El daño realizado por intrusos en nuestros sistemas y la manera de prevención de acuerdo a la norma

de seguridad informática ISO 27001.

AUTORAS

Página 2 de 11

Evelin Muñoz NavarroEstudiante carrera Contador

Auditor. UACH

Anyie Gallardo GómezEstudiante carrera Contador

Auditor. UACH

Nidia Manríquez SolísEstudiante carrera Contador

Auditor. UACH

Detección de intrusos y sistemas de prevención.

Página 3 de 11

Dentro de la sociedad de la información en la cual estamos insertos debemos de considerar que con el avance en las tecnologías de la información,

principalmente con el crecimiento de internet, se debe tener real cuidado con la información almacenada en los sistemas informáticos, dado que existen muchas organizaciones con presencia en la Web. Por tanto la integridad y la disponibilidad de los sistemas informáticos deben estar debidamente resguardadas de las amenazas producidas por crackers, scripts kiddies, script boys, viruxer, piratas informáticos o hackers e inclusive estas amenazas pueden venir desde empresas rivales y por esto la necesidad de la detección de intrusos y la obtención de sistemas de prevención.

Un intruso puede atacar a los activos de información intentando entrar en un sistema o busca interrumpir el normal funcionamiento de un sistema informático, evadiendo los sistemas de seguridad Estos ataques pueden ser tanto internos como externos a la organización.

Todas las empresas u organizaciones que cuenten con sistemas de información,

deben tomar de forma muy seria la seguridad informática, por eso deben considerar lo necesario que es tener un sistema de detección de intrusos (IDS). El IDS es un dispositivo de software o hardware que permite automatizar el proceso de identificación. También existe el sistema de prevención de intrusiones (IPS), que es un dispositivo de software o hardware que cumple con las mismas capacidades de un IDS pero que además puede tratar de detener las posibles incidencias, detectando amenazas en tiempo real. La diferencia entre ambos está en que IDS informa de un posible ataque, en tanto que IPS hace intentos por detener estos ataques.

Existen investigaciones estadísticas que señalan que en los últimos diez años, producto al aumento de las tecnologías y las comunicaciones, los ataques o amenazas se han vuelto más agresivos y efectivos que antes.

A la par con el desarrollo en la creación de nuevos servicios por internet (entrega de noticias e información relevante,

cotizaciones bursátiles, correos electrónicos, compras en línea con tarjetas de crédito, etc.) también crecen los riesgos de ataques de intrusos maliciosos. Claramente las organizaciones necesitan de avanzados sistemas inteligentes de

Página 4 de 11

seguridad de la información que sean capaces de detectar todo tipo de ataques para así evitar la pérdida de datos y mantener la privacidad de estos.

A continuación algunos ejemplos de ataques de intrusos en sistemas de información que provocaron gran impacto dentro de las organizaciones afectadas:

En enero de 2009, un empleado en el departamento de recursos humanos de la Biblioteca del Congreso fue acusado de conspirar para cometer fraude electrónico en el que se robó información sobre al menos diez empleados de bases de datos de la biblioteca. Él pasó la información a un familiar, quien lo utilizó para abrir las cuentas. Juntos, los dos están acusados de haber comprado 38.000 dólares en bienes a través de estas cuentas (Jackson, 2009).

Marzo de 2009, Symantec ha alertado a un pequeño número de clientes que sus números de tarjetas de crédito pueden haber sido robados de un centro de llamadas indio utilizado por el proveedor de seguridad. Symantec envió cartas de advertencia a poco más de 200 clientes. La mayoría de los notificados se encontraban en los EE.UU., pero la compañía también notificó un puñado de clientes en el Reino Unido y Canadá (McMillan, 2009).

También en abril de 2009, un ex empleado en el Banco de Reserva

Federal de Nueva York y su hermano fueron arrestados bajo sospecha de obtener préstamos utilizando identidades robadas. El ex empleado había trabajado como analista de TI en el banco y tenía acceso a la información confidencial de empleados, incluyendo nombres, fechas de nacimiento, números de seguridad social y las fotografías. Una unidad de disco USB conectado a su ordenador tenía las solicitudes de $ 73.000 en préstamos estudiantiles con dos identidades robadas. También encontraron una licencia de conducir falsa con la foto de un empleado del banco que no era la persona indicada en la licencia (Annese, 2009).

Lo anterior son pequeños ejemplos del gran daño que puede provocar el robo de información confidencial. Entonces queda demostrado que las organizaciones deben contar con herramientas que contengan

una combinación de variadas técnicas de seguridad para resguardar la información de estas.

Página 5 de 11

Un Marco de normas de la seguridad informática.

a creación de normas de los sistemas de información han permitido mejorar los servicios de

seguridad informática de igual manera permite que las organizaciones internacionales cumplan esta normas a la par.

