TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
Seguridad Informática - UTS
1. Universidad Tecnológica
del Sur de Sonora
Seguridad
Informática
José Manuel Acosta
Septiembre 2010
2. Seguridad Informática
Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías
permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto,
es fundamental saber qué recursos de la compañía necesitan protección para así controlar
el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos
procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.
Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el
cual permite a los empleados conectarse a los sistemas de información casi desde cualquier
lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de
la infraestructura segura de la compañía.
3. El Concepto de la
Seguridad Informática
- La seguridad informática es una disciplina que se relaciona a diversas técnicas,
aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la
información de un sistema informático y sus usuarios.
Técnicamente es imposible lograr un sistema informático ciento por ciento seguro, pero
buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos.
- La seguridad informática es el área de la informática que se enfoca en la protección de la
infraestructura computacional y todo lo relacionado con esta (incluyendo la información).
Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la información.
4. El Concepto de la
Seguridad Informática
- Seguridad informática, técnicas desarrolladas para proteger los equipos informáticos
individuales y conectados en una red frente a daños accidentales o intencionados. Estos
daños incluyen el mal funcionamiento del hardware, la pérdida física de datos y el acceso a
bases de datos por personas no autorizadas.
- Como disciplina se focaliza en las herramientas, procesos, y métodos necesarios para
diseñar, implementar y testear sistemas, así como adaptarlos a medida que sus ambientes
evolucionan
5. Riesgos
Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente
ecuación.
riesgo = (amenaza * vulnerabilidad) / contra medida
La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la
vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el
grado de exposición a las amenazas en un contexto particular. Finalmente, la contra medida
representa todas las acciones que se implementan para prevenir la amenaza.
Las contra medidas que deben implementarse no sólo son soluciones técnicas, sino
también reflejan la capacitación y la toma de conciencia por parte del usuario, además de
reglas claramente definidas.
Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto,
conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este informe es
brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas,
y dar una idea de cómo funcionan para conocer la mejor forma de reducir el riesgo de
intrusiones.
6. Objetivos de la
Seguridad Informática
La seguridad informática se resume, por lo general, en cinco objetivos principales:
* Integridad: garantizar que los datos sean los que se supone que son
* Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los
recursos que se intercambian
* Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
* Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
* Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los
recursos
7. Qué Protege ?
* La información
Se ha convertido en uno de los elementos más importantes y valiosos dentro de una
organización. La seguridad informática debe sea administrada según los criterios
establecidos por los administradores y supervisores, evitando que usuarios externos y no
autorizados puedan acceder a ella sin autorización. De lo contrario la organización corre el
riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o
que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra función
de la seguridad informática en esta área es la de asegurar el acceso a la información en el
momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daños o
pérdida producto de accidentes, atentados o desastres.
8. Qué Protege ?
* La infraestructura computacional
Una parte fundamental para el almacenamiento y gestión de la información, así como para
el funcionamiento mismo de la organización. La función de la seguridad informática en esta
área es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de
robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier
otro factor que atente contra la infraestructura informática.
9. Qué Protege ?
* Los usuarios
Son las personas que utilizan la estructura tecnológica, de comunicaciones y que gestionan
la información. La seguridad informática debe establecer normas que minimicen los riesgos
a la información o infraestructura informática. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de
usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de
seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la
organización en general.
10. Qué Se Necesita ?
Requiere expertise interdisciplinaria:
Criptografía
Seguridad Computacional (Computer Security)
Hardware tamper-resistance
Métodos formales
Psicología aplicada
Métodos organizacionales y de auditoría
11. Protección
Protección de los activos (éstos deben ser conocidos)
Tipos de protección:
Prevención: tomar medidas que prevengan el daño de los activos
Detección: detectar cuándo, cómo y por quién un activo ha sido dañado
Reacción: medidas que permitan recuperar el activo o remediar el daño
causado al mismo
Ejemplo: uso de tarjetas de crédito en Internet
12. Tipos de Seguridad
Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control,
como medidas de prevención y contra medidas ante amenazas a los recursos e información
confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor
del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo;
implementados para proteger el hardware y medios de almacenamiento de datos.
13. Tipos de Seguridad
Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el
acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido
debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica.
Los objetivos que se plantean serán:
- Restringir el acceso a los programas y archivos.
- Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
- Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el
procedimiento correcto.
- Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y
no a otro.
- Que la información recibida sea la misma que ha sido transmitida.
- Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
- Que se disponga de pasos alternativos de emergencia para la transmisión de información.