Moment-2 Boris Vesga

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADEscuela de Ciencias Bsicas, Tecnologa e Ingeniera

MOMENTO 2

PRESENTADO POR. BORIS BERNARDA VESGA CARDOZO

PRESENTADO A. ING. YINA ALEXANDRA GONZALEZ SANABRIA

UNIVERSIDADNACIONALABIERTAYADISTANCIAUNADEscueladeCienciasBsicasTecnologaeIngenieraECBTIEspecializacinenSeguridadInformticaCurso.Aspectos ticos y legales de la seguridad informtica

UNIVERSIDADNACIONALABIERTAYADISTANCIAUNADEscueladeCienciasBsicasTecnologaeIngenieraECBTIEspecializacinenSeguridadInformticaCurso:Aspectos ticos y legales de la seguridad informtica

Descripcin de la actividad

1. Cada integrante del grupo debe hacer la bsqueda de por lo menos cinco delitos informticos ms comunes a que se ven enfrentadas las organizaciones, puede tomarse como referencia los problemas que se han presentado dentro de las empresas donde estn laborando actualmente, o la bsqueda de la informacin en internet, con esta informacin construir un cuadro con los delitos informticos.

AtaquesDescripcin

Ataques Dirigidos a Datos.Inyeccin SQL. (Wikipedia, 2014)

Es un mtodo de infiltracin de cdigo intruso que se vale de una vulnerabilidad informtica presente en una aplicacin en el nivel de validacin de las entradas para realizar consultas a una base de datos.

El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, cdigo SQL. Es, de hecho, un error de una clase ms general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programacin o script que est embebido dentro de otro.[footnoteRef:1] [1: Tomado de. http://es.wikipedia.org/wiki/Inyeccion_SQL]

Ataques de Ingeniera Social(segu-info.com.ar, s.f.)

Es una accin o conducta social destinada a conseguir informacin de las personas cercanas a un sistema. Es el arte de conseguir lo que nos interese de un tercero por medio de habilidades sociales. Estas prcticas estn relacionadas con la comunicacin entre seres humanos. Las acciones realizadas suelen aprovecharse de engaos, tretas y artimaas para lograr que un usuario autorizado revele informacin que, de alguna forma, compromete al sistema.[footnoteRef:2] [2: Tomado de. http://www.segu-info.com.ar/cruzada/consejo-01.html]

Ataques de fuerza bruta(http://faqoff.es/, 2013)Ataque por fuerza bruta es el mtodo para averiguar una contrasea probando todas las combinaciones posibles hasta dar con la correcta. Los ataques por fuerza bruta son una de las tcnicas ms habituales de robo de contraseas en Internet dado que no es necesario tener grandes conocimientos en seguridad informtica para realizar uno y existen programas que realizan de forma automtica todo el trabajo.[footnoteRef:3] [3: Tomado de. http://faqoff.es/que-es-un-ataque-por-fuerza-bruta/]

Ataques de Suplantacin (Spoofing)[footnoteRef:4] [4: Tomado de. http://es.wikipedia.org/wiki/Spoofing#IP_Spoofing]

IP Spoofing

Suplantacin de IP. Consiste bsicamente en sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP.

ARP Spoofing

Suplantacin de identidad por falsificacin de tabla ARP. Se trata de la construccin de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relacin IP-MAC) de una vctima y forzarla a que enve los paquetes a un host atacante en lugar de hacerlo a su destino legtimo.

DNS Spoofing

Suplantacin de identidad por nombre de dominio. Se trata del falseamiento de una relacin "Nombre de dominio-IP" ante una consulta de resolucin de nombre, es decir, resolver con una direccin IP falsa un cierto nombre DNS o viceversa.

Web Spoofing

Suplantacin de una pgina web real (no confundir con phishing). Enruta la conexin de una vctima a travs de una pgina falsa hacia otras pginas WEB con el objetivo de obtener informacin de dicha vctima (pginas web vistas, informacin de formularios, contraseas etc.).

Mail Spoofing

Suplantacin en correo electrnico de la direccin de correo electrnico de otras personas o entidades.