LEsta normalización ha traído consigo varios beneficios y también gran cantidad de organizaciones internacionales que han publicado estas normas.A pesar de lo anterior al realizar algunas encuestas en el 2008 y 2010 estas revelan que “la conciencia y el cumplimiento de las normas ampliamente aceptadas siguen siendo muy pequeña” además de la baja cantidad de empresas que las conocen las tienen implementadas.

Por lo tanto los autores proponen como objetivo de su trabajo “aumentar la sensibilización de las organizaciones sobre las normas de seguridad a través de un marco de normas de seguridad de la información conceptualización, la interconexión y la categorización”El marco que se propone se presenta por el estudio de un caso de un Sistema de Información de la Nómina y Pensionados (IBP). Los autores han llevado a cabo un

análisis de riesgos y el estudio de gestión para el sistema de información específico utilizando el Análisis de Riesgos y Metodología de Gestión de la ACTC. Este marco cuenta de cuatro etapas las cuales se basan en la ISO/IEC 27001:2005 y esto debido a que las encuestas indican que domina la gestión de seguridad de la información de orientación.

Página 6 de 11

1.- La primera etapa consiste en “reunir los requisitos de seguridad e implementar, operar, monitorear, revisar, mantener y mejorar un SGSI (sistema de gestión y seguridad informática)”. 2.- La segunda fase corresponde a la secuencia de la primera la cual conduce a un plan-hacer-verificar-actuar (PDCA).El seguimiento continuo y la revisión de los países desarrollados del SGSI. Además, la auditoría interna y externa del SGSI es necesaria. Todas estas tareas son parte de la fase de verificación. 

3.- La tercera fase es un proceso que da lugar a la realización de una serie de nuevas acciones (por ejemplo, la especificación de los límites de los sistemas)Directrices más específicas para su realización son proporcionados por la norma ISO / IEC 27005:2008, NIST Special Publication 800-30:2002 e ISO / IEC 27002:2005 (capas 2 y 3).

4.- La cuarta fase de la Ley de mejora y / o acciones correctivas consisten en ampliar y / o complementar y / o la personalización y / o especializada de las directrices de alto nivel de la norma ISO /

Página 7 de 11

IEC 27001:2005. Como resultado de ello, se propone un marco en el que las guías de gestión de la seguridad mediante el uso de las mejores prácticas publicadas por las normas establecidas.

Toda la explicación del marco desarrollado se realiza con un caso práctico en una empresa gubernamental la cual por medio de un sistema proporciona servicios basados en web para los empleados públicos jubiladosEl objetivo del sistema de IBP es automatizar la interacción de los funcionarios públicos y los jubilados con los departamentos gubernamentales competentes. Los servicios ofrecidos estarán disponibles 24 horas al día, siete días a la semana. Una de las funcionalidades principales del sistema es controlar los sueldos de los funcionarios públicos, y cuando un empleado se aplica a la jubilación para cambiar su estado de trabajador a jubilado y seguir observando sus beneficios.

El objetivo que se pretende lograr con la ayuda del marco de la norma ISO es gestionar el ciclo de la jubilación, para procesar los datos del pensionista y de ofrecer servicios públicos en línea a las personas jubiladas. El e-IBP incluye una infraestructura de hardware de los servidores web, servidores de aplicaciones, servidores de bases de datos, servidores de nombres de dominio

del sistema, servidores de correo, firewalls y switches y otros dispositivos periféricos o dispositivos de red.  Los usuarios del sistema son: los usuarios finales (ciudadanos), los usuarios avanzados (los empleados de los departamentos gubernamentales), los gerentes y administradores de sistemas.

La aplicación práctica de este marco permite el entendimiento en una mayor amplitud para ponerlo en práctica en otro tipo de organizaciones, además de la claridad con que se lleva a cabo el análisis de riesgos de la propuesta realizada.Este marco es muy útil para que las empresas comiencen a implementar las normas de seguridad informática ya que se muestra de una forma práctica los análisis de riesgos que son necesarios analizar al momento de contar con algún software que cuente con información importante y confidencial de la empresa y sus funcionarios o clientes. El poder comprender de una manera clara y tangible la importancia de las normas de seguridad ayudan para que las empresas puedan aumentar la implementación de estas para resguardar su información y poner en práctica las normas internacionales que mal que mal están para ser cumplidas por cada institución. Las encuesta que fueron realizadas por algunas auditoras internacionales

Página 8 de 11

muestran la preocupación y también muestran el origen de tantas fallas de gestión y de auditorías internas en la empresas ya que para muchas empresas hoy en día los software representan parte importante del desarrollo de sus funciones.

