SlideShare una empresa de Scribd logo

seguridad basica informática

Jorge Pfuño
Jorge Pfuño

Conceptos básicos sobre seguridad en informatica

Ingeniería
1 de 12
Descargar para leer sin conexión
1 PROGRAMA DE FORMACIÓN GESTIÓN DE LA SEGURIDAD INFORMATICA Actividad de aprendizaje1: Fundamentos de TIC, Modelos de negocios y Seguridad informática CONTENIDO Contenido Tema 4 - Seguridad informática .............................1 Objetivos de la seguridad informática: ...............2 Confidencialidad..................................................3 Autenticación.......................................................3 Integridad ............................................................3 Protección a la réplica .........................................3 Reclamación de origen ........................................3 Reclamación de propiedad..................................3 No repudiación ....................................................4 Confirmación de la prestación de un servicio .....4 Referencia temporal (certificación por fechas)...4 Autorización (control de acceso a equipos y servicios)..............................................................4 Auditabilidad o trazabilidad ................................4 Disponibilidad del servicio...................................4 Anonimato en el uso de los servicios ..................5 Certificación mediante terceros de confianza.....5 Técnicas y mecanismos de seguridad en las que se puede recurrir para ofrecer los servicios de seguridad:............................................................5 Consecuencia de la falta de seguridad:..............5 Tema 5: Elementos vulnerables en el sistema informático: amenazas ............................................6 Personas...............................................................6 Amenazas lógicas ............................................7 Amenazas físicas..................................................8 Tema 6: Seguridad en redes ....................................8 Amenazas externas:.............................................9 Amenazas internas: .............................................9 Algunos tipos de ataques informáticos en redes: .......................................................................... 10 1. Ataque de denegación de servicio:............... 10 2. Man in the middle......................................... 10 3. Ataques de REPLAY:...................................... 10 Referencias ........................................................... 10 Tema 4 - Seguridad informática La seguridad informática en los últimos tiempos ha tenido una mayor acogida entre usuarios y trabajadores de las empresas debido que en internet, se encuentran muchos peligros, por ende ser consciente que el mal uso del sistema o de una red informática puede comprometer la confidencialidad, autenticidad o integridad de la información es en la actualidad tema de importancia, debido que puede causar la ejecución normal de las operaciones de una empresa al verse bloqueado el acceso de los usuarios autorizados en el sistema.
2 Debido a lo anterior, la norma ISO 7498 define la Seguridad Informática como “Una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización”.1 Objetivos de la seguridad informática: o Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad. o Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema. o Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad. o Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos. Para cumplir con estos objetivos, una organización debe contemplar cuatro planos de actuación: Servicios de seguridad de la información Para alcanzar los objetivos es necesario contemplar los servicios de seguridad de la información, estos son: _______ 1. Villarrubia, C. (Sin fecha). Seguridad y Alta disponibilidad adopción de pautas de seguridad informática. Consultado el 30 de noviembre en: http://arco.esi.uclm.es/~david.villa/segurida d/pautas.2x4.pdf Plano humano - Sensibilización y formación - Funciones, obligaciones y responsabilidades del personal - Control y supervisión de los empleados Plano Técnico - Selección, instalación, configuración y actualización de soluciones Hardware y software - Criptografía - Estandarización de productos - Desarrollo seguro de aplicaciones Plano Organizacional - Políticas, normas y procedimientos - Planes de contingencia y respuesta a incidentes - Relaciones con terceros (clientes, proveedores…) Plano legislación - Cumplimiento y adaptación a la legislación vigente (LOPD, LSSI, LGT, firma electrónica, código penal, propiedad intelectual) 1 2 3 4 5Figura 1. Gómez (2011). Planos de actuación en la seguridad informática
3 Imagen 1. Fuente: ( Landahlauts, 2011) Confidencialidad - Datos almacenados en un equipo. - Datos guardados en dispositivos de backup. - Datos trasmitidos a través de redes de comunicaciones. Autenticación - De entidad (usuario o equipo)  Unilateral: cuando se garantiza la identidad del equipo usuario o terminal que se intenta conectar a la red.  Mutua: en el caso de que la red o el servidor también se autentica de cara al equipo, usuario o terminal que establece la conexión. - Del origen de los datos. Garantiza que un mensaje o fichero no ha sido modificado desde su creación o durante su transmisión a través de la red informática Integridad Protección a la réplica Impide la realización de ataques de repetición (replay attacks) por parte de usuarios maliciosos, consistentes en la intercepción y posterior reenvío de mensajes para tratar de engañar al sistema y provocar operaciones no deseadas Reclamación de propiedad Reclamación de origen El sistema, permite probar quien ha sido el creador de un determinado mensaje o documento Permite probar que un determinado documento o contenido digital está protegido por derechos de autor (canción, video, libro…) y pertenece a un determinado usuario u organización que ostenta la titularidad de los derechos de autor.
