Chapter 11

Exploring Operational Security

Exploracin de Polticas de Seguridad
Las polticas de seguridad trazan un plan de seguridad dentro de una empresa. Son
documentos creados como un primer paso para mitigar los riesgos escritos. Cuando
cre a tiempo, que ayudan a garantizar que el personal de considerar y aplicar la
seguridad en todo el ciclo de vida de los distintos sistemas de la empresa.
Las polticas incluyen declaraciones breves, de alto nivel que identifican metas
basadas en las creencias y los principios generales de una organizacin. Despus
de crear la poltica, la organizacin crea directrices y procedimientos para apoyar
las polticas.
Si bien las polticas son a menudo declaraciones de alto nivel, las directrices y
procedimientos proporcionan detalles sobre la implementacin de polticas.
Controles de seguridad hagan cumplir los requisitos de una poltica de seguridad.
Por ejemplo, una poltica de seguridad puede indicar que los usuarios internos no
deben usar (P2P) aplicaciones peer-to-peer. Un firewall con reglas apropiadas para
bloquear estas aplicaciones proporciona una implementacin tcnica de esta
poltica. Del mismo modo, los administradores pueden utilizar herramientas de
escaneo de puertos para detectar las aplicaciones que se ejecutan en los sistemas
internos contrarios a la poltica.
Recuerda esto
Las polticas de seguridad son documentos que identifican a un plan de seguridad
escritas. Controles de seguridad (incluyendo tcnica, gestin y controles
operacionales) hacer cumplir las polticas de seguridad.
Una poltica de seguridad puede ser un solo documento de gran tamao o dividida
en varios documentos ms pequeos, dependiendo de las necesidades de la
empresa. Las siguientes secciones identifican muchos de los elementos comunes de
una poltica de seguridad.
Poltica de Escritorio Limpio
Una poltica de escritorio limpio dirige a los usuarios a mantener sus reas
organizados y libres de papeles. El objetivo principal es la seguridad para reducir las
amenazas de los incidentes de seguridad, garantizando la proteccin de los datos
sensibles. Ms especficamente, ayuda a prevenir la posibilidad de robo de datos o
de la divulgacin inadvertida de informacin.
Imagina un atacante entrar en un banco por un prstamo bancario y el
cumplimiento de un oficial de prstamo. El oficial de prstamo tiene pilas de papel
sobre su escritorio, incluyendo las solicitudes de prstamos de diversos clientes. Si

el oficial de crdito sale, el atacante puede agarrar fcilmente algunos de los

documentos, o simplemente tomar fotografas de los documentos con un telfono
mvil.
Ms all de la seguridad, las organizaciones quieren presentar una imagen positiva
a los clientes y clientes. Los empleados con escritorios desordenados con pilas de
papel pueden convertir fcilmente a los clientes.
Sin embargo, una poltica de escritorio limpio no slo se aplica a los empleados que
conocer y saludar a los clientes. Tambin se aplica a los empleados que no
interactan con los clientes. Del mismo modo que los buceadores de contenedores
de basura se pueden ordenar a travs de la basura para obtener informacin
valiosa, cualquiera puede ordenar a travs de documentos en un escritorio para
aprender informacin. Lo mejor es conseguir todos los papeles para mantener lejos
de las miradas indiscretas.
Recuerda esto
Una poltica de escritorio limpio requiere que los usuarios organizar sus reas para
reducir el riesgo de un posible robo de datos. Se recuerda a los usuarios a proteger
los datos sensibles y puede incluir una declaracin de no escribir las contraseas.
Algunos artculos dejados en un escritorio que pueden presentar riesgos incluyen:
1.
2.
3.
4.
5.
6.
7.
8.
9.

Claves
celulares
tarjetas de acceso
documentos sensibles
Que ha iniciado sesin en el ordenador
Las impresiones dejadas en la impresora
Las contraseas en notas adhesivas
Archivadores dejaron abierta o desbloqueada
Artculos personales, como el correo con PII

Algunas personas quieren tener una poltica de escritorio limpio un paso ms all al
lavado y desinfeccin de escritorios con limpiadores antibacteriales y
desinfectantes sobre una base diaria. Ellos son libres de hacerlo, pero eso no es
parte de una poltica de escritorio limpio relacionada con la seguridad.
Las polticas de administracin de cuentas / Account Management Policies
Captulo 2 presenta la gestin de cuentas como un control de acceso lgico.
Cuentas proporcionan acceso a los sistemas y redes, y gestin de cuentas implica la
creacin, eliminacin y desactivacin de cuentas.
Cuando no se gestionan las cuentas, que pueden representar vulnerabilidades
significativas a la organizacin. Polticas de gestin de la cuenta de guiar a los
administradores para tratar y prevenir estas vulnerabilidades. Esta seccin describe
los elementos comunes incluidos en una poltica de gestin de cuentas.
Poltica Privilege de privilegios de usuario son los derechos y permisos asignados a
los usuarios. Derechos identifican lo que un usuario puede hacer, como cambiar la

hora del sistema o reiniciar un sistema, y los permisos definen el acceso a los
recursos, tales como ser capaz de leer o modificar un archivo.

Una poltica de privilegios de usuario garantiza que los usuarios slo tienen los
derechos y permisos necesarios para realizar su trabajo y nada ms. En otras
palabras, que dicta el uso del principio de privilegio mnimo (descrito en el captulo
2). Por ejemplo, si Joe tiene que imprimir en una impresora, se le debe conceder el
permiso de impresin para que la impresora pero nada ms.
Muchos sistemas operativos imponen automticamente esto. Por ejemplo, en el
modelo de control de acceso discrecional (DAC) utilizado por los sistemas operativos
de Microsoft, los usuarios de los propios archivos. Cuando un usuario crea un nuevo
archivo, se concede al usuario acceso completo al expediente, pero nadie ms se le
da acceso directo al archivo. Los archivos heredarn los permisos asignados a
carpetas, por lo que otros usuarios pueden tener acceso basado en la herencia,
pero el sistema operativo no asignar estos permisos adicionales directamente a los
archivos recin creados. Slo el creador tiene acceso por defecto.
Los administradores a menudo utilizan los privilegios basados en el grupo (que se
describen en el captulo 2 como parte del control de acceso basado en roles) para
hacer cumplir una poltica de privilegios de usuario. En otras palabras, en lugar de
los administradores asignar privilegios directamente a un usuario, agregan la
cuenta de usuario a un grupo, y asignar privilegios al grupo. Esto simplifica la
administracin de usuarios y ayuda a cumplir privilegio menos. Si un empleado es
reasignado o promovido, el administrador simplemente aade el empleado a grupos
relacionados con el nuevo trabajo y elimina la cuenta de los grupos relacionados
con el trabajo anterior.
Captulo 8 presenta una revisin de los derechos de usuarios y permisos como una
auditora de seguridad. Esta crtica asegura que la poltica est siendo seguido, los
usuarios no tienen ms privilegios que ellos necesitan, y las cuentas inactivas son
deshabilitado o eliminado.
Recuerda esto
El principio de privilegios mnimos garantiza que los usuarios son los derechos
otorgados y los permisos necesarios para realizar las tareas asignadas y nada ms.
Los sistemas operativos hacen cumplir esto dando slo el creador de archivos
acceso completo a los archivos recin creados. Los administradores cumplir con
privilegios basados en el grupo. Derechos y permisos opiniones descubren
violacines.
Exigir a los administradores utilizar dos cuentas
Es comn para exigir a los administradores tener dos cuentas. Utilizan una cuenta
para el trabajo regular del da a da. Tiene los mismos privilegios limitados como un
usuario normal. La otra cuenta ha elevado privilegios necesarios para realizar el
trabajo administrativo, y usar esto slo cuando se realiza el trabajo administrativo.

El beneficio de este la prctica es que reduce la exposicin de la cuenta

administrativa a un ataque.
Por ejemplo, cuando el malware infecta un sistema, a menudo intenta obtener
derechos y permisos adicionales utilizando tcnicas de escalada de privilegios.
Puede explotar un error o defecto en un sistema de aplicacin o funcionamiento. O
puede simplemente asumir los derechos y permisos del usuario conectado.

Si un administrador inicia sesin con una cuenta administrativa, el malware puede

asumir estos privilegios elevados.
Por el contrario, si el administrador inicia sesin con una cuenta de usuario normal,
el malware no es capaz de escalar sus privilegios a travs de esta cuenta.
Recuerda esto
Exigir a los administradores utilizar dos cuentas, una con privilegios de
administrador y otro con privilegios de usuario regulares, ayuda a prevenir los
ataques de escalada de privilegios.
Esto tambin reduce el riesgo para la cuenta administrativa para el trabajo del da a
da. Imagnese Joe es un administrador y l llama de distancia a una crisis. Es muy
posible que l a pie sin bloquear su ordenador. Si era iniciado sesin con su cuenta
de administrador, un atacante caminando por puede acceder al sistema y tienen
administrativa privilegios. Mientras que los sistemas a menudo tienen protectores
de pantalla protegidos por contrasea, estos por lo general no comenzar hasta las
diez minutos o ms despus de un usuario se aleja.
Cuenta Poltica de Incapacidad / Account Disablement Policy
Una poltica cuenta invalidez (a veces llamado una poltica de caducidad de la
cuenta) especifica cundo desactivar cuentas. Esta poltica dirige cuentas
incapacitantes para los ex empleados o empleados que tienen un permiso de
ausencia. Si la cuenta no est deshabilitada, el empleado u otra persona puede
utilizarlo para los ataques.
Recuerda esto
Una poltica cuenta invalidez o expiracin asegura que las cuentas inactivas estn
desactivados. Algunas compaas tambin deshabilitar cuentas cuando los usuarios
tienen un permiso de ausencia.
Por ejemplo, el captulo 6 se menciona el caso de Fannie Mae, donde se dio por
terminado un ingeniero de UNIX pero conserv acceso a la cuenta. Se instal una
bomba lgica configurar para que suene el 31 de enero que habra borrado de datos
y copias de seguridad de cerca de cuatro mil servidores. Mientras que otro
administrador descubri la bomba lgica antes de que fuera off, una poltica ms
estricta cuenta de invalidez habra evitado el riesgo por completo.

