Hernandez_Hernandez_Practica web de la sesion 12.pptx
10 leyes seguridad informática
1. MAESTRIA EN SISTEMAS COMPUTACIONALES
Catedrático: Dr. José Ruiz Ayala
Alumno: Ing. Fernando Alfonso Casas De la Torre
BASES DE DATOS
Las 10 Leyes de la
Seguridad Informática
2. ¿Qué hace el Administrador de Sistemas?¿Qué hace el Administrador de Sistemas?
3. Seguridad de Sistemas Informáticos
Según la Real Academia de la Lengua, SEGURIDAD es la cualidad de «seguro»,
es decir, libre y exento de todo daño, peligro o riesgo.
En Informática como en tantas facetas de la vida la seguridad es prácticamente
imposible de conseguir por lo que se ha relajado la meta acercándose mas al
concepto de FIABILIDAD; se tiene entonces un sistema como seguro cuando
aquel que se comporta como se espera de él.
La figura del Administrador de Sistemas
(SysAdmin) cobra aquí importancia relevante
ya que pos su conocimiento y capacidad es
el custodio de los sistemas de información y
la infraestructura tecnológica que la respalda
por lo que debe de tomar medidas y tener
mecanismos para que todo funcione de
manera segura y estar preparado ante
imprevistos.
4. Según dicho estudio, el 15,5% de las empresas
encuestadas ha aumentado sus presupuestos en 2014
para combatir estos riesgos, mientras que el 57,1%
los mantendrá sin cambios. En su elaboración han
participado entidades de hasta 10.000 empleados y la
mayoría coinciden en que las vulnerabilidades que
sufren hacen referencia a aspectos tales como las
fugas de información, fraude y robo de datos o la falta
de desarrollo de un software seguro, entre otros.
LOS 10 PRINCIPALES RIESGOS INFORMÁTICOS
Fugas de información, fraude y robo de datos, vulnerabilidad en la web o falta de un plan de
continuidad de negocio son algunos de los riesgos de las empresas que afectan al impacto
económico a nivel nacional. La consultora tecnológica Necsia en España ha elaborado un
informe sobre la seguridad de la información e infraestructura tecnológica de las empresas
españolas con el objetivo de «detectar los principales riesgos que sufren hoy en día».
Seguridad de Sistemas Informáticos
5. LOS 10 PRINCIPALES RIESGOS INFORMÁTICOS
1. Deficiente control de acceso a las aplicaciones: El 48% de los
participantes ha detectado que, en su compañía, el acceso de los
trabajadores a las aplicaciones debería estar mejor controlado.
2. Existencia de vulnerabilidades web: El 47% de las empresas afirman
que este año han detectado vulnerabilidades web mediante ‘hacking éticos’
que pueden permitir accesos indebidos a información sensible de la
compañía.
3. Falta de formación y concienciación: La necesidad de potenciar la
formación y concienciación en materia de seguridad de la información tanto
al personal interno como a los socios de negocio se ha detectado en un
45% de las empresas encuestadas. El factor humano es de vital relevancia
para prevenir los ciberataques avanzados.
Seguridad de Sistemas Informáticos
6. LOS 10 PRINCIPALES RIESGOS INFORMÁTICOS
4. Proceso de gestión de incidentes de seguridad: La inexistencia o
necesidad de mejora de la respuesta ante un incidente de seguridad ha sido
identificada por el 44,6% de los interlocutores que han participado en el
estudio.
5. Existencia de cambios regulatorios: El 43% ha reflejado la complejidad
de adaptarse a los nuevos cambios regulatorios tanto legales como
normativos que aplican a cada sector.
6. Control de acceso a la red: El 42% de las empresas dicen que están en
riesgo debido a la falta o, en ocasiones, inexistencia de control de los accesos
de los usuarios internos y terceros tales como proveedores o invitados a la red
corporativa.
