UNIVERSIDAD TCNICA ESTATAL DE QUEVEDO

FACULTAD DE CIENCIAS DE INGIENERA

ESCUELA DE ELCTRICA
CARRERA DE INGENIERA TELEMTICA

Tema:

APLICACIN DE TCNICAS DE SEGURIDAD EN LA

RED
Autor:

ANDRS GRACIA MONTAO

Curso:

SEXTO SEMESTRE TELEMTICA

Tutor:

ING. JANETH MORA

QUEVEDO LOS RIOS ECUADOR
2016 2017

INDICE
1.

2.

3.

SEGURIDAD EN LA RED.......................................................................................1
1.1.

Seguridad Activa...............................................................................................1

1.2.

Seguridad Pasiva...............................................................................................1

1.3.

Seguridad Fsica................................................................................................1

1.4.

Seguridad Lgica..............................................................................................1

TERMINOS...............................................................................................................2
2.1.

Confidencialidad...............................................................................................2

2.2.

Integridad..........................................................................................................2

2.3.

Disponibilidad...................................................................................................2

2.4.

Seguridad de la informacin............................................................................2

2.5.

Activo.................................................................................................................2

2.6.

Vulnerabilidades...............................................................................................2

2.7.

Amenaza............................................................................................................2

2.8.

Riesgo.................................................................................................................2

2.9.

Firewall..............................................................................................................2

2.10.

Antivirus.........................................................................................................2

2.11.

Antispan.........................................................................................................2

DELITOS..................................................................................................................3
3.1.

4.

Tipos de delitos informticos...........................................................................3

3.1.1.

Delitos Computacionales...........................................................................3

3.1.2.

Delitos informticos...................................................................................4

Normativa ISO/IEC 27002........................................................................................4

4.1.

Origen................................................................................................................5

4.2.

Presentacin de los estndares que la componen...........................................6

4.2.1.

ISO/IEC 27000...........................................................................................6

4.2.2. ISO/IEC 27001 (Sistema de Gestin de la Seguridad de la

Informacin)............................................................................................................6
4.2.3.

ISO/IEC 27002...........................................................................................6

4.2.4.

ISO/IEC 27003...........................................................................................6

4.2.5.

ISO/IEC 27004...........................................................................................6

4.2.6.

ISO/IEC 27005...........................................................................................7

4.2.7.

ISO/IEC 27006:..........................................................................................7

4.2.8.

ISO/IEC 27007:..........................................................................................7

4.2.9.

ISO/IEC 27008:..........................................................................................7

4.2.10.

ISO/IEC 27010:......................................................................................7

4.2.11.

ISO/IEC 27011:......................................................................................7

4.2.12.

ISO/IEC 27012:......................................................................................7

4.2.13.

ISO/IEC 27013.......................................................................................7

4.2.14.

ISO/IEC 27014:......................................................................................7

4.2.15.

ISO/IEC 27015:......................................................................................7

4.2.16.

ISO/IEC 27016:......................................................................................7

4.2.17.

ISO/IEC 27031:......................................................................................7

4.2.18.

ISO/IEC 27032:......................................................................................7

4.2.19.

ISO/IEC 27033:......................................................................................7

4.2.20.

ISO/IEC 27034:......................................................................................7

4.2.21.

ISO/IEC 27035:......................................................................................7

4.2.22.

ISO/IEC 27036:......................................................................................7

4.2.23.

ISO/IEC 27037:......................................................................................7

4.2.24.

ISO/IEC 27038:......................................................................................7

4.2.25.

ISO/IEC 27039:......................................................................................7

4.2.26.

ISO/IEC 27040:......................................................................................7

4.2.27.

ISO 27799:..............................................................................................7

4.3.

ISO 27002...........................................................................................................8

4.4.

Surgimiento.....................................................................................................13

ISO/IEC 27002:......................................................................................................13

ISO:..................................................................................................................13

IEC:..................................................................................................................13

4.5.

Alcance.............................................................................................................13

4.6.

Estructura........................................................................................................13

4.6.1.

Poltica de seguridad...............................................................................13

4.6.2.

Aspectos organizativos de la seguridad de la informacin..................13

4.6.3.

Gestin de activos....................................................................................14

4.6.4.

Seguridad ligada a los recursos humanos.............................................14

4.6.5.

Seguridad fsica y ambiental...................................................................14

4.6.6.

Gestin de comunicaciones y operaciones.............................................15

4.6.7.

Control de acceso.....................................................................................15

4.6.8. Adquisicin, desarrollo y mantenimiento de los sistemas de

informacin............................................................................................................16
4.6.9.

Gestin de incidentes en la seguridad de la informacin.....................16

5.

4.6.10.

Gestin de la continuidad del negocio................................................16

4.6.11.

Cumplimiento.......................................................................................17

AMENAZAS DE LA SEGURIDAD......................................................................17
6.2. TIPOS DE AMENAZA......................................................................................18
6.2.1. AMENAZAS POR EL ORIGEN................................................................18
6.2.2. AMENAZAS POR EL EFECTO...............................................................18

6.

ADMINISTRACIN DE LA SEGURIDAD EN LOS ROUTERS........................19

6.1.

Activar secreto.................................................................................................19

6.2.

Service password-encryption.........................................................................19

6.3.

Controlar el acceso interactivo......................................................................20

6.4.

Puertos de consola...........................................................................................20

6.5.

Controlar los vty y asegurar la disponibilidad de vty..................................20

7.

