domingo, 4 de julio de 2010

GRANDES DESAFIOS DE LA SEGURIDAD DE LA INFORMACIÓN: UN ANALISIS PROSPECTIVO


(Big Information Security Challenges: a prospective analisys)


RESUMEN

Internet es una herramienta poderosa para las empresas actuales y es importante entender los riesgos inherentes a la seguridad cuando se implementa esta tecnología. De acuerdo con algunas empresas de investigación y consultoría, la seguridad de la información seguirá siendo una preocupación ejecutiva durante al menos los próximos cinco años, debido a las nuevas olas tecnológicas que modificarán las medidas de seguridad existentes. Las constantes amenazas cibernéticas confirman que la seguridad informática continuará siendo desafiada en los siguientes años. Quizás los puntos más álgidos tengan que ver con los siguientes ítems: Comercio electrónico; Ciberterrorismo; las nuevas tecnologías inalámbricas; fallas en las legislaciones internacionales; insuficiencia del personal debidamente adiestrado en seguridad de la información; inmadurez del mercado de la seguridad de la información; desconocimiento de la alta gerencia de los riesgos inherentes al caso; crecimiento y complejidad de los ataques a las redes. No obstante, no todo está perdido, hay maneras de aplacar estos males si se hace énfasis en ello.


Palabras Clave: Seguridad Informática, Amenazas Cibernéticas, Prospectiva de la Seguridad de la Información, Ciberterrorismo.


ABSTRACT

The Internet is a powerful tool for business today and it is important to understand the inherent risks to security when implementing this technology. According to some research firms and consultancies, information security will remain an executive concern for at least the next five years due to new technological waves that alter existing security measures. The constant cyber threats confirm that computer security will continue to be challenged in the next few years. Perhaps the most height has to do with the following items: E-commerce; Cyberterrorism; the new wireless technologies; failures in international laws; lack of adequately trained personnel in information security; immaturity of the market for information security; Ignorance of the senior management of risks inherent in the case; growth and complexity of attacks on networks. Nevertheless, all is not lost, there are ways to placate these evils if it emphasizes.


Keywords: Computer Security, Cyber Threats, Foresight of Information Security, Cyberterrorism.


INTRODUCCIÓN

Internet es una herramienta poderosa para las empresas actuales y es importante entender los riesgos inherentes a la seguridad cuando se implementa esta tecnología.

En general, el área de la seguridad de datos ha sido desde hace mucho tiempo reconocida como de vital importancia en los sistemas empresariales, por el papel clave que tiene en la protección de los recursos pertenecientes a la organización y en asegurar que la organización cumpla con sus objetivos.


Históricamente, el énfasis se ha puesto en la protección de sistemas completos y en el endurecimiento de las comunicaciones entre los sistemas de confianza frente a las agresiones externas (Khadraoui y Herrmann, 2007).


Siguiendo el mismo orden de ideas, y de acuerdo con algunas empresas de investigación y consultoría, la seguridad de la información seguirá siendo una preocupación ejecutiva durante al menos los próximos cinco años, debido a las nuevas olas tecnológicas que modificarán las medidas de seguridad existentes.


A menudo solemos oír la frase “la seguridad es una cadena que siempre se rompe por el eslabón más débil”. La misión de cualquier responsable de Seguridad Informática es la gestión del riesgo sobre los sistemas de información que trata de proteger.


Pero, ¿se conocen exactamente cuáles son todos los eslabones para poder garantizar la seguridad de la cadena? La fase de análisis y la gestión de riesgos ayudarán a identificar todos los activos importantes para la seguridad de los sistemas de información, las amenazas que pueden afectarles, identificar la vulnerabilidad de cada uno de ellos frente a estas amenazas y calcular el riesgo existente de un posible impacto sobre el activo.



Con toda esta información, el responsable de seguridad puede tomar las decisiones pertinentes para implantar medidas de seguridad optimizando el factor riesgo-inversión. Pero no todo es tan sencillo, algunos gerentes todavía no han entendido que su activo más valioso (luego del talento humano), es la información. Y resulta que para cuando muchos de ellos se dan cuenta, ya es demasiado tarde. Las constantes amenazas cibernéticas confirman que la seguridad informática continuará siendo desafiada en los siguientes años.


