2.8.1 configuración básica de una ruta estatica

Situación

En esta actividad de laboratorio, usted creará una red similar a la que se muestra en el Diagrama de topología. Comience por conectar la red como se muestra en el Diagrama de topología. Luego realice las configuraciones iniciales del router necesarias para la conectividad. Utilice las direcciones IP que se proporcionan en el Diagrama de topología para aplicar un esquema de direccionamiento a los dispositivos de red. Después de completar la configuración básica pruebe la conectividad entre los dispositivos de la red. Primero pruebe las conexiones entre los dispositivos conectados directamente y luego pruebe la conectividad entre los dispositivos que no están conectados directamente. Las rutas estáticas deben estar configuradas en los routers para que se realice la comunicación de extremo a extremo entre los hosts de la red. El usuario configurará las rutas estáticas necesarias para permitir la comunicación entre los hosts. Luego de agregar cada ruta estática, vea la tabla de enrutamiento y observe cómo cambia

2.7 Resolucion de Una Ruta Que Falta

En esta actividad, examinaremos el problema de una ruta estática mal configurada descrito en esta sección. Utilizaremos el modo simulación del Packet Tracer para rastrear los paquetes en la red mal configurada. Corregiremos la red y observaremos el funcionamiento correcto.
Objetivos de aprendizaje:

•Examinar el router.
•Visualizar la configuración.
•Verificar la conectividad.
•Ver el problema en el modo Simulación.
•Ejecutar la simulación.
•Examinar los resultados.
•Corregir el problema y verificar.
•Reemplazar la ruta estática mal configurada.
•Verificar la conectividad.
•Volver a ejecutar la simulación.

La familia de las normas ISO

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Muchos de ellos no están aún publicados, pero la estructura ya está definida:

• ISO/IEC27000 Sistemas de Gestión de Seguridad de la Información, Generalidades y vocabulario, publicada en Abril del 2009, en la que se recogen los términos y conceptos relacionados con la seguridad de la información, una visión general de la familia de estándares de esta área, una introducción a los SGSI, y una descripción del ciclo de mejora continua.
• UNE-ISO/IEC 27001, Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005), publicada en el año 2007. Esta es la norma fundamental de la familia, ya que contiene los requerimientos del sistema de gestión de seguridad de la información y es la norma con arreglo a la cual serán certificados los SGSI de las organizaciones que lo deseen.
• ISO/IEC27002, Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información, publicada en el año 2005. Esta guía de buenas prácticas describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
• ISO/IEC27003. Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases
• ISO27004: Estándar para la medición de la efectividad de la implantación de un SGSI y de los controles relacionados.
• ISO/IEC27005:2008 Gestión del Riesgo en la Seguridad de la Información, publicada en el año 2008. Esta norma al pertenecer a la familia de las Normas 27000, se ajusta a las necesidades de las organizaciones que pretende realizar su análisis de riesgos en este ámbito y cumplir con los requisitos de la Norma ISO 27001.
• ISO/IEC27006. Requisitos para las entidades que suministran servicios de auditoría y certificación de sistemas de gestión de seguridad de la información. Publicada en el año 2007. Recoge los criterios mediante los cuales una organización se puede acreditar para realizar esos servicios.
• ISO/IEC27007. Guía para la realización de las auditorías de un SGSI.
• ISO/IEC27011. Directrices para la seguridad de la información en organizaciones de telecomunicaciones utilizando la Norma ISO/IEC 27002. Contiene recomendaciones para empresas de este sector, facilitando el cumplimiento de la Norma ISO27001 y conseguir un nivel de seguridad aceptable.
• EN ISO27799. Gestión de la seguridad de la información sanitaria utilizando la Norma ISO/IEC27002 (ISO27799:2008). Vigente en nuestro país ya que ha sido ratificada por AENOR en agosto de 2008. Como en la anterior, es una guía sectorial que da cabida a los requisitos específicos de entorno sanitario.

Estándares de gestión de la seguridad de la información

La organización ISO

ISO (Organización Internacional de Estándares) es una organización especializada en el desarrollo y difusión de los estándares a nivel mundial.
Los miembros de ISO, son organismos nacionales que participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos para tratar con los campos particulares de actividad técnica. Los comités técnicos de ISO colaboran en los campos de interés mutuo con la IEC (International Electrotechnical Commission), la organización que a nivel mundial prepara y publica estándares en el campo de la electrotecnología. En el campo de tecnología de información, ISO e IEC han establecido unir un comité técnico, ISO/IEC JTC 1 (Join Technical Committee Nº1).
Los borradores de estas Normas Internacionales son enviados a los organismos de las diferentes naciones para su votación. La publicación, ya como una Norma Internacional, requiere la aprobación de por lo menos el 75% de los organismos nacionales que emiten su voto.

