Administración de sistemas: Seguridad de la informacion

sábado, 4 de octubre de 2014

Seguridad de la informacion

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.

En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:

Crítica: Es indispensable para la operación de la empresa.

Valiosa: Es un activo de la empresa y muy valioso.

Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio.

Seguridad: Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.

Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información.1 Los términos seguridad de la información, seguridad informática y garantía de la información son usados frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran.

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Solución contra el spam

Todos sabemos que no debemos responder o hacer clic sobre un enlace o una imagen de spam ya que corremos el riesgo de confirmar que nuestra dirección de correo existe y es utilizada…este es el principal objetivo del spam. También debemos de cuidarnos de visualizar Web bugs con algún programa de correo, como Outlook Express por ejemplo.

En un spam, un enlace clásico para darse de baja, algo que no se debe utilizar jamás es de la forma-unsuscribe- y únicamente se efectua la conexión si hacemos clic encima.

En cambio, en el caso de una imagen (remota)

Hay una conexión al servidor del spammer para cargar la imagen.

Actualmente encontramos de este tipo

No hay ninguna imagen pero la conexión se efectúa de todos modos…

Antes de enviar el email, el servidor del spam anota en sus ficheros que el código "AjbbRgtZabEyuac" corresponde a nuestra dirección electrónica; un programa analiza luego las conexiones, lee el código, y sabe que nuestra dirección es valida.

Por lo tanto será mejor desactivar la previsualización de emails.

En Outlook Express, “Ver > Disposición” y desmarcar “Mostrar la ventana de visualización”

También podemos personalizar los iconos del menú añadiendo el icono “Previsualización” (más práctico)

Y si deseamos ver el contenido de un email, movemos el email al escritorio luego hacemos “Enviar a -> Bloc de notas”.

Y de este modo podemos ver también el contenido del encabezado del email.

Como reconocerlo?

La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y es habitual que esté falseada.

El mensaje no suele tener dirección Reply.

Presentan un asunto llamativo.

El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en promoción.

La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero empieza a ser común el spam en español.

Aunque el método de distribución más habitual es el correo electrónico, existen diversas variantes, cada cual con su propio nombre asociado en función de su canal de distribución:

Spam: enviado a través del correo electrónico.

Spim: específico para aplicaciones de tipo Mensajería Instantánea (MSN Messenger, Yahoo Messenger, etc).

Spit: spam sobre telefonía IP. La telefonía IP consiste en la utilización de Internet como medio de transmisión para realizar llamadas telefónicas.

Spam SMS: spam destinado a enviarse a dispositivos móviles mediante SMS (Short Message Service).

Las empresas necesitan asegurarse de que todos sus datos importantes para la continuidad del negocio cuenten con una copia que esté disponible en el caso de la información original se pierda o se corrompa. Hay que tener en cuenta que esta información puede estar albergada en servidores corporativos, pero también en estaciones de trabajo o portátiles de empleados, lo que a menudo se olvida.

Tenga más de un soporte de copia.

En el campo de los archivos digitales, mantener una segunda copia de seguridad custodiada en un entorno seguro fuera de la empresa es la alternativa más eficaz de garantizar su recuperación en caso necesario. Además, en relación a los datos de carácter personal.

Cuide el soporte de sus datos.

Las copias de seguridad en soportes magnéticos deben mantenerse en un lugar seguro, bajo temperatura y humedad constantes, y en un entorno lo más limpio posible. Muchos casos de pérdida de información se producen por errores en el almacenamiento, utilización o manipulación de los soportes. Por eso mismo, hay que procurar no utilizar el mismo soporte dos días seguidos. Lo mejor es tener más de un soporte externo de backup, e ir alternándolos para asegurar la calidad de la grabación de los datos y alargar su vida útil.

Identifique la información importante.

De todo el volumen de datos de una empresa, el volumen que se considera imprescindible para su buen funcionamiento es de alrededor del 5%. Pero ese pequeño porcentaje es crítico para las operaciones empresariales. Por ejemplo, puede contener información necesaria para garantizar la continuidad del negocio después de una crisis. O puede documentar la situación financiera o legal y preservar los derechos de las partes interesadas de una organización. Saber cuáles son los documentos vitales y tenerlos localizados es imprescindible para asegurar un buen mantenimiento.

Conozca quién tiene acceso a esa información y con qué frecuencia.

Algunos documentos sólo se consultan una o dos veces al año, mientras que otros son necesarios incluso varias veces al día. No todos los departamentos -recursos humanos, departamento legal, compras, marketing, finanzas- acceden al mismo tipo de información confidencial. Saber quién utiliza qué tipo de documentos ayudará a su seguimiento y control.

Asigne responsabilidades en la gestión.

La seguridad de la información debe ser un punto a tener en cuenta por todos los departamentos. Incluso en empresas donde este punto sea tarea del departamento de archivos, se deben implantar unas medidas de seguridad y backup que abarquen a la totalidad de la infraestructura. Igualmente, es prudente asegurarse de que la persona que controla el acceso a los archivos no es la misma que se encarga de trabajar con ellos.

