¿Tu ordenador forma parte de un botnet? ¡Compruébalo Mediante esta Herramienta!

Muchos todavía piensan que un malware es un software que afecta totalmente al buen funcionamiento de los ordenadores. Imaginarás que si tu ordenador funciona bien no está infectado, ¿verdad? Pues estás equivocado. El objetivo principal de los cibercriminales no es hacer un ciber-escándalo para divertirse, sino ganar dinero. En muchos casos, para lograr esto programan el software para que se comporte de manera contraria: el mejor es el menos visible para los usuarios.

simda botnetPor ejemplo, este comportamiento ‘furtivo’ es típico de los botnets. Normalmente consisten en miles de ordenadores y, en el caso de los más grandes, cientos de miles. Los dueños de estos ordenadores no tienen la menor idea de que están infectados. Todo lo que pueden ver es que su ordenador funciona un poco más lento, lo cual no es algo extraordinario.

Los botnets están diseñados para obtener información personal como contraseñas, detalles de tarjetas de crédito, direcciones, números de teléfonos y otros datos personales. Éstos pueden utilizarse en crímenes, incluyendo el robo de identidad, varios tipos de fraude, correo no deseado y otras distribuciones peligrosas. Los botnets también pueden usarse para atacar a redes y páginas web.

Para desactivar un botnet se requiere mucho esfuerzo por parte de varios grupos. Un ejemplo reciente es el botnet Simda, el cual se cree que ha infectado a más de 770.000 ordenadores en más de 190 países. La mayoría de las infecciones ocurrieron en EE.UU., Reino Unido, Turquía, Canadá y Rusia.

Simda es un ‘botnet comercial’ dado que se utiliza para distribuir software y diferentes tipos de malware, incluyendo aquellos que son capaces de robar información financiera personal. Los desarrolladores de los programas malintencionados simplemente pagaban una cuota a los creadores de Simda por cada instalación realizada. En otras palabras, este botnet era una gran cadena de comercio para los ‘fabricantes’ de malware.

El botnet estuvo activo durante años. Para hacerlo más efectivo, los dueños de Simda trabajaban duro para desarrollar nuevas versiones, generarlas y distribuirlas varias veces al día. Hoy día, la colección de virus de Kaspersky Lab contiene más de 260.000 archivos ejecutables que pertenecen a diferentes versiones del malware Simda.

El jueves 9 de abril se desactivaron 14 servidores de comando y control simultáneamente en Holanda, EE.UU., Luxemburgo, Rusia y Polonia.

La lista de organizaciones involucradas en esta operación demuestra su complejidad: La INTERPOL, Microsoft, Kaspersky Lab, Trend Micro, Cyber Defense Institute (Instituto de Defensa Cibernética), la FBI, el Dutch National High-Tech Crime Unit (NHTCU o Unidad Nacional Contra el Crimen de Alta Tecnología), la Police Grand-Ducale Section Nouvelles Technologies de Luxemburgo y el Departamento ‘K’ del Ministerio de Interior de Rusia; todos ellos trabajaron conjuntamente para detener a los cibercriminales.

‘Los botnets son redes distribuidas geográficamente y normalmente supone un gran reto desactivarlos. Es por eso que la colaboración entre los sectores públicos y privados es crucial – cada participante hace una contribución importante al proyecto cooperativo’, dijo Vitaly Kamluk, jefe experto en seguridad de Kaspersky Lab, y que actualmente está trabajando conjuntamente con la INTERPOL. ‘En este caso, el papel de Kaspersky Lab fue proveer análisis técnico de los botnets, recolectar telemetría de Kaspersky Security Network y aconsejar sobre posibles estrategias para desactivarlos’.

Ya que la investigación aún sigue activa, es demasiado pronto para desvelar quién está detrás del botnet Simda. Lo que nos interesa como usuarios es que como resultado de esta operación, los servidores de comando y control que usaban los cibercriminales para comunicarse con las maquinas infectadas ya no están operativos. Aunque la operación del botnet Simda se ha suspendido, las personas con ordenadores infectados deberían deshacerse de este malware lo antes posible.