Delitos Informaticos

Con la expresión delito tecnológico se define a todo acto ilícito penal llevado a cabo a través de medios informáticos y que está íntimamente ligado a los bienes jurídicos relacionados con las tecnologías de la información o que tiene como fin estos bienes.
La clasificación de dichos delitos que hace la Brigada de Investigación Tecnológica, la Unidad de la Policía Nacional destinada a responder a los retos que plantean las nuevas formas de delincuencia es:

• Ataques que se producen contra el derecho a la intimidad. Delito de descubrimiento y revelación de secretos mediante el apoderamiento y difusión de datos reservados registrados en ficheros o soportes informáticos. (Artículos del 197 al 201 del Código Penal).
• Infracciones a la Propiedad Intelectual a través de la protección de los derechos de autor. Especialmente la copia y distribución no autorizada de programas de ordenador y tenencia de medios para suprimir los dispositivos utilizados para proteger dichos programas. (Artículos 270 y otros del Código Penal).
• Falsificación de documentos. Entendiendo documento como todo soporte material que exprese o incorpore datos, aunque se extiende también a la falsificación de moneda y a las tarjetas de débito y crédito. También pertenece a este grupo la fabricación o tenencia de programas de ordenador para la comisión de delitos de falsedad.(Artículos 386 y siguientes del Código Penal).
• Sabotajes informáticos. Delito de daños mediante la destrucción o alteración de datos, programas o documentos electrónicos contenidos en redes o sistemas informáticos. (Artículo 264 y otros del Código Penal).
• Fraudes informáticos. Delitos de estafa a través de la manipulación de datos o programas para la obtención de un lucro ilícito. (Artículos 248 y ss. del Código Penal).
• Amenazas. Realizadas por cualquier medio de comunicación. (Artículos 169 y ss. del Código Penal).
• Calumnias e injurias. Cuando se propaguen por cualquier medio de eficacia semejante a la imprenta o la radiodifusión. (Artículos 205 y ss. del Código Penal).
• Pornografía infantil. Existen varios delitos en este epígrafe:
  • La inducción, promoción, favorecimiento o facilitación de la prostitución de una persona menor de edad o incapaz. (artículo 187)
  • La producción, venta, distribución, exhibición, por cualquier medio, de material pornográfico en cuya elaboración hayan sido utilizados menores de edad o incapaces, aunque el material tuviere su origen en el extranjero o fuere desconocido. (artículo 189).
  • La facilitación de las conductas anteriores (El que facilitare la producción, venta, distribución, exhibición...). (artículo 189).
  • La posesión de dicho material para la realización de dichas conductas.( artículo 189).

Hay que tener en cuenta que además nuestro Código Penal recoge directivas europeas y establece penas importantes por comportamientos tales como las del Artículo 197, penas de prisión de seis meses a dos años para quien por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o las recogidas en el Artículo 264:

• Pena de prisión de seis meses a dos años por intromisión en datos o programas sin autorización.
• Pena de prisión de seis meses a tres años por obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno.
• Se impondrán penas superiores y, en todo caso, la pena de multa proporcional al perjuicio ocasionado, cuando se comete el delito en el marco de una organización criminal o se hayan ocasionado daños de especial gravedad o afectado a los intereses generales.

Convenio sobre ciberdelincuencia

El "Convenio sobre Ciberdelincuencia" del Consejo de Europa, se firmó el 23 de noviembre del 2001 en Budapest. Siguiendo dicho convenio,en nuestro Código Penal se recogen los siguientes delitos:

• Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.
• Acceso ilícito a sistemas informáticos.
• Interceptación ilícita de datos informáticos.
• Interferencia en los datos que ocasionen daños, borrado, alteración o supresión de estos.
• Abuso de dispositivos que faciliten la comisión de delitos.
• Delitos informáticos.
• Falsificación informática que produzca la alteración, borrado o supresión de datos informáticos que ocasionen datos no auténticos.
• Fraudes informáticos.
• Delitos relacionados con el contenido.
• Delitos relacionados con la pornografía infantil.
• Delitos relacionados con infracciones de la propiedad intelectual y derechos afines.

