1. Universidad Abierta y a Distancia de México
División de Ciencias exactas, Ingeniería y Tecnología
Seguridad de la Informática
• Nombre del alumno:
Luis Alberto Ramírez Galindo
• Nombre del docente:
Mtro. Ricardo Rodríguez Nieves
• Matrícula:
ES1410906436
• Instrucciones:
o 1. Retoma los principales conceptos aprendidos en la materia “Seguridad de la Informática”.
o 2. Realiza una presentación en la que plasmarás estos conocimientos
o 3. Sube tu presentación a SLIDESHARE
o 4. Realiza un documento en donde incluyas el link al sitio de SLIDESHARE donde está
alojado tu presentación para poder visualizarla, cerciórate de que la presentación esté
compartida de forma pública.
Asignación a cargo del Docente
2. Asignación a cargo del Docente
Seguridad informática:
Existen muchos peligros que pueden afectar a la integridad de los sistemas de
información de una organización, ya sean físicos (robo, incendios, inundaciones,
deficientes conexiones eléctricas, etc.) o lógicos (deficiente seguridad en el acceso
de la información, malware, ataques cibernéticos, etc.).
Todos los riesgos potenciales que vulneran la información de una empresa deben
de ser previstos por los encargados de la seguridad informática de la organización.
Día con día, el uso de dispositivos informáticos y la transmisión de datos por medio
de redes aumenta en todo el mundo. Es común utilizar Internet para: hacer comprar
en línea, hacer transferencias bancarias, realizar trámites gubernamentales, etc.
Estos beneficios que brinda la transmisión de información en línea han representado
ser un gran reto para ingenieros: Las organizaciones han sido blancos de ataques
(físicos o informáticos) por parte de usuarios malintencionados. De manera que es
requerido proteger la confidencialidad y la integridad de los datos que son
transmitidos en operaciones o que son almacenados en hardware.
3. • Conceptos que serán utilizados:
Recursos de hardware: Recursos conformados por servidores, computadoras de
escritorio y portátiles, impresoras, escáneres y otros dispositivos.
Recursos de software: Están conformados de sistemas operativos, herramientas
ofimáticas, software de gestión, aplicaciones, etc.
Asignación a cargo del Docente
Elementos de comunicaciones: Dispositivos de conectividad, como HUBS, SWITCHES,
ROUTERS, cableado, puntos de acceso a la red, líneas de comunicación, etc.
Información: Datos almacenados, procesados y distribuidos a través del sistema.
Espacios físicos: Locales y oficinas de la organización donde están ubicados los recursos
físicos.
Usuarios: Personas que utilizan el sistema de información.
Imagen y prestigio de la empresa: Es la manera en la que los clientes perciben a la
empresa, en relación al resultado de objetivos.
4. Asignación a cargo del Docente
Tríada de la seguridad:
La seguridad de la información están fundamentados en tres
pilares que son conocidos como la tríada CIA. Estos elementos
son:
• Confidencialidad: Garantía de acceso a usuarios
autorizados.
• Integridad: Garantía de exactitud de los datos y su
protección en relación a las pérdidas.
• Disponibilidad: Garantía de que los datos estarán
disponibles cuando se requiera.
Integridad
Confidencialida
d
Disponibilidad
5. • De acuerdo con Calle (1997) los niveles de seguridad en una organización son:
Nivel D1: Nivel más bajo. Sistema vulnerable.
Nivel C1: Existen identificaciones de usuario con
contraseña.
Asignación a cargo del Docente
Nivel C2: Utiliza restricción, permisos y niveles de
autorización.
Nivel B1: Protección de Seguridad Etiquetada.
(Multinivel).
Nivel B2: Protección Estructurada. (Comunicación de
objetos de diferente nivel.)
Nivel B3: Dominios de Seguridad. (Requiere rutas de
acceso confiable.)
Nivel A: Diseño verificado. (Verificado
matemáticamente.)
6. Asignación a cargo del Docente
Seguridad Física:
Consiste en la aplicación de barreras físicas, procedimientos de
control, medidas de prevención y contra-medidas contra
ataques y amenazas a los recursos de información.
Ejemplos: Incendios, inundaciones, condiciones climatológicas,
señales de radar, instalaciones eléctricas.
Seguridad Lógica:
Este tipo de seguridad implementa procedimientos para que
únicamente los usuarios autorizados puedan acceder a
información determinada y está relacionada con aplicaciones
de antivirus, spyware y malware en general.