Quizás los puntos más álgidos tengan que ver con los siguientes ítems: Comercio electrónico; Ciberterrorismo; las nuevas tecnologías inalámbricas; fallas en las legislaciones internacionales; insuficiencia del personal debidamente adiestrado en seguridad de la información; inmadurez del mercado de la seguridad de la información; desconocimiento de la alta gerencia de los riesgos inherentes al caso; crecimiento y complejidad de los ataques a

redes. No obstante, no todo está perdido, hay maneras de aplacar estos males si se hace énfasis en ello.


TEORIAS REFERIDAS A LA INVESTIGACIÓN


Las organizaciones, sus redes y sistemas de información, se enfrentan en forma creciente con amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio o inundación.


Daños tales como los ataques mediante virus informáticos, "hacking" y denegación de servicio se han vuelto más comunes, ambiciosos y crecientemente sofisticados, (Normas ISO-IEC 17799, 2005).


Pero habría que hacerse varias interrogantes a la hora de proteger un sistema informático y evaluar sus riesgos:


  1. ¿Qué puede ir mal?
  2. ¿Con qué frecuencia puede ocurrir?
  3. ¿Cuáles serían sus consecuencias?
  4. ¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?
  5. ¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, por cuánto tiempo?
  6. ¿Cuál es el costo de una hora sin procesar, un día, una semana…?
  7. ¿Cuánto tiempo se puede estar off-line sin que los clientes se vayan a la competencia?
  8. ¿Se tienen formas de detectar empleados deshonestos en el sistema?
  9. ¿Se tiene control sobre las operaciones en los distintos sistemas?
  10. ¿Son confiables las personas en su empresa, a qué grado?
  11. ¿A qué se llama información confidencial y/o sensitiva?
  12. ¿La información confidencial y/o sensitiva permanece así en los sistemas?
  13. ¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos actuales?
  14. ¿A quién se le permite usar que recurso?
  15. ¿Quién es el propietario del recurso?, y ¿Quién es el usuario con mayores privilegios sobre ese recurso?
  16. ¿Cuáles serán los privilegios y responsabilidades del Administrador vs. las del usuario?
  17. ¿Cómo se actuará si la seguridad es violada?


Cada empresa o institución necesitará medidas específicas para su caso, y sus evaluaciones de riesgos serán diferentes a otras, incluyendo empresas del mismo ramo pero que se desenvuelva en entornos diferentes.


No obstante, todavía hay que definir los niveles de riesgo, este quehacer diario para los administradores de seguridad representa grandes desafíos, sobretodo porque las amenazas se multiplican cada vez que surge una nueva tecnología.


Podemos clasificar los riesgos por su nivel de importancia y por la severidad de sus pérdidas:


1. Estimación del riesgo de pérdida del recurso (Ri)

2. Estimación de la importancia del recurso (Ii)

Para la cuantificación del riesgo de perder un recurso, es posible asignar un valor numérico de 0 a 10, tanto a la importancia del recurso (10 es el recurso de mayor importancia), como al riesgo de perderlo (10 es el riesgo más alto). El riesgo de un recurso será el producto de su importancia por el riesgo de perderlo. WRi= (Ri) * (Ii). Luego con la siguiente fórmula es posible calcular el riesgo general de los recursos de la red:


Ahora evaluemos el identificar las amenazas, una vez conocidos los riesgos, recursos que se deben proteger y como su daño o falta puede influir en la organización, es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Existe una relación directa entre amenaza y vulnerabilidad, a tal punto que si una no existe la otra tampoco. Se suelen dividir las amenazas según su ámbito de acción:


  • Desastre del entorno (Seguridad Física).
  • Amenazas del sistema (Seguridad lógica).
  • Amenazas en la red (Comunicaciones).
  • Amenazas de personas (Insiders – Outsiders).