Ataques de Denegacin del Servicio[footnoteRef:5] [5: Tomado de. http://es.kioskea.net/contents/22-ataque-por-denegacion-de-servicio]

Un "ataque por denegacin de servicio" (DoS, Denial of service) tiene como objetivo imposibilitar el acceso a los servicios y recursos de una organizacin durante un perodo indefinido de tiempo. Por lo general, este tipo de ataques est dirigido a los servidores de una compaa, para que no puedan utilizarse ni consultarse.

Cuando varios equipos activan una denegacin de servicio, el proceso se conoce como "sistema distribuido de denegacin de servicio" (DDOS, Distributed Denial of Service).

2. Teniendo en cuanta la legislacin nacional e internacional sobre legislacin informtica y de seguridad de la informacin, escribir frente a cada delito del cuadro anterior que leyes a nivel nacional o internacional, podran aplicarse para ejercer controles sobre esos delitos (artculo aplicable).

AtaquesLey 1273 DE 2009[footnoteRef:6] [6: Tomado de. http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492]

Ataques Dirigidos a Datos.Artculo 269A. Acceso abusivo a un sistema informtico. El que, sin autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema informtico protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legtimo derecho a excluirlo, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes.

Artculo 269D. Dao Informtico. El que, sin estar facultado para ello, destruya, dae, borre, deteriore, altere o suprima datos informticos, o un sistema de tratamiento de informacin o sus partes o componentes lgicos, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes.

Artculo 269F. Violacin de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes.

Ataques de Ingeniera Social

Ataques de fuerza brutaArtculo 269A. Acceso abusivo a un sistema informtico. El que, sin autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema informtico protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legtimo derecho a excluirlo, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes.

Ataques de Suplantacin (Spoofing)Artculo 269G:Suplantacin de sitios web para capturar datos personales. El que con objeto ilcito y sin estar facultado para ello, disee, desarrolle, trafique, venda, ejecute, programe o enve pginas electrnicas, enlaces o ventanas emergentes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena ms grave.En la misma sancin incurrir el que modifique el sistema de resolucin de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena ms grave.La pena sealada en los dos incisos anteriores se agravar de una tercera parte a la mitad, si para consumarlo el agente ha reclutado vctimas en la cadena del delito.

Ataques de Denegacin del ServicioArtculo 269B. Obstaculizacin ilegtima de sistema informtico o red de telecomunicacin. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informtico, a los datos informticos all contenidos, o a una red de telecomunicaciones, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

3. Finalmente proponer un sistema de control para los delitos mencionados basados en polticas, estrategias y controles para que no vuelvan a presentarse estos delitos y que sean severamente castigados de acuerdo a la ley vigente.

POLITCIAS DE SEGURIDAD

Poltica 1. Acceso a la informacin.

ObjetivoControlar y establecer los privilegios de acceso y restricciones para el acceso de la informacin de la organizacin.

AlcanceEl alcance de esta poltica involucra a todos los empleados y contratistas de la organizacin.

Poltica Los clientes internos de la organizacin solo tendrn acceso a la informacin necesaria para el desarrollo de sus actividades derivadas de su cargo. La asignacin de privilegios de acceso a la informacin estar regulada mediante normas, procedimientos y protocolos de acceso. Todos los privilegios de acceso a los sistemas de informacin o recursos informticos de la organizacin debern de finalizar ipso facto una vez el empleado o contratista culmine sus obligaciones contractuales con la organizacin. A travs de los registros histricos de eventos (log) de los recursos informticos de la infraestructura tecnolgica se efectuara el rastreo de los sucesos relacionados con el acceso a la informacin o servicios de la organizacin, con el objeto de reducir el riesgo de prdida de la integridad, confidencialidad y disponibilidad de los servicios e informacin necesarios para la ejecucin de los procesos de negocio; en caso de descubrir alguna incidencia se deber documentar y elaborar el plan de accin para solucionarla.

