1. Asunto: Conferencia sobre Seguridad Informática.
Ponente: Ing. Daniel González Rojas
Título: Ingeniero Informático.
Participantes: Estudiantes de Ingeniería en Sistemas e
Ingeniería Industrial.
Seguridad Informática
2. Seguridad Informática
Introducción (I)
- En la actualidad muchas personas utilizan la tecnología
para un uso inadecuado.
- Diariamente se descubren nuevos puntos débiles y no todos
comprenden la importancia de la seguridad informática para las
empresas.
- Las universidades juegan un papel importante en el proceso de
formación y el claustro de profesores tiene una gran responsabilidad
para formar profesionales capaces de aplicar con ética los conocimientos
adquiridos para contribuir al desarrollo socio - económico del país.
3. Seguridad Informática
Seguridad Informática (SI): El conjunto de métodos y herramientas
destinados a proteger los bienes (o activos) informáticos de una entidad.
La información es el activo más importante de cualquier entidad o empresa
y precisamente la SI persigue como objetivo mantener la confidencialidad,
integridad y disponibilidad de la información. (Pfleeger, 2007).
Conceptos básicos (I)
4. Seguridad Informática
- La confidencialidad está dada cuando solo las personas autorizadas
tienen acceso a la información.
- La disponibilidad cuando solo la información puede ser accedida por
personas autorizadas, cuando deseen.
- La integridad consiste en garantizar que la información no sufra
modificación o alteración alguna con excepción de las personas
autorizadas para ello.
A continuación se definen dichos conceptos:
Conceptos básicos (II)
5. Seguridad Informática
Cuando no se cumple con alguno de estos tres objetivos puede decirse que
la información se encuentra expuesta a vulnerabilidades.
La vulnerabilidad en un sistema puede identificarse como la debilidad
que cuando se localiza es utilizada para ocasionar daños al sistema.
La amenaza está dada por un número de situaciones que pueden
ocasionar daños y/o pérdida de información.
Un ataque no es más que la realización de una amenaza.
Conceptos básicos (III)
6. Seguridad Informática
Las cuatro categorías generales de amenazas o ataques son:
Interrupción: Un recurso del sistema es destruido o se vuelve no
disponible. Este es un ataque contra la disponibilidad.
Intercepción: Una entidad no autorizada consigue acceso a un
recurso. Este es un ataque contra la confidencialidad.
Modificación: Una entidad no autorizada no sólo consigue acceder a
un recurso, sino que es capaz de manipularlo. Este es
un ataque contra la integridad.
Fabricación: Una entidad no autorizada inserta objetos falsificados en
el sistema. Este es un ataque contra la autenticidad.
Conceptos básicos (IV)
7. Seguridad Informática
Ejemplos de ataques pasivos a la información (I)
Ingeniería social: Es la práctica de obtener información confidencial
a través de la manipulación de usuarios legítimos.
Monitorización : Es el uso de un sistema que monitoriza
una red de computadoras buscando brechas de
seguridad.
En los ataques pasivos el atacante no altera la comunicación,
sino que únicamente la escucha o monitoriza.
Sus objetivos son la intercepción de datos y el análisis de tráfico.
8. Seguridad Informática
Ejemplos de ataques activos a la información (I)
Suplantación de identidad: Es la apropiación de la identidad de
una persona: hacerse pasar por esa
persona.
Reactuación: Uno o varios mensajes legítimos son
capturados y repetidos para producir un
efecto no deseado.
Modificación de mensajes: Una porción del mensaje legítimo es
alterada, o reordenados, para producir
un efecto no autorizado.
9. Seguridad Informática
Ejemplos de ataques activos a la información (II)
Degradación del servicio: Impide o inhibe el uso normal o la gestión de
recursos informáticos y de comunicaciones.
Los ataques activos implican algún tipo de modificación del flujo de
datos transmitido o la creación de un falso flujo de datos.
10. Seguridad Informática
Mecanismos básicos de seguridad informática (I)
Autenticación: Definimos la Autenticación como la verificación de la
identidad del usuario.