Encripte sus archivos digitales externos.

A la hora de gestionar sus copias de seguridad externas, todavía hoy muchas compañías recurren para su transporte a la mensajería comercial sin ningún tipo de protección adicional. Es conveniente efectuar un análisis de riesgos para determinar si el coste de un programa de encriptación compensa los riesgos económicos de una brecha en la seguridad, y determinar si debe implantarse en toda la documentación digital, o solo en la de mayor confidencialidad.

Elabore un plan de continuidad del negocio ante una situación de crisis.

La pregunta que debe hacerse es: si un desastre provocara la desaparición de todos los documentos de mi empresa. ¿Tengo la certeza de que podría recuperarlos? Los datos son mucho más que cifras; son un activo vital para el funcionamiento de su negocio. Si no puede garantizar su recuperación, y hacerlo en un plazo de tiempo razonable, su rendimiento económico puede verse seriamente afectado.

Ventajas de la nube

Acceso desde cualquier sitio y con varios dispositivos. Tus programas y archivos están en la nube, con lo que te basta una conexión a Internet para acceder a ellos y usarlos de modo remoto.

Puedes hacerlo mediante un PC fijo, un laptop, un tablet PC, un iPad, un smartphone.

Todo el software está en un solo sitio. En la nube, claro está. Eso te evita tener que instalar tú los programas en tu PC, tu laptop o todos y cada uno de los múltiples equipos de una red.

Y no sólo te evita instalar el software, sino preocuparte por actualizar los programas o hacer upgrades. Tu proveedor de la nube se encarga también de eso por ti.

Casi el único programa que necesitas tener instalado es un navegador de Internet con el que acceder a la nube y trabajar en ella.

Ahorro en software y hardware. En la nube, un mismo programa lo comparten muchos usuarios, sin necesidad de tener que comprar una copia individual para cada uno de ellos. Eso abarata el precio de las aplicaciones.

Como todos esos programas se ejecutan en la nube y todo se guarda en ella, no hace falta gastar mucho dinero en un PC muy potente y con un disco duro grande.

Ahorro en mantenimiento técnico. Sin programas instalados o redes de PC complejas que configurar y mantener, los usuarios de la nube deben tener menos problemas informáticos.

El proveedor de la nube se encarga del mantenimiento técnico de sus propios servidores. El usuario no necesita saber crear redes de computadoras para compartir recursos, porque puede hacerlo a través de la nube.

Escalabilidad. Un sistema informático es escalable si puede crecer para responder a necesidades más exigentes. Esto es crucial sobre todo para las empresas.

Con la nube, la escalabilidad está garantizada sin tener que invertir más de lo necesario en previsión de que las necesidades aumenten.

Si un usuario de la nube necesita más o menos capacidad de proceso o de almacenamiento, el proveedor de la nube se lo facilitará casi en tiempo real. Eso optimiza los recursos en todo momento.

¿Seguridad? Hay una gran discusión sobre si la nube es o no más segura que los modelos tradicionales.

OLX es la próxima generación de anuncios gratis online.

OXL provee una simple solución para las complicaciones implicadas en ventas, compras, intercambios, discusión, organización y encuentro con gente cerca de ti, dondequiera que te encuentres.

En OXL tu puedes:

Diseñar fusil mente anuncios con fotos.

Controlar tus actividad en ventas, compras y comunidad en Mi OLX.

Mostrar tus anuncios en un perfil en otros sitios(Facebook, Myspace,...)

Acceder al sitio desde tu teléfono celular

Ver OXL en tu idioma local

OLX es usado en mas de 106 países en 40 idiomas. La compañía fue fundada en marzo 2006 y es dirigida de forma privada.

OLX utiliza el modelo administrativo e-Commerce

Skimming

Skimming es el robo de información de tarjetas de crédito utilizado en el momento de la transacción, con la finalidad de reproducir o clonar la tarjeta de crédito o débito para su posterior uso fraudulento. Consiste en el copiado de la banda magnética de una tarjeta

Los escenarios comunes en los que se realiza skimming es en restaurantes, bares, gasolineras o en cajeros electrónicos donde un cómplice del criminal está en posesión de la tarjeta de crédito de la víctima o en un lugar en el que se ha instalado un dispositivo que puede copiar la información.

En el caso de un cajero automático, el autor del fraude pone un dispositivo a través de la ranura para tarjetas del ATM, que lee la información de la banda magnética y la copia para su uso posterior. Estos dispositivos se utilizan a menudo en combinación con una microcámara que graba el código PIN del usuario.

Es difícil que el titular de la tarjeta detecte el skimming, pero es bastante fácil de detectar para el emisor de la tarjeta con una muestra lo suficientemente grande.

