Seguridad Informática: Seguridad de la Información

  1. Introducción

    2. Estas páginas muestran distintos temas relativos a la Seguridad y Protección de la Información, mediante enlaces a sitios web, ordenados por categorías y añadiendo algunos comentarios.

    Tratan de cubrir de una forma genérica el amplio espectro de dominios que componen la Seguridad y Protección de la Información; por tanto están en evolución permanente y contínua reorganización. Esa es la razón de que existan algunas partes en desarrollo, otras obsoletas y algunas sin embargo actualizadas con las últimas novedades.


  2. Seguridad Teórica

    3. La Seguridad Informática ha dejado de ser un hobby de gurús y hackers. Actualmente se estudia como asignatura en distintas universidades.

    Temarios de Universidades



  3. CSIRTs

    4. Los Equipos de Respuesta a Incidentes de Seguridad en Ordenadores son organizaciones que velan por la coordinación conjunta ante una contingencia de seguridad.



    CSIRTs
    • El CERT® Coordination Center (CERT/CC) http://www.cert.org es un centro de experiencia en Seguridad Internet. Está localizado en el Software Engineering Institute, un centro de investigación y desarrollo subvencionado por el gobierno de los EEUU y gestionado por la Universidad Carnegie Mellon. Trimestralmente suele publicar en http://www.cert.org/stats/cert_stats.html las estadísticas de los incidentes de seguridad reportados.
    • FIRST (Forum of Incident Response and Security Team) http://www.first.org/team-info/ es una asociación internacional que agrupa a los mayores centro de respuesta a emergencias, entre ellos AUSCERT, CERT/CC, CIAC, IBM-ERS, el español IRIS-CERT, NIST/CSRC, etc.
    • El SANS Institute (System Administration, Networking, and Security) http://www.sans.org fue fundado en 1989 y es una organización de desarrollo cooperativo y educación a través de la que más de 96.000 administradores de sistemas, profesionales de la seguridad y administradores de red comparten las lecciones que han aprendido y encuentran soluciones a los retos a los que se enfrentan.
    • El NIPC (National Infraestructure Protection Center) http://www.nipc.gov/ es un centro dependiente del FBI que protege la infraestructura crítica nacional de los EEUU; centralizando la persecución criminal de amenazas. Actualmente está en proceso de restructuración para adoptar un modelo organizativo ya implantado, http://www.computerworld.com/storyba/0,4125,NAV47_STO67424,00.html el del Centro Nacional de Prevención y Control de Plagas (CDC) o el del Sistema Nacional de Comunicaciones (NCS).
    • CIAC (The Computer Incident Advisory Capability) http://www.ciac.org/ciac/ pertenece al Departamento de Energía de EEUU.
    • La misión del Center for Internet Security http://www.cisecurity.org/ es ayudar a las organizaciones a gestionar de forma efectiva los riesgos relativos a la seguridad de la información.
    • En España, el servicio de seguridad de RedIRIS (IRIS-CERT) http://www.rediris.es/cert/ tiene como finalidad la detección de problemas que afecten a la seguridad de las redes de centros de RedIRIS, así como la actuación coordinada con dichos centros para poner solución a estos problemas.
    • es-Cert http://escert.upc.es/
    • En Argentina, el ArCert http://www.arcert.gov.ar/ constituye el primer CSIRT de Hispanoamérica. Mantiene un Manual de Seguridad muy interesante
    Tendencias
    • ISS muestra en https://gtoc.iss.net/secure/graph.html un historial de las Condiciones de Alerta de Seguridad denominado AlertCONs, según describe en https://gtoc.iss.net/secure/whatisalertcon.php
      • AlertCON Level 1 refleja los ataques maliciosos, determinados y globales experimentados por todas las redes las 24 horas del día los 7 días de la semana.
      • AlertCON Level 2 significa incrementar la vigilancia requerida o tomar una acción debido a patrones de ataque focalizados
      • AlertCON Level 3 significa ataques contra objetivos específicos o vulnerabilidades en una escala usualmente alta; por lo que se requiere acción inmediata.
      • AlertCON Level 4 refleja un problema catastrófico para una red o grupo de redes cuya supervivencia depende de una acción inmediata y decisiva.
    • El SANS Institute mantiene en Incidents.org http://www.incidents.org/ la distribución geográfica de las fuentes de ataque de los últimos 5 días.
    Procedimientos



  4. Certificación de Fabricantes

    5. Existen distintos programas de certificación ofrecidos por fabricantes para lograr la especialización en la instalación, configurción, gestión y mantenimiento de sus productos de seguridad.




