Posgrado en Dirección de Sistemas de Información

Posgrado en Dirección de Sistemas de Información
Temario de Seguridad Informática Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas: Antivirus, Firewalls, Intrusion Detection/Prevention Sistems Criptografía Aplicada: Seguridad en el Correo Electrónico, Firma Digital y Métodos de Pago. Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría. Normativa y Legislación Vigente: ISO - IEC - IRAM 17799, Habeas Data, Firma Digital, Sabarnes Oxley. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Paradigma actual de la Seguridad Informática
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Paradigma actual de la Seguridad Informática Sostener la Continuidad Segura de los Negocios por medio de una estructura que mantenga la Integridad Disponibilidad Confidencialidad Autenticación (de origen de una información) No repudio en un grado acorde a la criticidad de la Misión de Negocio del Sistema La integridad es la característica de la información que hace que su contenido permanezca invariable a menos que sea modificado por una persona autorizada o un proceso no previsto. La disponibilidad de una información es su capacidad de estar siempre operativa para ser procesada. La confidencialidad de la información es la característica en cuanto a su almacenamiento y trasmisión que posibilita que la misma sea conocida sólo por personas autorizadas. La autenticación de origen es la característica de un proceso de transmisión que posibilita tener una certeza razonable de desde que computadora se originó una información. El No Repudio es una condición Administrativa que se establece a partir de la Autenticación de Origen partir de la la existencia de una reglamentación y legislación que obliga Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Definición de Virus Informático
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Definición de Virus Informático Modelo DAS Dañino Autorreproductor Subrepticio Todo programa dañino que puede clasificarse como Virus Informático tiene tres características básicas: siempre produce algún tipo de daño, genera copias de si mismo para aumentar la probabilidad estadística de que el sistema se vuelva a infectar cuando se lo reinicialice y de infectar otros sistemas relacionados, y actúa de tal manera que un usuario convencional no se da cuenta de su presencia. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Modelo de Virus Informático
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Modelo de Virus Informático entorno módulo de reproducción módulo de ataque (optativo) módulo de defensa (optativo) (signature) Definición socio-tecnológica: Ente computacional que puede provocar daño indiscriminado o dirigido. Definición técnica (modelo d.a.s.): Programa hecho por una persona que tiene las siguientes características: Dañino Autorreproductor Subrepticio Un virus informático siempre produce daño porque al ser un programa consume recursos del sistema que está parasitando. Al actuar de forma subrepticia (el usuario convencional no se da cuenta de su funcionamiento) el espacio en memoria y los ciclos de procesamiento que consume para existir no están previstos en el normal funcionamiento del sistema. Esto representa un daño a la performance. El módulo de reproducción hace que el virus genere copias de si mismo para asegurar su presencia y aumentar las posibilidades de transferencia a otros sistemas. El módulo de ataque contiene las rutinas de daño específico programadas en el virus. El módulo de defensa contiene las rutinas que aumentan la condición de subrepticidad del virus Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani 7

Concepto de daño de un virus informático
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Concepto de daño de un virus informático Modo de daño Implícito Explícito Tipo de daño Performance Información Hardware El daño a la performance lo produce todo virus por el sólo hecho de funcionar en un sistema. Además, su código puede contener rutinas específicas cuyo objeto sea reducir la performance de un sistema. El daño a la información no tiene por que ser solo directo y devastador como la sobreescritura con ceros de una parte del disco rígido. Un bloque de información puede volverse inútil con sólo cambiar o borrar un dato si no se tiene referencia de cual era su estado anterior a la transformación. Como ninguna rutina de programación puede generar un daño directo al hardware, resulta imposible que un virus lo haga. Se pueden programar daños por efecto acumulativo, como por ejemplo una rutina que haga cabecear 200 veces el disco antes de cada operación de lectura y escritura, con lo que acelera el desgaste del mismo. En el caso particular del CIH o Chernobil, el virus se aprovechaba de un conjunto de instrucciones que podían borrar el contenido de las bios de determinadas computadoras, debido a una característica particular de su diseño. Los daños de tipo implícito son los que produce el virus por el sólo hecho de funcionar en un sistema. Los daños de tipo explícito son producidos por las rutinas específicas de producción de daño que tenga el virus. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani 8

Concepto de daño de un virus informático
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Concepto de daño de un virus informático Potencial de daño El daño que puede producir un virus informático no depende de su complejidad sino del entorno donde actúa. Supongamos que un sistema de computadoras está infectado por un virus cuya única acción es reproducirse y su programación no contiene rutinas de daño (carece de módulo de ataque). Este virus producirá un efecto casi nulo donde sólo se procesan textos, pero puede provocar un impacto grave en un sistema que se utiliza para controlar procesos electromédicos o industriales. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani 8

Funcionamiento de un virus informático
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Funcionamiento de un virus informático Debe ejecutarse para, desde la memoria, tomar control de la computadora. Genera copias de sí mismo en la computadora ya infectada para garantizar su supervivencia. Vía LAN, WAN, Internet, diskette u otras formas de transportar archivos, infecta a otras computadoras. Para poder manejar una contingencia de virus informático hay que tener siempre presente que un virus es un programa y como tal necesita ser ejecutado para funcionar. Como nadie va a ejecutar un programa dañino en un sistema (a menos que esté experimentando o pretenda producir un daño) los virus utilizan técnicas para lograr su ejecución a partir de otras entidades ejecutables. Una vez que el virus es ejecutado se instala en la memoria y desde allí (de acuerdo a su código de programación) tomará control y hará todo lo que el sistema operativo le permita. La infección de otras entidades ejecutables detectadas en el sistema aumentan sus posibilidades de supervivencia en el mismo y de poder trasladarse a otros. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani 6

Spyware Spyware Spyware - Troyanos Spyware - Web Bugs
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Spyware Spyware Spyware - Troyanos Spyware - Web Bugs Spyware Programas que recolectan datos de usuarios de computadoras y los envían a un punto de recolección de información Spyware - Troyanos Los usuarios los instalan en sus computadoras para que cumplan determinadas tareas. Además de cumplir las funciones que anuncian recolectan información sobre las costumbres de los usuarios que acceden a la computadora Spyware - Web Bugs Es un gráfico GIF transparente dentro de una página web o dentro de un mensaje de correo electrónico del mismo color del fondo y con un tamaño de 1x1 píxeles. Al igual que las cookies, son puestas por terceras partes para obtener información sobre de los lectores de esas páginas o correos. La información recabada sobre el visitante gracias a esta imagen incluye entre otros datos: La dirección IP de su computadora El URL de la imagen (que codifica los datos que serán enviados desde la página web visitada al sitio recolector de información) La fecha y hora en que fue vista la imagen El tipo y versión de navegador El sistema operativo El idioma Valores de cookies si es que no están deshabilitadas Cuando están insertadas en los mensajes de correo, el sitio que los envió puede saber cuánta gente los leyó, con qué frecuencia y si los reenviaron a alguien. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Modelo de Sistema Antivirus
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Modelo de Sistema Antivirus Módulo de Control Administración de recursos Identificación de código Verificación de integridad Módulo de Respuesta Alarma Reparar Evitar Los antivirus son sólo una medida técnica para la minimización de este riesgo. Debe estar complementada por medidas administrativas y físicas para poder alcanzar un grado de eficacia razonable. Los antivirus siempre deben estar actualizados Técnicas de lo sistemas antivirus Scanning: Funciona con una base de datos de pequeños trozos de código de los virus conocidos. Por medio de un algoritmo compara la base de datos con el código de los archivos suceptibles a ser infectados y si encuentra una correspondencia da una alarma. Una vez que el virus es identificado por esta técnica puede ser erradicado, con algunas excepciones. Heurísticas: Este tipo de algoritmos busca acciones e instrucciones que puedan pertenecer a un virus. No identifican virus sino que detectan su posible accionar. Resulta útil para protegerse de virus nuevos o poco conocidos que no estén incluidos en la base de datos del antivirus. Control de integridad: Esta técnica establece un modelo matemático de las zonas del sistema que deban permanecer constantes y puedan ser atacadas por un virus. Cuando se detecta una acción de modificación, esta es detenida y anunciada por medio de una alarma. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani 14

Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Sniffing Permite la obtención de gran cantidad de información sensible enviada sin encriptar Usuarios, direcciones de , claves, números de tarjetas de crédito, etc. Consiste en emplear sniffers en entornos de red basados en difusión, como por ejemplo ethernet (mediante el uso de concentradores o hubs). El análisis de la información trasmitida permite a su vez extraer relaciones y topologías de las redes y organizaciones. Un ataque realmente efectivo, ya que permite la obtención de gran cantidad de información sensible enviada sin encriptar, como por ejemplo usuarios, direcciones de , claves, números de tarjetas de crédito, etc, es emplear sniffers u olfateadores en entornos de red basados en difusión, como por ejemplo ethernet (mediante el uso de concentradores o hubs). El análisis de la información trasmitida permite a su vez extraer relaciones y topologías de las redes y organizaciones. Los sniffers operan activando una de las interfaces de red del sistema en modo promiscuo. En este modo de configuración, el sniffer almacenará en un log todo el tráfico que circule por la tarjeta de red, ya sea destinado o generado por el propio sistema o desde/hacia cualquiera de los sistemas existentes en el entorno de red compartido (segmento ethernet). Asimismo, pueden ser instalados tanto en sistemas como en dispositivos de red. La efectividad de esta técnica se basa en tener acceso (habitualmente es necesario además disponer de dicho acceso como administrador o root) a un sistema interno de la red; por tanto, no puede ser llevado a cabo desde el exterior. Antes de la instalación de un sniffer, normalmente se instalarán versionesmodificadas (trojanos) de comandos como “ps” o “netstat” (en entornos Unix), para evitar que las tareas ejecutadas con el sniffer sean descubiertas. Cuando los sniffers se emplean para la obtención de passwords, en ocasiones éstos no son necesarios, ya que los administradores de sistemas descuidan los equipos dejándolos configurados con las passwords que por defecto proporcionan los fabricantes. Aparte de los programas independientes existentes para ésta tarea, los sistemas operativos poseen sniffers en las distribuciones comerciales, típicamente utilizados por el administrador de red para resolver problemas en las comunicaciones: Software general: - Network Associates Sniffer - NetXray - HP Internet Advisor (dispositivo hardware de escaneo) Software incluido en múltiples sistemas operativos: - Unix: ethereal - HP-UX: nettl - Solaris: snoop - Linux: tcpdump - Windows: Microsoft Network Monitor - Cisco IOS: comandos debug Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

