SEGURIDAD

PROCEDIMIENTOS DE SEGURIDAD EN LA INFORMACIÓN

Los procedimientos de seguridad en la información son todos aquellos que muestran como implementar las políticas, estándares, mejores prácticas y guías enfocadas a garantizar la seguridad en la información, son transversales a las tecnologías, áreas o personas que se involucren. Su objetivo es delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad. El diseño de cada procedimiento debe estar planteado de modo que permita implementar uno o varios controles de seguridad informática, y que tenga aplicabilidad en las distintas áreas o procesos de una organización. Estos son algunos ejemplos de procedimientos implementables:

  1. Para recursos humanos:
    1. Procedimiento de capacitación y sensibilización del personal
    2. Procedimiento de ingreso y desvinculación del personal
  2. Para gestión de activos:
    1. Procedimiento de identificación y clasificación de activos
  3. Para control de acceso
    1. Procedimiento de gestión de usuarios y contraseñas
  4. Para seguridad física y del entorno:
    1. Procedimiento de control de acceso físico
    2. Procedimiento de retiro de activos
  5. Para seguridad de las operaciones:
    1. Procedimiento de gestión de cambios
    2. Procedimiento de separación de ambientes
  6. Para seguridad de las comunicaciones:
    1. Procedimiento de aseguramiento de servicios en la red
  7. Para relaciones con los proveedores:
    1. Procedimiento para el tratamiento de la seguridad en los acuerdos con los proveedores
  8. Para adquisición, desarrollo y mantenimiento de sistemas de información:
    1. Procedimiento adquisición, desarrollo y mantenimiento de software
    2. Procedimiento de control software
  9. Para gestión de incidentes de seguridad de la información:
    1. Procedimiento de gestión de incidentes de seguridad de la información
  10. Para aspectos de seguridad de la información de la gestión de continuidad de negocio:
    1. Procedimiento de gestión de la continuidad de negocio
SEGURIDAD

ROLES EN LA SEGURIDAD EN LA INFORMACIÓN

Los roles o funciones que desempeñan las personas dentro de la Seguridad de la Información se deben identificar fácilmente dentro de un Sistema de Gestión de Seguridad Informática, y corresponden al nivel de compromiso de cada miembro de la organización para lograr la meta de preservar la seguridad informática. Por ejemplo:

  1. Dirección General: Responsable de la dirección estratégica dentro de la seguridad informática y la implementación de un SGSI. Es quien asigna recursos y responsabilidades y verifica y aprueba las directrices de la seguridad en la información.
  2. Nivel directivo: Aplican las directrices de la dirección. Se encargan de liderar y apoyar la implementación de las políticas y directrices dentro de cada una de las áreas correspondientes. También asignan roles y responsabilidades de Seguridad en la Información en cada una de las áreas y gestionan los recursos asignados.
  3. Oficial de Seguridad de la Información: Es el encargado de velar por la estructura de los procesos que velan por la seguridad en a información. Se encarga de levantar activos, de analizar los riesgos, de definir el plan de contingencia, de actualizar y difundir las políticas de seguridad en la información.
  4. Comité Operativo de Seguridad de la Información: Esta integrado por los delegados de cada área, y son los encargados de validar la documentación asociada a la seguridad en la información, fomentar las buenas practicas de seguridad, y participar en las jornadas de implementación de SGSI.
  5. Propietario Activo: Es el funcionario activo, responsable de los distintos activos de la información, y es el encargado de aplicar los controles, políticas y directrices de seguridad establecidos para cada uno de los activos.
  6. Custodio del activo: Es el funcionario a quien se le asigna un activo para ser usado en su labor diaria. Es el encargado directo de la aplicación de los controles, y de reportar inmediatamente los incidentes que se presenten.
  7. Responsable del riesgo: Es un rol asumido por el dueño del proceso. Es quien debe conocer la valoración del riesgo, así como efectuar el seguimiento permanente a la aplicación de los controles de los riesgos.
SEGURIDAD

SEGURIDAD INFORMÁTICA COMO PROCESO

Formalmente el termino proceso hace referencia a una secuencia de pasos con un orden lógico y unas partes claramente identificables, que se enfoca en lograr algún resultado específico, con el fin de mejorar la productividad de algo, para establecer un orden o eliminar algún tipo de problema. En estos ámbitos, un proceso se entiende como algo que está ocurriendo, o sea, un elemento activo que bien puede ameritar control, dirección, evaluación, etc.

La Seguridad Informática debe ser descrita como un proceso, ya que es un conjunto de técnicas, mecanismos, políticas, documentos, métricas estándares, protocolos, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información; que se caracterizan por ser organizadas, medibles, identificables, interrelacionadas y que buscan como finalidad máxima, la de proteger la confidencialidad, la integridad y la disponibilidad de la información dentro de las organizaciones. La seguridad informática comprende la protección del software (bases de datos, metadatos, archivos), del hardware, de las redes y todo lo que la organización valore como sensible para su operación, y en función a esto se pueden identificar múltiples actores con distintos roles en la seguridad informática (directivos, colaboradores, terceros, etc.)