En cuanto a la evaluación de costos, desde el punto de vista oficial el reto de responder la pregunta del valor de la información ha sido siempre difícil, y más difícil aún, hacer estos costos justificables, siguiendo el principio que, “Si desea justificarlo, debe darle un valor”. La evaluación de los costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades.


Un planteamiento posible consiste en analizar lo siguiente:

§ ¿Qué recursos se quieren proteger?

§ ¿De qué personas necesita proteger los recursos?

§ ¿Qué tan reales son las amenazas?

§ ¿Qué tan importante es el recurso?

§ ¿Qué medidas se pueden implantar para proteger sus bienes de una manera económica y segura?

Con estas sencillas preguntas (más la evaluación de riesgo), se debería conocer cuáles recursos vale la pena (y justificar su costo) proteger, y entender que algunos son más importantes que otros. El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor, invirtiendo menos de lo que vale.


Desafío 1. Comercio Electrónico:


Dentro de un tiempo relativamente corto, servicios de comercio electrónico han aumentado hasta convertirse en el núcleo de la Internet y el medio ambiente Web.


El éxito ha sido impulsado principalmente por las ventajas para el consumidor, tales como una mayor conveniencia y la posibilidad de hacer elección de sus productos, combinada con la reducción de los costos y servicios que se ofrecen.


Los resultados publicados por Forrester Research han indicado que las ventas al por menor en línea, sólo en los Estados Unidos superó $ 100 billones en 2003 (Johnson, Walker, Delhagen, & Wilson, 2004), lo que representa un 38% de aumento con respecto al año anterior.


Dado que el comercio electrónico es floreciente, uno puede tener la tentación de suponer que los aspectos de seguridad deben haber sido abordados y que el resultado es un medio ambiente de total confianza. Sin embargo, la evidencia sugiere que, como el uso del comercio electrónico aumenta, también lo hace el número de usuarios que enfrenta dificultades con el mismo.


Aunque este medio puede seguir adelante a pesar de estos problemas, los resultados de las encuestas también sugieren que una proporción considerable de los compradores no se deje intimidar por la seguridad relacionada con estos temas. Algunos ejemplos indicativos de tales conclusiones se enumeran a continuación:



  • El resultado de la encuesta PaymentOne (2003) puso de manifiesto las preocupaciones de seguridad, e indicó no ser el principal motivo que impedía a los consumidores de las tiendas en línea, realizar sus compras en el 70% de las respuestas. No obstante, el restante 30% si mostraba signos de temor al fraude, y ese número seguirá creciendo hasta tanto no se mejoren los sistemas de seguridad y se dé un blindaje absoluto a las compras online.
  • Una encuesta de 2003 realizada sobre 1212 consumidores, patrocinada por TRUSTe (2003), reveló que 49% de los encuestados limitaron sus compras en línea debido a temores sobre el uso indebido de su
    información personal.
  • Otro estudio de 2004 realizado por MailFrontier (2004), sugiere que el 29% de los internautas usuarios en los EE.UU., se evitaría compras en línea durante la temporada de fiestas como resultado de fraudes electrónicos.


Una vez establecido que los servicios de comercio electrónico son objetivos atractivos para el ataque, los debates ahora proceden a examinar la naturaleza de los problemas que puedan surgir, sin embargo, los operadores de servicios de comercio electrónico, también tienen una serie de amenazas de que preocuparse, y los fraudes relacionados con cuestiones de seguridad son sólo una parte de la historia.


Otros problemas potenciales incluyen código malicioso, diversas formas de piratería informática, y los asuntos derivados de la insuficiente atención a la seguridad. El desafío de la seguridad en el comercio electrónico proviene de que ahora quienes están siendo blanco de ataques son los sitios Web de mayores ventas online, tales como E-bay, CompraAmérica, MercadoLibre y muchos otros.



Resumen 1: podría plantearse entonces la necesidad imperativa de adaptar todas las plataformas tecnológicas necesarias al resguardo de sitios Web comerciales, lo cual implica cuantiosos gastos, además hay que añadir que, se necesita estar del lado del administrador del sistema de seguridad para saber a ciencia cierta, qué y cómo proteger el sistema.