7. Fugas de información: La fuga de datos es uno de los mayores riesgos a
los que se exponen las compañías en la actualidad, según reconoce el 41’3%
de las empresas.
Seguridad de Sistemas Informáticos
7. LOS 10 PRINCIPALES RIESGOS INFORMÁTICOS
8. Fraude y robo de información: El 40’3% de las compañías afirman
que existe una gran vulnerabilidad en los llamados filtros informativos, lo
que provoca que el fraude y robo de la información sea más común de lo
que aparenta ser.
9. Falta de planificación de continuidad de negocio: Una pandemia, un
pequeño incendio o un cambio significativo sobre todo entre los miembros
de la cúpula directiva de una compañía provoca que sea estrictamente
necesario contar con una planificación de la continuidad del negocio,
según un 32,5% de las empresas.
10. Desarrollo de software seguro: La creciente utilización de
herramientas informáticas para mecanizar los procesos de negocio ha
provocado que el 39,8% de los encuestados identifique los aspectos de
seguridad de la información como aspectos clave en el ciclo de vida del
desarrollo de software.
Seguridad de Sistemas Informáticos
8. AMENAZAS DE SEGURIDAD
Se entiende por AMENAZA una condición del entorno del sistema
de información (persona, maquina, etc.) que dada una
oportunidad podría dar lugar a que se genere una VIOLACION
DE SEGURIDAD.
Seguridad de Sistemas Informáticos
9. De los sistemas informáticos, ya sean operativos , bases de datos, servicios o
aplicaciones se dice que son seguros si cumplen las siguientes características:
CONFIDENCIALIDAD: Requiere que la información sea accesible únicamente
por las entidades autorizadas
INTEGRIDAD: Requiere que la información solo pueda ser modificada por la
entidades autorizadas. La modificación incluye escritura, cambio, borrado,
creación y reactivación de la información trasmitida.
NO REPUDIO: Ofrece protección a un usuario frente a otro usuario que niegue
posteriormente que realzo cierta operación. Esta protección se efectúa por medio
de una colección de evidencias irrefutables que permitirán la resolución de
cualquier controversia.
DISPONIBILIDAD: Requiere que los recursos del sistema informático , ya sean
operativos , bases de datos, servicios o aplicaciones estén disponibles a las
entidades autorizadas cuando los necesiten.
Seguridad de Sistemas Informáticos
10. LAS DIEZ LEYES INMUTABLES DE LA SEGURIDAD
Scout Group, de Microsoft Security Response Center publicaron en el año 2000
un articulo titulado “The Ten Laws of Security” en el que indica las leyes que hay
que tener en cuenta para mantener la seguridad de un sistema informático.
A continuación se reproducen los diez puntos de dicho articulo.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
11. LEY # 1
Si alguien lo puede persuadir para que usted ejecute el programa de
él en su computadora, ésta ya deja de ser su computadora.
Normalmente el intruso o atacante hará uso de la INGENIERÍA SOCIAL para
convencerlo de ejecutar una aplicación aparentemente “inofensiva”, tiende a
verse a través de correos electrónicos, tarjetas de felicitación electrónicas, que
incluyen algún tipo de troyano o virus diseñado para hacer daño.
Por ejemplo, la difusión del virus ILOVEYOU tuvo éxito
porque los usuarios impacientes abrieron el correo que
tenia una secuencia de comandos que llegaba oculta en
el mismo correo electrónico. Una vez instalado el código
este supervisaba as actividades del equipo informando
los resultados al atacante.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
12. LEY # 2
Si alguien puede alterar el sistema operativo de su computadora,
ésta ya deja de ser su computadora.
Estrecha relación con la Ley 1, pues si de alguna manera el atacante altera el
sistema operativo de su equipo, lo siento pero lo has perdido.
El sistema operativo es de manera
metafórica el “alma” del PC, es
quien efectúa y controla cada
proceso que se debe realizar. Tiene
acceso a toda la información
almacenada en el equipo pues es
este quien permite esa interacción
entre el hardware y el usuario. Al ser
alterado el sistema operativo
quedara a merced del atacante.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
13. LEY # 3
Si alguien tiene acceso físico sin restricción a su computadora,
ésta ya no es su computadora.