LISTAS DE CONTROL DE ACCESO...................................................................20

8.

BIBLIOGRAFA.....................................................................................................22

1. SEGURIDAD EN LA RED.
Las redes informticas, y entre ellas Internet, son uno de los mayores peligrosos que
existen en la seguridad de un sistema informtico, ya que en la actualidad la mayora de
las amenazas y ataques provienen desde el exterior, a travs de la red. Sobre todo, hay
que tener especial cuidado en la seguridad de las redes inalmbricas. Para protegerse y
reservar la seguridad en una red informtica se dispone de una serie de herramientas del
sistema operativo y de los dispositivos de red.
La seguridad en la red se clasifica en funcin de si se ocupa de evitar el ataque o
incidente (seguridad activa) o de recuperar el sistema una vez que este se haya
producido (seguridad pasiva).
1.1. Seguridad Activa
Son aquellas medidas que se utilizan para detectar las amenazas, y en el caso de
deteccin generar los mecanismos adecuados para evitar el problema. Algunos ejemplos
son los cortafuegos o firewall, el empleo de contraseas o claves, el uso de antivirus.
1.2. Seguridad Pasiva.
Son aquellas medidas utilizadas para que una vez que se produzca el ataque o fallo en la
seguridad. Hacer que el impacto sea el menor posible, y activar mecanismo de
recuperacin del mismo.
1.3. Seguridad Fsica.
Se utilizan barreras fsicas para proteger fsicamente al sistema informtico y a la red.
Las amenazas fsicas las pueden producir el hombre de forma accidental o intencionada,
o bien por factores naturales. Los accidentes son olvido de la clave, borrado por
equivocacin, etc. borrado deliberado de la informacin, etc. Dentro de las provocadas
por factores naturales se pueden encontrar incendios, inundaciones.
1.4. Seguridad Lgica.
Se encarga de asegurar la parte del software del sistema informtico y de la red, es decir
programas y datos. La seguridad lgica se encarga de controlar el acceso se realice por
usuarios autorizados.

2. TERMINOS.
En la seguridad en la red se manejan una serie de trminos o conceptos generales.
2.1.
Confidencialidad.
Se refiere a que la informacin solo puede ser conocida por individuos autorizados.
2.2.
Integridad.
Se refiere a que una informacin no ha sido alterada, borrada, reordenada, copiada, bien
durante el proceso de transmisin o en su propio equipo de origen.
2.3.
Disponibilidad.
Se refiere a que la informacin pueda ser recuperada o est disponible en el momento
que se necesite.
2.4.
Seguridad de la informacin.
Se refiere a las acciones encaminadas al establecimiento de directrices que permitan
alcanzar la confidencialidad, integridad y disponibilidad de la informacin, as como la
continuidad de funcionamiento ante un evento que las interrumpa.
2.5.
Activo.
Se refiere a los recursos con los que cuenta una tangible o intangible.
2.6.
Vulnerabilidades.
Se refiere a la exposicin a un riesgo, fallo o hueco de seguridad detectado en algn
programa o equipo.
2.7.
Amenaza
Llevar a cabo una amenaza.
2.8.
Riesgo
A un echo potencial, que en el caso de producirse puede impactar negativamente en la
seguridad.
2.9.
Firewall.
Se refiere al elemento de proteccin que sirve para filtrar paquetes (entrada o salida)
de un sistema conectado a una red, que puede ser Internet o una intranet. Existen
firewall de software o hardware. Este filtrado se hace a travs de reglas, donde es
posible bloquear direcciones (URL), puertos, protocolos, entre otros.
2.10.
Antivirus.
Se refiere a un programa capaz de detectar, controlar y eliminar virus informticos y
algunos cdigos maliciosos (Troyanos, Works, Rootkits, Adware, Backdoor, entre
otros.)
2.11.
Antispan.
Se refiere a un programa capaz de detectar, controlar y eliminar correos de envo
masivo. (span)
2.12.

Criptografa.

Se refiere al arte de cifrar y descifrar informacin con claves secretas, donde los
mensajes o archivos solo pueden ser ledos por las personas a quienes van dirigidos.

3. DELITOS.
Un delito informtico o ciberdelincuencia es
aquel en el que se emplean elementos
informticos para llevarse a cabo, Tiene como
objetivo destruir y daar sistemas informticos,
medios electrnicos y redes. Normalmente, se
suelen realizar a travs de una red informtica o
Internet, por lo que tambin se les denomina
delitos telemticos.
El motivo del delito informtico puede ser muy
variado, desde destruir informacin que contiene
un sistema informtico hasta colapsar una red. El delito informtico puede tener un
alcance mayor e incluir delitos tradicionales como fraude, el robo, el chantaje, la
falsificacin y la malversacin de caudales pblicos. Con el desarrollo de la
programacin y de Internet, los delitos informticos se han vuelto ms frecuentes y
sofisticados.
Debido a que la informtica se mueve ms rpido que la legislacin, existen conductas
criminales por vas informticas que no pueden considerarse como delito, por el cual se
definen como abusos informticos.
Existen actividades delictivas que se realizan por medio de estructuras electrnicas que
buscan infringir y daar todo lo que encuentren en el mbito informtico: ingreso ilegal
a sistemas, interceptado ilegal de redes, interferencias, daos en le informacin, fraude
electrnico, ataques a sistemas, robo de bancos y muchos ms. Para realizar un fraude
se requiere tener altos conocimientos de informtica, adems del sistema que se quiere
atacar.
En la actualidad existen leyes que tienen como objetivo la proteccin integral de los
sistemas que utilicen tecnologas de informacin; as como la sancin de los delitos
cometidos mediante el uso de dichas tecnologas.

