PDF de programación - Num18 RevistaSeguridad

No.1 8 / mayo-junio 201 3 ISSN: 1 251 478, 1 251 477

18
Perfiles de seguridad

6 distintas líneas de acción en la agenda

Seguridad
freno o
facilitador

Pentest

principiantes

Firewall
base de
datos

Lockpicking

Criptografía
cuántica

SCADA y
seguridad

Contenido

¿Es la seguridad de la información un freno o un
facilitador de la expansión del negocio?

Pruebas de penetración para principiantes: 5
herramientas para empezar

Firewall de bases de datos

Lockpicking

Criptografía cuántica

< 04 >

< 08 >

< 1 6 >

< 20 >

< 24 >

Sistemas SCADA, consideraciones de seguridad

< 31 >

Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de Información y Comunicación. Subdirección de
Seguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI M.R., revista especializada en temas de seguridad
del UNAM-CERT. Se autoriza la reproducción total o parcial de este artículo con fines de difusión y divulgación de los conocimientos aquí
expuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.

Editorial

Perfiles de seguridad
6 distintas líneas de acción en la agenda
de TI

El campo de la computación es realmente vasto,
sobre todo cuando hablamos de analizar todas
sus directrices. Una,
la que más nos compete
en UNAM-CERT, es la línea de la seguridad:
Seguridad en cómputo, seguridad informática y
seguridad de la información. Términos que
podrían parecer, a simple vista, sinónimos de
una misma causa, pero que al momento de
profundizaren ellos, exponen mundos distintos.

Si bien discernir sobre un tema conceptual no
es nuestro objetivo, tratar de referir hacia todos
los aspectos de la seguridad como un conjunto
sí lo es, en .Seguridad Cultura de prevención
para TI lo vemos como una de nuestras metas,
edición tras edición.

En esta ocasión, decidimos abordar seis
aspectos primordiales que se encuentran en la
agenda de seguridad de las tecnologías de la
información y comunicación de nuestros días.
Para aventurarnos a ello,
contamos con
estupendos profesionales, tanto del equipo de
nuestra prestigiada UNAM, como especialistas
de carácter internacional: Sebastián Bortnick,
Jesús Torrecillas y Eduardo Carozo.

física,

Los colaboradores de esta edición colocan seis
temas sobre la mesa: gestión, hacking, web y
seguridad
escritorio,
criptografía y
sistemas de control
industrial. Una lista, no
excluyente de otros temas, que busca abarcar
distintos panoramas de la seguridad de nuestro
tiempo, sin embargo tú, querido lector, tienes
los comentarios finales.

L.C.S Jazmín López Sánchez
Editora
Subdirección de Seguridad de la Información

.Seguridad Cultura de prevención TI M.R. / Número 1 8 /
mayo - junio 201 3 / ISSN No. 1 251 478, 1 251 477 /
Revista Bimestral, Registro de Marca 1 29829

DIRECCIÓN GENERAL DE CÓMPUTO Y DE
TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIÓN

DIRECTOR GENERAL
Dr. Felipe Bracho Carpizo

DIRECTOR DE SISTEMAS Y SERVICIOS
INSTITUCIONALES
Act. José Fabián Romo Zamudio

SUBDIRECTOR DE SEGURIDAD DE LA
INFORMACIÓN/ UNAM-CERT
Ing. Rubén Aquino Luna

DIRECCIÓN EDITORIAL
L.A. Célica Martínez Aponte

EDITORA
L.C.S. Jazmín López Sánchez

ARTE Y DISEÑO
L.D.C.V. Abraham Ávila González

DESARROLLO WEB
Ing. Jesús Mauricio Andrade Guzmán
A.V. Iván Santa María

REVISIÓN DE CONTENIDO
Rubén Aquino Luna
Manuel Ignacio Quintero Martínez
Andrés Leonardo Hernández Bermúdez
Paulo Santiago Contreras Flores

COLABORADORES EN ESTE NÚMERO
Jesús Nazareno Torrecillas
Sebastían Bortnik
Angie Aguilar Domínguez
Yesenia Carrera Fournier
Paulo Santiago de Jesús Contreras Flores
Eduardo Carozo Blumsztein

¿Es la seguridad de la información un
freno o un facilitador de la expansión
del negocio?

Jesús Nazareno Torrecillas

En la mayoría de las organizaciones y empresas
públicas y privadas, se tiene la idea de que la
Seguridad de la Información, más que una
facilitadora del negocio, es un obstáculo que
impide la agilidad y el dinamismo necesarios
para abarcar nuevos retos, evolucionar y
expandir la compañía.

