CLICK HERE FOR BLOGGER TEMPLATES AND MYSPACE LAYOUTS »

martes, 17 de febrero de 2009

SSL

SSL2_WINDOWS

lunes, 9 de febrero de 2009

SSH Secure SHell

Es un protocolo que facilita las comunicaciones seguras entre dos sistemas utilizando la arquitectura de cliente/servidor y permite la conexion remota. SSH encripta la sesion de conexiones, haciendo impoible que alguien pueda obtener contraseñas no encriptadas. Es el remplazo de motedos mas viejos e inseguros para las conexiones remotas por medio de la shell de comandos como lo es el telnet. Se utiliza SSH para inicios de sesion remota y para copiar archivos, con la diferencia que de los demas que estepermite disminuir la amenazas a la seguridad, eso porque el cliente SSH y el servidor usan firmas digitales para verificar su identidad y la comunicacion es encriptada; por ende los intrusos perderan su tiempo al intetar falsificar o analizar informacion porque cada paquete esta cifrado por medio de una llave conocida solo por el sistema local y remoto.

CONFIGURACION DE SSH EN WINDOWS SERVER 2003

Lo primero que hacemos es instalar el OpenSSH. Lo puedes descargar del siguiente link http://openssh.softonic.com/.

Para iniciar la configuracion nos dirigimos al simbolo del sistema (cmd) e inmgresamos a a siguiente ruta "\Archivos de programas\OpenSSH\bin"y creamos el archivo "passwd" donde agregaremos a los usuarios que se le autoriza la comunicacion por el SSH, los usuarios que se ingresen en este archivo tienen que esxistir en el sistema. Para los usuarios locales se agregan con -l y para usuarios que pertenezcan a un dominion se agregan con -d.



NOTA: con "mkpasswd" creamos el archivo, el "Administrador" hace referencia al usuario que tengo en el sistema; las ">>" es la redireccion al archivo, y "\etc\passwd" es la ruta donde se guarda el archivo.

De la misma manera creamos el archivo group que es para los permisos.



Ahora configuramos la variable de entorno parth: INICIO --> clic seccundario en MIPC --> PROPIEDADES y nos se abre la ventana de "propiedads del sistema" y nos dirigimos a la pestaña "opciones avanzadas" y luego en la opcion "variable de entorno"



Se inicia uan nueva ventana "variables de entorno" donde en el campo "variables del sistema" buscamo y selecionamos el "path" y damos clic en la opcion "modificar"



En el campo del valor de la variable colocamos al final la ruta del "bin" de OpenSSh y damos aceptar.



Regresamos a la ventana de variables de entorno automaticamente y ahaora damos en la opcion "nuevo" y creamos la variable HOME en el campo "nombre de la variable" y en el campo "valor de la variable" se ingresa la ruta de Openssh.



Con esto terminamos la configuracion del OpenSSH en nuestro sistema,ahora iniciaremos a configurar de todo lo requerido para la autenticacion de llaves.Iniciaremos con la creacion de nuetro para de llaves privada/publica, la cual de genera con "ssh-keygen" el cual se crea por defecto en la siguiente ruta "Documents and settings\Administrador\.ssh" y como el directorio ".ssh" no existe al crear las claves este proceso lo crea automaticamente.



Nos dirigimos a al directorio donde creamos las llaves en nuestro caso es el directorio "Documents and settings\Administrador\.ssh" y verificamos si alli estan almacenado los siguientes archivos:
ID_DSA --> Archivo donde se encuentra la llave privada
ID_DSA.PUB --> Archivo donde se encuentra la llave publica
KNOWN_HOSTS --> Archivo donde se almacena todas la autenticaciones realizadas es recomendable que este archivo se encuentre vacion cuando estemos realizando autenticaciones porque este puede presentar problema a la hora de la conexion.



Ahora creamos es archivo "authorized_keys" que es el archivo donde se ingresaran todas las llaves publicas de los clientes para su debida autenticacion. Este archivos por defecto se crea en el directorio .ssh pero nosotros lo crearemos en el etc del OpenSSh y debemos de tener mucho cuidado al poner la ruta en el archivo de configuracion.