Las organizaciones a menudo identifican un proceso de salida especfico cuando

despedir a un empleado. Por ejemplo, el personal de recursos humanos puede
describir los derechos y beneficios para el empleado. Sin embargo, desde una
perspectiva de seguridad, el proceso a menudo incluye la desactivacin de cuentas
durante la entrevista de salida. Cuando no se usa un proceso de salida, las cuentas
se pueden dejar habilitadas. La organizacin suele eliminar la cuenta despus de un
perodo de tiempo, como por ejemplo despus de tres meses.
Esto les da a los administradores la oportunidad de recuperar los archivos utilizados
por la cuenta. Tambin es posible configurar cuentas para expirar despus de un
cierto perodo de tiempo. Por ejemplo, si una organizacin contrat a un contratista
por un perodo de noventa das, un administrador puede configurar la cuenta de
expirar en noventa das. Cuando expire la cuenta, se desactiva automticamente.

Poltica de Gestin del Cambio

Captulo 5 presenta el proceso de gestin del cambio. Como recordatorio, la gestin
del cambio asegura cambios en los sistemas de TI no dan lugar a interrupciones
imprevistas y proporciona una estructura de contabilidad o mtodo para
documentar todos los cambios. Una poltica de gestin del cambio proporciona la
direccin general para la gestin del cambio procesos.
La gestin de parches (tambin cubierto en el captulo 5) por lo general se incluye
en un proceso de gestin del cambio. Parche gestin asegura que los sistemas se
mantienen actualizados y reduce los riesgos asociados con vulnerabilidades
conocidas.
El proceso de gestin de parches incluye pruebas, implementar y verificar los
cambios de parches. Cuando se incluye con la gestin del cambio, gestin del
cambio proporciona la documentacin del proceso.
La mayora de los procedimientos de gestin del cambio comienza con una solicitud
de cambio. El personal designado revisa el cambio, y, una vez que sea aprobado, un
tcnico implementa el cambio. Cada paso del proceso se documenta. La todo el
proceso est documentado en cada etapa. La documentacin se asegura de todo el
mundo es consciente del cambio, que puede revertirse fcilmente si es necesario, y
puede ser reproducido si un sistema tiene que ser reconstruido despus de un corte
de luz.
Recuerda esto
Las polticas de seguridad son documentos que identifican a un plan de seguridad
escritas. Controles de seguridad (incluyendo tcnica, gestin y controles
operacionales) hacer cumplir las polticas de seguridad.
Hey! Quin se ha llevado mi Cambios? / Hey! Who Moved My Changes?
En un entorno en el que trabaj, varios tcnicos pasaron el fin de semana de
solucionar un problema que estaba afectando negativamente servicios. Ellos
finalmente identificaron dos servidores groseramente mal configurados. A travs de

un lento, proceso doloroso, identificaron todas las configuraciones incorrectas y

regresaron los servicios a 100 por ciento para el final del fin de semana.
El lunes, otro grupo de tcnicos entr y se dio cuenta de que los cambios que hizo
el viernes para dos servidores eran todos sin hacer. Los cambios realizados el
viernes no se comunicaron a los tcnicos que trabajan en el fin de semana, y los
cambios no fueron probados adecuadamente, lo que resulta en la prdida de
servicios no deseados.
Los tcnicos lunes estaban molestos de que el trabajo que hicieron el viernes
estaba sin hacer. Los tcnicos de fin de semana estaban molestos que desperdician
su tiempo solucionar un cambio indocumentados. Los usuarios finales sufrieron a
travs de servicios reducidos.
Gestin del cambio eficaz asegura que los cambios tienen el menor efecto sobre los
servicios, estn bien documentados, y todo el personal est adecuadamente
informados de los cambios. Sin una estructura contable para documentar cambios,
es difcil asegurar que el personal se les informa de los cambios.

Polticas de dispositivos porttiles / Portable Device Policies

Como se ha mencionado en varias ocasiones a lo largo de este libro, unidades USB
representan un riesgo significativo para una organizacin.
Pueden transportar malware sin el conocimiento del usuario y pueden ser una
fuente de la fuga de datos. Los usuarios malintencionados pueden copiar y robar
una cantidad significativa de informacin a travs de una unidad flash fcilmente
ocultable. Los usuarios pueden perder estas unidades, y los datos pueden caer
fcilmente en las manos equivocadas.
Debido a los riesgos, es comn que una organizacin para incluir las declaraciones
de poltica de seguridad para prohibir el uso de las unidades flash USB y otros
dispositivos de almacenamiento mvil. Observe que la restriccin no es slo en las
unidades flash sin embargo.
Muchos dispositivos de msica personales, tales como reproductores de MP3,
utilizan el mismo tipo de memoria unidad flash como flash USB conducir. Los
usuarios pueden conectarlos a un sistema y copiar datos fcilmente desde y hacia
un sistema. Adems, muchos de hoy telfonos incluyen capacidades de
almacenamiento utilizando el mismo tipo de memoria.
Recuerda esto
Unidades flash USB son una fuente de la fuga de datos y la distribucin de malware.
Dispositivos de msica personales tambin pueden almacenar datos y, a menudo se
incluyen en las polticas destinadas a prevenir la fuga de datos.
Los telfonos mviles presentan otros riesgos. Por ejemplo, la mayora de los
telfonos celulares incluir capacidades de la cmara y tener la capacidad de
transmitir audio sin el conocimiento del usuario. Algunas organizaciones prohben la

posesin de telfonos mviles en algunas reas, y hagan cumplir estrictamente la

poltica. Por ejemplo, yo s de una organizacin en la que el personal de seguridad
de exploracin al azar empleados para telfonos mviles que utilizan un dispositivo
electrnico. Si el personal de seguridad a encontrar un telfono mvil, se confiscan
y el empleado es despedido inmediatamente.
Polticas de Personal
Empresas frecuentemente desarrollan polticas para definir y aclarar las cuestiones
relacionadas con el personal especficamente. Esto incluye el comportamiento
personal, las expectativas, y las posibles consecuencias. Personal aprenden estas
polticas cuando son contratados y como se produzcan cambios.
Algunas de las polticas directamente relacionadas con el personal son:

El uso aceptable
Vacaciones obligatorios
Separacin de funciones
La rotacin de empleo

Uso Aceptable
Una poltica de uso aceptable define el uso adecuado del sistema. A menudo
describir el propsito de los sistemas informticos y redes, cmo los usuarios
pueden acceder a ellos, y las responsabilidades de los usuarios cuando acceden a
los sistemas.
Recuerda esto
Una poltica de uso aceptable define el uso adecuado del sistema. Los usuarios a
menudo estn obligados a leer y firmar una poltica de uso aceptable cuando
contratado, as como peridicamente, como con el entrenamiento de seguridad
anual.
Esta poltica se suele incluir definiciones y ejemplos de uso inaceptable. Por
ejemplo, los usuarios pueden estar prohibido el uso de recursos de la empresa para
asuntos personales, como las compras en Internet o visitar sitios web que no estn
relacionados con su trabajo.
Muchas organizaciones requieren que los usuarios leer y firmar un documento
indicando que entienden la poltica de uso aceptable cuando estn contratados y en
conjuncin con el entrenamiento de seguridad anual. En muchos casos, las
organizaciones publican la poltica en un sitio de intranet y firmar electrnicamente.
Otros mtodos, tales como banners de inicio de sesin o e-mails, ayudan reforzar
una poltica de uso aceptable.
Vacaciones obligatorios / Mandatory Vacations

Polticas de vacaciones obligatorias ayudan a detectar cuando los empleados estn

involucrados en actividades maliciosas, como el fraude o malversacin de fondos. A
modo de ejemplo, los empleados en puestos de confianza fiscal, tales como
operadores de valores o los empleados del banco, a menudo tienen que tomar unas
vacaciones anuales de por lo menos cinco das de trabajo consecutivos.
Para las acciones de malversacin de cualquier tamao sustancial para tener xito,
un empleado necesitara estar constantemente presente con el fin de manipular los
registros y responder a diferentes preguntas. Por otro lado, si un empleado est
obligado a estar ausente durante al menos cinco das de trabajo consecutivos, la
probabilidad de que cualquier accin ilegal sucesivas se reduce, ya que alguien ms
estara obligado a responder a las preguntas durante la ausencia del empleado.
Vacaciones obligatorias no se limitan slo a las instituciones financieras, sin
embargo. Muchas organizaciones requieren polticas similares para los
administradores. Por ejemplo, un administrador puede ser la nica persona que
debe realizar las actividades sensibles, tales como la revisin de los registros. Un
administrador malintencionado puede pasar por alto o encubrir ciertas actividades
reveladas en los registros. Sin embargo, unas vacaciones obligatorias requeriran
otra persona para llevar a cabo estas actividades y aumentar las posibilidades de
descubrimiento.
Por supuesto, las vacaciones obligatorias por s solas no prevenir el fraude. La
mayora de las empresas aplicar el principio de defensa en profundidad mediante el
uso de varias capas de proteccin. Polticas adicionales pueden incluir la separacin
de funciones y la rotacin de puestos para proporcionar la mayor proteccin posible.

