3. Introducción a la Seguridad
Informática
La Vulnerabilidad en nuestros Sistemas de
Información presentan problemas graves.
Por eso es necesario conocer los conceptos
importantes básicos de Seguridad en la
Información.
4. Conceptos básicos de Seguridad en la Información:
La información es el objeto de mayor valor en las organizaciones.
La seguridad afecta directamente a los negocios de una empresa o de una
persona.
El propósito es proteger la información registrada independientemente del
lugar en el que se localice.
5. Elementos que se buscan proteger
Información
de la
organización
Equipos que la
soportan
Personas que las
utilizan
Seguridad
de la
Información
7. Qué es un Activo?
Un “Activo”, es todo elemento que compone todo el proceso de la
comunicación, partiendo desde la información, emisor, medio de
transmisión y receptor.
Emisor Receptor
( medio de transmisión )
información
Información = Activo
• Mala administración
• Errores humanos
• Virus
• Hackers
• Ataques terroristas
• Desastres naturales
Pérdidaodaño
9. A. Información.- Elementos que contienen datos registrados en medios
magnéticos o físicamente.
documentos.
informes.
libros.
manuales.
correspondencias.
patentes.
estudios de mercados.
programas.
códigos fuentes.
líneas de comandos.
reportes.
archivos.
planillas de pagos.
planes de negocios.
etc.
Robo de documentos
Pérdida de archivos
Posibles vulnerabilidades
10. B.1. Software.- Programas de computadoras para la automatización de
los procesos de la empresa y de los negocios.
aplicaciones comerciales.
programas institucionales.
sistemas operativos.
otros.
* La Seguridad de la Información evalúa la creación,
disposición y utilización de los sistemas. Además
detecta y corrige errores o problemas de
comunicación entre sistemas.
Aplicaciones Seguras
Bases de Datos
Otras aplicaciones
Usuarios
Comunicación
segura
Sistemas Operativos
con Fallas
Aplicaciones no
reparadas
Equipos
Vulnerabilidad
Hackers-virus
Principios Básicos
de Seguridad
11. B.2. Hardware.- Infraestructura tecnológica que brinda soporte a la
información durante su uso, tránsito y almacenamiento.
Activos de hardware: cualquier equipo en el cual
se almacena, procesa o
transmite información de la
empresa.
Perdida de informaciónEquipos
Indisponibilidad
Trabajo lento
Mala configuración
Fallas eléctricas
Desastres
Robos / Atentados
Vulnerabilidades
Amenazas
Principios Básicos
de Seguridad
12. B.3. Organización.- Aspectos que conforman la estructura física y
organizativa de la empresa. Organización
lógica y física del personal de la empresa.
Estructura Organizativa : Estructura Física :
• Departamentos.
• Funciones y Funcionarios.
• Flujo de información.
• Flujo de trabajo.
• Salas de servidores.
• Armarios.
• Archivadores.
• Fototeca.
• Videoteca.
• Salas de trabajo.
Organización
Departamentos
Areas
Estructura
No se adaptan
al cambio
Documentos
Equipos
Personas
Ubicación
Insegura
Vulnerabilidad
Vulnerabilidad
Principios Básicos
de Seguridad
13. C. Usuarios.- Individuos que utilizan la estructura tecnológica y de
comunicación de la empresa y manejan la información.
* Se busca formar el hábito de la seguridad para que
los usuarios tomen conciencia de las
vulnerabilidades.
Usuarios
Mal manejo y perdida
de la Información
Vulnerabilidades
Principios Básicos
de Seguridad
15. Principios Básicos de la Seguridad de la Información
b) Confidencialidad c) Disponibilidada) Integridad
a) Integridad.- Permite garantizar que la información no sea alterada, es decir, que sea íntegra. Estar íntegra
significa que esté en su estado original sin haber sido alterada por agentes no autorizados.
El quiebre de la Integridad.- Ocurre cuando la información es corrompida, falsificada y burlada.
Alteraciones del contenido del documento: inserción, sustitución o remoción.
Alteraciones en los elementos que soportan la información: alteración física
y lógica en los medios de almacenaje.
Información
Correcta
16. Principios Básicos de la Seguridad de la Información
b) Confidencialidad c) Disponibilidada) Integridad
b) Confidencialidad.- Se encarga y se asegura de proporcionar la información correcta a los usuarios correctos.
Toda la información no debe ser vista por todos los usuarios.
Perdida de Confidencialidad = Perdida de Secreto
La información confidencial se debe guardar con seguridad sin divulgar a
personas no autorizadas.
Garantizar la confidencialidad es uno de los factores determinantes para la
seguridad.