Se busca determinar vías alternas de transmisión, proteger
equipos de cómputo para que no puedan ser modificados,
asignar roles y permisos para usuarios, etc.
7. Malware (software malicioso):
Es un término general utilizado para referirse a una variedad de
de software hostil o intrusivo, por ejemplo: virus informáticos,
caballos de Troya, RANSOMWARE, spyware, ADWARE, SCAREWARE y
otros programas maliciosos. Puede tomar la forma de código
ejecutable, scripts, contenido activo y otro software. El malware se
define por su intención maliciosa, que actúa en contra de los
del usuario de la computadora y, por lo tanto, no incluye software
causa daños involuntarios debido a alguna deficiencia.
Asignación a cargo del Docente
8. Asignación a cargo del Docente
Criptografía:
Es la práctica y el estudio de técnicas para la comunicación segura en presencia de terceros llamados adversarios. En general, la
criptografía consiste en construir y analizar protocolos que impiden que terceros o el público lean mensajes privados; varios aspectos de
la seguridad de la información, como la confidencialidad de los datos, la integridad de los datos, la autenticación y el no rechazo
son fundamentales para criptografía moderna. La criptografía moderna existe en la intersección de las disciplinas de las matemáticas, la
informática, la ingeniería eléctrica, la ciencia de la comunicación y la física. Las aplicaciones de la criptografía incluyen comercio
electrónico, tarjetas de pago basadas en chip, monedas digitales, contraseñas de computadora y comunicaciones militares. Breve historia
de la criptografía:
9. Asignación a cargo del Docente
Criptografía:
Algoritmo de clave pública:
La criptografía de clave pública, o criptografía asimétrica, es cualquier sistema
criptográfico que utiliza pares de claves: claves públicas que pueden difundirse
ampliamente y claves privadas que solo conoce el propietario. Esto logra dos
funciones: autenticación, que es cuando la clave pública se utiliza para verificar
que un titular de la clave privada emparejada envió el mensaje y el cifrado, por
lo que solo el titular de la clave privada emparejada puede descifrar el
mensaje cifrado con la clave pública.
Ejemplo: La criptografía de clave pública a menudo se utiliza para proteger la
comunicación electrónica en un entorno de red abierto, como Internet, sin
depender de un canal oculto o encubierto, incluso para el intercambio de
claves.
Algoritmo de clave privada:
Un algoritmo de cifrado simétrico es aquel en el que la misma clave realiza
cifrado y descifrado. Debido a su simetría, es de suma importancia que la
clave se mantenga en secreto. Un ejemplo es el algoritmo ROTn, donde, dado
un alfabeto de m letras y n <m, se toma el texto claro en este alfabeto y se
rota cada letra con n.
10. Asignación a cargo del Docente
Certificado Digital:
En la criptografía, un certificado digital o certificado de identidad, es
un documento electrónico que se utiliza para demostrar la propiedad
de una clave pública. El certificado incluye información sobre la clave,
información sobre la identidad de su propietario (llamada el sujeto) y
la firma digital de una entidad que ha verificado los contenidos del
certificado (llamado el emisor). Si la firma es válida y el software que
examina el certificado confía en el emisor, puede usar esa clave para
comunicarse de forma segura con el asunto del certificado.
11. Asignación a cargo del Docente
Firma Digital:
Una firma digital es un esquema matemático para demostrar la
autenticidad de los mensajes o documentos digitales. Una firma
digital válida da una razón del destinatario para creer que el mensaje
fue creado por un remitente conocido (autenticación), que el
remitente no puede negar haber enviado el mensaje (no repudio) y
que el mensaje no fue alterado en tránsito (integridad).
Las firmas digitales son un elemento estándar de la mayoría de las
suites de protocolos criptográficos, y se utilizan comúnmente para la
distribución de software, las transacciones financieras, el software de
gestión de contratos y, en otros casos, donde es importante detectar
falsificaciones o alteraciones.
12. Asignación a cargo del Docente
Mecanismos de seguridad:
Los sistemas informáticos se conforman de hardware, software y
datos. Los ataques se clasifican en: interrupción, intercepción,
modificación y fabricación.
Para establecer los mecanismos de seguridad se requieren
implementar políticas de seguridad que sean sustentados con base
en las metodologías de: prevención, detección y respuesta.
Los sistemas de información se implementan en:
• Redes.
• Sistemas operativos.
• Bases de datos. Vulnerabilidad
Definición:
Una vulnerabilidad es la capacidad,
condición o característica de un sistema que
lo hace susceptible a amenazas (que
pueden causar daños).