Utilizando la información recolectada de los servidores de comando y control de Simda, Kaspersky Lab ha creado una página especial donde puedes comprobar si la dirección IP de tu ordenador se encuentra en la lista de equipos infectados.

FUENTE OFICIAL : https://blog.kaspersky.es/

Cómo evitar ser etiquetado en fotos o videos de Facebook

La red social más popular del mundo nos permite narrar nuestra vida con textos, imágenes, enlaces y videos, integrando allí a nuestros amigos, pero, ¿qué pasa cuando te etiquetan en una imagen que no te gusta?

A todos nos pasó el ser etiquetados en Facebook dentro de una foto poco favorecedora o un video que nos puede traer problemas. En vez de esperar que nuestro amigo tenga la deferencia de preguntar antes de etiquetar, podemos evitar que nos pase.

Trucos-para-evitar-ser-etiquetado-en-Facebook

Trucos-para-evitar-ser-etiquetado-en-Facebook

Evitar que me etiqueten en Facebook

A través de la configuración de Facebook, hay formas de que nadie pueda etiquetarte sin tu autorización expresa, por más que añadan el tag al subir la foto o video. Para activar tan útil precaución, haz clic sobre el pequeño triangulo invertido en la esquina superior derecha de la pantalla de Facebook y selecciona la opción Configuración.

En Configuración, cliquea sobre Biografía y Etiquetado, lo verás en la barra que se ubica a la izquierda de la pantalla. Vamos a hacer algunos cambios en la sección ¿Quién puede agregar contenido a mi biografía?

En ¿Quieres revisar las publicaciones en las que tus amigos te etiquetan antes de que aparezcan en tu biografía? Cliqueamos en Editar y seleccionamos Activado. Con ello, deberás dar tu autorización para que aparezca una etiqueta con tu nombre en las publicaciones que hagan otras personas.

Para revisar las solicitudes de etiquetado, ve a tu Perfil y luego haz clic en Registro de Actividad, al costado inferior derecho de tu foto de Portada. Verás las solicitudes pendientes y está en ti aprobarlas o no.

Tus amigos podrán subir fotos y videos en los que aparezcas, añadiendo la etiqueta, pero esta sólo será visible para cualquier persona, una vez que tu la revises y autorices.

Eliminando etiquetas de imágenes y videos

Con los cambios que hicimos en la configuración de Facebook, estamos evitando que nos etiqueten sin permiso en imágenes y videos futuros, pero aún seguimos estando etiquetados en fotos y videos que se subieron con anterioridad.

Lo bueno es que podemos eliminar esas etiquetas. Dirígete a la foto o video en donde no quieres estar etiquetado y, en la zona inferior de la foto o video, cliquea sobre Opciones.

Se desplegará un menú, donde deberás seleccionar Reportar/Eliminar Etiqueta. Marca el cuadro Quiero desetiquetarme y luego da clic a Aceptar.

Listo, ya no estarás etiquetado en dicha imagen o video. Eso sí, tendrás que repetir el proceso en todo el resto de los contenidos en que no deseas aparecer etiquetado.

Cuida tu privacidad y evita problemas por imágenes o videos poco favorables o que te pueden traer problemas familiares y hasta laborales. Antes de etiquetar a alguien, recuerda seguir las reglas para ser un buen usuario de Facebook.

LA NSA LLEVA DESDE 1996 INTRODUCIENDO SOFTWARE ESPÍA EN TU DISCO DURO

La NSA lleva desde 1996 introduciendo software espía en tu disco duro

Seguramente creas que puedes eliminar el software malicioso del disco duro de tu ordenador o de un dispositivo como un smartphone o tableta. ¿Pero qué pasa si el software espía esta en el propio firmware del disco duro? Pues sencillamente que no tienes manera de detectarlo ni eliminarlo, ya que el firmware (el software que controla el funcionamiento fundamental del disco duro) no es accesible por el ordenador, y ni siquiera tras formatear el disco desaparece. Pues bien, según ha descubierto Kasperksy, la NSA lleva desde 1996 introduciendo software espía en los discos duros de fabricantes tan populares como Western Digital, Seagate, Toshiba, IBM o Samsung… es decir que los discos duros de los principales fabricantes ya venían infectados de fábrica en su firmare lo que lo hace que este “spyware” fuese indetectable e imposible de eliminar.