Responsabilidad

Es responsabilidad del rea de TI velar por el cumplimiento de esta poltica por lo cual se debe suministrar estrategias, procedimientos y controles que permitan administrar controlar y medir el cumplimiento de esta poltica adems de darla a conocer a los interesados.

Es responsabilidad de los empleados y contratistas conocer y aplicar de forma correcta esta poltica incluyendo sus procedimientos y de ninguna manera se podr divulgar la informacin relacionada con esta a terceros.

Poltica 2. Modificacin a la configuracin de la infraestructura tecnolgica.

ObjetivoControlar la modificacin de la configuracin de la infraestructura tecnolgica de la organizacin.


Poltica

Todo cambio en la configuracin de la infraestructura tecnolgica que se tenga planeado realizar a la infraestructura tecnolgica, deber ser solicitado por los usuarios del recurso o servicio y autorizado por el lder del rea de TI de la organizacin. Ningn cambio en la configuracin de la infraestructura tecnolgica podr realizarse sin una previa autorizacin y de ninguna manera realizado por el mismo usuario del recurso o servicio. Se deber llevar un registro histrico de cualquier cambio a la configuracin de la infraestructura tecnolgica para realizar el debido seguimiento. Cuando se realice cambios en la configuracin de la infraestructura tecnolgica deber realizarse de tal forma que no vulnera la seguridad de la misma.

Responsabilidad



Poltica 3. Seguridad de la informacin.

ObjetivoControlar y establecer responsabilidades sobre el manejo de la informacin en la organizacin.


Poltica El empleado o contratista es el responsable de la informacin a su cargo de acuerdo al contrato de confidencialidad y buen manejo de la informacin pactado en el momento del ingreso a la organizacin para evitar prdidas, accesos no autorizados, divulgacin y utilizacin indebida de la informacin. Los empleados o contratistas bajo ninguna situacin podrn suministrar informacin a terceros si una previa autorizacin del lder del rea de TI. Todo empleado o contratista que tenga asignados recursos informticos de la organizacin para la ejecucin de actividades propias de su cargo, son los responsables de velar por la integridad, confidencialidad y disponibilidad fsica y de la informacin contenida o circulante. Ningn usuario sin excepcin puede ver, copiar, modificar o eliminar la informacin que reside en los equipos de cmputo sin previo consentimiento del responsable del equipo.

Responsabilidad



Poltica 4. Seguridad en los servicios.

ObjetivoEstablecer controles y acciones para la utilizacin de los servicios disponibles en la organizacin.


Poltica

Los servicios tecnolgicos disponibles en la organizacin debern ser usados nicamente en la ejecucin de actividades derivadas de las funciones del cargo y bajo ninguna circunstancia debern ser utilizados para asuntos personales de los empleados o contratistas. La organizacin se reserva el derecho de monitorear y acceder a los servicios utilizados por el empleado o contratista sin previo aviso. Para tal efecto el empleado o contratista autoriza a la organizacin para realizar estas auditoras directas o a travs de terceros. Los empleados o contratistas que tengan acceso a internet para cumplir funciones o actividades derivadas de su cargo debern someterse al contrato de confidencialidad y buen manejo de la informacin. Por ningn motivo se deber recibir o compartir informacin en archivos adjuntos de remitentes debidamente identificados, con el objeto de evitar el ingreso y proliferacin de software malicioso. Si el usuario o contratista sospecha que hay infeccin por virus, deber informar inmediatamente al rea de TI, apagar el PC y desconectarlo de la red.

Responsabilidad



Poltica 5. Seguridad en recursos informticos.

ObjetivoEstablecer controles y acciones para la utilizacin para los recursos disponibles en la organizacin.


