1. Nombre y Clave de la Materia o Asignatura:
Seguridad Informática.
Carrera: Ingeniería en Desarrollo de Software.
Facilitador (a): MC Ricardo Rodríguez Nieves Semestre: octavo semestre
Alumno: Raymundo Santana Espinoza.
Matricula: AL 12534897
Tema: seguridad informática
OCT-DIC 2017.
2. Seguridad en la información. Es la protección
de la información contra divulgación,
alteración o destrucción no autorizada.
La seguridad en general abarca mas
factores que solo asegurarla:
– Aplicaciones seguras
– Sistemas operativos seguros
– ServidoresWeb seguros
– Ambiente de red seguro
3. Confidencialidad tiene que ver con la
divulgación indebida de información.
• Integridad esta relacionada con la
modificación indebida de información o
procesos.
• Disponibilidad tiene que ver con la
negación indebida de acceso a la
información. El termino denegación de
servicio también es usado como sinónimo
de disponibilidad.
4. PREVENCIÓN, DETECCIÓN Y TOLERANCIA.
• La Prevención asegura que las infracciones de seguridad no ocurran. La técnica
básica es que el sistema examine cada acción y verifique su cumplimiento con la
política de seguridad antes de permitir que esto ocurra. Esta técnica es llamada
Control de Acceso.
• La Detección asegura que suficiente historial de la actividad en el sistema sea
registrada en una pista de auditoria, de modo que un fallo de seguridad puede ser
detectado después de que sucede. Esta técnica se denomina Auditoría.
• Tolerancia, algunos fallos de seguridad son tolerados; porque son demasiados
caros para prevenir o detectar, o la probabilidad de que ocurran es considerada
suficientemente baja, o las medidas de seguridad son aceptables para los usuarios
solo hasta cierto punto razonable.
5. SEGURIDAD FISICA
Control de Acceso en los sistemas actuales
•La autenticación típica requiere que el usuario provea sus credenciales de identidad (nombre de
usuario, numero de operador, etc.) junto con una contraseña o alguna otra ficha (token) de autenticación.
•La autenticación puede ser llevada acabo por el SO, DBMS o un servidor de autenticación especial
(Radius,TACACS).
SEGURIDAD LOGICA
Los controles de acceso pueden ser impuestos en varios grados de granularidad en un sistema. Algunas
posibilidades son enumeradas a continuación:
–La base de datos completa
–Alguna colección de relaciones (UNION, INTERSECT, EXCEPT, CROSSJOIN, SELECT)
–Una relación
–Algunas columnas de una relación
–Algunos registros de una relación
–Algunas columnas de algunos registros de una relación
6. •Asegurar la red
Evaluar la seguridad de la red
•¿Están aseguradas durante el transito
las conexiones críticas al ambiente de la
base de datos?
•¿Son seguras las estaciones de trabajo
del DBA?
Evaluar la segregación de ambientes
•¿Se encuentran completamente
segregados los ambientes de prueba,
desarrollo y producción?
•¿Se conservan los datos de producción
fuera de los ambientes de desarrollo y
pruebas?
• VIRUS:
Programa de cómputo que se replica a sí mismo
a través de un contenedor con capacidad de
ejecución (archivos ejecutables, macros, boot
sector).
Han evolucionado desde el contagio “físico”, al
contagio “por red”, a la explotación de
vulnerabilidades en aplicaciones.
Cada vez su velocidad de contagio es mayor vs.
la aparición de parches y vacunas.
GUSANO
TROYANO
HOAX
SPAM
SPYWAREW
PHISHING
7. Se entiende por seguridad de la información a todas aquellas medidas
preventivas y reactivas del hombre, de las organizaciones y de los sistemas
tecnológicos que permitan resguardar y proteger la información buscando
mantener la confidencialidad, la disponibilidad e Integridad de la misma.
Sun Tzu en El arte de la guerra y Nicolás Maquiavelo en El Príncipe señalan la
importancia de la información sobre los adversarios y el cabal conocimiento de
sus propósitos para la toma de decisiones.
CONCEPCION DE LA SEGURIDAD
Crítica: Es indispensable para la operación de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo
aviso y producir numerosas pérdidas para las empresas. Los riesgos más
perjudiciales son a las tecnologías de información y comunicaciones.
Seguridad: Es una forma de protección contra los riesgos.
8. Los sistemas criptográficos asimétricos o de clave pública son aquellos en que cada una de las dos personas (A y B), que
se van a intercambiar mensajes entre si, disponen de un par de claves diferentes (privada y pública) que tienen las
siguientes características:
Una de las claves, la privada, que es secreta, debe ser custodiada por su propietario.
Esta es la que se va a utilizar para firmar mensajes.
La segunda clave, la pública, es o puede ser conocida por cualquiera y puede utilizarse
para cifrar el mensaje de modo que solo pueda ser leído por el propietario de dicha
clave –ya que sólo él podrá descifrar el mensaje usando su clave privada-.
Los mensajes firmados con una clave privada sólo pueden validarse empleando la clave
pública de quien envió a mensaje.
La utilización del par de claves (privada e pública) supone que:
Para enviar un mensaje confidencial (cifrado):
A (emisor) cifra un mensaje utilizando para ello la clave pública de B (receptor) y, una vez cifrado, se lo envía a B.
B es el único que puede descifrar el mensaje recibido utilizando su clave privada.
Los simétricos o de clave privada.
Los sistemas criptográficos simétricos aquellos en los que dos
personas (A y B), que van intercambiar mensajes entre si,
utilizan ambos la misma clave para cifrar y descifrar el mensaje.
Así, el emisor del mensaje (A), lo cifra utilizando una
determinada clave y, una vez cifrado, se lo envía a B. Recibido el
mensaje, B lo descifra utilizando la misma clave que usó A para
cifrarlo.
Destacan entre os sistemas criptográficos simétricos los
conocidos por los nombres DEAS, TDES e AES.
9. Asegurar el ambiente físico
Evaluar la Seguridad Física
•¿Se encuentran los controles de acceso físico en su lugar para prevenir accesos
no autorizados a los datos, los sistemas y las redes donde residen los datos?
•¿Están los controles de acceso lógicos y físicos en su lugar con el fin de bloquear
los dispositivos móviles?
•¿Existen los controles para la disposición segura de dispositivos y sistemas que
contienen datos sensibles?