Según explica Kaspersky, este software ha sido encontrado en ordenadores personales de 30 países con una mayor incidencia en Iran, Rusia, Pakistan, Afghanistan, China, Mali, Syria, Yemen y Argelia. Los objetivos del espionaje incluyen instituciones gubernamentales y militares,empresas de telecomunicaciones, bancos, compañías energéticas, centros de investigación nuclear, medios de comunicación y activistas islámicos. Kaspersky no ha hecho público el gobierno que ha estado detrás de este espionaje pero ha indicado que está desarrollado por el llamado grupo Equation vinculado a Stutnex, la ciber-arma creada por la NSA que fue utilizada para atacar el proyecto de enriquecimiento de uranio de Iran.

Equation Group Mapa

Por otro lado, un antiguo empleado de la NSA ha confirmado a Reuters que el análisis de Kaspersky es correcto y que estos programas espía son tan valiosos dentro de la agencia como Stutnex. Otro antiguo operativo de la NSA también ha confirmado que la NSA había desarrollado este spyware para los discos duros, aunque no ha explicado que espionaje se ha llevado a través suyo.

Kaspersky laboratorio

Kaspersky ha hecho públicos los detalles técnicos de su investigación, que permitirá ayudar a las instituciones infectadas a detectar el software espía que puede llevar instalado en sus sistemas desde hace más de una década.

Fabricantes como Western Digital o Seagate han declarado que no tenían idea de la existencia de estos programas espía, mientras que otras empresas como Samsung han declinado hacer comentario alguno. Sin embargo, Costin Raiu, investigador de Kaspersky, señala que es imposible que la NSA haya podido introducir este software espía sin tener acceso al código fuente que gobierna el disco a bajo nivel. Según los ex empleados de la NSA consultados por Reuters, la agencia tendría diversas formas de obtener el código fuente de los fabricantes de discos duros, desde hacerse pasar por desarrolladores hasta obligar a las empresas que quieran vender productos a instituciones como el Pentágono a proporcionar el código fuente para asegurarse de que es seguro.

La publicación de estas actividades es sin duda un nuevo golpe para las relaciones de países como China y las empresas de tecnología occidentales. Recientemente, Apple ha accedido a una inspección por parte del gobierno chino al código fuente de sus dispositivos móviles que iban a ser vetados por entender que podían contener software espía y el gobierno chino ha anunciado además que está elaborando regulaciones que obligarán a los proveedores de tecnología que trabajen con bancos chinos a proporcionar el código fuente de sus productos para ser inspeccionado.

Estándar Internacional ISO/IEC 27002

¿Qué es ISO?

Monografias.com

ISO es el acrónimo de International Organization for Standardization. Aunque si se observan las iniciales para el acrónimo, el nombre debería ser IOS, los fundadores decidieron que fuera ISO, derivado del griego “isos”, que significa “igual”. Por lo tanto, en cualquier país o en cualquier idioma, el nombre de la institución es ISO, y no cambia de acuerdo a la traducción de “International Organization for Standardization” que corresponda a cada idioma. Se trata de la organización desarrolladora y publicadora de Estándares Internacionales más grande en el mundo. ISO es una red deinstituciones de estándares nacionales de 157 países, donde hay un miembro por país, con una Secretaría Central en Geneva, Suiza, que es la que coordina el sistema.

ISO es una organización no gubernamental que forma un puente entre los sectores públicos y privados.

Respecto al origen de la organización ISO, oficialmente comenzó sus operaciones el 23 de febrero de 1947 en Geneva, Suiza. Nació con el objetivo de “facilitar la coordinación internacional y la unificación de los estándares industriales.”

  • ¿Qué es IEC?

Monografias.com

IEC es el acrónimo de International Electrotechnical Commission. Esta es una organización sin fines de lucro y también no gubernamental. Se ocupa de preparar y publicar estándares internacionales para todas las tecnologías eléctricas o relacionadas a la electrónica.

IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estándares globales a lasindustrias electrotécnicas mundiales. Aunque como se acaba de decir, IEC nació en el Reino Unido, en el año de 1948 movieron su sede a Geneva, Suiza, ciudad en la que también se encuentra la sede de ISO.

  • ISO/IEC JTC1

ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de tecnología de la información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías de información. Dicho subcomité ha venido desarrollando unafamilia de Estándares Internacionales para el Sistema Gestión y Seguridad de la Información. La familia incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y medición, y el lineamiento de implementación del sistema de gestión de seguridad de la información. Esta familia adoptó el esquema de numeración utilizando las series del número 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones del ISO/IEC 17799 se encuentran bajo el esquema de numeración con el nombre ISO/IEC 27002.

  • Seguridad de la información

Monografias.com

Debido a que la información es un activo no menos importante que otros activos comerciales, es esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información.

La información puede existir en muchas formas, por ejemplo puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, hablada en una conversación, etc. Sea cual sea la forma en la que se tenga la información, debe estar en todo caso protegida.

La seguridad de la información se logra implementando un conjunto adecuado de controles, políticas, procesos,procedimientos, estructuras organizacionales, y otras acciones que hagan que la información pueda ser accedida sólo por aquellas personas que están debidamente autorizadas para hacerlo.

Es importante y necesario para las empresas realizar una evaluación de riesgos para identificar amenazas para los activos, así como también para conocer y analizar la vulnerabilidad y la probabilidad de ocurrencia de accesos, robo o alteración de la información, y el impacto potencial que esto llegaría a tener. Una vez se hayan identificado los riesgos, se procede a seleccionar controles apropiados a implementar para asegurar que los riesgos se reduzcan a un nivel aceptable.

Vulnerabilidad

Es una debilidad o agujero en la seguridad de la información, que se puede dar por causas como las siguientes, entre muchas otras:

  • Falta de mantenimiento

  • Personal sin los conocimientos adecuados o necesarios

  • Desactualización de los sistemas críticos.

Amenaza

Es una declaración intencionada de hacer un daño, como por ejemplo mediante un virus, un acceso no autorizado o robo. Pero no se debe pensar que únicamente personas pueden ser los causantes de estos daños, pues existen otros factores como los eventos naturales, que son capaces de desencadenar daños materiales o pérdidas inmateriales en los activos, y son también consideradas como amenazas.

Ataque

Es una acción intencional e injustificada (desde el punto de vista del atacado). Consiste en un intento por romper la seguridad de un sistema o de un componente del sistema.

Riesgo

Es una potencial explotación de una vulnerabilidad de un activo de información por una amenaza. Se valora como unafunción del impacto, amenaza, vulnerabilidad y de la probabilidad de un ataque exitoso.

Atacante

Es alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad.

Los atacantes pueden ser internos (que pertenecen a la organización) o externos (que no pertenecen a la organización). Respecto a los atacantes internos, son difíciles de detener porque la organización está en muchas maneras forzada a confiar en ellos. Estos conocen cómo trabaja el sistema y cuáles son sus debilidades. Quizás el error más común de seguridad es gastar considerables recursos combatiendo a los atacantes externos, ignorando las amenazas internas.

Estándar Internacional ISO/IEC 27002 (antiguamente ISO/IEC 17799)

Luego de haber definido algunos conceptos y conocimientos preliminares y de hablar de manera general sobre la organización ISO y el comité IEC, es momento de entrar en detalle y profundizar específicamente en el tema concerniente a esta investigación: el Estándar Internacional ISO/IEC 27002).

El documento del Estándar Internacional ISO/IEC 27002, después de la introducción, se divide en quince capítulos. En este documento se presentará un resumen y análisis de cada uno de los quince capítulos, de manera breve, pues el objetivo no es plasmar nuevamente lo que ya se encuentra en el documento original, sino que resaltar las ideas básicas de forma muy resumida y con un análisis propio sobre cada tema del cual se habla en éste importante Estándar Internacional para la seguridad en las tecnologías de información.