Mas soluciones contra el spam

Lo que ofrecen actualmente los proveedores de servicios de Internet (ISP)

Por lo general los proveedores de servicios de Internet ofrecen una lista negra, configuración de filtrado de correos, etc.:

Utilizando la dirección de correo del remitente, por lo tanto inútil

Utilizando palabras clave que serán buscadas en el asunto del correo, por lo tanto inútil *O buscando palabras clave en el cuerpo del correo. Ya que el texto muchas veces está en una imagen, adjunta o en un enlace, esto también es inútil.

Por lo tanto una herramienta inadaptada para luchar contra el spam.

Instalar un programa anti-spam

Cómo funciona esto:

Criterios de filtrado aplicados a nombres de dominio y direcciones IP del encabezado de Internet reconocidos como validos (por whois)

En caso de spam, luego de haberlo comparado con las listas negras (spam-RBL, y otros…)

Se envía un mensaje de advertencia a “abuso” del primer servidor de correo valido de la cadena.

Se le añade en la blacklist

En algunos programas, se envía un mensaje de error al remitente, diciendo “destinatario desconocido” (aunque no muy útil ya que por lo general el correo del remitente es falso).

Dato

El término spam tiene su origen en el jamón especiado , primer producto de carne enlatada que no necesitaba frigorífico para su conservación.

Debido a esto, su uso se generalizó, pasando a formar parte del rancho habitual de los ejércitos de Estados Unidos y Rusia durante la Segunda Guerra Mundial. Posteriormente, en 1969, el grupo de actores Monthy Python protagonizó una popular escena, en la cual los clientes de una cafetería intentaban elegir de un menú en el que todos los platos contenían...jamón especiado, mientras un coro de vikingos canta a voz en grito "spam, spam, spam, rico spam, maravilloso spam".

En resumen, el spam aparecía en todas partes, y ahogaba el resto de conversaciones . Haciendo un poco de historia, el primer caso de spam del que se tiene noticia es una carta enviada en 1978 por la empresa Digital Equipment Corporation.

Esta compañía envió un anuncio sobre su ordenador DEC-20 a todos los usuarios de ArpaNet (precursora de Internet) de la costa occidental de los Estados Unidos. Sin embargo, la palabra spam no se adoptó hasta 1994, cuando en Usenet apareció un anuncio del despacho de los abogados Lawrence Cantera y Martha Siegel. Informaban de su servicio para rellenar formularios de la lotería que da acceso a un permiso para trabajar en Estados Unidos. Este anuncio fue enviado mediante un script a todos los grupos de discusión que existían por aquel entonces.

Confidencialidad.

La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.

Integridad.

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.

Disponibilidad.

La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.

Autenticación o autentificación.

Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.

Inconvenientes de la nube

(Falta de) seguridad y privacidad. Con la computación en la nube todos tus ficheros e información pasan de estar en tu PC a almacenarse en esa nube.

Eso implica dejar de tener control sobre ellos. Nunca se puede estar seguro de quién accede a esa información o si está o no protegida como debe ser.

Eso un riesgo para usuarios particulares pero aún más para las empresas. Ellas deben confiar informaciones internas y confidenciales a un tercero, que puede o no ser fiable.

Además, es más probable que un hacker intente acceder a la nube que a un PC privado. El botín es mayor.

Sin Internet no hay nube. En la computación en la nube todo depende de que la conexión a Internet funcione. Si no es así, el cliente no podrá acceder a los programas ni los datos.

Problemas de cobertura legal. Los servidores de la nube pueden estar en cualquier parte del mundo. Si hay problemas, no está claro qué ley debe aplicarse o si ésta podrá proteger al cliente.

Conflictos de propiedad intelectual u otros. La información de los clientes ya no está en sus manos, con lo que pueden surgir problemas sobre a quién pertenece.

Eso puede llevar a situaciones delicadas, por ejemplo si el cliente pretende cambiar su proveedor de computación en la nube o si éste quiebra o comete alguna ilegalidad.

Otros metodos de phishing

Otro ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" pero que ejecutan código malicioso, por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam.

Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

Ademas

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

Todos queremos ayudar.

El primer movimiento es siempre de confianza hacia el otro.

No nos gusta decir No.

A todos nos gusta que nos alaben.

Sistemas anti-skimming

Son sistemas para combatir los delitos en cajeros automáticos, prevenir el robo de identidad y reducir el fraude.

Dichos sistemas cifran o codifican la información que está en la banda magnética para evitar el fraude que implica "clonar" una tarjeta.

Existen además sistemas antiskimming diseñados por los fabricantes de cajeros, los cuales en algunos casos permiten bloquear el ingreso de las tarjetas cuando detecten un dispositivo en la entrada del lector de tarjetas.

También existen sistemas electrónicos antifraude, diseñados con sensores ópticos e infrarrojos con tecnología tipo barrera y reflexivo, los cuales cumplen la función de detectar y anular la lectora cuando detecte alrededor de esta un dispositivo fraudulento.