PC1 CURSO: SEGURIDAD INFORMATICA 1.-Explique con un ejemplo de cada uno la confidencialidad, integridad y disponibilidad de la información. La confidencialidad, integridad y disponibilidad, conocidas como la tríada CID, es una guía para la seguridad informática de una organización. La confidencialidad garantiza la privacidad de los datos mediante la restricción del acceso con el cifrado de la autenticación. La integridad garantiza que la información sea precisa y confiable. La disponibilidad garantiza que la información esté disponible a las personas autorizadas. Confidencialidad Otro término para la confidencialidad sería privacidad. Las políticas de la empresa deben restringir el acceso a la información al personal autorizado y garantizar que solo las personas autorizadas verán estos datos. Los datos se pueden dividir en secciones según el nivel de seguridad o sensibilidad de la información. Por ejemplo, un desarrollador de aplicaciones no debe tener acceso a la información personal de todos los empleados. Además, los empleados deben recibir capacitación para comprender las mejores prácticas para resguardar datos confidenciales, para protegerse y proteger a la empresa contra ataques. Entre los métodos para garantizar la confidencialidad se incluyen el cifrado de datos, nombre de usuario y contraseña, la autenticación de dos factores y la minimización de la exposición de la información confidencial. Integridad La integridad es precisión, consistencia y confiabilidad de los datos durante su ciclo de vida. Los datos deben permanecer inalterados durante la transferencia y no deben ser modificados por entidades no autorizadas. Los permisos de archivos y el control de acceso de usuarios pueden impedir el acceso no autorizado. El control de versión se puede utilizar para evitar cambios accidentales por parte de usuarios autorizados. Las copias de respaldo deben estar disponibles para restaurar los datos dañados, y la suma de comprobación del hash se puede utilizar para verificar la integridad de los datos durante la transferencia. La suma de comprobación se utiliza para verificar la integridad de los archivos, o cadenas de caracteres, luego de que se hayan transferido desde un dispositivo a otro a través de su red local o de Internet. Las sumas de comprobación se calculan con funciones de hash. Algunas de las sumas de comprobación comunes son MD5, SHA-1, SHA-256 y SHA-512. Una función de hash utiliza un algoritmo matemático para transformar los datos en un valor de longitud fija que representa los datos. Por ejemplo, cuando un periódico difunde una información cuya fuente no es correcta, podemos decir que se mantiene la integridad de la información ya que se difunde por medio impreso, pero sin embargo, al ser la fuente de esa información errónea no se está manteniendo la integridad del origen, ya que la fuente no es correcta. Disponibilidad Mantener los equipos, realizar reparaciones de hardware, mantener los sistemas operativos y el software actualizados, así como crear respaldos, garantiza la disponibilidad de la red y los datos a los usuarios autorizados. Deben existir planes para recuperarse rápidamente ante desastres naturales o provocados por el hombre. Los equipos o software de seguridad, como los firewalls, lo protegen contra el tiempo de inactividad debido a los ataques, como la denegación de servicio (DoS). La denegación de servicio se produce cuando un atacante intenta agotar los recursos de manera tal que los servicios no estén disponibles para los usuarios. Ejemplos: • • • • • • • • Copias de seguridad de la información (backups de datos y configuraciones). Realización de imágenes de discos. Implementaciones de sistemas RAID de discos. Implementaciones de sistemas en clúster. Configuración de conmutación por error de unos sistemas a otros. Balanceo de carga entre máquinas/sistemas. Redundancia en las líneas eléctricas y de datos. Coubicación de las instalaciones interna y externamente. 2.- Dentro de la metodología de ataque consta de 5 pasos, explique cuáles son y desarrolle con un ejemplo ilustrativo. 