Poltica Administracin de usuarios. Determina los parmetros de seguridad para la creacin de usuarios y la creacin de las contraseas de acceso a los recursos informticos, estableciendo criterios de seguridad como la longitud mnima, la caducidad de las mismas entre otras. Rol de usuarios. Los sistemas de informacin y las bases de datos debern de contar con roles de usuario para definir niveles de acceso y acciones que pueden realizar los usuarios. Acceso a los sistemas de informacin. El acceso a los sistemas de informacin debern realizarse por medio de credenciales de acceso nicos para cada usuario. Credenciales de acceso. Las credenciales de acceso a los sistemas de informticos por parte de empleados y contratistas, son de responsabilidad individual y no deben ser divulgados a ninguna persona. Responsabilidad de acceso. Los usuarios son los nicos responsables de todas las acciones realizadas en los recursos informticos a travs de sus credenciales de acceso. Puertas traseras. Es de suma importancia aceptar su existencia y se debern desarrollar planes de accin para reducir el riesgo de accesos no autorizados. Proceso de cifrado. Toda informacin sensible, critica o confidencial deber de tener controles de acceso y sometida a procesos de cifrado para garantizar la integridad, confidencialidad y disponibilidad de la misma. El usuario deber notificar al rea de TI, si detecta cualquier actividad inusual en los servicios o recursos bajo sus responsabilidad.

Responsabilidad



Poltica 6. Seguridad en redes.

ObjetivoEstablecer controles y acciones para la utilizacin de las redes en la organizacin por parte del personal de la organizacin.


Poltica

Toda la documentacin (Direcciones internas, topologas, configuracin de conexin a la red de los host y dispositivos activos de red, entre otros) relacionada con el diseo, seguridad y configuracin de la red deber ser considerada y tratada como informacin confidencial. La red fsica deber estar dividida de forma lgica en diferentes segmentos de red, cada uno con sus controles de seguridad y mecanismos de control de acceso. Todas la conexiones desde o hacia redes externas debern cruzar a travs de sistemas de defensa que incluye servicios de cifrado y verificacin de datos, deteccin de ataques cibernticos, deteccin de intrusos y servicios de administracin de autenticacin de usuarios y permisos.

Responsabilidad



Poltica 7. Software utilizado

ObjetivoEstablecer controles y acciones para la instalacin y configuracin de componentes de software en los equipos de cmputo de la organizacin.


Poltica La totalidad del software que se utilice en el dominio de la organizacin deber estar licenciado bajo ninguna circunstancia se utilizara software pirata. La totalidad del software que se utilice para el tratamiento de la informacin en la organizacin deber de contar con respaldo de parte de la empresa creadora; y desarrollado bajo estndares de calidad para evitar o detectar vulnerabilidades. Todo el software utilizado en la organizacin deber estar debidamente actualizado con los parches ms recientes para evitar ataques por causa de vulnerabilidades detectadas por las empresas desarrolladoras. Ningn usuario est autorizado para instalar ningn tipo de software, en caso que se requiera un software en especial para realizar actividades derivadas de su cargo deber ser solicitado al rea de TI quienes pueden autorizar e instalar componentes de software en los equipos de cmputo.

Responsabilidad



Poltica 8. Tratamiento del hardware.

ObjetivoEstablecer controles y acciones para la instalacin, configuracin y ubicacin de componentes de hardware en los equipos de cmputo de la organizacin.


Poltica Cualquier cambio en la estructura fsica de los equipos de cmputo deber tener previamente una evaluacin tcnica y autorizacin del rea de TI. Cualquier tipo de procedimiento que implique la apertura de los equipos de cmputo deber ser realizada nicamente por el personal autorizado previamente por el rea de TI. Bajo ninguna circunstancia los recursos de hardware podrn reubicarse sin la autorizacin del rea de TI. Ningn usuario est autorizado para instalar ningn componente de hardware en los equipos de cmputo, en caso que se requiera un hardware en especial para realizar actividades derivadas de su cargo deber ser solicitado al rea de TI quienes pueden autorizar e instalar componentes de hardware en los equipos de cmputo.

Responsabilidad



Poltica 9. Seguridad fsica.

ObjetivoEstablecer controles de ingreso y permanencia a las reas fsicas designadas como restringidas.

AlcanceEl alcance de esta poltica involucra a todos los empleados, contratistas y visitante de la organizacin.

