PROYECTO

DE SEGURIDAD
DE LA RESUMEN DEL CAPITULO 8

INFORMACIÓN

Presentado por:

JUAN SEBASTIÁN MURILLO GODOY

Ficha:
2073977

ESP. SEGURIDAD EN REDES DE COMPUTADORES

REGIONAL TOLIMA, CENTRO DE INDUSTRIA Y LA CONSTRUCCIÓN

SERVICIO NACIONAL DE APRENDIZAJE SENA

IBAGUÉ

2020
GC-F -005 V. 01
Proyecto De Seguridad
De La Información

Tabla de contenido
RESUMEN ………………………………………………………………………………………………………………2
GLOSARIO…………………………………………………………………………………………………………………………
Proyecto De Seguridad
De La Información

RESUMEN

En este capítulo se hablará sobre se  analiza las leyes que afectan la

tecnología y los requisitos de la ciberseguridad. Las leyes, como FISMA,
GLBA y FERPA, se centran en la protección de la confidencialidad. Las leyes
que se enfocan en la protección de la integridad incluyen la FISMA, SOX y
FERPA; las leyes relacionadas con la disponibilidad son la FISMA, GLBA,
SOX y CIPA

VULNERABILIDADES Y AMENAZAS COMUNES A LOS USUARIOS

El dominio de usuario incluye a los usuarios que acceden al sistema de

información de la organización el cual pueden ser empleados, clientes,
contratistas empresariales y otros individuos que deben acceder a los datos.

Las siguientes son amenazas comunes a los usuarios presentes en muchas

organizaciones:

 Ningún reconocimiento de la seguridad: Los usuarios deben conocer

los datos confidenciales, las políticas y los procedimientos de seguridad,
las tecnologías y las contramedidas proporcionados para proteger la
información y los sistemas de información.

 Políticas de seguridad mal aplicadas: Todos los usuarios deben

conocer las políticas de seguridad y las consecuencias del cumplimiento
de las políticas de la organización.

 Robo de datos: El robo de datos por parte de los usuarios tiene un

costo financiero para las organizaciones;

 Descargas no autorizadas: Muchas infecciones y ataques a redes y

estaciones de trabajo se remontan a los usuarios que descargan correos
electrónicos, fotos, música, juegos, aplicaciones, programas y videos no
autorizados en las estaciones de trabajo, las redes o los dispositivos de
almacenamiento.

 Medios no autorizados: El uso de medios no autorizados como CD,

unidades USB y dispositivos de almacenamiento en red pueden provocar
infecciones y ataques de malware.

 VPN no autorizadas: Las VPN pueden ocultar el robo de información

no autorizada.
Proyecto De Seguridad
De La Información

 Sitios web no autorizados: El acceso a sitios web no autorizados puede

representar un riesgo para los datos del usuario, los dispositivos y la
organización.

 Destrucción de sistemas, aplicaciones o datos: La destrucción

accidental o deliberada; O el sabotaje de sistemas, aplicaciones y datos
supone un gran riesgo para todas las organizaciones.

AMENAZAS COMUNES A LOS DISPOSITIVOS

Las siguientes son amenazas a los dispositivos:

 Estaciones de trabajo desatendidas: Las estaciones de trabajo que se

dejan encendidas y desatendidas representan un riesgo de acceso no
autorizado a los recursos de la red.

 Descargas del usuario: Los archivos, las fotos, la música o los videos
descargados pueden ser un vehículo para el código malicioso.

 Software sin parches: las vulnerabilidades en la seguridad del software

ofrecen debilidades que los cibercriminales pueden aprovechar.

 Malware: Nuevos virus, gusanos y otros códigos maliciosos salen a luz

diariamente.

 Medios no autorizados: Los usuarios que insertan unidades USB, CD o

DVD pueden introducir malware o correr el riesgo de comprometer los
datos almacenados en la estación de trabajo.

