Seguridad y Tecnologia

No existe un único mecanismo capaz de proveer todos los servicios anteriormente citados, pero la mayoría de ellos hacen uso de técnicas criptográficas basadas en el cifrado de la información. Los más importantes son los siguientes:

• Intercambio de autenticación: corrobora que una entidad, ya sea origen o destino de la información, es la deseada, por ejemplo, A envía un número aleatorio cifrado con la clave pública de B, B lo descifra con su clave privada y se lo reenvía a A, demostrando así que es quien pretende ser. Por supuesto, hay que ser cuidadoso a la hora de diseñar estos protocolos, ya que existen ataques para desbaratarlos.
• Cifrado: garantiza que la información no es inteligible para individuos, entidades o procesos no autorizados (confidencialidad). Consiste en transformar un texto en claro mediante un proceso de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado. Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico. Estos sistemas son mucho más rápidos que los de clave pública, resultando apropiados para funciones de cifrado de grandes volúmenes de datos. Se pueden dividir en dos categorías: cifradores de bloque, que cifran los datos en bloques de tamaño fijo (típicamente bloques de 64 bits), y cifradores en flujo, que trabajan sobre flujos continuos de bits. Cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, puede ser conocida por todos. De forma general, las claves públicas se utilizan para cifrar y las privadas, para descifrar. El sistema tiene la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada. Los criptosistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para las funciones de autenticación, distribución de claves y firmas digitales.

Read the rest of this entry

Se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de ser contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los servicios y mecanismos de seguridad necesarios.

Read the rest of this entry

Para hacer frente a las amenazas a la seguridad del sistema se definen una serie de servicios para proteger los sistemas de proceso de datos y de transferencia de información de una organización. Estos servicios hacen uso de uno o varios mecanismos de seguridad. Una clasificación útil de los servicios de seguridad es la siguiente:

• Confidencialidad: requiere que la información sea accesible únicamente por las entidades autorizadas. La confidencialidad de datos se aplica a todos los datos intercambiados por las entidades autorizadas o tal vez a sólo porciones o segmentos seleccionados de los datos, por ejemplo mediante cifrado. La confidencialidad de flujo de tráfico protege la identidad del origen y destino(s) del mensaje, por ejemplo enviando los datos confidenciales a muchos destinos además del verdadero, así como el volumen y el momento de tráfico intercambiado, por ejemplo produciendo una cantidad de tráfico constante al añadir tráfico espurio al significativo, de forma que sean indistinguibles para un intruso. La desventaja de estos métodos es que incrementan drásticamente el volumen de tráfico intercambiado, repercutiendo negativamente en la disponibilidad del ancho de banda bajo demanda.
• Autenticación: requiere una identificación correcta del origen del mensaje, asegurando que la entidad no es falsa. Se distinguen dos tipos: de entidad, que asegura la identidad de las entidades participantes en la comunicación, mediante biométrica (huellas dactilares, identificación de iris, etc.), tarjetas de banda magnética, contraseñas, o procedimientos similares; y de origen de información, que asegura que una unidad de información proviene de cierta entidad, siendo la firma digital el mecanismo más extendido. Si le interesa, puede leer el curso de control de acceso en Internet mediante técnicas básicas.
• Integridad: requiere que la información sólo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creación y reactuación de los mensajes transmitidos. La integridad de datos asegura que los datos recibidos no han sido modificados de ninguna manera, por ejemplo mediante un hash criptográfico con firma, mientras que la integridad de secuencia de datos asegura que la secuencia de los bloques o unidades de datos recibidas no ha sido alterada y que no hay unidades repetidas o perdidas, por ejemplo mediante time-stamps.
• No repudio: ofrece protección a un usuario frente a que otro usuario niegue posteriormente que en realidad se realizó cierta comunicación. Esta protección se efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. El no repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje, mientras que el no repudio de recepción protege al emisor de que el receptor niegue haber recibido el mensaje. Las firmas digitales constituyen el mecanismo más empleado para este fin.
• Control de acceso: requiere que el acceso a los recursos (información, capacidad de cálculo, nodos de comunicaciones, entidades físicas, etc.) sea controlado y limitado por el sistema destino, mediante el uso de contraseñas o llaves hardware, por ejemplo, protegiéndolos frente a usos no autorizados o manipulación.
• Disponibilidad: requiere que los recursos del sistema informático estén disponibles a las entidades autorizadas cuando los necesiten.

Via http://www.iec.csic.es

El planeta ingresó en una “guerra fría cibernética” que se caracteriza por una carrera ciberarmamentista entre las grandes potencias, que espían a otras naciones y prueban redes informáticas con intenciones de utilizar Internet como campo de batalla, afirmó un informe publicado ayer en Estados Unidos por la empresa de seguridad McAfee.

“Muchas naciones están armándose para defenderse en una ciberguerra y alistando sus fuerzas para lanzar sus propios ataques”, afirma el quinto informe anual de McAfee, 2009 Virtual Criminology Report .