Ya creado unos de los archivos mas importantes para esta configuracion "authorized_keys" el paso a seguir es enviar nuestra llave purblica a este archivo, es decira, redireccionar el archivo "id_dsa.pub" que esta en la el directorio "Documents and settings\Administrador\.ssh" al archivo "authorized_keys" que se encuentra en el directori "archivos de programas\OpenSSH\etc", esto es para permitir al servidor la auteticacion por llaves publicas.



Y visualizamos el archivo authorized_keys y este nos mostrara nuestra llave publica:



El siguiente paso es configurar el archivo "sshd_config" ubicado en "archivos de programas\OpenSSH\etc" es en este archivo donde definimos toda la configuracion necesaria para que nuestro servidor autentifique con llaves publicas. la configuracion es la siguiente:

# $OpenBSD: sshd_config,v 1.65 2003/08/28 12:54:34 markus Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

Port 22
#Protocol 2,1
Protocol 2
ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh_host_rsa_key
HostKey /etc/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 1h
ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
SyslogFacility AUTH
LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin yes

# The following setting overrides permission checks on host key files
# and directories. For security reasons set this to "yes" when running
# NT/W2K, NTFS and CYGWIN=ntsec.
StrictModes no

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /etc/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
IgnoreUserKnownHosts yes
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCreds yes

# Set this to 'yes' to enable PAM authentication (via challenge-response)
# and session processing. Depending on your PAM configuration, this may
# bypass the setting of 'PasswordAuthentication'
#UsePAM yes

#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
UsePrivilegeSeparation no
#PermitUserEnvironment no
#Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
MaxStartups 10:30:60

# default banner path
Banner /etc/banner.txt

# override default of no subsystems
Subsystem sftp /usr/sbin/sftp-server

Despues de configurar el archivo iniciamos el servidor.



Con esto terminamos la configuracion ahora vamos hacer las practicas correspondientes. Entonces como buenos practicantes lo vamos a realizar primeramente en el equipo local.



Y efectivamente nos pide la clave publica de la llave que ingresamos en el archivo "authorized_keys", al ingresarla nos muestra la fecha, hora y nombre de nuestro equipo.

Para la pruba de linux a windows primero debo de ingresar la clave publica del cliente linux la cual fue mandada por scp desde linux.



Nos dirigimos a "documents and settings\Administrador" y alli encontraremos el archivos que nos enviaron.



Redireccionamos la llave al archivo "authorized_keys" para que este cliente pueda auteticar.



Si miramos el contenido del archivo authorized_keys podremos ver que ya no solo esta la llave de nuestro servidor sino que tambien la de nuestro cliente en linux.



Para finalizar reiniciamos el equipo y hacemos la prueba desde nuestro cliente linux, que nos deberia pedir su llave publica.



Y efectivamente nos funciona.

Para ver la configuracion SSH en linux de clic en el siguiente link http://lamatrix55.blogspot.com/2009/02/openssh.html

lunes, 2 de febrero de 2009

INFRAESTRUCTURA DE CLAVES PUBLICA (PKI)

Es la combinacion de software, tecnologias de encriptacion y servicios que posibilitan a las empresas u organismos otorga a sus comunicaciones y transacciones por internet.

  • el proposito es proveer claves y manejos de certificados confiables y eficientes para lograr la habilitacion de la autenticacion, la no repudio y la confidencialidad
  • logra la confianza basada en el uso de certificados de clave publica los cuales son estructuras de datos que ñigan valores de clave publica a los sujetos.
  • la ligadura se realiza a traves de una autoridad de certificacion, la cual verifica la identidad del sujeto y firma digitalmente el certificado.
paki garantiza a los documentos:
  • la identidad/autoridad
  • la confidencialidad
  • la integridad
  • no repudio
  • fecha y hora cierta de la firma "secure time stamp"
  • disponibilidad legitima de servicios de informacion
COMPONENTES DE LA ARQUITECTURA DE LLAVE PUBLICA (PKI)

