Universidad de Colima Facultad de Telemática

Transcripción

1 Universidad de Colima Facultad de Telemática ANÁLISIS E IMPLEMENTACIÓN DE UN ESQUEMA DE SEGURIDAD EN REDES PARA LA UNIVERSIDAD DE COLIMA TESIS Que para obtener el grado de MAESTRO EN CIENCIAS, AREA TELEMATICA Presenta Ing. Aaron Clemente Lacayo Arzú Asesor M.C. Raymundo Buenrostro Mariscal Colima, Colima Julio de 2004

2

3 Dedicatoria A Dios. Por darme la fuerza espiritual que siempre le pedí para llegar a mis metas. A mi Padre, Antonio Lacayo García, que en paz descanse. Por que siempre me aconsejo y me indico el buen camino. Te Amo, Papa, que Dios te tenga en su gloria. A mi Madre, Bertha Isabel Arzú Cacho Por estar siempre apoyándome y darme aliento para seguir adelante. Te Amo, madre, que Dios te bendiga. A mis hermanos Por creer en mí y motivarme a seguir adelante. A Patricia Alejandra Tabora Motiño. Mi linda. Por su inmenso amor y cariño Te Amo. Al Gobierno de México Porque esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México Muchas gracias por darme la oportunidad de completar mis estudios de maestría.

4 Agradecimiento Luego de un largo período y esfuerzo doy por terminada la Maestría en Ciencias Área Telemática, por lo que deseo agradecer a todos los que día a día me brindaron su apoyo incondicional. Primeramente deseo darle gracias a Dios, por todas las bendiciones derramadas en mi vida y principalmente por toda la fortaleza que obtuve y que hoy me permite culminar una etapa importante en mi vida. A mi familia, que me ha brindado apoyo y motivación constante para poder enfrentar este reto tan importante para mi bienestar personal y profesional. A la MAE. Patricia Alejandra Tábora Motiño por su tutoría constante en el desarrollo de la investigación. Al M.C. Raymundo Buenrostro por su apoyo incondicional para sacar adelante la investigación. A todos y cada uno de los profesores que participaron en el programa de la maestría por sus enseñanzas, su comprensión y disponibilidad. Al personal de la Dirección General de Servicios Telemáticos de la Universidad de Colima, por su apoyo y aportaciones. Al Gobierno de México, por permitirme culminar mis estudios gracias a la beca otorgada por la Secretaría de Relaciones Exteriores. y a todas y cada una de las personas que han estado a mi lado y me han brindado apoyo y palabras de aliento.

5 Resumen La seguridad informática requiere no solo de recursos tecnológicos, sino también de procesos y recursos humanos capacitados y especializados, esta meta es difícil de alcanzar pues existe un constante cambio, ya que día a día se descubren nuevas vulnerabilidades, nuevos tipos de ataques y nuevos parches que aplicar a los sistemas institucionales, convirtiendo la operación de la seguridad en una tarea sumamente compleja y demandante. El presente documento es sobre el desarrollo de la seguridad informática en la Intranet Universitaria, considerando las amenazas de seguridad desde perspectivas diferentes para permitir de esta forma conocer algunos riesgos que pueden afectar a la institución, así como determinar el nivel de madurez de la seguridad informática con relación al estándar ISO/17799, además se presentan una serie de lineamientos que la Dirección General de Servicios Telemáticos tiene que seguir para la adecuada implementación del plan táctico que se propone en la presente investigación.

6 Abstract Not only does computer security require technological resources, but also processes combined with trained and specialized human resources. Due to constant changes this goal is difficult to achieve, since new forms of vulnerability are discovered on a daily basis, along with new kinds of attack and new patches to be applied in institutional systems, hence turning the operation of security into a highly complex and demanding task. This research project deals with the development of computer security in the university Intranet, taking into consideration security threats from different perspectives so as to identify some risks which could affect the institution. This project also intends to determine the level of maturity regarding computer security in relation to the ISO/17799 standard, in addition to presenting the guidelines that the General Department of Telematic Services has to follow to properly implement the tactic proposed in this research project.