4 Imagen 2. Fuente: (Isaias. 2008). No repudiación Confirmación de la prestación de un servicio Referencia temporal (certificación por fechas) Autorización (control de acceso a equipos y servicios) Auditabilidad o trazabilidad Disponibilidad del servicio Implementa un mecanismo probatorio que permita demostrar la autoría y envío de un determinado mensaje, de tal modo que el usuario que lo ha creado y enviado a través del sistema no pueda posteriormente negar esta circunstancia o situación que también aplica al destinatario del envío. Confirma la realización de una operación o transacción, reflejando los usuarios o entidades que han intervenido en ésta. Se consigue demostrar el instante concreto, en que se ha enviado un mensaje o se ha realizado una determinada operación. Busca controlar el acceso de los usuarios a los distintos equipos y servicios ofrecidos por el sistema informático, una vez superado el proceso de autenticación de cada usuario. Permite registrar y monitorizar la utilización de los distintos recursos del sistema por parte de los usuarios que han sido previamente autenticados y autorizados. Recuperación del sistema frente a posibles incidentes de seguridad, así como frente a desastres naturales o intencionados (incendios, inundaciones, sabotajes), de nada sirven los demás servicios de seguridad si el sistema informático, no se encuentra disponible para que pueda ser utilizado por su legítimo usuario o propietario.
5 Técnicas y mecanismos de seguridad en las que se puede recurrir para ofrecer los servicios de seguridad: o Identificación de usuario o Control lógico de acceso a los recursos o Copias de seguridad o Centros de respaldo o Cifrado de las transmisiones o Huella digital de mensajes o Sellado temporal de mensajes o Utilización de la forma electrónica o Protocolos criptográficos o Análisis y filtrado de tráfico (cortafuegos) o Servidores proxy o Sistema de detección de intrusiones (IDS) o Antivirus Consecuencia de la falta de seguridad: 1. Pérdidas ocasionadas por horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes. 2. Robo de información confidencial y su posible revelación a terceros no autorizados. 3. Filtración de datos personales de usuarios registrados en el sistema. 4. Pérdida de credibilidad en los mercados, pérdida de confianza por parte de los clientes, daño a la reputación e imagen de la empresa. 5. Perdida de pedidos, impacto en la calidad del servicio, retrasos en los procesos de producción, pérdida de oportunidades de negocio. 6. Pago de indemnizaciones por daños y perjuicios a terceros, teniendo que afrontar responsabilidades legales y la imposición de sanciones administrativas. Anonimato en el uso de los servicios Certificación mediante terceros de confianza Es la utilización de determinados servicios dentro de las redes y sistemas informáticos, que garantizan el anonimato de los usuarios que acceden a los recursos y consumen determinados tipos de servicios, preservando de este modo su privacidad. Organismo que se encarga de certificar la realización de diversas operaciones además de avalar la identidad de los intervinientes, dotando de este modo a las transacciones electrónicas de un respaldo jurídico que de una mayor seguridad a estas.
6 Tema 5: Elementos vulnerables en el sistema informático: amenazas Las amenazas de un sistema informático, pueden provenir de diferentes fuentes, sean estas un hacker remoto que entra al sistema a través de un troyano, programas de descarga gratuita que ayuda a gestionar fotos pero es una puerta trasera a nuestro sistema permitiendo la entrada de espías. Las amenazas pueden ser provocadas por: Personas Ultima instancia de personas que intencionada o inintencionadamente causan enormes pérdidas, por lo general se conocen como piratas que intentan conseguir el máximo nivel de privilegio a través de agujeros del software. Imagen 3. Fuente: (Lobo, 2006) Hay diferentes tipos de personas que pueden constituir un riesgo para nuestros sistemas y que se dividen en dos grupos: Los atacantes pasivos: aquellos que fisgonean por el sistema pero no lo modifican o destruyen caso contrario a los atacantes activos que dañan el sistema del objetivo atacado o lo modifican a su favor. En ese orden de ideas esta:  El personal: nadie mejor que el propio personal de la organización para conocer el sistema y sus debilidades.  Ex empleados: personas descontentas con la organización que pueden aprovechar debilidades de un sistema que conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus o simplemente conectarse al sistema como si aún trabajaran para la organización, conseguir el privilegio necesario y dañarlo de la forma que deseen incluso chantajeando a sus ex compañeros o ex jefes.  Curiosos: atacantes más habituales del sistema simplemente para comprobar que es posible romper la seguridad de un sistema concreto, aunque en su mayoría se trata de ataques no destructivos no benefician en absoluto al entorno de fiabilidad que se pueda generar en un determinado sistema.  Hacker: término para describir un experto en programación, es utilizado con frecuencia con un sentido negativo, para describir a una persona, que intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa, aunque no siempre tiene que ser esa su finalidad.  Cracker: describe una persona que
7 intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa.  Intrusos remunerados: piratas con gran experiencia en problemas de seguridad y un amplio conocimiento del sistema que son pagados por una tercera persona generalmente para robar secretos o simplemente para dañar la imagen, de la entidad afectada. Imagen 4. Fuente: (Lobo, 2006) Amenazas lógicas En estas, se encuentran todo tipo de programas que pueden dañar al sistema, estos programas, son creados de forma intencionada para ello (software malicioso conocido como malware) o por error (bugs o agujeros). Entre esos están:  Software incorrectos: errores de programación denominados bugs, los programas utilizados para aprovechar uno de estos fallos y atacar al sistema, se llaman exploits.  Herramientas de seguridad: cualquier herramienta de seguridad representa un arma de doble filo: de la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistema o en la subred completa, un potencial intruso las puede utilizar para detectar esos mismo fallos y aprovecharlos para atacar los equipos.  Puertas traseras: atajos que los programadores insertan en el desarrollo de aplicaciones grandes o sistemas operativos para la autenticación del programa o del núcleo que se está diseñando.  Bombas lógicas: parte de código de ciertos programas que permanecen sin realizar ninguna función hasta que son activadas, generalmente se trata de una acción perjudicial.  Canales cubiertos u ocultos: canales de comunicación que permiten transferir información sea local o de forma remota, de forma que viole la política de seguridad del sistema.  Virus: secuencia de código que se inserta en un fichero ejecutable (denominado huésped) de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a sí mismo en otros programas.  Gusanos: programa capaz de ejecutarse y propagarse por si mismo a través de redes portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos.