Recuerda esto
Polticas de vacaciones obligatorias exigen a los empleados a tomar tiempo fuera de
su trabajo. Estas polticas ayudan a reducir el fraude y descubrir actividades
maliciosas.
Separacin de tareas / Separation of Duties
Separacin de funciones es un principio que impide a cualquier persona o entidad
de ser capaz de completar todas las funciones de un proceso crtico o sensible. Est
diseado para prevenir el fraude, el robo, y los errores.
Contabilidad ofrece el ejemplo clsico. Es comn dividir los departamentos de
contabilidad en dos divisiones:
Cuentas por cobrar y cuentas por pagar. El personal de la revisin divisin de
Cuentas por Cobrar y validar las facturas. A continuacin, enviar las facturas
validadas para el personal de la divisin de cuentas por pagar, que pagan las
facturas.

Si Joe era la nica persona que realiza ambas funciones, sera posible para l para
crear y aprobar un proyecto de ley del Excelentsimo Cuenta de Retiro de Joe.
Despus de aprobar el proyecto de ley, Joe entonces pagarlo. Si Joe no va a la
crcel, de hecho puede jubilarse anticipadamente a expensas de la salud financiera
de la empresa.
La separacin de las polticas deberes tambin se aplica al personal de TI.
Considere la posibilidad de defensa de la red. Un firewall es un control preventivo
que trata de prevenir los ataques y un sistema de deteccin de intrusiones basado
en red (NIDS) es un control detective que intenta detectar ataques. Si un solo
administrador logr ambos sistemas, es posible que las cuestiones podra ser
pasado por alto lo que resulta en errores. Sin embargo, mediante la separacin de
las tareas entre dos personas, se reduce la posibilidad de errores.
Como otro ejemplo, un grupo de administradores de TI puede ser asignado la
responsabilidad de mantener un grupo de servidores de bases de datos, pero no
tienen acceso a los registros de seguridad en estos servidores. En lugar de ello, los
administradores de seguridad revisar peridicamente estos registros, pero estos
administradores de seguridad no tendrn acceso a los datos dentro de las bases de
datos.
Considere lo que debera ocurrir si uno de los administradores de TI es promovido y
ahora est trabajando como administrador de la seguridad? Sobre la base de la
separacin de funciones, este administrador debe ahora tener acceso a los registros
de seguridad, pero el acceso a los datos dentro de las bases de datos debe ser
revocado. Sin embargo, si no se revocan los permisos del administrador a los datos,
el administrador tendr ms permisos de los necesarios violar el principio de
privilegios mnimos. A los derechos y permisos de revisin de usuario a menudo
descubrir este tipo de cuestiones.
Recuerda esto
Separacin de funciones impide que una sola persona o entidad de ser capaz de
completar todas las funciones de un proceso crtico o sensible al dividir las tareas
entre los empleados. Polticas de rotacin de empleo requieren que los empleados
para cambiar los roles en una base regular. Esto ayuda a asegurar que los
empleados no pueden continuar con la actividad fraudulenta indefinidamente.
Rotacin de empleo / Job Rotation
La rotacin de empleo es un concepto que tiene empleados rotan por diferentes
puestos de trabajo para conocer los procedimientos y procesos en cada uno. Desde
una perspectiva de seguridad, rotacin de tareas ayuda a prevenir o exponer atajos
peligrosos o incluso la actividad fraudulenta. El conocimiento se comparte con
varias personas, y ninguna persona puede mantener el control explcito de
cualquier proceso o datos.
Por ejemplo, su empresa podra tener un departamento de contabilidad. Como se
mencion en la separacin de la seccin de funciones, que separara la contabilidad
en dos divisiones: Cuentas por cobrar y cuentas por pagar.

Adems, se puede rotar el personal dentro y fuera de puestos de trabajo en las dos
divisiones. Esto garantizara una mayor supervisin sobre las operaciones del
pasado y ayudar a asegurar que los empleados estn siguiendo las reglas y
polticas.
Por el contrario, si una sola persona siempre tiene la misma funcin sin ninguna
expectativa de supervisin, la tentacin de ir fuera de los lmites de los aumentos
de las polticas establecidas.
Polticas de rotacin de empleo trabajan bien juntos, con la separacin de las
polticas de deberes. Una separacin de la poltica de derechos de ayuda a evitar
que una sola persona controle demasiado. Sin embargo, si una organizacin slo se
utiliza una separacin de la poltica de los derechos, es posible que dos personas se
unen en un plan para defraudar a la compaa. Si se utiliza una poltica de rotacin
en el empleo, estas dos personas no sern capaces de continuar la actividad
fraudulenta indefinidamente.
Polticas de rotacin de empleo tambin se aplican al personal de TI. Por ejemplo, la
poltica puede requerir a los administradores cambiar los roles de manera regular,
como cada ao o cada tres meses. Esto evita que cualquier administrador nico de
tener demasiado control sobre una red.
Voy a ir a la crcel Antes Le doy las contraseas! (Ill Go to Jail Before I
Give You the Passwords!)
La ciudad de San Francisco tena un ejemplo extremo de los peligros de una sola
persona con mucho conocimiento explcito o poder. Un administrador de red con la
ms alta certificacin de Cisco de Cisco Certified Internetwork Expert (CCIE) realiz
cambios en la red de la ciudad, el cambio de contraseas para que slo los conoca
y asegurar que l era la nica persona con acceso administrativo.
Podra ser que l estaba tomando estas acciones para proteger la red que l
consideraba su "beb". l era el nico CCIE, y es posible mirar a los dems como
simplemente no tener los conocimientos necesarios para mantener adecuadamente
la red. Con los aos, cada vez menos personas tuvieron acceso a lo que estaba
haciendo, y su conocimiento se hicieron ms y ms propietarios. En lugar de ser
malicioso en la naturaleza, que puede haber sido simplemente protectora, aunque
excesivamente protector.
En algn momento, su jefe reconoci que todos los huevos de informacin estaban
en la canasta de este CCIE solitario. Era demasiado arriesgado. Y si el CCIE fue
alcanzado por uno de los tranvas de San Francisco? Qu iban a hacer? El jefe le
pidi algunas contraseas y l se neg, incluso cuando se enfrentan a la detencin.
Ms tarde, se dio cumplimiento de la ley contraseas de personal que no
funcionaron.

Fue acusado de cuatro cargos de manipulacin de una red informtica y se

mantiene bajo custodia con una fianza de $ 5 millones. En abril de 2010, fue
declarado culpable de un cargo de delito grave y condenado a cuatro aos de

prisin. Se trata de una cada lejos de su salario anual reportada de 127.735

dlares.
La ciudad de San Francisco tuvo que traer a expertos de Cisco y la ciudad inform
de costos de 900.000 dlares para recuperar el control de su red. Tras su condena,
la CCIE se le orden pagar $ 1.5 millones en restitucin.
Cul es la leccin aqu? Controles de seguridad internas, como la creacin y
aplicacin de polticas relacionadas con la rotacin de funciones, la separacin de
funciones, y la formacin transversal, pueden haber sido capaces de evitar por
completo esta situacin. Si esto CCIE realmente tena buenas intenciones hacia lo
que l percibe como su red, estos controles internos podran haberlo evitado para
que no pasen la lnea en la sobreproteccin y mirando el mundo a travs de los
barrotes de una celda de la crcel.
Conciencia de Seguridad y Formacin / Security Awareness and Training
Muchas organizaciones crean un plan de educacin y concienciacin sobre la
seguridad para identificar los mtodos de aumento de la concienciacin sobre la
seguridad de los empleados. El objetivo principal es reducir al mnimo el riesgo
planteado por los usuarios y ayudar a reforzar el cumplimiento de usuario con las
polticas de seguridad.
Capacitacin a menudo ayuda a los usuarios a entender los riesgos. Mediante la
comprensin de los riesgos, son ms propensos a cumplir con las polticas de
seguridad.
Por ejemplo, muchos usuarios no son conscientes de los riesgos asociados con las
unidades flash USB. Ellos saben que las unidades flash USB son muy convenientes y
restringiendo su uso a veces hace que sea ms difcil hacer su trabajo. Sin embargo,
no siempre saben que una unidad USB infectada puede infectar un sistema tan
pronto como est enchufado, y un sistema infectado infectar otras unidades USB
conectados al sistema. Con un poco de entrenamiento, los usuarios a comprender
los riesgos y son ms propensos a cumplir con una poltica de unidad flash USB
restrictiva.
El xito de cualquier conciencia de seguridad y plan de formacin est directamente
relacionado con el apoyo de la alta gerencia. Si la alta direccin apoya el plan, la
administracin y los empleados media tambin lo apoyarn. Por otro lado, si la alta
direccin no muestra su apoyo al plan, es muy probable que no contar con el
apoyo de toda la organizacin.
Formacin de conciencia de seguridad no es un evento de una sola vez. El personal
estn capacitados cuando son contratados y peridicamente despus. Por ejemplo,
es comn tener cursos de actualizacin anual. Este informa a los usuarios de las
amenazas actuales y actualizadas y ayuda a reforzar la importancia del
cumplimiento de usuario.