1. LA INFRAESTRUCTURA DE LLAVE PUBLICA (PKI):

Es la integracion de:
  • La criptologia de llave publica o asimetrica
  • La criptologia de la llave privada o simetrica
  • El messege digest value o hash
2. EL MODELO PKIX:

Es el modelo de las entidades que gestionan la infraestructura de llave publica, designando sus funciones y protocolos.
  1. Entidades Finales: (a quien se pretende verificar):
  • el sujeto de un certificado, su identidad es garantizada por una autoridad de certificacion.
  • estas pueden se un usuarios finales, la autoridad de registros respecto a la autoridad de certificacion en el nombre de quien actua o incluso una autoridad de certificacion cuando esta se ce certificada por otra autridad de certificacion
2. Autoridad de certificado (CA):
  • representa la fuente de credibilidad de la infraestructura de llave publica
  • quienes emiten los certificados, firmandolos digitlamente con su llave privada
  • certifican que la llave publica asignada en un certificado a una entidad final, correspondiente realmente a dicha entidad final
3. Autoridad de Registro o Registration Authority (RA)
  • realiza el proceso de resgitro de las entidades finales por encargo de la autoridad de certificacion
  • valida los atributos del sujeto que solicita el certificado
  • verifica que el sujeto posee la llave privada a registrar
  • genera los secretos compartidos que permiten el proceso de inicializacion y certificacion
  • genera el par de llaves publico/privada
  • valida los parametros de las llaves publico prestados para su registro.
4. Repositorios o Repositories:
  • permite guardar informacion sobre PKI como puedan ser certificados y CRLs para su acceso por parte de las entidades finales o de sus delegados.
5. Emisores de CRLs o Certificate Revocation List Issuers:
  • los emisores de listas de revocacion de certificado actuan en nombre de la autoridad de certificacion, siendo de caracter opcional aunque sumamente convenientes. Son listas de los certificados que han dejado de ser validos y por tanto en los que se pueden confiar. Estos son revocados en caso como; la llave privada se vea comprometida o hayan cambiado los atributos del certificado.
PROCEDIMIENTO DE LA CERTIFICACION:
El objetivo del proceso de certificacion es garantizar la identidad de la entidad final, y con ella la identidad de las comunicaciones digitales.
  1. solicitud a la Autoridad de Certificado de un certificado por parte de la entidad final, a traves de la Autoridad de registro, con el objetivo de que la autoridad de certificacion garantice la identidad de la entidad final.
  2. la autoridad de certificado comprueba que cada usuario es quien dice ser y que la clave publica que inscriba en el certificado realmente le pertenece.
  3. el certificado de la entidad final se firma digitalmente cifrandolo con la llave privada de la autoridad de certificacion
  4. a su vez la autoridad de certificacion es certificada por otras autoridad/es de certificacion
  5. dicho certificado se destribuye globalmente, es decir, al mayor numero de destinatarios posibles.
CERTIFICADOS DIGITALES:
Son documentos que confirman la identidad de una persona fisica o juridica, vinculada con una llave publica asociada al llave privada. Tiene 2 aspectos como objeto:
  1. Que la llave publica del suscriptor pueda ser accesible por los verificadores o participes en validar y verificar la firma digital del suscriptor.
  2. Que los partcipes puedan confiar en que la lleve publica que recibe el verificador sea realmente la del suscriptor.
Los siguientes son los campos principales incluidos como contenido de un certificado de llave publica
  • identificador unico o Nº de serie del certificado
  • el algoritmo de firma digital empleada
  • datos de la autoridad de certificacion ID unico del emisor de certificados
  • fecha de expedicion y expiracion de la llave publica y privada
  • llave publica del titular del certificado.
CADENA DE CERTIFICACION:

Una Autoridad de certificacion puede a su vez estar certificada por otra/s, Autoridades de certificacion, con su firma digital, hasta llegar a la Autridad de certificacion Raiz , lo que conforma la "cadena de certificados" o "certification path" de cualquier certificado hasta su "Anclaje de Vercidad" o "Trust Anchor", que termina en el certificado Raiz de la autoridad de certificacion Raiz. Dicho certificado Raiz es un certificado asi mismo, y emitido por la Autoridad de Certificacion Raiz.