IP spoofing En TCP/IP se basa en la generación de paquetes IP con una dirección origen falsa. El motivo para realizar el envío de paquetes con esa IP puede ser, por ejemplo, que desde la misma se disponga de acceso hacia un sistema destino objetivo, porque existe undispositivo de filtrado (screening router o firewall) que permite el tráfico de paquetes con esa dirección IP origen, o porque existe una relación de confianza entre esos dos sistemas. El spoofing como tal, se basa en actuar en nombre de otro usuario tal y como si se fuese él mismo (impersonation). En el caso que se está analizando, TCP/IP, se basa en la generación de paquetes IP con una dirección origen falsa. El motivo para realizar el envío de paquetes con esa IP puede ser, por ejemplo, que desde la misma se disponga de acceso hacia un sistema destino objetivo, porque existe undispositivo de filtrado (screening router o firewall) que permite el tráfico de paquetes con esa dirección IP origen, o porque existe una relación de confianza entre esos dos sistemas. En los equipos Cisco es muy sencillo implementar este ataque, ya que puede configurarse un interface de loopback (interface lógico interno al router), al que se le puede asociar la dirección IP deseada. Por ejemplo: router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#int loopback 0 router(config-if)#ip address router(config-if)# ! interface Loopback0 ip address En los S.O. actuales también es posible la configuración de interfaces virtuales que permiten asociarle al sistema más de una dirección IP. Las direcciones IP seleccionadas para emplear esta técnica deben ser direcciones libres en Internet, ya que sí el sistema con la dirección IP falseada existe, el funcionamiento normal del mismo será enviar un paquete de reset al recibir un SYN-ACK para el cual no envió un SYN (el SYN fue enviado por la herramienta de spoofing). Por tanto, la conexión falseada (spoofeada) finalizará. Otra solución es aplicar alguna técnica de DoS sobre ese sistema, para inhabilitarlo e imposibilitar la respuesta de RST. Existe una modalidad denominada Blind Spoofing, que permite llevar a cabo este ataque sin realizar sniffing de los datos que se intercambian por la red. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

SMTP Spoofing y Spamming
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas SMTP Spoofing y Spamming El SMTP Spoofing a nivel de aplicación se basa en que, en el protocolo SMTP (puerto TCP 25) es posible falsear la dirección fuente de un enviando mensajes en nombre de otra persona. Es así porque el protocolo no lleva a cabo ningún mecanismo de autenticación cuando se realiza la conexión TCP al puerto asociado. El spamming consiste en el envío masivo de un mensaje de correo a muchos usuarios destino, pudiendo llegar a saturarse los servidores de correo. En un nivel superior, concretamente a nivel de aplicación, en el protocolo SMTP (puerto TCP 25) es posible falsear la dirección fuente de un correo o , enviando por tanto mensajes en nombre de otra persona. Es así porque el protocolo no lleva a cabo ningún mecanismo de autenticación cuando se realiza la conexión TCP al puerto asociado. El spamming consiste en el envío masivo de un mensaje de correo a muchos usuarios destino, pudiendo llegar a saturarse los servidores de correo. Suele emplearse para el envío no deseado de publicidad o información. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

DoS Denial of Service Este tipo de ataques no supone ningún peligro para la seguridad de las máquinas, ya que no modifica los contenidos de la información, por ejemplo páginas Web, ni permite obtener información sensible. El objetivo es entorpecer el acceso de los usuarios a los servicios de un sistema. Normalmente, una vez que el ataque finaliza, se vuelve a la situación normal. En algunas ocasiones se han empleado para encubrir otros ataques simultáneos cuyo objetivo sí era comprometer el sistema. En los protocolos TCP/IP, se analizan los ataques basados en la denegación de servicio (DoS) desde el exterior de un sistema, a través de la red, y no una vez se disponga de acceso de administrador en el mismo. En este segundo caso, en los sistemas Unix sería tan sencillo efectuar un ataque de este tipocomo eliminar todos los ficheros del sistema mediante el comando “rm -rf / &”, dependiendo el restablecimiento del servicio de la política de backup del sistema. Si se tiene acceso a los dispositivos de red, éstos pueden rearrancarse o apagarse, con la implicación que tendría en las comunicaciones de la red de la organización afectada. Un ataque de denegación de servicio se centra en sobrepasar los límites de recursos establecidos para un servicio determinado, obteniendo como resultado la eliminación temporal del servicio. Por ejemplo, si un servidor es capaz de procesar 10 peticiones por segundo, y se le envían 30, parte del tráfico legítimo no recibirá servicio, o incluso, puede que la saturación del tráfico provoque que el servidor deje de responder a ninguna petición. Los destinos de estos ataques suelen ser objetivos visibles, como servidores Web, o DNS, o elementos básicos de la red, routers o enlaces de red. Este tipo de ataques no supone ningún peligro para la seguridad de las máquinas, ya que no modifica los contenidos de la información, por ejemplo páginas Web, ni permite obtener información sensible. Simplemente persiguen entorpecer el acceso de los usuarios a los servicios de un sistema. Normalmente, una vez que el ataque finaliza, se vuelve a la situación normal. En algunas ocasiones se han empleado para encubrir otros ataques simultáneos cuyo objetivo sí era comprometer el sistema. Asimismo, la probabilidad de que el administrador, intentando defenderse del DoS cometa un error de configuración es mayor en el momento del ataque, pudiendo dejar al descubierto una vulnerabilidad protegida previamente. Si se desea obtener un análisis más detallado de los diferentes tipos de ataques basados en DoS de los últimos años, , así como sus características, naturaleza y variantes, existe un análisis del CERT al respecto. Los tres protocolos en los que se basan las técnicas de saturación de paquetes, o flooding, son TCP, UDP e ICMP. Los ataques y herramientas más empleados en estos años para llevar a cabo ataques DoS y DDoS, algunos de los cuales se analizan en este documento, son: Smurf, Fraggle, Trinoo, TFN, Stacheldraht, TFN2K, mstream, t0rnkit, Trinity DDoS, erkms, li0n, carko, w0rmkit, así como algunos virus y/o gusanos, VBS/LoveLetter, Ramen worm, VBS/OnTheFly, cheese worm, sadmin/IIS worm, W32/Sircam, Leaves, CodeRed, CodeRed II, Knight/Kaiten, Nimda... Asimismo, las vulnerabilidades que se han explotado correspondían a los servidores de nombres (BIND), IIS, , telnetd, SMB... A grandes rasgos en este periodo se ha observado que se ha pasado de disponer de los agentes de un DoS solo en plataformas Unix, a disponer de ellos también en el entorno Windows. Esto, unido al incremento de conexiones de banda ancha en los hogares (tecnologías xDSL y cable) ha incrementado la potencia de los ataques que pueden realizarse. Asimismo, debido a la potencia del ancho de banda del que disponen los routers, éstos están siendo empleados como agentes para originar ataques DoS contundentes. En los apartados posteriores se analizarán de forma particular vulnerabilidades que se englobarían dentro de los DoS. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

DDoS Distributed Denial of Service
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas DDoS Distributed Denial of Service El proceso esta compuesto de 4 pasos principales: 1) Fase de escaneo con un conjunto objetivo de sistemas muy elevado, o más. Se prueban éstos frente a una vulnerabilidad conocida. 2) Se obtiene acceso a parte de esos sistemas a través de la vulnerabilidad. 3) Se instala la herramienta de DDoS en cada sistema comprometido. 4) Se utilizan estos sistemas para escanear y comprometer nuevos sistemas. Una variante más potente a la de los ataques de Denegación de Servicio, son los DDoS, o ataques de denegación de servicio distribuidos, que se basan en realizar ataques DoS de forma masiva a un mismo objetivo desde diferentes localizaciones en la red, de forma que la potencia de ataque sea mucho mayor. Si un ataque desde una fuente es potente, desde 1000 lo será mucho más, es decir, es la aplicación del “divide y vencerás” a la técnica DoS. Su origen se remonta a los comienzos de la seguridad en Internet, cuando el famoso Gusano de Robert Morris, Jr, desencadenó una denegación de servicio por un error de programación. El gusano fue capaz de colapsar por aquel entonces gran parte de los sistemas existentes en Internet. Sin embargo su expansión se ha producido principalmente en el año 2000, haciéndose eco los medios de comunicación, al surgir numerosas herramientas que permiten su ejecución, de forma coordinada y a gran escala. Un único atacante puede desencadenar una agresión desde centenares de máquinas repartidas por todo el mundo, como ha ocurrido en las Webs de Yahoo, Amazon, CNN, eBay, Buy, ZDNet... Dado el elevado número de sistemas existentes en Internet, la capacidad de “reclutar” recursos es inmensa. Debido a las vulnerabilidades de los sistemas operativos y de las aplicaciones, como los buffer-overflows y los format-strings, un atacante es capaz de apoderarse de un conjunto de sistemas (de cientos a miles) e instalar en ellos un servicio que acepte órdenes del atacante para ejecutar un DDoS contra una máquina objetivo. La sofisticación de las herramientas actuales hace que no se requieran conocimientos técnicos avanzados para llevar a cabo este tipo de ataques: ellas se encargan de analizar y vulnerar los sistemas, para copiarse e instalarse automáticamente (en unos segundos). El proceso esta compuesto de 4 pasos principales: 1) Fase de escaneo con un conjunto objetivo de sistemas muy elevado, o más. Se prueban éstos frente a una vulnerabilidad conocida. 2) Se obtiene acceso a parte de esos sistemas a través de la vulnerabilidad. 3) Se instala la herramienta de DDoS en cada sistema comprometido. 4) Se utilizan estos sistemas para escanear y comprometer nuevos sistemas. El modo de operación genérico de las herramientas de DDoS tiene la siguiente topología: el intruso se comunica mediante comandos con un elemento denominado handler. Éste se encarga de gestionar el registro, realizado previamente, de un conjunto de agentes, normalmente elevado en número, que son realmente el origen de los paquetes del DDoS. Por tanto, los agentes y el handler conforman una redde ataque, que actúa en el momento en que el handler retransmite a todos y cada uno de los agentes las órdenes invocadas por el intruso remotamente. Las comunicaciones entre estos elementos se realizaban originalmente por puertos fijos y, a la larga, conocidos, por lo que este modo de funcionamiento podía ser detectado por sistemas IDS con facilidad. La difusión en el uso del IRC o chat, a dado lugar a la utilización de este medio (y sus puertos TCP asociados, del 6660 al 6669) para constituir los canales de control de los elementos de un DDoS. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Firewall de capa 7 Firewall de inspección completa - Permite a los administradores configurar políticas granulares para obtener control completo de la información que entra y sale de la red - Realiza una inspección profunda de los paquetes, para interrumpir y registrar los paquetes incorrectos - Cuando existe una sesión de VPN activa, la tecnología de red privada virtual desencripta el paquete y lo integra en el flujo de datos. A continuación, el firewall realiza verificaciones de la sesión en la capa de circuitos para nuevamente interrumpir y registrar los paquetes incorrectos. - Las tecnologías integradas de prevención de intrusos y de detección de intrusos bloquean los paquetes que contienen amenazas y notifican automáticamente al firewall la existencia de sesiones maliciosas de direcciones IP específicas. Esto permite al firewall bloquear sesiones específicas que contengan amenazas o bloquear direcciones IP específicas que sigan representando una amenaza. - Luego el firewall abre y examina los paquetes de protocolo de capa de aplicaciones. Estos paquetes se comprueban para garantizar su conformidad con las normas de RFC y comandos válidos aplicables. Una vez más, los paquetes incorrectos se interrumpen y se registran. - Si los paquetes están basados en HTTP, la tecnología de filtrado de contenidos compara la fuente IP con una lista de sitios Web prohibidos. Los contenidos prohibidos se interrumpen y se registran. - Si los paquetes están basados en protocolos HTTP, FTP o SMTP, los archivos y anexos se envían al galardonado analizador de virus, quien también bloquea activamente los mensajes de correo electrónico basándose en el texto en la línea del Asunto, el nombre del archivo, el tipo de anexo y el tamaño del mensaje. Si se encuentra un virus, el archivo se repara o se elimina. - Se registran todos los virus y se añade un texto a los mensajes de correo electrónico contaminados indicando que se encontró un virus y se eliminó el anexo. - Si los paquetes pasan todas estas comprobaciones, el appliance les permite entrar o salir de la red. - A través de LiveUpdate de Symantec se obtienen oportunas actualizaciones automáticas de las nuevas definiciones de virus, firmas de ataques y listas de filtrado de URL para un despliegue rápido y fácil en toda la empresa (o de forma manual, si el administrador lo prefiere). Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Verificador de Vulnerabilidades
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Verificador de Vulnerabilidades Un escáner de vulnerabilidades ("vulnerability scanner" o "assesment system") es una herramienta que realiza un conjunto de pruebas (generalmente ataques) para determinar si una red o un "host" tiene fallos de seguridad. Este tipo de sistemas se podría considerar como un caso especial de detectores de intrusiones. Ya en apartado sobre información recogida de objetivos del capítulo 2 "Definiciones", se comentaba la diferencia entre un enfoque estático y uno dinámico. Un escáner de vulnerabilidades es un ejemplo de enfoque estático. Un análisis estático, o basado en intervalo, no trabaja de forma continua (un vídeo), sino en intervalos de tiempo (una imagen). Es fácil darse cuenta de las debilidades que tiene un sistema como este. Sólo puede detectar aquellas vulnerabilidades contenidas en su base de datos. Además, sólo es capaz de identificar fallos de seguridad en los intervalos en que se ejecuta. No obstante, ello no le impide ser de inestimable ayuda a la hora de mejorar la seguridad de un sistema. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