 Violación de la política de uso aceptable: Las políticas existen para

proteger la infraestructura de TI de la organización.

MANEJO DE LAS AMEZAS A LOS DISPOSITIVOS

Las organizaciones pueden implementar diversas medidas para manejar las

amenazas a los dispositivos:

 Establecer políticas para los umbrales de bloqueo y protección de

contraseñas en todos los dispositivos.

 Habilitar el bloqueo de la pantalla durante las horas de inactividad.

 Desactivar los derechos administrativos de los usuarios.

Proyecto De Seguridad
De La Información

 Definir pautas, procedimientos, estándares y políticas de control de

acceso.

 Actualizar y corregir todos los sistemas operativos y las aplicaciones de

software.

 Implementar soluciones de antivirus automatizadas que exploren el

sistema y actualizar el software antivirus para proporcionar la protección
adecuada.

 Desactivar todos los puertos USB, CD y DVD.

 Habilitar los análisis de antivirus automáticos para cualquier CD, DVD o

unidad USB insertados.

 Usar el filtrado de contenido.

 Realizar capacitaciones de reconocimiento de seguridad anuales

obligatorias o implementar campañas y programas de concienciación
sobre seguridad que se ejecuten durante todo el año.

AMENZAS COMUNES A LA LAN

La red de área local (LAN) es un conjunto de dispositivos interconectados

mediante cables u ondas de radio. El dominio de LAN requiere sólidos
controles de acceso y seguridad, dado que los usuarios pueden acceder a los
sistemas, las aplicaciones y los datos del dominio de LAN de la organización.

Las siguientes son amenazas a la LAN:

 Acceso a la LAN no autorizado: Los armarios de cableado, los centros

de datos y las salas de computación deben permanecer seguras.

 Acceso no autorizado a sistemas, aplicaciones y datos.

 Vulnerabilidades de software del sistema operativo de la red.

 Actualizaciones del sistema operativo de la red.

 Acceso no autorizado de usuarios dudosos a las redes inalámbricas.

 Ataques a datos en tránsito.

Proyecto De Seguridad
De La Información

 Servidores de LAN con diferentes sistemas operativos o hardware:

Administrar y solucionar problemas de los servidores se torna cada vez
más difícil con las variadas configuraciones.

 Escaneo de puertos y sondeo de redes no autorizados.

 Firewall mal configurado.

MANEJO DE LAS AMANEZAS A LA LAN

Las organizaciones pueden implementar diversas medidas para manejar las

amenazas a la red de área local:

 Proteger los armarios de cableado, los centros de datos y las salas

informáticas. Denegar el acceso a cualquier persona sin las credenciales
adecuadas.

 Definir pautas, procedimientos, estándares y políticas de control de

acceso estrictos.

 Restringir los privilegios de acceso a determinadas carpetas y archivos

en función de la necesidad.

 Requerir contraseñas o la autenticación para las redes inalámbricas.

 Implementar la encriptación entre los dispositivos y las redes

inalámbricas para mantener la confidencialidad.

 Implementar estándares de configuración del servidor de la LAN.

 Realizar pruebas de penetración posterior a la configuración.

 Deshabilitar el ping y escaneo de puertos.

AMANEZAS COMUNES A LA NUBE PRIVADA

Las siguientes son amenazas a la nube privada:

 Escaneo de puertos y sondeo de redes no autorizados.

 Acceso no autorizado a los recursos.

 Vulnerabilidades de software del sistema operativo del dispositivo de

red, firewall o router.
Proyecto De Seguridad
De La Información

 Error de configuración del dispositivo de red, firewall o router.

 Usuarios remotos que acceden a la infraestructura de la organización y

descargan datos confidenciales.

MANEJO DE LAS AMANEZAS A LA NUBE PRIVADA

Las organizaciones pueden implementar diversas medidas para manejar las

amenazas a la nube privada:

 Desactivar el ping, el sondeo y el escaneo de puertos.