Algo común entre las 3 primeras leyes es que su computadora ya no será suya.
Suena intimidatorio, pero creo que para esta ley aplica el doble. Si alguien puede
acceder a su computadora físicamente está absolutamente deja de ser su
computadora.
Es una ley que aplica para todos, pero sobre todo
aquellos que utilizan equipos móviles como
portátiles, SmartPhone´s, PDA´s, etc. donde
almacenan información importante. Sin embargo
cualquiera que pueda acceder a su PC de
escritorio puede entre tantas cosas, retirar el disco
duro (o rígido) y llevárselo robando su información,
que después de todo es lo más valioso para cada
uno por la información personal y única que posee.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
14. LEY # 4
Si usted le permite a alguien subir programas a su sitio Web,
éste sitio deja de ser suyo.
Muy acorde esta ley con el «Movimiento de la libertad de compartir información».
Si se tiene un sitio web o ftp que desea compartir con el mundo, se debe limitar el
acceso de sus visitantes y usuarios y con mas razón si se tiene que compartir con
publico en general.
No permita que se suban a su sitio Web o
FTP archivos desconocidos o de dudosa
procedencia. Estos se descargaran en su
equipo y el de sus visitantes y las 2
primeras leyes entraran en vigencia.
Restringa a sus usuarios y solo permita
privilegios a sus colaboradores y no
saboteadores. Al final esto repercutirá en la
imagen de la organización y en posibles
problemas de virus y hasta sabotajes.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
15. LEY # 5
Las contraseñas débiles atentan contra la seguridad fuerte
Los mejores sistemas de seguridad se han visto violentados por la existencia de
usuarios con passwords débiles que pueden sucumbir ante un ataque de fuerza
bruta. Como administrador de red se debe obligar a que los usuarios implementen
passwords fuertes y que incluyan caracteres especiales como @ $ & # así como
letras en mayúsculas, minúsculas y números.
La recomendación es la sustitución de letras
por símbolos o números, p.ej:
Password = P@$sW0rD.
Puede usar el siguiente sitio para comprobar
fortaleza de contraseñas:
https://password.es/comprobador/
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
16. LEY # 6
Un sistema o máquina es tan segura
como confiable sea el administrador.
Una mala pero muy arraigada práctica es dejar a los usuarios como
administradores de los equipos o a nivel personal, logearse o ingresar a nuestros
equipos con una cuenta con privilegio de administrador. Este tipo de usuario tiene
control total sobre el sistema sobre el cual está trabajando lo que permitirá
ejecutar procesos desconocidos y tal vez dañinos para el sistema.
Se recomienda que mientras se trabaje en
una sesión en aplicaciones básicas, Office,
correo, Internet, etc. Se haga con una cuenta
de usuario estándar y de requerir instalar algo
autentico o vital o que pueda afectar la
configuración, use entonces la cuenta de
administrador.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
17. LEY # 7
Los datos encriptados son tan seguros
como la clave de desencriptación.
Ningún algoritmo de cifrado protegerá el texto cifrado de cualquier ataque en
caso de que este posea o pueda conseguir la clave de descifrado.
¿Se saltó la Ley 5?? Regrese y léala
porque está estrechamente relacionada
con esta ley. Si nuestra paranoia es tal, y
desconfiamos de todo al punto que cada
archivo en nuestro pc o correo que
enviamos va debidamente codificado y
encriptado, pero tu password de
descripción es “débil” has perdido tu tiempo
y tu paranoia. Siga las recomendaciones
de la Ley 5.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
18. LEY # 8
Un antivirus desactualizado sólo es ligeramente mejor
que ningún antivirus virus en absoluto.
