CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

Wednesday 18 February 2009

Seguridad informática

Seguridad informática

Consiste en sistemas, métodos y herramientas que protegen los recursos del sistema de información de una organización.

Aspectos de seguridad
Integridad, confidencialidad, disponibilidad y no repudio.

Términos
Activos: recursos de información
Amenaza: evento desafortunado
Riesgo: posibilidad de algo desafortunado
Vulnerabilidad: posibilidad de amenaza

Amenazas del sistema
Interrupción
Intercepción
Modificación
Generación
Fabricación

Política de seguridad
Lo que se quiere proteger y riesgos potenciales

Seguridad física: protección en cuanto al ambiente
Seguridad lógica: protección de aplicaciones y datos

Normas de seguridad
La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.
La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la seguridad de la información según el famoso “Círculo de deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y que se elaboró con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la Información implantados en las organizaciones y por medio de un proceso formal de auditoría realizado por un tercero.

Política de seguridad
Una política de Seguridad son un conjunto de documentos que marcan la estrategia de la empresa en relación con la seguridad informática. Suelen constar de documentos a distintos niveles:
Política: Sería como un documento de declaración de intenciones.
Normativas: Son la descripción de obligaciones para hacer cumplir las políticas. Describen acciones concretas sobre distintos activos. Describen “el qué se hace”.
Procedimientos: Son las descripciones técnicas que hacen cumplir las normativas. Están adaptadas a según que tecnología. Describen “el cómo se hace”.

Delitos informáticos
La organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos:
Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada: este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir.
La manipulación de programas: consiste en modificar los programas existentes en el sistema o en insertar nuevos programas o rutinas. Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente tiene conocimientos técnicos concretos de informática y programación.
Manipulación de los datos de salida: se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude del que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos.
Fraude efectuado por manipulación informática: aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Se basa en el principio de que 10,66 es igual a 10,65 pasando 0,01 centavos a la cuenta del ladrón n veces.
Manipulación de los datos de entrada
Como objeto: cuando se alteran datos de los documentos almacenados en forma computarizada.
Como instrumento: las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial.
Daños o modificaciones de programas o datos computarizados
Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema.
Acceso no a autorizado a servicios y sistemas informáticos: estos acceso se pueden realizar por diversos motivos, desde la simple curiosidad hasta el sabotaje o espionaje informático.
Reproducción no autorizada de programas informáticos de protección legal: esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, se considera, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual.
Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Internacional de Derecho ha propuesto todas las formas de conductas lesivas de la que puede ser objeto la información.
Ellas son:
"Fraude en el campo de la informática.
Falsificación en materia informática.
Sabotaje informático y daños a datos computarizados o programas informáticos.
Acceso no autorizado.
Intercepción sin autorización.
Reproducción no autorizada de un programa informático protegido.
Espionaje informático.
Uso no autorizado de una computadora.
Tráfico de claves informáticas obtenidas por medio ilícito.
Distribución de virus o programas delictivos."