Algunas aptitudes críticas a tomar en cuenta: el/los administradores de seguridad del sistema precisarían actuar en al menos 7 ámbitos:

§ Actuar sobre los servicios del comercio electrónico

§ Comprender la importancia de la disponibilidad de la información por parte del cliente, dónde, cuándo y como quiera.

§ Implementar seguridad del lado del cliente.

§ Implementar seguridad del lado del servidor.

§ Implementar seguridad en las aplicaciones.

§ Implementar la seguridad en el servidor de bases de datos.

§ Desarrollar una arquitectura de comercio electrónico


Nada fácil, esto requeriría personal altamente calificado, del cual carecemos en países como el nuestro, se necesitaría asesoría extranjera, y el sólo hecho de pensarlo ya nos incomoda. He aquí el primer desafío.


Desafío 2. Ciberterrorismo:


El ciberterrorismo quizás sea uno de los términos más malentendidos y malempleados en la era de la información. En términos generales, el ciberterrorismo es la ejecución de un ataque sorpresa por parte de un grupo (o persona) terrorista extranjero o subnacional con objetivo político utilizando tecnología informática e Internet para paralizar o desactivar las infraestructuras electrónicas y físicas de una nación, provocando de este modo la pérdida de servicios críticos, como energía eléctrica, sistemas de emergencia telefónica, sistemas bancarios, Internet y muchos otros (Dan Verton, 2004).


Tanto la Internet cableada como la inalámbrica, y el creciente número de enlaces e interdependencias que existen en el mundo informático moderno se han convertido en parte indefensa de nuestra red de defensa nacional.


Además, la globalización de las tecnologías de la información ha creado una carrera de armamentos en la guerra por la información internacional que no está sujeta ni a tratados ni a regímenes de control.


Expertos en ciberterrorismo de varios países señalaron que el riesgo de un ataque a gran escala a través de las redes informáticas es aún bajo, pero alertaron de que está creciendo "de forma espectacular". Es muy común hoy día ver noticias como esta: “Un joven indonesio fue condenado esta semana a tres años de cárcel por crear una página Web desde la que instaba a la realización de atentados terroristas”, informó la agencia de noticias Antara.


Ante este panorama, las estrategias de los estados, organizaciones e individuos deben orientarse a desarrollar sistemas de inteligencia estratégica de información (KHALSA 2004, CLARK 2004) en la industria, academia y gobierno de tal forma que puedan formular un sistema de simulación de escenarios previsibles, que preparen a todos los involucrados en los esquemas de contención y reacción ante una situación de falla parcial o total.


Estamos en medio de un sistema emergente altamente conectado e integrado, donde el concepto de territorialidad y límites de las naciones se hace difuso, que ante una falla de uno de sus componentes podemos advertir una emergencia o un desastre; ya las proporciones del mismo y sus impactos, corren por cuenta de todos nosotros y nuestras decisiones.


Resumen 2: En razón a lo anterior, el cibercrimen y el ciberterrorismo se convierten en sorpresas predecibles, y en firme aumento, que constantemente nos envían mensajes de su presencia, que sistemáticamente evadimos o ignoramos, aun teniendo elementos para evidenciar su presencia. Mientras no reconozcamos en la inseguridad de la información la fuente permanente de las fallas y fuente misma para aprender de la mente del terrorista o del intruso, estaremos avocados a enfrentar situaciones que pudimos haber prevenido y que ahora sólo debemos controlar o tratar. He aquí el desafío número 2.


Desafío 3. Las nuevas tecnologías inalámbricas:


Cada vez más son más los usuarios de computadoras que se interesan en la conveniencia y movilidad que brinda el acceso inalámbrico a Internet. Actualmente, las personas que viajan por negocios usan computadoras portátiles para mantenerse en contacto con sus oficinas; los turistas mandan fotos a sus amigos desde sus lugares de vacaciones y los compradores hacen sus pedidos cómodamente sentados en el sofá de sus casas. Una red inalámbrica (Wireless Network) puede conectar varias computadoras ubicadas en distintas partes de su casa o negocio sin enredos de cables y le permite trabajar en una computadora portátil desde cualquier lugar dentro del área de la red.