8  Caballos de troya: son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.  Programa conejo o bacterias: programas que no hacen nada útil, sino que simplemente se dedican a reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco…) produciendo una negación de servicio. Imagen 5. Fuente: (Salinas, 2007) Amenazas físicas Son aquellas que pueden afectar a la seguridad y por tanto al funcionamiento de los sistemas, estos son:  Robos, sabotajes, destrucción de sistemas  Cortes, subidas y bajadas bruscas de suministro eléctrico  Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas extremas que afecten al comportamiento normal de los componentes informáticos  Las catástrofes (naturales o artificiales) amenazas menos probables contra entornos habituales simplemente por su ubicación geográfica Tema 6: Seguridad en redes Personas y organizaciones dependen en la actualidad de sus computadoras. Las herramientas de correo electrónico, administración de archivos, contabilidad y gestión de la información, resultan de vital importancia en una empresa. Debido a esto, las intrusiones de personas no autorizadas en la red causan interrupciones costosas y perdidas de trabajo. De estos ataques, surgen cuatro tipos de amenazas:  Robo de información  Robo de identidad  Perdida y manipulación de datos  Interrupción del servicio
9 Imagen 6. Fuente: Arana. (2010) Las amenazas de seguridad causadas por intrusos en la red, pueden originarse tanto en forma interna como externa Amenazas externas: provienen de personas que trabajan fuera de una organización. Estas personas, no tienen autorización para acceder al sistema o a la red de la computadora. Los atacantes externos logran introducirse en la red principalmente desde internet, enlaces inalámbricos o servidores de acceso por marcación o dial-up Amenazas internas: se originan cuando una persona cuenta con acceso autorizado a la red a través de una cuenta de usuario o tienen acceso físico al equipo de la red. Un atacante conoce la política interna y las personas. Por lo general conocen información valiosa y vulnerable y saben cómo acceder a esta. Imagen 7. Fuente: Arana. (2010). Muchas de las organizaciones destinan dinero para defenderse contra los ataques externos y no tienen presente que la mayor parte de las amenazas son de origen interno. Para un intruso obtener acceso interno o externo, lo hace, aprovechando las conductas humanas. Este es un método común de explotación de las debilidades humanas que se le denomina ingeniería social En el contexto de la seguridad de computadoras y redes, la ingeniería social hace referencia a una serie de técnicas utilizadas para engañar a los usuarios internos a fin de que realicen acciones específicas o revelen información confidencial. Se les considera uno de los enlaces más débiles en lo que se refiere a la seguridad. La concepción de soluciones de seguridad de red, comienza con una evaluación del alcance completo de los delitos informáticos. Los denunciados, que tienen implicaciones en la seguridad de la red y tienen más
10 frecuencia son:  Abuso del acceso a la red por parte de personas que pertenecen a la organización.  Virus.  Suplantación de identidad en los casos en los que una organización está representada de manera fraudulenta como el emisor.  Uso indebido de la mensajería instantánea.  Denegación del servicio, caída de servidores.  Acceso no autorizado a la información.  Robo de información de los clientes o de los empleados.  Abuso de la red inalámbrica.  Penetración en el sistema.  Fraude financiero.  Detección de contraseñas.  Registro de claves.  Alteración de sitios web.  Uso indebido de una aplicación web publica. Algunos tipos de ataques informáticos en redes: 1. Ataque de denegación de servicio: también llamado DoS (Deny of Service) es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, provocando la perdida de la conectividad de las red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la victima 2. Man in the middle: A veces abreviado MitM, es una situación donde el atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas 3. Ataques de REPLAY: una forma de ataque de red, en el cual una transmisión de datos valida, es maliciosa o fraudulenta repetida o retardada. Referencias COSTAS, S. Jesús, Seguridad Informática. Editorial Ra-Ma. España 2011. GOMEZ V., Álvaro, Seguridad informática: Básico. Ecoe Ediciones, Bogotá 2011. Villarrubia, C. (Sin fecha). Seguridad y Alta disponibilidad adopción de pautas de seguridad informática. Consultado el 30 de noviembre en: http://arco.esi.uclm.es/~david.villa/segurida d/pautas.2x4.pdf
11 CONTROL DE DOCUMENTO Autores Nombre Cargo Dependencia Fecha Expertos temáticos Jenny Marisol Henao Garcia Experta Temática Sena - Centro de Diseño e Innovación Tecnológica Industrial –Regional Risaralda. Diciembre 12 de 2013 Yuly Paulin Saenz Agudelo Experta Temática Sena - Centro de Diseño e Innovación Tecnológica Industrial –Regional Risaralda. Diciembre 12 de 2013 Revisión John Jairo Alvarado González Guionista Sena - Centro de Diseño e Innovación Tecnológica Industrial –Regional Risaralda. Diciembre 17 de 2013 Andrés Felipe Valencia Pimienta Líder línea de producción Sena - Centro de Diseño e Innovación Tecnológica Industrial –Regional Risaralda Diciembre 17 de 2013
12 CRÉDITOS Equipo Línea de Producción, SENA Centro de diseño e innovación tecnológica industria, Dosquebradas Líder línea de producción: Andrés Felipe Valencia Pimienta Apoyo línea de producción: Carlos Andrés Mesa Montoya Asesor pedagógico: Edward Abilio Luna Díaz Elaboración de contenidos expertas temáticas: Yuly Paulín Sáenz Giraldo Yenny Marisol Henao García Guionistas: John Jairo Alvarado González Gabriel Gómez Franco Diseñadores: Lina Marcela Cardona Mario Fernando López Cardona Desarrolladores Front End: Julián Giraldo Rodríguez Ricardo Bermúdez Osorio Cristian Fernando Dávila López