3.1.
Tipos de delitos informticos.
Existen dos tipos de delitos informticos: Delitos computacionales y delitos
informticos.
En la actualidad el simple hecho de poder diferenciar los delitos computacionales con
los informticos ha provocado una seria confusin al momento de penalizar este tipo de
conductas es por eso que tratar de esclarecer estas definiciones.

3.1.1. Delitos Computacionales.

Son conductas delictivas que se cometen a travs de mquinas conectadas a redes
locales, nacionales y globales, con la finalidad de afectar al patrimonio de las personas
como por ejemplo cuando tratan de sustraerse bienes, en este caso dinero de cuentas
3

bancarias; o que quieran lesionar el derecho a la intimidad de las personas, el honor y el

buen nombre la seguridad pblica que nuestra Constitucin de la Repblica garantiza en
el marco de los derechos y libertades.

3.1.2. Delitos informticos.

A diferencia de los delitos computacionales estas conductas se atacan entre s mismo, el
dao es directamente al software, o sea el ataque es precisamente de forma lgica ms
no de forma fsica con el fin de hurtar objetos materializados, por ejemplo: la
intromisin de virus, el acceso prohibido a un computador o a datos restringidos en una
red.

4. Normativa ISO/IEC 27002

ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollopor
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad
de la informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
ISO (Organizacin Internacional de Estndares) e IEC (Comisin Internacional de
Electrotecnia) conforman un sistema especializado para los estndares mundiales.
Organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de
Normas Internacionales a travs de comits tcnicos establecidos por la organizacin
respectiva para tratar con los campos particulares de actividad tcnica. Los comits
tcnicos de ISO e IEC colaboran en los campos de inters mutuo. Otras organizaciones
internacionales, gubernamentales y no gubernamentales, en relacin con ISO e IEC,
tambin forman parte del trabajo. En el campo de tecnologa de informacin, ISO e IEC
han establecido unirse en un comit tcnico, ISO/IEC JTC 1 (Join Technical Committee
N1). Los borradores de estas normas Internacionales adoptadas por la unin de este
comit tcnico son enviados a los organismos de las diferentes naciones para su
votacin. La publicacin, ya como una Norma Internacional, requiere la aprobacin de
por lo menos el 75% de los organismos nacionales que emiten su voto. La historia de
esta familia ISO-2700, tiene ms de veinte aos, naciendo como Estndar Internacional
ISO/IEC 17799 el cual a su vez tuvo el antecesor preparado inicialmente por el Instituto
de Normas Britnico (como BS 7799) y fue adoptado, bajo la supervisin del grupo de
trabajo Tecnologas de la Informacin, del Comit Tcnico de esta unin entre
ISO/IEC JTC 1, en paralelo con su aprobacin por los organismos nacionales de ISO e
IEC. El estndar ISO/IEC 27001 es el nuevo estndar oficial, su ttulo completo inicial
fue: BS 7799-2:2005 (ISO/IEC 27001:2005). Tambin preparado por este JTC 1 y en el
subcomit SC 27, IT Security Techniques. 1870 organizaciones en 57 pases han
reconocido la importancia y los beneficios de esta nueva norma. Actualmente el ISO27001 es el nico estndar aceptado internacionalmente para la administracin de la
seguridad de la informacin y aplica a todo tipo de organizaciones, tanto por su tamao
como por su actividad A los efectos de la certificacin, hubo una transicin entre ambas
normas quedando propuesta (o establecida) por el TPS-55 de UKAS (United Kingdom

Acreditation Service): Transition Statement Regarding Arrangements for the

Implementation of ISO 27001:2005. Estableca que las empresas (en realidad los
auditores, lo cual afecta directamente a las empresas) durante los primeros seis meses
(desde que se firm el acuerdo MoU: Memorandum of Understanding entre UKAS y
el Departamento de Comercio e Industria de Reino Unido), pueden elegir acerca de qu
estndar aplicar, a partir del 23 de julio del 2006, la nica certificacin que se deber
aplicar ser la ISO/IEC 27001:2005. Ante cualquier no conformidad con la aplicacin
de la misma motivada claramente por su transicin, se estableci un plazo de un ao
para solucionarla, es decir, hasta el 23 de julio de 2007. Como mencionamos al
principio, uno de los aspectos que consideramos ms acertados de esta norma es la
palabra Gestin. Evidentemente la experiencia que se vena acumulando con la
familia ISO-9000 Gestin de Calidad, ISO-14000 Gestin medioambiental, etc
demostraba que un sistema actual, no puede ser slo un hito, un umbral superado.
Necesita inexorablemente un Ciclo de vida un ciclo de mejora continua, que no es
ms que lo que se conoca como ciclo de Deming (PDCA: Plan Do Check Act).
En pleno siglo XXI, la evolucin es permanente y vertiginosa, por lo tanto lo ms
importante es mantener vivas las infraestructuras, y no poda ser menos con las ms
aceleradas de todas, las infraestructuras de Sistemas de Informacin (SSII).
Administrar Seguridad
Gestionar Seguridad
Dispersin
de
Ahorro en Inversiones y Tiempo Formacin
Plataformas.
de un Equipo Tcnico y Multidisciplinar.
Especializacin
Organizacin Dedicada a su Negocio.
Facilidad Control e Implantacin Polticas de
Puntual.
Ausencia
de
Seguridad.
Delegacin de Tareas.
Estndares.
Mayor Cantidad de
Economa de Escala.
Recursos.
Gestin Administracin Completa e Integral.
Mayor Tiempo de
Procedimientos
Actualizados
segn
Peticiones.
disposiciones Legales Vigentes y Evolucin
Dificultad
de
de Necesidades.
Medicin.
Gestin del Riesgo y Alineacin de
Riesgo Difcil de
Inversiones y Negocio.
Controlar y Gestionar.
Alineacin de Seguridad con Calidad.
4.1.
Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution, la organizacin britnica equivalente a AENOR en Espaa)
es responsable de la publicacin de importantes normas como:

1979 Publicacin BS 5750 - ahora ISO 9001

1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar
a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de
la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que
no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada
por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la
informacin (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt
por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas
de gestin.

En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public

por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta
ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el
contenido as como el ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public
la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.

4.2.

Presentacin de los estndares que la componen

4.2.1. ISO/IEC 27000.

Es una visin general de las normas que componen la serie 27000. Actualmente slo en
ingls y puede descargarse gratuitamente en la Web: www.iso.org (Publicada en mayo
de 2009).
4.2.2. ISO/IEC 27001 (Sistema de Gestin de la Seguridad de la Informacin).
Esta norma fue publicada en octubre de 2005, dejando obsoleta a la ISO-17799. Se trata
de una norma certificable y es la que establece todos los requerimientos de un SGSI.
Como anexo de la misma, pone de manifiesto el listado de los 133 Controles pero sin
entrar en detalle sobre los mismos (misin de la 27002). A finales de 2009 AENOR la
traduce al espaol y la pblica como UNE-ISO/IEC 27001:2007. En 2009 AENOR
tambin publica otro documento con ciertas modificaciones a la norma, que lo
denomin UNEISO/IEC 27001:2007/1M: 2009.
4.2.3. ISO/IEC 27002.
Cdigo o Gua de buenas prcticas para la Seguridad de la Informacin, fue publicado
el 15 de junio del 2005 y detalla los 133 controles reunidos en 11 grupos, ms 39
Objetivos de control. en Espaa AENOR la public como UNE-ISO/IEC 27002:2009
en diciembre de 2009.
4.2.4. ISO/IEC 27003.
6

Gua de Implementacin. Describe los aspectos a tener en cuenta para la implantacin

de un SGSI, fue publicada en febrero de 2009 y an no existe traduccin al espaol.
4.2.5. ISO/IEC 27004.
Es la norma que describe todos los aspectos de mtricas, indicadores y mediciones que
deben realizarse sobre un SGSI. Se public en diciembre de 2009. Cabe mencionar aqu
que segn toda la familia, si un Control no es medible no sirve para nada (pues no nos
permitir evaluar su estado ni evolucin), as que es muy recomendable considerar esta
norma, sobre todo a la hora de ir avanzando en los ciclos de vida de un SGSI.

4.2.6. ISO/IEC 27005.

Trata los aspectos relacionados a la Gestin de riesgos tema de suma importancia en
toda esta familia, fue publicada en junio de 2008 y an no est traducida al espaol.
Cabe mencionar que para la certificacin en ISO-27001, no se exige ninguna
metodologa en concreto para el Anlisis de Riesgo, siempre y cuando esta actividad
sea coherente y metodolgica, pero insistimos que es la primera y tal vez ms
importante actividad de toda esta familia.
4.2.7. ISO/IEC 27006: Especifica los requisitos que debe reunir cualquier
organizacin que desee acreditarse como Entidad certificadora de ISO
27001, fue publicada en marzo de 2007.
4.2.8. ISO/IEC 27007: (Borrador) Gua para auditora de un SGSI.
4.2.9. ISO/IEC 27008: (Borrador) Gua para auditora de los controles de un
SGSI.
4.2.10. ISO/IEC 27010: (Borrador) Gua para la gestin de la seguridad de
Sistemas de Informacin entre organizaciones.
4.2.11. ISO/IEC 27011: Gua de implementacin de un SGSI para el sector de
Telecomunicaciones, se public en diciembre de 2008, an no est
disponible en espaol.
4.2.12. ISO/IEC 27012: (Borrador) SGSI para el sector de e-administracin.
4.2.13. ISO/IEC 27013. (Borrador) Integracin con ISO-20000.
4.2.14. ISO/IEC 27014: (Borrador) Gobierno corporativo de un SGSI.
4.2.15. ISO/IEC 27015: (Borrador) Sector financiero.
4.2.16. ISO/IEC 27016: (Borrador) Relacionado a finanzas en las organizaciones.
4.2.17. ISO/IEC 27031: Directrices para la preparacin de las TIC en la
Continuidad de Negocio, de reciente publicacin, orientada a aspectos
especficos de las TICs, en particular hacia el Plan de Continuidad de
Negocio.
4.2.18. ISO/IEC 27032: (Borrador) Ciberseguridad.
4.2.19. ISO/IEC 27033: Seguridad en redes, consta de 7 partes, de las cules la 1 y
2 ya estn disponibles.
4.2.20. ISO/IEC 27034: (Borrador) Guas de seguridad para aplicaciones
informticas.
4.2.21. ISO/IEC 27035: (Borrador) Gua para la gestin reincidentes de seguridad.
4.2.22. ISO/IEC 27036: (Borrador) Gua de seguridad para externalizacin de
prestaciones.
7

4.2.23. ISO/IEC 27037: (Borrador) Relacionada a evidencias digitales.

4.2.24. ISO/IEC 27038: (Borrador) Redaccin digital.
4.2.25. ISO/IEC 27039: (Borrador) Sistemas de deteccin de intrusiones (IDSs).
4.2.26. ISO/IEC 27040: (Borrador) Seguridad en almacenamiento de informacin.
4.2.27. ISO 27799: Publicada en el 2008 y est orientada a la aplicacin de un SGSI
en el mbito sanitario. Desde el ao pasado ya est disponible en AENOR su
versin en espaol.