Debido a que las WLAN utilizan el aire como un medio para enviar y recibir información (y por tanto las señales están abiertas a cualquiera que pueda encontrarse en ese medio), la seguridad de la transmisión es muy importante para la seguridad de todo sistema. Sin una protección adecuada para la confidencialidad y la integridad de la información a medida que ésta viaja entre estaciones de trabajo y AP (Access Point), no puede haber mucha confianza en que la información no haya sido comprometida o en que las estaciones de trabajo y los AP no hayan sido reemplazados por un intruso.


No obstante, las tecnologías inalámbricas también crea nuevas amenazas y altera la seguridad de la información existente con respecto al perfil de riesgo. La seguridad inalámbrica se compone de 4 componentes:


1. La transmisión de la data utiliza radiofrecuencias

2. Los puntos de acceso que proporcionan una conexión a la red de la organización y / o la Internet

3. Dispositivos Cliente (portátiles, PDAs, etc);

4. Usuarios

Cada uno de estos componentes proporciona una vía para el ataque que puede resultar en el compromiso de uno o más de los tres objetivos fundamentales de seguridad, la confidencialidad, la integridad y la disponibilidad.


Resumen 3: Los problemas que surgen una vez conseguido el acceso a una red Wireless, son básicamente los mismos que si se accediese directamente a una red cableada, pero con la ventaja por parte del intruso de que no necesita conectarse físicamente a la red.


Pero si hay un ataque que ha tomado especial relevancia con las conexiones Wireless, ese es el secuestro de sesiones, o también conocido como Hijacking de sesión. Dentro del ámbito Web, y debido a la especificación del protocolo HTTP que no esta diseñado para guardar sesiones de usuarios, la implementación de cookies es el método que posibilita que los servidores puedan reconocer las peticiones de cada uno de los usuarios conectados, y así enviar la información asociada a cada uno de ellos.


Por tanto, una vez que un usuario se autentica, recibirá una cookie que utilizará el servidor para identificar al usuario. Si de alguna forma, un atacante consigue hacerse con esta cookie, podría conseguir enviar peticiones al servidor como si fuese el usuario autenticado.


Existen diferentes métodos que pueden permitir el robo de estas cookies, como por ejemplo XSS (CrossSite Scripting), MITM (Man in the Middle), errores en el navegador etc. Pero de entre todos, hay uno que destaca debido a la facilidad con la que se puede realizar, y es en redes Wireless donde se sitúa el ataque. Ahora surge también la pregunta, ¿Cómo proteger nuestra red inalámbrica contra tantas artimañas existente, tendríamos que convertirnos en expertos o traernos uno a casa? (y lógicamente esas no son las opciones). He aquí el desafío número 3.


Desafío 4. Fallas en las legislaciones internacionales.


El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha establecido la necesidad de regulación por parte del derecho.


En nuestro caso Venezuela, existe la “Ley Especial Contra los Delitos Informáticos”, de fecha 30 de Octubre de 2001, la cual sólo contiene 33 artículos (deja por cierto una brecha muy grande para la impunidad de los hackers) estableciendo una prisión máxima de 2 a 6 años cuando se cometan delitos tipificados en ella. Pero en esta delincuencia se trata con especialistas capaces de efectuar el crimen y borrar toda huella de los hechos, resultando, muchas veces, imposible de deducir cómo se realizó dicho delito.


La Informática reúne características que la convierten en un medio idóneo para la comisión de nuevos tipos de delitos que en gran parte del mundo ni siquiera han podido ser catalogados.

La legislación sobre sistemas informáticos debería perseguir acercarse lo más posible a los distintos medios de protección ya existentes, pero creando una nueva regulación basada en los aspectos del objeto a proteger: la información.