2.1. Alcance

Monografias.com

Este Estándar Internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.

2.2. Términos y definiciones

Monografias.com

En este apartado se habla de un conjunto de términos y definiciones que se presentan al final de este documento, en elGlosario, que son las definiciones de:

  • Activo
  • Control
  • Lineamiento
  • Medios de procesamiento de la información
  • Seguridad de la información
  • Evento de seguridad de la información
  • Incidente de seguridad de la información
  • Política
  • Riesgo
  • Análisis de riesgo
  • Evaluación del riesgo
  • Gestión del riesgo
  • Tratamiento del riesgo
  • Tercera persona
  • Amenaza
  • Vulnerabilidad

2.3. Estructura de este Estándar

Monografias.com

Este Estándar contiene un número de categorías de seguridad principales, entre las cuales se tienen once cláusulas:

2.4. Evaluación de los riesgos de seguridad

Monografias.com

Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a cada uno de los riesgos, aplicando medidas adecuadas de control para reducir la probabilidad de que ocurran consecuencias negativas al no tener una buena seguridad.

La reducción de riesgos no puede ser un proceso arbitrario y regido por la voluntad de los dueños o administradores dela empresa, sino que además de seguir medidas adecuadas y eficientes, se deben tener en cuenta los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales, objetivos organizacionales, bienestar declientes y trabajadores, costos de implementación y operación (pues existen medidas de seguridad de gran calidad pero excesivamente caras, tanto que es más cara la seguridad que la propia ganancia de una empresa, afectando larentabilidad).

Se debe saber que ningún conjunto de controles puede lograr la seguridad completa, pero que sí es posible reducir al máximo los riesgos que amenacen con afectar la seguridad en una organización.

2.5. Política de seguridad

Monografias.com

Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un “Documento de la política de seguridad de la información.” Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes.

El Documento de la Política de Seguridad de la Información debe contar con un claro lineamiento de implementación, y debe contener partes tales como una definición de seguridad de la información, sus objetivos y alcances generales, importancia, intención de la gerencia en cuanto al tema de seguridad de la información, estructuras de evaluación ygestión de riesgos, explicación de las políticas o principios de la organización, definición de las responsabilidades individuales en cuanto a la seguridad, etc. Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues si se distribuye fuera de la organización, no debería divulgar información confidencial que afecte de alguna manera a la organización o a personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar susdatos personales, etc.)

Las políticas de seguridad de la información no pueden quedar estáticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se dé. Por ejemplo, si aparece un nuevo virus o nuevas tecnologías que representen riesgos, las políticas de seguridad podrían cambiar o ser mejoradas de acuerdo a las necesidades actuales. Un caso práctico sería el aparecimiento de las memorias USB. Antiguamente esa tecnología no existía, entonces no se esperaba que existieran robos de información a través de puertos USB. Ahora las memorias USB son de uso global y por lo tanto, las políticas de seguridad deberían considerar bloquear puertos USB o algo por el estilo, para no permitir que se extraiga información de esa manera de forma ilícita o por personas no autorizadas.

Otro problema sería tener excelentes políticas de seguridad, pero que no sean implementadas correctamente o que simplemente se queden a nivel teórico y que no se apliquen. En la vida real se suelen dar casos donde las leyes están muy bien redactadas, pero que no se cumplen. Sucede en muchos países, que la legislación puede estar estructurada muy bien, pero que no se respeta. Igualmente podría darse que se tengan excelentes políticas, pero que no se cumplan o que no se sepan implementar correctamente. Por lo tanto, se requieren lineamientos de implementación adecuados.

2.6. Aspectos organizativos de la seguridad de la información

Monografias.com

La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros.

En cuanto a la organización interna, se tiene como objetivo manejar la seguridad de la información dentro de la organización.

Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organización. La gerencia debe invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas veces la seguridad requiere inversión económica, y parte del compromiso de la gerencia implica tener un presupuesto especial para seguridad, por supuesto de una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo, implementar un método carísimo de seguridad podría ser de gran beneficio, pero representar un costo demasiado elevado.