Recuerda esto
Un objetivo principal de la concienciacin sobre la seguridad y la formacin es
reforzar el cumplimiento de usuario con las polticas de seguridad y ayudar a
reducir los riesgos planteados por los usuarios. El xito de cualquier plan de
concienciacin sobre la seguridad y la formacin depende del apoyo de la alta
direccin. Debido a cuestiones de seguridad cambian con el tiempo, es comn para
proporcionar cursos de actualizacin peridica.
El entrenamiento puede incluir una amplia variedad de temas en funcin de la
organizacin. Algunos de los temas son:

Contenidos de poltica de seguridad

El uso aceptable y responsabilidades de los usuarios
Clasificacin de la informacin tanto duros y blandos
Proteccin de datos personales
Importancia del etiquetado de datos, manipulacin y eliminacin
Cumplimiento de las leyes pertinentes, las mejores prcticas y estndares
Conciencia de amenazas incluyendo malware actual y los ataques de
phishing
Los hbitos de los usuarios que representan riesgos como con contraseas y
chupar rueda (tailgating)
El uso de sitios de redes sociales y aplicaciones peer-to-peer y la forma en
que dan lugar a la fuga de datos

La siguiente seccin sobre polticas de datos cubre muchos de estos temas,

mientras que otros temas fueron tratados en los captulos anteriores.
Polticas de datos
Cada compaa tiene secretos. Mantener estos secretos a menudo puede hacer la
diferencia entre el xito y el fracaso. Una empresa puede tener valiosos datos de
investigacin y desarrollo, bases de datos de clientes, propiedad de la informacin
sobre los productos, y mucho ms. Si la empresa no puede mantener en secreto los
datos privados y de propiedad, que puede afectar directamente a su cuenta de
resultados.
Las polticas de datos ayudan a la proteccin de datos y ayudan a prevenir la fuga
de datos. Esta seccin cubre muchos de los diferentes elementos que pueden estar
contenidos en una poltica de datos.
Clasificacin de Informacin
Como prctica, las organizaciones se toman el tiempo para identificar, clasificar y
etiqueta de datos que utilizan. Las clasificaciones de datos aseguran que los
usuarios entiendan el valor de los datos y las clasificaciones ayudan a proteger los
datos sensibles. Clasificaciones pueden aplicarse a los datos duros (Impressos) y
datos blandos (archivos). A modo de ejemplo, el gobierno de Estados Unidos utiliza
clasificaciones tales como "Top Secret", "Secreto", "Confidencial" y "Sin clasificar"

para identificar la sensibilidad de los datos. Las empresas privadas suelen utilizar
trminos como "Propietario", "Private", "anuncio" o "Pblico".

Recuerda esto
Organizaciones clasifican los datos para asegurarse de que los usuarios a entender
el valor de los datos y para ayudar a proteger los datos sensibles. Etiquetado de
datos garantiza que los usuarios sepan qu datos estn manejando y
procesamiento.
Los datos de etiquetado y manipulacin
Etiquetado de datos garantiza que los usuarios sepan qu datos estn manejando y
procesamiento. Por ejemplo, si una organizacin clasifica los datos de forma
confidencial, privada, sensible, y pblica, sino que tambin utilizaran el etiquetado
para identificar los datos. Estas etiquetas se pueden imprimir etiquetas para los
medios de comunicacin, tales como cintas de respaldo. Tambin es posible marcar
los archivos usando las propiedades del archivo, encabezados, pies de pgina y
marcas de agua.
Las etiquetas y clasificaciones usos una organizacin no son tan importantes como
el hecho de que utilizan etiquetas y clasificaciones. Organizaciones toman tiempo
para analizar sus datos, clasificar, y capacitar a los usuarios para garantizar la
usuarios reconocen el valor de los datos.
Considere una empresa que gasta millones de dlares en investigacin y desarrollo
(I + D) tratando de desarrollar o mejorar los productos. La empresa valora mucho
ms que datos de estos datos pblicamente disponibles en su sitio web, y hay que
protegerlo. Sin embargo, si los empleados tienen acceso a los datos de I + D y no se
clasifican o etiquetados, que no se dan cuenta de su valor y no puede protegerlo.
Por ejemplo, un contenido web autor puede escribir un artculo para el sitio web de
la empresa haciendo alarde de sus logros.
Si los datos de I + D no est clasificado y etiquetado, el autor puede incluir algo de
esto en I + D de datos en el artculo, sin querer dar competidores de la empresa
libre acceso a datos valiosos. Mientras que los empleados de I + D ser fcil
reconocer el valor de los datos, no es seguro asumir que todo el mundo lo hace. Por
otro lado, si los datos incluidos etiquetas confidencial o privada, cualquiera sera
reconocer su valor y tomar las medidas adecuadas para su proteccin.
Captulo 9 present informacin sobre las copias de seguridad. Como recordatorio,
es importante proteger las copias de seguridad con el mismo nivel de proteccin
que los datos originales. Las etiquetas de los administradores de ayuda de los
medios de copia de seguridad a identificar fcilmente el valor de los datos de las
copias de seguridad.
Almacenamiento y retencin Polticas

Una poltica de almacenamiento y retencin identifica dnde se almacenan los

datos y el tiempo que se conserva. Por ejemplo, una poltica de almacenamiento a
menudo dicta que los usuarios deben almacenar todos los datos en los servidores
en lugar de estaciones de trabajo locales. Una de las ventajas es que los
administradores pueden realizar copias de seguridad de datos en el servidor para
asegurarse de que tienen copias de los datos del usuario. Si los usuarios almacenan
datos en sus sistemas individuales, que hace que sea mucho ms difcil y costoso
hacer copia de seguridad de datos.
Las polticas de retencin ayudan a reducir las responsabilidades legales, y esta es
otra razn por la que estn acostumbrados. Por ejemplo, imagnese si una poltica
de retencin establece que la empresa slo mantendr e-mail por un ao. Una
orden judicial que requiere todo el correo electrnico de la empresa slo puede
esperar recibir correo electrnico desde el ao pasado.
Por otro lado, si la organizacin no tiene una poltica de retencin, es posible que
tenga que proporcionar el correo electrnico de los ltimos diez aos o ms en
respuesta a una orden judicial. Esto puede requerir una gran cantidad de trabajo
por los administradores para recuperar archivos o buscar correos electrnicos
especficos. Adems, las investigaciones pueden descubrir otra evidencia
embarazosa de aos anteriores. La poltica de retencin ayuda a evitar estos
problemas.
Algunas leyes exigen la conservacin de datos para los marcos de tiempo
especficos, tales como tres aos o ms. Por ejemplo, las leyes exigen la retencin
de todos los correos electrnicos de la Casa Blanca de forma indefinida. Si una ley
se aplica a una organizacin, la poltica de retencin refleja los mismos requisitos.
Recuerda esto
Polticas de almacenamiento y retencin de identificar dnde se almacenan los
datos y el tiempo que se conserva. En algunos casos, las polticas de retencin
pueden limitar la exposicin de la empresa a los procedimientos judiciales y reducir
la cantidad de trabajo requerido para responder a rdenes de la corte.
Informacin de Identificacin Personal
La informacin personal identificable (PII) es la informacin personal que se puede
utilizar para identificar personalmente a un individuo. Algunos ejemplos de PII son:

nombre completo
Cumpleaos y el nacimiento lugar
La informacin mdica y de la salud
Calle o correo electrnico la informacin de direccin
Las caractersticas personales, como los datos biomtricos
Cualquier tipo de nmero de identificacin, como por ejemplo un nmero de
Seguro Social o nmero de licencia de conducir