7 INDICE DE CONTENIDO CONTENIDO... Pagina Introducción ii Descripción de la Problemática... iii Objetivo General... iv Metas y Alcances... iv Justificación..iv Capitulo 1: Seguridad Informática Antecedentes de la Seguridad Estándares de Seguridad en Redes Estándar BS Estándar ISO/ La Seguridad en Redes Tipos de Ataques y Amenazas Amenazas Internas Amenazas Externas Reconocimiento Acceso no Autorizado Denegación de Servicios Mecanismos de Seguridad Roles de los Mecanismos de Seguridad en Redes Seguridad Perimetral Control de Rutas Permitidas Detección de Intrusión Políticas de Seguridad Selección de Controles Puntos de Inicio para la Política de Seguridad Informática Factores Críticos de Éxito Documento de la Política de Seguridad Informática... 44

8 1.6.5 Revisiones y Evaluaciones Coordinación de la Seguridad Informática Controles de Autorización para la Asignación de Recursos de Seguridad Informática Consejo de un especialista en seguridad informática Coordinación entre organizaciones Verificación independiente de la Política de seguridad informática Errores en la Planificación de la Seguridad Informática Capitulo 2: Contextualización y Análisis de Vulnerabilidades Marco Metodológico Levantamiento Información Análisis de Vulnerabilidades Análisis de Riesgos Plan táctico de seguridad Introducción al desarrollo de la metodología Contextualización Redes y Comunicaciones Servicio Electrónicos de Intranet Seguridad Perimetral Zona de Internet Zona de Red Interna Zona Militarizada Zona Desmilitarizada Estructura General de cada Campus Infraestructura Tecnológica evaluada Descripción de las pruebas Pruebas Internas Pruebas Externas Ejecución del Análisis de Vulnerabilidades Ejecución de las pruebas... 81

9 2.5.3 Dispositivos de Comunicación Firewalls Herramientas Utilizadas Análisis de Pruebas Generación de reportes Interpretación de los resultados Hallazgos Internos Hallazgos Externos Capitulo 3: Análisis de Riesgos Administración de Riesgos Valoración de riesgos Mitigación de Riesgos Desarrollo del Análisis de Riesgos Priorización de Riesgos Priorización de Controles Priorización de Actividades Controles de DIGESET respecto a las mejores prácticas Nivel de madurez de los controles de Seguridad Informática con base en el estándar ISO Resultados Consolidados Mejoras a Corto Plazo Capitulo 4: Plan Táctico de Seguridad Informática Objetivo del Plan Táctico de Seguridad Informática para DIGESET Descripción General del Plan Táctico de Seguridad Informática Preparación Operación Optimización Estructura operativa del plan táctico Desarrollo de la línea táctica de funciones de seguridad

10 Antecedentes Objetivos de la línea táctica funciones de segurida Departamento de seguridad Informática Beneficios Alcance Actividades Resultados esperados de la línea táctica funciones de seguridad Desarrollo de la línea táctica Políticas de Seguridad Antecedentes Objetivo del desarrollo de las políticas de seguridad Beneficios Alcance Actividades Políticas propuestas Desarrollo de la línea táctica programa de concienciación Antecedentes Objetivo del desarrollo de la línea táctica Beneficios Alcance Actividades Resultados esperados de la línea táctica de concienciación Desarrollo de la línea táctica arquitectura tecnológica Antecedentes Objetivo Alcances Elementos administrados Actividades propuestas Resultados esperados de la línea táctica de arquitectura tecnológica Factores críticos de éxito 161 Capitulo 5: Conclusiones Y Recomendaciones Bibliografía...169