  5. Certificaciones de Metodología de Seguridad

    6. Por otra parte, existe otro tipo de certificaciones más globales, no ligado a productos y enfocadas de forma más genérica a la metodología de gestión y auditoría de la seguridad.



    CISSP
    • El International Information Systems Security Certification Consortium (ISC)^2 http://www.isc2.org/ es una organización global sin ánimo de lucro dedicada a:
      • Mantener un Cuerpo Común de Conocimiento (CBK) relativa a Seguridad de la Información
      • Certificar a profesionales del sector en un estándar de Seguridad de la Información
      • Administrar la formación y los exámenes de certificación
      • Asegurar que se mantienen los credenciales a través de la formación continua
    • Actualmente mantiene dos certificaciones: Certified Information Systems Security Professional [CISSP] y System Security Certified Practitioner [SSCP]; que indican que se ha demostrado experiencia en el campo de la seguridad de la información, se ha pasado un examen riguroso, se ha suscrito un código ético y se mantiene la certificación con formación constante. La certificación CISSP (Certified Information Systems Security Practitioner) está avalada por el (ISC)2 desde 1989. Tras aprobar el examen, debe ser renovada mediante Continuing Professional Education (CPE) y una cuota anual de unos 85 €
    • El pasar el examen CISSP provee a los profesionales de la seguridad de una certificación estándar de que possen una capacidad técnica, conocimiento y experiencia determinados. El examen consta de 250 preguntas de tipo test, en idioma inglés, a responder en un período de seis horas sobre un cuerpo común de conocimientos (Common Knowledge Base) relativo a modelos y metodologías, independiente de productos o fabricantes. Cada pregunta tiene cuatro posibles opciones posibles y solamente una de ellas correcta. Solamente puntúan 225 de ellas; pues las 25 restantes se utilizan para propósitos estadísticos, pero no puden distinguirse unas de otras en el examen. Para aprobar el examen es necesario pasar el 70% de las 225. El precio del examen es aproximadamente de 450€. Es necesrio tener tres o más años de experiencia específica en Seguridad de la Información en alguno de los dominios comentados.
    • La CBK la constituyen los 10 dominios siguientes:
      1. Access Control Systems and Methodology (Sistemas de Control de Acceso y Metodología)
      2. Telecommunications and Network Security (Seguridad en Red y en las telecomunicaciones)
      3. Security Management Practices (Prácticas de Gestión de la Seguridad)
      4. Applications and Systems Development Security (Seguridad en el Desarrollo de Aplicaciones y Sistemas)
      5. Cryptography (Criptografía)
      6. Security Architecture and Models (Arquitectura y Modelos de la Seguridad)
      7. Operations Security (Seguridad de las operaciones)
      8. Business Continuity and Disaster Recovery Planning (Plan de Recuperación ante Desastres y Plan de Continuidad del Negocio)
      9. Law, Investigations and Ethics (Legislación, Investigación y Deontología informática)
      10. Physical Security (Seguridad Física)
    • El examen dura 6 horas y que hay pasar el 70% de las 250 preguntas para aprobarlo. Existen 20-25 preguntas de prueba que no puntúan. El próximo seminario de repaso previo al examen será: 
      