Recomendados

Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datosLeonel Ibarra
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datosJuvenal Hernandez
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosImperva
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinAlfredo Carrascal
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJose Alvarado Robles
 
Auditoria de la seguridad lógica
Auditoria de la seguridad lógicaAuditoria de la seguridad lógica
Auditoria de la seguridad lógicabertcc
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 

Recomendados

Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datosLeonel Ibarra
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datosJuvenal Hernandez
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosImperva
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinAlfredo Carrascal
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJose Alvarado Robles
 
Auditoria de la seguridad lógica
Auditoria de la seguridad lógicaAuditoria de la seguridad lógica
Auditoria de la seguridad lógicabertcc
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Disertacion de administración de los riesgos
Disertacion de administración de los riesgosDisertacion de administración de los riesgos
Disertacion de administración de los riesgosIng. LucioJAP
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochureJuan Francisco Rivas Figueroa
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datososandcr
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloDavid Moreno Saray
 
Estrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityEstrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityXelere Seguridad
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere Seguridad
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaVal Glizz Ayala Cifuentes
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crsJesus Ortiz
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencialguestfb90a7
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOTavo Adame
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
Vulnerabilidades y soluciones
Vulnerabilidades y solucionesVulnerabilidades y soluciones
Vulnerabilidades y solucionesCarlos Andres Perez Cabrales
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crsCarlos Andres Perez Cabrales
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3Andrea Ramirez
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
redes y seguridad Evidencias 3
redes y seguridad Evidencias 3redes y seguridad Evidencias 3
redes y seguridad Evidencias 3Carlos Andres Perez Cabrales
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Informpachiuss
 
Taller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaTaller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaEdwar Diaz
 

Más contenido relacionado

La actualidad más candente

Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Disertacion de administración de los riesgos
Disertacion de administración de los riesgosDisertacion de administración de los riesgos
Disertacion de administración de los riesgosIng. LucioJAP
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datososandcr
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Estrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityEstrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityXelere Seguridad
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere Seguridad
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencialguestfb90a7
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOTavo Adame
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 

La actualidad más candente (20)

Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
 
Disertacion de administración de los riesgos
Disertacion de administración de los riesgosDisertacion de administración de los riesgos
Disertacion de administración de los riesgos
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datos
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 
Estrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityEstrategia: Xelere - IBM Security
Estrategia: Xelere - IBM Security
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadar
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencial
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de Vulnerabilidades
 
Vulnerabilidades y soluciones
Vulnerabilidades y solucionesVulnerabilidades y soluciones
Vulnerabilidades y soluciones
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
 
redes y seguridad Evidencias 3
redes y seguridad Evidencias 3redes y seguridad Evidencias 3
redes y seguridad Evidencias 3
 

Similar a seguridad basica informática

Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Informpachiuss
 
Taller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaTaller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaEdwar Diaz
 
Taller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaTaller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaedwardiaz00
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosHECTOR JAVIER
 
Administración en centros de cómputo
Administración en centros de cómputoAdministración en centros de cómputo
Administración en centros de cómputoMariaSandraCG
 
Administración en centros de cómputo
Administración en centros de cómputoAdministración en centros de cómputo
Administración en centros de cómputoMariaSandraCG
 
Conferencia seguridad informatica
Conferencia seguridad informaticaConferencia seguridad informatica
Conferencia seguridad informaticaDaniel Gonzalez
 
presentación seguridad informatica amara
presentación seguridad informatica amarapresentación seguridad informatica amara
presentación seguridad informatica amarainformaticarascanya
 
1a seguridad-informatica
1a seguridad-informatica1a seguridad-informatica
1a seguridad-informaticacandybravo
 
Seguridad informatica entorno
Seguridad informatica entornoSeguridad informatica entorno
Seguridad informatica entornojorgetor98
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥97vega
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥978079218
 
Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática Elizabeth González
 

Similar a seguridad basica informática (20)

Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
 
Taller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaTaller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informatica
 
Taller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informaticaTaller intruduccion a la ingenierian seguridad informatica
Taller intruduccion a la ingenierian seguridad informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informatica
 
Tema1_I.pdf
Tema1_I.pdfTema1_I.pdf
Tema1_I.pdf
 
Tema1_I.pdf
Tema1_I.pdfTema1_I.pdf
Tema1_I.pdf
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
Administración en centros de cómputo
Administración en centros de cómputoAdministración en centros de cómputo
Administración en centros de cómputo
 
Administración en centros de cómputo
Administración en centros de cómputoAdministración en centros de cómputo
Administración en centros de cómputo
 
Conferencia seguridad informatica
Conferencia seguridad informaticaConferencia seguridad informatica
Conferencia seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Copia de seguridad informática
Copia de seguridad informáticaCopia de seguridad informática
Copia de seguridad informática
 
presentación seguridad informatica amara
presentación seguridad informatica amarapresentación seguridad informatica amara
presentación seguridad informatica amara
 
1a seguridad-informatica
1a seguridad-informatica1a seguridad-informatica
1a seguridad-informatica
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicos
 
Seguridad informatica entorno
Seguridad informatica entornoSeguridad informatica entorno
Seguridad informatica entorno
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
 
Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática
 

Último

AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxAMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxLuisvila35
 
Electricidad y electronica industrial unidad 1
Electricidad y electronica industrial unidad 1Electricidad y electronica industrial unidad 1
Electricidad y electronica industrial unidad 1victorrodrigues972054
 
produccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptxproduccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptxEtse9
 
Sistema de Gestión de Freelancers (Base de Datos)
Sistema de Gestión de Freelancers (Base de Datos)Sistema de Gestión de Freelancers (Base de Datos)
Sistema de Gestión de Freelancers (Base de Datos)dianamateo1513
 
Físicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y VectoresFísicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y VectoresSegundo Silva Maguiña
 
Topografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la IngenieríasTopografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la IngenieríasSegundo Silva Maguiña
 
Estacionamientos, Existen 3 tipos, y tienen diferentes ángulos de inclinación
Estacionamientos, Existen 3 tipos, y tienen diferentes ángulos de inclinaciónEstacionamientos, Existen 3 tipos, y tienen diferentes ángulos de inclinación
Estacionamientos, Existen 3 tipos, y tienen diferentes ángulos de inclinaciónAlexisHernandez885688
 
Fe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptFe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptVitobailon
 
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfCONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfErikNivor
 
Clase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptxClase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptxPaolaVillalba13
 
Conservatorio de danza Kina Jiménez de Almería
Conservatorio de danza Kina Jiménez de AlmeríaConservatorio de danza Kina Jiménez de Almería
Conservatorio de danza Kina Jiménez de AlmeríaANDECE
 
Edificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCEdificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCANDECE
 
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)ssuser6958b11
 
Biología molecular ADN recombinante.pptx
Biología molecular ADN recombinante.pptxBiología molecular ADN recombinante.pptx
Biología molecular ADN recombinante.pptxluisvalero46
 
Diagrama de flujo metalurgia del cobre..pptx
Diagrama de flujo metalurgia del cobre..pptxDiagrama de flujo metalurgia del cobre..pptx
Diagrama de flujo metalurgia del cobre..pptxHarryArmandoLazaroBa
 
Fisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdfFisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdfJessLeonelVargasJimn
 
NOM-002-STPS-2010, combate contra incendio.pptx
NOM-002-STPS-2010, combate contra incendio.pptxNOM-002-STPS-2010, combate contra incendio.pptx
NOM-002-STPS-2010, combate contra incendio.pptxJairReyna1
 
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBRQUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBRyanimarca23
 
trabajos en altura 2024, sistemas de contencion anticaidas
trabajos en altura 2024, sistemas de contencion anticaidastrabajos en altura 2024, sistemas de contencion anticaidas
trabajos en altura 2024, sistemas de contencion anticaidasNelsonQuispeQuispitu
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEANDECE
 

Último (20)

AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxAMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
 
Electricidad y electronica industrial unidad 1
Electricidad y electronica industrial unidad 1Electricidad y electronica industrial unidad 1
Electricidad y electronica industrial unidad 1
 
produccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptxproduccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptx
 
Sistema de Gestión de Freelancers (Base de Datos)
Sistema de Gestión de Freelancers (Base de Datos)Sistema de Gestión de Freelancers (Base de Datos)
Sistema de Gestión de Freelancers (Base de Datos)
 
Físicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y VectoresFísicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y Vectores
 
Topografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la IngenieríasTopografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la Ingenierías
 
Estacionamientos, Existen 3 tipos, y tienen diferentes ángulos de inclinación
Estacionamientos, Existen 3 tipos, y tienen diferentes ángulos de inclinaciónEstacionamientos, Existen 3 tipos, y tienen diferentes ángulos de inclinación
Estacionamientos, Existen 3 tipos, y tienen diferentes ángulos de inclinación
 
Fe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptFe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.ppt
 
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfCONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
 
Clase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptxClase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptx
 
Conservatorio de danza Kina Jiménez de Almería
Conservatorio de danza Kina Jiménez de AlmeríaConservatorio de danza Kina Jiménez de Almería
Conservatorio de danza Kina Jiménez de Almería
 
Edificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCEdificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRC
 
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
 
Biología molecular ADN recombinante.pptx
Biología molecular ADN recombinante.pptxBiología molecular ADN recombinante.pptx
Biología molecular ADN recombinante.pptx
 
Diagrama de flujo metalurgia del cobre..pptx
Diagrama de flujo metalurgia del cobre..pptxDiagrama de flujo metalurgia del cobre..pptx
Diagrama de flujo metalurgia del cobre..pptx
 
Fisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdfFisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdf
 
NOM-002-STPS-2010, combate contra incendio.pptx
NOM-002-STPS-2010, combate contra incendio.pptxNOM-002-STPS-2010, combate contra incendio.pptx
NOM-002-STPS-2010, combate contra incendio.pptx
 