TIPOS DE CERTIFICADOS DIGITALES:
  • Certificado de clase 1: son emitido unicamente a individuos. no verifican la identidad del individuo y por ende no permite autenticar, confirma que el nombre o seudonimo y el sujeto del certificado forman un nombre de sijeto inequivoco.
  • Certificado de clase 2:son emitidos unicamente al individuo, confirma que la informacion proporcionada por el suscriptor no entra en conflicto con la informacion de las bases de datos fiables propiedad de una EE (Entidad de Emision) o una ERL (Entidad de Registro Local), incluida la identidad del sujeto y otros datos del suscriptor.
  • Certificado de clase 2 no reconocido (clase 2 tipo1):usada para transaciones de bajo riesgo
  • Certificado de clase 2 reconocido (clase 2 tipo 2): se pueden usar como soporte de firmas electronicas legalmente reconocidas, obtienen una razonable seguridad de la identidad de suscriptor comparando automaticamente el nombre del solicitante, direccion yotra informacion personal contenida en las bases de datos propiedad de l EE o ERL.
  • Certificado de clase 3, se emiten a:
  • Individuos: requiere la presentacion de evidencias probatorias de la identidad del sujeto personandose ante una ERL o su delegado
  • Organizaciones: se emiten a individuos con capacidad de firmar dentro una organizacion, probada esta capacidad de forma por evidencia natarial y de la propia organizacion a traves de organizaciones empresariales que confirmen su identidad.
3. LAS POLITICAS Y PRACTICAS DE CERTIFICACION CPS Y CP:

  • Declaracion de Practicas de Certificacion (CPS): describe las practicas empleads en la emision y gestion de certificados. Gobierna la gestion de la infraestructura de llaves publicas y podria tambien incluir las descripciones de los servicios ofrecidos. Provee de un marco legal que describe las obligaciones y margenes de responsabilidad que asume la Autoridad de certificacion, asi como sus derechos con los titulares de los certificados emitidos por esta.
  • Politica de Certificacion (CP): consiste en un conjunto de reaglas que indican la aplicabilidad de un certificado a una particular comunidad y lo de aplicaiones con requerimientos de seguridad comunes.
SOLUCIONES COMERCIALES DE PKI EN COLOMBIA:

CERTICAMARA:
es la primera entidad certificadora digital abierta, creada por las camaras de comercio del pais, esta vigilada y autorizada por la Superintendencia de Industria y Comercio, cumple con los mas altos estandares internacionales exigidos por el America Institute of Certificied Public Accountants (AICPA) y el Canadian Institute of Chartered Accountants (CISA), por esta razon posee el sello WEB TRUST, que la califica como entidad de certificacion de categoria y clase mundial, lo que ha permitido que Microsoft incluya a Certicamara dentro de las entidade de certificacion que son reconocidas automaticamente por el navegardo Internet Explorer. Los principales beneficios de Certicamara son:
  • Brinda seguridad en las transacciones que e realiza por medios electronicos
  • Proporciona soluciones a la empresa de materia de implementacion y utilizacion de nuevas tecnologias
  • Contribuir a la competitividad de las empresas y su participacion en la nueva economia
  • Contribuir al desarrolla y crecimiento de los negocios electronicos del pais, con estandares de seguridad que permitan el crecimiento de los negocios internacionales



ESQUEMA_PKI
Publish at Scribd or explore others:


NETGRAFIA DIBUJOS DEL ESQUEMA

http://office.microsoft.com/es-es/clipart/results.aspx?CategoryID=CM790019673082

viernes, 30 de enero de 2009

GPG Gnu Privacy Guard

Es un software hibrido que combina la criptografia de clave simetrica para la rapidez y la criptografia de la clave publica por la seguridad de el compartimiento de la clave segura. Este modelo de operacion es referenciado del estandar openPGP (Petry Good Privacity - privacidad bastante buena. Su finalida es proteger la informacion distribuida por internet medianta el uso de la criptografia de la clave publica, asi como faciliticca la autenticacion de documento por medio de la firma digital). Con GPG creamos claves asimetricas, es decir, se crea un par de llaves una concida como llave privada, esta solo la puede tener el propietario puesto que esta es la llave principal porque con ella desencriptamos todo lo que nos manda encriptado; y la otra llamada llave publica, esta se le envia a todos con los que quiero una comunicacion segura. Se utiliza la llave publica para encriptar y la llave privada para firmas digitales, como lo indica la imagen.

