ACI - 425 Clase_01d Planificación, Normativas y Delitos Informáticos

5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos

1/12512007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy

ACI 425

SEGURIDAD INFORMTICA

Unidad 1:

Principios de Seguridad Informtica



Objetivos Especficos de la Unidad

Conocer los conceptos y principios dela seguridad informtica, normativasactuales y diseo bsico de laspolticas de seguridad en base alestado del arte actual.



Contenidos y Actividades

Caractersticas de la informacin. Seguridad informtica como proceso,

vulnerabilidades y amenazas. Anlisis de riesgos. Ataques, Hackers y crackers. Ciclo de vida de la seguridad informtica Polticas de seguridad. Planes de concientizacin y normas

internacionales.

Normas ISO 17799 y BS 7799-2 Legislacin actual internacional y nacional Delitos informticos



Recordemos que:

Activo: recurso del sistema de informacin o relacionado conste, necesario para que la organizacin funcionecorrectamente y alcance los objetivos propuestos.

Amenaza: evento que puede desencadenar un incidente en laorganizacin, produciendo daos materiales o prdidasinmateriales en sus activos.

Impacto: consecuencia de la materializacin de unaamenaza.

Riesgo: posibilidad de que se produzca un Impactodeterminado en un Activo, en un Dominio o en toda laOrganizacin.

Vulnerabilidad: posibilidad de ocurrencia de lamaterializacin de una amenaza sobre un Activo.

Ataque: evento, exitoso no, que atenta sobre el buenfuncionamiento del sistema.

La Vulnerabilidad est ligada a una Amenaza y el Riesgo a unImpacto



Sabemos que las amenazas

pueden ser causadas por:

un operador: causa del mayor problema ligado a la seguridadde un sistema informtico (por que no le importa, no se dacuenta o a propsito).

programas maliciosos: programas destinados a perjudicar oa hacer un uso ilcito de los recursos del sistema es instalado(por inatencin o maldad) en el ordenador abriendo una puerta

a intrusos o bien modificando los datos. Estos programaspueden ser un virus informtico, un gusano informtico, untroyano, una bomba lgica o un programa espa o Spyware

un intruso: persona que consigue acceder a los datos oprogramas de los cuales no tiene acceso permitido (cracker,defacer, script kiddie o Script boy, viruxer, etc.)

un siniestro(robo, incendio, inundacin, terremoto): unamala manipulacin o una mala intencin derivan a la prdidadel material o de los archivos.

el personal interno de Sistemas: Las pujas de poder quellevan a disociaciones entre los sectores y solucionesincompatibles para la seguridad informtica.



Formas de atacar a un sistema:

Existen muchas, y cada da se crean otrasnuevas, pero a modo de clasificacin:

Intrusin

Negacin del servicio

Robo de informacin Hombreen el camino

De replicacin

Fallas y errores de programacin



Intrusin

Es el ms comn de los ataques. Consiste en que de alguna forma, el atacante

entra en el computador y adquiere privilegios porsobre el software instalado.

Si los privilegios obtenidos son de administrador,

estamos en grave peligro, nuestros datos puedenser cambiados o borrados. Bsicamente, la tcnica consiste en conseguirse

la password de un usuario del computador.

La password puede ser conseguida a travs deprueba y error o utilizando paquetes de softwaresobre los archivos que contienen las password dela red.



Negacin del servicio

Se trata de un ataque en contra de ladisponibilidad de algn servicio.

Por ejemplo, supongamos que nos envanuna gran cantidad de e-mails, saturando elespacio en disco que para tales efectostiene nuestro servidor de e-mail.

Afortunadamente, no son muy populares: seles encuentra poco deportivo.



Robo de informacin

Se trata de obtener datos, estando o noconectados al computador.

En algunos casos, basta con suplantar aalguien que si tiene acceso a los datos(ataque activo) o colocar una oreja que

escuche el trfico y de cuenta de algunapassword que se transmiti (ataque pasivo).



Hombre en el camino

El atacante intercepta las comunicacionesentre dos partes, haciendo a cada una deellas creer que se comunica con la otra.

Ejemplo: En una comunicacin cliente-servidor, el usuario cree que se comunicacon un servidor cuando en realidad secomunica con el atacante y viceversa.



De reproduccin

Un atacante captura las comunicacionesentre dos partes y reproduce los mensajes.

Principalmente, se busca interceptar para

luego analizar la comunicacin.

La idea es que ni el transmisor ni el receptorsupo que alguien lo escucho.



Fallas y errores de programas

Corresponde a una forma de ataque pasivao involuntaria.

Es una de las mayores amenazas a laseguridad, pues puede hacer que se "caiga"el servidor o el cliente, daar datos opermitir acceso no autorizado.

Los usuarios deben preocuparse de laseguridad asociada a los softwares queutilizan e informarse de los posiblesproblemas de seguridad que pueden tener.



Tcnicas de ataque

Son muchas y cada da aparecen nuevas.Dentro de las ms conocidas estn:

Engao de IP (Spoofing)

Husmear la red (Sniffing) Negacin de servicios



Spoofing

Una mquina suplanta la identidad de otra. Se usa para persuadir a un sistema de que acepte

datos como si vinieran de la fuente original o bienpara recibir datos que debera ir a la mquinasuplantada.

Esta debilidad se debe a que los ruteadores, slomiran la direccin de destino del paquete. Cuando el paquete llega a destino, el receptor

revisa la IP de origen. Si el atacante cambio su IPpor una direccin legtima, ya esta lista la primeraparte del engao.

La segunda parte, consiste en incluir ordenes enla parte TCP del paquete. Estas ordenes puedenser desde bromas, a obtencin de informacin.



Sniffing

Una mquina intermedia entre receptor ytransmisor, escucha los paquete.

En redes de medio compartido comoEthernet, las tarjetas de red tienen unsegmento de hardware encargado deacceder a todos los datos que viajan por elmedio.

Qu pasa si por la red viajan las passwordsin encriptacin ?



Tcnicas de Negacin del Servicio

En un esquema cliente servidor, el computador que hace de

servidor siempre responde a una determinada peticin. Si esta peticin se repite insistentemente, es posible que el

servidor se sature. Un ejemplo clsico es el servidor de e-mails:

Este servicio almacena los e-mails provenientes de otrasredes. El almacenamiento se realiza en un disco hasta que un

usuario interno leay borre su correo. Si llegan rfagas de correo (producto de correo spam

por ejemplo), el disco se satura y el servidor de e-mailsecae.

El problema se puede acrecentar si la saturacin del discoimpide el funcionamiento de otras aplicaciones.



Seguridad como un proceso

Algunos elementos integrantes son: Software antivirus Controles de acceso Muros de fuego

Tarjetas inteligentes Biometra Deteccin de intrusos Administracin de polticas Exploracin de vulnerabilidades Encriptacin Mecanismos de seguridad fsica


18/125

182007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy

Principios de la seguridadinformtica

Recordemos los tres principios bsicos de laseguridad informtica:1. Acceso ms fcil: El intruso al sistema

utilizar el artilugio que haga ms fcil su

acceso y posterior ataque.2. Caducidad del secreto: Los datosconfidenciales deben protegerse slo hastaque ese secreto pierda su valor como tal.

3. Eficiencia de las medidas tomadas: Lasmedidas de control se implementan paraque tengan un comportamiento efectivo,eficiente, sean fciles de usar y apropiadasal medio.