Grado de Confidencialidad
o Sigilo
Confidencial
Restricto
Sigiloso
Público
Gradode
Sigilo
Para el Usuario
Correcto
17. Principios Básicos de la Seguridad de la Información
b) Confidencialidad c) Disponibilidada) Integridad
c) Disponibilidad.- La información debe llegar a su destino en el momento oportuno y preciso.
La disponibilidad permite que:
• La información se use cuando sea
necesario.
• Que esté al alcance de los usuarios.
• Que pueda ser accesada cuando se
necesite.
Garantías de la disponibilidad:
• Configuración segura en el ambiente
para una disponibilidad adecuada.
• Planeación de copias de seguridad,
backups.
• Definir estrategias para situaciones de
contingencia.
• Fijar rutas alternativas para el transito
de la información.
En el Momento
Correcto
19. Amenazas: Son agentes capaces de hacer explotar los fallos de seguridad o los puntos débiles causando
pérdidas y daños a los activos y afectando al negocio.
Integridad
Confidencialidad
Disponibilidad
Amenazas
PlandeContingencia
Riesgo
Es constante y ocurre
en cualquier momento
Frecuencia
Tiempo
Causas:
- Naturales.
- No naturales.
- Internas.
- Externas.
Amenazas Naturales
Amenazas Intencionales
Amenazas Involuntarias
* Principales amenazas más frecuentes:
Ocurrencia de Virus
Divulgación de contraseñas
Acción de hackers
Fuente: Módulo Security Solutions S. A.
Encuesta sobre amenazas más frecuentes en Brasil, año 2000
20. Puntos Débiles: Son elementos que al ser explotados por amenazas afectan la integridad,
confidencialidad y disponibilidad de la información.
Identificación de
Puntos Débiles
Dimensión de
Riesgos
Definición de Medidas
de Seguridad
Corrección de
Puntos Débiles
<<Rastrear>> <<Analizar>> <<Planificar>> <<Depurar>>
* Los puntos débiles dependen de la forma en que
se organizó el ambiente en que se maneja la
información.
Puntos Débiles o Vulnerabilidades
Físicas Naturales De Hardware De Software
De Medios de
Almacenaje
De
Comunicación
Humanas
a) b) c) d) e) f) g)
21. a) Vulnerabilidades Físicas.- Están presentes en los ambientes en los cuales la información se está
almacenando o manejando.
Instalaciones inadecuadas.
Ausencia de equipos de seguridad.
Cableados desordenados y expuestos.
Falta de identificación de personas, equipos y áreas.
* Las vulnerabilidades físicas ponen en riesgo principalmente
al principio de Disponibilidad.
b) Vulnerabilidades Naturales.- Están relacionadas con las condiciones de la naturaleza.
Humedad.
Polvo.
Temperaturas indebidas.
Agentes contaminantes naturales.
Desastres naturales.
Sismos
Exposición de
Amenazas
Análisis de
Riesgos
Determinación y
Definición de
Objetivos
Elección de
Zonas y Areas
Montaje del
Ambiente
22. c) Vulnerabilidades de Hardware.- Los defectos o fallas de fabricación o configuración de los equipos atacan
y o alteran los mismos.
Ausencia de actualizaciones.
Conservación inadecuada.
Se debe evaluar:
- La configuración y dimensión para su
correcto funcionamiento.
- Almacenamiento suficiente.
- Procesamiento y velocidad adecuada.
d) Vulnerabilidades de Software.- Permite la ocurrencia de accesos indebidos a los sistemas y por ende a la
información.
Configuración e instalación indebida de los
programas.
Sistemas operativos mal configurados y mal
organizados.
Correos maliciosos.
Ejecución de macro virus.
Navegadores de Internet.
23. e) Vulnerabilidades de Medios de Almacenaje.- La utilización inadecuada de los medios de almacenaje
afectan la integridad, la confidencialidad y la disponibilidad
de la información.
Plazo de validez y de caducidad.
Defectos de fabricación.
Uso incorrecto.
Mala calidad.
Areas o lugares de depósito inadecuados
(humedad, calor, moho, magnetismo, etc.)
f) Vulnerabilidades de Comunicación.- Esto abarca todo el transito de la información, ya sea cableado,
satelital, fibra óptica u ondas de radio inalámbricas.
* El éxito en el transito de los datos es crucial en la
seguridad de la información.
* La seguridad de la información está asociada en el
desempeño de los equipos involucrados en la
comunicación.
Consecuencias:
Información no disponible para los usuarios.
Información disponible a usuarios incorrectos
afectando el principio de Confidencialidad.
Altera el estado original de la información afectando
el principio de Integridad.
Causas:
Ausencia de sistemas de encriptación.
Mala elección en los sistemas de comunicación.