Según la propia conclusión de los autores “Se ha ilustrado cómo dicho marco es útil para los profesionales de seguridad para la organización de los procedimientos de gestión de seguridad de acuerdo a las actuales actividades de seguridad de normalización”.

La Seguridad Informática según la ISO 27001.

a ISO 27001 es una norma que tiene un gran alcance respecto a la gran variedad de organizaciones

que abarca, dicha norma ofrece seguridad y protección en la información personal.

LEste texto pretende establecer el desarrollo de un sistema de seguridad de la información de acuerdo a la Norma ISO 27001, luego una temática acerca de los riesgos en donde se establecen los riesgos a los cuales está expuesta una organización además de señalar las diferencias entre el riesgo puro y riesgo especulativo además de la diferencia de los riesgos estáticos y los riesgos dinámicos. Luego de entender el ambiente de riesgo en el que se está inmerso se puede implantar un sistema de gestión de seguridad de la información.Este sistema de gestión de seguridad de la información se preocupa de la evaluación de los riesgos además del tratamiento de dichos riesgos, los controles de riesgo, los progresos o soluciones, el análisis que se realiza a la documentación, las auditorias y revisiones llevadas a cabo.El autor hace un análisis de la rentabilidad de la inversión ROI para

el método de seguridad y las medidas de seguridad individuales debido a que actualmente en el ambiente económico el retorno de la inversión es articulada debido a que los costos de inversión no son de una sola vez. Cabe señalar que es de vital importancia preocuparse de los sistemas de información de gestión de seguridad ya que estos son sistemas vivos que necesitan seguimiento, revisión, auditoría y la evolución. Es necesario realizar un análisis de cómo enfrentarse a los cambios, las adquisiciones y fusiones del negocio respecto a reasignarlos sistemas de información de gestión. Esto puede ser aplicado tanto para grandes organizaciones como también pequeñas.La ISO 27001 es una norma internacional con mucho éxito a nivel mundial que entrega certificación a una gran variedad de organizaciones a nivel mundial. Esta

norma ha sido integrada como un

Página 9 de 11

requisito fundamental en cuadros regulatorios un ejemplo es la Oficina del Reino Unido del Comisionado de Información asesorar a las organizaciones a cumplir con la norma ISO 27001 para garantizar la protección de los datos personales de conformidad con los requisitos de la legislación de la Unión una protección de datos) y las garantías contractuales (por ejemplo, algunas organizaciones hacen una de las condiciones de la adjudicación de un contrato de prueba de la certificación según la norma ISO 27001).La norma ISO 27001 posee un grado alto para el desarrollo de un sistema de gestión de seguridad de la información pero le falta alinearse para hacerlo en la práctica.El autor Ted Humphreys, es un experto mundial en la seguridad de la información debido a que formo parte del desarrollo de la familia de normas ISO 27000, ha desarrollado además la labor de consultor implementando los sistemas de información de gestión de seguridad en una gran cantidad de organizaciones tanto de carácter público como privado alrededor del mundo.Ted afirma que el personal constituye el mayor riesgo potencial de seguridad de una organización pero que a la vez son el activo más grande de información.En la información de gestión, seguridad y riesgo de los profesionales en un contexto organizacional, hay una importante función que desempeñar en el desarrollo de los registros y los marcos de gestión de la información que entregan las garantías de

seguridad y las oportunidades de organización y evolución. En conclusión, Gestión de seguridad de la información debe ser una parte primordial en los registros y programas de gestión de la información. 

Bibliografía:

Ahmed Patel, Qais Qassim, Christopher Wills, (2010) "A survey of intrusion detection and prevention systems", Information Management & Computer Security, Vol. 18 Iss: 4, pp.277 – 290. A security standards' framework to facilitate best practices' awareness and conformity de los autores Aggeliki Tsohou, Departamento de Información y Comunicación Ingeniería de Sistemas, Universidad del Egeo, Samos, Grecia; Spyros Kokolakis, Departamento de Información y Comunicación Ingeniería de Sistemas, Universidad del Egeo, Samos, Grecia; Costas Lambrinoudakis, Departamento de Sistemas Digitales de la Universidad de Atenas, El Pireo, Grecia; Stefanos Gritzalis, Departamento de Información y Comunicación Ingeniería de Sistemas, Universidad del Egeo, Samos, Grecia. Este paper fue presentado en el año 2010 en la Seguridad de la Información de Sudáfrica Multiconferencia (SAISMC en el Centro de Conferencia de Tsitsikamma, Port Elizabeth, Sudáfrica

Information Security Risk Management: Handbook for ISO/IEC 27001 de los autores Elizabeth Lomas, la

Página 10 de 11

Universidad de Northumbria, en Newcastle-upon-Tyne, Reino Unido.

Página 11 de 11