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBRQUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
 
trabajos en altura 2024, sistemas de contencion anticaidas
trabajos en altura 2024, sistemas de contencion anticaidastrabajos en altura 2024, sistemas de contencion anticaidas
trabajos en altura 2024, sistemas de contencion anticaidas
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSE
 

seguridad basica informática

  • 1. 1 PROGRAMA DE FORMACIÓN GESTIÓN DE LA SEGURIDAD INFORMATICA Actividad de aprendizaje1: Fundamentos de TIC, Modelos de negocios y Seguridad informática CONTENIDO Contenido Tema 4 - Seguridad informática .............................1 Objetivos de la seguridad informática: ...............2 Confidencialidad..................................................3 Autenticación.......................................................3 Integridad ............................................................3 Protección a la réplica .........................................3 Reclamación de origen ........................................3 Reclamación de propiedad..................................3 No repudiación ....................................................4 Confirmación de la prestación de un servicio .....4 Referencia temporal (certificación por fechas)...4 Autorización (control de acceso a equipos y servicios)..............................................................4 Auditabilidad o trazabilidad ................................4 Disponibilidad del servicio...................................4 Anonimato en el uso de los servicios ..................5 Certificación mediante terceros de confianza.....5 Técnicas y mecanismos de seguridad en las que se puede recurrir para ofrecer los servicios de seguridad:............................................................5 Consecuencia de la falta de seguridad:..............5 Tema 5: Elementos vulnerables en el sistema informático: amenazas ............................................6 Personas...............................................................6 Amenazas lógicas ............................................7 Amenazas físicas..................................................8 Tema 6: Seguridad en redes ....................................8 Amenazas externas:.............................................9 Amenazas internas: .............................................9 Algunos tipos de ataques informáticos en redes: .......................................................................... 10 1. Ataque de denegación de servicio:............... 10 2. Man in the middle......................................... 10 3. Ataques de REPLAY:...................................... 10 Referencias ........................................................... 10 Tema 4 - Seguridad informática La seguridad informática en los últimos tiempos ha tenido una mayor acogida entre usuarios y trabajadores de las empresas debido que en internet, se encuentran muchos peligros, por ende ser consciente que el mal uso del sistema o de una red informática puede comprometer la confidencialidad, autenticidad o integridad de la información es en la actualidad tema de importancia, debido que puede causar la ejecución normal de las operaciones de una empresa al verse bloqueado el acceso de los usuarios autorizados en el sistema.
  • 2. 2 Debido a lo anterior, la norma ISO 7498 define la Seguridad Informática como “Una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización”.1 Objetivos de la seguridad informática: o Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad. o Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema. o Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad. o Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos. Para cumplir con estos objetivos, una organización debe contemplar cuatro planos de actuación: Servicios de seguridad de la información Para alcanzar los objetivos es necesario contemplar los servicios de seguridad de la información, estos son: _______ 1. Villarrubia, C. (Sin fecha). Seguridad y Alta disponibilidad adopción de pautas de seguridad informática. Consultado el 30 de noviembre en: http://arco.esi.uclm.es/~david.villa/segurida d/pautas.2x4.pdf Plano humano - Sensibilización y formación - Funciones, obligaciones y responsabilidades del personal - Control y supervisión de los empleados Plano Técnico - Selección, instalación, configuración y actualización de soluciones Hardware y software - Criptografía - Estandarización de productos - Desarrollo seguro de aplicaciones Plano Organizacional - Políticas, normas y procedimientos - Planes de contingencia y respuesta a incidentes - Relaciones con terceros (clientes, proveedores…) Plano legislación - Cumplimiento y adaptación a la legislación vigente (LOPD, LSSI, LGT, firma electrónica, código penal, propiedad intelectual) 1 2 3 4 5Figura 1. Gómez (2011). Planos de actuación en la seguridad informática
  • 3. 3 Imagen 1. Fuente: ( Landahlauts, 2011) Confidencialidad - Datos almacenados en un equipo. - Datos guardados en dispositivos de backup. - Datos trasmitidos a través de redes de comunicaciones. Autenticación - De entidad (usuario o equipo)  Unilateral: cuando se garantiza la identidad del equipo usuario o terminal que se intenta conectar a la red.  Mutua: en el caso de que la red o el servidor también se autentica de cara al equipo, usuario o terminal que establece la conexión. - Del origen de los datos. Garantiza que un mensaje o fichero no ha sido modificado desde su creación o durante su transmisión a través de la red informática Integridad Protección a la réplica Impide la realización de ataques de repetición (replay attacks) por parte de usuarios maliciosos, consistentes en la intercepción y posterior reenvío de mensajes para tratar de engañar al sistema y provocar operaciones no deseadas Reclamación de propiedad Reclamación de origen El sistema, permite probar quien ha sido el creador de un determinado mensaje o documento Permite probar que un determinado documento o contenido digital está protegido por derechos de autor (canción, video, libro…) y pertenece a un determinado usuario u organización que ostenta la titularidad de los derechos de autor.