	Examinations in Spain  

	Location		Host/Sponsor 		Date
 
	Madrid, Spain		Pricewaterhouse Coopers	Oct 25, 2003 
	Barcelona, Spain	PriceWaterhouse Cooper	Dec 06, 2003
    • La siguientes es una serie de enlaces interesantes para preparar el examen CISSP:
    • CISSP en SecurityFocus http://www.securityfocus.com/frames/?content=/forums/certification
    • CISSP Intro http://www.csee.usf.edu/~jrasmuss/week1/tsld008.htm
    • Computer Security Institute: Should you take the CISSP exam? http://www.gocsi.com/cissp.htm
    • CISSPStudy Frequently Asked Questions http://infosec.gungadin.com/cisspstudy-faq.html
    • Lista de distribución CISSP en e-groups http://www.egroups.com/subscribe/CISSPStudy_1
    • Systems Security Certified Practitioner (SSCP) Examination Textbooks http://www.srvbooks.com/web/products/products.html
    • La edad media de aquellos que se presentan al examen de CISSP es de unos 30 años. A pesar de que se mantiene el requisito mínimo de 3 años de experiencia en Seguridad Informática, Namit Merchant ha saltado a la fama por ser el más joven (16 años cuando logró la certificación). http://www.securityfocus.com/news/301
    • Primer Seminario Oficial de la Certificación CISSP
    GIAC
    • SANS’ GIAC (Global Incident Analysis Center) Training and Certification Program. What is the difference between the GIAC certification and the CISSP?. CISSP teaches and tests the basic information that security professionals ought to know. It is theory and concepts and avoids specific up-to-date techniques required for hands-on security activities. In addition, candidates for the CISSP must demonstrate that they already have at least three years of experience working in information security before they are even allowed to sit for the exam. GIAC does not require you to have any existing experience in the field before attempting any of our certifications. And while GIAC also offers broad-based concepts and covers information you would expect any qualified information security professional to know, the difference is that GIAC teaches and tests you on mastery of specific best practices. You learn the exact "hands on" tools and commands used as well as the theoretical concepts. http://www.sans.org/giactc/GIACTCFAQ.htm
    • Todd Garrison. Practical Examination for GCIA http://www.sans.org/y2k/practical/Todd_Garrison.html
    CISA



  6. Formación en Seguridad

    7. Por último, hay una multitud de diversos cursos de formación en Seguridad Informática, tanto genérica como técnica. Últimamente proliferan los cursos de formación de intrusiones y vulnerabilidades y las denominadas Hacking Schools.



    Formación genérica
    • La UNED y la Fundación Universidad Empresa http://www.fue.es/cursos/nuevastics/seguridadEcommerce_800.htm organizan el II Curso de Experto Universitario en Seguridad y Comercio Electrónico en Internet http://volta.ieec.uned.es/ecom2002/entrada_ce.htm
    • L & M: Programa Superior de Seguridad Avanzada en Redes IP e Internet http://www.lmdata.es/psseg.htm
    • Hispasec Sistemas y el Instituto para la Seguridad en Internet (ISI) han organizado el curso de "Seguridad Internet en Servidores Windows 2000". El contenido, eminentemente práctico, va dirigido a todos aquellos administradores de sistemas y desarrolladores del entorno Microsoft Windows 2000 que necesiten una puesta al día sobre los aspectos de la seguridad en Internet. El curso ha sido diseñado y será impartido por Cristobal Bielza y Juan Carlos G. Cuartango, prestigiosos profesionales con dilatada experiencia práctica en el campo de la seguridad informática.
      http://www.hispasec.com/formacion/inscrip.htm
    • Curso de Seguridad Internet en Servidores Unix http://www.hispasec.com/formacion/programaunix.htm
    • Pine Mountain Group, Inc., los desarrolladores originales del curso de entrenamiento del Sniffer de Network General (hoy Network Associates) gestionan programas de entrenamiento de ataques de red para Fluke LanMeter, Visio Enterprise, Netcom Smartbits, Shomiti gigabit analyzers, Ipswitch What's Up, y la herramienta de detección de intrusiones de seguridad de Network ICE. http://www.pmg.com/
    Hacking Schools
    Infantil



  7. Bibliografía

    8. En Internet puede encontrarse más material del que se pueda asimilar sobre Seguridad Informática. Aún así, existen bastantes libros dedicados al tema, muchos de ellos clásicos.