11 Glosario..172 Anexos.183

12 ÍNDICE DE TABLAS Y FIGURAS Tabla 1.1 Incidentes de Delito Informático. 4 Figura 1.1. Diez puntos claves para el contexto de ISO/ Figura 1.2. Representación de los tipos de intrusos en una red..21 Figura 1.3. Muestra los posibles intrusos en una Intranet...24 Figura 1.4. Proceso normal de Acuerdo en Tres Fases..31 Figura 2.1. Metodología de la Investigación..52 Figura 2.2. Algunos servicios que proporciona DIGESET 60 Tabla 2.1. Ubicación y modelo de los conmutadores.63 Figura 2.3. Diagrama General de la red Telefónica 64 Figura 2.4. Organigrama de DIGESET...65 Figura 2.5. Diagrama de la seguridad perimetral de DIGESET..69 Figura 2.6. Diagrama general de los campus de la Universidad de Colima 73 Tabla 2.2. Enlaces de la Universidad de Colima.74 Figura 2.7. Diagrama del campus Colima 77 Tabla 2.3 Equipos críticos incluidos en el análisis de vulnerabilidades...79 Tabla 2.4. Grupo de pruebas aplicadas a los servidores Windows Tabla 2.5. Grupo de pruebas aplicadas a los servidores Unix..83 Tabla 2.6. Grupo de pruebas aplicadas a dispositivos de comunicación..83 Tabla 2.7. Grupo de pruebas aplicadas al cortafuego..84 Tabla 2.8. Herramientas utilizadas en el análisis de vulnerabilidades.85 Tabla 2.9. Clasificación de vulnerabilidades 86 Figura 2.8. Porcentaje de vulnerabilidades en servidores Windows Figura 2.9. Porcentaje de vulnerabilidades en servidores Unix 89 Figura Porcentaje de vulnerabilidades en dispositivos de comunicación 90 Figura Porcentaje de vulnerabilidades externas...90 Figura 3.1. Cuatro actividades de la administración de riesgos 94 Figura 3.2. Espectro de riesgos.95 Tabla 3.1. Información de los hallazgos encontrados en DIGESET Figura 3.3. Priorización grafica de los hallazgos 108

13 Figura 3.4. Relación tiempo y costo de los controles de seguridad 109 Figura 3.5. Representación grafica de la priorización de actividades 110 Tabla 3.2. Niveles de madurez con base al estándar ISO/ Tabla 3.3. Resultados de los niveles de madurez de DIGESET.117 Figura 4.1. Diagrama conceptual del plan táctico de seguridad.125 Figura 4.2. Relación de las etapas del modelo de operación Figura 4.3. Relación del plan táctico con el modelo de operación Figura 4.4. Organigrama de DIGESET con el departamento de seguridad Tabla 4.1. Dispositivos parte de la administración de seguridad Figura 4.4. Actividades propuestas para la administración de seguridad...158

14 Tabla de Contenido Introducción... ii Descripción de la Problemática...iii Objetivo... iv Metas y Alcances... iv Justificación... iv

15 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima Introducción La Dirección General de Servicios Telemáticos (DIGESET) tiene como objetivo ofrecer servicios de telecomunicaciones e informática, para apoyar las actividades mas importantes del área de comunicación de la universidad de Colima a través de la investigación y modernización de la infraestructura Intranet universitaria. Otro objetivo, es la vinculación de las dependencias de la Universidad de Colima con otras instituciones, brindando asesorías, propiciando la transferencia de conocimiento y tecnología. Además, busca impulsar la venta de servicios electrónicos en la comunidad universitaria para tener una fuente alterna de financiamiento que permita apoyar las inversiones en capacitación, recursos humanos e infraestructura de la dirección (Telemáticos, 2002). La DIGESET para cumplir con los objetivos planteados gestiona proyectos que permitan incrementar y modernizar las tecnologías de información de la institución. Entre ellos se tienen el PIFI, PROMEP, PRONAD e internos(telemáticos, 2002). La Universidad de Colima incorporó a su Intranet 1200 equipos de cómputo, con una inversión que superó los 12 millones de pesos, donde el 20% fueron adquiridas con recursos propios. En el año 2002 la Universidad instalo 28 redes y a la fecha se cuenta con 4423 equipos conectadas a Internet. Se ha incrementado la capacidad del enlace que une los campus de Coquimatlán y Villa de Álvarez. La universidad de colima se coloca como una de las universidades estatales de México con tecnología de vanguardia y es una institución compuesta por varias delegaciones regionales en una red Intranet, que hace uso de muchas aplicaciones a través de Internet, permitiendo a los alumnos y profesores estar en contacto con el mundo de la información en línea.(telemáticos, 2002). DIGESET incrementa su capacidad de ancho de banda de Internet de 4 Mbps a 34 Mbps y coloca su enlace de 2 Mbps al backbone de Internet 2, este crecimiento que se Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México ii