SEGURIDAD

BOTNETS

Una botnet es una red compuesta por varios dispositivos IoT infectados con malware conectados a internet que son controlados remotamente por medio de comandos (C&C). El propósito de una botnet es la generación de ataques a gran escala, como son, ataques distribuidos de denegación de servicio DDoS, ataques a aplicaciones web para robo de información, ataques de validación de credenciales para pirateo de cuentas.

La infección de los equipos se da por medio de drive by downloads y email. El primer de los casos el atacante explota la vulnerabilidad de un sitio web para redirigir al usuario a un sitio web controlado por los delincuentes en el cual se descarga el código bot e instala en el equipo. El segundo método es por medio de correo spam con archivos adjuntos infectados o vínculos al sitio web donde se almacena el código malicioso.

Para evitar la infección de una maquina con botnet se recomienda los usuarios acceder a sitios de confianza y desconfiar de cualquier archivo o link de redirección no esperado o sospechoso.

SEGURIDAD

RANSONMWARE

Termino que se hizo conocido hace algún tiempo por las grandes afectaciones que genero a organizaciones y usuarios en general. El ransomware es un software malicioso cuyo objetivo es secuestrar la información del equipo o equipos con el fin de cobrar una suma de dinero real o virtual por la liberación de la información. El software encripta la información y bloquea la pantalla del ordenador mostrando un mensaje en pantalla donde se suministra al usuario la información de pago.

La infección por ransomware generalmente se presenta por acción del usuario al visitar un sitio web infectado con este malware, por la descarga de algún archivo adjunto infectado en un correo electrónico, o por propagación en una red que ya se encuentra infectada con ransomware.

Para prevenir este tipo de ataques se recomiendan las siguientes acciones:

  • Capacitación del personal para evitar que sea víctima del ransomware.
  • Mantener actualizados los sistemas operativos instalados en los ordenadores.
  • Activar la protección del firewall
  • Instalación de un antivirus con módulo de antiransomware.
SEGURIDAD

TROYANO

La lógica del troyano y su nombre es basada en la historia del caballo de Troya. Esta historia narra cómo los griegos lograron burlar la seguridad de la gran ciudad amurallada de Troya al esconderse en un caballo gigante de madera y capturar la ciudad. Este mismo principio es el aplicado por este tipo de software malicioso que busca comprometer el sistema del usuario haciéndose pasar por un software legítimo. Una vez infectado el sistema, el atacante puede ejecutar diversas acciones como son, eliminación, bloqueo, modificación y copia de datos, afectación del rendimiento del equipo o red de navegación.

Existen diferentes tipos de troyanos, a continuación, se mencionarán algunos de los más comunes.

  • Puerta trasera
  • Exploit
  • Rootkit
  • Trojan Banker
  • Trojan DDoS

Un sistema se infecta por troyanos principalmente por la acción del usuario, el cual puede ser engañando por el atacante para que efectué la descarga de software o aplicación infectada. O también por medio de la descarga de software pirata o activadores para software legítimo. Para prevenir este tipo de ataques se recomienda que el usuario siempre cuente con la protección de una solución antimalware robusta que permita la detección, identificación y eliminación o puesta en cuarentena del troyano. Otra forma de prevenir este tipo de ataques es el compromiso del usuario a efectuar descargar software, aplicaciones y contenido únicamente de sitios conocidos o verificados como seguros.

SEGURIDAD

INGENIERÍA SOCIAL

La ingeniería social es el conjunto de técnicas o estrategias sociales utilizadas de forma premeditada por un usuario para obtener algún tipo de ventaja respecto a otro u otros.

Algunos pasos o técnicas que se pueden utilizar en la ingeniería social son:

  • Recolección de información: Donde a través de la urgencia, la reciprocidad, la autoridad y/o la consistencia consiguen patrones e información confidencial para iniciar los ataques.
  • Desarrollo de la relación: Validación de la relación con la victima para conocer cuál sería el porcentaje de éxito del ataque.
  • Explotación de la relación: En esta fase se aprovechan las relaciones construidas para conseguir accesos, claves, ejecución de archivos maliciosos, exposición de información confidencial o inyección de malware.
  • Ejecución para lograr el objetivo: Ya en esta fase se logra el ataque sin levantar sospechas en la víctima para dejar la puerta abierta para futuros ataques.