En este punto debe hacerse énfasis y anotar lo siguiente:

  • No es la computadora la que atenta contra el hombre, es el hombre el que encontró una nueva herramienta, quizás la más poderosa hasta el momento, para delinquir.
  • No es la computadora la que afecta nuestra vida privada, sino el aprovechamiento que hacen ciertos individuos de los datos que ellas contienen.
  • La humanidad no está frente al peligro de la informática sino frente a individuos sin escrúpulos con aspiraciones de obtener el poder que significa el conocimiento.
  • Por eso la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas.
  • La protección de los sistemas informáticos puede abordarse desde distintas perspectivas: civil, comercial o administrativa.


Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y, todo lo contrario, lograr una protección global desde los distintos sectores para alcanzar cierta eficiencia en la defensa de estos sistemas informáticos.


Leyes Penales en Estados Unidos:


El derecho penal en Estados Unidos de Norteamérica conforma el fundamento para las investigaciones de delitos por computadoras llevadas a cabo por las autoridades federales (principalmente el FBI y el Servicio Secreto). Mientras que el 18 US Code 1030 es el decreto o ley principal contra los delitos computacionales.


Abuso y Fraude por Computadora: la sección a-) de la ley define el delito como el acceso intencional a una computadora sin la autorización para hacerlo. Por cierto que esta misma ley deja entrever que no se prohíbe específicamente obtener acceso a una computadora si el daño que se le hace no excede los 5.000 dólares. Sí así como está pensando, un intruso puede obtener acceso a las computadoras que quiera siempre que los daños que cause no sobrepasen esta suma (Eric Maiwald, 2003).


Fraude con Tarjetas de Crédito: El (18 US Code 1029), esta ley considera un delito apoderarse de 15 o más tarjetas de crédito falsificadas. Un ataque a un sistema de cómputo que permite que el intruso obtenga acceso a una gran cantidad de números de tarjetas de crédito para lo cual no tiene acceso autorizado es una violación a esta ley. Podría entenderse que cualquiera que se apodere de 10 tarjetas de crédito falsificadas no estaría cometiendo delito alguno, según esta ley.


Intercepción (18 Code 2511): El 18 US Code 2511 es una ley contra la intervención de las comunicaciones: Esta ley prohíbe la intercepción de llamadas telefónicas y otros tipos de comunicación electrónica, y evita que los agentes de la ley hagan uso de la intervención sin una orden judicial. No obstante, un intruso en un sistema de cómputo que coloca un “rastreador” en el sistema, probablemente este violando esta ley.

La lectura de esta ley también puede indicar que ciertos tipos de seguimientos realizados por las organizaciones puedan ser ilegales. Por ejemplo, si una organización coloca equipo de seguimiento o monitoreo en su red para examinar el correo electrónico o para vigilar los intentos de intrusión, ¿Constituye esto una violación a esta Ley?


Brasil: Tiene identificados dos delitos: la introducción de datos falsos en el sistema de información y la modificación o alteración no autorizadas de un sistema de información. Ambos están dirigidos a los empleados de organizaciones que hacen mal uso de su acceso para cometer un delito.


India: La manipulación de sistemas computacionales ajenos (“hacking”) con un sistema de cómputo esta tipificado como un delito en la India. Para ser culpable de este delito un individuo debe estar involucrado en la destrucción, eliminación o alteración de información en un sistema de cómputo de manera que reduzca su valor. El individuo también debe haber hecho el intento de causar daño, o debe saber que probablemente se iba a provocar un daño.

República Popular de China: El decreto número 147 del Consejo Estatal de la República Popular de China, del 18 de febrero de 1994, define dos delitos computacionales. El primero es la introducción deliberada de un virus de computadora en un sistema de cómputo. El segundo es la venta de productos especiales de protección de seguridad de computadoras sin permiso.


Resumen 4: De la examinación de estas leyes surge la incógnita, ¿Cómo combatir el delito informático en este mundo globalizado, cuando lo que es delito en un país no lo es en otro? He aquí el desafío número 4.