Read the rest of this entry

En este post quería dedicarle unas líneas a la visualización de datos. Es algo a lo que estamos acostumbrados pero a lo que quizá no siempre le damos la importancia que se merece. Los datos por si solos, y sobre todo cuando el volumen de datos es grande, pueden ser difíciles de interpretar. La visualización de datos trata de representar la información más relevante mediante una imagen clara y comprensible a simple vista. En cierta forma, la visualización de datos está muy ligada al mundo de la minería de datos ya que el objetivos es el mismo, extraer información importante de los datos de que disponemos.

Read the rest of this entry

Cuando se habla de seguridad informática se dice: “la empresa sufrió un ataque”. Tal afirmación indicaría que la compañía fue víctima de algún malvado que, a propósito, jugó una mala pasada.

Si bien es cierto que a veces un hacker o empleado malintencionado vulnera los sistemas de seguridad informática de la empresa para generar algún perjuicio (obtener información confidencial, por ejemplo), también es cierto que es altísimo el porcentaje de incidentes de seguridad de una compañía provocados por sus trabajadores.

De acuerdo con un estudio reciente de IDC, el 52% de las organizaciones encuestadas califica sus amenazas internas en seguridad como meros accidentes, mientras que el 19% cree que son intencionadas, el 26% piensa que pueden darse ambos casos y el 3% restante se muestra indeciso.

De aquí se desprenden varias conclusiones: la primera, que hay que no hay que concentrarse solamente en disminuir los riesgos de los ataques externos, puesto que, aunque usted no lo crea, está ampliamente demostrado que la mayoría vienen desde adentro, por eso hay que tomar todos los recaudos posibles para disminuir las chances de éxito de los empleados malintencionados que buscan provocar daño a la organización o vender información valiosa a la competencia, entre otros.

En segundo lugar, es necesario capacitar al personal con respecto a la seguridad de la información puesto que es muy alto el número de incidentes producidos involuntariamente. A tal fin, existen firmas especializadas que dictan cursos donde se enseñan algunas buenas prácticas en la materia. Lógicamente, la capacitación no debe quedarse en la teoría, sino que es necesario implementar lo aprendido y, por qué no, actualizar los conocimientos periódicamente.

En resumen, la seguridad es responsabilidad de todos los que trabajan en una empresa, y no sólo del departamento de seguridad. Por tal motivo, para estar más segura, una compañía debe adoptar una estrategia integral que mitigue los riesgos internos tanto accidentales como intencionados.

Autor: Débora Slotnisky
Fuente: Blog ExpandIT – Redusers

Los virus aparecen en mayor proporción en los sistemas de escritorio. En los sistemas más grandes, pueden aparecer otros problemas y se necesitan otros métodos para enfrentarlos. Saltzer y Schroeder (1975) han identificado varios principios generales que se pueden utilizar como una guía para el diseño de sistemas seguros. Algunas de sus ideas basadas en MULTICS son:

• En primer lugar, el diseño del sistema debe ser público. Pensar que el intruso no conocerá la forma del funcionamiento del sistema es engañar a los diseñadores.
• En segundo lugar, el estado predefinido debe ser el de no acceso. Los errores en donde se niega el acceso válido se reportan más rápido que los errores donde se permite el acceso no válido.
• En tercer lugar, verifique la autorización actual. El sistema no debe verificar el permiso, determinar que el acceso está permitido y después abandonar esta información para su uso posterior. Muchos sistemas verifican el permiso al abrir un archivo y no después de abrirlo. Esto significa que un usuario que abra un archivo y lo tenga abierto por semanas seguirá teniendo acceso a él, incluso en el caso de que el propietario haya cambiado la protección del archivo.
• En cuarto lugar, dé a cada proceso el mínimo privilegio posible. Si un editor solo tiene la autoridad para acceso al archivo por editar (lo cual se determina al llamar al editor), los editores con caballo de Troya no podrán hacer mucho daño. Este principio implica un esquema de protección de grado fino.
• En quinto lugar, el mecanismo de protección debe ser simple, uniforme e integrado hasta las capas más bajas del sistema. El intento por dotar de seguridad ha un sistema inseguro ya existente es casi imposible. La seguridad, al igual que lo correcto de un sistema, no es una característica que se pueda añadir.
• En sexto lugar, el esquema elegido debe ser psicológicamente aceptable. Si los usuarios sienten que la protección de sus archivos implica demasiado trabajo, simplemente no lo protegerán. Sin embargo, ellos se quejarán en voz alta si algo sale mal.

Via exa.unne.edu.ar

PREGUNTAS Y RESPUESTAS SOBRE LA ISO 17799

¿Qué es la ISO 17799?
La ISO 17799 es una guía de buenas prácticas de seguridad informática que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedan ser afectadas por la seguridad informática.

Read the rest of this entry