4.3.

ISO 27002

Esta norma como mencionamos al principio es la que describe con mximo de detalle
cada uno de los controles y objetivos de control que se deben considerar. A la hora de
implantar un SGSI, se debe tener en cuenta cada uno de ellos desde el principio, pues
hay un documento que se denomina Declaraciones de aplicabilidad en el cual se
presenta cmo tratar la organizacin a cada uno de ellos. Esto tiene mucha lgica, pues
sobre cada uno de los controles, es que se debe hacer un minucioso anlisis para ver
cules aplican y cuales no aplican, no tendra ningn sentido dedicar tiempo a
comercio electrnico o reas de carga y descarga, etc si mi empresa no lo hace o no

las tiene.

10

4.4.

Surgimiento

ISO/IEC 27002: El Estndar Internacional nace bajo la coordinacin de dos

organizaciones:

ISO: International Organization for Standardization.

IEC: International Electrotechnical Commission.

ISO e IEC han establecido un comit tcnico conjunto denominado ISO/IEC JTC1
(ISO/IEC Joint Technical Committee). Este comit trata con todos los asuntos de
tecnologa de informacin. La mayora del trabajo de ISO/IEC JTC1 es hecho por
subcomits que tratan con un campo o rea en particular. Especficamente el subcomit
SC 27 es el que se encarga de las tcnicas de seguridad de las tecnologas de
informacin, que es en esencia de lo que trata el Estndar Internacional ISO/IEC 27002
(antiguamente llamado ISO/IEC 17799, pero a partir de julio de 2007, adopt un nuevo
esquema de numeracin y actualmente es ISO/IEC 27002.
4.5.
Alcance
El Estndar Internacional ISO/IEC 27002 va orientado a la seguridad de la informacin
en las empresas u organizaciones, de modo que las probabilidades de ser afectados por
robo, dao o prdida de informacin se minimicen al mximo.
4.6.
Estructura
El Estndar Internacional ISO/IEC 27002 contiene un nmero de categoras de
seguridad principales, entre las cuales se tienen once clusulas:

4.6.1. Poltica de seguridad.

Su objetivo es proporcionar a la gerencia la direccin y soporte para la seguridad de la
informacin, en concordancia con los requerimientos comerciales y las leyes y
regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada
organizacin. Se debe redactar un "Documento de la poltica de seguridad de la
informacin".
Este documento debe ser primeramente aprobado por la gerencia y luego publicado y
comunicado a todos los empleados y las partes externas relevantes. Las polticas de
seguridad de la informacin no pueden quedar estticas para siempre, sino que por el
contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan
en condiciones favorables y en concordancia con los cambios tecnolgicos o cualquier
tipo de cambio que se d.

4.6.2. Aspectos organizativos de la seguridad de la informacin.

La organizacin de la seguridad de la informacin se puede dar de dos formas:
organizacin interna y organizacin con respecto a terceros.

Organizacin interna: se tiene como objetivo manejar la seguridad de la

informacin dentro de la organizacin.

11

Organizacin con respecto a terceros: La organizacin en materia de

seguridad de la informacin debe tambin considerarse respecto a terceros. El
objetivo de esto es mantener la seguridad de la informacin y los medios de
procesamiento de informacin de la organizacin que son ingresados,
procesados, comunicados a, o manejados por, grupos externos. Para ello se debe
comenzar por la identificacin de los riesgos relacionados con los grupos
externos. Se debe estudiar cmo a raz de procesos comerciales que involucran a
grupos externos se les puede estar otorgando acceso que afecte la seguridad.
Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial
cuidado respecto a los contratos que se hagan con terceros, para no afectar la
seguridad de la informacin.

4.6.3. Gestin de activos.

Se deben asignar responsabilidades por cada uno de los activos de la organizacin, as
como poseer un inventario actualizado de todos los activos que se tienen, a
quien/quienes les pertenecen, el uso que se les debe dar, y la clasificacin de todos los
activos.

4.6.4. Seguridad ligada a los recursos humanos.

El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idneos para los roles para los cuales son considerados,
reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir
claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser
simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de
trabajo. Tambin deben existir capacitaciones peridicas para concientizar y
proporcionar formacin y procesos disciplinarios relacionados a la seguridad y
responsabilidad de los recursos humanos en este mbito.