 Implementar sistemas de prevención y detección de intrusiones.

 Supervisar las anomalías del tráfico IP entrante.

 Actualizar los dispositivos con parches y correcciones de seguridad.

 Realizar pruebas de penetración posteriores a la configuración.

 Probar el tráfico entrante y saliente.

 Implementar un estándar de clasificación de datos.

 Implementar el escaneo y la supervisión de la transferencia de archivos

para los tipos de archivos desconocidos.

AMENZAS COMUNES A LA NUBE PÚBLICA

Los proveedores de la nube implementan controles de seguridad para

proteger el entorno de la nube, pero las organizaciones son responsables de
proteger sus recursos en la nube. Existen tres modelos de servicios diferentes
entre los que una organización puede elegir:

 Software como servicio (SaaS): un modelo por suscripción que brinda

acceso al software alojado de manera centralizada al que los usuarios
acceden mediante un navegador web.

 Plataforma como servicio (PaaS): proporciona una plataforma que

permite que una organización desarrolle, ejecute y administre sus
aplicaciones en el hardware del servicio con herramientas provistas por el
servicio.
Proyecto De Seguridad
De La Información

 Infraestructura como servicio (IaaS): proporciona recursos de

computación virtualizados, como hardware, software, servidores,
almacenamiento y otros componentes de infraestructura en Internet.

Las siguientes son amenazas a la nube pública:

 Violaciones de datos.

 Pérdida o robo de propiedad intelectual.

 Credenciales comprometidas.

 Los repositorios de identidad federados son un objetivo de gran valor.

 Secuestro de una cuenta.

 Falta de comprensión por parte de la organización.

 Ataques de ingeniería social que atraen a la víctima.

 Violación del cumplimiento.

MANEJO DE LAS AMENZAS A LA NUBE PÚBLICA

Las organizaciones pueden implementar varias medidas para manejar las

amenazas a las instalaciones físicas:

 Autenticación de varios factores.

 Uso de la encriptación.

 Implementación de contraseñas de un solo uso, autenticación

telefónica y tarjetas inteligentes.

 Aplicaciones y datos de distribución a través de varias zonas.

 Procedimientos de copia de respaldo de datos.

 Diligencia debida.

 Programas de concientización de seguridad.

 Políticas.
Proyecto De Seguridad
De La Información

AMENZAS COMUNES A LAS INSTALACIONES FISICAS

El dominio de instalaciones físicas incluye todos los servicios utilizados por

una organización, entre ellos, la HVAC, el agua y la detección de incendios.

Las siguientes son amenazas a las instalaciones de la organización:

 Amenazas naturales, incluidos problemas meteorológicos y riesgos

geológicos.

 Acceso no autorizado a las instalaciones.

 Interrupciones eléctricas.

 Ingeniería social para conocer los procedimientos de seguridad y las

políticas de la oficina.

 Violación de las defensas del perímetro electrónico.

 Robo.

 Pasillos abiertos que permiten que un visitante camine directamente

hacia las instalaciones internas.

 Centros de datos desbloqueados.

 Falta de vigilancia.

MANEJO DE LAS AMENZAS A LAS INSTALACIONES FISICAS

Las organizaciones pueden implementar varias medidas para manejar las

amenazas a las instalaciones físicas:

 Implementar el control de acceso y la cobertura de circuito de TV

cerrado (CCTV) en todas las entradas.

 Establecer políticas y procedimientos para los invitados que visitan la

instalación.

 Probar la seguridad en edificios a través de medios cibernéticos y

físicos para obtener acceso encubierto.

 Implementar la encriptación de tarjetas de identificación para el acceso

a las entradas.
Proyecto De Seguridad
De La Información

 Desarrollar un plan de recuperación tras un desastre.

 Desarrollar un plan de continuidad empresarial.

 Realizar capacitaciones de concientización en seguridad

periódicamente.

 Implementar un sistema de etiquetado de activos.