1. Reconocimiento: Como su nombre lo indica, esta fase consiste en la recopilación de información del entorno, con el fin de buscar un objetivo potencial, el cual puede ir desde la búsqueda en Internet sobre una persona o empresa por ejemplo (Ingeniería Social), hasta el poder hacer un sniffing en la red objetivo para comprender cómo está estructurada la red, los rangos de direccionamiento de red que manejan, Hostname, servidores y otros servicios disponibles (Impresoras, conmutadores, etc.) Ejemplo: Un ciberdelincuente inyecta un de código malicioso en una página web de pago. Introduces los datos de tu tarjeta de crédito en dicha página para finalizar una compra. El script inyectado por el ciberdelincuente registra esta información en secreto y se la envía a él. El ciberdelincuente utiliza entonces la información de tu tarjeta de crédito para robar tu dinero, o los vende en la dark web, para que luego los puedan usar otros ciberdelincuentes o cualquier otra clase de delincuente. 2. Escaneo e investigación: Una vez teniendo claro el objetivo, el atacante procede a escanear y a examinar toda la información recopilada, con el fin de encontrar huecos de seguridad en los equipos objetivos, ya que puede obtener detalles como el sistema operativo que usa el equipo, los puertos de comunicación abiertos, cuentas de usuarios y vulnerabilidades en los aplicativos de los equipos. Ejemplo: El escaneo de puertos es una de las técnicas de reconocimiento más populares que utilizan los atacantes para descubrir los servicios expuestos a posibles ataques. Todas las máquinas conectadas a una red de área local (LAN) o Internet ejecutan muchos servicios que escuchan en puertos conocidos y no tan conocidos. Un escaneo de puertos ayuda al atacante a encontrar qué puertos están disponibles (es decir, qué servicio podría estar enumerando un puerto). Esencialmente, un escaneo de puertos consiste en enviar un mensaje a cada puerto, uno a uno. El tipo de respuesta recibida indica si el puerto está a la escucha y, por lo tanto, puede probarse más detalladamente para detectar debilidad. Puertos conocidos (0 - 1023) Puertos registrados (1024 - 49151) Puertos dinámicos y / o privados (49152 - 65535) 3. Acceso: Aquí es donde empieza la magia, porque el atacante empieza a explotar cada vulnerabilidad encontrada en los sistemas, con el fin de tener el acceso a dicho equipo o de empezar a causar estragos, ya sea causando una saturación en los recursos de los equipos de cómputo y por ende generando un ataque DoS (Denial of Service), Secuestro de sesión (Hijacking), ataques de fuerza bruta para poder adivinar o romper las credenciales de acceso al sistema, una vez teniendo acceso al sistema objetivo, el atacante puede prácticamente explorar todo. Ejemplo: Donde las víctimas son engañadas por un correo electrónico o un enlace malintencionado, o manipuladas psicológicamente donde se aprovecha su inclinación natural a confiar. La ingeniería social es la manipulación psicológica de las víctimas. 4. Manteniendo el acceso: La prioridad en esta etapa es la de mantener abierta la puerta para poder entrar y salir cuando guste, permitiéndole utilizar el equipo comprometido para seguir explorando otros sistemas en la red o para lanzar nuevos ataques desde la misma red interna. En muchas ocasiones se utilizan rootkits para poder ocultar los procesos, sesiones y las conexiones que mantiene hacia el servidor maestro. Ejemplo: Usuarios de Zoom: una campaña de phishing dirigida a los empleados afectó al menos a 50.000 usuarios. Los ingenieros sociales utilizaron el miedo al despido para animar a los empleados a hacer clic en un enlace para reunirse con RRHH a través de Zoom. Al hacer clic en el enlace, el empleado accedía a un sitio de inicio de sesión de Zoom falso diseñado para robar contraseñas. 5. No dejar rastro: En esta última fase, el atacante buscará el borrar toda la evidencia que pueda ser utilizada para rastrear su actividad, con el fin de no ser detectado por los administradores de red al instalar software o en las modificaciones que haya ejecutado, de esta manera puede seguir entrando y saliendo del sistema comprometido sin mayor problema y evitar ser atrapado. La mayoría de las veces hacen uso de una técnica llamada Esteganografía, para que de este modo no pueda ser percibida su existencia en la red, ocultando información sobre algún otro elemento. Ejemplo: Como podemos ver, es de vital importancia conocer este tipo de fases de ataque, ya que con esto podemos darnos una idea del tipo de soluciones que debemos implementar como parte de nuestra estrategia de ciberseguridad, buscando siempre tener esa visibilidad de lo que acontece en nuestra red interna y en las comunicaciones que se hacen hacia el exterior. 