4.6.5. Seguridad fsica y ambiental.

La seguridad fsica y ambiental se divide en reas seguras y seguridad de los
equipos. Respecto a las reas seguras, se refiere a un permetro de seguridad
fsica que cuente con barreras o lmites tales como paredes, rejas de entrada
controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para
proteger las reas que contienen informacin y medios de procesamiento de
informacin.
Se debe controlar la temperatura adecuada para los equipos, seguridad del
cableado, mantenimiento de equipos, etc. Para todo esto se requerir de los
servicios de tcnicos o ingenieros especializados en el cuidado y mantenimiento
de cada uno de los equipos, as como en la inmediata reparacin de los mismos
cuando sea necesario. La ubicacin de los equipos tambin debe ser adecuada y
de tal manera que evite riesgos.
Se debe controlar la temperatura adecuada para los equipos, seguridad del
cableado, mantenimiento de equipos, etc. Para todo esto se requerir de los
12

servicios de tcnicos o ingenieros especializados en el cuidado y mantenimiento

de cada uno de los equipos, as como en la inmediata reparacin de los mismos
cuando sea necesario. La ubicacin de los equipos tambin debe ser adecuada y
de tal manera que evite riesgos.

4.6.6. Gestin de comunicaciones y operaciones.

El objetivo de esto es asegurar la operacin correcta y segura de los medios de
procesamiento de la informacin.
Se deben tener en cuenta los siguientes aspectos:

Los procedimientos de operacin deben estar bien documentados, pues no basta

con tener las ideas en la mente de los administradores, sino que se deben
plasmar en documentos que por supuesto estn autorizados por la gerencia.
Llevar a cabo la gestin de cambios. Un cambio relevante no se debe hacer
jams sin documentarlo, adems de la necesidad de hacerlo bajo la autorizacin
pertinente y luego de un estudio y anlisis de los beneficios que traer dicho
cambio.
Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los
activos sin autorizacin o deteccin.
Es completamente necesario tener un nivel de separacin entre los ambientes de
desarrollo, de prueba y de operacin, para evitar problemas operacionales.
Si la organizacin se dedica a vender servicios, debe implementar y mantener el
nivel apropiado de seguridad de la informacin y la entrega del servicio en lnea
con los acuerdos de entrega de servicios de terceros.
Se debe controlar la temperatura adecuada para los equipos, seguridad del
cableado, mantenimiento de equipos, etc. Para todo esto se requerir de los
servicios de tcnicos o ingenieros especializados en el cuidado y mantenimiento
de cada uno de los equipos, as como en la inmediata reparacin de los mismos
cuando sea necesario. La ubicacin de los equipos tambin debe ser adecuada y
de tal manera que evite riesgos.

4.6.7. Control de acceso.

Se debe contar con una poltica de control de acceso. Todo acceso no autorizado
debe ser evitado y se deben minimizar al mximo las probabilidades de que eso
suceda. Todo esto se controla mediante registro de usuarios, gestin de
privilegios, autenticacin mediante usuarios y contraseas, etc.
Son necesarios controles de acceso a la red, al sistema operativo, a las
aplicaciones y a la informacin. Para todo esto deben existir registros y bitcoras
de acceso.
Los usuarios deben asegurar que el equipo desatendido tenga la proteccin
apropiada, como por ejemplo la activacin automtica de un protector de
pantalla despus de cierto tiempo de inactividad, el cual permanezca impidiendo
el acceso hasta que se introduzca una contrasea conocida por quien estaba
autorizado para utilizar la mquina desatendida.
13

4.6.8. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.

Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al
desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la
seguridad que ofrecen.

La gestin de claves debe ser tal que ofrezca soporte al uso de tcnicas
criptogrficas en la organizacin, utilizando tcnicas seguras.
Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se
debe controlar el acceso a los archivos del sistema y el cdigo fuente del
programa, y los proyectos de tecnologas de informacin y las actividades de
soporte se deben realizar de manera segura.
Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se
debe controlar el acceso a los archivos del sistema y el cdigo fuente del
programa, y los proyectos de tecnologas de informacin y las actividades de
soporte se deben realizar de manera segura.
Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se
debe controlar el acceso a los archivos del sistema y el cdigo fuente del
programa, y los proyectos de tecnologas de informacin y las actividades de
soporte se deben realizar de manera segura.

4.6.9. Gestin de incidentes en la seguridad de la informacin.

Se debe trabajar con reportes de los eventos y debilidades de la seguridad de la
informacin, asegurando una comunicacin tal que permita que se realice una
accin correctiva oportuna, llevando la informacin a travs de los canales
gerenciales apropiados lo ms rpidamente posible.
Asegurar que se aplique un enfoque consistente y efectivo a la gestin de los
incidentes en la seguridad de la informacin es elemental.
Se deben establecer mecanismos para permitir cuantificar y monitorear los tipos,
volmenes y costos de los incidentes en la seguridad de la informacin, siempre
con la idea de no volver a cometer los errores que ya se cometieron, y mejor an,
aprender de los errores que ya otros cometieron.

4.6.10. Gestin de la continuidad del negocio.

Las consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la
disponibilidad del servicio debieran estar sujetas a un anlisis del impacto comercial. Se
deben desarrollar e implementar planes para la continuidad del negocio para asegurar la
reanudacin oportuna de las operaciones esenciales.

Se debe contar con planes de continuidad del negocio que incluyan la seguridad
de la informacin. Estos planes no deben ser estticos, sino que deben ser
actualizados y ser sometidos a pruebas, mantenimiento y reevaluacin.
Junto a la gestin de riesgos, debe aparecer la identificacin de eventos que
pueden causar interrupciones a los procesos comerciales, junto con la

14

probabilidad y el impacto de dichas interrupciones y sus consecuencias para la

seguridad de la informacin. Por supuesto se requieren planes alternativos y de
accin ante tales eventos, asegurando siempre la proteccin e integridad de la
informacin y tratando de poner el negocio en su estado de operacin normal a
la mayor brevedad posible.