Desafío 5. Insuficiencia de personal debidamente adiestrado en seguridad de la información: La necesidad de proteger los recursos de información ha producido una demanda de profesionales de la seguridad. Junto con esta demanda será necesario velar por que estos profesionales posean los conocimientos precisos para desempeñar las funciones laborales.

Por todo esto se hace indispensable darles a nuestros empleados y usuarios de nuestros sistemas la formación necesaria para que cuando una de estas amenazas se materialice sepan cómo reaccionar.


El primer muro defensivo ante los nuevos riesgos tecnológicos somos nosotros mismos. Si conocemos el problema sabremos cómo solucionarlo, o al menos identificaremos que se trata de una amenaza y que tenemos que avisar al responsable de seguridad.

El otro factor importantísimo es la concienciación, que no es lo mismo que la formación: es más peligroso un usuario sin concienciación que un usuario sin formación.


Resumen 5: Después de leer el párrafo anterior surge la interrogante, ¿Cómo crear, entrenar, concienciar, o formar un personal en seguridad de la información cuando los pensum de estudio en universidades Venezolanas no incluyen a la seguridad informática, como materia dentro de su contenido? He aquí el quinto desafío.



REFERENCIAS BIBLIOGRÁFICAS

http://www.cgsi.com.ve/ (consultoría de seguridad informática)

http://www.forrester.com/rb/research

http://www.laflecha.net/canales/blackhats/noticias/un-joven-indonesio-encarcelado-por-crear-una-web-de-instigacion-al-terrorismo

www.segu-info.com.ar

§ Maiwald, Eric. Fundamentos de seguridad de redes. Segunda Edición. México, D.F. McGraw Hill. 2005. 473 p. ISBN: 9701046242.


§ O´Dea, Michael. Claves hacker’s en Windows. Primera Edición. Madrid España. McGraw Hill. 2003. 310 p. ISBN: 0072227850.

§ Stuttard, Dafydd y Pinto, Marcus. The Web Application Hacker’s Handbook. Primera Edición. Indianapolis, Indiana, EE.UU. Wiley Publishing, Inc. 2008. 773 p. ISBN: 9780470170779.


§ Verton, Dan. Black Ice “La amenaza invisible del ciberterrorismo”. Primera Edición. Madrid España. McGraw Hill. 2004. 295 p. ISBN: 0072227877.


§ Warkentin, Merrill. Enterprise Information System Assurance and System Security.

§ CCSP Secure Intrusion Detection and Safe Implementation, Autores varios.


§ CISSP: Maximum Security: A Hackers Guide to Protecting Your Internet Site and Network


§ Departamento de Justicia EE.UU. FBI. Forensic Examination of Digital Evidence.

§ Hakin9 Magazines


§ Harwood, Emily. Digital CCTV. Segunda Edición. Indianapolis, Indiana, EE.UU. Wiley Publishing, Inc. 2004. 606 p. ISBN-10: 0-471-87457-2.


§ Johnston, Alan B y Sinnreich, Henry. Internet Communications Using SIP. Segunda Edición. Indianapolis, Indiana, EE.UU. Wiley Publishing, Inc. 2006. 409 p. ISBN-10: 0-471-77657-2.


§ Joseph Davies y Northrup Tony. Windows Server 2008 Networking and Network Access Protection (NAP). Primera Edición. Redmond, Washington, EE.UU. 2008. 874 p. ISBN: 2007940507.


§ Khadraoui, Djamel. Advances in Enterprise Information Technologies Security.


§ Krutzand Russell, Ronald y Vines L. Dean. The CISSP and CAP Prep Guide: Platinum Edition. Primera Edición. Indianapolis, Indiana, EE.UU. Wiley Publishing, Inc. 2007. 1270 p. ISBN-10: 0470007923.


§ Larson, Robert. CCSP Cisco Certified Security Professional Guide. Primera Edición. Cisco Press. 2007.



No hay comentarios:

Publicar un comentario

Escriba aquí su comentario.. Gracias...