1. Por lo que uno sabe (una contraseña).
2. Por lo que uno tiene (una tarjeta magnética).
3. Por lo que uno es (las huellas digitales).
Es posible autenticarse de tres maneras:
11. Seguridad Informática
Mecanismos básicos de seguridad informática (II)
La utilización de más de un método a la vez aumenta las probabilidades de
que la autenticación sea correcta.
La técnica más usual (aunque no siempre bien) es la autenticación
utilizando contraseñas.
Este método será mejor o peor dependiendo de las características de
la contraseña.
Para que la contraseña sea difícil de adivinar debe tener un conjunto de
caracteres amplio y variado (con minúsculas, mayúsculas y números).
12. Seguridad Informática
Mecanismos básicos de seguridad informática (III)
Autorización: Definimos la Autorización como el proceso por el cual se
determina qué, cómo y cuándo, un usuario autenticado
puede utilizar los recursos de la organización.
El mecanismo o el grado de autorización puede variar dependiendo
de qué sea lo que se está protegiendo.
Dependiendo del recurso la autorización puede hacerse por medio de
la firma en un formulario o mediante una contraseña.
Solo se debe dar autorización a acceder a un recurso a aquellos
usuarios que lo necesiten para hacer su trabajo.
13. Seguridad Informática
Mecanismos básicos de seguridad informática (IV)
Administración: Definimos la Administración como la que establece,
mantiene y elimina las autorizaciones de los usuarios del
sistema.
Los administradores son responsables de transformar las políticas
de la organización y las autorizaciones otorgadas a un formato que
pueda ser usado por el sistema.
Normalmente los sistemas operativos disponen de módulos específicos
de administración de seguridad.
También existe software externo y específico que se puede utilizar
dependiendo de la situación.
14. Seguridad Informática
Mecanismos básicos de seguridad informática (V)
Auditoría: Definimos la Auditoría como la continua vigilancia
de los servicios en producción.
Este proceso permite a los administradores verificar que las técnicas
de autenticación y autorización utilizadas se realizan según lo
establecido.
Registro: Es el mecanismo por el cual cualquier intento de violar las
reglas de seguridad establecidas queda almacenado en una
base de eventos para luego analizarlo.
Monitorear la información registrada o auditar se puede realizar
mediante medios manuales o automáticos.
15. Seguridad Informática
Mecanismos básicos de seguridad informática (VI)
Mantenimiento de la integridad: Es el conjunto de procedimientos
establecidos para evitar o controlar que los
archivos sufran cambios no autorizados.
Dentro de las técnicas más utilizadas para mantener la integridad de los
datos están: uso de antivirus, encriptación y funciones 'hash'.
16. Seguridad Informática
Vulnerabilidad de los sistemas informáticos (I)
En un sistema informático lo que queremos proteger son sus activos,
es decir, los recursos que forman parte del sistema.
Estos se agrupan en:
Hardware: Elementos físicos del sistema informático.
Software: Elementos lógicos o programas que se ejecutan sobre
el hardware.
Datos: Comprenden la información lógica que procesa el
software haciendo uso del hardware.
17. Seguridad Informática
Vulnerabilidad de los sistemas informáticos (II)
El activo más crítico son los datos. El resto se puede reponer con
facilidad y los datos, sabemos que dependen de que la empresa tenga
una buena política de copias de seguridad.
Esto puede suponer para la empresa, por ejemplo, la dificultad o
imposibilidad de reponer dichos datos con lo que conllevaría a la pérdida
de tiempo y dinero.
18. Seguridad Informática
Vulnerabilidad de los sistemas informáticos (III)
Vulnerabilidad: Es la debilidad de cualquier tipo que compromete la
seguridad del sistema informático.
Estas las podemos agrupar en función de:
Diseño
- Debilidad en el diseño de protocolos utilizados en las redes.
- Políticas de seguridades deficientes e inexistentes.
Implementación
- Errores de programación.
- Existencia de “puertas traseras” en los sistemas informáticos.
- Descuido de los fabricantes.
19. Seguridad Informática
Vulnerabilidad de los sistemas informáticos (IV)
Uso
- Mala configuración de los sistemas informáticos.
- Desconocimiento y falta de sensibilización de los usuarios y de
los responsables de informática.
- Disponibilidad de herramientas que facilitan los ataques.
- Limitación gubernamental de tecnologías de seguridad.