IDS/IPS Intrusión: Conjunto de acciones que intentan comprometer la integridad, condencialidad o disponibilidad de un recurso (no solo penetraciones contra un sistema). Sistema de deteccion de intrusos: mecanismo cuyo objetivo es detectar, identicar y responder ante una intrusion. (No tiene por que ser un programa o producto concreto). Clasificación de los IDSes en función del origen de los datos a analizar: - IDSes basados en maquina (HIDS, Host{based IDS). - Vericadores de integridad del sistema (SIV, System Integrity Veriers). - Monitores de registros (LFM, Log File Monitors). - Sistemas de decepcion (Deception Systems). - IDSes basados en red (NIDS, Network Based IDS). - Procesa datos asociados a varios recursos. - No tienen por que estar ubicados en toda la red (de hecho casi ningun NIDS lo esta). - En la actualidad, los mas utilizados. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Evolución de las Amenazas
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Limitaciones de la tecnología de Inspección Profunda de Paquetes con respecto a la Protección Completa de Contenido Evolución de las Amenazas Limitaciones de la tecnología de Inspección Profunda de Paquetes con respecto a la Protección Completa de Contenido Esta parte discute las características y limitaciones de las tecnologías de Inspección de Estado de paquetes e Inspección Profunda de Paquetes y explica los beneficios de la Protección Completa de Contenido para proveer seguridad a las redes. La proliferación de usuarios personales, redes privadas y la sofisticación creciente de los protocolos de la red y las aplicaciones, produjeron un gran aumento en el número y severidad de ataques contra los sistemas de computadoras. Los primeros protocolos de red, como Telnet, RPC y FTP, eran relativamente simples y para vulnerarlos sólo era necesario un intruso informático con conocimientos y con una conexión sostenida a un sistema remoto para lanzar un ataque. Los primeros incidentes de este tipo fueron identificados por organizaciones militares como intrusiones para obtener información secreta. La contestación a estos tipos de ataque fue el desarrollo de sistemas de seguridad basados en conexión llamados firewalls de Inspección de Estado, que controlaban acceso a los recursos de una red, permitiendo o negando selectivamente el establecimiento de conexiones remotas y basándose principalmente en la identidad del remitente y receptor. En los últimos diez años, las aplicaciones se volvieron mucho más complejas y los protocolos en uso permiten transmitir contenido mucho más rico. Estos cambios fueron explotados por los intrusos informáticos para desarrollar amenazas más eficaces basadas en contenido, que engañan seguridad orientada a conexión y que también tienen la habilidad de reproducirse y extenderse automáticamente. Las amenazas basadas en contenido pueden atravesar firewalls basados en conexión de tecnología de análisis de estado, debido a que son transmitidas entre conexiones consideradas confiables por este tipo de firewalls. Las amenazas basadas en contenido incluyen virus, troyanos, gusanos, contenidos prohibidos y spam, y se propagan rápidamente a través del s, páginas web y otras aplicaciones de comunicación en tiempo real. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Protección Completa de Contenidos y Performance de Red
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Protección Completa de Contenidos y Performance de Red Los beneficios de la tecnología CCP implican un costo en términos de capacidad computacional, pues puede requerir de cien a mil veces más procesamiento por paquete, que la tecnología de Inspección Estado de Paquetes o DPI. Como resultado, la implementación de tecnología CCP en sistemas informáticos normales (como por ejemplo servidores) o productos para trabajo en redes (como por ejemplo routers, gateways con Firewall y VPN) puede reducir la performance dramáticamente. Incluso ejecutar DPI en un hardware estándar de seguridad de red puede reducir su performance un 75% o más. Por consiguiente para proporcionar tecnología de CCP sin comprometer la performance de la red, se requiere un nuevo tipo de hardware y de arquitectura de software. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Introducción a la Criptografía
Criptografía Aplicada Introducción a la Criptografía La palabra criptografía proviene del griego kryptos, que significa esconder y gráphein, escribir, es decir, escritura escondida. La criptografía ha sido usada a través de los años para mandar mensajes confidenciales cuyo propósito es que sólo las personas autorizadas puedan entender el mensaje. Alguien que quiere mandar información confidencial aplica técnicas criptográficas para poder “esconder” el mensaje (lo llamaremos cifrar o encriptar), manda el mensaje por una línea de comunicación que se supone insegura y después solo el receptor autorizado pueda leer el mensaje “escondido” (lo llamamos descifrar o descencriptar). Desde sus inicios la criptografía llegó a ser una herramienta muy usada en el ambiente militar, por ejemplo en la segunda gran guerra tuvo un papel determinante, una de las máquinas de cifrado que tuvo gran popularidad se llamó ENIGMA. Al terminar la guerra las agencias de seguridad de las grandes potencias invirtieron muchos recursos para su investigación. La criptografía como la conocemos hoy, surgió con la invención de la computadora. La criptografía actual se inicia en la segunda mitad de la década de los años 70. No es hasta la invención del sistema conocido como DES (Data Encryption Standard) en 1976 que se da a conocer mas ampliamente, principalmente en el mundo industrial y comercial. Posteriormente con el sistema RSA (Rivest, Shamir, Adleman) en 1978, se abre el comienzo de la criptografía en un gran rango de aplicaciones: en transmisiones militares, en transacciones financieras, en comunicación de satélite, en redes de computadoras, en líneas telefónicas, en transmisiones de televisión etcétera. La criptografía se divide en dos grandes ramas, la criptografía de clave privada o simétrica y la criptografía de clave pública o asimétrica, DES pertenece al primer grupo y RSA al segundo. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Problemas que resuelve la Criptografía
Criptografía Aplicada Problemas que resuelve la Criptografía Privacidad Integridad Autenticación No rechazo Los principales problemas de seguridad que resuelve la criptografía son: la privacidad, la integridad, la autenticación y el no rechazo. La privacidad, se refiere a que la información sólo pueda ser leída por personas autorizadas. En la comunicación por Internet es muy difícil estar seguros de la privacidad de la comunicación, ya que no se tiene control de la línea de comunicación. Por lo tanto al cifrar (esconder) la información cualquier intercepción no autorizada no podrá desvelar la información. Esto es posible si se usan técnicas criptográficas, en particular la privacidad se logra si se cifra el mensaje con un método simétrico. La integridad, se refiere a que la información no pueda ser alterada en el transcurso de ser enviada. En Internet las compras se puede hacer desde dos ciudades muy distantes, la información tiene necesariamente que viajar por una línea de transmisión de la cual no se tiene control, si no existe integridad podrían cambiarse por ejemplo el número de una tarjeta de crédito, los datos del pedido, en fin, información que causaría problemas a cualquier comercio y cliente. La integridad también se puede solucionar con técnicas criptográficas particularmente con procesos simétricos o asimétricos. La autenticidad, se refiere a que se pueda confirmar que el mensaje recibido haya sido mandado por quien dice lo mando o que el mensaje recibido es el que se esperaba. Por Internet es muy fácil engañar a una persona con quien se tiene comunicación respecto a la identidad, resolver este problema es por lo tanto muy importante para efectuar comunicación confiable. Las técnicas necesarias para poder verificar la autenticidad tanto de personas como de mensajes usan quizá la más conocida aplicación de la criptografía asimétrica que es la firma digital, de algún modo ésta reemplaza a la firma autógrafa que se usa comúnmente. Para autenticar mensajes se usa criptografía simétrica. El no rechazo, se refiere a que no se pueda negar la autoría de un mensaje enviado. Cuando se diseña un sistema de seguridad, una gran cantidad de problemas pueden ser evitados si se puede comprobar la autenticidad, garantizar privacidad, asegurar integridad y el no-rechazo de un mensaje. La criptografía simétrica y asimétrica conjuntamente con otras técnicas, como el buen manejo de las claves y la legislación adecuada resuelven satisfactoriamente los anteriormente problemas planteados, como lo veremos en los capítulos posteriores. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Asimétrica
Criptografía Aplicada Criptografía Asimétrica Este tipo de criptografía se conoce también como criptografía de clave privada o criptografía de llave privada. La criptografía simétrica se refiere al conjunto de métodos que permiten tener comunicación segura entre las partes siempre y cuando anteriormente se hayan intercambiado la clave correspondiente que llamaremos clave simétrica. La simetría se refiere a que las partes tienen la misma llave tanto para cifrar como para descifrar. Este tipo de criptografía se conoce también como criptografía de clave privada o criptografía de llave privada. Existe una clasificación de este tipo de criptografía en tres familias, la criptografía simétrica de bloques (block cipher), la criptografía simétrica de lluvia (stream cipher) y la criptografía simétrica de resumen (hash functions). Aunque con ligeras modificaciones un sistema de criptografía simétrica de bloques puede modificarse para convertirse en alguna de las otras dos formas, sin embargo es importante verlas por separado dado que se usan en diferentes aplicaciones. La criptografía simétrica ha sido la más usada en toda la historia, ésta a podido ser implementada en diferente dispositivos, manuales, mecánicos, eléctricos, hasta los algoritmos actuales que son programables en cualquier computadora. La idea general es aplicar diferentes funciones al mensaje que se quiere cifrar de tal modo que solo conociendo una clave pueda aplicarse de forma inversa para poder así descifrar. Aunque no existe un tipo de diseño estándar, quizá el más popular es el de Fiestel, que consiste esencialmente en aplicar un número finito de interacciones de cierta forma, que finalmente da como resultado el mensaje cifrado. Este es el caso del sistema criptográfico simétrico más conocido, DES. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada Criptografía Asimétrica C Canal Inseguro A B Mensaje El problema de la criptografía clásica consistía en la forma en la que la clave de desencripción se hacía llegar al receptor del mensaje, ya que esta no se podía transmitir por el mismo canal por el que se transmitía el mensaje (canal inseguro) ya que caería en poder de quien interceptaba dicho canal. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada Criptografía Asimétrica C Canal Inseguro A B Mensaje En la década del ´70 los matemáticos Diffie y Helman propusieron utilizar, en lugar de una única clave para encripción y desencripción (sistema denominado simétrico ya que una única clave cumplía ambas funciones), un sistema de pares de clave donde lo que encriptaba una de un par sólo lo podía desencriptar la otra del mismo par (sistema denominado asimétrico ya que cada clave encripta o desencripta en un único sentido). Características de las claves del sistema asimétrico Cada par es único en el mundo ya que, cuando se instala una aplicación en una computadora, el algoritmo que las genra toma variables propias de la computadora en ese momento. A una clave se la denomina privada y jamás es entregada a nadie, a la otra clave se la denomina pública y se envía a todas las personas con las que se quiera mantener correo electrónico encriptado. Lo que encripta una clave, sólo lo desencripta la otra del mismo par; por ejemplo: lo que encripta la privada de A lo desencripta la pública de A y lo que encripta la pública de A lo desencripta la privada de A Privada A Privada B Pública A Pública B Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada Criptografía Asimétrica C Canal Inseguro A B Mensaje Para poder trabajar con sistema basado en criptografía asimétrica (como por ejemplo la aplicación PGP Preety Good Privacy para protección de Correo Electrónico) se debe comenzar intercambiando las claves públicas entre quienes vayan a compartir correo electrónico encriptado. Como lo indica la figura, A le envía su pública a B y éste hace los mismo también con su pública. Privada A Privada B Pública A Pública B Pública B Pública A Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada Criptografía Asimétrica Pública A C Pública B Canal Inseguro A B Mensaje El ente C cumple la función de interceptor de todo lo que se transmite por el canal inseguro, por lo que no servirá para analizar las posibles fallas (si existieran) en lo que propusieron Diffie y Helman. Por lo tanto, como se ve en la figura, cuando A y B intercambiaron sus claves públicas por el canal inseguro, también fueron a parar a poder de C. Privada A Privada B Pública A Pública B Pública B Pública A Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada Criptografía Asimétrica Pública A C Pública B Canal Inseguro A B Mensaje Supongamos que A le quiere enviar a B un programa encriptado de tal manera que sólo él lo pueda desencriptar. Para lograr este objetivo, A encripta el programa con la pública de B, la cual sólo puede ser abierta con la privada de B, que cómo sólo la tiene B, éste es el único que podrá abrir el mensaje. Si analizamos las posibilidades de C para desencriptar el mensaje estas son nulas, ya que sólo tiene las públicas de A y B y necesitaría la privada de B para desencriptar el mensaje. Hasta aquí Diffie y Helman lograron resolver el gran problema de la Criptografía Tradicional, pero como veremos, existen otros problemas. Privada A Privada B Encripción con Pública B Pública A Pública B Pública B Pública A Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada Criptografía Asimétrica Pública A C Mensaje Apócrifo Pública B Encripción con Pública B Canal Inseguro A B Mensaje Supongamos que C escribe un mensaje haciéndose pasar por A con un contenido ofensivo para B. Supongamos también que lo encripta con la pública de B para que sólo lo pueda desencriptar B. Hasta aquí, y desde un punto de vista técnico, se hizo lo mismo que en la figura anterior, con la grave diferencia que lo hizo C haciéndose pasar por A. Por lo tanto a este sistema le hace falta algún mecanismo que le permita al receptor comprobar el orígen del mensaje. Privada A Privada B Encripción con Pública B Pública A Pública B Pública B Pública A Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada Criptografía Asimétrica Pública A C Mensaje Apócrifo Pública B Encripción con Pública B Canal Inseguro A B Mensaje Si cuando A le envía el mensaje a B le hace una segunda encripción con la pública de A, cuando lo reciba B éste tendrá que resolver la segunda desencripción con la privada de A. Y como la privada de A sólo la tiene A, B estará seguro que el mensaje lo encriptó A. El interceptor C podría desencriptar la segunda encripción, pero aún así lo que encontrará es un mensaje encriptado con la pública de B que no podrá desencriptar pues no tiene la privada de B. Privada A Privada B Encripción con Pública B Pública A Pública B Encripción con Privada de A Pública B Pública A Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada Criptografía Asimétrica Pública A C Mensaje Apócrifo Pública B Encripción con Pública B Canal Inseguro A B Mensaje Por lo tanto la encripción con la pública del destinatario le da confidencialidad al mensaje y la encripción con la privada del emisor le da autenticación de origen. La encripción con la privada del destinatario es la base de la firma digital. Los sistemas de encripción asimétrica son la base de la seguridad del correo electrónico, la firma digital, los certificados digitales, los medios de pago por Internet y las Redes Privadas Virtuales. Privada A Privada B Encripción con Pública B Pública A Pública B Encripción con Privada de A Pública B Pública A Confidencialidad Autenticidad de Origen Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada Criptografía Asimétrica La criptografía asimétrica o de clave pública se divide en tres familias (según el problema matemático en el cual basan su seguridad) Problema de Factorización Entera PFE (RSA y Rabin Williams RW) Problema del Logaritmo Discreto PLD (Diffie Hellman DH de intercambio de claves y sistema DSA de firma digital) Problema del Logaritmo Discreto Elíptico PLDE, hay varios esquemas tanto de intercambio de claves como de firma digital como el DHE (Diffie Hellman Elíptico), DSAE, (Nyberg-Rueppel) NRE, (Menezes, Qu, Vanstone) MQV, etcétera. La criptografía asimétrica es por definición aquella que utiliza dos claves diferentes para cada usuario, una para cifrar que se le llama clave pública y otra para descifrar que es la clave privada. El nacimiento de la criptografía asimétrica se dio al estar buscando un modo más práctico de intercambiar las llaves simétricas. Diffie y Hellman, proponen una forma para hacer esto, sin embargo no fue hasta que el popular método de Rivest Shamir y Adleman RSA publicado en 1978, cuando toma forma la criptografía asimétrica, su funcionamiento esta basado en la imposibilidad computacional de factorizar números enteros grandes. Actualmente la Criptografía asimétrica es muy usada; sus dos principales aplicaciones son el intercambio de claves privadas y la firma digital. Una firma digital se puede definir como una cadena de caracteres que se agrega a un archivo digital que hace el mismo papel que la firma convencional que se escribe en un documento de papel ordinario. Los fundamentos de la criptografía asimétrica pertenecen a la teoría de números, algo de esto lo podemos ver en los textos A course in Number Theory and Cryptography y Algebraic Aspects of Cryptography de N. Koblitz, así como en Elementary Number Theory and Its Applications de K.H. Rosen. En la actualidad la criptografía asimétrica o de clave pública se divide en tres familias según el problema matemático en el cual basan su seguridad. La primera familia es la que basa su seguridad en el Problema de Factorización Entera PFE, los sistemas que pertenecen a esta familia son, el sistema RSA, y el de Rabin Williams RW. La segunda familia es la que basa su seguridad en el Problema del Logaritmo Discreto PLD, a esta familia pertenece el sistema de Diffie Hellman DH de intercambio de claves y el sistema DSA de firma digital. La tercera familia es la que basa su seguridad en el Problema del Logaritmo Discreto Elíptico PLDE, en este caso hay varios esquemas tanto de intercambio de claves como de firma digital que existen como el DHE (Diffie Hellman Elíptico), DSAE, (Nyberg-Rueppel) NRE, (Menezes, Qu, Vanstone) MQV, etcétera. Aunque a las familias anteriores pertenecen los sistemas asimétricos más conocidos, existen otro tipo de sistemas que basan su seguridad en problemas diferentes como por ejemplo, en el Problema del Logaritmo Discreto Hiperelíptico, sobre problemas de retículas y sobre subconjuntos de clases de campos numéricos reales y complejos. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Criptografía Aplicada
Firma Digital Existen dos tipos de esquemas sobre firma digital Esquema de firma digital con apéndice Esquema de firma digital con mensaje recuperable Existen dos tipos de esquemas sobre firma digital, el que se denomina esquema de firma digital con apéndice y el esquema de firma digital con mensaje recuperable. También cualquier esquema de firma cuenta con dos partes la primera parte se denomina proceso de firma (similar al cifrado) y la segunda parte proceso de verificación de la firma (similar al descifrado). El esquema de firma digital con mensaje recuperable sigue el modelo de la encripción asimétrica en cuanto a encripción con Privada del Emisor. El esquema más usado y conocido es el esquema de firma con apéndice y es el que utiliza la ley Argentina de Firma Digital. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Firma Digital Criptografía Aplicada FIRMANTE MENSAJE ALGORITMO HASH
Funcionamiento El firmante genera, mediante una función matemática, una huella digital del mensaje. FINGERPRINT DEL MENSAJE Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Firma Digital Criptografía Aplicada MENSAJE NUEVO FINGERPRINT
FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, FIRMA DIGITAL Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FINGERPRINT DEL MENSAJE A continuación se descifra la firma digital del mensaje utilizando la clave pública del firmante y obtendrá la huella digital del mensaje original. FIRMA DIGITAL Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FINGERPRINT DEL MENSAJE Si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo. FIRMA DIGITAL COMPARACION Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Certificados Digitales
Criptografía Aplicada Certificados Digitales Los certificados digitales, tienen una similitud con las licencias de conducir, las primeras permiten viajar por las carreteras, los certificados digitales permiten navegar por la red Internet, la principal característica es que da identidad al usuario y puede navegar con seguridad. De igual forma que la sola licencia de conducir o un pasaporte sirve para dar identidad a quien la porta en ciertos casos, el certificado digital da identidad a una clave pública y se comporta como una persona en el espacio cibernético. El nacimiento del certificado digital fue a raíz de resolver el problema de administrar las claves públicas y que la identidad del dueño no pueda ser falsificada. La idea es que una tercera entidad intervenga en la administración de las claves públicas y asegure que las claves públicas tengan asociado un usuario claramente identificado. Esto fue inicialmente planteado por Kohnfelder del MIT en su tesis de licenciatura. Las tres partes más importantes de un certificado digital son: 1) Una clave pública 2) La identidad del implicado: nombre y datos generales, 3) La firma privada de una tercera entidad llamada autoridad certificadora que todos reconocen como tal y que válida la asociación de la clave pública en cuestión con el tipo que dice ser. En la actualidad casi todas las aplicaciones de comercio electrónico y transacciones seguras requieren un certificado digital, se ha propagado tanto su uso que se tiene ya un formato estándar de certificado digital, este es conocido como X509 v. 3. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Infraestructura de Claves Públicas
Criptografía Aplicada Infraestructura de Claves Públicas El papel de la Autoridad certificadora (AC) es de firmar los certificados digitales de los usuarios, generar los certificados, mantener el status correcto de los certificados, esto cumple el siguiente ciclo: 1) La generación del certificado se hace primero por una solicitud de un usuario, el usuario genera sus claves pública y privada y manda junto con los requerimientos de la solicitud su clave pública para que esta sea certificada por la AC. 2) Una vez que la AR (es la AC regional) verifica la autenticidad del usuario, la AC vía la AR firma el certificado digital y es mandado al usuario 3) El status del usuario puede estar en: activo, inactivo o revocado. Si es activo el usuario puede hacer uso del certificado digital durante todo su periodo válido 4) Cuando termina el período de activación del certificado el usuario puede solicitar su renovación. Entre las operaciones que pudiera realizar una AC están: - Generar certificados - Revocar certificados - Suspender certificados - Renovar certificados - Mantener un respaldo de certificados Entre las que pudiera realizar una AR están: - Recibir las solicitudes de certificación - Proceso de la autenticación de usuarios - Generar las claves - Respaldo de las claves - Proceso de Recobrar las claves - Reportar las revocaciones Y las actividades de los usuarios: - Solicitar el certificado - Solicitar la revocación del certificado - Solicitar la renovación del certificado Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