16 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima observa en la Universidad de Colima, trae consigo el incremento del uso de Internet y el surgimiento de nuevas tecnologías, dando lugar a nuevos retos, uno de esos retos es el mantenimiento de la seguridad e integridad de la información y servicios de las redes informáticas, a través de procedimientos bien definidos que permitan disminuir las vulnerabilidades, dicho en otras palabras, la Universidad de Colima está a la vanguardia con la aplicación de esta tecnología, pero al mismo tiempo está expuesta a nuevas vulnerabilidades que se pueden convertir en problemas si no se tratan a tiempo y con el debido procedimiento. Descripción de la Problemática Actualmente la Universidad de Colima se ha preocupado por la seguridad e integridad de la información y servicios contenidos en su Intranet, por lo que ha invertido una fuerte cantidad de dinero en equipos y aplicaciones que ayudan a disminuir las vulnerabilidades de seguridad. Esta inversión a logrado incrementar el nivel de seguridad pero no al grado que la institución requiere y esto se debe principalmente a que estos equipos y aplicaciones no están funcionando a un cien por ciento, además la falta de algunos elementos entre los que se pueden mencionar: Políticas oficializadas Procedimientos, Reglas de seguridad y Monitoreo constante de la información que proporcionan los equipos y aplicaciones. Por lo tanto DIGESET requiere de una planificación que involucre los puntos anteriormente expuestos a través de un plan de táctico de seguridad informática para las funciones críticas. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México iii

17 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima Objetivo Analizar el esquema actual de seguridad informática utilizado para la Intranet de la Dirección General de Servicios Telemáticos, con el fin de mejorarlo a través de un plan táctico que de solución a los puntos expuestos en la problemática. Metas y Alcances Generar las políticas de seguridad para las áreas del nodo principal de la Intranet. Establecer las mejoras necesarias para la correcta operación los equipos y sistemas de seguridad, con el objetivo de proteger la Intranet universitaria de intrusos internos y externos, especialmente aquellos de misión crítica del nodo principal y así lograr un nivel de seguridad que evite las potenciales perdidas tangibles o intangibles de la información en la red universitaria. Establecer una serie de lineamientos para el personal responsable del área de seguridad informática, dando a conocer las amenazas y vulnerabilidades que surgen día a día en la tecnología, con la única finalidad de capacitar al personal para vigilar y mantener la integridad de la Intranet. Justificación Los sistemas de información de hoy en día están relacionados en un 100% con la exposición de la información a entidades externas que son ajenas a la organización o delegación a la que pertenecen. La Universidad de Colima esta compuesta por muchas delegaciones y dependencias, cada una de ellas tienen sistemas de información independientes que hacen uso de la red externa (Internet) e interna (Intranet). Esto los Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México iv

18 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima hace vulnerables a eventos de amenazas que conllevan a riesgos que pueden provocar perdidas tangible e intangibles, para evitar estas perdidas que en muchos de los casos serán monetarias, se requiere del planteamiento de un esquema de seguridad que no solo contemple elementos técnicos que comúnmente encontramos en el mundo de la seguridad informática, sino que establezca una base sólida para el establecimiento de controles, políticas y proyectos de seguridad que administren el ciclo de vida de la seguridad informática. DIGESET es la dependencia encargada de la distribución y administración de la red externa e interna de la Universidad de Colima, por lo tanto, será el objeto de estudio de la investigación. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México v