Legislación informática COLOMBIA
Actualizada junio de 2007
Ley 23, de 28 de enero de 1982, sobre derecho de autor, que protege la imagen individual frente a varias formas de abuso.
Anteproyecto de Ley Colombiana de 1987. Propuesta de la Universidad de los Andes.
Código procesal penal de 1987, que tutela la inviolabilidad del domicilio y regula en su artículo 376 las escuchas telefónicas.
Ley de Protección de datos de 1988.
Decreto nº 1360, de 23 de junio de 1989, por el cual se reglamenta el Registro de los programas de computador.
Ley 72/1989, de 20 de diciembre de 1989, por la cual se definen nuevos conceptos y principios sobre la Organización de las Telecomunicaciones en Colombia y sobre el régimen de concesión de los servicios y se confieren unas facultades extraordinarias al Presidente de la República.
Constitución Política Colombiana (modificada en 1991).
Decreto 1794/1991, de 16 de julio de 1991, por el cual se Expiden Normas sobre los Servicios de Valor Agregado y Telemáticos y se Reglamenta el Decreto 1900 de 1990.
Ley nº44, de 5 de Feberero de 1993, sobre Obras de Empleados Públicos y Derechos de Autor, por la que se Modifica y Adiciona la Ley Nº 23 de 1982 y se Modifica la Ley Nº 29 de 1944.
Decreto 460 de 16 de marzo de 1995. Reglamento del Registro Nacional de Derechos de Autor.
Decreto 2150 de 1995 sobre sistemas electrónicos, de 5 de diciembre de 1995, que busca la simplificación de trámites ante Entidades Estatales. (Diario Oficial 42.137, del 6 de diciembre de 1995).
Decreto nº 162, de 22 de enero de 1996, sobre Sociedades de Gestión de Derechos de Autor y Conexos.
Ley 279 de 1996. Estatutaria de la Administración de Justicia de 7 de marzo
Proyecto de Ley nº 227 de 21 de abril de 1998, por medio del cual se define y Reglamenta el Acceso y el uso del Comercio Electrónico
Decreto 1122 de 1999. Declarado inasequible por vicios de forma, mediante sentencia de la Corte Constitucional C-923/99.
Decreto 1487/ 1999, de 12 de Agosto, por Medio del Cual se Autoriza el Sistema Declaración y Pago Electrónico de la DIAN y se Establecen algunos Parámetros Operativos para la Presentación de las Declaraciones Tributarias y el Pago de los Impuestos por Vía Electrónica.
Ley nº 527 de Comercio Electrónico de Colombia de 18 de agosto de 1999.
Resolución 831/1999, de 1 de septiembre de 1999, por la cual se Adopta y Establecen los Parámetros Operativos del Sistema Declaración y Pago Electrónico de la DIAN, para Presentar las Declaraciones Tributarias y Efectuar los Pagos de los Impuestos Administrados por la Dirección de Impuestos y Aduanas Nacionales y de las Retenciones en la Fuente.
Resolución 270/2000, de 4 de marzo de 2000, por la cual se Dictan Normas sobre Protección a los Usuarios para la Prestación de Servicios Públicos No Domiciliarios de Telecomunicaciones.
Código Penal de 24 de julio de 2000.
Ley 527 de 18 de agosto de 1999, sobre Mensajes de Datos, Comercio electrónico y Firma Digital.
Acción pública de inconstitucionalidad contra la Ley 527 sobre Mensajes de Datos, Comercio Electrónico y Firma Digital de 8 de junio de 2000.
Ley 588 de 5 de julio de 2000 por medio de la cual se reglamenta el ejercicio de la actividad notarial.
Ley 598 de 18 de julio de 2000, por la cual se crean el Sistema de Información para la Vigilancia de la Contratación Estatal, SICE, el Catálogo único de Bienes y Servicios, CUBS, y el Registro Único de Precios de Referencia, RUPR, de los bienes y servicios de uso común en la administración pública y se dictan otras disposiciones.
Ley 599 de 24 de julio de 2000, Código Penal
Decreto 1747 de 11 de septiembre de 2000, por el cual se reglamenta parcialmente la Ley 527 certificados y firmas digitales.
Resolución 7652/2000, de 22 de septiembre de la Dirección General de Impuestos y Aduanas Nacionales, por la cual se reglamenta la administración, publicación y uso de la información electrónica vía INTRANET e INTERNET en la Dirección de Impuestos y Aduanas Nacionales.
Resolución 307/2000, de 2 de octubre de la Comisión de Regulación de Telecomunicaciones, por la cual se promueve el acceso a Internet a través de planes tarifarios para el servicio de Tpbcl y se dictan otras disposiciones
Resolución 26930/2000, de 26 de octubre de la Superintendencia de Industria y Comercio, por la cual se fijan los estándares para la autorización y funcionamiento de las entidades de certificación y sus auditores.
Proyecto de Ley 35 de 2001 Cámara. Aspectos jurídicos de los servicios de la sociedad de la información, en desarrollo del Comercio Electrónico.
Decreto 408 de 14 de marzo de 2001, por medio del cual se reglamenta el artículo 579º-2 del Estatuto Tributario.