MANEJO DE LAS AMENAZAS A LAS APLICACIONES

Las organizaciones pueden implementar diversas medidas para manejar las

amenazas al dominio de aplicación:

 Implementar políticas, estándares y procedimientos para que el

personal y los visitantes se aseguren de que las instalaciones están
seguras.

 Realizar pruebas de software antes del lanzamiento.

 Implementar estándares de clasificación de datos.

 Desarrollar una política para abordar las actualizaciones del sistema

operativo y el software de aplicaciones.

 Implementar procedimientos de copia de respaldo.

 Desarrollar un plan de continuidad empresarial para que las

aplicaciones críticas mantengan la disponibilidad de las operaciones.

 Desarrollar un plan de recuperación tras un desastre para las

aplicaciones y los datos críticos.

 Implementar inicios de sesión.

ETICA DE LOS ESPECIALISTAS EN CIBERSEGURIDAD

Para los especialistas en ciberseguridad la ética es la pequeña voz en

segundo plano que orienta sobre qué deben hacer, independientemente de si
es legal. La organización encomienda a los especialistas en ciberseguridad
los recursos y los datos más confidenciales. Los especialistas en
ciberseguridad deben comprender cómo las leyes y los intereses de la
organización ayudan a guiar las decisiones éticas.
Proyecto De Seguridad
De La Información

Los siguientes sistemas éticos ven la ética desde varias perspectivas.

Ética de los servicios públicos

El principio rector es que cualquier acción en la que el bien supere al mal es

una opción ética.

Enfoque de los derechos

Esta perspectiva observa cómo una acción afecta los derechos de otras
personas para evaluar si una acción es correcta o incorrecta. Estos derechos
incluyen el derecho a la verdad, la privacidad y la seguridad; la sociedad debe
aplicar las leyes equitativamente para todos sus miembros.

Enfoque del bien común

El enfoque del bien común propone que el bien común es lo que beneficia a la
comunidad. En este caso, un especialista en ciberseguridad observa cómo
una acción afecta el bien común de la sociedad o la comunidad.

La respuesta sobre qué es correcto o incorrecto puede cambiar según la

situación y la perspectiva ética.

INSTITUTO DE ETICA INFORMACION

El Instituto de Ética Informática es un recurso que identifica, evalúa y

responde a problemas éticos en el sector de la tecnología de la información.
El CEI (por sus siglas en inglés) fue una de las primeras organizaciones en
reconocer los problemas de políticas públicas y éticas que surgían del rápido
crecimiento del campo de la tecnología de la información

DELITO CIBERNETICO

Las leyes prohíben los comportamientos no deseados.

Delito cibernético

Una computadora puede verse involucrada en un delito cibernético de

diferentes maneras. Puede ser un delito asistido por computadora, un delito
dirigido a una computadora o un delito informático incidental. La pornografía
infantil es un ejemplo de delito informático incidental; La computadora es un
dispositivo de almacenamiento y no es la herramienta real utilizada para
cometer el delito.
Proyecto De Seguridad
De La Información

Organizaciones creadas para luchar contra el delito cibernético

Hay una cantidad de agencias y organizaciones que ayudan a combatir el

delito cibernético. Haga clic en cada uno de los enlaces en la figura para
visitar los sitios web de estas organizaciones que ayudan a mantenerse al día
con los problemas importantes.

CIBERLEYES REGULATORIAS CIIVILES Y PENALES

En los Estados Unidos hay tres fuentes primarias de leyes y regulaciones:

leyes estatutarias, leyes administrativas y leyes comunes. Las tres fuentes
involucran la seguridad informática. El Congreso de los Estados Unidos
estableció agencias administrativas federales y un marco de trabajo
regulatorio que incluye sanciones civiles y penales para quienes incumplen
las reglas.