19 Tabla de Contenido 1.1 Antecedentes de la Seguridad Informática Estándares de Seguridad en Redes Estándar BS Estándar ISO/ La Seguridad en Redes Tipos de Ataques y Amenazas Amenazas Internas Amenazas Externas Reconocimiento Acceso no Autorizado Denegación de Servicios Mecanismos de Seguridad Roles de los Mecanismos de Seguridad en Redes Seguridad Perimetral Control de Rutas Permitidas Detección de Intrusión Políticas de Seguridad Selección de Controles Puntos de Inicio para la Política de Seguridad Informática Factores Críticos de Éxito Documento de la Política de Seguridad Informática Revisiones y Evaluaciones Coordinación de la Seguridad Informática Controles de Autorización para la Asignación de Recursos de Seguridad Informática Consejo de un especialista en seguridad informática Coordinación entre organizaciones Verificación independiente de la Política de seguridad informática Errores en la Planificación de la Seguridad Informática... 48

20 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima 1.1 Antecedentes de la Seguridad Informática No se puede proponer un esquema de seguridad sin antes de hablar de algunos antecedentes trascendentales que determinaron la importancia de la seguridad informática. Al mismo tiempo es necesario definir qué es la seguridad informática, los elementos que intervienen en la seguridad y las diferentes tecnologías existentes para asegurar la información y los servicios de una red informática. El departamento de defensa de los Estados Unidos da los primeros pasos en cuestión de seguridad, cuando en 1967, la unidad de Defensa Científica concentro sus esfuerzos en un sistema de seguridad que salvaguardara la información confidencial que los sistemas de acceso remoto compartían. Como resultado de la aplicación de este nuevo sistema en febrero de 1970 se pública Controles de Seguridad para los Sistemas de Cómputo, el cual era un reporte de una serie de políticas y recomendaciones técnicas en las prácticas cotidianas de los sistemas de computo para reducir las amenazas que comprometían la seguridad de la información confidencial (Latham, 1985). En 1972 y 1973 se publicaron las primeras recomendaciones de políticas uniformes, requerimientos de seguridad, controles administrativos y medidas de seguridad técnica, para la protección de la información confidencial procesada por un sistema de cómputo. A mediados de los años setenta, la fuerza aérea, la agencia de proyectos de investigación avanzada y otras agencias de defensa, llevaron acabo investigaciones y desarrollo de algunas soluciones para los problemas técnicos que conlleva el control del flujo de información en los recursos de los sistemas de computo (Latham, 1985). La iniciativa del departamento de defensa acerca de la seguridad en sistemas de computo inicia en 1977, con el auspicio de la secretaria de defensa para la investigación e ingeniería. Actualmente este departamento se dirige a los asuntos de seguridad en computo liderando a la NBS (Nacional Bureau of Standards) en la definición de problemas y soluciones para la construcción, evaluación, y auditoria de sistemas de computo. Como parte de este trabajo la NBS posee dos áreas de trabajo que son complementarias, estas Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 2