Para evitar ser víctima de ataques de ingeniería social algunas acciones necesarias son:

  • Tener precaución con los correos electrónicos que provengan de direcciones conocidas con información sospechosa, por lo general se utilizan buzones conocidos para suplantar la identidad y pasar desapercibida.
  •  Evitar utilizar un punto único de falla, como la misma clave en los sistemas o el mismo correo de recuperación de clave.
  • No entregar información bancaria por teléfono, tener precaución en las llamadas que ofrezcan ofertas fabulosas
SEGURIDAD

SNIFFER

Un sniffer es una aplicación especializada para el análisis de redes informáticas, que permite capturar y estudiar los paquetes que se envían y reciben por la red. Desde un sniffer es posible saber, por ejemplo, el remitente de la información, el destinatario de la misma, el servidor que se ocupa del proceso y el tipo de paquete de datos que se está transmitiendo. Un sniffer se puede instalar en cualquier equipo de la red local, puede estar oculto o no. Un sniffer también puede ser un dispositivo físico, como por ejemplo un router, que se conecta en la red LAN.

Es difícil detectar un sniffer malicioso instalado secretamente en un equipo o en la red, ya que su comportamiento no corresponde a un malware, y un antivirus típico no podría detectarlo. Existen aplicaciones tipo anti-spyware, que son programas capaces de encontrar sniffers como por ejemplo Reimage, Malwarebytes.

El tipo de uso que se le puede dar a un sniffer es muy variado, y el resultado depende de la intensión del usuario que ejecute el análisis. Por ejemplo, con un sniffer es posible monitorear y administrar todo lo que ocurre dentro de la red LAN que se haya organizado en una empresa específica, también se pueden hacer auditorías completas de las redes, comprobar el tráfico que entra y sale de la empresa y monitorizar en base a ello el comportamiento del mismo. Con un sniffer también es posible atacar las redes de una empresa, comprobando por ejemplo cuáles son las vulnerabilidades que existen en las mismas. Con un sniffer también se puede robar información sensible transmitida a través de la red (interceptar chats, correos electrónicos, información no encriptada enviada en formularios de páginas web, etc). Un sniffer no interfiere con la operación de la red LAN, ni busca infectar el sistema con ningún tipo de malware. El uso malintencionado de una aplicación de este tipo se centra en violar la privacidad de la red y conocer su estructura.

Un sniffer de uso muy extendido, tanto en sistemas operativos Linux y Windows, es Wireshark. Este es un analizador de trafico de red open-source, su uso principal es el análisis de tráfico, y es muy útil en el análisis de las comunicaciones y para la resolución de problemas de red. Tiene una amplia gama de filtros que facilitan la definición de criterios de búsqueda para los más de 1100 protocolos soportados actualmente, cuenta con una interfaz sencilla que permite interpretar fácilmente los resultados de un análisis.

Wireshark_screenshot.png

SEGURIDAD

DIFERENCIAS ENTRE SEGURIDAD INFORMÁTICA Y SEGURIDAD DE LA INFORMACIÓN

La diferencia más significativa entre estos dos términos se da en que la seguridad informática se refiere a la forma tradicional de asegurar activos relacionados con la infraestructura y tecnología que administra o gestiona la información de una organización. Básicamente este tipo de seguridad hace referencia al área de IT de una compañía la cuales la encargada de preservar equipos de cómputo, manteniendo el software y hardware actualizados con el fin de cumplir con los pilares de la información.

La seguridad de la información se refiere en la actualidad a un concepto mucho más amplio, ya que no solo tiene en cuenta la parte técnica, sino que compromete a toda la organización desde las altas gerencias, hasta el personal que realiza la parte operativa.

SEGURIDAD

PHISHING

El phishing es un método usado para engañar y conseguir información sensible, como contraseñas o datos de tarjetas de crédito, mediante el envío de correos electrónicos de fuentes aparentemente confiables (bancos, tiendas online, etc), los cuales pueden traer, por ejemplo, links que redirigen a páginas webs falsas. En dichas páginas, el usuario víctima de fraude cae incautamente en la solicitud de que actualice, valide o confirme sus datos, con lo que puede permitir el robo de su identidad.

Una modalidad avanzada y muy peligrosa del phishing, es el pharming, el cual consiste en modificar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa, pero mostrando en el navegador una URL aparentemente valida y segura. Esto se logra mediante un malware diseñado para modificar el sistema de resolución de nombres local, ubicado en un fichero denominado HOSTS.

Para la prevención de ataques de phishing, es importante tener buenos hábitos en internet, por ejemplo:

  • No suministrar información sensible por internet, como por ejemplo contraseñas, números de cuentas bancarias, etc.
  • Escribir las URLs directamente en el explorador de internet, en lugar de dar clic a links de correos.
  • Comprobar que los sitios accedidos sean seguros (https://)
  • Actualizar la versión del explorador de internet constantemente, al igual que el antivirus.
  • No interactuar con correos electrónicos extraños, por ejemplo, de entidades con las cuales no se tiene relación comercial, con irregularidades en el dominio del correo o nombres extraños las URLs, etc.