3.-Cuales son los principales estándares ISO en seguridad de la información explique cuál es el objetivo de cada uno. Las "Normas ISO/IEC27000" es el conjunto de estándares de seguridad. Lo que buscan es dar un marco teórico para la gestión de la seguridad. De hecho, en algunas de las normas encontrarás la definición de algunos conceptos relacionados. Por ejemplo, la "Norma ISO 27001" menciona que la seguridad de la información debe basarse en la integridad, disponibilidad y confidencialidad de datos. Cuando encontramos conceptos como estos, en la misma norma se suele dar la explicación del concepto. Por ejemplo, la "Integridad" se define como el mantenimiento de datos y de la información durante diversos métodos de los procesos. La "Disponibilidad" la define como el acceso y uso de la información y sistemas que sirven para tratar y manipular la información. La confidencialidad se define como la acción de presentar la información únicamente a los usuarios y procesos autorizados para hacer uso de ella. En este caso, estamos hablando de la "Norma 27000". Así que algo muy común es que la normas 27001, 27002 y las que siguen en número tienen relación, se apoyan o complementan. Por ejemplo, mencionaremos algunas. La "Norma 27000" contiene todos los conceptos y vocabularios necesarios para comprender las normas. La "Norma 27001" habla de las certificaciones disponibles para las empresas, organizaciones e instituciones. La "Norma 27002" habla de las buenas prácticas para la administración o gestión de seguridad de la información. La "Norma 27003" muestra algunas directrices para la implementación de un sistema de gestión de seguridad de la información. La "Norma 27004" muestra las métricas para la gestión de seguridad de la información. En otras palabras, nos muestra como realizar algunas mediciones para conocer ciertos factores que serán importantes en un sistema de seguridad de la información. La "Norma 27005" es una de las normas más importantes ya que nos habla sobre la gestión de riesgo en la seguridad de la información. Encontraremos lineamientos importantes, técnicas de evaluación de riesgo y recomendaciones que debemos seguir. La "Norma 27006" es la que especifica los requisitos de acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. También debes considerar que las normas siempre se actualizan. Por ejemplo, no es lo mismo la "Norma 27001" del año 2005 que la versión de esta norma del año 2003. Así que esto es algo que cambia, pero no tan rápido, ya que las normas son mucha documentación y términos que tienen que aceptarse para plasmarse en un documento. 4.- ¿Qué controles de seguridad implementarías en una organización o en la organización en la que laboras? Toda empresa cuenta con información relevante que debe resguardar frente a distintas amenazas, tanto internas como externas, para garantizar el crecimiento del negocio. Para ello, las compañías pueden apoyarse en un Sistema de Gestión de Seguridad de la Información (SGSI), mediante el cual logran proteger los datos imprescindibles. El control que se debería implementar en una empresa es, Proteger los activos de la información, estos pueden estar disponibles para usuarios específicos que necesiten dicha información. - Dar un mayor control sobre conexión de dispositivos externos como: USB, CD, ETC.- La política de seguridad de la información que se refiere a establecer una documentación que tome en cuenta el riesgo de compartir información con personas ajenas al entorno. - Criptográfica, se debe contar con un proceso de encriptado y desencriptado de la información que si esta sustraída no pueda ser visualizada si no tiene el implemento requerido. El mantenimiento de sistemas se busca que los equipos no fallen en los momentos que más se les necesita para así poder encontrar un punto de quiebre que necesite alguna mejora, por ello es importante un buen, mantenimiento. - Seguridad física y ambiental, esta es una de las maneras en que se puede obtener información del mismo equipo para ello se debe asegurar el perímetro correspondiente que permita alejar intrusos. 