Decisión marco 2005/222/JAI

Esta decisión del Consejo de Europa del 24 de febrero de 2005 es relativa a los ataques contra los sistemas de información. Establece que deben sancionarse los siguientes hechos:

• Acceso ilegal a los sistemas de información.
• Intromisión ilegal en los sistemas de información que introduzcan, transmitan, dañen, borren, deterioren, alteren, supriman o hagan inaccesibles datos informáticos.
• Intromisión ilegal en los datos, para borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información.
• La inducción a los delitos o la tentativa de cometerlos y la complicidad con ellos también son sancionables como infracciones penales.

fuente: https://formacion-online.inteco.es

Beneficios de un Sistema de Gestion de la Seguridad Informatica

Existen numerosas e importantes razones para afrontar el desarrollo y la implantación de un Sistema de Gestión de la Seguridad:

• Reducción de costes. Esta debería ser una de las principales motivaciones para llevar a cabo la implantación de un SGSI, ya que incide directamente sobre la rentabilidad económica de una organización. No suele serlo porque lo que se ve en un principio es el coste del mismo, sin embargo, en un breve plazo, se puede observar como el SGSI evita varias situaciones que suponen un coste, a veces importante. Al detectar los principales focos de fallos y errores, y eliminarlos o reducirlos hasta donde es posible, se evitan costosos incidentes de seguridad, que hasta entonces se asumían como cosas que pasan. A veces se evitan incidentes que hubieran ocurrido de no haber tomado las medidas a tiempo, y eso es difícil de cuantificar, pero no por ello es menos real. A veces los beneficios surgen de manera imprevista, como la reducción de primas de seguros en algunas pólizas debido a la justificación de la protección de los activos asegurados.
• Optimizar los recursos y las inversiones en tecnología. Con un SGSI las decisiones se tomarán en base a información fiable sobre el estado de los sistemas de información y a los objetivos de la organización. Habrá una motivación de negocio detrás de estas decisiones, por lo que la dirección podrá comprenderlas y apoyarlas de manera más consciente. La organización dejará de depender exclusivamente de la experiencia o pericia del responsable de informática, o más peligroso aún, del proveedor habitual de informática, a la hora de valorar las distintas opciones de compra.
• Protección del negocio. Con un SGSI en marcha se evitan interrupciones en el flujo de ingresos, ya que se está asegurando de una manera eficaz la disponibilidad de los activos de información y, por lo tanto, de los servicios que la organización ofrece. Esto en cuanto a la actividad cotidiana, pero también se está preparado para recuperarse ante incidentes más o menos graves e incluso garantizar la continuidad del negocio, afrontando un desastre sin que peligre el negocio a largo plazo.
• Mejora de la competitividad. Cualquier mejora en la gestión de la organización redunda en beneficio de la eficacia y la eficiencia de la misma, haciéndola más competitiva. Además hay que considerar el impacto que suponen el aumento de la confianza de los clientes en nuestro negocio, la diferenciación frente a los competidores y una mejor preparación para asumir retos tecnológicos.
• Cumplimiento legal y reglamentario. Cada vez son más numerosas las leyes, reglamentos y normativas que tienen implicaciones en la seguridad de la información. Gestionando de manera coordinada la seguridad tenemos un marco donde incorporar los nuevos requisitos y poder demostrar ante los organismos correspondientes el cumplimiento de los mismos.
• Mantener y mejorar la imagen corporativa. Los clientes percibirán la organización como una empresa responsable, comprometida con la mejora de sus procesos, productos y servicios. Debido a la exposición de cualquier organización a un fallo de seguridad que pueda acabar en la prensa, este punto puede ser un catalizador de esfuerzos, ya que nadie quiere que su marca quede asociada a un problema de seguridad o una multa por incumplimiento, por las repercusiones que acarrea.

Importancia de la seguridad para el negocio

En un país en el que todavía hacen falta planes de concienciación y campañas de promoción para informatizar a las PYMES, y la implantación de las medidas de seguridad establecidas por la LOPD dista mucho aún de haber sido llevada a cabo en el 100%, ¿qué puede impulsar a una organización a implantar un Sistema de Gestión de Seguridad de la Información?