Riesgo
Definición:
Un riesgo es descrito como la probabilidad latente de
que una amenaza sea materializada e impacte
negativamente sobre el sistema gestionado.
La Norma ISO/IEC-27002 lo define como: La
combinación de la probabilidad de ocurrencia de un
determinado hecho y sus consecuencias.
13. Asignación a cargo del Docente
BCP:
La planificación de la continuidad del negocio (o la continuidad del negocio y
la planificación de la resiliencia) es el proceso de crear sistemas de prevención
y recuperación para hacer frente a las posibles amenazas a una empresa.
Cualquier evento que pueda afectar negativamente a las operaciones se
incluye en el plan, como la interrupción de la cadena de suministro, la pérdida
o el daño a la infraestructura crítica (maquinaria principal o recurso informático
/ de red). Como tal, BCP es un subconjunto de la gestión de riesgos. En los
Estados Unidos, las entidades gubernamentales se refieren al proceso como la
continuidad de la planificación de operaciones (COOP). Un Plan de
Continuidad del Negocio describe una gama de escenarios de desastre y los
pasos que la empresa tomará en cualquier escenario particular para volver al
comercio regular. Un plan BCP es un conjunto de contingencias para
minimizar el daño potencial a las empresas durante escenarios adversos.
14. Asignación a cargo del Docente
DRP:
La planificación de recuperación de desastres (DRP) es un conjunto
de políticas, herramientas y procedimientos para permitir que una
empresa (por ejemplo, de desarrollo de software) pueda realizar la
recuperación o la continuación de infraestructura y sistemas de
tecnología vitales después de un desastre natural (tormentas, lluvias,
etc.) o inducido por el hombre (ya sea en software o hardware). La
recuperación de desastres se enfoca en los sistemas de TI o
tecnología que soportan funciones comerciales críticas, en oposición
a la continuidad del negocio, lo que implica mantener todos los
aspectos esenciales de un negocio funcionando a pesar de los
eventos disruptivos significativos. La recuperación de desastres es, por
lo tanto, un subconjunto de la continuidad del negocio.
15. Conclusiones
Esta asignación fue muy edificante para mí ya que tuve la oportunidad repasar
todos los conocimientos que aprendí en la materia.
En esta actividad se pudo evaluar una gran variedad de riesgos que pueden
afectar a los sistemas de información de una empresa, ya sean físicos o
lógicos.
Cada riesgo potencial debe de ser previsto (por los encargados de la
seguridad informática de la organización) para evitar que el daño sea
concretado. No obstante, se deben tener planes de continuidad de negocio y
de recuperación de datos en caso que el daño sea materializado.
Es un reto muy complicado para futuros ingenieros garantizar la protección de
la confidencialidad, integridad y disponibilidad de los datos que son
transmitidos en las operaciones organizacionales. Esta labor requiere de
constante actualización ya que nuevas tecnologías nocivas son desarrolladas
diariamente.
La comodidad que ha ofrecido la transmisión de información en línea
representa un reto para ingenieros ya que nos exige proteger identificar
riesgos, prevenirlos y actuar en caso de que se materialicen.
16. Referencias:
• Huguet Rotger, L., Rifà Coma, J., y Tena Ayuso, J.G. (2013). Protocolos criptográficos. Recuperado de:
https://unadmexico.blackboard.com/bbcswebdav/institution/DCEIT/2016_S1-
B2/DS/08/DSEI/U2/Descargables/Material_de_apoyo/U2_huguet_rifa_y_tena_2013_protocolos_criptograficos.
pdf
• V. Delgado, R. Palacios. (2006). Introducción a la Criptografía: tipos de algoritmos. Recuperado de:
https://unadmexico.blackboard.com/bbcswebdav/institution/DCEIT/2016_S1-
B2/DS/08/DSEI/U2/Descargables/Material_de_apoyo/U2_vera_y_palacios_2006_introduccion_a_la_criptografi
a_tipos_de_algoritmos.pdf
• AXPE CONSULTING. (2015). Diferencias entre certificado electrónico, firma digital y firma electrónica.
Recuperado de: http://www.axpe-blogs.com/uncategorized/diferencias-entre-certificado-electronico-firma-
digital-y-firma-electronica/
• Velázquez, Isabel. (2011). CLASIFICACIÓN DE LOS PRINCIPALES RIESGOS DE LA SEGURIDAD INFORMÁTICA.
Recuperado de: http://aplicaciondeseguridadinformatica.blogspot.mx/2011/08/b-clasificacion-de-los-
principales.html