5.- Haga un comentario de la NTP ISO 27001:2014 y la Ley de Delito Informático, Ley N° 30096 – Ley N° 30171. La norma NTPISO/IEC 27001:2014. Un SGSI es el marco para garantizar la seguridad de la información, en función del tratamiento de unos niveles de riesgo obtenidos como consecuencia de considerar todos los posibles efectos que pueden ocurrir a causa de las vulnerabilidades de los activos que poseen información valiosa de la entidad y que podrían ser atacadas en función a las amenazas existentes. Ley de Delito Informático, Ley N° 30096 En el año 2013 se publicó en nuestro país la Ley Nº 30096, “Ley de Delitos Informáticos”, que tuvo por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos, la indemnidad y libertad sexuales, la intimidad y el secreto de las comunicaciones, el patrimonio y la fe pública, en los cuales el delincuente utiliza la tecnología actual para cometer dichos ilícitos. Ley N.º 30171 de los delitos informáticos contra el patrimonio en el Perú” la cual tiene como objetivos específicos; analizar la eficacia del ordenamiento jurídico y el tratamiento normativo respecto a sus modalidades, de los delitos informáticos contra el patrimonio, así mismo tiene como objetivo general, analizar la intervención del Estado para tratar los delitos informáticos contra el patrimonio. Uno de los problemas más relevantes y significativos son las actividades delictivas cometidas a través de los sistemas informáticos, las cuales han sido debidamente reguladas por nuestro legislador nacional en la Ley 30096, Ley de Delitos Informáticos, modificada por la Ley 30171. El presente artículo abordará los delitos de fraude informático y suplantación de identidad, que son los más frecuentes en esta nueva convivencia socioeconómica. 6.- Identifica las relaciones existentes entre la ISO 27001, COBIT e ITIL, contemplando las normativas existentes. Las normas ISO, que corresponde al acrónimo International Standard Organization. Son normas y estándares internacionales diseñados para ser aplicadas en el desarrollo de productos y servicios que deben usar las empresas para mejorar su eficiencia y rentabilidad económica. La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO / IEC 27000, establece una implementación efectiva de la seguridad de la información empresarial desarrolladas en las normas ISO 27001 / ISO 27002. La norma permitirá a la dirección de la empresa tener la visión necesaria para definir el alcance y ámbito de aplicación de la norma, así como las políticas y medidas a implantar, integrando este sistema en la metodología de mejora continua, común para todas las normas ISO. COBIT: Son un conjunto de herramientas orientadas a garantizar el control y seguimiento de gobernabilidad de Sistemas de Información a largo plazo a través de auditorías. COBIT corresponde a las siglas en inglés para Control Objectives for Information and related Technology – Objetivos de control para la información y tecnologías relacionadas por ello compila mejores prácticas levantadas por expertos en TI provenientes de diversos sectores como industria y servicios. COBIT respalda todo el proceso de información de la empresa. Compila y organiza desde la creación de la información hasta su disposición final para garantizar un control de calidad preciso. ITIL: Es una colección de mejores prácticas para la administración efectiva de los Sistemas de Información (SI). En un principio se diseñó para mejorar los servicios de TI del sector público; pero gracias a su eficiencia cada vez más está siendo mundialmente implementado por el sector privado, un sistema centrado en la red y que luego abarcará la integración de TI con la alineación de TI ya que se busca una medición que vaya orientada al valor. ➢ ➢ ➢ ➢ ➢ ➢ Introducción a la Gestión de Servicio Estrategia de Servicio Diseño de Servicio Servicio de Transición (Gestión del Cambio) Operación de Servicio Servicio continuo (Mejora Continua de Servicios)