    Libros impresos
    • Seguridad en Unix. Sistemas Abiertos e Internet (A. Ribagorda, A. Calvo y M. Ángel Gallardo; 1996 Paraninfo). Contiene un capítulo entero para hablar de los criterios de Seguridad del Libro Naranja. Realiza un repaso sobre la seguridad en la operación de un servidor Unix. El código, sin embargo, se centra demasiado en SCO Unix System V http://esiweb1a.esi.tsai.es/paraninfo_nuevo/libro.html?ISBN=84-283-2240-6&pos=10&vuelta=infor.html&cat=io
    • Glosario de Términos de Seguridad de las T.I. (Arturo Ribagorda Garnacho; Abril 1997, Ed. CODA). Como indica el título, un diccionario de referencia sobre términos de la Seguridad de la Información
    • Seguridad y Protección de la Información (José Luis Morant, Arturo Ribagorda y Justo Sancho; Primera reimpresión Agosto 1997, Editorial Centro de Estudios Ramón Areces). Libro de texto de varias Universidades de Madrid. Muy buena introducción a la Seguridad, cubriendo Criptografía, Políticas de Seguridad y Seguridad en Bases de Datos y Redes.http://www.cerasa.es/cgi-bin/inflibro.exe?0303175723+8+FEIN00004001
    • Construya Firewalls para Internet [Building Internet Firewalls] (D. Brent Chapman y Elizabeth D. Zwicky; Primera Edición Julio 1997; Mc Graw Hill - O'Reilly & Associates). El clásico libro sobre cortafuegos, obligado en cualquier biblioteca de seguridad. Gran parte del libro trata de los distintos servicios de Internet y cómo filtrarlos. Añade unos capítulos finales sobre Políticas de Seguridad y Respuesta a Incidentes y un apéndice interesante sobre TCP/IP. A pesar de ser un clásico (o debido a ello), está algo desfasado en algunas herramientas, y los conceptos de cortafuegos han avanzado mucho desde entonces. Además, está demasiado centrado en TIS Firewall ToolKit. Existe una segunda edición en Inglés de Junio de 2000; junto a Simon Cooper http://www.greatcircle.com/firewalls-book
    • Criptografía Digital, Fundamentos y Aplicaciones (José Pastor Franco y Miguel Ángel Sarasa López; 1ª Edición 1998, Prensas Universitarias de Zaragoza). Libro de texto de la Universidad de Zaragoza; es el Applied Cryptography español.
    • A prueba de Hackers [Hacker Proof: The Ultimate Guide to Network Security] (Lars Klander; 1998 Anaya Multimedia). Los libros con títulos sensacionalistas no suelen ser muy buenos, pero este libro es EXCELENTE como introducción a la Seguridad, comparable al de O'Reilly de Spafford y Garfinkel. Cubre TCP/IP, Firewalls (en este capítulo incluye un repaso al Libro Naranja), Criptografía, Firma Digital, HTTPS, Tipos de Ataques, Kerberos, y SSL, Auditoría, Seguridad en Java, Virus, Windows NT, Unix, SATAN, Seguridad en Web y Scripting y Políticas de Seguridad.
    • Seguridad en Unix (Manuel Mediavilla, 1998 RAMA). Un libro que aborda simultáneamente la protección y los ataques al Sistema Operativo UNIX. Lleno de trucos awk y shell script; la parte de código es muy completa y está comentada, aunque ocupa la mitad del libro.https://www.ra-ma.es/libros/0001382.htm
    • Defensa contra hackers. Protección de información privada (Richard Mansfield. 2000 Anaya Multimedia, Serie Guía Práctica para Usuarios) Sobre cómo instalar ZoneAlarm y un poco de criptografía básica para Visual Basic.
    • Guía Avanzada Detección de Intrusos [Network Intrusion Detection, An Analyst's Handbook] (Steph Northcutt y Judy Novak; 2ª Edición 2001; Pearson Educación - Prentice Hall). Me lo estoy leyendo al escribir estas líneas. En dos palabras: im-presionate ;-)http://www.pearsoneducacion.com/catalog_inform/coleciones/guiaavanzada/libro4/entera.html
