La importancia de una poltica de seguridad en las empresas

Una de las cosas que siempre me gusta destacar es que para lograr un alto nivel de seguridad informtica es necesario combinar una buena estrategia de implementacin y uso de software de seguridad sumada a la educacin y formacin. Cuando pensamos en empresas, hay otros factores a considerar, entre ellos, la definicin, implementacin y constante actualizacin y monitoreo de una poltica de seguridad. En trminos sencillos, una poltica de seguridad es una lista detallada de temas sobre lo qu se debe hacer y lo qu no se debe hacer en materia de seguridad de la informacin. Incluye aspectos que cubren temas tan diversos como los procesos que deben tenerse en cuenta, el software a utilizar, seguridad fsica, backup (resguardo), contraseas, autentifacin, control de riesgos, proteccin, etc. Resume, en un documento nico, ms o menos extensa, todo lo que el responsable de seguridad de la informacin de la empresa debe llevar adelante y controlar, as como lo que todos los recursos y empleados de la empresa deben tener en cuenta para mantener la informacin lo ms segura posible. Aqu les dejo algunos enlaces para explorar ms en el tema:

Seccin de Polticas de Seguridad en Segu-Info Definicin de una poltica de seguridad en RedIRIS Seccin de Polticas de Seguridad en ArCERT Interesante post sobre Polticas de Seguridad en el Blog de Talsoft

En toda empresa se debe comprender que una poltica de seguridad no es necesaria, sino que es una prioridad bsica, tan importante como el uso de antivirus y/o la educacin de los usuarios, y si realmente quieren tener un nvel de seguridad alta, deben contemplarla, implementarla y ejecutarla.

Polticas y procedimientos en la seguridad de la informacion

La falta de polticas y procedimientos en seguridad es uno de los problemas ms graves que confrontan las empresas hoy da en lo que se refiere a la proteccin de sus activos de informacin frente a peligros externos e internos. La polticas de seguridad son esencialmente orientaciones e instrucciones que indican cmo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantacin efectiva de medidas de proteccin tales como: identificacin y control de acceso, respaldo de datos, planes de contingencia y deteccin de intrusos. Si bien las polticas varan considerablemente segn el tipo de organizacin de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relacin a las violaciones de seguridad. A menudo las

polticas van acompaadas de normas, instrucciones y procedimientos. Las polticas son obligatorias, mientras que las recomendaciones o directrices son ms bien opcionales. De hecho, las declaraciones de polticas de seguridad pueden transformarse fcilmente en recomendaciones reemplazando la palabra "debe" con la palabra "debera". Por otro lado las polticas son de jerarqua superior a las normas, estndares y procedimientos que tambin requieren ser acatados. Las polticas consisten de declaraciones genricas, mientras las normas hacen referencia especfica a tecnologas, metodologas, procedimientos de implementacin y otros aspectos en detalle. Adems las polticas deberan durar durante muchos aos, mientras que las normas y procedimientos duran menos tiempo. Las normas y procedimientos necesitan ser actualizadas ms a menudo que las polticas porque hoy da cambian muy rpidamente las tecnologas informticas, las estructuras organizativas, los procesos de negocios y los procedimientos. Por ejemplo, una norma de seguridad de cifrado podra especificar el uso del estndar DES (Data Encryption Standard). Esta norma probablemente deber ser revisada o reemplazada en los prximos aos. Las polticas son distintas y de un nivel superior a los procedimientos, que son los pasos operacionales especficos que deben llevarse a cabo para lograr una cierta meta. Como ejemplo, hay procedimientos especficos para realizar copias de seguridad de la informacin contenida en los discos duros de los servidores. Una declaracin sobre polticas describe slo la forma general de manejar un problema especfico, pero no debe ser demasiado detallada o extensa, en cuyo caso se convertira en un procedimiento. Las polticas tambin son diferentes de las medidas de seguridad o de los mecanismos de control. Un ejemplo de esto ltimo sera un sistema de cifrado para las comunicaciones o para los datos confidenciales guardados en discos y cintas. En muchos casos las polticas definen metas o objetivos generales que luego se alcanzan por medio de medidas de seguridad. En general, las polticas definen las reas sobre las cuales debe enfocarse la atencin en lo que concierne a la seguridad. Las polticas podran dictar que todo el software desarrollado o adquirido se pruebe a fondo antes de utilizarse. Se necesitar tomar en cuenta varios detalles sobre cmo aplicar esta poltica. Por ejemplo, la metodologa a usar para probar el software. Un documento sobre polticas de seguridad contiene, entre muchos aspectos: definicin de seguridad para los activos de informacin, responsabilidades, planes de contingencia, gestin de contraseas, sistema de control de acceso, respaldo de datos, manejo de virus e intrusos. Tambin puede incluir la forma de comprobar el cumplimiento y las eventuales medidas disciplinarias. Por qu son importantes las polticas? a) Por que aseguran la aplicacin correctas de las medidas de seguridad Con la ilusin de resolver los problemas de seguridad expeditamente, en muchas organizaciones simplemente se compran uno o ms productos de seguridad. En estos casos, a menudo se piensa que nuevos productos (ya sea en hardware, software, o servicios), es todo que se necesita. Luego que se instalan los productos, sin embargo, se genera una gran desilusin al darse cuenta que los resultados esperados no se han materializado. En un nmero grande de casos, esta situacin puede atribuirse al hecho que no se ha creado una infraestructura organizativa adecuada para la seguridad informtica. Un ejemplo puede ayudar a aclarar este punto esencial. Supngase que una organizacin ha adquirido recientemente un producto de control de acceso para una red de computadoras. La sola instalacin del sistema har poco para mejorar la seguridad. Sea debe primero decidir cules usuarios deben tener acceso a qu recursos de informacin, preferiblemente definiendo cmo incorporar estos criterios en las polticas de seguridad. Tambin deben establecerse los procedimientos para que el personal tcnicas implante el control de acceso de una manera cnsona con estas decisiones. Adems debe definir la manera de revisar las bitcoras (logs) y otros registros generados por el sistema. stas y otros medidas constituyen parte de la infraestructura organizativa necesaria para que los productos y servicios de seguridad sean efectivos. Una empresa necesita de documentacin sobre polticas, definiciones de responsabilidades, directrices, normas y procedimientos para que se apliquen las medidas de seguridad, los mecanismos de evaluacin de riesgos y el plan de seguridad. Las polticas y una estimacin

preliminar de los riesgos son el punto de partida para establecer una infraestructura organizativa apropiada, es decir, son los aspectos esenciales desde donde se derivan los dems. Continuando con el mismo ejemplo anterior de control de acceso, se debera primero llevar a cabo un anlisis de riesgo de los sistemas de informacin. Esta evaluacin de los riesgos tambin ayudar a definir la naturaleza de las amenazas a los distintos recursos, as como las contramedidas pertinentes. Luego pueden establecerse las polticas a fin de tener una gua para la aplicacin de tales medidas. b) Por que guan el proceso de seleccin e implantacin de los productos de seguridad La mayora de las organizaciones no tiene los recursos para disear e implantar medidas de control desde cero. Por tal razn a menudo escogen soluciones proporcionadas por los fabricantes de productos de seguridad y luego intentan adaptar esos productos a las polticas, procedimientos, normas y dems esfuerzos de integracin dentro de la organizacin. Esto se realiza a menudo sin conocer o entender suficientemente los objetivos y las metas de seguridad. Como resultado, los productos de seguridad escogidos y su aplicacin pueden no resultar adecuados a las verdaderas necesidades de la organizacin. Las polticas pueden proporcionar la comprensin y la gua adicional que el personal necesita para actuar como deseara la gerencia en lo que a seguridad se refiere. De manera que tales polticas pueden ser una manera de garantizar de que se est apropiadamente seleccionando, desarrollando e implantando los sistemas de seguridad. c) Por que demuestran el apoyo de la Presidencia y de la Junta Directiva La mayora de las personas no est consciente de la gravedad de los riesgos relativos a la seguridad y por eso no se toma el tiempo para analizar estos riesgos a fondo. Adems, como no tiene la experticia suficiente, no es capaz de evaluar la necesidad de ciertas medidas de seguridad. Las polticas son una manera clara y definitiva para que la alta gerencia pueda mostrar que: 1. La seguridad de los activos de informacin es importante 2. El personal debe prestar la atencin debida a la seguridad. Las polticas pueden entonces propiciar las condiciones para proteger los activos de informacin. Un ejemplo muy frecuente involucra a los gerentes a nivel medio que se resisten a asignar dinero para la seguridad en sus presupuestos. Pero si las polticas que han sido emitidas por la Junta Directiva o la alta gerencia, entonces los gerentes a nivel medio no podrn continuar ignorando las medidas de seguridad. d) Para evitar responsabilidades legales Se presentan cada vez ms casos judiciales en los cuales se encuentra responsables a empleados, y particularmente a gerentes, de no actuar apropiadamente bien en lo referente a seguridad informtica. La razn puede ser atribuida a: negligencia, violacin de confianza, fallas en el uso de medidas de seguridad, mal prctica, etc. Estos casos se usan a menudo con xito para llamar la atencin de la gerencia y para lograr apoyo para los esfuerzos en seguridad informtica. e) Para lograr una mejor seguridad Uno de los problemas ms importantes en el campo de seguridad informtica lo representa los esfuerzos fragmentados e incoherentes. A menudo un departamento estar a favor de las medidas de seguridad, mientras que otro dentro de la misma organizacin se opondr o ser indiferente. Si ambos departamentos comparten recursos informticos (por ejemplo una LAN o un servidor), el departamento que se opone pondr en riesgo la seguridad del otro departamento y de la organizacin completa. Aunque no es ni factible ni deseable que todas las personas en una organizacin se familiaricen con las complejidades de la seguridad informtica, es importante que todas ellas se comprometan con mantener algn nivel mnimo de proteccin. Las polticas pueden usarse para definir el nivel de esta proteccin mnima, a veces llamada lnea de base.

