Presentación sobre los conceptos aprendidos en las tres unidad de la asignatura Seguridad de la informática

1. Conceptos sobre
seguridad de la
Informática
UNIVERSIDAD ABIERTA Y A DISTANCIA DE MÉXICO
AUTOR: RAFAEL RODRÍGUEZ LINARES

2. Seguridad de los sistemas de información
Proteger los recursos del SI:
Hardware
Software
Componentes de Telecomunicaciones
Información y bases de datos
Espacios físicos
Usuario
Imagen de la organización

3. La Triada de la seguridad
Confidencialidad Integridad Disponibilidad
El acceso a la
información y a los
sistemas es
únicamente para
las personas
autorizadas
Proteger a la
información contra
pérdidas o
alteraciones no
autorizadas
La información
debe estar
disponible cuando
el usuario la
necesite

4. NIVELES DE SEGURIDAD
RAMÍREZ (2012) HERRERÍAS (1991) CALLE (1997)
 Infraestructura tecnológica
(Hardware)
 Nivel lógico (Software)
 Factor humano
 Primer nivel: Entorno
nacional o local
 Segundo nivel: Entorno
organizacional
 Tercer nivel: Seguridad
física
 Cuarto nivel: Seguridad en
Hardware
 Quinto nivel: Seguridad en
Software
 Sexto nivel: Seguridad en
datos
 Nivel C1 (seguridad
mínima)
 Nivel C2 (acceso controlado
y restricciones a usuarios)
 Nivel B1 (Protección de
seguridad etiquetada)
 Nivel B2 (Protección
estructurada)
 Nivel B3 (Dominios de
seguridad)
 Nivel A (Diseño verificado)

5. Análisis de riesgos y amenazas
“El análisis de riesgos y amenazas es
un componente clave en la seguridad
de la información. Su propósito
fundamental es identificar los activos
involucrados en una organización, sus
metodologías y procesos para estimar
el riesgo asociado, desde el punto de
vista de la administración de la misma”
(Cuenca, 2012).

6. Clasificación de la seguridad informática
SEGURIDAD FÍSICA
Es la aplicación de barreras y controles de
acceso para proteger los recursos y la
información de una organización
Proporciona preparación contra amenazas
como:
•Desastres naturales
•Amenazas provocadas por el hombre de
forma accidental
•Amenazas provocadas por el hombre de
forma deliberada
SEGURIDAD LÓGICA
La seguridad lógica es aquella
relacionada con la protección del
software, los sistemas operativos y los
datos.
Se relaciona con:
•Antivirus
•Administración de usuarios
•Protección durante la transmisión de
información

7. Malware
DEFINICIÓN
Es todo aquel software que tiene como
propósito afectar la información o bien
los sistemas que la procesan,
almacenan y transmiten
TIPOS
Virus
Gusanos
Rootkits
Spyware
Pishing
Troyanos
Spam
Rogue Software

8. Criptografía
DEFINICIÓN
Técnica utilizada para ocultar
la información de manera tal
que, un usuario que no
conozca las claves para
descifrarla no pueda acceder
a la información
CLAUDE SHANNON
Padre de las técnicas de la criptografía
moderna

9. Clasificación de los algoritmos
criptográficos
CLAVE PRIVADA O CIFRADO
SIMÉTRICO
Se utiliza una sola clave para cifrar y
descifrar los mensajes y criptogramas
CLAVE PÚBLICA O CIFRADO
ASIMÉTRICO
Se utilizan dos claves una pública y una
privada. La clave pública se puede
compartir y publicar, mientras que la clave
privada se debe mantener en secreto

10. Certificados
DEFINICIÓN
Es un documento digital único
que garantiza la vinculación entre
una persona o entidad con su
llave pública.
Debe ser expedidos por una
Autoridad Certificadora (CA)
ELEMENTOS QUE LO CONFORMAN
oNombre del propietario
oDirección
oCorreo electrónico
oOrganización a la que pertenece
oClave pública del propietario
oPeriodo de validez
oNúmero de serie único
oNombre de la CA que emitió el certificado
oFirma digital de la CA

11. Firmas digitales
DEFINICIÓN
Es un medio de identificación
que se añade a un resumen de
mensaje. Permite garantizar la
identidad del emisor del mensaje
(debido a que es única) e indicar
que el mensaje no ha sido
modificado durante la
transmisión.
PERMITE GARANTIZAR
oAutenticidad
oNo repudio
oConfidencialidad

12. Mecanismos de seguridad en los
sistemas informáticos
MODELOS DE SEGURIDAD
Seguridad
por
obscuridad
Seguridad del
perímetro
Seguridad en
profundidad
Se ocultan
los puntos
débiles del
sistema
Se
refuerzan
los puntos
de acceso a
las redes
Consiste en
agregar
capas al
sistema de
seguridad
MECANISMOS DE PREVENCIÓN
a) Unicidad
b) Control de enrutamiento
c) Tráfico de relleno
d) Cifrado/encriptación
e) Gestión de claves
f) Cortafuegos
g) Filtrado de paquetes
h) Proxy de aplicación
i) Monitoreo de la actividad

13. Metodología para el desarrollo de
proyectos de seguridad informática
Etapas de la metodología del DRII: 1. Inicio y administración del proyecto
2. Evaluación y control del riesgo
3. Análisis de impacto al negocio (BIA)
4. Desarrollo de estrategias de continuidad del negocio
5. Respuesta a la emergencia y estabilización
6. Desarrollo e implementación de planes de
continuidad del negocio
7. Programas de concientización y entrenamiento
8. Prueba y mantenimiento de los planes de
continuidad del negocio
9. Relaciones públicas y coordinación de la crisis
10. Coordinación con las autoridades públicas

14. Plan de continuidad de negocio (BCP)
Es un plan cuyo objetivo es
mantener las operaciones de
la organización en un nivel
mínimo aceptable durante
una emergencia. Contiene
los procedimientos y
estrategias necesarios para la
reanudación de los procesos.

15. Plan de recuperación de desastres (DRP)
Es un documento que define
los procedimientos, las
estrategias, los roles y las
responsabilidades para
recuperar y mantener el
servicio de tecnología ante
un evento de interrupción.