24. g) Vulnerabilidades Humanas.- Son daños que las personas pueden causar a la información, a los equipos y
a los ambientes tecnológicos. Los puntos débiles humanos pueden ser
intencionados o no.
* La mayor vulnerabilidad es el desconocimiento de las
medidas de seguridad adecuadas o simplemente el no
acatarlas.
Puntos débiles más frecuentes de origen interno:
Falta de capacitación específica y adecuada.
falta de conciencia de seguridad en los usuarios.
Puntos débiles más frecuentes de origen externo:
Vandalismo.
Estafas.
Invasiones.
Hurto / Robo.
Causas:
Contraseñas débiles.
Falta de criptografía en la comunicación.
Identificadores: nombres de usuarios, credenciales,
etc.
26. Riesgos: Son las probabilidades de que las amenazas exploten los puntos débiles o vulnerabilidades
causando daños y pérdidas, y afectando completamente la Integridad, Confidencialidad y Disponibilidad.
* La seguridad es una práctica orientada hacia la eliminación
de las vulnerabilidades para evitar o reducir las
posibilidades que las potenciales amenazas se concreten.
Su objetivo.- garantizar el éxito de
la Comunicación Segura con
información Integra, Disponible y
Confidencial, a través de Medidas
de Seguridad.
Medidas de Seguridad: Son acciones orientadas hacia la eliminación de vulnerabilidades.
* Debe existir medidas de seguridad específicas para el
tratamiento de cada caso. Es decir, diferentes medidas para
casos distintos.
Medidas de Seguridad
PerceptivasPreventivas Correctivas
Busca evitar el surgimiento
de nuevos puntos débiles
y amenazas.
Orientado hacia la
revelación de actos que
pongan en riesgo a la
información.
Orientado hacia la
corrección y posterior
eliminación y disposición
de problemas.
27. * Las medidas de seguridad son un Conjunto
de Prácticas que se integran para buscar
un mismo fin y un mismo Objetivo Global
de Seguridad.
Medida de
Seguridad 1
Medida de
Seguridad 2
Medida de
Seguridad 3
Medida de
Seguridad n
Integración de
Medidas de Seguridad
Solución Global y Eficaz
de la Seguridad de la
Información
Principales Medidas de Seguridad
a) Análisis de Riesgos.- Busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas.
Del análisis de Riesgos se obtiene como resultado un grupo de recomendaciones para la corrección y protección
de activos.
b) Políticas de Seguridad.- Busca establecer los estándares de seguridad a seguir, esto apunta a todos los
involucrados con el uso y mantenimiento de los activos. Las PS es un conjunto de normas, y es el primer paso
para aumentar la conciencia de la seguridad en las personas.
c) Especificaciones de Seguridad.- Son medidas para instruir la correcta implementación de nuevos ambientes
tecnológicos por medio del detalle de sus elementos constituyentes.
d) Administración de la Seguridad.- Son medidas integradas e integrales que buscan gestionar los riesgos de un
ambiente. Involucra a todas las medidas anteriores en forma Preventiva, Perceptiva y Correctiva.
30. La Seguridad busca …
Proteger la Confidencialidad de la información contra accesos no autorizados.
Evitar alteraciones indebidas que pongan en peligro la Integridad de la información.
Garantizar la Disponibilidad de la información.
La Seguridad es instrumentada por ….
Políticas y Procedimientos de Seguridad que permiten la identificación y control de
amenazas y punto débiles, con el fin de preservar la Integridad, Confidencialidad y
Disponibilidad de la Información.
31. ANALISIS DE RIESGOS
POLITICAS DE SEGURIDAD
ESPECIFICACIONES DE SEGURIDAD
ADMINISTRACION DE SEGURIDAD
MEDIDAS DE SEGURIDAD
ACTIVO
EMPRESA
PROCESO DE LA
COMUNICACION
INFORMACION
EQUIPOS
PERSONAS
VULNERABILIDAD
RIESGO
PLAN DE CONTINGENCIA
AMENAZA
VULNERABILIDAD HUMANA
VULNERABILIDAD DE COMUNICACION
VULNERABILIDAD DE ALMACENAMIENTO
VULNERABILIDAD DE SOFTWARE
VULNERABILIDAD DE HARDWARE
VULNERABILIDAD NATURAL
VULNERABILIDAD FISICA
PREVENTIVA
PERCEPTIVA
CORRECTIVA
promueve
compone
tipos
presenta
elimina
generaataca
controla
tipos
tipos
implementa
enfrenta
acciones
32. Fuente: Academia Latinoamericana de Seguridad Informática – Microsoft TechNet
Don’t be a copy, be original
SEGURIDAD INFORMATICA