SSL SSL actúa en la capa de comunicación y es como un túnel que protege a toda la información enviada y recibida. SSL es usado en gran cantidad de aplicaciones que requieren proteger la comunicación. Con SSL se pueden usar diferentes algoritmos para las diferentes aplicaciones, por ejemplo usa DES, TDES, RC2, RC4, MD5, SHA-1, DH y RSA, cuando una comunicación esta bajo SSL la información que es cifrada es: - El URL del documento requerido - El contenido del documento requerido - El contenido de cualquier forma requerida - Los “cookies” enviados del browser al servidor - Los “cookies” enviados del servidor al browser - El contenido de las cabeceras de los http El procedimiento que se lleva acabo para establecer una comunicación segura con SSL es el siguiente: 1) El cliente (browser) envía un mensaje de saludo al Server “ClientHello” 2) El servidor responde con un mensaje “ServerHello” 3) El servidor envía su certificado 4) El servidor solicita el certificado del cliente 5) El cliente envía su certificado: si es válido continua la comunicación si no para o sigue la comunicación sin certificado del cliente 6) El cliente envía un mensaje “ClientKeyExchange” solicitando un intercambio de claves simétricas si es el caso 7) El cliente envía un mensaje “CertificateVerify” si se ha verificado el certificado del servidor, en caso de que el cliente este en estado de autenticado 8) Ambos cliente y servidor envían un mensaje “ChangeCipherSpec” que significa el comienzo de la comunicación segura. 9) Al término de la comunicación ambos envían el mensaje “finished” con lo que termina la comunicación segura, este mensaje consiste en un intercambio del hash de toda la conversación, de manera que ambos están seguros que los mensajes fueron recibidos intactos (íntegros). Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