4.6.11. Cumplimiento.
Es una prioridad el buen cumplimiento de los requisitos legales para evitar las
violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier
requerimiento de seguridad. La identificacin de la legislacin aplicable debe estar bien
definida.

Se deben definir explcitamente, documentar y actualizar todos los

requerimientos legales para cada sistema de informacin y para la organizacin
en general.
Es necesario implementar los procedimientos apropiados para asegurar el
cumplimiento de los requerimientos legislativos, reguladores y contractuales
sobre el uso del material con respecto a los cuales puedan existir derechos de
propiedad intelectual y sobre el uso de productos de software patentado.
El cumplimiento de los requisitos legales se aplica tambin a la proteccin de los
documentos de la organizacin, proteccin de datos y privacidad de la
informacin personal, prevencin del uso indebido de los recursos de
tratamiento de la informacin, y a regulaciones de los controles criptogrficos.
Los sistemas de informacin deben estar bajo monitoreo y deben chequearse
regularmente para ver y garantizar el cumplimiento de los estndares de
implementacin de la seguridad.

5. AMENAZAS DE LA SEGURIDAD
No slo las amenazas que surgen de la programacin y el funcionamiento de un
dispositivo de almacenamiento, transmisin o proceso deben ser consideradas, tambin
hay otras circunstancias no informticas que deben ser tomadas en cuenta. Muchas son a
menudo imprevisibles o inevitables, de modo que las nicas protecciones posibles son
las redundancias y la descentralizacin, por ejemplo mediante determinadas estructuras
de redes en el caso de las comunicaciones o servidores en clster para la disponibilidad.
Estn pueden ser causadas por:
Usuarios: Causa del mayor problema ligado a la seguridad de un sistema
informtico. En algunos casos sus acciones causan problemas de seguridad, si bien
en la mayora de los casos es porque tienen permisos sobredimensionados
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilcito de
los recursos del sistema. Es instalado en el ordenador, abriendo una puerta a intrusos
o bien modificando los datos. Estos programas pueden ser un virus informtico, un

15

gusano informtico, un troyano, una bomba lgica, un programa espa o spyware, en

general conocidos como malware.
Errores de programacin: la mayora de los errores de programacin que se pueden
considerar como una amenaza informtica es por su condicin de poder ser usados
como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en s
mismo, una amenaza. La actualizacin de parches de los sistemas operativos y
aplicaciones permite evitar este tipo de amenazas.
Intrusos: personas que consiguen acceder a los datos o programas a los cuales no
estn autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers,
etc.).

6.2. TIPOS DE AMENAZA

Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir ms de
una clasificacin. Por ejemplo, un caso de phishing puede llegar a robar la contrasea de
un usuario de una red social y con ella realizar una suplantacin de la identidad para un
posterior acoso.
6.2.1. AMENAZAS POR EL ORIGEN
El hecho de conectar una red a un entorno externo nos da la posibilidad de que algn
atacante pueda entrar en ella y hurtar informacin o alterar el funcionamiento de la red.
Sin embargo el hecho de que la red no est conectada a un entorno externo, como
Internet, no nos garantiza la seguridad de la misma. De acuerdo con el Computer
Security Institute (CSI) de San Francisco, aproximadamente entre el 60 y 80 por ciento
de los incidentes de red son causados desde dentro de la misma. Basado en el origen del
ataque podemos decir que existen dos tipos de amenazas:
Amenazas internas: generalmente estas amenazas pueden ser ms serias que las
externas, por varias razones como:

Si es por usuarios o personal tcnico, conocen la red y saben cmo es su

funcionamiento, ubicacin de la informacin, datos de inters, etc. Adems
tienen algn nivel de acceso a la red por las mismas necesidades de su trabajo, lo
que les permite mnimos movimientos.
Los sistemas de prevencin de intrusos o IPS, y firewalls son mecanismos no
efectivos en amenazas internas por no estar, habitualmente, orientados al trfico
interno. Que el ataque sea interno no tiene que ser exclusivamente por personas
ajenas a la red, podra ser por vulnerabilidades que permiten acceder a la red
directamente: rosetas accesibles, redes inalmbricas desprotegidas, equipos sin
vigilancia.

6.2.2. AMENAZAS POR EL EFECTO

El tipo de amenazas segn el efecto que causan a quien recibe los ataques podra
clasificarse en:

Robo de informacin.
16

Destruccin de informacin.
Anulacin del funcionamiento de los sistemas o efectos que tiendan a ello.
Suplantacin de la identidad, publicidad de datos personales o confidenciales,
cambio de informacin, venta de datos personales, etc.
Robo de dinero, estafas,...
Amenazas por el medio utilizado

6. ADMINISTRACIN DE LA SEGURIDAD EN LOS

ROUTERS
Las contraseas y los secretos similares, tales como identificaciones de comunidad del
Protocolo de administracin de red simple (SNMP), son la forma de defensa principal
contra el acceso no autorizado a su router. La mejor forma de administrar a la mayora
de las contraseas es mantenerlas en un TACACS+ o en un servidor de autenticacin
RADIUS. Sin embargo, casi cada router todava tiene una contrasea localmente
configurada para el acceso privilegiado, y puede tambin tener otra informacin de
contrasea en su archivo de configuracin.

6.1.
Activar secreto
El comando enable secret se utiliza para establecer la contrasea que concede acceso
administrativo privilegiado al sistema IOS. Un enable secret password debe ser fijado
siempre. Utilizar el comando enable secret, no el ms viejo comando enable password.
El comando enable password utiliza un algoritmo de cifrado vulnerable. Ver la seccin
del service password-encryption de este documento para ms informacin.
Si se fija el no enable secret, y una contrasea se configura para la lnea TTY de
consola, la contrasea de consola se puede utilizar para recibir el acceso privilegiado,
incluso de una sesin VTY remota. Seguramente, esto no es lo que usted quiere y es
otro motivo para asegurarse de configurar una contrasea secreta.

6.2.
Service password-encryption.
El comando service password-encryption ordena el software IOS cifrar las contraseas,
los secretos de la GRIETA, y los datos similares que se salvan en su archivo de
configuracin. Esto es til para prevenir a los observadores casuales de las contraseas
de la lectura, por ejemplo cuando miran la pantalla sobre el hombro de un
administrador.
Sin embargo, el algoritmo usado por el comando service password-encryption es una
cifra simple de Vigenere. Cualquier criptgrafo amateur competente puede invertirlo
fcilmente sobre algunas horas. El algoritmo no es diseado para proteger los archivos
de configuracin contra la anlisis profundo por los atacantes levemente sofisticados
uniformes, y no debe ser para este propsito usado. Cualquier archivo de configuracin
de Cisco que contenga las contraseas cifradas se debe tratar con el mismo cuidado
usado para una lista cleartext de esas mismas contraseas.
17

Esta advertencia de cifrado dbil no se aplica a las contraseas fijadas con el comando
enable secret, sino que se aplica a las contraseas fijadas con el comando enable
password.
El comando enable secret utiliza el MD5 para el hashing de la contrasea.
6.3.
Controlar el acceso interactivo
Cualquier persona que puede acceder a un router de Cisco puede el mostrar informacin
que usted no desea probablemente poner a disposicin el pblico general. Un usuario
que puede acceder al router pudo poder utilizarlo como relais para los otros ataques de
red. Cualquiera que pueda tener acceso privilegiado al router puede volver a
configurarlo. Usted necesita controlar los accesos interactivos al sistema al router para
prevenir el acceso inapropiado.

6.4.
Puertos de consola
Es importante recordar que el puerto de la consola de un dispositivo Cisco IOS tiene
privilegios especiales. En particular, si se enva una seal de INTERRUPCIN al
puerto de la consola durante los primeros segundos luego del reinicio, el procedimiento
de recuperacin de la contrasea puede utilizarse fcilmente para tomar control del
sistema. Esto significa que los atacantes que interrumpen la potencia o inducen una
cada del sistema, y que tienen acceso al puerto de la consola va una terminal cableada,
un mdem, un servidor terminal, o un poco de otro dispositivo de red, pueden tomar el
control del sistema, incluso si no tienen el acceso fsico a l o la capacidad de acceder a
ella normalmente.
6.5.
Controlar los vty y asegurar la disponibilidad de vty
Cualquier VTY se debe configurar para validar las conexiones solamente con los
protocolos necesitados realmente. Esto se realiza con el comando transport input. Por
ejemplo, un VTY que espera a las sesiones Telnet RO se configura con el comando
transport input telnet, mientras que un VTY que permite al telnet y a sesiones SSH tiene
el comando transport input telnet ssh. Si su software soporta un protocolo del acceso
cifrado tal como SSH, entonces habilitar solamente ese protocolo, e invalidar la Telnet
de texto sin cifrar. Tambin, publicar el comando ip access-class para restringir a las
direcciones IP de quienes el VTY valida las conexiones.

7. LISTAS DE CONTROL DE ACCESO

Una lista de control de acceso o ACL (del ingls, access control list) es un concepto de
seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de
determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de
ciertos aspectos del proceso que hace el pedido.
El motivo por el que suele gestionarse en una clase o sistema separado y no en cada una
de las partes que pretenden asociarse a permisos es por seguir las reglas SOLID, en este
caso la S (Principio de responsabilidad nica), lo cual te permite incluso escalar mejor.
Se asemejara a un sistema de control de accesos fsico tpico de un edificio, donde esa
parte est centralizada en un lugar. Este lugar solo necesita saber dos cosas: Quien eres
(por ejemplo un ID de una tarjeta, tu id de usuario) y que quieres hacer. l te responde si

18

tienes permiso de hacerlo o no. Con este enfoque este mismo sistema no solo puede ser
utilizado para acceder a lugares si no para cualquier cosa que necesite separarse de
personas que pueden y no pueden hacer cosas, por ejemplo: acceder a una pgina o
seccin, publicar un comentario, hacer una amistad, enviar un correo,... En redes
informticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o
nombres de dominios (de redes) que estn disponibles en un terminal u otro dispositivo
de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen
permiso para usar el servicio. Tantos servidores individuales como enrutadores pueden
tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente
para controlar trfico entrante y saliente y en este contexto son similares a un
cortafuego.

19

8. BIBLIOGRAFA.
https://www.ecured.cu/ISO/IEC_27002
http://seguridad-informatica-1-iutll.blogspot.com/2012/11/seguridad-fisica-ylogica.html
http://informatica8.galeon.com/
http://educativa.catedu.es/44700165/aula/archivos/repositorio/1000/1063/html/12_delito
s_informticos_y_legislacin.html
http://ww1.gitsinformatica.com/?subid1=84e759c0-d5d4-11e6-9c63-ba5e22001ecc

20