19/125


El anlisis y gestin de riesgos

Tiene como objetivo a proteger la misin de la Organizacin, teniendo encuenta las diferentes dimensiones de la seguridad:

Disponibilidad: o disposicin de los servicios a ser usados cuando seanecesario. La carencia de disponibilidad supone una interrupcin del servicio.La disponibilidad afecta directamente a la productividad de lasorganizaciones.

Integridad: o mantenimiento de las caractersticas de completitud ycorreccin de los datos. Contra la integridad, la informacin puede aparecermanipulada, corrupta o incompleta. La integridad afecta directamente al

correcto desempeo de las funciones de una Organizacin. Confidencialidad: o que la informacin llegue solamente a las personasautorizadas. Contra la confidencialidad o secreto pueden darse fugas yfiltraciones de informacin, as como accesos no autorizados.La confidencialidad es una propiedad de difcil recuperacin, pudiendo minarla confianza de los dems en la organizacin que no es diligente en elmantenimiento del secreto, y pudiendo suponer el incumplimiento de leyes ycompromisos contractuales relativos a la custodia de los datos.

Autenticidad (de quin hace uso de los datos o servicios): o que nohaya duda de quin se hace responsable de una informacin o prestacin deun servicio, tanto a fin de confiar en l como de poder perseguirposteriormente los incumplimientos o errores. Contra la autenticidad se dansuplantaciones y engaos que buscan realizar un fraude. La autenticidad es labase para poder luchar contra el repudio y, como tal, fundamenta el comercioelectrnico o la administracin electrnica, permitiendo confiar sin papeles nipresencia fsica.


20/125


Pasos en un anlisis de riesgos

1.Identificacin costoposibles prdidas (L)

Identificar amenazas

2.Determinar susceptibilidad.La probabilidad de prdida (P)

3.Identificar posiblesacciones (gasto) y susimplicaciones (B).

Seleccionar acciones aimplementar.

B

P

L ?

Secierrael ciclo


21/125


Polticas administrativasProcedimientos administrativos. Polticas de control de acceso

Privilegios de acceso del usuario oprograma.

Polticas de flujo de informacinNormas bajo las cuales se comunican los

sujetos dentro del sistema.

Algunas polticas de seguridad


22/125


Polticas administrativasSe establecen aquellos procedimientos decarcter administrativo en la organizacincomo por ejemplo en el desarrollo de

programas: modularidad en aplicaciones,revisin sistemtica, etc.Se establecen responsabilidades

compartidas por todos los usuarios, cadauno en su nivel.

Se procede a la etapa de concienciacin.

Aspectos administrativos


23/125


Polticas de control de accesoPoltica de menor privilegio

Acceso estricto a objetos determinados, conmnimos privilegios para los usuarios.

Poltica de compartir Acceso de mximo privilegio en el que cadausuario puede acceder a todos los objetos.

Granularidad

Nmero de objetos accesibles. Se hablaentonces de granularidad gruesa y fina.

Control de accesos


24/125


Polticas de control de flujo La informacin a la que se accede, se enva y

recibe por: Canales claros o canales ocultos? Seguros o no?

Qu es lo que hay que potenciar?

La confidencialidad o la integridad? La disponibilidad? ... El no repudio?

Segn cada organizacin y su entorno de trabajo y

servicios ofrecidos, habr diferencias.En algunos sistemas primarn unos ms que otros,en funcin de lo secreta que sea la informacin queprocesan.

Control de flujo


25/125


Modelo de Bell LaPadula (BLP)

Rgido. Confidencialidad y con autoridad.

Modelo de Clark-Wilson (CW)

Orientacin comercial: integridad.

Modelo de Take-Grant (TG) Derechos especiales: tomar y otorgar.

Otros: modelo de Goguen-Meseguer (no interferenciaentre usuarios); modelo de Matriz de Accesos (estados

y transiciones entre estados: tipo Graham-Dennig; tipoHarrison-Ruzzo-Ullman), Biba, Chinese Wall, etc.

Modelos de seguridad


26/125


La escritura hacia abajo est prohibida. La lectura hacia arriba est prohibida. Es el llamado principio de tranquilidad.

Lectura hacia arriba prohibida Secreto mximo

Usuario dado de altacon un nivel de secreto Secreto

Escritura hacia abajo prohibida No clasificado

Modelo de Bell y LaPadula

http://en.wikipedia.org/wiki/Bell-LaPadula_model
http://en.wikipedia.org/wiki/Bell-LaPadula_modelhttp://en.wikipedia.org/wiki/Bell-LaPadula_modelhttp://en.wikipedia.org/wiki/Bell-LaPadula_modelhttp://en.wikipedia.org/wiki/Bell-LaPadula_model


27/125


Est basado en polticas de integridad Elementos de datos restringidos. sobre stos debe hacerse un chequeo de

consistencia.

Elementos de datos no restringidos. Procedimientos de transformacin.

trata los dos elementos. Procedimientos de verificacin de integridad.

Modelo de Clark Wilson (CW)

http://www.criptored.upm.es/guiateoria/gt_m248c.htm
http://www.criptored.upm.es/guiateoria/gt_m248c.htmhttp://www.criptored.upm.es/guiateoria/gt_m248c.htm


28/125


Se describe mediante grafos orientados:

el vrtice es un objeto o sujeto. un arco es un derecho.

Se ocupa slo de aquellos derechos que pueden sertransferidos.

Modelo de Take - Grant (TG)

http://www.criptored.upm.es/guiateoria/gt_m248b.htm
http://www.criptored.upm.es/guiateoria/gt_m248b.htmhttp://www.criptored.upm.es/guiateoria/gt_m248b.htm


29/125


Otros modelos:Documentos para lectura

Biba:http://www.criptored.upm.es/guiateoria/gt_m248a.htm

Harrison, Ruzzo y Ullman:

http://www.criptored.upm.es/guiateoria/gt_m248e.htmChinese Wall:

http://www.criptored.upm.es/guiateoria/gt

_m248d.htm Sea View: bases de datos -http://www.criptored.upm.es/guiateoria/gt

_m248f.htm
http://www.criptored.upm.es/guiateoria/gt_m248a.htmhttp://www.criptored.upm.es/guiateoria/gt_m248a.htmhttp://www.criptored.upm.es/guiateoria/gt_m248a.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248a.htmhttp://www.criptored.upm.es/guiateoria/gt_m248a.htm


30/125


Criterio de evaluacin TSEC Trusted Computer System Evaluation Criteria,tambin conocido como Libro naranja (Orange

Book). Criterio de evaluacin ITSEC

Information Technology Security Evaluation Criteria.

Criterio de evaluacin CC Common Criteria: incluye los dos anteriores. Normativa internacional 17799

Desarrolla un protocolo de condiciones mnimas deseguridad informtica de amplio espectro.

Criterios y normativas de seguridad

Encontrar una interesante lectura sobre aplicacin de criterios de seguridad en :

http://www.csi.map.es/csi/criterios/seguridad/index.html
http://www.csi.map.es/csi/criterios/seguridad/index.htmlhttp://www.csi.map.es/csi/criterios/seguridad/index.html


31/125


Cadena de responsabilidades

Responsable de Archivo: es la entidad, institucin o

persona jurdica que posee datos de carcterpersonal y que por tanto debe velar por laseguridad de ellos.

Responsable de Tratamiento: es posible que laentidad anterior sea quien manipule los datos(gestin, copias de seguridad, etc.) o bien estatarea la ejecute otra empresa. De ah que sediferencie entre estos dos responsables.