En general, se necesitan dos o ms piezas de informacin para que sea PII. Por
ejemplo, "John Smith" no es PII por s mismo, ya que no se puede remontar de

nuevo a una persona especfica. Sin embargo, cuando se conecta el nombre con un
fecha de nacimiento, direccin, informacin mdica, o de otro tipo de datos, es PII.
Cuando los atacantes ganan PII, a menudo lo utilizan para obtener ganancias
econmicas a expensas de la persona. Por ejemplo, atacantes roban identidades,
tarjetas de crdito, el acceso y las cuentas bancarias vacas. Siempre que sea
posible, las organizaciones deberan minimizar el uso, recoleccin y retencin de
informacin de identificacin personal. Si no se mantiene, no puede verse
comprometida. Por otro lado, si que recopilan informacin de identificacin personal
y los atacantes comprometen los datos, la empresa es responsable.
El nmero de incidentes de violacin de la seguridad que implique la prdida de la
PII sigue aumentando. Por ejemplo, de un Veterano Empleado de la Administracin
copiar una base de datos en su ordenador porttil que contena informacin de
identificacin personal en ms de veintisis millones de EE.UU. veteranos. Tom el
ordenador porttil a casa y un ladrn rob. El VA luego pas por el doloroso y
costoso proceso de notificar a todas las personas que eran vulnerables al robo de
identidad, y los individuos afectados gastados incontables horas para fregar sus
registros de incidentes de robo de identidad. A pesar de que la polica ms tarde
recuperaron la computadora porttil, la VA pag $ 20 millones para resolver una
demanda en el caso.
Captulo 5 menciona varios otros casos, como el ataque a PlayStation Network de
Sony que comprometido ms de setenta y siete millones de registros de clientes
que resultan en gasto directo de ms de $ 171 millones.
Cada uno de estos casos result en el robo de identidad potencial y la prdida de la
buena voluntad y la confianza pblica de la compaa. Tanto los clientes como los
empleados se vieron afectados negativamente, y las empresas se vieron obligadas
a pasar tiempo y energa discutiendo el incidente, y gastar dinero tratando de
reparar su reputacin.
Recuerda esto
La informacin personal identificable (PII) incluye informacin como el nombre
completo, fecha de nacimiento, datos biomtricos, y la identificacin de los
nmeros como un SSN. Las organizaciones tienen la obligacin de proteger PII y, a
menudo identifican procedimientos para manejar y conservar PII en las polticas de
datos.
Proteger la PII
Las organizaciones tienen la obligacin de proteger la PII. Hay muchas leyes que
exigen la proteccin de la informacin de identificacin personal incluyendo las
leyes internacionales, las leyes federales y las regulaciones locales. Las
organizaciones a menudo se desarrollan polticas para identificar cmo manejan,
retener y distribuir informacin de identificacin personal, y estas polticas ayudan a
asegurar que estn cumpliendo con las regulaciones pertinentes. Cuando una
empresa no utiliza una poltica especfica PII, por lo general identificar los mtodos
utilizados para proteger PII en las polticas de datos relacionados.

Adems, muchas leyes requieren una empresa para reportar prdidas de datos
debido a fallos de seguridad. Si resulta un ataque en la prdida de datos PII cliente,
se requiere a la empresa a informar y notificar a las personas afectadas. A modo de
ejemplo, Arizona promulg una ley de notificacin violacin de la seguridad que
requiere cualquier empresa hacer negocios en Arizona para notificar a los clientes
de las brechas de seguridad. La mayora de los estados en los Estados Unidos
tienen leyes similares, y existen leyes internacionales similares.
Una de las razones ms comunes de datos parece caer en las manos equivocadas
es que los empleados no entienden los riesgos involucrados. Ellos no se dan cuenta
del valor de los datos en un ordenador porttil, o pueden copiar casualmente datos
PII en una unidad flash USB. Como se mencion anteriormente, la clasificacin de
datos y procedimientos de etiquetado ayudan a los empleados a reconocer el valor
de los datos y ayudan a proteger los datos sensibles.

La capacitacin tambin es importante. Uno de los objetivos de los profesionales de

seguridad es reforzar los riesgos de no proteger PII. Cuando los empleados
comprendan los riesgos, son menos propensos a arriesgar los datos de clientes y
empleados para el robo de identidad.
Recuerda esto
PII requiere entrega especial y las polticas de retencin de datos. Los empleados
deben ser entrenados para no dar ningn tipo de informacin personal. Muchas
leyes exigen la presentacin de informes de los ataques que resultan en la prdida
de datos PII.
Poltica De Privacidad
Es casi un requisito de negocio hoy para una empresa tener un sitio web. Los
clientes esperan de un sitio web y, a menudo lo buscan para obtener informacin
adicional acerca de una empresa. Cuando no existe, los clientes suelen ir a otra
parte. Sin embargo, los sitios web tienen requisitos adicionales, como una poltica
de privacidad.
Una poltica de privacidad identifica cmo un sitio web recoge, utiliza y divulga
informacin sobre los visitantes. Por ejemplo, los formularios web recopilan
direcciones de correo electrnico y otros datos de los usuarios. La poltica de
privacidad indica si la empresa utiliza esta informacin slo internamente o si se
vende o comparte con otras entidades.
Muchos estados, como California, Nebraska y Pennsylvania, tienen leyes especficas
que requieren polticas de privacidad. Por ejemplo, una ley de California requiere
que los sitios web para publicar visible una poltica de privacidad en el sitio. Esta ley
se aplica a cualquier sitio web que recopila informacin sobre los residentes de
California, independientemente de donde se encuentra el sitio web.

Generalmente, usted puede encontrar un enlace a una poltica de privacidad en la

pgina principal del sitio. Por ejemplo, si usted va a Google.com, encontrar un
enlace titulado "Privacidad" y haciendo clic en l, ver su poltica de privacidad.
Sitios de Redes Sociales
Millones de personas interactan unos con otros sitios de redes sociales utilizando
como Facebook y Twitter. Facebook permite a las personas compartir sus vidas con
amigos, familiares y otros. Twitter permite a las personas po sobre los eventos a
medida que ocurren. Desde una perspectiva social, estas tecnologas permiten a la
gente compartir fcilmente informacin sobre a s mismos con los dems.
Sin embargo, desde una perspectiva de seguridad, presentan algunos riesgos
significativos, especialmente relacionados con la involuntaria revelacin de
informacin. Los atacantes pueden utilizar estos sitios para obtener informacin
sobre los individuos y luego usar esa informacin en un ataque.
Los usuarios a menudo de informacin personal poste tales como fechas de
nacimiento, sus colores favoritos o libros, la escuela secundaria que se graduaron
de, fechas de graduacin, y mucho ms. Algunos sitios utilizan esta informacin
personal para validar a los usuarios cuando se les olvida o necesitan cambiar su
contrasea. Por ejemplo, imagine a Sally necesita para restablecer su contrasea
para una cuenta bancaria. El sitio web puede desafiarla para introducir su fecha de
nacimiento, libro favorito, y fecha de graduacin para su validacin. Si a Sally
publica toda esta informacin en Facebook, un atacante puede utilizar para cambiar
la contrasea de la cuenta bancaria.
En algunos casos, los atacantes han utilizado informacin personal de los sitios de
redes sociales para lanzar estafas. Por ejemplo, un atacante identifica primero el
nombre de un amigo o familiar con el sitio de redes sociales. El atacante suplanta al
amigo o familiar en un correo electrnico, alegando que fueron robados y estn
atrapados en una extranjera pas. El atacante termina con una peticin de ayuda
pidiendo a la vctima a enviar dinero a travs de transferencia bancaria.
Tambin vale la pena sealar que los sitios de redes sociales se han convertido en
uno de los mtodos que los empleadores utilizan para recopilar informacin sobre
los posibles empleados. En 2010, Microsoft encuest a profesionales de recursos
humanos de Estados Unidos y se enter de que el 70 por ciento de ellos haba
rechazado una solicitud de empleo en base a la informacin que encontraron en
lnea.
Recuerda esto
El uso inadecuado de los sitios de redes sociales puede dar lugar a la divulgacin
inadvertida de informacin. Informacin disponible en estos sitios tambin se puede
utilizar para lanzar ataques contra los usuarios.
P2P
Peer-to-peer (P2P o de intercambio de archivos) aplicaciones permiten a los usuarios
compartir archivos como msica, vdeo y datos a travs de Internet. En lugar de un

nico servidor que proporciona los datos a los usuarios finales, todos los equipos de
la red P2P son pares, y cualquier equipo puede actuar como un servidor para otros
clientes.
La primera red P2P ampliamente utilizada fue Napster, un servicio para compartir
msica en lnea que funcion entre 1999 y 2001. Los usuarios copiar y distribuir
archivos de msica MP3 entre unos y otros, y estos fueron a menudo los archivos de
msica pirateada. Los archivos se almacenan en el sistema de cada usuario, y
siempre y cuando el sistema era accesible en Internet, otros usuarios pueden
acceder y descargar los archivos. Una orden judicial cerr Napster debido a
cuestiones de derecho de autor, pero ms tarde volvi a abrir como una tienda de
msica en lnea. Otras redes P2P y de software P2P siguen apareciendo y
evolucionando.
Organizaciones generalmente restringen el uso de aplicaciones P2P en redes, pero
esto no es debido a problemas de piratera. En cambio, un riesgo significativo con
aplicaciones P2P es la fuga de datos. Los usuarios a menudo no son conscientes de
lo que los datos que estn compartiendo. Otro riesgo es que los usuarios no son
conscientes de lo que los datos de las descargas de aplicaciones y tiendas en sus
sistemas, haciendo que se reciban los datos inapropiados. Dos ejemplos ayudan a
ilustrar estos riesgos de fuga de datos.
Informacin Concentradora redes P2P de bsqueda de informacin de inters y
recogerlo. En marzo de 2009, los investigadores descubrieron un concentrador de
informacin en Irn, con ms de doscientos documentos que contienen los datos del
gobierno de Estados Unidos clasificados y secretos. Esto incluy informacin
clasificada sobre Marine One, el helicptero utilizado por el presidente. Si bien la
informacin sobre el Marine One en los titulares, los atacantes tenan informacin
de mineral mucho. Por ejemplo, este concentrador incluye informes sobre la
situacin en Irak y las listas de soldados con los datos de privacidad.
Cmo pas esto? Las investigaciones revelaron que un contratista de defensa
instalado una aplicacin P2P en una computadora. El equipo tuvo acceso a estos
datos, y la aplicacin P2P comparti. Los medios de comunicacin se pegaron a las
noticias sobre Marine One, por lo que esta historia fue ampliamente publicada. Sin
embargo, se cree ampliamente que ms datos se extraen a travs de redes P2P. La
mayora de los usuarios finales no se han clasificado a los datos de sus sistemas,
pero s tener PII, como informacin bancaria o los datos fiscales. Cuando un
atacante recupera los datos en el sistema del usuario y se vaca una cuenta
bancaria, puede ser una catstrofe para el usuario, pero no es noticia.
Un segundo ejemplo afect a un nio en edad escolar. Es popular el uso de estos
programas de intercambio P2P para compartir archivos de msica, pero se utiliza a
menudo para compartir otros datos. Una nia en edad escolar estaba navegando
datos que encontr en su computadora y descubri un nmero significativo de
imgenes pornogrficas. Ella no busc estos o descargar deliberadamente. En su
lugar, como miembro de la red P2P, la aplicacin P2P utiliz su sistema para
almacenar los archivos compartidos por otros.