Es fundamental también asignar responsabilidades. Es típica una tendencia humana el echarle la culpa a otros. Entonces cuando la seguridad es atacada, casi siempre las personas dentro de la organización tratan de buscar un culpable y quedar libres de todo cargo. Por esa razón se deben asignar claramente responsabilidades para que cuando se den los problemas, cada quien responda por sus actos y por lo que estaba bajo su cargo. La asignación de responsabilidades no solamente tiene que ser verbal, sino que escrita y en muchas ocasiones, incluso bajo un contratolegal.

Deben también existir acuerdos de confidencialidad. También se debe tener en cuenta mantener los contactos apropiados con las autoridades relevantes, por ejemplo con la policía, departamento de bomberos, etc. También se debe saber en qué casos se debe contactar a estas instituciones. También se deben mantener contactos apropiados congrupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales, así como contar con capacitaciones en materia de seguridad.

La organización en materia de seguridad de la información debe también considerarse respecto a terceros. El objetivo de esto es mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Para ello se debe comenzar por la identificación de los riesgos relacionados con los grupos externos. Se debe estudiar cómo a raíz de procesos comerciales que involucran a grupos externos se les puede estar otorgando acceso que afecte la seguridad. Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con terceros, para no afectar la seguridad de la información.

2.7. Gestión de activos

Monografias.com

Se deben asignar responsabilidades por cada uno de los activos de la organización, así como poseer un inventarioactualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de todos los activos. Para esto el departamento de contabilidad tendrá que hacer un buen trabajo en cuanto a esta clasificación y desglose de activos, y el departamento de leyes de la empresa también tendrá que ser muy metódico en estos procesos, ya que los activos son todos los bienes y recursos que posee una empresa, incluyendo bienes muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia.

2.8. Seguridad ligada a los recursos humanos

Monografias.com

El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas para concientizar y proporcionar formación y procesos disciplinarios relacionados a la seguridad yresponsabilidad de los recursos humanos en este ámbito.

También se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de trabajo, para que la persona no se vaya simplemente y deje a la organización afectada de alguna manera en materia de seguridad.

2.9. Seguridad física y ambiental

Monografias.com

La seguridad física y ambiental se divide en áreas seguras y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento de información.

Se debe también contar con controles físicos de entrada, tales como puertas con llave, etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazas externas y de origen ambiental, como incendios (para los cuales deben haber extintores adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones, atentados terroristas, etc. Deben también haber áreas de acceso público de carga y descarga, parqueos, áreas de visita, entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas como antideslizantes y barras de apoyo sobre la pared para sujetarse.

En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los equipos, seguridad del cableado, mantenimiento de equipos, etc. Para todo esto se requerirá de los servicios de técnicos o ingenieros especializados en el cuidado y mantenimiento de cada uno de los equipos, así como en la inmediata reparación de los mismos cuando sea necesario. La ubicación de los equipos también debe ser adecuada y de tal manera que evite riesgos. Por ejemplo si algún equipo se debe estar trasladando con frecuencia, quizá sea mejor dejarlo en la primera planta, en vez de dejarlo en la última planta de un edificio, pues el traslado podría aumentar los riesgos de que se caiga y dañe, especialmente si no se cuenta con un ascensor. Se debe igualmente verificar y controlar el tiempo de vida útil de los equipos para que trabajen en condiciones óptimas.

2.10. Gestión de comunicaciones y operaciones

Monografias.com

El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información.

En primer lugar, es necesario que los procedimientos de operación estén bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia.

Otro aspecto fundamental es la gestión de cambios. Un cambio relevante no se debe hacer jamás sin documentarlo, además de la necesidad de hacerlo bajo la autorización pertinente y luego de un estudio y análisis de los beneficios que traerá dicho cambio.

Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorización o detección. Para ello debe haber una bitácora de accesos, con las respectivas horas y tiempos de acceso, etc.

Es completamente necesario tener un nivel de separación entre los ambientes de desarrollo, de prueba y de operación, para evitar problemas operacionales.

Si la organización se dedica a vender servicios, debe implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros.