Responsable de Seguridad: persona o personas en

las que el responsable de archivo ha asignadoformalmente la funcin de coordinar y controlar lasmedidas de seguridad aplicables.


32/125


La norma ISO 17799 (27001)

Presenta normas, criterios y recomendaciones bsicas

para establecer polticas de seguridad. stas van desde los conceptos de seguridad fsica hasta

los de seguridad lgica. Parte de la norma elaborada por la BSI, British

Standards Institution, adoptada por InternationalStandards Organization ISO y la InternationalElectronic Commission IEC.

Documento de 70 pginas que NO es de libredistribucin.

http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=17799

Desde finales de 2005 estas normas se estn revisando ycambiando de numeracin a partir del nmero 27001.

P oblemtica q e atae a la
http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=17799http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=17799


33/125


Problemtica que atae a lanorma 17799

Cmo establecer qu entendemos porseguridad?Diferentes criterios de evaluacin de la

seguridad: internos a una organizacin,sectoriales, nacionales, internacionales...

Multitud de estndares aplicables a diferentesniveles:TCSEC (Trusted Computer Security, militar, US, 1985).ITSEC (Information Technology Security, europeo, 1991).Common Criteria (internacional, 1986-1988).*7799 (britnico + internacional, 2000)....

Actualmente, tras adoptar *7799 como estndarinternacional, es el ms extendido y aceptado.


34/125


Qu es ISO 17799?

ISO 17799 es una norma internacional que ofrece

recomendaciones para realizar la gestin de laseguridad de la informacin dirigidas a losresponsables de iniciar, implantar o mantener laseguridad de una organizacin.

ISO 17799 define la informacin como un activoque posee valor para la organizacin y requierepor tanto de una proteccin adecuada. El objetivode la seguridad de la informacin es protegeradecuadamente este activo para asegurar la

continuidad del negocio, minimizar los daos a laorganizacin y maximizar el retorno de lasinversiones y las oportunidades de negocio.


35/125


Qu es ISO 17799? (2)

Para ISO 17799, la Seguridad de laInformacin se define como la preservacinde: Confidencialidad. Aseguramiento de que la

informacin es accesible slo para aquellos

autorizados a tener acceso. Integridad. Garanta de la exactitud y

completitud de la informacin y de los mtodosde su procesamiento.

Disponibilidad. Aseguramiento de que losusuarios autorizados tienen acceso cuando lorequieran a la informacin y sus activosasociados.


36/125


Objetivode la norma ISO 17799

Su objetivo es proporcionar una basecomn para desarrollar normas de seguridaddentro de las organizaciones y ser unaprctica eficaz de la gestin de la seguridad.

La adaptacin espaola de la norma sedenomina UNE-ISO/IEC 17799.

Se trata de una norma NO CERTIFICABLE,pero que recoge la relacin de controles aaplicar (o al menos, a evaluar) paraestablecer un Sistema de Gestin de laSeguridad de la Informacin (SGSI)segn la norma UNE 71502, CERTIFICABLE.


37/125


Historia

En 1995 el British Standard Institute publica la norma BS

7799, un cdigo de buenas prcticas para la gestin de laseguridad de la informacin. En 1998, tambin el BSI publica la norma BS 7799-2,

especificaciones para los sistemas de gestin de la seguridadde la informacin; se revisa en 2002.

Tras una revisin de ambas partes de BS 7799 (1999), la

primera es adoptada como norma ISO en 2000 y denominadaISO/IEC 17799: Conjunto completo de controles que conforman las buenas

prcticas de seguridad de la informacin. Aplicable por toda organizacin, con independencia de su tamao. Flexible e independiente de cualquier solucin de seguridad

concreta: recomendaciones neutrales con respecto a la tecnologa. En 2002 la norma ISO se adopta como UNE sin apenas

modificacin (UNE 17799), y en 2004 se establece la normaUNE 71502, basada en BS7799-2 (no existe equivalente ISO).


38/125


Historia de la norma ISO 17799


39/125


Norma UNE-ISO/IEC 17799

La norma UNE-ISO/IEC 17799 define la seguridadde la informacin como la preservacin de...... su confidencialidad. Slo quienes estn autorizados pueden acceder a

la informacin.... su integridad. La informacin y sus mtodos de proceso son

exactos y completos.... su disponibilidad.

Los usuarios autorizados tienen acceso a lainformacin y a sus activos asociados cuando lorequieran.


40/125


Qu es gestionar?

Gestionar es llevar a cabo las diligenciasnecesarias para lograr un determinado fin. La gestin de la seguridad consiste en la

realizacin de las tareas necesarias para

garantizar los niveles de seguridad exigibles enuna organizacin.

Algunas consideraciones... Los problemas de seguridad no son nicamente

de ndole tecnolgica. Los riesgos no se eliminan... se gestionan. La seguridad no es un producto, es un proceso.

?


41/125


Por qu gestionar?

Garantizar la confidencialidad, integridad ydisponibilidad de sus activos es crtico paracualquier organizacin.

Las nuevas tecnologas introducen nuevas

amenazas. La dependencia creciente de los recursos deTI aumenta los impactos.

No siempre se pueden eliminar los riesgos.

... Es necesario gestionar la seguridad de la

informacin.

C i ?


42/125


Cmo gestionar?

PROBLEMA: Cmo establecer qu

entendemos por 'Seguridad'? Diferentes criterios de evaluacin de laseguridad: internos a una organizacin,sectoriales, nacionales, internacionales...

Multitud de estndares aplicables adiferentes niveles: TCSEC (Trusted Computer Security, militar, US,

1985). ITSEC (Information Technology Security,

europeo, 1991). Common Criteria (internacional, 1986-1988). *7799 (britnico + internacional, 2000).

E t t D i i d t l


43/125


Estructura: Dominios de control

La norma UNE-ISO/IEC 17799 establece diez dominios de

control que cubren por completo la Gestin de la Seguridadde la Informacin:1. Poltica de seguridad.2. Aspectos organizativos para la seguridad.3. Clasificacin y control de activos.4. Seguridad ligada al personal.

5. Seguridad fsica y del entorno.6. Gestin de comunicaciones y operaciones.7. Control de accesos.8. Desarrollo y mantenimiento de sistemas.9. Gestin de continuidad del negocio.10.Conformidad con la legislacin.

De estos diez dominios se derivan 36 objetivos de control(resultados que se esperan alcanzar mediante laimplementacin de controles) y 127 controles (prcticas,procedimientos o mecanismos que reducen el nivel de riesgo).

E t t D i i d t l


44/125


Estructura: Dominios de control

1 POLTICA DE SEGURIDAD


45/125


1. POLTICA DE SEGURIDAD

Dirigir y dar soporte a la gestin dela seguridad de la informacin.

La alta direccin debe definir una poltica querefleje las lneas directrices de la organizacin enmateria de seguridad, aprobarla y publicitarla de laforma adecuada a todo el personal implicado en laseguridad de la informacin.

La poltica se constituye en la base de todo el

sistema de seguridad de la informacin. La alta direccin debe apoyar visiblemente laseguridad de la informacin en la compaa.

2 ASPECTOS ORGANIZATIVOS


46/125


2. ASPECTOS ORGANIZATIVOSPARA LA SEGURIDAD Gestionar la seguridad de la informacin dentro de la

organizacin. Mantener la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin

que son accedidos por terceros. Mantener la seguridad de la informacin cuando la

responsabilidad de su tratamiento se ha externalizado a otra

organizacin. Debe disearse una estructura organizativa dentro de la

compaa que defina las responsabilidades que en materiade seguridad tiene cada usuario o rea de trabajo relacionadacon los sistemas de informacin de cualquier forma.