Despues de la instalacion del gpg el paso a seguir es la creacion de nuestras llaves (Publica - Privada), esto se hace con el siguiente comando:

gpg --gen-key

  • Cuando es por primera vez no crea un directorio y en el se guarda el fichero de configuracion como los archivos secring.pgp donde se lamacenaran las claves privadas y pubring.pgp aquie se almacenaran la llaves publicas.
  • La primera pregunta que nos hacen es el tipo de clave que queremos lo recomendable es la primera que combina el DSA con ElGamal "DSA (es un algoritmos que solo se utiliza para firmar) y ElGamal (es un algoritmo que sirve para firmar y encriptar)"; la segunda es solo DSA y la tercera el solo ElGamal.
  • La segunda pregunta es el tamaño de la clave entre 1024 y 4096, se recomiendo la de por defecto 2048, depediendo de las necesidade se escige mas grande o mas pequeña pero se debe tener en cuenta que a mayor tamaño mayor seguridad y mayor tiempor para encriptar y desencriptar.
  • La tercer pregunta es el tiempo de validez de la clave y nos dan 5 opciones la primera es de no caducar poniendo el "0"; la segunda en dias con laopcion "n" ejemplo si solo la queremos por 5 dias entonce ponemos asi "5n"; la tercera en semanas con la opcion "w"; la cuarta en meses con la opcion "m" y la quinta en años con la opcion "y".
  • La cuarta pregunta son datos personales tales como nombre y apellido, direccion de corre y comentario para la llave, con estos datos crea el ID del usuario y por ultimo no pregunta si queremos cambiar algo o si todo esta bien escribimos la letra "V".
  • Y por ultimo nos pregunta el pasword para la clave, cuando la estamos escribiendo no se ve nada ni se mueve el cursor la repetimos y si las dos coinciden empieza la genracion de la llave durante este proceso es recomendable mover el raton o repuducir un mp3, etc, para se genere numeros aleatorios y se genere antes las claves.
Para ver las llaves publicas lo hacemos con el siguiente comando
gpg --list-key

Para ver las llaves privadas lo hacemos con el siguiente comando
gpg --list-secret-key

Para borrar una llave primero se debe borrar la privada y luego la publica a no ser de que se desee borrar una llave publica de alguien que tenemos importada y por diversas razones la queremos eliminar, en este caso solo se borra su publica. Para borar llaves publicas se hace con el comando
gpg --delete-key claveID

Para eliminar una llave privada se hace con el comando
gpg --delete-secret-key claveID

Las claves se identifican por medio de la huellas, una huella es una serie de numeros que se usa para verificar que una clave pertenece realmente al propietario. La huella es como un md5 que verifica que un archivo no ha sido modificado. Para ver la huella de una clave es con el comando
gpg --fingerprint claveID o Correo

Un metodo muy util para repartir nuestra llave publica seria por medio de la exportacion, hay dos formas de exportar una clave publica o privada y por diversos motivos se exportan esto varia seguun las necesidades. Las formas para exportar claves son:
  • Si deseamos exportarla una clave publica a un servidor de claves u otro sitio como un ftp se hace por medio del siguiente comando
gpg --keyserve NombreDelServidor --send-key claveID
  • Y si lo deseamos exportar localmente una llave publica se debe de crear un docuemento .asc para que quede en codigo ASCII y guardarlo manualmente donde deseemos el archivo.Esto lo hacemos con el siguiente comando
gpg -- armor --output ficherodesalida.asc --export claveID
  • Con la llave privada es recomendable que solo se haga localmente por seguridad y esta lo hacemos con el siguiente comando.
gpg --armor --output ficherodesalida.asc --export-secret-key claveID