A la hora de aceptar un nuevo sistema, se debe tener especial cuidado, verificando primeramente las capacidades y contando con evaluadores capacitados para determinar la calidad o falta de calidad de un sistema nuevo a implementar. Se tienen que establecer criterios de aceptación de los sistemas de información, actualizaciones o versiones nuevas, y se deben realizar pruebas adecuadas a los sistemas durante su desarrollo y antes de su aceptación.

La protección contra el código malicioso y descargable debe servir para proteger la integridad del software y laintegración con los sistemas y tecnologías con que ya se cuenta. Se deben también tener controles de detección, prevención y recuperación para proteger contra códigos maliciosos, por ejemplo antivirus actualizados y respaldos de información. De hecho, los respaldos de información son vitales y deben realizarse con una frecuencia razonable, pues de lo contrario, pueden existir pérdidas de información de gran impacto negativo.

En cuanto a las redes, es necesario asegurar la protección de la información que se transmite y la protección de la infraestructura de soporte. Los servicios de red tienen que ser igualmente seguros, especialmente considerando cómo la tendencia de los últimos años se encamina cada vez más a basar todas las tecnologías de la información a ambientes en red para transmitir y compartir la información efectivamente. Los sistemas tienen que estar muy bien documentados, detalle a detalle, incluyendo por supuesto la arquitectura de red con la que se cuenta.

Se tienen que establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación. Además de las medidas directas para proteger el adecuado intercambio de información, se le debe recordar al personal el tomar las precauciones adecuadas, como no revelar información confidencial al realizar una llamada telefónica para evitar ser escuchado o interceptado por personas alrededor suyo, intervención de teléfonos, personas en el otro lado de la línea (en el lado del receptor), etc. Igualmente para los mensajes electrónicos se deben tomar medidas adecuadas, para evitar así cualquier tipo de problema que afecte la seguridad de la información.

Cuando se haga uso del comercio electrónico, debe haber una eficiente protección cuando se pasa a través de redes públicas, para protegerse de la actividad fraudulenta, divulgación no autorizada, modificación, entro otros.

Debe haber un continuo monitoreo para detectar actividades de procesamiento de información no autorizadas. Lasauditorías son también necesarias.

Las fallas deben ser inmediatamente corregidas, pero también registradas y analizadas para que sirvan en la toma de decisiones y para realizar acciones necesarias.

Los relojes de todos los sistemas de procesamiento de información relevantes dentro de una organización o dominio de seguridad deben estar sincronizados con una fuente que proporcione la hora exacta acordada. Asimismo, todo acceso a la información debe ser controlado.

2.11. Control de acceso

Monografias.com

En primer lugar, se debe contar con una política de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas, etc.

Aparte de la autenticación correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la protección apropiada, como por ejemplo la activación automática de un protector de pantalla después de cierto tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contraseña conocida por quien estaba autorizado para utilizar la máquina desatendida.

Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información. Para todo esto deben existir registros y bitácoras de acceso.

Deben también existir políticas que contemplen adecuadamente aspectos de comunicación móvil, redes inalámbricas, control de acceso a ordenadores portátiles, y teletrabajo, en caso que los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la organización.

2.12. Adquisición, desarrollo y mantenimiento de los sistemas de información

Monografias.com

Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen.

Debe existir una validación adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes.

La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas criptográficas en la organización, utilizando técnicas seguras.

Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe controlar el acceso a los archivos del sistema y el código fuente del programa, y los proyectos de tecnologías de información y las actividades de soporte se deben realizar de manera segura.

Deben establecerse procedimientos para el control de la instalación del software en los sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias.

Se debe restringir el acceso al código fuente para evitar robos, alteraciones, o la aplicación de ingeniería inversa por parte de personas no autorizadas, o para evitar en general cualquier tipo de daño a la propiedad de código fuente con que se cuente.

La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios, revisiones técnicas de aplicaciones tras efectuar cambios en el sistema operativo y también restricciones a los cambios en los paquetes de software. No se tiene que permitir la fuga ni la filtración de información no requerida.