Ley 679 de 2001 sobre Abuso y pornografía de menores en Internet. (Diario Oficial número 44509 del 4 de agosto de 2001).
Resolución 36904/2001, de 6 de noviembre de la Superintendencia de Industria y Comercio, Por la cual se fijan los estándares para la autorización y funcionamiento de las entidades de certificación y sus auditores.
Radicación 1376 del Consejo de Estado de 11 de diciembre de 2001 sobre Nombres de Dominio.
Decreto 55 de 15 de febrero de 2002 de la Alcaldía Mayor de Bogotá, por medio del cual se establece “El Sistema de Declaración y Pago de Impuestos Distritales a través de medios electrónicos”.
Resolución 5339/2002, de 6 de mayo, de la Contraloría General de la República, por la cual se modifican las Resoluciones 5313 y 5314 de febrero 28 de 2002.
Resolución 600/2002 de 7 de mayo, del Ministerio de Comunicaciones, por medio de la cual se regula parcialmente la administración del dominio punto co= .co
Decreto nº 1524 de 24 de julio de 2002, "Por el cual se reglamenta el artículo 5 de la Ley 679 de 2001".
Ley 765 de 31 de Julio de 2002, por medio de la cual se aprueba el "Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de niños, la prostitución infantil y la utilización de los niños en la pornografía", adoptado en Nueva York, el 25 de mayo de 2000. (Diario Oficial número 44.889, de 5 de agosto de 2002).
Proyecto de Ley 71, de 4 de septiembre de 2002, del Senado de la República, por la cual se reglamentan los bancos de datos financieros o de solvencia patrimonial y crediticia y se dictan otras disposiciones.
Decreto 2170 de 30 de septiembre de 2002, por el cual se reglamenta la Ley 80 de 1993, se modifica el decreto 855 de 1994 y se dictan otras disposiciones en aplicación de la Ley 527 de 1999.
Ley 794 de 2003 de 8 de enero. Por la cual se modifica el Código de Procedimiento Civil, se regula el proceso ejecutivo y se dictan otras disposiciones. (Diario Oficial Nº. 45.058 de 9 de enero de 2003).
Resolución 20/2003, de 14 de enero, del Ministerio de Comunicaciones, por medio de la cual se establece el procedimiento a seguir por el Ministerio de Comunicaciones para la fijación de las condiciones de administración del dominio .co.
Decreto 67 de 15 de enero de 2003, por el cual se prorroga el plazo previsto en el primer inciso del artículo 8º del Decreto 1524 de 2002.
Proyecto de Ley 166 de 31 de enero de 2003, por el cual se regulan las comunicaciones Vía Internet y mediante el uso de Fax que se realicen desde lugares habilitados para brindar al público esos servicios.
Decreto 600 de 14 de marzo de 2003, por medio del cual se expiden normas sobre los servicios de valor agregado y telemáticos y se reglamente el Decreto-ley 1900 de 1990.
Decreto 866 de 8 de abril de 2003, por el cual se modifica el artículo 14º del Decreto 2170 de 2002.
Resolución 1455/2003 de 5 de septiembre, del Ministerio de Comunicaciones, por medio de la cual se regula la administración de registros del dominio .co
Decreto 4149 de 10 de diciembre de 2004, por el cual se racionalizan algunos trámites y procedimientos de comercio exterior, se crea la Ventanilla Única de Comercio Exterior y se dictan otras disposiciones.
Resolución 1271 de 24 de junio de 2005 del Ministerio de Comercio, Industria y Turismo, por la cual se fija el precio de los aplicativos informáticos para su transmisión a la Ventanilla Única de Comercio Exterior - VUCE - .
Ley 962 de 8 de Julio de 2005, por la cual se dictan disposiciones sobre racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios públicos.
Decreto 2926 de 25 de agosto de 2005, por el cual se modifica el Decreto 2542 de 1997.
Proyecto de Ley nº 05/2006 Senado "Por el cual se reglamenta el Habeas Data y el Derecho de Petición ante Entidades Financieras, Bancarias y Centrales o Banco de Datos". Acumulado Proyecto de Ley nº 27/2006 Senado "Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera y crediticia, y se dictan otras disposiciones". Aprobado por la comisión el día 12 de Octubre de 2006.
Proyecto de Ley nº 117/2006. Camara. Acumulada nº 119/06. Camara. Por el cual se reforman las leyes 23 de 1982, 44 de 1993 y 232 de 1995 con el fin de garantizar eficaz protección a los derechos de autores, compositores e interpretes de obras musicales. Por medio de la cual se modifica el artículo 164 de la Ley 23 de 1982. (archivado art. 190 Ley 5).
Proyecto de Ley nº 184/06. Camara. Por la cual se adiciona la Ley 23 de 1992, sobre Derechos de Autor. (retirado por su autor).
Proyecto de Ley nº 194/06. Camara. Por la cual se adiciona la Ley 23 de 1992, sobre Derechos de Autor. (retirado por su autor).
Informe de Conciliación al Proyecto de Ley Estatutaria 221/2007 de 4 de junio de 2007, sobre el Derecho de Habeas Data.