Metodologa para el Desarrollo de Polticas y Procedimientos en Seguridad de Informacin Introduccin Antes de embarcarse en un esfuerzo de elaborar las polticas de seguridad, es aconsejable aclarar quin es responsable de promulgarlas y aplicarlas. Solamente cuando exista claramente la asignacin clara de responsabilidades. Si se ignora este paso importante, se corre el riesgo de posteriores objeciones, crticas y malentendidos, que pueden significar problemas y grandes retrasos. Otro requisito previo necesario para tener xito involucra la perspectiva de la Junta Directiva y la alta gerencia. Slo despus de que sus miembros tomen conciencia de que los activos de informacin son un factor vital para el xito de la organizacin, es que la seguridad informtica es apreciada como un asunto serio que merece atencin. En caso contrario probablemente no apoyen la idea de establecer polticas de seguridad La alta gerencia debe darse cuenta que hay problemas serios de seguridad y que se requiere de polticas para afrontarlos. Si bien esto puede parecer obvio, muchos intentos de desarrollar e implantar las polticas no ha llegado a ninguna parte porque no se haban echado las bases. El trabajo previo incluye a menudo una breve presentacin a la alta gerencia para sensibilizarla sobre la necesidad de la seguridad informtica. Idealmente, el desarrollo de polticas de seguridad debe comenzarse despus de una evaluacin a fondo de las vulnerabilidades, amenazas y riesgos. Esta evaluacin debera indicar, quizs slo a grandes rasgos, el valor de la informacin en cuestin, los riesgos a los cuales esa informacin se sujeta, y las vulnerabilidades asociadas a la manera actual de manejar la informacin. Tambin pueden ser incluidos en la declaracin de las polticas, los tipos generales de riesgos enfrentados por la organizacin, as como cualquier otra informacin til obtenida a partir del anlisis de riesgos. Un buen momento para desarrollar un conjunto de polticas de seguridad es cuando se est preparando el manual de seguridad para los activos de informacin. Debido a que ese manual va a ser distribuido a lo largo de toda la organizacin, representa un medio excelente para incluir tambin las polticas de seguridad. Tambin pueden publicitarse las polticas en material tal como video, carteles o artculos en un peridico interno. Otro bueno momento es despus de que haya ocurrido una falla grave en seguridad, por ejemplo una intrusin de hackers, un fraude informtico, un accidente sin poder recuperar los datos, un incendio y en general algn tipo de dao o perjuicio que haya recibido la atencin de la alta gerencia. En este caso habr un alto inters en que se apliquen las polticas de seguridad y que se implanten medidas ms efectivas. Hay que actuar rpidamente para desarrollar las polticas, ya que el nivel de preocupacin de los gerentes y de los empleados tiende a decrecer luego que ha pasado el incidente. Un buen objetivo a tener presente cuando se redactan las polticas, es que ellas deberan durante varios aos, por ejemplo cinco aos. En realidad, se harn modificaciones ms a menudo, pero para evitar que se vuelvan obsoletas rpidamente, debe elaborarse para que sean independientes de productos comerciales especficos, estructuras organizativas especficas, as como las leyes especficas y regulaciones. Las cosas mueven muy rpidamente en el campo de tecnologa, incluyendo la seguridad informtica. Por ejemplo, hace apenas algunos aos la mayora de las organizaciones no crean que era necesaria una poltica de seguridad para Internet, pero hoy da es muy importante. Las polticas deben revisarse en forma peridica, preferiblemente cada ao, para asegurarse de que todava son pertinentes y efectivas. Es importante eliminar aquellas polticas que ya no son tiles o que ya no son aplicables. Este esfuerzo tambin ayudar a mejorar la credibilidad de las actividades de seguridad informtica dentro de la organizacin. Los empleados apreciarn que el personal de seguridad informtica no est all para crear ms burocracia, sino para realmente ocuparse de las medidas de seguridad requeridas para proteger los recursos. Cmo deben elaborarse las polticas?

a) Recopilar material de apoyo Para elaborar eficazmente un conjunto de polticas de seguridad informtica, debe haberse efectuado previamente un anlisis de riesgo que indique claramente las necesidades de seguridad actuales de la organizacin. Antecedentes de fallas en la seguridad, fraudes, demandas judiciales y otros casos pueden proporcionar una orientacin sobre las reas que necesitan particular atencin. Para afinar aun ms el proceso, se debe tener copia de todas las otras polticas de organizacin (o de otras organizaciones similares) relativas a compra de equipos informticos, recursos humanos y seguridad fsica. b) Definir un marco de referencia Despus de recopilar el material de apoyo, debe elaborarse una lista de todos los tpicos a ser cubiertos dentro de un conjunto de polticas de seguridad. La lista debe incluir polticas que se piensa aplicar de inmediato as como aquellas que se piensa aplicar en el futuro. c) Redactar la documentacin Despus de preparar una lista de las reas que necesitan la atencin y despus de estar familiarizados con la manera en que la organizacin expresa y usa las polticas, se estar ahora listos redactar las polticas, para lo cual pueden servir de ayuda el ejemplo que se encuentra ms adelante. Las polticas van dirigidas a audiencias significativamente distintas, en cuyo caso es aconsejable redactar documentos diferentes de acuerdo al tipo de audiencia. Por ejemplo, los empleados podran recibir un pequeo folleto que contiene las polticas de seguridad ms importantes que ellos necesitan tener presente. En cambio, el personal que trabaja en informtica y en telecomunicaciones podran recibir un documento considerablemente ms largo que proporciona mucho ms detalles. Una vez que se hayan elaborado los documentos sobre las polticas, deben ser revisados por un comit de seguridad informtica antes de ser sometido a consideracin de la Presidencia y Junta Directiva para su aprobacin. Este comit debera tener representantes de los distintos departamentos de la organizacin y una de sus funciones ms importantes es evaluar las polticas en la luz de su viabilidad, anlisis costo/beneficio y sus implicaciones. Las preguntas que debe contestar son, por ejemplo: Son estas polticas prcticas y fcilmente aplicables?. Son estas polticas claras e inequvocas? Es muy importante que la Junta Directiva apruebe las polticas en el caso frecuente que ciertos empleados objeten o piensen que ellos no necesitan obedecer. Adems es fundamental de que luego de la entrada en vigor, las polticas se apliquen estrictamente, ya que de otra forma se puede fomentar la hipocresa entre los empleados y la tolerancia por conductas inapropiadas. El tener polticas que no se aplican puede ser peor que no tener polticas en absoluto. La aplicacin de nuevas polticas es a menudo ms eficaz si los empleados han sido informados de exactamente qu actividades representan trasgresiones de la seguridad y qu penalizacin recibiran si fueran encontrados culpables. Un curso o taller de sensibilizacin es una forma muy efectiva para dar a conocer las nuevas polticas. All, por ejemplo, se explicara que la informacin interna es la propiedad de organizacin, y que no puede ser copiada, modificada, anulada o usada para otros propsitos sin la aprobacin de la gerencia. La longitud del documento sobre las polticas Las polticas de seguridad deben disearse de acuerdo a las necesidades especficas e una organizacin. Algunas organizaciones tienen muchas polticas, mientras otros tienen slo unas cuantas. Como ejemplo, el manual sobre las polticas de seguridad de British Telecom (una compaa telefnica britnica) es de ms de 150 pginas, mientras que el de Lockheed (una compaa aerospacial) es de 75 pginas. El personal de seguridad puede opinar que es necesario que todo est absolutamente claro y explcito sobre los asuntos de seguridad informtica. En estos casos puede que se requiere un