Las organizaciones pueden restringir el acceso a las redes P2P mediante el bloqueo
de acceso en los servidores de seguridad. Adems, los escneres de puertos
pueden escanear puertos abiertos de sistemas remotos para identificar software
P2P. Las organizaciones a menudo incluyen estos controles cuando se ejecuta un
escner de puertos como parte de un anlisis de vulnerabilidades.
Recuerda esto
La fuga de datos se produce cuando los usuarios instalan software P2P y sin querer
compartir archivos. Las organizaciones a menudo bloquean el software P2P en el
firewall y detectar software que se ejecuta con los anlisis de puertos.
Sistemas de desmantelamiento
Cuando los equipos llegan al final de su ciclo de vida, las organizaciones que donan,
ellos reciclan, oa veces simplemente tiran a la basura. Desde una perspectiva de
seguridad, es necesario asegurarse de que los ordenadores no incluyen ningn dato
que pueda ser til a la gente fuera de su organizacin o perjudicial para su
organizacin si es puesto en libertad.
Es comn que las organizaciones tienen una lista de verificacin para asegurarse de
que un sistema se desinfecta antes de ser puesto en libertad.
El objetivo es asegurar que todo el dato utilizable se elimina del sistema. Los discos
duros representan el mayor riesgo, ya que tienen la mayora de la informacin, por
lo que es importante tomar medidas adicionales cuando el desmantelamiento de
viejos discos duros. Simplemente borrar un archivo en una unidad en realidad no
eliminarlo.
En lugar de ello, se marca el archivo para su eliminacin y hace que el espacio
disponible para su uso. Del mismo modo, el formateo de una unidad de disco no
borrar los datos. Hay muchas aplicaciones de recuperacin disponibles para
recuperar los datos borrados, restos de archivos, y los datos de las unidades con
formato.
Diferentes mtodos de desinfeccin de una unidad de disco y la eliminacin de
todos los datos utilizables incluyen:
Sobrescritura nivel de bits. Diferentes programas estn disponibles que escribir
patrones de unos y ceros varias veces para asegurar que los datos originalmente en
el disco no se puede leer. Este proceso asegura que el disco no contiene ningn
dato.
Desmagnetice los discos. Un desmagnetizador es un muy potente imn
electrnico. Pasando un disco a travs de un campo de desmagnetizacin har que
los datos en el disco ilegible, y ser a menudo destruir los motores del disco.
Desmagnetizacin de las cintas de copia de seguridad se desinfecte una cinta sin
destruirlo.
La destruccin fsica. Si el disco incluye datos clasificados o de propiedad, slo
tiene que sobrescribir puede que no sea suficiente.

En cambio, la poltica de eliminacin de la computadora puede requerir la

destruccin de la unidad. Por ejemplo, los tcnicos pueden eliminar platos del disco
y la arena hacia abajo hasta la chapa.
Recuerda esto
Discos duros viejos son desinfectados como parte del proceso de
desmantelamiento. Un mtodo comn utiliza borrado nivel de bits y sobrescribe la
unidad escribiendo una serie de unos y ceros varias veces en la unidad.
Tambin vale la pena mencionar que los discos duros pueden ser en otros
dispositivos adems de los ordenadores. Por ejemplo, muchas mquinas de copia
incluyen unidades de disco. Si estas unidades de disco no se desinfectan, sino que
tambin puede resultar en una prdida de confidencialidad.
Polticas de Respuesta de Incidentes
Muchas organizaciones crean las polticas de respuesta a incidentes para ayudar al
personal a identificar y responder a los incidentes. El incidente de seguridad es un
evento adverso o una serie de eventos que pueden afectar negativamente a la
confidencialidad, integridad, o disponibilidad de datos o sistemas dentro de la
organizacin, o que tiene el potencial para hacerlo. Algunos ejemplos incluyen:

Ataques
Lanzamiento de malware
Violaciones de poltica de seguridad
El acceso no autorizado de los datos
El uso inadecuado de los sistemas

Por ejemplo, un ataque que resulta en una violacin de datos es un incidente. Una
vez que la organizacin identifica una seguridad incidente, que responder en base
a la poltica de respuesta a incidentes.
Una de las primeras respuestas es contener el incidente. Esto puede ser tan simple
como desconectar el sistema de tarjeta de interfaz de red para asegurarse de que
no se puede comunicar en la red. Sin embargo, el sistema no debe ser apagado o
manipulados en absoluto hasta expertos forenses tienen la oportunidad de reunir
pruebas.
Despus de identificar el incidente y aislar el sistema, los expertos forenses pueden
iniciar una evaluacin forense dependiendo del incidente. Una evaluacin forense
ayuda a la organizacin recopilar y analizar datos como evidencia que puede utilizar
en la persecucin de un delito. En general, las evaluaciones forenses proceder con
la suposicin de que los datos recopilada se utilizar como prueba en los tribunales.
Debido a esto, las prcticas forenses proteger las pruebas para evitar modificacin
y controlar pruebas despus de recoger la misma.
Recuerda esto
Una poltica de respuesta a incidentes define unos procedimientos de respuesta a
incidentes e incidentes. El primer paso a tomar despus la identificacin de un

incidente es contener o aislar el problema. Esto es a menudo tan simple como

desconectar un ordenador desde una red. Una evaluacin forense recoge, controla y
evala la evidencia de incidentes.
Despus de que el proceso de recoleccin de pruebas forenses, los administradores
recuperar o restaurar el sistema a traerla de nuevo en servicio. Esto supone, por
supuesto, que el propio sistema no se recoge como evidencia. Recuperacin de una
sistema puede requerir un simple reinicio o puede requerir una reconstruccin
completa del sistema, dependiendo de la incidente.
Las organizaciones tambin revisar los controles de seguridad para identificar
vulnerabilidades despus de un incidente. Es muy posible que el incidente ofrece
algunas lecciones valiosas. La organizacin podr modificar los procedimientos o
aadir controles adicionales para impedir que se repita el incidente.
Las siguientes secciones cubren algunos de los elementos importantes de una
poltica de respuesta a incidentes relacionados con la Seguridad + examen.
Contencin
La primera respuesta despus de identificar el incidente es contener o aislar el
problema. A menudo, los administradores de hacer esto simplemente desconectar
el cable de la tarjeta de interfaz de red para desconectar un equipo de la red.
Por ejemplo, puede aislar un servidor atacado por desconectarlo de la red. Puede
aislar una red de Internet mediante la modificacin de las listas de control de
acceso en un router o un firewall de red.
Esto es similar a la forma en que le respondes a derramar agua de un fregadero que
desborda. Usted no empezar a limpiar el agua hasta que primero cerrar el grifo. El
objetivo de la contencin es evitar que el problema se propague a otras zonas o en
otros equipos de la red, o simplemente para detener el ataque.
Equipo de Respuesta a Incidentes
Un equipo de respuesta a incidentes se compone de empleados con experiencia en
diferentes reas. Organizaciones refieren al equipo como un equipo de respuesta a
incidentes informticos (CIRT), el equipo de respuesta a incidentes de seguridad
(SIRT), o simplemente IRT.
Combinados, tienen los conocimientos y habilidades para responder a un incidente.
Los miembros del equipo pueden incluir:

La alta direccin. Alguien tiene que ser responsable con la autoridad

suficiente para hacer las cosas.
Administrador de red / ingeniero. Una persona tcnica debe incluirse que
puede entender adecuadamente los problemas tcnicos y transmitir el
asunto a otro personal del equipo.
El experto en seguridad. Los expertos en seguridad saben cmo recoger y
analizar pruebas utilizando diferentes procedimientos forenses.

Experto en comunicaciones. Si un incidente debe ser transmitida al

pblico, una persona de relaciones pblicas debe ser el uno para hacerlo.