Solución ejercicio
ISO/IEC 17799 (también ISO 27002) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por international organization for standardization y por la comisión international electrotechnical commission en el año 2000 y con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en archivo: la norma británica British Standard BS 7799-1 que fue publicada por primera vez en 1995.

ISO/IEC 27001 es el estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por international organization for standardization y por la comisión international electrotechnical commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisión de la norma británica British Standard BS 7799-2:2002.

Comparación entre ISO 17799 e ISO 27001
- Ha diferenta de la norma ISO 17799, la ISO 27001 establece los requisitos para construir un SGSI (Sistemas de Gestión de la Seguridad de la Información) “auditable” y “certificable” la parte de la administración
- la ISO 17799 no es certificable y tampoco fue diseñada para certificar
- la ISO 17799 es para la ISO 27001, una relación de controles necesarios para garantizar la seguridad de la información
-ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente.
- ISO 27001 permite auditar un sistema bajo lineamientos ISO 17799 para certificar ISMS (Information Security Management System).
-ISO 17799 comprende cláusulas enfocadas a prácticas y métodos fundamentales de seguridad contemporánea contemplando avances tecnológicos
-La norma ISO 27001 contiene un anexo que resume los controles de ISO17799:2005.

Instituciones relacionadas con la redacción de normas de seguridad de información
ICONTEC
El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) es un organismo multinacional de carácter privado, sin ánimo de lucro, que trabaja para fomentar la normalización, la certificación, la metrología y la gestión de la calidad en Colombia. Está conformado por la vinculación voluntaria de representantes del Gobierno Nacional, de los sectores privados de la producción, distribución y consumo, el sector tecnológico en sus diferentes ramas y por todas aquellas personas jurídicas y naturales que tengan interés en pertenecer a él.
ICONTEC es un organismo de certificación con cubrimiento mundial, gracias a su vinculación a la Red Internacional de Certificación, IQNet (red que integra a las entidades certificadoras más importantes, con más de 150 subsidiarias alrededor del mundo y con cuarenta acreditaciones).
¿Que es la normalización?
Normalización es la actividad que establece disposiciones para uso común y repetido, encaminadas al logro del grado óptimo de orden con respecto a problemas reales o potenciales, en un contexto dado. En particular, la actividad consta de los procesos de formulación, publicación e implementación de normas.

Estadísticas
Desde hace cinco años, en los Estados Unidos existe una institución que realiza un estudio anual sobre la seguridad informática y los crímenes cometidos a través de las computadoras.
Esta entidad es El Instituto de Seguridad de Computadoras (CSI), quien anunció recientemente los resultados de su quinto estudio anual denominado «Estudio de Seguridad y Delitos Informáticos» realizado a un total de 273 Instituciones principalmente grandes Corporaciones y Agencias del Gobierno.
Este Estudio de Seguridad y Delitos Informáticos es dirigido por CSI con la participación Agencia Federal de Investigación (FBI) de San Francisco, División de delitos informáticos. El objetivo de este esfuerzo es levantar el nivel de conocimiento de seguridad, así como ayudar a determinar el alcance de los Delitos Informáticos en los Estados Unidos de Norteamérica.
Entre lo más destacable del Estudio de Seguridad y Delitos Informáticos 2000 se puede incluir lo siguiente:Violaciones a la seguridad informática.- No reportaron Violaciones de Seguridad 10%- Reportaron Violaciones de Seguridad 90%
90% de los encuestados descubrió violaciones a la seguridad de las computadoras dentro de los últimos doce meses.
70% reportaron una variedad de serias violaciones de seguridad de las computadoras, y que el más común de estas violaciones son los virus de computadoras, robo de computadoras portátiles o abusos por parte de los empleados - por ejemplo, robo de información, fraude financiero, penetración del sistema por intrusos y sabotaje de datos o redes.
Pérdidas Financieras.
74% reconocieron pérdidas financieras debido a las violaciones de las computadoras. -
Las pérdidas financieras ascendieron a $265,589,940 (el promedio total anual durante los últimos tres años era $120,240,180).
61 encuestados cuantificaron pérdidas debido al sabotaje de datos o redes para un total de $27,148,000. Las pérdidas financieras totales debido al sabotaje durante los años anteriores combinados ascendido a sólo $10,848,850. Como en años anteriores, las pérdidas financieras más serias, ocurrieron a través de robo de información (66 encuestados reportaron $66,708,000) y el fraude financiero (53 encuestados informaron $55,996,000). Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las grandes corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus perímetros electrónicos, confirmando la tendencia en años anteriores.
Como en años anteriores, las pérdidas financieras más serias, ocurrieron a través de robo de información (66 encuestados reportaron $66,708,000) y el fraude financiero (53 encuestados informaron $55,996,000).
Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las grandes corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus perímetros electrónicos, confirmando la tendencia en años anteriores.

Instituciones certificadoras
CISSP: Certified Information System Security Professional
CompTIA: Security+ Professional
CISA: Certified Information System Auditor
CISM: Certified Information System Manager
GIAC: Global Information Assurance Certification
CCNA: Cisco Certified Network Associate
CCSP: Cisco Certified Security Professional
MCP: Microsoft Certified System Professional
MCSA: Microsoft Certified System Associate
MCSE: Microsoft Certified System Engineer
CCSE: Check Point Certified Security Expert
CPP: Certified Protection Professional
CIA: Certified Internal Auditor
Cursos relacionados con la seguridad informática
Centro formativo: SEAS, estudios superiores abiertos
País: España
Modalidad: a distancia y on line
Los alumnos que superen el programa de estudios, tendrán derecho a la expedición de dos títulos:
-Título Propio de Diploma en Seguridad Informática por la universidad Católica de Ávila. -Técnico Especialista en Seguridad Informática por la Fundación San Valero, en el que La Universidad San Jorge ha verificado que los procedimientos educativos de SEAS siguen los criterios de calidad exigibles a la Enseñanza Superior.

Ensayo