  • 4. 4 Imagen 2. Fuente: (Isaias. 2008). No repudiación Confirmación de la prestación de un servicio Referencia temporal (certificación por fechas) Autorización (control de acceso a equipos y servicios) Auditabilidad o trazabilidad Disponibilidad del servicio Implementa un mecanismo probatorio que permita demostrar la autoría y envío de un determinado mensaje, de tal modo que el usuario que lo ha creado y enviado a través del sistema no pueda posteriormente negar esta circunstancia o situación que también aplica al destinatario del envío. Confirma la realización de una operación o transacción, reflejando los usuarios o entidades que han intervenido en ésta. Se consigue demostrar el instante concreto, en que se ha enviado un mensaje o se ha realizado una determinada operación. Busca controlar el acceso de los usuarios a los distintos equipos y servicios ofrecidos por el sistema informático, una vez superado el proceso de autenticación de cada usuario. Permite registrar y monitorizar la utilización de los distintos recursos del sistema por parte de los usuarios que han sido previamente autenticados y autorizados. Recuperación del sistema frente a posibles incidentes de seguridad, así como frente a desastres naturales o intencionados (incendios, inundaciones, sabotajes), de nada sirven los demás servicios de seguridad si el sistema informático, no se encuentra disponible para que pueda ser utilizado por su legítimo usuario o propietario.
  • 5. 5 Técnicas y mecanismos de seguridad en las que se puede recurrir para ofrecer los servicios de seguridad: o Identificación de usuario o Control lógico de acceso a los recursos o Copias de seguridad o Centros de respaldo o Cifrado de las transmisiones o Huella digital de mensajes o Sellado temporal de mensajes o Utilización de la forma electrónica o Protocolos criptográficos o Análisis y filtrado de tráfico (cortafuegos) o Servidores proxy o Sistema de detección de intrusiones (IDS) o Antivirus Consecuencia de la falta de seguridad: 1. Pérdidas ocasionadas por horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes. 2. Robo de información confidencial y su posible revelación a terceros no autorizados. 3. Filtración de datos personales de usuarios registrados en el sistema. 4. Pérdida de credibilidad en los mercados, pérdida de confianza por parte de los clientes, daño a la reputación e imagen de la empresa. 5. Perdida de pedidos, impacto en la calidad del servicio, retrasos en los procesos de producción, pérdida de oportunidades de negocio. 6. Pago de indemnizaciones por daños y perjuicios a terceros, teniendo que afrontar responsabilidades legales y la imposición de sanciones administrativas. Anonimato en el uso de los servicios Certificación mediante terceros de confianza Es la utilización de determinados servicios dentro de las redes y sistemas informáticos, que garantizan el anonimato de los usuarios que acceden a los recursos y consumen determinados tipos de servicios, preservando de este modo su privacidad. Organismo que se encarga de certificar la realización de diversas operaciones además de avalar la identidad de los intervinientes, dotando de este modo a las transacciones electrónicas de un respaldo jurídico que de una mayor seguridad a estas.
  • 6. 6 Tema 5: Elementos vulnerables en el sistema informático: amenazas Las amenazas de un sistema informático, pueden provenir de diferentes fuentes, sean estas un hacker remoto que entra al sistema a través de un troyano, programas de descarga gratuita que ayuda a gestionar fotos pero es una puerta trasera a nuestro sistema permitiendo la entrada de espías. Las amenazas pueden ser provocadas por: Personas Ultima instancia de personas que intencionada o inintencionadamente causan enormes pérdidas, por lo general se conocen como piratas que intentan conseguir el máximo nivel de privilegio a través de agujeros del software. Imagen 3. Fuente: (Lobo, 2006) Hay diferentes tipos de personas que pueden constituir un riesgo para nuestros sistemas y que se dividen en dos grupos: Los atacantes pasivos: aquellos que fisgonean por el sistema pero no lo modifican o destruyen caso contrario a los atacantes activos que dañan el sistema del objetivo atacado o lo modifican a su favor. En ese orden de ideas esta:  El personal: nadie mejor que el propio personal de la organización para conocer el sistema y sus debilidades.  Ex empleados: personas descontentas con la organización que pueden aprovechar debilidades de un sistema que conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus o simplemente conectarse al sistema como si aún trabajaran para la organización, conseguir el privilegio necesario y dañarlo de la forma que deseen incluso chantajeando a sus ex compañeros o ex jefes.  Curiosos: atacantes más habituales del sistema simplemente para comprobar que es posible romper la seguridad de un sistema concreto, aunque en su mayoría se trata de ataques no destructivos no benefician en absoluto al entorno de fiabilidad que se pueda generar en un determinado sistema.  Hacker: término para describir un experto en programación, es utilizado con frecuencia con un sentido negativo, para describir a una persona, que intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa, aunque no siempre tiene que ser esa su finalidad.  Cracker: describe una persona que
  • 7. 7 intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa.  Intrusos remunerados: piratas con gran experiencia en problemas de seguridad y un amplio conocimiento del sistema que son pagados por una tercera persona generalmente para robar secretos o simplemente para dañar la imagen, de la entidad afectada. Imagen 4. Fuente: (Lobo, 2006) Amenazas lógicas En estas, se encuentran todo tipo de programas que pueden dañar al sistema, estos programas, son creados de forma intencionada para ello (software malicioso conocido como malware) o por error (bugs o agujeros). Entre esos están:  Software incorrectos: errores de programación denominados bugs, los programas utilizados para aprovechar uno de estos fallos y atacar al sistema, se llaman exploits.  Herramientas de seguridad: cualquier herramienta de seguridad representa un arma de doble filo: de la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistema o en la subred completa, un potencial intruso las puede utilizar para detectar esos mismo fallos y aprovecharlos para atacar los equipos.  Puertas traseras: atajos que los programadores insertan en el desarrollo de aplicaciones grandes o sistemas operativos para la autenticación del programa o del núcleo que se está diseñando.  Bombas lógicas: parte de código de ciertos programas que permanecen sin realizar ninguna función hasta que son activadas, generalmente se trata de una acción perjudicial.  Canales cubiertos u ocultos: canales de comunicación que permiten transferir información sea local o de forma remota, de forma que viole la política de seguridad del sistema.  Virus: secuencia de código que se inserta en un fichero ejecutable (denominado huésped) de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a sí mismo en otros programas.  Gusanos: programa capaz de ejecutarse y propagarse por si mismo a través de redes portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos.