Debido a la compleja naturaleza de los incidentes, el equipo suele tener una amplia
formacin. La formacin incluye conceptos tales como la forma de identificar y
validar un incidente, cmo recolectar pruebas, y cmo proteger las pruebas
recogidas.
Los primeros en responder son las primeras personas de seguridad entrenados que
llegan a la escena. El trmino proviene de la comunidad mdica, en donde la
primera persona con formacin mdica en llegar a la escena de una emergencia o
accidente es el primero en responder. Una primera respuesta podra ser alguien del
equipo de respuesta a incidentes o alguien con formacin adecuada para saber
cules son los primeros pasos de respuesta debe ser. Los documentos de polticas
de respuesta a incidentes pasos iniciales o al menos los objetivos de los primeros en
responder.
Procedimientos Forenses Bsicas
Una vez que el incidente ha sido incluido o aislado, el siguiente paso es una
evaluacin forense. Qu piensas cuando escuchas "forense"? Mucha gente piensa
en el programa de televisin CSI (abreviacin de "escena del crimen investigacin ")
y todos sus spin-offs. Estos programas demuestran las capacidades fenomenales de
la ciencia en el crimen investigaciones.
Informtica forense analiza la evidencia de los ordenadores para determinar los
detalles sobre incidentes informticos, similares a cmo el personal de CSI analizar
la evidencia de la escena del crimen. Utiliza una variedad de diferentes
herramientas para recopilar y analizar evidencia ordenador. Informtica forense es
un campo cada vez mayor, y muchas instituciones educativas ofrecen especializada
grados alrededor de la ciencia.
Si bien puede no ser el experto forense equipo el anlisis de la evidencia, usted
debe saber acerca de algunas de los conceptos bsicos relacionados con la
recoleccin y preservacin de la evidencia.
Los expertos forenses utilizan una variedad de procedimientos forenses para
recoger y proteger los datos despus de un ataque. Una parte clave de este proceso
es la preservacin de la evidencia. En otras palabras, se aseguran de que no
modifiquen los datos a medida que recogerlo, y protegerlo despus de la
recoleccin. Al igual que un polica novato no quera andar a travs de la sangre en
un delito Escena (al menos no ms de una vez), los empleados no deben tener
acceso a los sistemas que han sido atacados o poder hacia abajo.
Por ejemplo, los archivos tienen propiedades que muestran cuando se accede a la
ltima. Sin embargo, en muchas situaciones, acceso al archivo modifica esta
propiedad. Esto puede evitar que una investigacin de la identificacin cuando un
atacante visitada el archivo. Adems, los datos en la memoria de un sistema incluye
pruebas valiosas, pero convertir un sistema de apagado elimina estos datos. En

general, los primeros en responder no tratan de analizar las pruebas hasta que
hayan tomado el tiempo para recoger y protegerlo.
Los expertos forenses tienen herramientas especializadas que pueden utilizar para
la captura de datos. Por ejemplo, muchos expertos utilizan EnCase por Guidance
Software Forensics Toolkit o por acceso a datos. Estas herramientas pueden
capturar datos de la memoria o los discos.
Esto incluye documentos, imgenes, correo electrnico, correo web, artefactos de
Internet, historial web, sesiones de chat, archivos comprimidos, archivos de copia
de seguridad y los archivos cifrados. Tambin pueden capturar los datos de los
telfonos inteligentes y tabletas.
Orden de Volatilidad
Orden de la volatilidad se refiere al orden en que debe reunir pruebas. "Voltil" no
significa que sea explosivo, sino que no es permanente. En general, usted debe
reunir pruebas empezando por el ms voltil y pasar al menos voltil.
Por ejemplo, la memoria de acceso aleatorio (RAM) se pierde despus de apagar el
ordenador. Debido a esto, es importante darse cuenta de que usted no debe
alimentar un equipo hacia abajo si es sospechosa de estar involucrada en un
incidente de seguridad.
Un procesador puede trabajar solamente en los datos en la memoria RAM, as que
todos los datos en la RAM indican lo que el sistema estaba haciendo. Esto incluye
los datos de un usuario ha estado trabajando, los procesos del sistema, los procesos
de red, restos de aplicaciones, y mucho ms. Todo esto puede ser evidencia valiosa
en una investigacin, pero la evidencia se pierde cuando el ordenador est
apagado.
Muchas de las herramientas forenses incluyen la capacidad de capturar datos
voltiles. Una vez que se captur, los expertos pueden analizar y profundizar en lo
que estaban haciendo el ordenador y el usuario.
Recuerda esto
RAM es voltil y se pierde cuando un equipo est apagado. Los datos en la memoria
RAM incluye procesos y aplicaciones, y datos accedidos recientemente por un
usuario. Forense memoria anlisis de datos en la memoria RAM.
Por el contrario, los datos en los discos permanecen en la unidad incluso despus de
la alimentacin de un sistema de abajo. Esto incluye todos los archivos y incluso
datos como el registro de inicio maestro en un disco de bajo nivel. Sin embargo, es
importante para proteger los datos en el disco antes de analizar, y un mtodo
comn es mediante la captura de una imagen del disco.
El orden de la volatilidad de los ms voltiles de menos voltil es:

Los datos en la memoria RAM, incluidos los datos y aplicaciones de cach y

recientemente utilizado
Los datos en RAM, incluyendo los procesos del sistema y de red

Los datos almacenados en unidades de disco locales

Registros almacenados en sistemas remotos
medios Archivo

Capturar imgenes
Una imagen es una instantnea de los datos en la memoria o una instantnea de
una unidad. Captulo 5 introdujo imgenes de disco como un mtodo comn
utilizado para desplegar sistemas. Estas imgenes de disco del sistema incluyen
configuraciones de seguridad obligatorias y ayudan a garantizar un sistema
comienza en un estado seguro. Analistas forenses utilizan procesos similares para
capturar imgenes para el anlisis.
Una imagen forense de un disco capta todo el contenido de la unidad. Algunas
herramientas utilizan mtodos poco a poco copia que pueden leer los datos sin
modificarlo. Otros mtodos incluyen dispositivos de hardware conectados a la
unidad para protegerlo contra escritura durante el proceso de copia. Una clara
diferencia entre las imgenes del sistema estndar y forense imgenes es que una
imagen forense es una copia exacta y no modifica el original. Esto no siempre es
cierto con herramientas de imagen del sistema.
Un elemento importante en la creacin de copias forenses es asegurar que los
datos en el disco duro no se modifican.
Dicho de otra manera, las copias forenses garantizar la integridad de la evidencia
de disco no se vea comprometida durante el proceso de copia.
Recuerda esto
Una imagen forense es una copia bit a bit de los datos y no modifica los datos
durante la captura. Expertos capturar una imagen de los datos antes del anlisis. El
anlisis puede modificar los datos de lo que los expertos forenses analizan la
imagen (o copias de la imagen) y guardar los datos originales en un estado no
modificado.
Todos estos mtodos de capturar todo el contenido del disco, incluyendo los
archivos de usuario del sistema y, y los archivos marcados para su eliminacin, pero
no sobrescribe. Del mismo modo, muchas herramientas incluyen la capacidad de
capturar los datos dentro de la memoria voltil y guardarlo como una imagen.
Despus de capturar una imagen, los expertos crean una copia y analizan la copia.
Ellos no analizan el disco original y muchas veces ni siquiera se analizan la imagen
original. Ellos entienden que mediante el anlisis de los contenidos de un disco
directamente, pueden modificar el contenido. Mediante la creacin y el anlisis de
las copias forenses, nunca modifican el original pruebas.
Tome hashes

Hashes proporcionan integridad y demuestran que los datos no han sido

modificados. Hashing es un elemento importante del anlisis forense para
proporcionar la prueba de que los datos recogidos se han conservado la integridad.
Captulo 10 hashes y hash cubiertos. Como recordatorio, un hash es simplemente
un nmero. Puede ejecutar un algoritmo de hash con los datos tantas veces como
desee, y siempre y cuando los datos es la misma, el hash ser el mismo.

El foco en el captulo 10 fue sobre el uso de hashes con archivos y mensajes. Una
imagen (de RAM o un disco) es slo un archivo, y se puede utilizar hash con
imgenes forenses para asegurar la integridad de la imagen. Por ejemplo, despus
de capturar una imagen de RAM voltil, un experto puede crear un hash de la
imagen. Algoritmos hash incluyen variaciones MD5 y SHA como SHA-1 o SHA-256.
Algunas herramientas le permiten crear un hash de todo el disco. Estos verificar que
el proceso de formacin de imgenes no tiene datos modificados. Por ejemplo,
puede crear un hash de una unidad antes de capturar la imagen y despus de la
captura de la imagen. Si los hashes son iguales, se verifica que el proceso de
formacin de imgenes no modific la unidad.
Adems, puede ejecutar el mismo algoritmo hash en contra de la unidad despus
de probar la unidad original no lo hizo perder integridad. Mientras los hashes son los
mismos, se demuestra la evidencia no ha sido modificado. En el otro lado, si los
hashes son diferentes, indica la unidad original se ha perdido la integridad. Esto
puede haber ocurrido accidentalmente o por medio de pruebas deliberada
manipulacin.
Recuerda esto
Analistas forenses a veces hacen una copia de la imagen a analizar, en lugar de
analizar la primera imagen que capturar. Si alguna vez tienen que verificar la
integridad de la copia, corren el mismo algoritmo hash en contra de ella.
Una vez ms, siempre y cuando el hash es el mismo, se conocen los datos
analizados es el mismo que los datos capturados.
El trfico de red y Logs
Una investigacin forense a menudo incluye un anlisis de trfico de red y los
registros disponibles. Esta informacin ayuda a los investigadores recrean
acontecimientos que condujeron a, y durante un incidente.
A modo de ejemplo, una organizacin puede querer probar que un equipo especfico
estuvo involucrado en un ataque. Una forma es para que coincida con la direccin
de control de acceso al medio (MAC) utilizado por el equipo atacante con un equipo
existente. La direccin MAC se asigna de forma permanente a una tarjeta de
interfaz de red, y a pesar de que el sistema operativo puede ser manipulado para
utilizar un MAC diferente, el MAC actual no se cambia. Por el contrario, la direccin
IP y el nombre de la computadora no se asignan de forma permanente, y es
relativamente fcil de cambiar.