Dicha estructura debe poseer un enfoque multidisciplinar:los problemas de seguridad no son exclusivamente tcnicos.

3 CLASIFICACI N Y CONTROL DE


47/125


3. CLASIFICACI N Y CONTROL DEACTIVOS

Mantener una proteccin adecuada sobrelos activos de la organizacin. Asegurar un nivel de proteccin adecuado a

los activos de informacin.

Debe definirse una clasificacin de losactivos relacionados con los sistemas deinformacin, manteniendo un inventario

actualizado que registre estos datos, yproporcionando a cada activo el nivel deproteccin adecuado a su criticidad en laorganizacin.

4 SEGURIDAD LIGADA AL


48/125


4. SEGURIDAD LIGADA ALPERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de

las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgosen el mbito de la seguridad de la informacin, y que estnpreparados para sostener la poltica de seguridad de la organizacinen el curso normal de su trabajo.

Minimizar los daos provocados por incidencias de seguridad y por elmal funcionamiento, controlndolos y aprendiendo de ellos.

Las implicaciones del factor humano en la seguridad de lainformacin son muy elevadas. Todo el personal, tanto interno como externo a la organizacin,

debe conocer tanto las lneas generales de la poltica de seguridadcorporativa como las implicaciones de su trabajo en el mantenimientode la seguridad global.

Diferentes relaciones con los sistemas de informacin: operador,administrador, guardia de seguridad, personal de servicios, etc.

Procesos de notificacin de incidencias claros, giles y conocidospor todos.

5 SEGURIDAD F SICA Y DEL


49/125


5. SEGURIDAD F SICA Y DELENTORNO Evitar accesos no autorizados, daos e

interferencias contra los locales y la informacin dela organizacin. Evitar prdidas, daos o comprometer los activos

as como la interrupcin de las actividades de laorganizacin.

Prevenir las exposiciones a riesgo o robos deinformacin y de recursos de tratamiento deinformacin.

Las reas de trabajo de la organizacin y susactivos deben ser clasificadas y protegidas enfuncin de su criticidad, siempre de una formaadecuada y frente a cualquier riesgo factible dendole fsica (robo, inundacin, incendio...).

6 GESTIN DE COMUNICACIONES


50/125


6. GESTIN DE COMUNICACIONESY OPERACIONES

Asegurar la operacin correcta y segura de los recursos de

tratamiento de informacin. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y la disponibilidad de los servicios de

tratamiento de informacin y comunicacin. Asegurar la salvaguarda de la informacin en las redes y la

proteccin de su infraestructura de apoyo. Evitar daos a los activos e interrupciones de actividades de laorganizacin.

Prevenir la prdida, modificacin o mal uso de la informacinintercambiada entre organizaciones.

Se debe garantizar la seguridad de las comunicaciones y dela operacin de los sistemas crticos para el negocio.

7 CONTROL DE ACCESOS


51/125


7. CONTROL DE ACCESOS

Controlar los accesos a la informacin.

Evitar accesos no autorizados a los sistemas de informacin. Evitar el acceso de usuarios no autorizados. Proteccin de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la informacin contenida en

los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan

dispositivos de informtica mvil y teletrabajo.

Se deben establecer los controles de acceso adecuados

para proteger los sistemas de informacin crticos para elnegocio, a diferentes niveles: sistema operativo,aplicaciones, redes, etc.

8 DESARROLLO Y


52/125


8. DESARROLLO YMANTENIMIENTO DE SISTEMAS Asegurar que la seguridad est incluida dentro de los sistemas

de informacin. Evitar prdidas, modificaciones o mal uso de los datos deusuario en las aplicaciones.

Proteger la confidencialidad, autenticidad e integridad de lainformacin.

Asegurar que los proyectos de Tecnologa de la Informacin y

las actividades complementarias son llevadas a cabo de unaforma segura. Mantener la seguridad del software y la informacin de la

aplicacin del sistema.

Debe contemplarse la seguridad de la informacin en todas

las etapas del ciclo de vida del software en una organizacin:especificacin de requisitos, desarrollo, explotacin,mantenimiento...

9 GESTI N DE CONTINUIDAD


53/125


9. GESTI N DE CONTINUIDADDEL NEGOCIO

Reaccionar a la interrupcin de actividades del

negocio y proteger sus procesos crticos frentegrandes fallos o desastres. Todas las situaciones que puedan provocar la

interrupcin de las actividades del negocio debenser prevenidas y contrarrestadas mediante los

planes de contingencia adecuados. Los planes de contingencia deben ser probadosy revisados peridicamente.

Se deben definir equipos de recuperacin antecontingencias, en los que se identifiquenclaramente las funciones y responsabilidades decada miembro en caso de desastre.

10 CONFORMIDAD


54/125


10. CONFORMIDAD

Evitar el incumplimiento de cualquier ley, estatuto, regulacin u

obligacin contractual y de cualquier requerimiento deseguridad. Garantizar la alineacin de los sistemas con la poltica de

seguridad de la organizacin y con la normativa derivada de lamisma.

Maximizar la efectividad y minimizar la interferencia de o desde

el proceso de auditoria de sistemas.

Se debe identificar convenientemente la legislacin aplicablea los sistemas de informacin corporativos, integrndola en elsistema de seguridad de la informacin de la compaa y

garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutadoconvenientemente, para garantizar la deteccin dedesviaciones con respecto a la poltica de seguridad de lainformacin.

Auditora


55/125


Auditora

Somos seguros? Muy seguros?Poco seguros? Relativamenteseguros?...

Trabajo de auditora ISO 17799:valoracin del nivel de adecuacin,implantacin y gestin de cada control dela norma en la organizacin: Seguridad lgica.

Seguridad fsica. Seguridad organizativa. Seguridad legal.

Auditora (2)


56/125


Auditora (2)

Somos seguros? Muy seguros? Poco

seguros? Relativamente seguros?...

Referencia de la seguridad de la informacinestndar y aceptada internacionalmente.

Una vez conocemos el estado actual de laseguridad de la informacin en la organizacin,podemos planificar correctamente su mejora osu mantenimiento.

Una auditora ISO 17799 proporcionainformacin precisa acerca del nivel decumplimiento de la norma a diferentes niveles:global, por dominios, por objetivos y porcontroles.

Consultora


57/125


Consultora

Conociendo el nivel de cumplimiento actual,es posible determinar el nivel mnimoaceptable y el nivel objetivo en laorganizacin:

Nivel mnimo aceptable. Estado con lasmnimas garantas de seguridad necesariaspara trabajar con la informacincorporativa.

Nivel objetivo. Estado de seguridad dereferencia para la organizacin, con un altogrado de cumplimiento ISO 17799.

Consultora (2)


58/125


Consultora (2)

A partir del nivel mnimo aceptable y elnivel objetivo, podemos definir un plan detrabajo para alcanzar ambos a partir delestado actual.

Nivel mnimo aceptable. Implantacin delos controles tcnicos ms urgentes, amuy corto plazo.

Nivel objetivo. Se desarrolla en el tiempodentro del Plan Director de Seguridadcorporativo, y es el paso previo a lacertificacin UNE 71502.