21 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima son la auditoria y la evaluación de seguridad en computo. La primera fue constituida en marzo de 1977 y la segunda en noviembre de Uno de los resultados del trabajo realizado en la evaluación fue un reporte definitivo sobre los problemas relacionados a los criterios de evaluación y efectividad de técnicas de seguridad en cómputo. A consecuencia de las recomendaciones publicadas en este reporte y soportando la iniciativa del departamento de defensa, la corporación MITRE empieza a trabajar en criterios de evaluación de seguridad en computo que contribuían a determinar el grado de confianza que un sistema de seguridad podría tener al momento de proteger la información confidencial. En 1981 nace en los Estados Unidos el Centro de Seguridad en Computo para dotarse de personal y expandir el trabajo iniciado por el área de ingeniería e Investigación del departamento de defensa (Latham, 1985). En agosto de 1985 el Centro de Seguridad en Computo del Departamento de Defensa cambio su nombre a Centro Nacional de Seguridad en Computo. El concepto de seguridad de redes no es nuevo cuando en 1974 surgen las primeras conexiones que posteriormente dieron origen al Internet. Su crecimiento exponencial dio lugar a las primeras aplicaciones comerciales que permitían al usuario intercambiar información y con ella el crecimiento de posibles atacantes que día a día comprometían el funcionamiento de las redes de computadoras. Hasta ese momento la seguridad no era importante para los administradores de redes y es hasta el 2 de mayo de 1987, cuando dos hackers alemanes ingresan sin autorización al sistema central de investigaciones aeroespaciales mas grande del mundo, la NASA (Villalón Huerta, 2000). Aun cuando no destruyeron ni robaron información, estos dos jóvenes demostraron lo vulnerable que puede llegar a ser el sistema informático de la agencia espacial. Por otro lado, en 1988 Robert Morris propicia el primer incidente de perdida de información debido a que uno de sus programas denominado worm o gusano, invadió gran parte de las computadoras a través del navegador en Internet, imposibilitando durante días a más de 6000 sistemas dañados o perjudicados. Es después de estos y otros acontecimientos que surge la preocupación de los administradores por la seguridad en redes. La tabla 1.1 presenta algunos eventos de delito informático. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 3

22 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima Fecha Autor(es) Virus Descripcion Impacto Castigo May-87 Wau Holland y Ninguno Steffer Wenery Ingresaron sin autorización al sistema de investigaciones de la NASA. No destruyeron, no robaron información. Pero pone en estredicho la seguridad de la agencia espacial. Nov-88 Robert Morris Gusano Morris lanzó un gusano diseñado por el mismo para navegar en internet y mutiplicarse por si solo, causando sobreutilización de recursos de la maquina. Causó consumo de los recursos de muchisimas maquinas y que mas de 6000 sistemas resultaron dañados o fueron seriamente perjudicados. Significó días de productividad perdidos y millones de dólares. Fue condenado y sentenciado a tres años de libertad condicional, 400 horas de servicio comunitario y US $10,000 de fianza, bajo el cargo de fraude computacional y abuso. Ene-86 Herber Zinn (Shadowhack) Zinn tenía 17 años cuando violó el acceso a AT&T y los sistemas del departamento de defensa. Destruyó el equivalente a US$174,000 en archivos y copias de programas valorados en millones de dólares. Publicó contraseñas e instrucciones de cómo violar la seguridad de los sistemas computacionales. Fue el primer sentenciado bajo el cargo de fraude Computacional y Abuso. Fue sentenciado a 9 meses de carcel y a una fianza de US $10,000. No registrado David Smith Melissa Detenido por la FBI, junto con los ingenieros de American Online. Se le acuso de bloquear las comunicaciones públicas y dañar los sistemas informáticos. Crea el Virus Melissa, Esta en espera de su que consiguió condena, puede contaminar a más de enfrentar 10 años de 100,000 computadoras carcel. Esta en en todo el mundo. libertad bajo fianza de Afectó en forma 10,000 dólares. sustancial buzones de millones de usuarios que utilizaban el Outlook Express. Tabla 1.1. Incidentes de Delito Informático A raíz de estos incidentes el 17 de Noviembre de 1988, la agencia DARPA (Defense Advanced Research projects Agency) creó el CERT 1 (Equipo de respuestas a incidentes de Seguridad en Computo), un grupo formado en su mayoría por voluntarios calificados de la comunidad informática, con el objetivo de proporcionar a soluciones rápidas a los problemas de seguridad que se presenten en los host de Internet. Este organismo se encarga de divulgar las noticias de seguridad de redes mas recientes, así como las vulnerabilidades más importantes de las aplicaciones, sistemas operativos y productos. Hoy por hoy, CERT cumple 15 años de proporcionar servicio a las organizaciones que 1 CERT en ingles significa Computer Emergency Response Team Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 4