Importamos la llaves por diversos motivos como por ejemplo despues de que formatiamos el equipo o cuando deseamos importas las claves publicas de los demas ocmpañeros con los que queremos establecer la conexion, etc. Para importar una llave publica y privada lo hacemos con el siguiente comando
gpg --import NombreDelfichero.asc

Para encriptar un mensaje lo hacemos con el siguiente comando se pone el ID de la clave con la que quiero encriptar lo mas recomendable con la publica.

gpg --armor --recipient claveID --encrypt mensaje

NOTA: el mensaje a encriptar ya es un mensaje qu esta creado y listo para ser enviado. Con el comando anterior se crea un archivo con el formato con el que lo encriptamos como lo es un .txt o ASCII y luego es envido por el correo electronico como un mensaje adjutado:

Para descriptar un mensaje lo hacemos con el siguiente comando

gpg --decrypt Archivo

Cuando desencriptar algo se pide el password de nuestra llave para desencriptalo.

Firmamos un llave es para formar los anillos de confianza, es decir, al yo firmar a una persona estoy queriendo decir que confio plenamente en ella y si ella me firma la confianza es de ambos lados y asi con cada uno de las demas personas, permitiendo la comunicacion Publica-->Privada. Para firmar utilizamos el siguiente comando

gpg --sign clave ID

Firmamos un mensaje para el receptor confimer que si fui yo quie firmo su llave publica y para l aintegridad de los datos. Esto se hace por el siguiente comando

gpg --clearsign Archivo


NOTA: Cada vez que firmamos un mensaje o una llave nos piden la contraseña de nuestra llave privada. Despues de que firmamos una llave la debemos exportar en el caso de que usemos un servidor de llaves; en el caso de un archivo este crea un archivo nuevo y se envia por correo electronicao tanto el documento firmado como el archivo original. Para verificar las firmas con el siguiente comando

gpg --list-sigs

Y para verificar un mensaje firmado con el siguiente comando

gpg --verify mensaje

La clave de revocacion hace que cuando importemos nuestra calve publica al anillo inavilite la clave totalmente esto es por seguridad, es decir, cuando nuestra llave privada ya sea desconfiada y se hace por el siguiente comando

gpg --gen-revoke claveID



lunes, 26 de enero de 2009

NORMAS ISO

¿QUE SON LAS NORMAS ISO?

Su sigla traduce Organizacion Intern
acional para la Estandarizacion, es una organizacion no gubernamental que produce normas internacionales, industriales y comerciales con el proposito de facilitar el comercio, el intercambio de informacion y contribuir con unos estandares para el desarrollo y transferencia de tecnologias.

NORMA ISO 17799:


Es una norma interncional que ofrece recomendacion p
ara la gestion de la seguridad de la informacion enfocada en el inicio, implantacion o mantenimiento de la seguridad en una organizacion. la seguridad de la infomacion se define com la preservacion de:

  • Confidencialidad: aseguracion de la privacidad de la infomarcion de la organizacion.
  • Integridad: garantia del estado original de los datos.
  • Disponibilidad: Acceso cuando sea requerido por los usuarios.
  • No repudio: Estadisticas de la acciones realizadas por el personal autorizado
el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficaz de la gestion de la seguridad. La adaptacion española denminada UNE-ISO/IEC 17799 esta norma no es CERTIFICADA.

1995- BS 7799-1: codigo de buenas practicas para la gestion de la seguridad de la informacion.
1998- BS 7799-2:especificaciones para la gestion de la seguridad de la informacion.

Tras una revision de ambas partesde BS 7799 (1999) la primera es adoptada como norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin ap
enas modificacion (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.