Consultora (3)


59/125


Consultora (3)

Implantacin


60/125


Implantacin

ISO 17799 no es una norma tecnolgica. Ha sido redactada de forma flexible e independiente decualquier solucin de seguridad especfica. Proporciona buenas prcticas neutrales con respecto a la

tecnologa y a las soluciones disponibles en el mercado.

Estas caractersticas posibilitan su implantacin en

todo tipo de organizaciones, sin importar sutamao o sector de negocio, pero al mismo tiemposon un argumento para los detractores de lanorma.

Cmo traducir especificaciones de alto nivel asoluciones concretas, para poder implantar ISO17799? Trabajo de consultora, interna o externa.

Implantacin: Un ejemplo


61/125


Implantacin: Un ejemplo

Dominio de control: Gestin de comunicaciones y

operaciones Objetivo de control: proteger la integridad del softwarey de la informacin.

Control: Controles contra software malicioso.Se deberan implantar controles para detectar el

software malicioso y prevenirse contra l, junto aprocedimientos adecuados para concienciar a losusuarios.

Consultora Normativa de uso de software: definicin y

publicitacin en la Intranet. Filtrado de contenidos: X - Content Filtering v3.4. Antivirus de correo: Y Antivirus v2.0. Antivirus personal: Z - Antivirus v4.5.

Ventajas de la norma


62/125


Ventajas de la norma

La adopcin de la norma ISO 17799 proporciona

diferentes ventajas a cualquier organizacin: Aumento de la seguridad efectiva de los sistemas

de informacin. Correcta planificacin y gestin de la seguridad. Garantas de continuidad del negocio. Mejora continua a travs del proceso de auditora

interna. Incremento de los niveles de confianza de

nuestros clientes ypartners.

Aumento del valor comercial y mejora de laimagen de la organizacin. ... CERTIFICACIN! (UNE 71502)

Norma UNE 71502


63/125


Norma UNE 71502

Norma que contiene las especificacionespara los Sistemas de Gestin de laSeguridad de la Informacin (SGSI):Establecimiento

ImplantacinDocumentacinEvaluacin

Basada en los controles y objetivos de

control de la norma UNE-ISO/IEC 17799. Define la relacin de procedimientos para

establecer el SGSI: componente documentaldel sistema.

Norma UNE 71502 (2)


64/125


Norma UNE 71502 (2)

Sistema equivalente a otros sistemas degestin (ISO9000, ISO14000...) eintegrable con ellos.

Independiente del tipo, tamao o rea de

actividad de la organizacin. CERTIFICABLE. Limitaciones: no tiene equivalente ISO.

Actualmente se est estudiando la unificacininternacional de normas... a largo plazo.

Algo de resumen


65/125


Algo de resumen

ISO 17799 es una norma internacional que ofrece

recomendaciones para realizar la gestin de laseguridad de la informacin, adoptada en Chile comonorma NCh2777-2003.

La norma se estructura en diez dominios de controlque cubren por completo todos los aspectos relativos ala seguridad de la informacin.

Implantar ISO 17799 requiere de un trabajo deconsultora que adapte los requerimientos de la normaa las necesidades de cada organizacin concreta.

La adopcin de ISO 17799 presenta diferentesventajas para la organizacin, entre ellas el primer

paso para la certificacin segn UNE 71502. Ni la adopcin de ISO 17799, ni la certificacinUNE 71502, ni... garantizan la inmunidad de laorganizacin frente a problemas de seguridad.

Gestin de la seguridad: SGSI


66/125


Gestin de la seguridad: SGSI

Sistema de Gestin de la Seguridad dela Informacin (SGSI):

Sistema de gestin que comprende lapoltica, la estructura organizativa, losprocedimientos, los procesos y los recursos

necesarios para implantar la gestin de laseguridad de la informacin. Cubre aspectos organizativos, lgicos,

fsicos, legales...

Independiente de plataformas tecnolgicas ymecanismos concretos. Aplicacin en todo tipo de organizaciones.

Fuerte contenido documental.

Gestin de la seguridad:


67/125


Gestin de la seguridad:estructura

Modelo de Gestin de la


68/125


ode o de Gest de aseguridad:

Modelo PDCA (Plan Do Check Act): Planificar, Hacer, Verificary Actuar.

Planificar


69/125


Planificar

Tres preguntas clave: Cul es el estado actual de nuestra seguridad? Cul es el estado al que queremos llegar? Cmo queremos llegar a ese estado objetivo?

Las respuestas a estas preguntas permiten

definir el plan de actuacin para conseguirlos objetivos deseados. Piezas clave de esta fase:

Poltica de seguridad. Anlisis de riesgos. Seleccin de controles.

Aspecto crtico: implicacin del ms altonivel directivo.

Hacer


70/125


Hacer

Dos grandes reas: implantacin delSGSI y explotacin del mismo.

Implantacin del SGSI: ejecucin delplan definido en la fase anterior.

Implantacin de controles (tanto tcnicoscomo no tcnicos).Control de controles: eficacia.

Explotacin del SGSI:Operacin de los sistemas implantados.Respuesta ante incidentes.

Verificar


71/125


Verificar

Es necesario verificar la conveniencia, adecuacin

y eficacia del SGSI en la organizacin. Indicadores de rendimiento: valores objetivos

(Mucho?, Poco?, A veces?, Demasiado?...). Eficacia: El SGSI cumple los objetivos de direccin. Eficiencia: Lo hace con coste mnimo.

Fase de auditora del SGSI: Se ajusta a lo deseado? Ha sido implantado y se mantiene y ejecuta

correctamente?

Existen nuevos riesgos? Hay cambios que puedan afectar al SGSI?

Actuar


72/125


Actuar

La organizacin debe mejorar de manera

continua la eficacia del SGSI: Revisin de objetivos de seguridad. Indicadores de eficacia de los procesos. Auditora peridica y revisiones de seguridad. ...

Es necesario tomar acciones correctivaspara eliminar la causa de las noconformidades en la implantacin,operacin y uso del SGSI.

Es necesario determinar accionespreventivas para eliminar la causa de noconformidades potenciales, previniendo suocurrencia.

Actualizacin ISO 17799 - 2005


73/125


Actualizacin ISO 17799 2005

La nueva ISO/IEC 17799-2005 (15 de junio de 2005) esresultado del trabajo del grupo de trabajo 1 (WG1) delsubcomit 27 (SC27) del comit tcnico unificado (JCT) de laorganizacin internacional para la estandarizacin (ISO) y lacomisin electrotcnica internacional (IEC)

Este grupo est desarrollando una familia de estndaresinformacionales para Sistemas de Gestin de la Seguridad de

la informacin (ISMS) que incluye requerimientos de sistemasde gestin de informacin, gestin del riesgo, mtricas ymedidas, guias de implantacin, vocabulario y mejoracontinua.

Esta familia se agrupar bajo ISO/IEC 27000 As mismo, ISO 17799-2005 ser renombrada como ISO

27002. El primer componente de esta familia ISO 27000, es la normaISO 27001, equivalente a la BS 7799 Parte 2.

Relacin con otras normas


74/125


Relacin con otras normas

NCh2777.Of2003 Tecnologa de la informacin Cdigo de prctica para la

gestin de seguridad de la informacin. Homologacin nacional de ISO/IEC 17799-2000

UNE En 2004 se establece UNE 71502, basada en BS7799-2

BS 7799 Parte 1: equivalente a ISO 17799-2000 Parte 2: Establece requerimientos para un ISMS y permite

certificacin.

ISO 27002 Nueva denominacin de la norma ISO 17799-2005

Cambios introducidos por ISO/IEC17799 2005(E)


75/125


p /17799:2005(E)

Definiciones y trminos Controles esenciales Factores crticos de xito

Estructura de la norma Contenidos de los controles

La nueva versin introduce 11 reasde Control, 39 Objetivos de Control y133 Controles Especficos.

Novedades de 17799-2005


76/125


Novedades de 17799 2005

Seguridad en los servicios externos youtsourcing

Gestin de vulnerabilidades tecnolgicas Foco en la gestin de incidentes Comunicaciones mviles, remotas y

distribuidas en el tratamiento de lainformacin Clarificacin en la evaluacin y tratamiento

del riesgo

Nuevos controles en gestin del personal Nuevos controles en relacin con clientes y

entrega de servicios

Clusulas de control en la normaISO 17799 2005


77/125


ISO 17799 - 2005

1. Poltica de seguridad

2. Organizacin de la seguridad de la informacin3. Gestin de activos4. Seguridad de los recursos humanos5. Seguridad fsica y ambiental

6. Gestin de comunicaciones y operaciones7. Control de acceso8. Adquisicin, desarrollo y mantenimiento de los

sistemas de informacin

9. Gestin de incidentes de seguridad de lainformacin

10. Gestin de la continuidad del negocio11. Cumplimiento

Algunos de los nuevos controles


78/125


g

Enfrentando la seguridad cuando se trata con

clientes (6.2.2) Propiedad de los bienes (7.1.2) Uso aceptable de los bienes (7.1.3) Responsabilidad e la administracin Durante el

empleo (8.2.1) Responsabilidad por la desvinculacin (8.3.1) Reintegro de bienes (8.3.2) Eliminacin de derechos de acceso (8.3.3)

Proteccin contra amenazas externas yambientales (9.1.4) Entrega de servicios de terceras partes- (10.2.1)

Nuevos controles (2)


79/125


( )

Monitoreo y revisin de los servicios de terceras

partes (10.2.2) Gestin de cambios en el servicio de terceras

partes (10.2.3) Controles contra cdigo mvil (10.4.2)

Poltica y Procedimientos de intercambio deinformacin (10.8.1) Transacciones en lnea (10.9.2) Registros de auditora (10.10.1)

Proteccin de la informacin de LOGs (10.10.4) Control de vulnerabilidades tcnicas (10.6.1)

Comentarios


80/125


Debemos prepararnos para la

estandarizacin de mtricas y mediciones deseguridad informtica. Debern modificarse las normas nacionales

homologadas.

Se deben re-evaluar los riesgos paraidentificar y desarrollar la implementacin delos nuevos controles.

Asegurarse que los requerimientos deseguridad estn alineados con los delnegocio.

Evaluacin y tratamiento delriesgo


81/125


riesgo

Destaca la importancia de desarrollaruna evaluacin de riesgo en ladeterminacin de los controlesapropiados.

Muestra la necesidad de un procesosistemtico de evaluacin ytratamiento del riesgo.

Destaca la importancia de involucrar ala administracin en eldireccionamiento adecuado del riesgo.

Certificacin


82/125


Una entidad independiente y competente afirma

que un sistema es correcto y compromete en ellosu palabra... por escrito. Garanta de 'calidad de la seguridad'. Aporta beneficios para...

... la propia organizacin. ... los inversores. ... los clientes. ... los empleados.

Adaptarse a la norma no garantiza la inmunidad

total de la organizacin frente a problemas deseguridad, pero reduce el riesgo y los costesasociados a tales problemas.

Certificacin: proceso


83/125


p

El proceso general de certificacin consta

de dos grandes etapas: consultora yauditora. En la primera de ellas, un equipo de

consultores con experiencia en la norma

ayuda a la organizacin a cumplir losrequisitos de certificacin: poltica deseguridad, procedimientos, controles...

Cuando la organizacin asesorada por losconsultores considera que cumple los

requisitos de la norma, solicita lacertificacin a un organismo acreditado,que ser el encargado de realizar laauditora.

Certificacin: proceso (2)


84/125


p ( )

El proceso de auditora consta a su vez de

dos fases: una documental, en la que serevisan los procesos y procedimientos degestin de la seguridad, y otra de revisinde la implantacin de los controles

seleccionados. La credibilidad y garantas de la certificacinestn sujetas a la confianza depositada enla entidad que certifica.

La certificacin no debe ser un OBJETIVO deseguridad, sino un RECONOCIMIENTO altrabajo bien hecho.

NCh2777-2003
http://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdf


85/125


Establece las recomendaciones para la gestin de

seguridad de informacin por quienes sonresponsables de iniciar, implementar y mantener laseguridad en la organizacin.

Entrega una base comn para desarrollar lasnormas de seguridad de la organizacin y una

prctica efectiva de gestin de seguridad yestablecer confianza en las relaciones entre lasorganizaciones.

Las recomendaciones de esta norma se debenseleccionar y usar de acuerdo con las leyes yreglamentos aplicables.

Lala: http://www.pumarino.cl/doc/leyes/NCh2777-2003.pdf

Planes de contingencia
http://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdf


86/125


Planes de contingencia

Un Plan de Contingencia consiste en un estudio y

anlisis pormenorizado de las reas que componen laorganizacin y que nos servir para establecer unapoltica de recuperacin ante un desastre. Es un conjunto de datos estratgicos de la empresa

y que se plasma en un documento con el fin deprotegerse ante eventualidades.

Adems de aumentar su seguridad, con un planestratgico la empresa tambin gana en el

conocimiento de sus fortalezas y sus debilidades. Pero si no lo hace, se expone a sufrir una prdidairreparable mucho ms costosa que laimplantacin de este plan.

Acciones a realizar en un SGSI


87/125


El Plan de Contingencia ser una herramienta imprescindible

en un Sistema de Gestin de la Seguridad Informtica(SGSI). Sus acciones estn fundamentadas por el modeloPDCA (Plan - Do - Check - Act):

Planificar:estudiar la implantacin de la poltica de seguridadadoptada, alcances que tendr la gestin, anlisis de riesgos que seharn, establecimiento de controles que activaremos, etc.

Hacer:implantar el sistema de gestin, poner y activar loscontroles, registros e indicadores. Toma de datos del estado de laseguridad.

Verificar:realizar una auditoria interna para comprobar el grado decumplimiento de nuestro sistema.

Actuar:realizar el seguimiento de la gestin y tomar las medidascorrectivas as como las acciones preventivas correspondientes.

Se cierra el ciclo ajustando las acciones planificadas si fuera el caso:

Recordemos el Ciclo PDCA:


88/125


Poltica y Alcance del sistemaAnlisis de riesgos

Seleccin de controles

Acciones correctivasAcciones preventivasModificacin Plan

Implantacin del SGSIImplantacin controlesImplantacin indicadores

Auditoria internaNo conformidades

Grado de cumplimiento

Plan

Do

Check

Act

Desastres naturales y su prevencin


89/125


Desastres naturales Huracn Tormenta Inundacin Tornado Vendaval Incendio Terremoto Otros

Medidas prevencin Emplazamientos

adecuados Proteccin fachadas,

ventanas, puertas

Vandalismo informtico y su prevencin


90/125


Terrorismo Sabotaje Robo Virus Chantaje

informtico Programas

malignos

Medidas de prevencin

Fortificacin de entradas Guardias de seguridad Patrullas de seguridad Circuito cerrado TV Control fsico de accesos

Proteccin de software yhardware con antivirus,cortafuegos, deteccin deintrusos, etc.

Seguimiento de las polticas de

seguridad de la empresa.

Amenazas del agua y su prevencin


91/125


Amenazas Inundaciones por

causas propias dela empresa

Inundaciones por

causas ajenas Pequeos

incidentespersonales (la tpicabotella de agua otaza con caf quese cae sobre elteclado...)

Medidas prevencin Revisar conductos de

agua Emplazar la sala con

los equipos ms

caros en un sitio librede estos problemas Instalar sistemas de

drenaje deemergencia

Concienciar anuestros empleados

Amenazas del fuego y su prevencin


92/125


Amenazas Una mala instalacin

elctrica descuidos personales

como puede ser fumar

en sala decomputadores Papeleras mal

ubicadas en la que setira un cigarrillo no

apagado Vulnerabilidades del

sistema ante el humo

Medidas prevencin Detector humo y

calor Materiales ignfugos

Almacn de papelseparado demquinas

Estado del falsosuelo

Extintores revisados

Es la amenaza ms temida por su rpido poder destructor.

Qu sucede si se produceun desastre?


93/125


Las empresas dependen hoy en da de los

equipos informticos y de todos los datosque hay all almacenados (nminas, clientes,facturas, ...).

Dependen tambin cada vez ms de las

comunicaciones a travs de las redes dedatos. Si falla el sistema informtico y ste no

puede recuperarse, la empresa puede

desaparecer porque no tiene tiempo de salirnuevamente al mercado con ciertasexpectativas de xito, aunque conserve atodo su personal.

un desastre?

Tiempos de recuperacin


94/125


Segn diversos estudios el perodo mximo deinactividad que puede soportar una empresa sinponer en peligro su supervivencia es de:

Sector seguros: 5,6 das Sector fabricacin: 4,9 das

Sector industrial: 4,8 das Sector distribucin: 3,3 das Sector financiero: 2,0 das

Si nos dicen que nuestro banco tiene problemas de

seguridad y no podemos mover nuestras cuentas, loms seguro es que cambiemos de banco al da

siguiente.

Prdidas por no contar con plan estratgico:


95/125


Prdida de clientes. Prdida de imagen. Prdida de ingresos por beneficios.

Prdida de ingresos por ventas ycobros. Prdida de ingresos por produccin.

Prdida de competitividad en elmercado. Prdida de credibilidad en el sector.

Medidas bsicas ante un desastre


96/125


Plan de emergenciaVidas, heridos, activos, evacuacin

personal. Inventariar recursos siniestrados.

Evaluar el coste de la inactividad.

Plan de recuperacinAcciones tendentes a volver a la situacin

que exista antes del desastre.

http://recovery-disaster.info/index.htm

Alternativas del plan de continuidad
http://recovery-disaster.info/index.htmhttp://recovery-disaster.info/index.htmhttp://recovery-disaster.info/index.htmhttp://recovery-disaster.info/index.htm


97/125


Instalaciones alternativas Oficina de servicios propia Acuerdo con empresa vendedora de HW y SW Acuerdo recproco entre dos o ms empresas Arranque en fro: sala vaca propia Arranque en caliente: centro equipado Sistema Up Start: caravana, unidad mvil Sistema Hot Start: centro gemelo

Algunas soluciones pueden resultar de muy alto costo.

Su eleccin depender entonces de las caractersticas denuestra empresa y qu tan crtico debe ser ese plan decontinuidad acorde con ello.

Estos tpicos se profundizan en la Unidad 2.

HERRAMIENTAS LEGALES EN CHILE


98/125


Ley 19.223, Delitos Informticos

Ley 17.336, Propiedad Intelectual

Ley 19.628, Proteccin Datos Personales

Ley 19.799, Firma Electrnica

Ley 18.168, General de Telecomunicaciones

Cdigo Penal

Cdigo de Procedimiento Penal

Cdigo Procesal Penal

CLASIFICACIN BSICA DE DELITOS


99/125


DELITOS INFORMTICOS PROPIAMENTETAL.

OTROS DELITOS EN LOS HE SE HACENECESARIA LA PARTICIPACIN DE LABRIGADA INVESTIGADORA DEL CIBERCRIMEN.

LEGISLACINSOBRE DELITOSINFORMATICOS CHILE


100/125


INFORMATICOS CHILELEY RELATIVA A DELITOS INFORMATICOS

Ley No.:19223Artculo 1.- El que maliciosamente destruya o inutilice un sistema de tratamiento de

informacin o sus partes o componentes, o impida, obstaculice o modifique sufuncionamiento, sufrir la pena de presidio menor en su grado medio a mximo.Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema,se aplicar la pena sealada en el inciso anterior, en su grado mximo.

Artculo 2.- El que con el nimo de apoderarse, usar o conocer indebidamente de lainformacin contenida en un sistema de tratamiento de la misma, lo intercepte, interfierao acceda a l, ser castigado con presidio menor en su grado mnimo a medio.

Artculo 3.- El que maliciosamente altere, dae o destruya los datos contenidos en unsistema de tratamiento de informacin, ser castigado con presidio menor en su gradomedio.

Artculo 4.- El que maliciosamente revele o difunda los datos contenidos en un sistema deinformacin, sufrir la pena de presidio menor en su grado medio. Si quien incurre enestas conductas es el responsable del sistema de informacin, la pena se aumentar enun grado.".

Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promlguese y llvese aefecto como Ley de la Repblica.

Santiago, 28 de Mayo de 1993.- ENRIQUE KRAUSS RUSQUE, Vicepresidente de laRepblica.- Francisco Cumplido Cereceda, Ministro de Justicia.

http://delitosinformaticos.com/legislacion/chile.shtml

DELITOS INFORMTICOS
http://delitosinformaticos.com/legislacion/chile.shtmlhttp://delitosinformaticos.com/legislacion/chile.shtml


101/125


SABOTAJE INFORMTICO :

Destruccin o alteracin de un STI.

Destruccin o dao de la informacin contenida en un STI.

Alteracin de la informacin contenida en un STI.

Responsabilidad : Ley 19.223, Art. 1 y 3

Art. 1 : Destruya o inutilice un STI o sus partes ocomponentes u obstaculice o modifique su funcionamiento.

Presidio menor en grado medio a mximo.

Art. 3 : Altere, dae o destruya datos contenidos en un STI.Presidio menor en grado medio.

DELITOS INFORMTICOS


102/125


ESPIONAJE INFORMTICO :

Intrusin ilegtima o acceso indebido.

Divulgacin indebida o revelacin de datos.

Responsabilidad :

Ley 19.223, Art. 2 y 4 Art. 2 : nimo de apoderarse, usar o conocer indebidamente

la informacin contenida en un STI. Intercepte, interfiera oacceda a l. Presidio menor en un grado mnimo a medio.

Art. 4 : Maliciosamente revele o difunda datos contenidos enun STI. Presidio menor en grado medio. Responsable delSTI, aumenta en un grado.

OTROS DELITOS


103/125


Informtica, ley 19.223.

1.-Destruya o inutilice un STI o sus partes ocomponentes, o impida, obstaculice o modifique sufuncionamiento.2.- El que con el nimo de apoderarse, usar o conocer,indebidamente de la informacin contenida en un STI, lointercepte, interfiera o acceda a l.3.- El que maliciosamente altere, dae o destruya losdatos contenidos en un STI.4.- El que maliciosamente revele o difunda los datoscontenidos en un STI.

Que castiga

Pornografa infantil, Ley 19.927.

1.-Produccin de material pornogrfico.2.-Comercializacin, importacin, exportacin, distribucin,difusin, exhibicin, adquisicin o almacenamiento.

OTROS DELITOS


104/125


Propiedad Intelectual, ley 17.336.1.-Piratera

Amenazas. Homicidios.

Que castiga

Fraudes financieros.

OTROS DELITOS


105/125


Trfico y venta de drogas.Evasin de impuestos.

Suicidios.Robo de especies (computadores).

Decreto 83
http://sdi.bcn.cl/boletin/publicadores/normas_publicadas/archivos/83.pdf/http://sdi.bcn.cl/boletin/publicadores/normas_publicadas/archivos/83.pdf/


106/125


NORMA TECNICA PARA LOS ORGANOS

DE LA ADMINISTRACION DEL ESTADOSOBRE SEGURIDAD YCONFIDENCIALIDAD DE LOS

DOCUMENTOS ELECTRONICOS.

Gobierno aplica normas anti SPAM
http://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.html


107/125


El 28 de julio de 2006 entr en vigencia el DecretoSupremo N 93sobre regulacin del SPAM,estableciendo una serie de normas tcnicas paraminimizar la recepcin de mensajes electrnicosmasivos no deseados en las casillas electrnicas delos rganos de la Administracin del Estado y desus funcionarios.

Con esta regulacin, el Gobierno establece unadecidida lucha contra el SPAM, cuyos efectos sonconocidos: estos mensajes recarganinnecesariamente los sistemas informticosinstitucionales, pueden ser causa de virus, cdigos

malignos y, en general, de cualquier tipo deinformacin que puede poner en peligro laintegridad y de la documentacin electrnica deGobierno.

Decreto Supremo N 93(2)
http://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.html


108/125


El Decreto establece las condiciones mnimas quedeben cumplir las instituciones para elprocesamiento y manejo de los mensajeselectrnicos.

Entre otras disposiciones, indica que los organismosdebern contar con los sistemas informticosadecuados para filtrar los mensajes electrnicos

entrantes a sus servidores de correo y realizarrevisiones y monitoreos peridicos de las redes decomunicacin.

Junto con lo anterior, cada organismo deberinstruir a sus funcionarios respecto del correcto uso

de la casilla de correo institucional que se lesasigna, quedando expresamente prohibido utilizarlapara fines personales o distintos de los relacionadoscon las competencias propias de la institucin.

Decreto Supremo N 93(3)
http://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.html


109/125


Para apoyar a las instituciones en la adopcin y ejecucin deesta normativa, el Ministerio del Interior elaborar una "Gua

Modelo de Proteccin de Casillas Electrnicas", quecontendr detalles tcnicos y recomendaciones. El documentoestar a disposicin de los organismos en un plazo de 120das a contar de la publicacin del Decreto en el Diario Oficial.

El Decreto Supremo N 93 se dict en el marco de la polticanacional de Gobierno Electrnico, para mejorar los servicios einformacin ofrecidos a los ciudadanos, aumentar la eficienciay la eficacia de la gestin pblica, e incrementarsustantivamente la transparencia del sector pblico y laparticipacin de los ciudadanos.

Ver Decreto Supremo N 93

REQUERIMIENTOS PARA INVESTIGACIN DELCRIMEN INFORMTICO
http://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.html


110/125


Personal calificado.

Infraestructura adecuada.

Herramientas de software.

Herramientas de hardware.

Medios de acceso. Disponibilidad tcnica de los registros de auditoria.

Facultades legales.

Herramientas legales.

Coordinacin con fuentes de informacin (ISPs yotras empresas)

CRIMEN INFORMTICO

Conclusiones


111/125


Los problemas de seguridad no son

necesariamente tcnicos. La seguridad no es un producto, es unproceso.

Debemos gestionar nuestra seguridad.

Un sistema de gestin debe contemplar lamejora continua del sistema: todoevoluciona, especialmente la (in)seguridad.

La certificacin de seguridad es

beneficiosa, pero ni garantiza inmunidad nidebe ser un objetivo.

La seguridad total no existe!

Recordar lo ms importante:


112/125


Ningn sistema de control resultaefectivo hasta que debemos utilizarloal surgir la necesidad de aplicarlo.

Junto con la concienciacin de losusuarios, ste ser uno de los grandes

problemas de la Gestin de laSeguridad Informtica.

Sistemas de Almacenamiento yComunicacin de Imgenes (PACS)


113/125


Comunicacin de Imgenes (PACS)

ESTACIN DEADQUISICIN

ULTRASONIDO / RAYOS X

SCANNER



TOMOGRAFA AXIALRESONANCIA MAGNTICAMEDICINA NUCLEAR, ETC.

IMAGEN

IMAGEN

IMAGEN

ESTACIN DECONSULTA LOCAL

MODEM

MODEMSERVIDORREMOTO

ESTACIN DECONSULTA REMOTA

SERVIDOR

ARCHIVO HISTRICO

Tipos de estaciones de trabajo:1. Estacin de Adquisicin

2. Estacin de Consulta3. Servidor

Es mas seguro ahora?

Preguntas y ejercicios (1 de 2)


114/125


1. Qu es y qu significa hacer un anlisis de riesgos?

2. Explique el sentido de las ecuaciones B > P

L y B

P

L.3. Tras un estudio, obtenemos B > PL, podemos estartotalmente tranquilos al no utilizar medida alguna deprevencin?

4. Explique qu significan los factores L y P en la ecuacin B >

PL.5. Cules son los pasos a seguir en un anlisis de riesgo deacuerdo a los factores de la ecuacin de B > PL?

6. En algunos sistemas de gestin de informacin a vecesprima ms el elemento confidencialidad, en cambio en otros

ms el de integridad. D algunos ejemplos en que puedacumplirse al menos en parte este escenario. Qu opinarespecto a una transaccin electrnica?

7. Comente el modelo de seguridad de Bell Lapadula. Por quse le llama el modelo de la tranquilidad?

Preguntas y ejercicios (2 de 2)


115/125


8. Ud. es el responsable de seguridad y detecta que un empleadoest robando informacin confidencial, cmo reaccionara?

9. Cules pueden ser las prdidas en una empresa si no se cuentacon un adecuado Plan de Contingencia y sucede un desastre?

10.Qu es un Plan de Contingencia y por qu es importante?11.Nuestra empresa est a medias entre el rubro distribucin y el

de las finanzas. Resulta estratgico tener aqu un Plan deContingencia?12.Qu soluciones tenemos para que un banco no se vea afectado

por un desastre y pueda seguir trabajando con sus clientes conun tiempo de recuperacin bajo o mnimo? Cmo sera su

coste?13.Se pueden prever situaciones extremas como lo acontecidocon las torres gemelas? En que tipo de empresas oinstituciones no deben descartarse estos extremos? En unaempresa que vende automviles?

INFORMACION DE NORMAS


116/125


OFICIALES CHILENAS NCh2777-2003Tecnologa de la informacin - Cdigo de

prctica para la gestin de seguridad de lainformacin

Tecnologa de la informacin - Seguridad yconfidencialidad de los documentos electrnicos

ISO/IEC ISO/IEC 27001:2005: Information technology --

Security techniques -- Information securitymanagement systems Requirements

Bibliografa
http://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2777.Of2003http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2777.Of2003http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2777.Of2003http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2777.Of2003http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.inn.cl/busquedas/busqueda/detalle_de

Documents

ACI - 425 Clase_01d Planificación, Normativas y Delitos Informáticos