conjunto de polticas. Otros sern renuentes a tener tantas polticas, prefiriendo enfatizar la confianza en buen juicio y buen comportamiento de los empleados. Aunque un documento conciso ser ledo y asimilado con ms probabilidad, hay mucho a favor de un conjunto completo y extenso de polticas de seguridad. Un principio general es que se deben promulgar slo aquellas polticas que sean absolutamente necesarias. Esto es debido a que las personas son inherentemente muy diferentes entre s, como tambin son diferentes los grupos a que pertenecen. El imponer un nico conjunto de reglas para todos puede llevar a resistencia y a pobres resultados. En cambio, al tener slo aquellas polticas que son estrictamente necesarias, se favorece la iniciativa personal y la creatividad. Adems tantas polticas de seguridad van a impedir que el trabajo se haga a tiempo. En todo caso, en vez de emprender un trabajo a fondo, es mejor empezar primero ocupndose de los aspectos esenciales, para luego ir ampliando con polticas adicionales. Este procedimiento toma a menudo la forma de declaraciones separadas que se tratan las reas problemticas, por ejemplo PCs, LANs e Internet. De esta manera es tambin ms fcil conseguir la aprobacin de la alta gerencia as como de los propios empleados. Por otro lado las polticas nunca pueden tomar en cuenta todas las circunstancias y un conjunto extenso y minucioso de polticas puede generar crticas, disgusto y rechazo. La extensin y el grado de detalle de las polticas es una funcin de tipo de audiencia y puede haber distintos documentos segn el caso. Por ejemplo, podra haber documentos para los usuarios, la gerencia y el personal de informtica. Muchas de las polticas en cada uno de estos documentos seran iguales, aunque el grado de detalle, las palabras tcnicas utilizadas, y el nmero de ejemplos puede variar de un documento a otro. Para los usuarios finales, el documento debe limitarse a unas cuantas pginas. Para la gerencia habr consideraciones adicionales, tal como los aspectos legales, y es probable que esto extienda el documento. Para el personal tcnico ser todava ms largo y ms detallado. Otro factor que afecta es el grado de seguridad requerido en la organizacin. En general, cunto mayor es el uso de la informacin para las actividades de una organizacin, mayor es la necesidad de seguridad. Por ejemplo, un banco tendr muchas y extensas polticas, mientras que una cadena de tiendas por departamentos tendr menos polticas. Por supuesto que actividades especialmente delicadas, tal como salud y defensa, requieren de polticas muy detalladas. Adicionalmente al nmero de polticas, hay que plantearse cun larga debe ser la definicin de cada poltica. Las definiciones concisas, de unas cuantas frases, son ms aceptadas por los empleados ya que son ms fcilmente ledas y entendidas. En todo caso deben ser suficientemente especficas para ser entendidas e interpretadas sin ambigedad, pero no deben ser tan especficas que impidan adaptarlas a las condiciones particulares de un sitio o departamento. Por ejemplo, se puede promulgar una poltica la cual especifica que todos los usuarios deben usar contraseas difciles de adivinar. Esta poltica da la flexibilidad a un gerente local para determinar su longitud mnima o un sistema automtico que chequee si realmente una dada contrasea es difcil de adivinar. Para ayudar a aclarar qu son las polticas, se pueden incluir ejemplos especficos. Como ilustracin, una poltica que prohbe el uso de los recursos computacionales para fines personales podra incluir ejemplos sobre Internet Chat Relay (IRC) o juegos por computadora. Si se opta por elaborar un conjunto muy completo de polticas de seguridad, se aconseja hacerlo en dos etapas. El primer paso involucra el obtener la aprobacin de la Junta Directiva para un conjunto genrico de polticas, mientras que el segundo paso involucra la aprobacin para un conjunto ms especfico de polticas. El conjunto genrico podra incluir de 10 a 20 polticas, y el juego especfico podra incluir otras 50-100. De hecho, si el conjunto inicial de polticas es demasiado largo o severo, la Junta Directiva puede rechazarlo. Como resultado, la ventana de tempo para conseguir la aprobacin puede cerrarse por un cierto periodo de tiempo (a menudo un ao o ms). As que se aconseja elaborar un primero conjunto de polticas corto y relativamente fcil de cumplir por parte del personal. Despus, cuando haya sido implantado y asimilado a lo largo de la organizacin, se puede preparar una lista ms completa y ms estricta. Es mucho mejor proceder de forma relativamente lenta, con una serie pasos en el desarrollo de polticas, y as lograr credibilidad y apoyo, que preparar de una vez un solo documento extenso con todas las polticas, el cual se rechaza porque fue percibido como engorroso o excesivamente severo.

Ejemplo de Polticas de Seguridad 1. Justificacin Los activos de informacin y los equipos informticos son recursos importantes y vitales de nuestra Compaa. Sin ellos nos quedaramos rpidamente fuera del negocio y por tal razn la Presidencia y la Junta Directiva tienen el deber de preservarlos, utilizarlos y mejorarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la informacin y los sistemas informticos estn apropiadamente protegidos de muchas clases de amenazas y riesgos tales como fraude, sabotaje, espionaje industrial, extorsin, violacin de la privacidad, intrusos, hackers, interrupcin de servicio, accidentes y desastres naturales. La informacin perteneciente a la Compaa debe protegerse de acuerdo a su valor e importancia. Deben emplearse medidas de seguridad sin importar cmo la informacin se guarda (en papel o en forma electrnica), o como se procesa (PCs, servidores, correo de voz, etc.), o cmo se transmite (correo electrnico, conversacin telefnica). Tal proteccin incluye restricciones de acceso a los usuarios de acuerdo a su cargo. Las distintas gerencias de la Compaa estn en el deber y en la responsabilidad de consagrar tiempo y recursos suficientes para asegurar que los activos de informacin estn suficientemente protegidos. Cuando ocurra un incidente grave que refleje alguna debilidad en los sistemas informticos, se debern tomar las acciones correctivas rpidamente para as reducir los riesgos. En todo caso cada ao el Comit de Seguridad Informtica llevar a cabo un anlisis de riesgos y se revisarn las polticas de seguridad. As mismo, se preparar cada ao un informe para la Junta Directiva que muestre el estado actual de la Compaa en cuanto a seguridad informtica y los progresos que se han logrado. A todos los empleados, consultores y contratistas debe proporcionrseles adiestramiento, informacin, y advertencias para que ellos puedan proteger y manejar apropiadamente los recursos informticos de la Compaa. Debe hacerse hincapi en que la seguridad informtica es una actividad tan vital para la Compaa como lo son la contabilidad y la nmina. La finalidad de las polticas de seguridad que se describen ms adelante es proporcionar instrucciones especficas sobre cmo mantener ms seguros tanto los computadores de la Compaa (conectados o no en red), como la informacin guardada en ellos. La violacin de dichas polticas puede acarrear medidas disciplinarias e incluso el despido. 2. Responsabilidades Los siguientes entes son responsables, en distintos grados, de la seguridad en la Compaa: " El Comit de Seguridad Informtica est compuesto por los representantes de los distintos departamentos de la Compaa, as como por el Gerente de Informtica, el Gerente de Telecomunicaciones (cuando exista), y el abogado o representante legal de la Compaa. Este Comit est encargado de elaborar y actualizar las polticas, normas, pautas y procedimientos relativas a seguridad en informtica y telecomunicaciones. Tambin es responsable de coordinar el anlisis de riesgos, planes de contingencia y prevencin de desastres. Durante sus reuniones trimestrales o ad hoc, el Comit efectuar la evaluacin y revisin de la situacin de la Compaa en cuanto a seguridad informtica, incluyendo el anlisis de incidentes ocurridos y que afecten la seguridad. " La Gerencia de Informtica es responsable de implantar y velar por el cumplimento de las polticas, normas, pautas, y procedimientos de seguridad a lo largo de toda la organizacin, todo esto en coordinacin con la Junta Directiva y la Gerencia de Telecomunicaciones (cuando exista). Tambin es responsable de evaluar, adquirir e implantar productos de seguridad informtica, y realizar las dems actividades necesarias para garantizar un ambiente informtico seguro. Adems debe ocuparse de proporcionar apoyo tcnico y administrativo en todos los asuntos relacionados con la seguridad, y en particular en los casos de infeccin de virus, penetracin de hackers, fraudes y otros percances. " El Jefe de Seguridad es responsable de dirigir las investigaciones sobre incidentes y problemas relacionados con la seguridad, as como recomendar las medidas pertinentes. " El Administrador de Sistemas es responsable de establecer los controles de acceso apropiados para cada usuario, supervisar el uso de los recursos informticos, revisar las bitcoras de acceso y

de llevar a cabo las tareas de seguridad relativas a los sistemas que administra, como por ejemplo, aplicar inmediatamente los parches correctivos cuando le llegue la notificacin del fabricante del producto o de un ente como el CERT (Computer Emergency Response Team). El Administrador de Sistemas tambin es responsable de informar al Jefe de Seguridad y a sus superiores sobre toda actividad sospechosa o evento inslito. Cuando no exista un Jefe de Seguridad, el Administrador de Sistemas realizar sus funciones. " Los usuarios son responsables de cumplir con todas las polticas de la Compaa relativas a la seguridad informtica y en particular: " Conocer y aplicar las polticas y procedimientos apropiados en relacin al manejo de la informacin y de los sistemas informticos. " No divulgar informacin confidencial de la Compaa a personas no autorizadas. " No permitir y no facilitar el uso de los sistemas informticos de la Compaa a personas no autorizadas. " No utilizar los recursos informticos (hardware, software o datos) y de telecomunicaciones (telfono, fax) para otras actividades que no estn directamente relacionadas con el trabajo en la Compaa. " Proteger meticulosamente su contrasea y evitar que sea vista por otros en forma inadvertida. " Seleccionar una contrasea robusta que no tenga relacin obvia con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones parecidas. " Reportar inmediatamente a su jefe inmediato a un funcionario de Seguridad Informtica cualquier evento que pueda comprometer la seguridad de la Compaa y sus recursos informticos, como por ejemplo contagio de virus, intrusos, modificacin o prdida de datos y otras actividades poco usuales. 3. Polticas de seguridad para computadores " Los computadores de la Compaa slo deben usarse en un ambiente seguro. Se considera que un ambiente es seguro cuando se han implantado las medidas de control apropiadas para proteger el software, el hardware y los datos. Esas medidas deben estar acorde a la importancia de los datos y la naturaleza de riesgos previsibles. " Los equipos de la Compaa slo deben usarse para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos. " Debe respetarse y no modificar la configuracin de hardware y software establecida por el Departamento de Informtica " No se permite fumar, comer o beber mientras se est usando un PC. " Deben protegerse los equipos de riesgos del medioambiente (por ejemplo, polvo, incendio y agua). " Deben usarse protectores contra transitorios de energa elctrica y en los servidores deben usarse fuentes de poder ininterrumpibles (UPS). " Cualquier falla en los computadores o en la red debe reportarse inmediatamente ya que podra causar problemas serios como prdida de la informacin o indisponibilidad de los servicios. " Deben protegerse los equipos para disminuir el riesgo de robo, destruccin, y mal uso. Las medidas que se recomiendan incluyen el uso de vigilantes y cerradura con llave. " Los equipos deben marcarse para su identificacin y control de inventario. Los registros de inventario deben mantenerse actualizados. " No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un equipo fuera de la Compaa se requiere una autorizacin escrita. " La prdida o robo de cualquier componente de hardware o programa de software debe ser reportada inmediatamente. " Para prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseas robusto y adems deben configurar el protector de pantalla para que se active al cabo de 15 minutos de inactividad y que requiera una contrasea al reasumir la actividad. Adems el usuario debe activar el protector de pantalla manualmente cada vez que se ausente de su oficina. " Si un PCs tiene acceso a datos confidenciales, debe poseer un mecanismo de control de acceso especial, preferiblemente por hardware. " Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos por otras personas mediante disposicin apropiada del mobiliario de la oficina y protector de pantalla.

Cuando ya no se necesiten o no sean de utilidad, los datos confidenciales se deben borrar. " Debe implantarse un sistema de autorizacin y control de acceso con el fin de restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. Estos privilegios deben definirse de una manera consistente con las funciones que desempea cada usuario. " No est permitido llevar al sitio de trabajo computadores porttiles (laptops) y en caso de ser necesario se requiere solicitar la autorizacin correspondiente. " Para prevenir la intrusin de hackers a travs de puertas traseras, no est permitido el uso de mdems en PCs que tengan tambin conexin a la red local (LAN), a menos que sea debidamente autorizado. Todas las comunicaciones de datos deben efectuarse a travs de la LAN de la Compaa. " A menos que se indique lo contrario, los usuarios deben asumir que todo el software la Compaa est protegido por derechos de autor y requiere licencia de uso. Por tal razn es ilegal y est terminantemente prohibido hacer copias o usar ese software para fines personales.. " Los usuarios no deben copiar a un medio removible (como un diskette), el software o los datos residentes en las computadoras de la Compaa, sin la aprobacin previa de la gerencia. " No pueden extraerse datos fuera de la sede de la Compaa sin la aprobacin previa de la gerencia. Esta poltica es particularmente pertinente a aquellos que usan a computadoras porttiles o estn conectados a redes como Internet. " Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse actualizada. Si se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar inmediatamente al Jefe de Seguridad Informtica y poner la PC en cuarentena hasta que el problema sea resuelto. " Slo pueden bajarse archivos de redes externas de acuerdo a los procedimientos establecidos. Debe utilizarse un programa antivirus para examinar todo software que venga de afuera o inclusive de otros departamentos de la Compaa. " No debe utilizarse software bajado de Internet y en general software que provenga de una fuente no confiable, a menos que se haya sido comprobado en forma rigurosa y que est aprobado su uso por el Departamento de Informtica. " Para prevenir demandas legales o la introduccin de virus informticos, se prohbe estrictamente la instalacin de software no autorizado, incluyendo el que haya sido adquirido por el propio usuario. As mismo, no se permite el uso de software de distribucin gratuita o shareware, a menos que haya sido previamente aprobado por el Departamento de Informtica. " Para ayudar a restaurar los programas originales no daados o infectados, deben hacerse copias de todo software nuevo antes de su uso, y deben guardarse tales copias en un lugar seguro. " No deben usarse diskettes u otros medios de almacenamiento en cualquier computadora de la Compaa a menos que se haya previamente verificado que estn libres de virus u otros agentes dainos. " Peridicamente debe hacerse el respaldo de los datos guardados en PCs y servidores y las copias de respaldo deben guardarse en un lugar seguro, a prueba de hurto, incendio e inundaciones. Los programas y datos vitales para la operacin de Compaa debe guardarse en otra sede, lejos del edificio. " Los usuarios de PCs son responsables de proteger los programas y datos contra prdida o dao. Para sistemas multiusuario y sistemas de comunicaciones, el Administrador de cada uno de esos sistemas es responsable de hacer copias de respaldo peridicas. Los gerentes de los distintos departamentos son responsables de definir qu informacin debe respaldarse, as como la frecuencia del respaldo (por ejemplo: diario, semanal) y el mtodo de respaldo (por ejemplo: incremental, total). " La informacin de la Compaa clasificada como confidencial o de uso restringido, debe guardarse y transmitirse en forma cifrada, utilizando herramientas de encriptado robustas y que hayan sido aprobadas por la Gerencia de Informtica. " No debe borrarse la informacin original no cifrada hasta que se haya comprobado que se puede recuperar desde los archivos encriptados mediante el proceso de descifrado. " El acceso a las claves utilizadas para el cifrado y descifrado debe limitarse estrictamente a las personas autorizadas y en ningn caso deben revelarse a consultores, contratistas y personal temporal.

" Siempre que sea posible, deba eliminarse informacin confidencial de de los computadores y unidades de disco duro antes de que les mande a reparar. Si esto no es posible, se debe asegurar que la reparacin sea efectuada por empresas responsables, con las cuales se haya firmado un contrato de confidencialidad. Alternativamente, debe efectuarse la reparacin bajo la supervisin de una representante de la Compaa. " No deben salirse las impresoras desatendidas, sobre todo si se est imprimiendo (o se va a imprimir) informacin confidencial de la Compaa. " El personal que utiliza un computador porttil que contenga informacin confidencial de la Compaa, no debe dejarla desatendida, sobre todo cuando est de viaje, y adems esa informacin debe estar cifrada. 4. Polticas de seguridad para las comunicaciones Propiedad de la informacin Con el fin de mejorar la productividad, la Compaa promueve el uso responsable de las comunicaciones en forma electrnica, en particular el telfono, el correo de voz, el correo electrnico, y el fax. Los sistemas de comunicacin y los mensajes generados y procesados por tales sistemas, incluyendo las copias de respaldo, se deben considerar como propiedad de la Compaa y no propiedad de los usuarios de los servicios de comunicacin. Uso de los sistemas de comunicacin " Los sistemas de comunicacin de la Compaa generalmente slo deben usarse para actividades de trabajo. El uso personal en forma ocasional es permisible siempre y cuando consuma una cantidad mnima de tiempo y recursos, y adems no interfiera con las productividad del empleado ni con las actividades de la Compaa. " Se prohbe el uso de los sistemas de comunicacin para actividades comerciales privadas o para propsitos de entretenimiento y diversin. " La navegacin en Internet para fines personales no debe hacerse a expensas del tiempo y los recursos de la Compaa y en tal sentido deben usarse las horas no laborables. Confidencialidad y privacidad " Los recursos, servicios y conectividad disponibles va Internet abren nuevas oportunidades, pero tambin introducen nuevos riesgos. En particular, no debe enviarse a travs de Internet mensajes con informacin confidencial a menos que estn cifrada. Para tal fin debe utilizarse PGP (Pretty Good Privacy), Outolook, Outlook Express u otros productos previamente aprobados por la Gerencia de Informtica. " Los empleados y funcionarios de la Compaa no deben interceptar las comunicaciones o divulgar su contenido. Tampoco deben ayudar a otros para que lo hagan. La Compaa se compromete a respetar los derechos de sus empleados, incluyendo su privacidad. Tambin se hace responsable del buen funcionamiento y del buen uso de sus redes de comunicacin y para lograr esto, ocasionalmente es necesario interceptar ciertas comunicaciones. " Es poltica de la Compaa no monitorear regularmente las comunicaciones. Sin embargo, el uso y el contenido de las comunicaciones puede ocasionalmente ser supervisado en caso de ser necesario para actividades de mantenimiento, seguridad o auditora. Puede ocurrir que el personal tcnico vea el contenido de un mensaje de un empleado individual durante el curso de resolucin de un problema. " De manera consistente con prcticas generalmente aceptadas, la Compaa procesa datos estadsticos sobre el uso de los sistemas de comunicacin. Como ejemplo, los reportes de la central telefnica (PABX) contienen detalles sobre el nmero llamado, la duracin de la llamada, y la hora en que se efectu la llamada. Reenvo de mensajes Tomando en cuenta que cierta informacin est dirigida a personas especficas y puede no ser apta para otros, dentro y fuera de la Compaa, se debe ejercer cierta cautela al remitir los

mensajes. En todo caso no debe remitirse informacin confidencial de la Compaa sin la debida aprobacin. Borrado de mensajes Los mensajes que ya no se necesitan deben ser eliminados peridicamente de su rea de almacenamiento. Con esto se reducen los riesgos de que otros puedan acceder a esa informacin y adems se libera espacio en disco. 5. Polticas de seguridad para redes Propsito El propsito de esta poltica es establecer las directrices, los procedimientos y los requisitos para asegurar la proteccin apropiada de la Compaa al estar conectada a redes de computadoras. Alcance Esta poltica se aplica a todos los empleados, contratistas, consultores y personal temporal de la Compaa. Aspectos generales Es poltica de la Compaa prohibir la divulgacin, duplicacin, modificacin, destruccin, prdida, mal uso, robo y acceso no autorizado de informacin propietaria. Adems, es su poltica proteger la informacin que pertenece a otras empresas o personas y que le haya sido confiada. Modificaciones Todos los cambios en la central telefnica (PABX) y en los servidores y equipos de red de la Compaa, incluyendo la instalacin de el nuevo software, el cambio de direcciones IP, la reconfiguracin de routers y switchs, deben ser documentados y debidamente aprobados, excepto si se trata de una situacin de emergencia. Todo esto es para evitar problemas por cambios apresurados y que puedan causar interrupcin de las comunicaciones, cada de la red, denegacin de servicio o acceso inadvertido a informacin confidencial. Cuentas de los usuarios " Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde declara conocer las polticas y procedimientos de seguridad, y acepta sus responsabilidades con relacin al uso de esa cuenta. " La solicitud de una nueva cuenta o el cambio de privilegios debe ser hecha por escrito y debe ser debidamente aprobada. " No debe concederse una cuenta a personas que no sean empleados de la Compaa a menos que estn debidamente autorizados, en cuyo caso la cuenta debe expirar automticamente al cabo de un lapso de 30 das. " Privilegios especiales, tal como la posibilidad de modificar o barrar los archivos de otros usuarios, slo deben otorgarse a aquellos directamente responsable de la administracin o de la seguridad de los sistemas. " No deben otorgarse cuentas a tcnicos de mantenimiento ni permitir su acceso remoto a menos que el Administrador de Sistemas o el Gerente de Informtica determinen que es necesario. En todo caso esta facilidad slo debe habilitarse para el periodo de tiempo requerido para efectuar el trabajo (como por ejemplo, el mantenimiento remoto). Si hace falta una conexin remota durante un periodo ms largo, entonces se debe usar un sistema de autenticacin ms robusto basado contraseas dinmicas, fichas (tokens) o tarjetas inteligentes. " Se prohbe el uso de cuentas annimas o de invitado (guest) y los usuarios deben entrar al sistema mediante cuentas que indiquen claramente su identidad. Esto tambin implica que los administradores de sistemas Unix no deben entrar inicialmente como "root", sino primero empleando su propio ID y luego mediante "set userid" para obtener el acceso como "root". En cualquier caso debe registrarse en la bitcora todos los cambios de ID. " Toda cuenta queda automticamente suspendida despus de un cierto periodo de inactividad. El

periodo recomendado es de 30 das. " Los privilegios del sistema concedidos a los usuarios deben ser ratificados cada 6 meses. El Administrador de Sistemas debe revocar rpidamente la cuenta o los privilegios de un usuario cuando reciba una orden de un superior, y en particular cuando un empleado cesa en sus funciones. " Cuando un empleado es despedido o renuncia a la Compaa, debe desactivarse su cuenta antes de que deje el cargo. Contraseas y el control de acceso " El usuario no debe guardar su contrasea en una forma legible en archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. Si hay razn para creer que una contrasea ha sido comprometida, debe cambiarla inmediatamente. No deben usarse contraseas que son idnticas o substancialmente similares a contraseas previamente empleadas. Siempre que posible, debe impedirse que los usuarios vuelvan a usar contraseas anteriores. " Nunca debe compartirse la contrasea o revelarla a otros. El hacerlo expone al usuario a las consecuencias por las acciones que los otros hagan con esa contrasea. " Est prohibido el uso de contraseas de grupo para facilitar el acceso a archivos, aplicaciones, bases de datos, computadoras, redes, y otros recursos del sistema. Esto se aplica en particular a la contrasea del administrador. " Las contrasea inicial emitida a un nuevo usuario slo debe ser vlida para la primera sesin. En ese momento, el usuario debe escoger otra contrasea. " Las contraseas predefinidas que traen los equipos nuevos tales como routers, switchs, etc., deben cambiarse inmediatamente al ponerse en servicio el equipo. " Para prevenir ataques, cuando el software del sistema lo permita, debe limitarse a 3 el nmero de consecutivos de intentos infructuosos de introducir la contrasea, luego de lo cual la cuenta involucrada queda suspendida y se alerta al Administrador del sistema. Si se trata de acceso remoto va mdem por discado, la sesin debe ser inmediatamente desconectada. " Para el acceso remoto a los recursos informticos de la Compaa, la combinacin del ID de usuario y una contrasea fija no proporciona suficiente seguridad, por lo que se recomienda el uso de un sistema de autenticacin ms robusto basado en contraseas dinmicas, fichas (tokens) o tarjetas inteligentes. " Si no ha habido ninguna actividad en un terminal, PC o estacin de trabajo durante un cierto periodo de tiempo, el sistema debe automticamente borrar la pantalla y suspender la sesin. El periodo recomendado de tiempo es de 15 minutos. El re-establecimiento de la sesin requiere que el usuario proporcione se autentique mediante su contrasea (o utilice otro mecanismo, por ejemplo, tarjeta inteligente o de proximidad). " Si el sistema de control de acceso no est funcionando propiamente, debe rechazar el acceso de los usuarios hasta que el problema se haya solucionado. " Los usuarios no deben intentar violar los sistemas de seguridad y de control de acceso. Acciones de esta naturaleza se consideran violatorias de las polticas de la Compaa, pudiendo ser causal de despido. " Para tener evidencias en casos de acciones disciplinarias y judiciales, cierta clase de informacin debe capturarse, grabarse y guardarse cuando se sospeche que se est llevando a cabo abuso, fraude u otro crimen que involucre los sistemas informticos. " Los archivos de bitcora (logs) y los registros de auditora (audit trails) que graban los eventos relevantes sobre la seguridad de los sistemas informticos y las comunicaciones, deben revisarse peridicamente y guardarse durante un tiempo prudencial de por lo menos tres meses. Dicho archivos son importantes para la deteccin de intrusos, brechas en la seguridad, investigaciones, y otras actividades de auditora. Por tal razn deben protegerse para que nadie los pueda alterar y que slo los pueden leer las personas autorizadas. " Los servidores de red y los equipos de comunicacin (PABX, routers, etc.) deben estar ubicados en locales apropiados, protegidos contra daos y robo. Debe restringirse severamente el acceso a estos locales y a los cuartos de cableado a personas no autorizadas mediante el uso de cerraduras y otros sistemas de acceso (por ejemplo, tarjetas de proximidad).

Documento preparado por: Vctor Cappuccio email c.victor@cantv.net Versin 1 Fecha: 04-06-2002 Advertencia: Todos los derechos reservados. Toda informacin y diseo de este sitio de Internet son propiedad material de Victor Cappuccio que son propiedad original del autor o publicador. Est estrictamente prohibida la reproduccin, total o parcial del material encontrado en este sitio de Internet, sin el consentimiento y aceptacin por escrito del propietario.

http://www.ilustrados.com/tema/4924/Politicasprocedimientos-seguridad-informacion.html Anlisis forense

1. Introduccin La Informtica Forense es una ciencia relativamente nueva y no existen estndares aceptados, aunque algunos proyectos estn en desarrollo, como el C4PDF (Cdigo de Prcticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matas Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes. En Espaa, la organizacin ms prestigiosa a este respecto es el es-CERT. Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informtica forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En Espaa, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Ral Siles (HP), Javier Fernndez-Sanguino (Germinus) y Antonio Javier Garca Martnez (Telefnica Mviles). Entre las revistas especializadas se encuentran International Journal of Digital Evidence, que acaba de liberar su edicin Winter 2004; y Digital Investigation, que ofrece de forma gratuita su primer nmero. Dentro de las distribuciones linux especficas para informtica forense destacan F.I.R.E. Linux (Forensic and Incident Response Environment) y Honeynet CDROM. Existen varias unidades especializadas en Informtica forense entre las Fuerzas de Seguridad, como por ejemplo el Grupo de Delitos Telemticos de la Guardia Civil (Espaa), la Brigada de Investigacin Tecnolgica del Cuerpo Nacional de Polica (Espaa), la National Hi-Tech Crime Unit (Inglaterra) o el Laboratorio de Informtica forense del Departamento de Defensa (Estados Unidos). Un interesante portal sobre Delitos Informticos, es precisamente el denominado Delitos Informticos.

2. La Brigada de Investigacin Tecnolgica La Brigada de Investigacin Tecnolgica, perteneciente al Cuerpo Nacional de Polica, se cre en 1995 y ha evolucionado desde los 3 agentes iniciales a 28 y en la actualidad cuenta con 32 miembros. Est localizada en el complejo policial de Canillas de Madrid y ha realizado ms de 300 detenciones en la primera mitad del ao 2004, con mltiples denuncias diarias que se resuelven en su mayor parte en los juzgados de Plaza de Casilla. Los datos de la brigada son:
CUERPO NACIONAL DE POLICA Brigada de Investigacin Tecnolgica Seccin Tcnica Tlf: 91-582 27 47 CENTRO POLICIAL C/ Julin Gonzlez Segador, S/N 28043 Madrid.

Depende de la Comisara General de Polica Judicial, que a su vez depende de la Subdireccin General Operativa (Miguel ngel Fernndez Chico), dependiente de la Direccin General de la Polica (Vctor Garca Hidalgo), dependiente de la Secretara de Estado de Seguridad (Subsecretario), que reporta al Ministerio del Interior (Jos Antonio Alonso), segn el Real Decreto 1449/2000, de 28 de Julio, de estructura Orgnica Bsica del Ministerio del Interior. Entre sus miembros destacan el Comisario Jefe Juan Hidalgo (2001). el Comisario Jefe Carlos Lobato, la Inspector Jefe de Grupo Operativo del Grupo de Fraudes en Internet, Mara Nieves Gamoneda (2004), el inspector Jos Manuel Colodrs y Carlos Garca Rodrguez, Jefe del Grupo de Delitos Informticos de la Brigada de Delincuencia Econmico-Financiera de la Unidad Central de Polica Judicial (1999). Entre los delitos ms habituales investigados se encuentran:
o o o o o

Proteccin al menor: produccin, distribucin y posesin de pornografa infantil Fraude en las comunicaciones: locutorios telefnicos clandestinos Dialers: modificacin oculta del nmero de telfono de destino Produccin y distribucin de decodificadoras de televisin privada Fraudes en Internet: estafas, subastas ficticias y ventas fraudulentas. Puede denunciarse este tpo de prcticas enviando los correos recibidos de Phishing a fraudeinternet@policia.es Carding: uso de tarjetas de crdito ajenas o fraudulentas

o o o

o o o

Phising: redireccin mediante correo electrnico a falsas pginas simuladas trucadas (comn en las mafias rusas) Cartas nigerianas (segunda fuente de ingresos del pas, segn el FBI; despus del petrleo) Seguridad lgica: virus, ataques de denegacin de servicio, sustraccin de datos, hacking, descubrimiento y revelacin de secretos, suplantacin de personalidads, sustraccin de cuentas de correo electrnico Delitos de injurias, calumnias y amenazas a travs del e-mail, news, foros, chats o SMS Propiedad intelectual: piratera de programas de ordenador, de msica y de productos cinematogrficos Robos de cdigo: como en el caso de los juegos Dark Age of Camelot, y Half-Life 2, o de los sistemas Cisco IOS y Enterasys Dragon IDS

3. El Grupo de Delitos Telemticos El Grupo de Delincuencia Informtica de la Guardia Civil, se form inicialmente en 1997, dependiente de la Unidad Central Operativa de Polica Judicial de la Guardia Civil (formada en 1990). Fue posteriormente denominado Grupo de Investigacin de Delitos de Alta Tecnologa antes de tomar su nombre actual de Grupo de Delitos Telemticos. El primer responsable del Grupo fue el entonces Teniente Anselmo del Moral Torres (1997), a quien le sucedi el Teniente Juan Rodrguez lvarez de Sotomayor (2002). Actualmente el responsable del grupo es el comandante Juan Salom Clotet. Actualmente el grupo cuenta con 14 personas y reciben una media de 60 denuncias diarias Los datos del Grupo son:
Direccin General de la Guardia Civil Unidad Central Operativa de Polica Judicial C/ Guzmn el Bueno 110- 28003 MADRID. Telfono: 91-5146400

4. Recuperacin de evidencias en discos Estrictamente hablando, el Anlisis Forense se refiere a la recopilacin de evidencias bajo notario que puedan servir como prueba judicial. Es por ello que la mayor parte de las tcnicas se basan en la recuperacin de informacin de discos duros, ahora que comienza a decaer las tcnicas denominadas Floppy Disk Forensics

En este sentido, el lder del mercado en entornos forenses de discos es ENCASE, que puede realizar duplicaciones exactas del contenido de un disco, incluso de forma remota. SMART es una utilidad que permite instalar en un disco las imgenes capturadas con Encase. A la sombra de esta herramienta, lder del mercado, han surgido muchas otras herramientas similares, como por ejemplo Forensic Toolkit La empresa Checa LEC, s.r.o. dispone de dos productos de anlisis forense de discos, Disk Doubler II (un duplicador hardware de discos) y DiskDoubler Plus, una aplicacin de bsqueda de cadenas en los datos adquiridos. La recuperacin de ficheros borrados o no accesibles entra tambin dentro de este campo. bsqueda de cadenas en los datos adquiridos. Lo ms normal en caso de querer recuperar datos de un disco es intentar montar la particin con un arranque del sistema operativo Linux. Foremost permite extraer ficheros del interior de una imagen de disco realizada con el comando dd de Linux. Existen varias herramientas de recuperacin de ficheros, como por ejemplo CIA Unerase, File Recover, Restores 2000, Active@, R-Studio, Ontrack Easy Recovery y GetDataBack) (si se han borrado particiones con fdisk). Sleuth Kit (web que contiene interesantes artculos sobre Forensics) y su entorno grfico The Autopsy Forensic Browser permiten visualizar el contenido de sistemas de ficheros y ficheros borrados. NTFS Reader es un programa windows que genera una imagen de floppy disk para arrancar en FreeDos y permite leer y copiar ficheros dentro de particiones NTFS. Bootdisk, Winimage o PEBuilder permiten crear imgenes de discos de arranque de diferentes sistemas operativos. Wotsit Format contiene las especificaciones de mltiples formatos de ficheros. Drive Image o Norton Ghost, ambas de Symantec, permiten la gestin de particiones. Por otro lado, el anlisis forense tambin se refiere a determinar las causas del compromiso de seguridad de un sistema, es decir, la alteracin de sus datos o la cada o malfuncionameinto del sistema. Tripwire y Osiris y son dos sistemas de control de integridad de ficheros.

5. Recuperacin de contraseas John the Ripper es el crackeador de contraseas fuerza bruta ms famoso, probablemente por ser gratuito y uno de los primeros. El proyecto OpenWall es una recopilacin de recuperadores de contraseas, al igual que Russian Password Crackers. Ambos incluyen crackeadores para compresores, para utilidades de cifrado, BIOS, formatos de ficheros (Office, PDF, etc.), bases de datos, Sistemas Operativos, Aplicaciones, etc. se incluyen adems enlaces sobre los algoritmos y sus debilidades. MDcrack es capaz de romper hashes MD4, MD5 y NTLM1.

Existen varias formas de recuperar o restablecer una contrasea en Windows. La pgina de Daniel Petri muestra algunas de ellas, como por ejemplo el Offline NT Password Registry editor (portado al DOS como chntpw) o pwdump3 y Dumpsec (para Windows 2000). LC5 es la ltima versin del famoso crackeador de passwords comercial L0phtCrack, antiguo grupo de hacking ahora reconvertido en el empresa @Stake. Se trata de un software de recuperacin de passwords por fuerza bruta y por diccionario para Microsoft Windows. Las versiones anteriores de L0phtcrack tienen el cdigo fuente disponible. En la web puede descargarse una versin de evaluacin de 15 das con el ataque por fuerza bruta deshabilitado. Cain es otro software muy conocido para la recuperacin de password Windows. Piero Bunari ha profundizado en la utilizacin y adaptacin de crackeadores de contraseas; dando como resultado las utilidades wJohn, el port para windows de Lepton's Crack y W@RP. Ms recientemente, el proyecto Rainbowcrack permite agilizar el cracking de contraseas mediante precomputacin de hashes. Con Winrtgen se puede agilizar la generacin de tablas para Rainbowcrack. Este proyecto ha tenido tanto exito que se ha creado una pgina web para el cracking online de hashes. Revelation es una utilidad freeware para revelar las contraseas ocultas en el GUI de Windows.

6. Deteccin y recuperacin de Virus, Troyanos y Spyware Una de las mejores webs de Antivirus es el Centro de Alerta Temprana sobre Virus Informticos, una propuesta de varios Ministerios y entidades colaboradoras pblicas y privadas. Se puede encontrar tutoriales, una gran base de datos de virus, descripciones y calendarios de activacin y estadsticas de infeccin. Existen multitud de antivirus para puestos de trabajo, pero puede ser particularmente interesante el PC Cillin 2003 para tiempo real o el Trend Micro System Cleaner si se quiere escanear todo el disco duro sin instalar antivirus. Sin embargo, al parecer hay un consenso entre los creadores de virus, que consideran el AVP Kaspersky Labs como el mejor antivirus. Panda Software es la nica empresa espaola que desarrolla actualmente software antivirus. El EICAR (European Institute of Computer Anti-virus Research) mantiene un fichero de prueba de antivirus, no propagable y sin un payload daino. Es una de las mejores pruebas para ver de forma segura si un antivirus se est ejecutando o no. El Test VEMLIE comprueba si un sistema es vulnerable a la autoejecucin de pogramas .bat en el e-mail. Es comnmente aceptado que 29A es el mejor grupo de investigacin de virus del mundo. Su poltica implica que cualquier virus desarrollado por el grupo, se confina internamente y se prohbe su propagacin. En uno de sus ltimos e-zines se repasa la virus-scene (Situation in VX scene) y pueden encontrarse muchos links interesantes como la Reference guide to VX sites. Merc Molist realiz recientemente una entrevista a VirusBuster. WinterMute mantiene en su web un Curso sobre Programacin de Virus. IKX, menos conocido, es el otro grupo dentro

de la VX Scene. VDAT es una web muy completa sobre colecciones de Virus. Entre los troyanos ms conocidos se encuentran Back Orifice 2000 (originario de "Cult of the Dead Cow" y de L0pht), SubSeven, NetBus y Hack'a'tack. La Universidad de Calgary es la primera en incorporar a sus planes de estudio el funcionamiento y la creacin de virus. Un artculo tcnico de Microsof denominado Virus Hunting: Understand Common Virus Attacks Before They Strike to Better Protect Your Apps ayuda a comprender el funcionamiento de los Virus. De entre los gusanos con mayor potencial de propagacin se encuentran el SQL Slammer (ms detalles tcnicos), del cual se ha publicado el cdigo fuente. Microsoft ha tomado contramedidas posteriormente. El virus de tipo gusano Blaster es uno de los ms peligrosos ltimamente. Para desinfectarse en Windows XP, es necesario dehabilitar la opcin de Restaurar el sistema de forma automtica, descargarse un parche y desinfectarlo con un antivirus actualizado. The Worm FAQ es una fuente muy importante para conocerlo todo sobre los gusanos.
o

o o

Trend Micro PC-cillin 2003 protege de virus el puesto de tabajo en tiempo real adems de filtrar POP3. Es posible descargarse el software, la gua de inicio rpido y un readme.txt. Se necesita el registro para la actualizacin de patrones y versiones. ISS BlackICE PC Protection 3.6 es un sistema hbrido de proteccin de intrusiones en red, proteccin contra ejecucin de aplicaciones y de acceso a la red y comprobacin de integridad del sistema. Windows Washer limpia el PC de ficheros temporales e histricos. La versin demo no permite realizar limpiezas programadas. Entre los programas que eliminan el spyware se encuentran Ad-aware 6.0 (el nico durante mucho tiempo), SpyBot, Search and Destroy (uno de los mejores), Hijack This! (mencionado en muchos sitios) y Spy Sweeper. Winpatrol Monitoriza el PC en intervalos de tiempo detectando las diferencias. Processes in Windows NT/2000/XP .

Respecto a los programas que eliminan las ventanas en la navegacin, los ms populares son Popup Stopper y Stopzilla

Patchfinder 2.10 es una utilidad de diagnstico para localizar bibliotecas del sistema y compromisos del kernel por los rootkits ms modernos: Hacker Defender, APX, Vaniquish, He4Hook, etc. Los muy muy duros pueden probar la ingeniera inversa tras leerse el artculo Reverse Engineering Malware y hacer prcticas con el IDA Pro Disassembler and Debugger, presentndose a los retos del HoneyNet Reverse Challenge o el Reto de Anlisis forense de RedIRIS (resultados).

Ahora estn de moda las bombas de descompresin, que pueden limitar el rendimiento de los antivirus que escanean en ZIP. Ej:
dd if=/dev/zero bs=1k count=10000 | gzip - > testfile.gz

7. Seguridad en el correo electrnico La amenaza ms propagada, aunque aparentemente inofensiva, son los hoaxes, mensajes de correo electrnico en los que se advierte de un virus extremedamente peligroso o de alguna otra noticia alarmista que, en realidad, no existe. Estos mensajes normalmente son reenviados por quien los recibe a toda su agenda de direcciones, como se requiere en el mensaje, ayudando a que la falsa alarma se extienda an ms. Existen varios sitios donde se puede consultar si un mensaje pude ser o no un hoax. Un buen artculo introductorio sobre las tcnicas filtrado de SPAM es Fighting the Spam Monster-and Winning . Normalmente, realizado por un robot, que recoge direcciones de una base de datos o recogidas de analizar las existentes en un hoax previamente lanzado. Tambin es posible. Microsoft publica un truco para aadir simultneamente a varios remitentes en la lista de no deseados en Microsoft Outlook 2002. SA-Proxy (ftp) es un port para Windows del SpamAssasing, un proxy local (127.0.0.1) de POP3 que filtra los mensajes y los marca como SPAM. utiliza filtros bayesianos para autoaprender del SPAM anterior. Se integra perfectamente con el cliente de correo Bloomba (ftp). Es posible encontrar una introduccin al seguimiento de emails en Visualware. Mailtracking es un sistema de seguimiento de emails mediante la confirmacin manual de recepcin del destinatario. WMDecode es una utilidad para extraer ficheros de un archivo Winmail.dat de Outlook. Decode Shell Extension permite extraer varios ficheros multiparte de emails en crudo en formato codificado MIMEBase64, etc. Respecto al MSN Messenger, el protocolo utilizado est ampliamente documentado en la web del MSN Messenger Protocol; adems de ser utilizado tambin por una versin de software libre, amsn. 8. Anlisis de Redes P2P Las redes P2P (peer to peer) se basan en el intercambio masivo de ficheros de forma distribuida mediante el protocolo MFTP (Multisource File Transmission Protocol) entre mltiples usuarios de Internet, mediante un software cliente, que se conecta a alguno de los mltiples servidores en donde se alojan mltiples usuarios que comparten partes (chunksde 9500KB) de ficheros. El software cliente se descarga una parte de cada uno de los otros mltiples que disponen de esa parte y la comparten. De la misma forma, cada parte que se descarga, queda disponible para

ser descargada por otros usuarios. Cada parte es comprobada con un hash MD4, y culmina con el ensamblaje final del fichero completo. El software de P2P e-Donkey 2000 eMule OverNet Kazaa iMesh Audiogalaxy Morpheus WinMX Grokster BearShare Xolox Blubster (comunidad de msica) y LiveWire BroadCast (sintonizador de radios) utiliza e-links de los servidores Zanahorias, Softronic y Spanishare. Recientemente se ha desarrollado un disector para este tipo de protocolos que permite decodificar fcilmente cualquier trama capturada con Ethereal o Packetyzer. Dentro del equipo, se puede identificar fcilmente el uso de este tipo de programas por los puertos comnmente utilizados, que suelen ser
o o o o o

4661/tcp (para conectar al servidor), 4662/tcp (para conectar a otros clientes), 4665/udp (para enviar mensajes a otros servidores), 4672/udp (para enviar mensajes a otros clientes), y 4711/udp (servidor web local)

aunque la identificacin remota de usuarios particualres con dichos puertos abiertos ha dado mucho que hablar ltimamente con el revuelo que se mont.

9. Procesos en el puesto de usuario Con el comando msconfig, es posible en Windows XP habilitar y deshabilitar los servicios en ejecucin y los elementos del inicio. CTFmon se ejecuta cuando se ha habilitado la "Entrada de usuario alternativa" en Office XP.

10. Anonimato o NoTrax es un navegador de Internet diseado para no dejar trazas de la navegacin en el PC local donde se utiliza, no escribe en el registro, borra de forma segura las cookies, cachs y ficheros temporales que utiliza (los cifra con blowfich por si se cuelga), no ejecuta Spyware, JavaScript or ActiveX y soporta SSL en un nico exe o Se puede encontrar un interfaz web para servicios annimos de surfing y mailing en All-Nettools o Andr Bacard's Privacy Page: http://www.andrebacard.com/privacy.html o Anonymizer http://www.anonymizer.com/

o o

HushMail is the world's premier secure Web-based email system. We offer ease of use and total end-to-end security. Thanks to a unique key pair management system, HushMail eliminates the risk of leaving unencrypted files on Web servers. HushMail messages, and their attachments, are encrypted using OpenPGP standard algorithms. These algorithms, combined with HushMail's unique OpenPGP key management system, offer users unrivalled levels of security. https://www.hushmail.com/ Using anonymous digital certificates, PrivacyX members can enjoy all the benefits of strongly encrypted and digitally signed email, without the need to reveal any personally identifying information. https://www.privacyx.com/www/ Private Idaho http://www.eskimo.com/~joelm/pi.html An as, es posible violar la privacidad de la navegacin web en estos sistemas, como demuestra el artculo Timing Attacks on Web Privacy y el proyecto Meantime

11. Investigacin de informacin Tras conseguir indicios parciales de la identidad de un atacante, es posible completar la informacin mediante varias formas, siendo la principal de ellas la bsqueda en Google (por ejemplo cuando se localiz el Mapa de red de la CIA). Los telfonos se consiguen en las Pginas Blancas, las direcciones en Infobel, las fotografas de inmuebles en el Callejero Fotogrfico, las fotografas de personas en Google, los Cdigos Postales en Correos y los mapas en Multimap. Existe multitud de callejeros como Pginas Amarillas, el Callejero de Terra, Arcpolis o y Mappy; adems de guas de carreteras entre dos puntos como las Guas Campsa y Micheln. Ms concretamente en Madrid, hay Mapas de Zonas, Clculo de rutas en transporte pblico Tambis es posible realizar bsquedas de vuelos (Iberia, Spanair), Hoteles ( Hotelsearch y Conocemundo), empresas ( Banesto Empresas, Camerdata Empresas, Yahoo! Finance y E-Informa) y pases (CIA)

Introduccin a la informtica forense en entornos Windows 1 parte

Este documento no pretende ni tiene la finalidad de convertirse en manual de referencia. Este documento relata los aspectos bsicos relacionados en el campo de la informtica forense, explicando de una forma simple y concisa las herramientas utilizadas para la captura de evidencias. Tambin explicar los aspectos tcnicos relativos a la arquitectura de un sistema Windows. Probablemente esto ayudar al lector a comprender mejor cmo un sistema Windows recopila y almacena la informacin, ayudando tambin a entender la arquitectura del sistema. Prohibida la reproduccin total o parcial de este texto sin poner la fuente (http://www.elhacker.net) Prohibida la modificacin o eliminacin de enlaces e imgenes en este documento. Redactado por Silverhack el 08 de Agosto de 2006 Versin 0.1

General Definicin de anlisis forense Evidencia Digital RFC3227 (Recoleccin y manejo de evidencias) Buenas prcticas a la hora de analizar datos

Entorno Microsoft Cuentas de usuario y perfil de usuario Tipos de Logon en un sistema basado en Windows

La Papelera de Reciclaje. Estructura y funcionamiento Archivos de Registro. Estructura Index.dat e Internet Explorer. Estructura y funcionamiento Service Pack, HotFix. Qu es y para qu sirve?

Introduccin y definicin de anlisis forense En este tutorial, vamos a explicar de la forma ms sencilla posible el uso de algunas herramientas que nos pueden facilitar la tarea a la hora de realizar un anlisis forense en entornos Windows. Existen muchsimas herramientas destinadas a ste propsito, comerciales y gratuitas. En este tutorial vamos a ver como enfocaramos un anlisis partiendo de herramientas gratuitas. Cuando un usuario no autorizado toma el control de un sistema, ste puede instalar mltiples backdoors (puertas traseras) que le permitan entrar al sistema en un futuro, aunque parcheemos la vulnerabilidad original. Se denomina anlisis forense al proceso de analizar una copia completa de un sistema que ha sufrido una intrusin o ataque. El anlisis forense permite obtener la mayor cantidad posible de informacin sobre:

El mtodo utilizado por el atacante para introducirse en el sistema Las actividades ilcitas realizadas por el intruso en el sistema El alcance y las implicaciones de dichas actividades Las puertas traseras instaladas por el intruso

Realizando un anlisis forense nos permitir, entre otras cosas, recuperarnos del incidente de una manera ms segura y evitaremos en la medida de lo posible que se repita la misma situacin en cualquiera de nuestras mquinas. Un buen anlisis forense debe dar respuestas a varias cuestiones, entre las que se encuentran las siguientes:

En que fecha exacta se ha realizado la intrusin o cambio? Quin realiz la intrusin? Cmo entr en el sistema? Qu daos ha producido en el sistema?

Si una vez realizado el anlisis forense no conocemos con exactitud las respuestas a estas preguntas, no tendremos un anlisis funcional. Esto puede derivar en futuros ataques, bien por la misma persona, o bien por diferentes medios de intrusin que desconozcamos.

Evidencia digital Uno de los pasos a tener en cuenta en toda investigacin, sea la que sea, consiste en la captura de la/s evidencia/s. Por evidencia entendemos toda informacin que podamos procesar en un anlisis. Por supuesto que el nico fin del anlisis de la/s evidencia/s es saber con la mayor exactitud qu fue lo que ocurri. Bueno, y qu entendemos por evidencia digital? Podemos entender evidencia como:

El ltimo acceso a un fichero o aplicacin (unidad de tiempo) Un Log en un fichero Una cookie en un disco duro El uptime de un sistema (Time to live o tiempo encendido) Un fichero en disco Un proceso en ejecucin Archivos temporales Restos de instalacin Un disco duro, pen-drive, etc...

RFC3227. Recoleccin y manejo de evidencias El propsito de este documento (RFC3227) no es otro que proveer a los administradores de sistemas unas pautas a seguir en el aspecto de recoleccin de evidencias, si se diese el caso de un incidente de seguridad. En este rfc se trata los siguientes aspectos:

Principios para la recoleccin de evidencias Orden de volatilidad Cosas a evitar Consideraciones relativas a la privacidad de los datos Consideraciones legales Procedimiento de recoleccin Transparencia Pasos de la recoleccin Cadena de custodia Como archivar una evidencia Herramientas necesarias y medios de almacenamiento de stas

Algunos de los principios que rige el documento para la recoleccin de evidencias son:

Comprometer al personal de aplicacin de la ley y manejo de incidentes apropiados Capturar la imagen tan exacta del sistema como sea posible Anotar todo lo que se vaya investigando Recolectar las evidencias en funcin de la volatilidad de la misma. Primero se recogern las de mayor volatilidad

El orden de volatilidad que recoge el rfc es el siguiente:

Registros, Cache Tabla de ruta. ARP Cache, Tabla de Proceso, Ncleo de estadsticas, memoria Sistema de Archivo temporales Disco Datos de monitoreo y Log's remotos relativos al caso Configuracin fsica, topologa de red Medio de Archivos

Si se quiere leer ms sobre el RFC3227 sobre la recoleccin y manejo de evidencias, puede hacerlo en el siguiente enlace: http://rfc.net/rfc3227.html

Buenas prcticas a la hora de la recogida y anlisis de los datos Estudio Preeliminar Es el primer paso de cualquier anlisis forense. Nos deben o debemos explicar con la mayor exactitud posible qu ha ocurrido, qu se llevaron o intentaron llevar y cundo ocurri. Tambin tendremos que recoger informacin sobre la organizacin, ya sea organizacin, casa, etc... Recogeremos informacin sobre la tipologa de red y de gente directa o indirectamente implicada. Tambin podramos recoger informacin sobre el tipo de escenario y el/los sistema/s afectado/s. Apagamos el equipo? Podemos presentarnos con dos casos. El primero es el de no apagar el equipo. Si no apagamos el equipo, podremos ver todos los procesos en ejecucin, los consumos de memoria, las conexiones de red, los puertos abiertos, los servicios que corren en el sistema,

etc. Tambin se nos presenta el problema de que si apagamos el equipo, se perder informacin voltil que puede ser esencial para el curso de la investigacin. La parte mala de esta situacin es que el sistema, al poder estar contaminado, ste puede ocultar la informacin. Tambin se nos presenta el problema de que si no apagamos el sistema, ste puede comprometer a toda la red. Si no apagamos el sistema tendremos que controlar este aspecto de la seguridad, y aislarlo completamente de la red, lo cual llega a ser prcticamente imposible en determinados escenarios.

Tipo de Herramientas Una de las cosas ms importantes a la hora de realizar un anlisis forense es la de no alterar el escenario a analizar. Esta es una tarea prcticamente imposible, porque como mnimo, alteraremos la memoria del sistema al utilizar cualquier herramienta. Las herramientas que utilicemos deben de ser lo menos intrusivas en el sistema, de ah que se huya de las herramientas grficas, las que requieren instalacin, las que escriben en el registro, etc... Lo normal y lgico sera utilizar herramientas ajenas al sistema comprometido, ya sean herramientas guardadas en cualquier soporte (CD-ROM, USB, etc...). Esto lo hacemos para no tener que utilizar las herramientas del sistema, ya que pueden estar manipuladas y arrojar falsos positivos, lecturas errneas, etc... Tipo de Copia del Sistema En el caso de que se pueda realizar, lo ideal sera hacer ms de una copia de seguridad. Una de ellas se podra guardar hermticamente junto con algn sistema de fechado digital como el proporcionado por RedIris http://rediris.es/app/sellado. Otra copia la podra guardar algn responsable de la compaa afectada, y una copia se destinara a trabajar sobre ella. En el caso que sea posible, la imagen obtenida podremos montarla sobre un hardware similar al de la mquina afectada. Destacaremos los siguientes aspectos:

La copia que realicemos debera ser lo ms exacta posible Si es posible, haremos varias copias de seguridad Una de ellas se guardar hermticamente, para aislarla de todo tipo de agente exterior A ser posible se fecharn digitalmente y sobre el papel En el caso que sea posible, la imagen obtenida la montaremos sobre hardware similar