Siempre aparecerán nuevos virus, gusanos y caballo s de Troya y los ya
existentes evolucionan. Por lo tanto el software antivirus puede quedarse
desfasado rápidamente por lo que es de suma importancia tener el antivirus
actualizado.
Si se tiene antivirus con licencia de 3 o 6 meses que
venía con la pc nueva… de hace 1 año??? Lo siento
pero esa pc está infectada. El antivirus se debe
mantener actualizado, si se tiene presupuestado
comprar uno, use al menos uno gratuito pero de
buena reputación. Mantenga el sistema operativo
actualizado en línea y use software referenciado para
conocer las vulnerabilidades del equipo y su solución.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
19. LEY # 9
El anonimato absoluto no es práctico, ni en la vida real ni en la Web.
Hay dos aspectos que se confunden: PRIVACIDAD y ANONIMATO. El
ANONIMATO significa que la identidad y detalles de u usuario son desconocidos
e imposibles de rasrear, mientras que PRIVACIDAD significa que la identidad y
detalles de la misma nos e revelaran.
Internet está lleno de formularios que
pretenden que sean llenados por Ud. Con sus
datos reales. Sea celoso con su información, el
anonimato no lo llevara a ninguna parte y
menos si es un internauta reconocido. La
privacidad es esencial y la tecnología y leyes
ayudan a conseguirlo, por otro lado el
anonimato ni es practico ni es posible al estar
en la internet.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
20. LEY # 10
La tecnología no es una panacea
Se dice que si algo no está en Google es porque no existe. La verdad??
Obviamente no es cierto, solo es un truco publicitario para este conocido
buscador. La tecnología ha brindado un sin número de beneficios en todo el
mundo, sin embargo la solución a sus problemas no siempre la encontrara en la
red, no todo es perfecto, por el contrario también hay peligros, errores de
sistemas, villanos al acecho, etc.
Tratar de tener un sistema 100% seguro es
imposible, cada día podemos hacerlo “más” seguro
pero siempre habrá quien quiera hacer algún tipo
de daño. El software que tenemos instalado es
imperfecto pero nos ayuda en nuestras actividades,
los virus son detectables e imperfectos pero
también llegan a cometer sus oscuras actividades.
Si Ud. Es un usuario de la tecnología asegure sus
sistema actualizándolo y con sentido común.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
21. LEY # 10
La tecnología no es una panacea
Se dice que si algo no está en Google es porque no existe. La verdad??
Obviamente no es cierto, solo es un truco publicitario para este conocido
buscador. La tecnología ha brindado un sin número de beneficios en todo el
mundo, sin embargo la solución a sus problemas no siempre la encontrara en la
red, no todo es perfecto, por el contrario también hay peligros, errores de
sistemas, villanos al acecho, etc.
Tratar de tener un sistema 100% seguro es
imposible, cada día podemos hacerlo “más” seguro
pero siempre habrá quien quiera hacer algún tipo
de daño. El software que tenemos instalado es
imperfecto pero nos ayuda en nuestras actividades,
los virus son detectables e imperfectos pero
también llegan a cometer sus oscuras actividades.
Si Ud. Es un usuario de la tecnología asegure sus
sistema actualizándolo y con sentido común.
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
22. BIBLIOGRAFÍA:
Administración de Sistemas Operativos, un enfoque practico
Juio Gómez López. Ed. Alfaomega, 2da Edición (2011).
Wikipedia
https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico
Blog Prevencion y Seguridad
https://prevencionyseguridad.wordpress.com/2014/04/11/entre-el-plan-de-emergencia-y-el-plan-de-contingencia/ (2015)
Las 10 Leyes de la Seguridad InformáticaLas 10 Leyes de la Seguridad Informática
23. ¡ GRACIAS POR SU ATENCION !¡ GRACIAS POR SU ATENCION !
MAESTRIA EN SISTEMAS COMPUTACIONALES
Expuso:
Ing. Fernando Alfonso Casas De la Torre
Matricula: 1713019