SET Este protocolo esta especialmente diseñado para asegurar las transacciones por Internet que se pagan con tarjeta de crédito. La principal característica de SET, es que cubre estos huecos en la seguridad que deja SSL. Este protocolo esta especialmente diseñado para asegurar las transacciones por Internet que se pagan con tarjeta de crédito. Esto es debido a que una gran cantidad de transacciones de compra por Internet son efectuadas con tarjeta de crédito, por otro lado SSL deja descubierto alguna información sensible cuando se usa para lo mismo. La principal característica de SET, es que cubre estos huecos en la seguridad que deja SSL. Por ejemplo con SSL solo protege el número de tarjeta cuando se envía del cliente al comerciante, sin embargo no hace nada para la validación del número de tarjeta, para chequear sí el cliente esta autorizado a usar ese número de tarjeta, para ver la autorización de la transacción del banco del comerciante etc., Además que el comerciante puede fácilmente guardar el número de tarjeta del cliente. En fin, todas estas debilidades son cubiertas por SET, éste permite dar seguridad tanto al cliente, al comerciante como al banco emisor de la tarjeta y al banco del Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

SET 1) El cliente inicializa la compra: consiste en que el cliente usa el browser para seleccionar los productos a comprar y llena la forma de orden correspondiente. SET comienza cuando el cliente hace clic en “pagar” y se envía un mensaje de iniciar SET. 2) El cliente usando SET envía la orden y la información de pago al comerciante: el software SET del cliente crea dos mensajes uno conteniendo la información de la orden de compra, el total de la compra y el número de orden. El segundo mensaje contiene la información de pago, es decir, el número de la tarjeta de crédito del cliente y la información del banco emisor de la tarjeta. El primer mensaje es cifrado usando un sistema simétrico y es empaquetada en un sobre digital que se cifra usando la clave pública del comerciante. El segundo mensaje también es cifrado pero usando la clave pública del banco (esto previene que el comerciante tenga acceso a los números de tarjetas de los clientes). Finalmente el cliente firma ambos mensajes. 3) El comerciante pasa la información de pago al banco: el software SET del comerciante genera un requerimiento de autorización, éste es comprimido (con un hash) y firmado por el comerciante para probar su identidad al banco del comerciante, además de ser cifrado con un sistema simétrico y guardado en un sobre digital que es cifrado con la clave pública del banco. 4) El banco verifica la validez del requerimiento: el banco descifra el sobre digital y verifica la identidad del comerciante, en el caso de aceptarla descifra la información de pago del cliente y verifica su identidad. En tal caso genera una requerimiento de autorización lo firma y envía al banco que genero la tarjeta del cliente. 5) El emisor de la tarjeta autoriza la transacción: el banco del cliente (emisor de la tarjeta) confirma la identidad del cliente, descifra la información recibida y verifica la cuenta del cliente en caso de que no haya problemas, aprueba el requerimiento de autorización, lo firma y lo regresa al banco del comerciante. 6) El banco del comerciante autoriza la transacción: una ves recibida la autorización del banco emisor, el banco del comerciante autoriza la transacción la firma y la envía al servidor del comerciante. 7) El servidor del comerciante complementa la transacción: el servidor del comerciante da a conocer que la transacción que la tarjeta fue aprobada y muestra al cliente la conformidad de pago, y procesa la orden que pide el cliente terminado la compra cuando se le son enviados los bienes que compró el cliente. 8) El comerciante captura la transacción: en la fase final de SET el comerciante envía un mensaje de “captura” a su banco, esto confirma la compra y genera el cargo a la cuenta del cliente, así como acreditar el monto a la cuenta del comerciante. 9) El generador de la tarjeta envía el aviso de crédito al cliente: el cargo de SET aparece en estado de cuenta del cliente que se le envía mensualmente. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Determinación de Responsables
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Responsables Objetivo de la Infraestructura de seguridad de la información Administrar la seguridad de la información dentro de la organización. Debe establecerse un marco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización. Deben establecerse adecuados foros de gestión liderados por niveles gerenciales, a fin de aprobar la política de seguridad de la información, asignar funciones de seguridad y coordinar la implementación de la seguridad en toda la organización. Si resulta necesario, se debe establecer y hacer accesible dentro de la organización, una fuente de asesoramiento especializado en materia de seguridad de la información. Deben desarrollarse contactos con especialistas externos en materia de seguridad para estar al corriente de las tendencias de la in-dustria, monitorear estándares y métodos de evaluación y proveer puntos de enlace adecuados al afrontar incidentes de seguridad. Se debe alentar la aplicación de un enfoque multidisciplinario de la seguridad de la información, por ej., comprometiendo la cooperación y colaboración de gerentes, usuarios, administradores, di-señadores de aplicaciones, auditores y personal de seguridad, y expertos en áreas como seguros y administración de riesgos. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Responsables Foro gerencial sobre seguridad de la información La seguridad de la información es una responsabilidad de la empresa compartida por todos los miembros del equipo gerencial. Por consiguiente, debe tenerse en cuenta la creación de un foro gerencial para garantizar que existe una clara dirección y un apoyo manifiesto de la gerencia a las iniciativas de seguridad. Este foro debe promover la seguridad dentro de la organización mediante un adecuado compromiso y una apropiada reasignación de recursos. El foro podría ser parte de un cuerpo gerencial existente. Generalmente, un foro de esta índole comprende las siguientes acciones: a) revisar y aprobar la política y las responsabilidades generales en materia de seguridad de la información; b) monitorear cambios significativos en la exposición de los recursos de información frente a las amenazas más importantes; c) revisar y monitorear los incidentes relativos a la seguridad; d) aprobar las principales iniciativas para incrementar la seguridad de la información. Un gerente debe ser responsable de todas las actividades relacionadas con la seguridad. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Responsables Coordinación de la seguridad de la información En una gran organización, podría ser necesaria la creación de un foro ínter funcional que comprenda representantes gerenciales de sectores relevantes de la organización para coordinar la implementación de controles de seguridad de la información. Normalmente, este foro: a) acuerda funciones y responsabilidades específicas relativas a seguridad de la información pa-ra toda la organización; b) acuerda metodologías y procesos específicos relativos a seguridad de la información, por ej., evaluación de riesgos, sistema de clasificación de seguridad; c) acuerda y brinda apoyo a las iniciativas de seguridad de la información de toda la organiza-ción, por ej. programa de concientización en materia de seguridad; d) garantiza que la seguridad sea parte del proceso de planificación de la información; e) evalúa la pertinencia y coordina la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios; f) revisa incidentes relativos a la seguridad de la información; g) promueve la difusión del apoyo de la empresa a la seguridad de la información dentro de la organización. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Responsables Asignación de responsabilidades en materia de seguridad de la información Deben definirse claramente las responsabilidades para la protección de cada uno de los recursos y por la implementación de procesos específicos de seguridad. La política de seguridad de la información debe suministrar una orientación general acerca de la asignación de funciones de seguridad y responsabilidades dentro la organización. Esto debe complementarse, cuando corresponda, con una guía más detallada para sitios, sistemas o ser-vicios específicos. Deben definirse claramente las responsabilidades locales para cada uno de los procesos de seguridad y recursos físicos y de información, como la planificación de la continuidad de los negocios. En muchas organizaciones, se asigna a un gerente de seguridad de la información la responsabilidad general por el desarrollo e implementación de la seguridad y por el soporte a la identificación de con-troles. No obstante, la responsabilidad por la reasignación e implementación de controles a menudo es retenida por cada uno de los gerentes. Una práctica común es designar a un propietario para cada recurso de información que además se haga responsable de su seguridad de manera permanente. Los propietarios de los recursos de información pueden delegar sus responsabilidades de seguridad a cada uno de los gerentes o proveedores de servicios. No obstante, el propietario es en último tér-mino responsable de la seguridad del recurso y debe estar en capacidad de determinar si las responsabilidades delegadas fueron cumplimentadas correctamente. Es esencial que se establezcan claramente las áreas sobre las cuales es responsable cada gerente; en particular se debe cumplir lo siguiente. a) Deben identificarse y definirse claramente los diversos recursos y procesos de seguridad re-lacionados con cada uno de los sistemas. b) Se debe designar al gerente responsable de cada recurso o proceso de seguridad y se deben documentar los detalles de esta responsabilidad. c) Los niveles de autorización deben ser claramente definidos y documentados. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Responsables Proceso de autorización para instalaciones de procesamiento de información Debe establecerse un proceso de autorización gerencial para nuevas instalaciones de procesamiento de información.. Debe considerarse lo siguiente. a) Las nuevas instalaciones deben ser adecuadamente aprobadas por la gerencia usuaria, auto-rizando su propósito y uso. La aprobación también debe obtenerse del gerente responsable del mantenimiento del ambiente de seguridad del sistema de información local, a fin de ga-rantizar que se cumplen todas las políticas y requerimientos de seguridad pertinentes. b) Cuando corresponda, debe verificarse el hardware y software para garantizar que son com-patibles con los componentes de otros sistemas. Nota: Puede ser necesaria la comprobación de categorías para ciertas conexiones. c) Deben ser autorizados el uso de las instalaciones personales de procesamiento de informa-ción, para el procesamiento de información de la empresa, y los controles necesarios. d) El uso de instalaciones personales de procesamiento de información en el lugar de trabajo puede ocasionar nuevas vulnerabilidades y en consecuencia debe ser evaluado y autorizado. Estos controles son especialmente importantes en un ambiente de red. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Responsables Asesoramiento especializado en materia de seguridad de la información Es probable que muchas organizaciones requieran asesoramiento especializado en materia de seguridad. Idealmente, éste debe ser provisto por un asesor interno experimentado en seguridad de la información. No todas las organizaciones desean emplear aun asesor especializado. En esos casos, se recomienda que se identifique a una persona determinada para coordinar los conocimientos y experiencias disponibles en la organización a fin de garantizar coherencia, y brindar ayuda para la toma de decisiones en materia de seguridad. También debe tener acceso a calificados asesores externos para brindar asesoramiento especializado más allá de su propia experiencia. Los asesores en seguridad de la información o puntos de contacto equivalentes serán los encargados de brindar asesoramiento acerca de todos los aspectos de la seguridad de la información, utilizando sus propias recomendaciones o las externas. La calidad de su evaluación de las amenazas a la seguridad y de su asesoramiento en materia de controles determinará la eficacia de la seguridad de la información de la organización. Para lograr la máxima eficacia e impacto se les debe permitir acceso directo a los niveles gerenciales de toda la organización. El asesor de seguridad de la información o cargo equivalente debe ser consultado lo más temprana-mente posible a partir de la detección de un supuesto incidente o violación de la seguridad, a fin de suministrar una fuente de conocimientos o recursos de investigación expertos. Si bien la mayoría de las investigaciones de seguridad internas se llevan a cabo bajo el control de la gerencia, el asesor de seguridad de la información puede ser posteriormente convocado para asesorar, liderar o dirigir la investigación. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Las Políticas de Seguridad son los documentos que describen la forma adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y derechos que tanto usuarios como administradores tienen y qué hacer ante un incidente de seguridad. Mientras las políticas indican el “qué”, los procedimientos indican el “cómo”. Los procedimientos son los que nos permiten llevar a cabo las políticas. Ejemplos que requieren la creación de un procedimiento son: - Otorgar una cuenta - Dar de alta a un usuario - Conectar una computadora a la red - Localizar una computadora - Actualizar el sistema operativo - Instalar software localmente o vía red - Actualizar software crítico - Exportar sistemas de archivos - Respaldar y restaurar información - Manejar un incidente de seguridad - Pautas para la elaboración de Políticas de Seguridad Informática Para que esto sirva de algo, las políticas deben ser: - Apoyadas por los directivos - Únicas - Claras (explícitas) - Concisas (breves) - Bien estructuradas - Servir de referencia - Escritas - Revisadas por abogados - Dadas a conocer - Entendidas por los usuarios - Firmadas por los usuarios - Mantenerse actualizadas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Las políticas son parte fundamental de cualquier esquema de seguridad eficiente. Como administradores, nos aminoran los riesgos, y nos permiten actuar de manera rápida y acertada en caso de haber una emergencia de cómputo. Como usuarios, nos indican la manera adecuada de usar un sistema, indicando lo que puede hacerse y lo que debe evitarse en un sistema de cómputo, contribuyendo a que no seamos “malos vecinos” de la red sin saberlo. El tener un esquema de políticas facilita grandemente la introducción de nuevo personal, teniendo ya una base escrita y clara para capacitación; dan una imagen profesional a la organización y facilitan una auditoría. Los principales puntos que deben contener las políticas de seguridad son: - Ámbito de aplicación - Análisis de riesgos - Enunciados de políticas - Sanciones - Sección de uso ético de los recursos de cómputo - Sección de procedimientos para el manejo de incidentes Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Al diseñar un esquema de políticas de seguridad, conviene que dividamos nuestro trabajo en varias diferentes políticas específicas a un campo. El siguiente es un esquema de división posible: - cuentas - contraseñas - control de acceso - uso adecuado - respaldos - correo electrónico - contabilidad del sistema - seguridad física - personal, etc. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Políticas de cuentas Establecen qué es una cuenta de usuario de un sistema de cómputo, cómo está conformada, a quién puede serle otorgada, quién es el encargado de asignarlas, cómo deben ser creadas y comunicadas. Ejemplos: - Las cuentas deben ser otorgadas exclusivamente a usuarios legítimos - Una cuenta deberá estar conformada por un nombre de usuario y su respectiva contraseña. - El nombre de usuario de una cuenta deberá estar conformado por la primera letra de su nombre y su apellido paterno Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Políticas de contraseñas Son una de las políticas más importantes, ya que por lo general, las contraseñas constituyen la primera y tal vez única manera de autenticación y, por tanto, la única línea de defensa contra ataques. Establecen quién asignará la contraseña, qué longitud debe tener, a qué formato deberá apegarse, cómo será comunicada, etc. Ejemplos: - La longitud de una contraseña deberá siempre ser verificada de manera automática al ser construida por el usuario. Todas las contraseñas deberán contar con al menos siete caracteres. - Todas las contraseñas elegidas por los usuarios deben ser difíciles de adivinar. No deben ser utilizadas palabras que aparezcan en el diccionario, secuencias conocidas de caracteres, datos personales ni acrónimos - Está prohibido que los usuarios construyan contraseñas compuestas de algunos caracteres constantes y otros que cambien de manera predecible y sean fáciles de adivinar - Los usuarios no deben construir contraseñas idénticas o muy parecidas a contraseñas anteriores. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Políticas de control de acceso Especifican cómo deben los usuarios acceder al sistema, desde dónde y de qué manera deben autentificarse. Ejemplos: - Todos los usuarios deberán acceder al sistema utilizando algún programa que permita una comunicación segura y encriptada - Está prohibido acceder al sistema con una cuenta diferente de la propia, aún con la autorización del dueño de dicha cuenta - Si un usuario está fuera del sitio de trabajo, debe conectarse a una máquina pública del sitio y, únicamente desde ésta, hacer la conexión a la computadora deseada - Al momento de ingresar al sistema, cada usuario deberá ser notificado de la fecha, hora y dirección desde la que se conectó al sistema por última vez, lo cual permitirá detectar fácilmente el uso no autorizado del sistema Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Políticas de uso adecuado Especifican lo que se considera un uso adecuado o inadecuado del sistema por parte de los usuarios, así como lo que está permitido y lo que está prohibido dentro del sistema de cómputo. Antes de diseñar el esquema de políticas de uso adecuado, conviene hacer las siguientes preguntas: - ¿Se permite irrumpir en cuentas ajenas? - ¿Se permite adivinar contraseñas? - ¿Se permite interrumpir el servicio? - ¿Puede leerse un archivo ajeno cuyos permisos ante el sistema incluyen el de lectura para todos? - ¿Puede modificarse un archivo ajeno cuyos permisos ante el sistema incluyen el de escritura para todos? - ¿Pueden los usuarios compartir sus cuentas? - ¿Puede copiarse el software que no lo permita en su licencia? - ¿Puede obtenerse una "licencia para hackear"? La respuesta a todas estas preguntas debe ser negativa. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Políticas de uso adecuado Existen dos enfoques Permisivo (todo lo que no esté explícitamente prohibido está permitido) Paranoico (todo lo que no esté explícitamente permitido está prohibido). Cuál de estas elegir dependerá del tipo de organización y el nivel de seguridad que esta requiera. Ejemplos: - Está terminantemente prohibido ejecutar programas que intenten adivinar las contraseñas alojadas en las tablas de usuarios de máquinas locales o remotas - La cuenta de un usuario es personal e intransferible, por lo cual no se permite que este comparta su cuenta ni su contraseña con persona alguna, aún si ésta acredita la confianza del usuario - Está estrictamente prohibido hacer uso de herramientas propias de delincuentes informáticos, tales como programas que rastrean vulnerabilidades en sistemas de cómputo propios o ajenos - Está estrictamente prohibido hacer uso de programas que explotan alguna vulnerabilidad de un sistema para proporcionar privilegios no otorgados explícitamente por el administrador - No se permite bajo ninguna circunstancia el uso de cualquiera de las computadoras con propósitos de ocio o lucro Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Políticas de respaldos Especifican qué información debe respaldarse, con qué periodicidad, qué medios de respaldo utilizar, cómo deberá ser restaurada la información, dónde deberán almacenarse los respaldos, etc. Ejemplos: - El administrador del sistema es el responsable de realizar respaldos de la información periódicamente. Cada treinta días deberá efectuarse un respaldo completo del sistema y cada día deberán ser respaldados todos los archivos que fueron modificados o creados - La información respaldada deberá ser almacenada en un lugar seguro y distante del sitio de trabajo - Deberá mantenerse siempre una versión reciente impresa de los archivos más importantes del sistema - En el momento en que la información respaldada deje de ser útil a la organización, dicha información deberá ser borrada antes de deshacerse del medio. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Políticas de correo electrónico Establece tanto el uso adecuado como inadecuado del servicio de correo electrónico, los derechos y obligaciones que el usuario debe hacer valer y cumplir al respecto. Ejemplos: - El usuario es la única persona autorizada para leer su propio correo, a menos que él mismo autorice explícitamente a otra persona para hacerlo, o bien, que su cuenta esté involucrada en un incidente de seguridad de cómputo - Está estrictamente prohibido usar la cuenta de correo electrónico proporcionada por la organización para propósitos ajenos a sus actividades laborales - No se permite el uso de la cuenta de correo electrónico para subscribirse a listas electrónicas de discusión de interés personal El usuario deberá limitarse a estar subscrito a las listas indicadas y aprobadas por la organización. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Determinación de Normas y Procedimientos Políticas de contabilidad del sistema Establecen los lineamientos bajo los cuales pueden ser monitoreadas las actividades de los usuarios del sistema de cómputo, así como la manera en que debe manejarse la contabilidad del sistema y el propósito de la misma. Ejemplos: - Deberán ser registrados en bitácoras todos los comandos emitidos por todos los usuarios del sistema, para propósitos de contabilidad - Cada semana deberá hacerse el corte de contabilidad del sistema, cifrándose y respaldándose la información generada en un dispositivo de almacenamiento permanente Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Plan de Contingencia - Contingency Plan (CP)
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Desastres Plan de Contingencia - Contingency Plan (CP) Plan de Continuidad de Negocio - Business Continuity Plan (BCP) Plan de Recuperación de Desastres - Disaster Recovery Plan (DRP) Plan de Contingencia - Contingenci Plan (CP) - Define las acciones a tomar en los casos de que algún área de operaciones o tecnología. - Su objetivo es la recuperación de las operaciones críticas definidas del negocio en un lapso razonable Plan de Continuidad de Negocio - Business Continuity Plan (BCP) - Define las acciones a tomar en los casos en que una determinada contingencia inhabilite algún área de operaciones o tecnología. - Permite recuperar las operaciones críticas definidas del negocio en un lapso mínimo o igual a cero. - Requiere del CP para solucionar la contingencia que motivó su ejecución. - Incluye el DRP en el caso de que la contingencia haya inabilitado la disponibilidad total o física del centro de cómputos. Plan de Recuperación de Desastres - Disaster Recovery Plan (DRP) - Define las acciones a tomar en los casos en que una determinada contingencia inhabilite el centro de cómputos. - Permite recuperar las operaciones críticas definidas de IT. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Toda planificación de Recuperación ante Contingencias debe ser realizada antes de la ocurrencia de los eventos. Los planes deben ser proactivos en lugar de reactivos El BCP yel DRP incluyen tareas a efectuar: - Antes de que ocurra una interrupción. - Durante la ocurrencia de la interrupción. - Después de que ocurrió la interrupción. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Causas de Contingencia
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Causas de Contingencia Eventos naturales Eventos ocasionados por personas Eventos debidos a fallas de tecnología Eventos Naturales. - Huracanes, inundaciones, terremotos, incendios. - Interrupción de servicios básicos (electricidad, comunicaciones, etc) - Incendios, explosiones o derramamiento de toxinas. Eventos desatados por personas. - Sabotage, bombardeo u otros ataques intencionales. - Huelgas, accidentes. - Errores. Eventos debidos a fallas de tecnología - Problemas Infraestructurales - Fallas de equipos propios - Fallas de comunicaciones Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Definición de Alcance e Inicio del Plan.
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Definición de Alcance e Inicio del Plan. Evaluación del Impacto en el Negocio (Business Impact Assessment – BIA). Desarrollo del Plan. Aprobación e Implantación del Plan. Prueba y Mantenimiento del Plan. Evaluación del Impacto en el Negocio (Business Impact Assessment – BIA). Desarrollo del Plan. Aprobación e Implantación del Plan. Prueba y Mantenimiento del Plan. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Alcance del Plan Roles y Responsabilidades
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Alcance del Plan Roles y Responsabilidades Alta Gerencia. - Inicia el proyecto, da la aprobación final y apoya la iniciativa a lo largo de todo su ciclo de vida. Gerencia de Unidades de Negocio. - Identifican y priorizan los sistemas/ operaciones críticas del negocio. Comité de BCP. - Dirige los procesos de planificación, implantación y prueba del BCP. Unidades Funcionales: - Participa en la implantación y las pruebas del plan. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Evaluación del Impacto en el Negocio (BIA)
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Evaluación del Impacto en el Negocio (BIA) Objetivos Tareas Objetivos - Priorización en base a la criticidad de los procesos/ sistemas. - Estimación de tiempo máximo de tolerancia (Maximum Tolerable Downtime). - Requerimientos de Recursos. Tareas - Obtención del material necesario para realizar el análisis. - Desarrollo de una evaluación de vulnerabilidades. - Análisis de la información obtenida. - Documentación y reporte de resultados y recomendaciones. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Evaluación del Impacto en el Negocio (BIA)
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Evaluación del Impacto en el Negocio (BIA) Risk Assessment Risk Assessment - Identificacion de escenarios de fallas potenciales. - Probabilidad de falla. - Costo de la falla (análisis de impacto). - Costo monetario. - Gastos operativos adicionales. - Violación de contratos o requerimientos legales. - Pérdida de ventaja competitiva, confianza del público. - Assumed maximum downtime (tiempo marco de recuperación) Risk Assessment/Analysis - Estimación de Pérdida Annual. - Worst case assumptions. - El BCP se basará en el modelo de procesos de negocios o en IT exclusivamente? - Identificación de funciones críticas y recursos necesarios para soportar dichas funciones. - Balance del impacto vs. costo de los controles/ contramedidas. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Desarrollo de la Estrategia (Selección de Alternativas)
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de la Estrategia (Selección de Alternativas) Definición de la Estrategia Desarrollo de la Estrategia (Selección de Alternativas) - Soporte/ Apoyo de la Gerencia Ejecutiva. - Estructura del/ los equipos. - Selección de la estrategia. - Cost effective. - Trabajable/ Implantable. Definición de la estrategia Recursos Informáticos. - Hardware, software, comunicaciones, aplicaciones, datos. Locaciones. - Locaciones alternativas para equipamiento y personal. Personal. - Cada persona asignada al BCP tendrá funciones específicas para llevar a cabo la ejecución del plan en forma exitosa. Equipamiento y suministros. - Papel, formularios, A/C, equipamiento de seguridad específico, etc. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Implantación (Desarrollo del Plan) Prevención/ Mitigación de Riesgos.
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Implantación (Desarrollo del Plan) Prevención/ Mitigación de Riesgos. Implantación (Desarrollo del Plan) - Especificación de los recursos necesarios para efectuar la recuperación. - Negociación de aquellos aspectos que no serán soportados in-house. - Mitigación de debilidades. Prevención/ Mitigación de Riesgos. - Programa de administración de riesgos. - Seguridad física y acceso a información. - Controles ambientales. - Redundancia – Backups/ Recuperación. - Journaling, Mirroring, Shadowing. - On-line/near-line/off-line. - Seguros (Insurance). - Emergency response plans. - Procedimientos. - Entrenamiento. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Toma de decisiones ¿Qué incluye el BCP?
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Toma de decisiones ¿Qué incluye el BCP? Toma de decisiones - Cost effectiveness. - Human intervention requirements - Manual functions are weakest - Overrides and defaults - Capacidad de Shutdown. - Por defecto toda solución debe ser de “no access”. - Diseño abierto (no propietario)? ¿Qué incluye el BCP? - Almacenamiento Off-site. - Sitio Alternativo de Procesamiento. - Procesamiento de Backups. - Comunicaciones. - Espacio para trabajar (oficinas). - Equipamiento de oficina, documentación y artículos de escritorio. - Seguridad. - Procesos de Negocio/ Administrativos críticos. - Pruebas. - Proveedores - información de contratos, negociaciones, etc. - Equipos de trabajo - información de contacto, transportación, etc. - Procedimientos de retorno a operaciones normales - Otros recursos necesarios. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Disaster Recovery Plan