Los derechos penales aplican un código moral comúnmente aceptado

respaldado por la autoridad gubernamental. Las regulaciones establecen
reglas diseñadas para abordar las consecuencias en una sociedad en
constante cambio que aplica sanciones por infringir dichas reglas

Ley Federal de Administración de Seguridad de la Información (FISMA)

El Congreso elaboró la FISMA en 2002 para cambiar el enfoque del gobierno

estadounidense respecto de la seguridad informática. La FISMA se aplica a
los sistemas de TI de las agencias federales y estipula que las agencias
deben crear un programa de seguridad de la información que incluya lo
siguiente:

 Evaluación de riesgos

 Inventario anual de los sistemas de TI

 Políticas y procedimientos para reducir el riesgo

 Capacitaciones de concientización en seguridad

 Prueba y evaluación de todos los controles del sistema de TI

 Procedimiento de respuesta ante los incidentes

 Continuidad del plan de operaciones

LEYES ESPECÍFICAS DEL SECTOR

Proyecto De Seguridad
De La Información

Muchas leyes específicas del sector tienen un componente de privacidad o

seguridad. Los especialistas en ciberseguridad deben ser capaces de traducir
los requisitos legales en prácticas y políticas de seguridad.

Ley Gramm-Leach-Bliley (GLBA)

La Ley Gramm-Leach-Bliley es una ley que afecta principalmente el sector

financiero.

Ley Sarbanes-Oxley (SOX)

Estados Unidos, el congreso aprobó la Ley Sarbanes-Oxley (SOX) su

propósito era revisar los estándares contables corporativos y financieros,
específicamente los estándares de las firmas públicas comercializadas
estadounidenses.

Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago

de las comunicaciones de red.

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI

DSS) es un conjunto de reglas contractuales que rige cómo proteger los datos
de las tarjetas de crédito cuando los bancos y los comerciantes intercambian
transacciones.

Restricciones a la importación/exportación de encriptación

Los países pueden decidir si desean restringir la importación de las

tecnologías criptográficas por los siguientes motivos:

 La tecnología puede contener una puerta trasera o una vulnerabilidad

en la seguridad.

 Los ciudadanos pueden comunicarse anónimamente y evitar el

monitoreo.

 La criptografía puede aumentar los niveles de privacidad a un nivel

aceptable.

LEYES DE NOTIFICACION DE INFRACCIONES A LA SEGURIDAD

Las empresas recopilan cantidades cada vez mayores de información

personal sobre sus clientes, desde contraseñas de cuentas y direcciones de
correo electrónico hasta información médica y financiera altamente
confidencial. Las empresas grandes y pequeñas reconocen el valor del
análisis de datos masivos y datos. Esto fomenta a las organizaciones a
Proyecto De Seguridad
De La Información

recopilar y almacenar información. Los ciberdelincuentes buscan

constantemente nuevas maneras de obtener dicha información o de acceder y
atacar los datos más confidenciales de una empresa. Las organizaciones que
recopilan datos confidenciales deben ser buenos guardianes de datos. En
respuesta a este crecimiento en la recopilación de datos, varias leyes
requieren que las organizaciones que recopilan datos de información personal
notifiquen a las personas si se produce una violación de sus datos
personales. Para ver una lista de estas leyes, haga clic aquí.

Ley de Privacidad de Comunicaciones Electrónicas (ECPA)

La Ley de Privacidad de Comunicaciones Electrónicas (ECPA) aborda una

infinidad de cuestiones legales de privacidad que surgen del uso cada vez
mayor de computadoras y otras tecnologías específicas para las
telecomunicaciones. Las secciones de esta ley abordan el correo electrónico,
las comunicaciones celulares, la privacidad del lugar de trabajo y el host,
entre otros problemas relacionados con la comunicación electrónica.