Captulo 8 cubierto analizadores de protocolo, y la Figura 8.1 muestra una captura

con un paquete ampliado. Los datos dentro de los paquetes de identificar equipos
implicados en una conversacin en funcin de su direccin IP y su direccin MAC. Si
una captura de datos muestra una direccin MAC coincide con la direccin MAC real
de un equipo sospechoso, proporciona una fuerte indicacin de la computadora
estuvo involucrado en el ataque.

Recuerda esto
El trfico de red y los registros se pueden identificar los equipos y parte de su
actividad. Una forma de identificar los equipos que participan en los ataques es con
una direccin MAC. La direccin MAC es ms definitivo que una direccin IP o un
nombre de equipo.
Del mismo modo, si el ataque se produjo a travs de Internet, la direccin IP se
puede remontar de nuevo al Proveedor de servicios de Internet (ISP). Tema ISP
direcciones IP para los usuarios y los registros ISP identificar exactamente quin fue
emitida una direccin IP en un momento dado. Por ejemplo, cuando David Kernell
hacke la cuenta de correo electrnico de Yahoo de Sarah Palin en 2008, el ataque
fue rastreada rpidamente de nuevo a l sobre la base de su direccin IP.
Captulo 8 presenta informacin sobre los registros. Registros de registro lo que
ocurri durante un evento, cuando sucedi, y lo que cuenta se utiliz durante el
evento. Usted puede recordar que un registros de seguridad de inicio de sesin y
cierre de sesin eventos. Del mismo modo, muchas aplicaciones requieren que los
usuarios autenticarse y aplicaciones tambin registran sucesos de autenticacin.
Todos estos registros pueden ser muy valiosa en la recreacin de los detalles de un
evento despus de un incidente de seguridad, incluyendo la identidad de la cuenta
utilizada en el ataque.
Cadena de custodia
Una parte clave de la respuesta a incidentes est recogiendo y proteccin de
pruebas. Una cadena de custodia es un proceso que ofrece garantas de que la
evidencia ha sido controlada y manejadas adecuadamente despus de la
recoleccin. Los expertos forenses establecen una cadena de custodia cuando por
primera vez reunir pruebas.
Los profesionales de seguridad utilizan una forma de cadena de custodia para
documentar este control. La forma de cadena de custodia identifica que tena la
custodia de las pruebas y en la que se almacena todo el tiempo desde la coleccin.
Una cadena de custodia garantiza que la evidencia presentada en un tribunal de
justicia es la misma evidencia que las seguridades profesionales recogieron.

Como ejemplo, imagine que Bob recogi una unidad flash USB como parte de una
investigacin. Sin embargo, en lugar de establecer una cadena de custodia, que
simplemente almacena la unidad en su escritorio con la intencin de analizar al da
siguiente. Es posible que alguien podra modificar el contenido de la noche a la
maana unidad de disco USB? Absolutamente. En cambio, se debe establecer de
inmediato una cadena de custodia y bloquear la unidad en un lugar de
almacenamiento seguro.
Recuerda esto
Una cadena de custodia ofrece garantas de que la evidencia ha sido controlada y
manejadas adecuadamente despus de la recoleccin. Documenta que manej la
evidencia y cundo.
Si las pruebas no se controlan, puede ser modificado, alterado, o daado de otra
manera. Los tribunales descartan la evidencia inadmisible si hay una falta de
control adecuado, o incluso la falta de documentacin que demuestre que se
mantuvo un control adecuado. Sin embargo, la cadena de custodia demuestra que
la evidencia se ha manejado correctamente.

Captura de vdeo
Captulo 2 introducido mtodos de vigilancia de vdeo, tales como sistemas de
circuito cerrado de televisin (CCTV). Estos pueden ser usados como un control
detective durante una investigacin. Ellos proporcionan pruebas fiables de su
ubicacin y la actividad de una persona. Por ejemplo, si una persona est robando
equipo o datos, vdeo puede proporcionar la prueba.
Recuerdo a un estudiante de secundaria fue noches trabajando en una tienda de
comestibles. La tienda tena un suministro de cerveza en un tractor-remolque no
haban descargado an, pero mantienen una copia de seguridad de la plataforma
de carga tienda durante la noche. El estudiante rob varias cajas de cerveza
pensando que el crimen era indetectable. Sin embargo, toda la escena era grabado
en vdeo, y cuando l se present a trabajar a la noche siguiente, la tienda llam de
inmediato a la polica y proporcion una copia del video. El vdeo proporcionado
pruebas fiables de que simplemente no poda ser discutida.
Record Time Offset
En algunos casos, los tiempos se expresan con claridad, por lo que es fcil de
identificar el momento de un evento. Sin embargo, en otros casos el tiempo
visualizado se basa en un desplazamiento. Considere la figura 11.1.

En la figura, se puede identificar fcilmente las horas exactas en que se cre el

archivo, ltimo acceso, y se guarda. En este caso, la fecha es fcil de identificar
como 22 de julio de 2011. Sin embargo, en otros casos, el archivo est codificado.
Por ejemplo, Greenwich Mean Time (GMT) identifica el tiempo basado en la
ubicacin. Yo vivo en la zona de hora estndar del este (EST), para que pueda
expresar la ltima vez que se accede como 9:02 am EST. Sin embargo, GMT utiliza
un desplazamiento, por lo que al mismo tiempo es tambin 13:02 GMT.
Del mismo modo, muchos registradores utilizan desplazamientos de tiempo para
identificar veces en grabaciones en cinta en lugar de la hora real. Por ejemplo, una
grabacin puede utilizar un contador que se muestra para identificar el tiempo que
ha pasado desde que se inici la grabacin. Imagine que el contador avanza 1000
garrapatas o cuentas por hora. Si el contador indica un evento ocurri en un tiempo
de desplazamiento de 1500 y la grabacin comenz a la medianoche, entonces el
tiempo del evento fue la 1:30 am
Al analizar las marcas de tiempo de cualquier prueba, es importante entender que
estos tiempos se basan a menudo en un desplazamiento. Si no puede identificar el
desplazamiento, no puede ser capaz de identificar el tiempo real.
Imgenes / Screenshots
Imgenes son simplemente imgenes de lo que se muestra en la pantalla de un
ordenador. Si desea capturar exactamente lo que un usuario estaba haciendo, o
pantallas especficas, una captura de pantalla es la solucin perfecta.
Por ejemplo, la Figura 11.1, mostrado anteriormente, es una captura de pantalla de
Windows Explorer. Puede guardar imgenes como archivos grficos e incrustar
estos grficos en documentos. Muchos sistemas operativos incluyen la capacidad
de capturar la pantalla y guardarlo en el portapapeles. Por ejemplo, puede capturar
la pantalla de casi cualquier sistema pulsando la tecla Impr Pant encontrado en la
mayora de los teclados. Muchas aplicaciones como Snagit le permiten capturar
capturas de pantalla de las ventanas especficas o aplicaciones, cualquier regin de
la pantalla, e incluso ventanas de desplazamiento, como una pgina web de largo.
Testigos / Witnesses
Otro elemento de una investigacin est entrevistando a testigos. Los testigos de
primera mano proporcionan informes de lo que pas y cuando pas. Sin embargo,

los testigos no sern necesariamente presentar informacin relevante a menos que

se les pide. A menudo, los testigos no reconocen lo que la informacin es valiosa.
Por ejemplo, imagine que un atacante que tailgatedbehind un empleado sin mostrar
credenciales. El empleado puede notar, pero no le dan mucha importancia, sobre
todo si chupar rueda es comn en la organizacin. Si el ataque result en la prdida
de equipo o datos, un investigador puede obtener una buena descripcin del
atacante simplemente entrevistando a testigos.
Track Man Horas y Gastos / Track Man Hours and Expense
Las investigaciones pueden tomar una cantidad extraordinaria de tiempo y para
cualquier negocio, el tiempo es dinero. Cuando el tiempo de presupuesto alrededor
de los rollos, los departamentos que se pueden identificar con precisin la cantidad
de tiempo y dinero que gastaron tienen ms probabilidades de obtener su
presupuesto solicitado aprobado.
Adems, las evaluaciones de riesgo cuantitativas decisiones de base que utilizan los
importes monetarios especficos, como los valores de costo y de activos. Si un
incidente requiere la participacin de profesionales de la seguridad en un equipo de
respuesta a incidentes, las horas hombre y gastos incurridos por el equipo de
respuesta a incidentes debe ser incluido en la evaluacin. Incluyendo estos datos
mejora la precisin de los valores de costo utilizados en la evaluacin cuantitativa
de los riesgos.