Las PYMES tienen que enfrentarse como siempre a las limitaciones de presupuesto, y a la falta de conocimientos y de concienciación a la hora de afrontar nuevos retos. El hecho de que la seguridad de la información tenga un importante componente tecnológico agrava estas limitaciones, ya que se percibe como un área extraña que se deja en manos de expertos, habitualmente ajenos y que no conocen el negocio y las implicaciones que tiene su trabajo en dicho negocio.

La seguridad de la información sin embargo, es un tema directamente relacionado con la supervivencia del negocio y con el aseguramiento de los ingresos. Para un banco sería dramático que le fallaran sus sistemas informáticos por unos minutos, pero tienen la capacidad de evitarlo, y en su caso, de solucionarlo. Para una PYME, un simple fallo de energía de unas horas puede ocasionar un trastorno importante, en muchos casos con repercusiones económicas, ya que se podría parar la actividad y se perderían encargos o ventas. En caso de desastre (incendio o robo, no hace falta pensar en ataques terroristas o huracanes) puede significar incluso el cierre a corto plazo del negocio.

Puesto que, a pesar de nuestro retraso tecnológico, hoy el ordenador ya ha sustituido a la máquina de escribir y el correo electrónico se impone al tradicional, los problemas asociados a estos avances también han llegado. Nuevas tecnologías (informática móvil, redes inalámbricas, memorias USB, etc.) van incorporándose progresivamente a los negocios debido a sus evidentes ventajas, pero llevan aparejados riesgos que no se consideran. Si además la empresa tiene empleados, su negocio corre un riesgo aún mayor.

Como se mencionaba en la Introducción, al menos el 77 % de las empresas ha tenido algún incidente de seguridad relevante. Es decir, que el riesgo existe, y no es en absoluto despreciable. Además hay que tener en cuenta que, a pesar de que los ataques a sistemas informáticos reciben en muchos casos una tremenda publicidad, existe un considerable porcentaje de incidentes con origen interno, es decir, ocasionados por algún empleado y que, a pesar de no contar habitualmente con una gran difusión, son potencialmente mas dañinos por el conocimiento de primera mano que tienen los que los generan. Es decir, pueden entrar en los sistemas con facilidad, saben dónde está la información más útil o que puede ser utilizada para hacer daño a la organización, o simplemente sacan información que en caso de pérdida o filtración puede ocasionar problemas.

Los incidentes, desde una simple infección por virus a una venta de información interna a la competencia o a un desastre como el incendio del Windsor, tienen un coste económico directo que hay que valorar: tiempos de parada, activos dañados o perdidos, cese del lucro entrante, sanciones administrativas o contractuales, etc. Los costes indirectos pueden ser incluso más graves: pérdidas de clientes a medio plazo, pérdida de reputación, etc.

El cumplimiento de la legislación (principalmente la LOPD) está propagando la idea de que la información debe ser protegida so pena de incurrir en faltas que se pagan con multas bastante elevadas. Ya que el principio es el mismo, detectar qué es importante (para la LOPD los datos personales, para la organización el fichero de clientes, por ejemplo), se podría aprovechar esta preocupación para extender la protección al resto de los activos de información de la empresa.

Siempre existe el, por supuesto justificado, temor de los costes de afrontar este tipo de proyectos. Hay que tener muy presente que ninguna ley ni norma va a exigir un nivel de seguridad por encima de los que las necesidades y los recursos disponibles en la organización requiera, porque lógicamente, las necesidades de seguridad (y el presupuesto, no lo vamos a negar) de la asesoría que lleva la contabilidad no son comparables a las de la Agencia Espacial Europea, por ejemplo.

Contar con un sistema de gestión permite ordenar las actividades de la organización y dirigirlas hacia el objetivo que la empresa busca. Esto a veces se ve como un impedimento para el desarrollo de las actividades de la organización, como un obstáculo que impide reaccionar con la rapidez que requieren los tiempos y las particularidades del sector económico en el que se encuentre la organización. Sin embargo, lo que se pretende con un sistema de gestión es precisamente evitar que tengamos que reaccionar ante hechos que podrían haber sido previstos y gestionados adecuadamente antes de que llegaran a ser un problema. Evitar problemas es una manera muy barata de ahorrar costes. Como tantos otros aspectos de la gestión de cualquier organización, la clave está en adoptar una solución proporcionada a las necesidades del negocio.