Ley de Abuso y Fraude Informático (1986)

La Ley de Abuso y Fraude Informático (CFAA) ha estado en vigencia por más

de 20 años. La CFAA proporciona la base para las leyes estadounidenses
que penalizan el acceso no autorizado a los sistemas informáticos. La CFAA
considera un delito acceder intencionadamente y sin permiso a una
computadora del gobierno o una computadora utilizada en el mercado
interestatal. La CFAA también penaliza el uso de una computadora en un
delito de naturaleza interestatal.

La ley penaliza el tráfico de contraseñas o información de acceso similar y la

transmisión intencionada de un programa, un código o un comando que da
como resultado un daño.

PROTECCION DE LA PRIVACIDAD

Las siguientes leyes estadounidenses protegen la privacidad.

Ley de Privacidad de 1974

Esta ley establece un Código de práctica de información justa que rige la

recopilación, el mantenimiento, el uso y la transmisión de la información de
identificación personal de los individuos conservada en sistemas de registro
por las agencias federales.

Ley de Libertad de Información (FOIA)

Proyecto De Seguridad
De La Información

La FOIA permite el acceso público a los registros del gobierno

estadounidense. La FOIA lleva aparejada la presunción de divulgación, por lo
que la carga recae en el gobierno acerca de por qué no puede hacer pública
la información.

Hay nueve exenciones de divulgación relacionadas con la FOIA:

 Información de políticas externas y seguridad nacional.

 Prácticas y reglas para el personal interno de una agencia.

 Información específicamente exenta por estatuto.

 Información empresarial confidencial.

 Comunicación interinstitucional o intrainstitucional sujeta a procesos

deliberativos, litigaciones y otros privilegios.

 Información que, si se divulga, constituirá una clara invasión infundada

a la privacidad personal.

 Registros de aplicación de las leyes que implican uno de varios

problemas enumerados.

 Información de agencias de instituciones financieras.

 Información geológica y geofísica relacionada con los pozos.

Ley de Privacidad y Registros de Educación Familiar (FERPA)

Esta ley federal concedió acceso a los estudiantes a los registros educativos.
La FERPA es opcional, dado que el estudiante debe aprobar la divulgación de
la información antes de que suceda. Cuando un alumno cumple 18 años o
ingresa en una institución postsecundaria a cualquier edad, los derechos de la
FERPA pasan de los padres del estudiante al estudiante.

Ley de Abuso y Fraude Informático (CFAA) de los Estados Unidos

Esta ley federal se aplica a la recopilación en línea de información personal

por parte de personas o entidades bajo la jurisdicción estadounidense para
niños menores de 13 años. Antes de recopilar y utilizar la información de
niños (de 13 años o menos), se debe obtener el permiso de los padres.
Proyecto De Seguridad
De La Información

Ley de Protección de la Privacidad Infantil en Línea (COPPA) de los

Estados Unidos

Esta ley federal se aplica a la recopilación en línea de información personal

por parte de personas o entidades bajo la jurisdicción estadounidense para
niños menores de 13 años. Antes de recopilar y utilizar la información de
niños (de 13 años o menos), se debe obtener el permiso de los padres.

Glosario

USB: Universal Serial Bus es un tipo de dispositivo de almacenamiento de

datos que utiliza circuitos de estado sólido para guardar datos e información

Amenaza: es peligro inminente, que surge, de un hecho o acontecimiento

que aún no ha sucedido, pero que de concretarse aquello que se dijo que
iba a ocurrir, dicha circunstancia o hecho perjudicará a una o varias personas
en particular.

Confidencial:  la propiedad de la información, por la que se garantiza que está

accesible únicamente a personal autorizado a acceder a dicha información. La
confidencialidad ha sido definida por la Organización Internacional de
Estandarización (ISO) en la norma ISO/IEC 27002 como "garantizar que la
información es accesible sólo para aquellos autorizados a tener acceso" y es
una de las piedras angulares de la seguridad de la información.

Cibernético: todo lo relacionado con la tecnología computacional interdisciplinaria

usada para la extensión de las capacidades humanas
Proyecto De Seguridad
De La Información