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Disaster Recovery Plan Objetivos Procesos Mantenimiento Objetivos - Proteger a la organización de fallas generales de los servicios de información. - Minimizar el riesgo generado por la demora en la provisión de servicios. - Garantizar la confianza de los sistemas de backup a través de pruebas y simulaciones. - Minimizar la toma de decisiones del personal durante una contingencia. Procesos Planificación de la continuidad del procesamiento de datos. - Acuerdos de ayuda mutua. - Servicios de Subscripción. - Hot Site. - Warm Site. - Cold Site. - Centros múltiples. - Service Bureaus. - Centros Móbiles. - Servicios de provisión de HW/SW. Mantenimiento - El plan es un documento vivo. - Asegurar que solo la copia mas reciente del plan sea distribuida. - Evitar la existencia de múltiples versiones. - Asegurar que la información de contactos este actualizada. - Asegurar que ante la adquisición o modificación o eliminación de elementos críticos, estos sean incorporados al plan. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Testeo de DRP Testeo del Plan Checklist. - Copias del plan son distribuidas a las gerencias para su revisión. Seguimiento estructurado (structured walk-through). - Gerentes de las áreas afectadas se reunen para revisar el plan. Simulación. - Todo el personal de soporte se reune en una sesión de práctica. Prueba en Paralelo. - Los sistemas críticos son ejecutados en el sitio alternativo. Interrupción completa. - Todos los sistemas en producción son interrumpidos. Se procede a ejecutar el plan en condiciones reales. Otras consideraciones. - Las pruebas del plan deben realizarse alternando el personal a cargo. - No es absolutamente necesario efectuar siempre pruebas completas. - La periodicidad de las pruebas dependerá del grado de “movilidad” del - plan y/o del personal a cargo. - Toda prueba que haya sido 100% exitosa fue mal realizada. - Todo resultado de una prueba debe servir como feedback para mejorar el plan. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Equipos de Trabajo Equipos de Trabajo Equipo de Recuperación. - Responsable de ejecutar los procedimientos de recuperación ante la declaración de un desastre. Equipo de Salvataje. - Responsable de volver el sitio primario a sus niveles operativos normales. Equipo de Reanudación de Operaciones. - Responsable de volver las operaciones al sitio primario. - No siempre es un equipo adicional. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Otros aspecto a considerar Conclusiones
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Otros aspecto a considerar Conclusiones Otros aspectos a considerar - Relación con grupos externos (emergencias, policia, bomberos, etc). - Relaciones con empleados. - Fraude y crimenes. - Desembolsos financieros. - Relaciones con los medios de prensa/ tv/ radio. Conclusiones - Los planes deben mantenerse actualizados. - El personal responsable debe estar preparado para entrar en contingencia. - Toda la compañía debe conocer y entender los objetivos de los planes. - Pruebas periódicas de los planes, BCP y DRP, deben realizarse. Estas deberían estar a cargo de entidades independientes a las áreas involucradas: Auditoría Interna o Consultores Externos. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Implementación de un sistema de Control por Oposición o Auditoría Interna Objetivo Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas. Asimismo, se requiere una protección adecuada para salvaguardar la integridad y evitar el uso inadecuado de las herramientas de auditoria. Los requerimientos y actividades de auditoria que involucran verificaciones de los sistemas operacionales deben ser cuidadosamente planificados y acordados a fin de minimizar el riesgo de discontinuidad de los procesos de negocio. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Controles de auditoría Protección de las herramientas de auditoría
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Implementación de un sistema de Control por Oposición o Auditoría Interna Controles de auditoría Protección de las herramientas de auditoría Controles de auditoría a) Los requerimientos de auditoria deben ser acordados con la gerencia que corresponda; b) se debe acordar y controlar el alcance de las verificaciones; c) éstas deben estar limitadas a un acceso de sólo lectura del software de datos; d) el acceso que no sea de sólo lectura solamente debe permitirse para copias aisladas de archivos del sistema, las cuales deben ser eliminadas una vez finalizada la auditoría. e) se deben identificar claramente y poner a disposición los recursos de TI para llevar a cabo las verificaciones; f) se deben identificar y acordar los requerimientos de procesamiento especial o adicional; g) todos los accesos deben ser monitoreados y registrados a fin de generar una pista de referencia; h) se deben documentar todos los procedimientos, requerimientos y responsabilidades. Protección de las herramientas de auditoría Se debe proteger el acceso a las herramientas de auditoría de sistemas, por ej. archivos de datos o software, a fin de evitar el mal uso o el compromiso de las mismas. Dichas herramientas deben estar separadas de los sistemas operacionales y de desarrollo y no deben almacenarse en bibliotecas de cintas o en áreas de usuarios, a menos que se les otorgue un nivel adecuado de protección adicional. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Manejo de Auditorías Externas
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría Manejo de Auditorías Externas Relación con la empresa Convenio de Confidencialidad Limitaciones del entorno a auditar Las Auditorías Externas sen requerimientos que pueden provenir de distintas fuentes: - Casa Matriz - Entes reglamentarios o reguladores - Decisiones del Directorio o la alta Gerencia - Clientes - Proveedores En todos los casos será necesario trabajar con convenios de confidencialidad que pueden ser incluidos en los contratos preexistentes. Los entornos a auditar deen estar perfectamente acotados, por lo que es necesdario contar con documentos descriptivos de cada una de las unidades de negocio, no sólo desde el punto de vista de seguridad sino también los aspectos operativos. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Normativa y Legislación Vigente
Ley de Habeas Data ARTICULO 1°.- (Objeto) La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional. Incluye a bases de datos de organizaciones de áreas como Financieras y Salud , entre otras. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Ley de Firma Digital ARTICULO 3°.- Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia. Este artículo define la igualdad de validez entre la firma digital y la hológrafa. Por lo tanto: cualquier organización que maneje documentación que requiera ser firmada de manera hológrafa para que tenga validez legal, podrá utilizar un sistema de Firma Digital para lograr la misma validez legal, pero no así uno de firma electrónica o cualquier otro sistema de elección propia. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Antecedentes 1995 se publica BS 7799 1999 se revisa BS 7799 2000 se adopta como ISO 17799 2002 se homologa como IRAM 17799 2004 lo adopta la ONTI como base para las Políticas de Seguridad de Gestión Pública Posibilita que todo requerimiento de Auditoría Interna, Externa, o proveniente de Clientes, Proveedores o Socios Estratégicos tenga un marco de referencia único. Es la norma madre de las ISO de Seguridad Informática, por lo que su contenido está focalizado en las pautas para el gerenciamiento de la Seguridad Informática de las Organizaciones, sus Políticas de Seguridad y sus Planes de Continuidad de Negocios. Apoya los esfuerzos de los gerentes de tecnología de la información, facilitando la toma de decisiones de compra, incrementando la cooperación entre múltiples departamentos por ser la seguridad un interés común y ayudando a consolidar la seguridad como prioridad empresarial Es una compilación de recomendaciones para las prácticas exitosas de seguridad que toda organización puede aplicar independientemente de su tamaño o sector. Fue redactada intencionalmente para que fuera flexible y no induce a las personas que la cumplían para que prefirieran una solución de seguridad específica. Las recomendaciones son neutrales en cuanto a la tecnología. La flexibilidad es intencional por cuanto es imposible desarrollar una norma que funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse con el cambiante mundo de la tecnología. Si no se tiene un sistema formal de organización y control de la Seguridad Informática, puede servir de base para realizar uno. Aunque no se necesite certificar, sirve como guía para configurar la Política de Seguridad de la empresa. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Las diez Areas de Control
Normativa y Legislación Vigente Las diez Areas de Control Existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles No todos los controles podrán aplicarse a cada empresa, sin embargo la norma ayuda a identificar los controles relevantes para cada empresas. 1) Política de Seguriad 2) Organización de la Seguridad 3) Clasificación y Control de Activos 4) Seguridad Personal 5) Seguridad Física y Ambiental 6) Control de Comunicaciones y Operaciones 7) Control de Accesos 8) Desarrollo y Mantenimiento de Sistemas 9) Administración de la Continuidad de Negocios 10) Cumplimiento Existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles No todos los controles podrán aplicarse a cada empresa, sin embargo la norma ayuda a identificar los controles relevantes para cada empresas. 1) Política de Seguriad Objetivo: Definir el marco gerencial de la organización y controlde de la Seguridad. 2) Organización de la Seguridad Objetivo: Administrar la seguridad de la información dentro de la organización. Debe establecerse un marco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización. 3) Clasificación y Control de Activos Objetivo: Mantener una adecuada protección de los activos de la organización. 4) Seguridad Personal Objetivo: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones. 5) Seguridad Física y Ambiental Objetivo: Impedir accesos no autorizados, daños e interferencia a las sedes e información de la empresa. 6) Control de Comunicaciones y Operaciones Objetivo: Asegurar todas las operaciones informáticas. 7) Control de Accesos Objetivo: Controlar el acceso de información. El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los requerimientos la seguridad y de los negocios. 8) Desarrollo y Mantenimiento de Sistemas Objetivo: Asegurar que la seguridad es incorporada a los sistemas de información. 9) Administración de la Continuidad de Negocios Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres. 10) Cumplimiento Objetivo: Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Sarbanes Oxley Qué es la ley Sarbanes Oxley Act Que relación hay entre la ley SOX en las TI Qué es la ley Sarbanes Oxley Act En Estados Unidos ha habido grandes escándalos financieros en donde empresas falsean la información para poder publicar resultados positivos cuando en verdad la empresa está perdiendo dinero. Las acciones tienen un valor mayor al que en verdad tienen y cuando esto se descubre el precio de las acciones baja de manera estrepitosa hasta llegar hacer quebrar a una empresa. Dos Senadores de los Estados Unidos, preocupados por este fenómeno que se empezó a repetir de manera frecuente, propusieron a su congreso poder establecer ciertas normas o reglas el cual impidiera que la información financiera de las organizaciones fuera alterada de manera dolosa por los CFO o CEO o bien los accionistas estuvieran enterados de manera fehaciente del comportamiento del valor de sus acciones. Que relación hay entre la ley SOX en las TI Al ser el área de las TI el núcleo de cualquier organización, es el CIO quien es el responsable de ofrecer las diferentes herramientas y estrategias para poder hacer cumplir la ley, debido a que toda la información financiera de la organización está almacenada y operada por Tecnologías de Información. Dentro de las secciones existen 3 que involucran directamente al departamento de TI y que son la 302, 404 y 409. La primera habla de la obligación de generar reportes donde muestren el resultado financiero de la empresa y que este debe de estar avalado en cuanto a su integridad por el CEO y el CFO. La cláusula 404 nos dice que deben de existir procedimientos y políticas que aseguren la integridad de la información así como la disponibilidad de ella. Por último la cláusula 409 indica que toda organización debe de notificar en menos de 48 hrs. cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo y esto afecte de manera seria a las ventas de la organización. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Sarbanes Oxley Cómo afecta la ley Sarbanes Oxley a la cadena de valor Y las empresas Argentinas? Que deben hacer las empresas Cómo afecta la ley Sarbanes Oxley a la cadena de valor La cláusula 409 dice muy claro de manera textual "Las compañías deben de notificar en tiempo real y en menos de 48 hrs. que un acontecimiento de la cadena del producto compromete a los estados financieros de la organización". Es de esta manera en como la ley Sarbanes Oxley involucra directamente a la administración de cadena de proveedores. Y las empresas Argentinas? La ley Sarbanes Oxley es aplicada a aquellas empresas que a partir del 15 de Noviembre del 2004 generen más de 75 millones de dólares al año y coticen en bolsa en Estados Unidos. Al estar obligadas estas empresas a reportar cualquier atraso en sus procesos, le exigirán a quienes les proveen outsorcing de cualquier tipo, que tomen los recaudos necesarios para cumplirlo en tiempo y forma pactados. Esto obliga a las empresas argentinas (proveedoras de outsorcing a multinacionales que cotizan en Estados Unidos) a tener un verdadero control de sus procesos internos para poder asegurar que van a poder cumplir con los acuerdos aceptados. Es importe decir que el hacer las cosas más rápido y con una mayor eficiencia e inteligencia dará a las empresas un buen posicionamiento y una ventaja competitiva contra sus posibles competidores. Que deben hacer las empresas Deben asegurar sus procesos y certificarlos en diferentes normas internacionales como lo son el ISO 9000, y como el núcleo de los procesos de las organizaciones son las TI es indispensable pensar ya en la norma ISO La norma ISO habla de 3 grandes áreas que son el aseguramiento de la información mediante la confidencialidad, integridad y disponibilidad de la información, lo que en palabras de la ley Sarbaney es: "lo que se debe de asegurar es que la información financiera de las organizaciones no sea alterada de manera dolosa o no intencional, que además se puede acceder a ella en el momento que se requiera y que además sea confidencial y de acceso controlado". Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Posgrado en Dirección de Sistemas de Información

Presentaciones similares

Presentación del tema: "Posgrado en Dirección de Sistemas de Información"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Posgrado en Dirección de Sistemas de Información

Presentaciones similares

Presentación del tema: "Posgrado en Dirección de Sistemas de Información"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback