miércoles, 7 de marzo de 2012


Las 10 Leyes Inmutables de la Seguridad
La gente del área de seguridad en Microsoft tiene un decálogo que llaman: las 10 leyes inmutables de la seguridad, que es el resultado de años de atención a sus clientes con todo tipo de problemáticas. Si bien el adjetivo “inmutables” suena pretencioso, pues nada es definitivo cuando se habla de seguridad informática, estos diez puntos son una guía estupenda para ser más conscientes al respecto. Mi recomendación es que los imprimas –en papel reciclando, por supuesto– y los pegues al lado de tu computadora para darles un repaso de cuando en cuando, como un pequeño Zen; tal vez un día te conviertas en un experto –un buen hacker, por qué no– que cree su propio decálogo y lo comparta con los demás. Sin más preámbulo, aquí los tienes:
Ley #1. Si un maloso puede persuadirte de ejecutar su programa en tu computadora, ya no es más tu computadora.
Ley #2. Si un maloso puede alterar el sistema operativo de tu computadora, ya no es más tu computadora.
Ley #3. Si un maloso tienes acceso físico sin restricciones a tu computadora, ya no es más tu computadora.
Ley #4. Si permites que un maloso suba programas a tu sitio web, ya no es más tu sitio web.
Ley #5. Las contraseñas débiles triunfan sobre la seguridad fuerte.
Ley #6. Una computadora es tan segura como digno de confianza sea su administrador.
Ley #7. Los datos cifrados son tan seguros como la llave que los descifra.
Ley #8. Un antivirus desactualizado es apenas mejor que no tener antivirus.
Ley #9. El anonimato absoluto no existe, ni en la vida real ni en la red.
Ley #10. La tecnología no es la solución a todas las cosas.

Conceptos Básicos de Seguridad
Seguridad: Sector de la informática cuya función es establecer medidas de protección y/o seguridad para garantizar el correcto funcionamiento de un sistema informático.
Whackers: expertos especializados. Se mueven por dinero y fama. Provocan daños al sistema.
Crackers: expertos especializados. Se mueven por fama y satisfacción personal. Causan daño.
Crashers: Inhabilitan el sistema, tienen conocimientos informáticos, les mueve el dinero o el aprendizaje. Causan daño.
Lamer: Conocimientos informáticos nulos. Sus intereses son la fama, la experiencia y la satisfación personal. Causan daños.
Phreakers: tienen amplios conocimientos informáticos y se mueven por dinero.
Script kiddies: Muy similares a los lamer.
Newbies: Tienen conocimientos informáticos básicos. Su motivación es aprender. No causan daño.
Cifrado. Evita que la información viaje sin protección (en texto plano) a través de la red.
El software anti-malware. Programa que detecta, bloquea y elimina programas maliciosos para la seguridad del sistema.
Los cortafuegos. Sirve para bloquear el trafico entrante en la red que pueda ser peligroso.   
Spoofing. Hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
Pishing. Es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Troyano: se caracteriza por engañar a los usuarios disfrazándose de programas o archivos legítimos/benignos
Virus: es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.
Worms: Estos malwares son tan dañinos que son capaces de hacer caer cientos de páginas Web y servidores Web muy potentes.
Vulnerabilidad: Probabilidad de que una amenaza se materialice contra un activo.

Las medidas de seguridad en la protección de datos de carácter personal.

Todas las empresas, independientemente de su tamaño, organización y volumen de negocio, son conscientes de la importancia de tener implantadas una serie de políticas de Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por parte de terceros, pérdidas accidentales o desastres que afecten a los datos e informaciones que son almacenados y tratados, ya sea a través de sistemas informáticos como en otro tipo de soportes, como el papel.
MEDIDAS DE SEGURIDAD BÁSICO MEDIO ALTO
Identificación y Autenticación:
1.- Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de información (art.11.1 y 12.3).
2.- Procedimientos de identificación y autenticación informáticos:
a) Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico (art.11.2 y 11.3).
b) Identificación de usuario, de manera inequívoca y personalizada (art.18.1).
c) Limitación de acceso incorrecto reiterado (art.18.2).
Control de Acceso:

1.- Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento (art.12.1).
2.- Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario (art.12.2).
3.- Control de acceso físico a servidores y CPD (art.19).
4.- De cada acceso se guardarán: identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación, guardando la información que permita identificar registro accedido (art.24.2).
5.- Los mecanismos de acceso estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación (art.24.3).
6.- Registro y conservación de accesos lógicos al fichero por un plazo no inferior a 2 años (art.24.4).
7.- Para accesos a través de redes de telecomunicaciones, deberán tener las mismas medidas que para accesos en modo local (art.5).
Funciones y obligaciones del personal:

1.- Definición en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles (art.9.1).
2.- Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables (art.9.2).
3.- Identificación y funciones del/los Responsables de Seguridad (art.15 y 16).
4.- Trabajo fuera de ubicación principal debe ser expresamente autorizado (art.6).
5.- Listado de personal con acceso a Servidores y/o CPD (art.19).
6.- Listado de personal con privilegios administrativos informáticos sobre aplicaciones y ficheros (art.12.4).
Estructura de los Ficheros y del Sistema Informático:

1.- Descripción y estructura informática del Fichero (campos ID)
2.- Descripción y estructura del Sistema Informático (enumeración de equipos, redes, programas, etc...)
Gestión de Soportes:

1.- Identificación, inventariado y almacenamiento (art.13.1).
2.- Autorización necesaria para salida de soportes (art.13.2).
3.- Cifrado de soportes en caso de operaciones externas de mantenimiento (art.20.4).
4.- Medidas y procedimientos para la destrucción de soportes (art.20.3).
5.- Registro de Entrada de Soportes (art.20.1).
6.- Registro de Salida de Soportes (art.20.2).
7.- Distribución de soportes con mecanismos de cifrado de datos (art.26).
Ficheros Temporales:

Aplicación de mismo nivel de seguridad que fichero origen (art.7).
Registro de Incidencias:

1.- Contenido mínimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas (art.10).
2.- Contenido adicional: Procedimiento de restauración de datos, datos restaurados y datos grabados manualmente (art.21.1)
Procedimientos de Copias de Respaldo y Recuperación datos:

1.- Deberán garantizar la restauración de los datos al momento anterior a producirse la pérdida (art.14.2).
2.- Realización de copias de backup al menos con una frecuencia semanal (art.14.3).
3.- Necesaria autorización para la ejecución de procedimientos de restauración de datos (art.21.2).
4.- Almacenamiento externo de copias y procedimientos de restauración de datos (art.25).
Pruebas con datos reales:

Aplicación de mismas medidas según nivel de seguridad de los datos (art.22).
Actualización y Auditoria:

1.- Revisión y actualización del Documento de Seguridad en función de cambios relevantes en la Organización (art.8.3).
2.- Auditoria cada 2 años. Conservación de Informe a disposición AEPD (art.17).
3.- Revisión periódica de la información de control de los accesos informáticos a ficheros y aplicaciones (art.24.5).
Medidas específicas para datos en soporte papel:

1.- Control de acceso a la documentación.
2.- Medidas de conservación y almacenamiento.
3.- Procedimientos y mecanismos de destrucción que impidan posterior recuperación de la información que contienen.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)