Esta norma establece 10 dominios de control que cubre por completo la gestion de seguridad de la infomacion:
  1. Politica de seguridad: dirige y da soporte a la gestion de la seguridad de la informacion
  2. Aspectos organizativos para la seguridad: gestiona la seguridad de la infomacion dentro de la organizacion; mantiene la seguridad de los recursos de tratamiento de la informacion y de los activos de informacion de la organizacion que son accedidos por terceros y mantiene la seguridad de la informacion cuando la responsabilidad de su tratamiento se ha extrenalizado a otra organizacion.
  3. Clasificacion y control de activos: mantiene una proteccion adecuada sobre los activos de la organizacion y asegura un nivel de proteccion adecuado a los activos de la informacion.
  4. Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos, fraudes o mal uso de la instalcion y los servicios; asegura que los usuarios son conscientes de las amenazas y riesgo en el ambito de la seguridad de la informacion, y que estan preparados para sostener las politicas de seguridad de la organizacion y minimiza los daños provocados por incidencias de seguridad y por el mal funcionamiento controlandolo y aprendiendo de ellos.
  5. Seguridad fisica y del entorno: evita el acceso no autorizado, daños e interferencias contra los locales y la informacion de la organizacion; evita perdidas, daños o comprometer los activos asi como la interrupcion de las actividades de la organizacion y previene las exposiciones a riesgos y a robos de la informcion y de recursos de tratamiento de informacion.
  6. Gestion de comunicacion y operaciones: asegura la operacion correcta y segura de los recursos de tratamiento de la informacion; minimiza el riesgo de fallos en el sistema; protege la integridad del software y de la informacion; mantine la integridad y la disponibilidad de los servicios de tratamiento de infomacion y de comunicacion; asegura la salvaguarda de la informacion en las redes y la proteccion de su infraestructura de apoyo; evita daño a los activo e interrupciones de actividades de la organizacion y previene la perdida, modificacion o mal uso de la informacion intercambiada entre organizaciones.
  7. Control de acceso: controla los accesos a la informacion; evita acceso no autorizado a los sistemas de informacion; proteje los servicios en red; evita acceso no autorizado a ordenadores; evita el acceso no autorizado a la infomacion contenida en el sistema; detecta actividades no autorizadas y garantiza la seguridad de la informacion cuando se usan dispositivos de informacion movil o teletrabajo.
  8. Desarrollo y mantenimiento de sistema: asegura que la seguridad esta incluida dentro de los sistemas de informcion; evita perdidas, modificaiones o mal uso de los datos de usuario en las aplicaciones; protege la confidencialida, integridad y autenticidad de la informacion; asegura que los proyectos de Tecnologias de la Informacion y las actividades complementarias son llevadas a cabo de una forma segura y mantiene la seguridad del software y la informacion de la aplicacion del sistema.
  9. Gestion de continuidad del negocio: reacciona a la interrupcion de actividades del negocio y protege sus procesos critiicos frente a grandes fallos o desastres.
  10. Conformidad con la legislacion: evita el incumplimiento de cualquier ley, estatuto, regulacion u obligacion contractual y de cualquier requerimiento de seguridad; garantiza la alineacion de los sistemas con la politica de seguridad de la organizacion y con la normativa derivada de la misma y maximiza la efectividad y minimiza la interferencia de o desde el proceso de auditoria del sistema.
ISO 17799 no es una norma tecnologica:
  • ha sido redacrada de forma flexible e independiente de cualquier solucion de seguridad especifica
  • proporciona buenas practicas neutrakes con respecto a la tecnologia y a las soluciones disponibles en el mercado.
ISO 27001:

Esta norma muestra como aplicar los controles propuestod en la iso 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".

COMPARACION 17799 Y 27001:
  • ISO 17799 es un conjunto de buenas practicas en seguridad de la informacion contiene 133 controles aplicables.
  • La ISO 17799 no es certificable, ni fue diseñada para esto.
  • La norma que si es certificable es ISO 27001 como tambien lo fue su antecedora BS 7799-2.
  • ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible apñlicacion en el SGSI que implanta cada organizacion
  • ISO 17799 es para ISO 27001, por tanto, una ralacion de contoles necesarios para garantizar la seguridad de la informacion.
  • ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente. ISO 27001 permite auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS (information security management system)

ENTIDAD COLOMBIANA:

CERT: Computer Emergency Response Team- Equipo de Respuesta a Emergencias Infomarticas:
CERT Colombia es un centro de coordinacion y atenecion a insidentes de seguridad informatica colombiana antes, m
ediante y despues de este; mantiene contacto directo con las empresas afiliadas y esta en la capacidad coordinar el tratamiento y solucion de las solitudes y denuncias sobre problemas de seguridad infomartica que sean recibidas en la cuenta de correo. Actualmente se trabaja en contra de los robos de informacion privada (phishing), esta es usada posteriormente para sustraer dinero de la cuentas bancarias. Este anti-phishing se esta realizando de forma coordinada entre las entidades bancarias y las y las empresas prestadoras de servicio de internet que estan agrupadas en la NAP Colombia. CERT Colombia mantiene comunicacion constante con organizaciones internaciones que trabajan en el sector de seguridad informatica ellos advierten al CERT Colombia sobre cualquier tipo malicioso que puede estar alojado dentro de sus redes. En conclusion, CERT colombia es un punto de contacto nacional, mediante el cual la comunidad nacional e internacional pueden comunicarse con las mas grandes empresas proveedoras de internet en Colombia, con el objetico de gestionar una pronta y eficiente atencion a los incidentes de la seguridad informatica que involucren redes y/o servicios Colombianos.
El CERT Colombia se encuentra patrocinado directamente por el NAP Colombia y sus afiliados, quienes conforman el grupo de las empresas provedoras de internet mas grande de Colombia. Debido al compromiso de sus integrantes con esta l
abor, el CERT Colombiano ha podido desarrollar importantes actividades en contra del ciber delito que han arrojado resultados muy satisfactorios. En la siguiente imagen se muestra las empresas afiliadas a CERT Colombia



OTRAS ENTIDADES:

ISC2:
Es un organismo internacional fundando en 1996 que lleva a cabo certificados de sistemas de seguridad; pensado para profesionales en seguridad. Provee nuevas herramientas para realizar acciones de proteccion en las empresas, brinda capacitaciones en seguridad informatica a profesionales de ambito tecnologico. De este modo se distingue las clases CSSCP que engloba a administradores de sistemas y redes y CISSP que comprende a diseñadores de politics y procesos de seguridad.

CISSP: Certified Information Systems Security Profesionals- Certificado para Prefesionales en Sistemas de Seguridad de Informacion: Certificacion acreditidad internacionamente, mas reconocifo a nivel mundial y es avalado por la ISC2, diseñada con el fin de reconocer una maestria de conocimiento y esperiencia en seguridad de la informacion con una etica comprobada en el desarrollo de la profesion.

SANS: Proporciona un conjunto de cusros que ayuda a dominar los pasos practicos necesarios para defender los sistemas y las redes contra las amenazas mas peligrosas, aquellas que estan siendo activamente explotadas. Los cursos desarrollados con el consenso de los cientos de administradores, responsables de la seguridad y otros profesionales,tratan tanto los fundamentos como los detalles tecnicos de las areas mas criticas de la seguridad de la informacion. Sus principales objetivos:
  • Reune informacion sobre seguridad informatica (S.O, router, firewall, etc)
  • Ofrece capacitacion y certificacion en la seguridad informatica.
GLOSARIO:
  • SGSI: SGSI es la abreviatura comunmente utilizada para referirse a un Sistema de Gestión de la Seguridad de la Informacion.Por información se entiende toda aquella documentación en poder de una organización e independientemente de la forma en que se guarde o transmita.Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

    • Plan (planificar): establecer el SGSI.

    • Do (hacer): implementar y utilizar el SGSI.

    • Check (verificar): monitorizar y revisar el SGSI.

    • Act (actuar): mantener y mejorar el SGSI.


  • ISMS: Information Security Management System
  • SASI: Sistema de Administracion de Seguridad de la Informacion
  • IEC:Comision Electronica Internacion junto con la ISO forman el sistema especializado para la estadarizacion mundial
  • NAP COLOMBIA: tien como mision lograr que todos lo ISP del pais intercambien su trafico local de manera directa .