  • 8. 8  Caballos de troya: son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.  Programa conejo o bacterias: programas que no hacen nada útil, sino que simplemente se dedican a reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco…) produciendo una negación de servicio. Imagen 5. Fuente: (Salinas, 2007) Amenazas físicas Son aquellas que pueden afectar a la seguridad y por tanto al funcionamiento de los sistemas, estos son:  Robos, sabotajes, destrucción de sistemas  Cortes, subidas y bajadas bruscas de suministro eléctrico  Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas extremas que afecten al comportamiento normal de los componentes informáticos  Las catástrofes (naturales o artificiales) amenazas menos probables contra entornos habituales simplemente por su ubicación geográfica Tema 6: Seguridad en redes Personas y organizaciones dependen en la actualidad de sus computadoras. Las herramientas de correo electrónico, administración de archivos, contabilidad y gestión de la información, resultan de vital importancia en una empresa. Debido a esto, las intrusiones de personas no autorizadas en la red causan interrupciones costosas y perdidas de trabajo. De estos ataques, surgen cuatro tipos de amenazas:  Robo de información  Robo de identidad  Perdida y manipulación de datos  Interrupción del servicio
  • 9. 9 Imagen 6. Fuente: Arana. (2010) Las amenazas de seguridad causadas por intrusos en la red, pueden originarse tanto en forma interna como externa Amenazas externas: provienen de personas que trabajan fuera de una organización. Estas personas, no tienen autorización para acceder al sistema o a la red de la computadora. Los atacantes externos logran introducirse en la red principalmente desde internet, enlaces inalámbricos o servidores de acceso por marcación o dial-up Amenazas internas: se originan cuando una persona cuenta con acceso autorizado a la red a través de una cuenta de usuario o tienen acceso físico al equipo de la red. Un atacante conoce la política interna y las personas. Por lo general conocen información valiosa y vulnerable y saben cómo acceder a esta. Imagen 7. Fuente: Arana. (2010). Muchas de las organizaciones destinan dinero para defenderse contra los ataques externos y no tienen presente que la mayor parte de las amenazas son de origen interno. Para un intruso obtener acceso interno o externo, lo hace, aprovechando las conductas humanas. Este es un método común de explotación de las debilidades humanas que se le denomina ingeniería social En el contexto de la seguridad de computadoras y redes, la ingeniería social hace referencia a una serie de técnicas utilizadas para engañar a los usuarios internos a fin de que realicen acciones específicas o revelen información confidencial. Se les considera uno de los enlaces más débiles en lo que se refiere a la seguridad. La concepción de soluciones de seguridad de red, comienza con una evaluación del alcance completo de los delitos informáticos. Los denunciados, que tienen implicaciones en la seguridad de la red y tienen más
  • 10. 10 frecuencia son:  Abuso del acceso a la red por parte de personas que pertenecen a la organización.  Virus.  Suplantación de identidad en los casos en los que una organización está representada de manera fraudulenta como el emisor.  Uso indebido de la mensajería instantánea.  Denegación del servicio, caída de servidores.  Acceso no autorizado a la información.  Robo de información de los clientes o de los empleados.  Abuso de la red inalámbrica.  Penetración en el sistema.  Fraude financiero.  Detección de contraseñas.  Registro de claves.  Alteración de sitios web.  Uso indebido de una aplicación web publica. Algunos tipos de ataques informáticos en redes: 1. Ataque de denegación de servicio: también llamado DoS (Deny of Service) es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, provocando la perdida de la conectividad de las red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la victima 2. Man in the middle: A veces abreviado MitM, es una situación donde el atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas 3. Ataques de REPLAY: una forma de ataque de red, en el cual una transmisión de datos valida, es maliciosa o fraudulenta repetida o retardada. Referencias COSTAS, S. Jesús, Seguridad Informática. Editorial Ra-Ma. España 2011. GOMEZ V., Álvaro, Seguridad informática: Básico. Ecoe Ediciones, Bogotá 2011. Villarrubia, C. (Sin fecha). Seguridad y Alta disponibilidad adopción de pautas de seguridad informática. Consultado el 30 de noviembre en: http://arco.esi.uclm.es/~david.villa/segurida d/pautas.2x4.pdf
  • 11. 11 CONTROL DE DOCUMENTO Autores Nombre Cargo Dependencia Fecha Expertos temáticos Jenny Marisol Henao Garcia Experta Temática Sena - Centro de Diseño e Innovación Tecnológica Industrial –Regional Risaralda. Diciembre 12 de 2013 Yuly Paulin Saenz Agudelo Experta Temática Sena - Centro de Diseño e Innovación Tecnológica Industrial –Regional Risaralda. Diciembre 12 de 2013 Revisión John Jairo Alvarado González Guionista Sena - Centro de Diseño e Innovación Tecnológica Industrial –Regional Risaralda. Diciembre 17 de 2013 Andrés Felipe Valencia Pimienta Líder línea de producción Sena - Centro de Diseño e Innovación Tecnológica Industrial –Regional Risaralda Diciembre 17 de 2013
  • 12. 12 CRÉDITOS Equipo Línea de Producción, SENA Centro de diseño e innovación tecnológica industria, Dosquebradas Líder línea de producción: Andrés Felipe Valencia Pimienta Apoyo línea de producción: Carlos Andrés Mesa Montoya Asesor pedagógico: Edward Abilio Luna Díaz Elaboración de contenidos expertas temáticas: Yuly Paulín Sáenz Giraldo Yenny Marisol Henao García Guionistas: John Jairo Alvarado González Gabriel Gómez Franco Diseñadores: Lina Marcela Cardona Mario Fernando López Cardona Desarrolladores Front End: Julián Giraldo Rodríguez Ricardo Bermúdez Osorio Cristian Fernando Dávila López