    • Comercio Electrónico y Estrategia Empresarial (Ana Rosa del Águila, 2ª Edicición 2000 RAMA)
    • Seguridad Práctica en Unix e Internet (Simpson Garfinkel y Gene Spafford; Segunda Edición Junio 1999; Mc Graw Hill - O'Reilly & Associates)
    • Firewalls Linux [Linux Firewalls] (Robert L. Ziegler; 2000 Prentice Hall)http://www.pearsoneducacion.com/catalog_inform/coleciones/guiaavanzada/libro6/entera.html
    • Piratas Cibernéticos. Cyberwars, Seguridad e Informática en Internet (Jesus de Marcelo Rodao, 2001 RAMA)https://www.ra-ma.es/libros/0001569.htm
    • Seguridad en Microsoft Windows 2000. Referencia Técnica [Microsoft Windows 2000 Security Techmical Reference] (Internet Security Systems, Inc. 2000 Microsoft Press - McGraw-Hill)
    • Hackers [Hacking Exposed: Network Security Secrets and Solutions] (Stuart McClure, Joel Scambray, George Kurtz; 2000 McGraw-Hill) http://www.hackingexposed.com
    • Hackers en Linux [Hacking Linux Exposed: Linux Security Secrets and Solutions] (Brian Hatch, James Lee, George Kurtz; 2001 McGraw-Hill) http://www.hackingexposed.com
    • Linux Máxima Seguridad [Maximun Linux Security] (Anónimo; 2000 SAMS / Prentice Hall)
    • Los Códigos Secretos [The COde Bool] (Simon Singh; Marzo 2000 Debate Editorial)
    • Criptología y Seguridad de la Información (Pino Caballero Gil, Candelaria Hernández Goya; 200 RAMA)https://www.ra-ma.es/libros/0001519.htm
    • Técnicas Criptográficas de protección de datos (Amparo Fúster Sabater, Dolores de la Guía Martínez, Luis Hernández Encinas, Fausto Montoya Vitini, Jaime Muñoz Masqué; 2ª edición 2000 RAMA)https://www.ra-ma.es/libros/0001516.htm
    • Microsoft Windows NT 4.0. Seguridad, Auditoría y Control [Microsoft Windows NT 4.0: Security, Audit and Control] (James G. Jumes, Neil F. Cooper, Paula Chamoun, Todd Feinman, PricewaterhouseCoopers; 1999 McGraw-Hill Microsoft Press)
    • Seguridad Profesional en Windows NT (Javier González Cotera; 2000 RAMA)https://www.ra-ma.es/libros/0001483.htm
    • Legislación Básica de Informática (Manuel Álvaro Rico, Manuel Heredero Higueras, Isabel Álvarez-Rico; 1999 Editorial Tecnos )http://www.tecnos.es/
    • Legislación de Comercio Electrónico (Ramón Casas Vallés, Joaquim Bisbal Méndez, Amadeo Abril i Abril, Miquel Peguera Poch, Elisabeth Planell Pons; 2001 Editorial Tecnos)http://www.tecnos.es/
    • Manual de Derecho Informático (Miguel Ángel Davara Rodríguez; 1997 Editorial Aranzadi)http://gamma11.aranzadi.es/online/catalogo/manuales/ficha_manual_0006.html
    • Manual de Firewalls [Firewalls: A Complete Guide] (Marcus Goncalves, Septiembre 2001 McGraw-Hill)http://www.osborne.com/networking_comm/0071356398/0071356398.shtml
    • Manual de Seguridad Informática (José Antonio Soler de Arespacochaga; Agosto 1998 Bureau Internacional de Información y negocios). Libro sobre políticas de seguridad, basante genérico y en parte enfocado al sector bancario. Destaca el capítulo sobre Seguridad Física y las referencias a la evolución de los medios de pago. http://www.infoseguridad.com/numeros/info004.htm
    • Implementación de Redes Privadas Virtuales (RPV) [Implementing Virtual Private Networks] (Steven Brown; Noviembre 2000 McGraw Hill) http://www.osborne.com/networking_comm/007135185X/007135185X.shtml
    • Defensa contra Hackers [Hacker Attack] (Richard Mansfield; Septiembre 2000 Anaya) http://www.sybex.com/SybexBooks.nsf/7621efb6a155e6478825697300640b5f/3965d74fe1ae18848825693d0057fa06!OpenDocument
    Libros On-Line
    Editoriales



Rafael Ausejo Prieto
$Date: 2001/12/22 23:30:00 $