Poltica Las reas de la organizacin que se consideren zonas restringidas debern de contar con sistemas de control de acceso y se deber de registrar la razn del ingreso. Las reas de la organizacin que se consideren zonas restringidas debern de contar con sistemas de control de incendios, inundaciones y alarmas. Todo el personal incluyendo empleados, contratistas y visitantes debern de portar su identificacin en un lugar visible. Todo visitante sin excepcin deber estar debidamente identificado y acompaado por un empleado o contratista desde su ingreso hasta la salida de la zona restringida. Si un empleado o contratista sorprende a un visitante en una zona restringida sin custodia deber informar inmediatamente al personal de seguridad. Ningn visitante est autorizado para utilizar recursos informticos de la organizacin.

Responsabilidad



Poltica 10. rea de trabajo limpias.

ObjetivoEstablecer protocolos de estado relacionados con las reas de trabajo.


Poltica

Las reas de trabajo incluyendo escritorios mesas debern de permanecer limpios para proteger documentos, dispositivos de almacenamiento con el objeto de reducir accesos no autorizados, perdida y dao de informacin durante y fuera de la jornada laboral.

Responsabilidad



BIBLIOGRAFIABentez, M. (s.f.). Polticas de seguridad informtica. Recuperado el 10 de Mayo de 2014, de gestionintegral.com.co: http://www.gestionintegral.com.co/wp-content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdfCODECHOCO. (s.f.). Polticas de seguridad de los recursos informticos en CODECHOCO. Recuperado el 10 de Mayo de 2014, de codechoco.gov.co: http://www.codechoco.gov.co/files/POLITICAS_INFORMATICAS_CODECHOCO.pdfCongreso de Colombia. (t5 de Enero de 2009). LEY 1273 DE 2009. Recuperado el 23 de Abril de 2014, de alcaldiabogota.gov.co: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492CORPOAMAZONIA. (s.f.). Politica de seguridad. Recuperado el 10 de Mayo de 2014, de corpoamazonia.gov.co: http://www.corpoamazonia.gov.co/POLITICA_DE_SEGURIDAD.pdfCVS. (2011). Polticas y normas de seguridad informtica . Recuperado el 10 de Mayo de 2014, de cvs.gov.co: http://www.cvs.gov.co/jupgrade/images/stories/docs/Alertas/Politicas_de_Seguridad_Informatica_CVS_2011-.pdfhttp://faqoff.es/. (7 de Mayo de 2013). Qu es un ataque por fuerza bruta. Recuperado el 23 de Abril de 2014, de http://faqoff.es/: http://faqoff.es/que-es-un-ataque-por-fuerza-bruta/Instituto del mar en Peru. (12 de Julio de 2012). Instituto del mar en Peru -Resolucion directoral de 144-B de 2012 . Recuperado el 10 de Mayo de 2014, de imarpe.pe: http://www.imarpe.pe/imarpe/archivos/informes/imarpe_res_dir_de_143_2012_pol_seg.pdfKioskea. (2014 de Marzo). Ataque por denegacin de servicio. Recuperado el 23 de Abril de 2014, de kioskea.net: http://es.kioskea.net/contents/22-ataque-por-denegacion-de-servicioMicrosoft. (s.f.). Inyeccin de cdigo SQL. Recuperado el 23 de Abril de 2014, de http://technet.microsoft.com/: http://technet.microsoft.com/es-es/library/ms161953(v=sql.105).aspxsegu-info.com.ar. (s.f.). Uso de la Ingeniera Social. Recuperado el 23 de Abril de 2014, de segu-info.com.ar: http://www.segu-info.com.ar/cruzada/consejo-01.htmlWikipedia. (20 de Abril de 2014). Inyeccin SQL. Recuperado el 23 de Abril de 2014, de http://es.wikipedia.org/wiki/Inyeccion_SQLWikipedia. (29 de Enero de 2014). IP Spoofing. Recuperado el 23 de Abril de 2014, de wikipedia.org: http://es.wikipedia.org/wiki/Spoofing#IP_Spoofing

Moment-2 Boris Vesga

Documents

Transcript of Moment-2 Boris Vesga