20. Seguridad Informática
Protección de los sistemas informáticos (I)
Hoy es imposible hablar de un sistema cien por ciento seguro, porque el
costo de la seguridad total es muy alto.
En algunas organizaciones puntuales, tener un sistema de seguridad
muy acotado les impediría hacer más negocios.
Si un Hacker quiere gastar cien mil dólares en equipos para descifrar
una encriptación, lo puede hacer porque es imposible de controlarlo.
21. Seguridad Informática
Protección de los sistemas informáticos (II)
Algunas organizaciones gubernamentales y no gubernamentales
internacionales han desarrollado documentos, directrices y
recomendaciones que orientan en el uso adecuado de las nuevas
tecnologías.
Se debe hacer un análisis de las posibles amenazas contra los
sistema informáticos, una estimación de las pérdidas y un estudio de
las probabilidades de que ocurran.
A partir de este análisis se diseñara una política de seguridad en la
que se establezcan las responsabilidades y reglas a seguir para
evitar las amenazas o minimizar los efectos si se llegan a producir.
22. Seguridad Informática
Políticas de seguridad informática (I)
Política de seguridad: Es un documento que define las directrices
organizativas en materia de seguridad.
Esta se implementa mediante una serie de mecanismos de
seguridad que constituyen las herramientas para la protección del
sistema.
23. Seguridad Informática
Políticas de seguridad informática (II)
Los mecanismos de seguridad se dividen en tres grupos:
Prevención: Evitan desviaciones respecto a la política de seguridad.
Detección: Detectan las desviaciones si se producen, violaciones o
intentos de violación de la seguridad del sistema.
Recuperación: Se aplican cuando se ha detectado una violación de la
seguridad del sistema para recuperar su normal
funcionamiento.
24. Seguridad Informática
Políticas de seguridad informática (III)
El objetivo de la Política de Seguridad es mostrar el posicionamiento de la
organización con relación a la seguridad y servir de base para desarrollar
los procedimientos de seguridad.
La empresa debe disponer de un documento formalmente elaborado
sobre el tema y que debe ser divulgado entre todos los empleados.
Lo más importante para que estas surtan efecto es lograr el entendimiento y
compromiso de todos los involucrados.
25. Seguridad Informática
Políticas de seguridad informática (IV)
Las políticas deben contener claramente las prácticas que serán
adoptadas por la compañía.
Deben ser revisadas y si es necesario actualizadas periódicamente.
A partir de las políticas se podrá comenzar a desarrollar las normas
y los procedimientos de seguridad que serán la guía para la
realización de las actividades en la empresa.
La seguridad informática de una compañía depende de que los
empleados (usuarios) aprendan las reglas definidas para la
institución.
26. Seguridad Informática
Políticas de seguridad informática (VI)
La política de seguridad es el documento de referencia que define
los objetivos de seguridad y las medidas que deben implementarse
para tener la certeza de alcanzar estos objetivos.
27. Seguridad Informática
Conclusiones (I)
Sin lugar a duda la seguridad informática es vital para el desarrollo
de cualquier negocio o empresa que use equipos de cómputo para
su funcionamiento.
Es necesario e imprescindible que todo profesional de la carrera
de sistemas o afines adquiera estos conocimiento.
En su labor de una forma u otra estarán vinculados en esta tarea.
28. Seguridad Informática
Bibliografía
Pfleeger, C. P. (2007). Security in Computing.
Villalón. (2014, 9 2). Monográfico. Retrieved 9 2, 2014, from Monográfico:
http://recursostic.educacion.es/observatorio/web/ca/software/software-
general/1040-introduccion-a-la-seguridad-informatica?start=4.
Wikipedia. (2014, Agosto 1). Retrieved Agosto 1, 2014, from
http://es.wikipedia.org/wiki/Monitorizaci%C3%B3n_de_redes.
Wikipedia. (2014, Agosto 1). Retrieved Agosto 1, 2014, from
http://es.wikipedia.org/wiki/Robo_de_identidad.
Wikipedia. (2014, Agosto 1). www.wikipedia.com. Retrieved Julio 1, 2014, from
http://es.wikipedia.org/wiki/Ingenieria_social(seguridad_informatica).