Un error muy extendido es considerar que el
departamento de Seguridad de la Información
garantiza la salvaguarda de los activos críticos
de la organización. La realidad es que el
departamento de Seguridad de la Información
facilita la metodología y tecnología necesarias
para procurar que los activos de información
estén lo más protegidos posible, y que
permanezcan controlados dentro de un marco
de referencia. El departamento de Seguridad de
la Información, o ISM, debe trabajar de la mano
con el departamento de Seguridad Física de la

empresa u organismo. Si los dos departamentos
laboran sin una cabeza directriz conjunta,
llevarán a la empresa a situaciones muy
complicadas y absurdas de “neomanagement.”

y

las

comprendan

Al no haber una cultura empresarial establecida
y bien referenciada, en donde los trabajadores y
ejecutivos de todos los niveles de la organización
entiendan
ventajas
competitivas de contar con unas políticas de
seguridad
será muy
complicado permear estas ventajas a todos los
niveles organizativos. Las políticas deben ser
claras e incluir lo necesario para garantizar la
clasificación de la información y el manejo que
se le debe dar desde su creación, clasificación,
almacenamiento y destrucción.

de

la

información,

Un gran obstáculo, que los profesionales de
seguridad de la información encuentran a diario,

T
R
E
C
M
A
N
U

04

es no saber cómo vender a la alta dirección la
seguridad de la información ni su impacto en los
resultados globales del negocio. Otro obstáculo,
que las grandes empresas encuentran, es la
teórica duplicidad de los departamentos de
Seguridad de la Información (uno que depende
del área de Seguridad Central y el otro de
Informática).

y necesario para procurar la continuidad del
negocio. Además,
tiene que ser vista como
facilitadora de los planes futuros de expansión de
las compañías que se precien de tener un
“management” de primer nivel
y de alta
competitividad.
Incluso hace frente, de manera
rápida y ágil, a cualquier incidente que ponga en
riesgo la integridad de la información.

las

por

políticas

dictadas

y auditar

El departamento de Informática, TI o IT, debe
contar con sus propios auditores internos para
verificar que los parches estén instalados, el
antivirus esté funcionando correctamente, se
cumplan
el
departamento de Seguridad de la Información
Central, etc. Con el fin de que, cuando se hagan
auditorías independientes porparte de auditores
externos, todo esté más o menos en orden. En
cuanto al departamento de Seguridad de la
Información Central, éste es el encargado de
de manera totalmente
revisar
independiente que todo en TI
se haga
correctamente y que se cumplan las políticas de
securización
generar
políticas, etc. Ambos departamentos deben ser
del
independientes. Como
departamento
el
departamento
se
encontraran juntos y fuesen dependientes,
nunca se llegarían a descubrir los fraudes
internos. Por eso insisto que el departamento
de Seguridad de la Información Central o
Corporativo
completamente
independiente del equipo de revisión o ISM que
pertenezca a TI.

en
de Control
financiero,

y
ambos

el
Interno

información,

debe

caso

ser

de

la

si

un

padecer

incidente.

En muchas empresas, se considera que el
Departamento de Seguridad de la Información
es un mal necesario, en vez de un factor crítico
que ayuda a la continuidad del negocio en caso
de
otras
organizaciones, se considera al departamento
de Seguridad de la Información como un freno
o escollo insalvable que limita los márgenes
operativos y resta agilidad de expansión del
negocio, en vez de considerar a dicho
departamento como un facilitador de las
decisiones futuras o frente a incidentes.

En

seguridad

debe
La
considerarse como un factor estratégico, crítico

información

de

la

de

Imagen

Supongamos que la empresa es como un lujoso
y costoso auto deportivo de carreras. Este coche
pertenece a un fabricante de prestigio (imagen de
tiene unos bonitos colores en su
la marca),
carrocería
(Departamento
y
Comunicación), cuenta con unos logotipos sobre
la bonita pintura (Consejo de Accionistas), un buen
piloto (Dirección General), un favorable equipo de
mecánicos(Departamento de Ingeniería), un buen
equipo de iluminación (Inteligencia Estratégica),
un motor
de
Operaciones),
neumáticos
(Departamento Comercial), etc. El sistema de
frenos de este vehículo de carreras vendría a ser
nuestro Departamento de Seguridad de la
Información. La pista de carreras sería el mercado
en donde nuestra compañía tendría que debatirse
con sus competidores por agarrar más cuota de
mercado en el menor número de tiempo,
justificando ante su público (clientes) el prestigio
de la marca del equipo de carreras (empresa).

(Departamento

excelentes

poderoso

unos

Para que nuestro impresionante vehículo de
carreras pueda dar el 1 00% de rendimiento en
este circuito, se debe de contar con la más alta
tecnología en su sistema de frenado, con el fin de
poder circular a la máxima velocidad, con la
confianza y tranquilidad de que, cuando se precise
hacer frenadas muy apretadas, los frenos no van
a fallar y el vehículo no se estrellará (parada de
operación irreversible). De esa manera se evita
que el accidente sea publicado en toda la prensa
y que impacte en la imagen estratégica de la
compañía, con la consiguiente pérdida de
credibilidad en el mercado. En cambio, si nuestro
sistema de frenado es mediocre y poco fiable,
cuando busquemos ir a altas velocidades
(cambios estratégicos), por mucho que deseemos
ir rápido, nuestros frenos serán un condicionante
muy fuerte a la hora de ir a alta velocidad. En caso
de necesidad, no tendremos la garantía de
frenado y, por tanto, el
ejecución precisa del

T
R
E
C
M
A
N
U

05

fantasma del accidente nos perseguirá durante
la carrera (miedo al fracaso comercial).

Para ir a alta velocidad y estar seguros de ser
los mejores en la carrera, se deberá contar con
la más alta tecnología en el sistema de