabilidad es tan grande que los hace presas fácil para el robo, otorgando así un buen botín para los criminales”.
Igualmente, se presentan muchos casos de espionaje industrial, en el que a través de las técnicas de hackeo se busca encontrar el punto débil de la competencia para sacar provecho de esa información.

Soluciones HP
Hay empresas que dedican gran parte de sus recursos a Investigación y Desarrollo. Tal es el caso de Hewlett Packard con su HP DVLabs, donde los expertos en vulnerabilidades y los des-arrolladores aplican ingeniería inversa de vanguardia y técnicas de análisis para crear una amplia protección de amenazas para las redes de clientes. Los expertos en investigación de seguridad contra la vulnerabilidad controlan la actividad global de Internet, analizan las nuevas formas de ataque, detectan las vulnerabilidades al instante y crean filtros para prevención de intrusos (IPS) que se entregan de forma automática a los clientes de HP TippingPoint NGIPS para que tengan protección en tiempo real de la información que entra a la empresa.
Sin embrago, como nos recuerdan los expertos, es necesario capacitar y concientizar a todos los actores del ciberespacio sin importar edad, profesión o actividad con el fin de protegernos de la amenazas que se esconden en la red, que en términos económicos pueden llegar a ser tan lucrativos como el narcotráfico.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)