Contar con un control de las vulnerabilidades técnicas ayudará a tratar los riesgos de una mejor manera.

2.13. Gestión de incidentes en la seguridad de la información

Monografias.com

La comunicación es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible. De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los empleados, contratistas y terceros de los sistemas y servicios de información tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios.

Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información es elemental.

Aprender de los errores es sabio. Por ello, se deben establecer mecanismos para permitir cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información, siempre con la idea de no volver a cometer los errores que ya se cometieron, y mejor aún, aprender de los errores que ya otros cometieron.

A la hora de recolectar evidencia, cuando una acción de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra una acción legal (ya sea civil o criminal); se debe recolectar, mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdicción(es) relevante(s).

2.14. Gestión de la continuidad del negocio

Monografias.com

Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización.

Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la información. Estos planes no deben ser estáticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluación.

Junto a la gestión de riesgos, debe aparecer la identificación de eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información. Por supuesto se requieren planes alternativos y de acción ante tales eventos, asegurando siempre la protección e integridad de la información y tratando de poner el negocio en su estado de operación normal a la mayor brevedad posible.

2.15. Cumplimiento

Monografias.com

Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificación de la legislación aplicable debe estar bien definida.

Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general.

Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.

El cumplimiento de los requisitos legales se aplica también a la protección de los documentos de la organización, protección de datos y privacidad de la información personal, prevención del uso indebido de los recursos de tratamiento de la información, y a regulaciones de los controles criptográficos.

Los sistemas de información deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar el cumplimiento de los estándares de implementación de la seguridad.

En cuanto a las auditorías de los sistemas de información, se tiene que maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoría del sistema de información. Durante las auditorías de los sistemas de información deben existir controles para salvaguardar los sistemas operacionales y herramientas de auditoría. También se requiere protección para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoría.

Las actividades y requerimientos de auditoría que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.

Conclusión

Luego de estudiar el Estándar Internacional ISO/IEC 27002, se puede ver cómo muchos de los aspectos resaltados por este Estándar son aspectos generales que muchas organizaciones los toman en cuenta aún sin tener el certificado ISO/IEC 27002. Pero también existen muchas deficiencias en la gran mayoría de organizaciones en materia de seguridad. Algunos podrían considerar que apegarse a este tipo de estándares es en cierta forma caro y complicado, pero en realidad resulta mucho más caro sufrir las consecuencias que suele traer la falta de seguridad en un importantesistema de información.

El hecho de cumplir a cabalidad con el Estándar Internacional ISO/IEC 27002 no garantiza al 100% que no se tendrán problemas de seguridad, pues la seguridad al 100% no existe. Lo que sí se logra es minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas originados por la falta de seguridad.

Este documento proporciona una idea bastante clara de cómo se debe trabajar en materia de seguridad de tecnologías de información al apegarse a un Estándar Internacional (y por lo tanto mundialmente aceptado y conocido) como lo es el ISO/IEC 27002.

Recomendaciones

La primera recomendación es precisamente implementar el Estándar Internacional ISO/IEC 27002 a la mayor brevedad posible, o de no ser posible (por aspectos económicos, de infraestructura, etc.), por lo menos estudiar el documento oficial de este Estándar y estar conocedores de todos los elementos que se pueden implementar y de cómo esto podría beneficiar y minimizar la posibilidad de problemas por falta de seguridad.

La segunda recomendación es tener en claro, como ya se dijo, que la seguridad al 100% no existe pero que sí se puede maximizar la seguridad y minimizar los riesgos por falta de seguridad.

De ser posible, se debería considerar adquirir la certificación de este Estándar Internacional, pues esto representa un gran activo no sólo por los beneficios que de por sí trae el tener excelentes mecanismos de seguridad, sino también por el prestigio de contar con certificaciones internacionales de calidad.

Se recomienda también tener un equipo de analistas que evalúen las condiciones particulares de una organización, pues cada caso es único, y lo que a uno le funcionó, a otro podría no funcionarle debido a los aspectos particulares de cada empresa. Por esa razón, se debe estudiar cada caso en concreto, aunque nunca está de más aprender de los errores o del éxito de otros.