23 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima se han visto afectadas por incidentes de delito informático, convirtiéndose en la institución que más publicaciones de seguridad ha realizado (Artigas, 2003). Hay otras organizaciones que se dedican a la investigación de soluciones de seguridad, tal es el caso de SANS 2 (SysAdmin, Audit, Network, Security); la cual se dedica a la investigación, certificación y capacitación de profesionales que sean capaces de diseñar soluciones de seguridad. Esta institución fue creada en 1989 en respuesta a los incidentes de delito informático que se suscitaron a causa del crecimiento exponencial de Internet. SANS, cuenta con mas de 156,000 profesionales (seguridad, auditores, administradores de sistemas y administradores) que comparten experiencias vividas con respecto a la solución de nuevos retos que emergen del mundo de la seguridad. En el corazón de esta institución se encuentran agencias de gobierno, corporaciones y universidades de todo el mundo que invierten miles de horas anualmente en la investigación y capacitación para apoyar a la comunidad de la seguridad informática. Todas las instituciones anteriormente mencionadas se dedican a la publicación o divulgación de los incidentes de delito informático que se presentan en las organizaciones con aplicaciones de comercio electrónico. En vista de que la mayoría de los ataques son realizados en Internet o bien en una Intranet, CERT cuenta con una Centro de Coordinación (CERT/CC) el cual se dedica exclusivamente a la seguridad en plataformas intranet. CERT/CC se dedica a proporcionar consejos técnicos de prácticas de seguridad que ayuden a los administradores de redes. Además, se encarga de coordinar las respuestas a los incidentes de seguridad, trabajar en la solución de los problemas de seguridad, identificar las tendencias de ataques de intrusos, divulgar información a toda la comunidad, analizar código malicioso y las vulnerabilidades de los productos, publicar documentos técnicos y proporcionar cursos de capacitación (University, 2003). 2 SANS (Administración de Sistemas, Auditoria, Redes, Seguridad) Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 5

24 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima La forma de operar del CERT/CC, está en la identificación de dos aspectos: Las vulnerabilidades de los sistemas de información que usa una intranet y el análisis del código maligno desarrollado por el intruso. En ambos aspectos lo que se busca es la identificación de las fallas o defectos. Una vez identificados los defectos se procede a la atención del incidente, que consiste en explotar los defectos encontrados en el sistema y en el código maligno, para que éstas sean la base de la solución del incidente. El CERT/CC cuenta con procedimientos bien definidos acerca de cómo se deben de atender los delitos informáticos. Además, trabaja en alianza con las siguientes instituciones (University, 2003): Departamento de Defensa de los Estados Unidos de América. Oficina Ejecutiva del Presidente de los Estados Unidos. Servicio de Seguridad de los Estados Unidos. Alianza de Seguridad de Internet. Agencia de Defensa de Sistemas Informáticos. Centro Nacional de Protección de Infraestructura de los Estados Unidos. Protección de la Infraestructura Nacional de los Estados Unidos (INFRAGARD) Sistema Nacional de Comunicaciones de los Estados Unidos. Unified Incident Reporting and Alert Scheme (UNIRAS) Australian Computer Emergency Response Team (AUSCERT) Comité Nacional de Asesores en Seguridad de las Telecomunicaciones Departamento de Homeland Security Internet Engineering Task Force (IETF) North American Network Operators Group (NANOG) Sin embargo, el CERT, pública solo las vulnerabilidades que han sido reportadas por parte de las empresas afectadas, pero se dan casos en los cuales muchos de los incidentes de delito informático no son reportados por el temor de la misma empresa que se ve afectada, ya que puede comprometer la imagen del negocio; por ejemplo, el acceso a la Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 6