Fundamentos de Seguridad Informática

(1)

gama de amenazas, tanto de orden fortuito destrucción parcial o total por incendio gama de amenazas, tanto de orden fortuito destrucción parcial o total por incendio inundaciones, eventos eléc

inundaciones, eventos eléctricos y otros) tricos y otros) como de orden deliberado, como de orden deliberado, tal como fraude,tal como fraude, espionaje, sabotaje, vandalismo, etc.

espionaje, sabotaje, vandalismo, etc. 3.

3. PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN:PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN: a.

a. INTEGRIDAD.-

INTEGRIDAD.-Permite garantizar que la información no sea alterada, es decir, que sea íntegra. Estar Permite garantizar que la información no sea alterada, es decir, que sea íntegra. Estar íntegra significa que esté en su estado original sin haber sido alterada por agentes no íntegra significa que esté en su estado original sin haber sido alterada por agentes no autorizados.

autorizados.

-- El quiebre de la Integridad.- Ocurre cuando la información es corrompida,El quiebre de la Integridad.- Ocurre cuando la información es corrompida, falsificada y burlada.

falsificada y burlada.

-- Alteraciones del contenido del documento: inserción, sustitución o remoción.Alteraciones del contenido del documento: inserción, sustitución o remoción. -- Alteraciones en los elementos que soportan la información: alteración física yAlteraciones en los elementos que soportan la información: alteración física y

lógica en los medios de almacenaje. lógica en los medios de almacenaje. b.

b. CONFIDENCIALIDAD.-

CONFIDENCIALIDAD.-Se encarga y se asegura de proporcionar la información correcta a los usuarios Se encarga y se asegura de proporcionar la información correcta a los usuarios correctos. Toda la información no debe ser vista por todos los usuarios.

correctos. Toda la información no debe ser vista por todos los usuarios. -- Perdida de Confidencialidad = Perdida de SecretoPerdida de Confidencialidad = Perdida de Secreto

-- La información confidencial se debe guardar con seguridad sin divulgar a personasLa información confidencial se debe guardar con seguridad sin divulgar a personas no autorizadas.

no autorizadas.

-- Garantizar la confidencialidad es uno Garantizar la confidencialidad es uno de los factores determinantes para lade los factores determinantes para la seguridad.

seguridad. c.

c. DISPONIBILIDAD.-

DISPONIBILIDAD.-La información debe llegar a su destino en el momento oportuno y preciso. La información debe llegar a su destino en el momento oportuno y preciso. La disponibilidad permite que:

La disponibilidad permite que:

-- La información se use cuando sea La información se use cuando sea necesario.necesario. -- Que esté al alcance de los usuarios.Que esté al alcance de los usuarios.

-- Que pueda ser accesada cuando Que pueda ser accesada cuando se necesite.se necesite. Garantías de la disponibilidad:

Garantías de la disponibilidad:

-- Configuración segura en el ambiente para una disponibilidad adecuada.Configuración segura en el ambiente para una disponibilidad adecuada. -- Planeación de copias de seguridad, backups.Planeación de copias de seguridad, backups.

-- Definir estrategias para situaciones de contingencia.Definir estrategias para situaciones de contingencia. -- Fijar rutas alternativas para el transito de la información.Fijar rutas alternativas para el transito de la información.

(2)

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions!

Start Free Trial Cancel Anytime.

(3)

4.

4. AMENAZAS Y PUNTOS DÉBILES.AMENAZAS Y PUNTOS DÉBILES. 4.1.

4.1. AmenazasAmenazas::

Son agentes capaces de hacer explotar los fallos de seguridad o los puntos débiles Son agentes capaces de hacer explotar los fallos de seguridad o los puntos débiles causando

causando pérdidas pérdidas y y daños daños a a los los activos activos y y afectando afectando al al negocio.negocio.

Causas: Causas:

-- Amenazas NaturalesAmenazas Naturales

-- Amenazas IntencionalesAmenazas Intencionales

-- Amenazas InvoluntariasAmenazas Involuntarias

Principales amenazas más frecuentes: Principales amenazas más frecuentes:

-- Ocurrencia de VirusOcurrencia de Virus

-- Divulgación de contraseñasDivulgación de contraseñas -- Acción de hackersAcción de hackers

4.2.

4.2.Puntos Débiles:Puntos Débiles:

Son elementos que al ser explotados por

Son elementos que al ser explotados por amenazas afectan la integridad,amenazas afectan la integridad, confidencialidad y disponibilidad de la información.

confidencialidad y disponibilidad de la información.

Puntos débiles o vulnerabilidades. Puntos débiles o vulnerabilidades.

-- Físicas.Físicas. -- Naturales.Naturales. -- De hardware.De hardware. -- De software.De software.

-- De medios de almacenamiento.De medios de almacenamiento. -- De comunicación.De comunicación.

-- Humanas.Humanas.

Los puntos débiles dependen de la

(4)

(5)

-- Instalaciones inadecuadas.Instalaciones inadecuadas.

-- Ausencia de equipos de seguridad.Ausencia de equipos de seguridad. -- Cableados desordenados y expuestos.Cableados desordenados y expuestos.

-- Falta de identificación de Falta de identificación de personas, equipos y áreas.personas, equipos y áreas. Las vulnerabilidades físicas ponen en riesgo principalmente

Las vulnerabilidades físicas ponen en riesgo principalmente al principio de Disponibilidad.al principio de Disponibilidad. b) Vulnerabilidades

Naturales.-b) Vulnerabilidades Naturales.- Están relacionadas con las condiciones de la naturaleza. Están relacionadas con las condiciones de la naturaleza. -- Humedad.Humedad.

-- Polvo.Polvo.

-- Temperaturas indebidas.Temperaturas indebidas.

-- Agentes contaminantes naturales.Agentes contaminantes naturales. -- Desastres naturales.Desastres naturales.

-- SismosSismos

c) Vulnerabilidades de Hardware

c) Vulnerabilidades de Hardware.- Los defectos o fallas de fabricación o configuración de los.- Los defectos o fallas de fabricación o configuración de los equipos atacan y o alteran los mismos.

equipos atacan y o alteran los mismos. -- Ausencia de actualizaciones.Ausencia de actualizaciones. -- Conservación inadecuada.Conservación inadecuada.

Se debe evaluar: Se debe evaluar:

o

o La configuración y dimensión para su correcto funcionamiento.La configuración y dimensión para su correcto funcionamiento. o

o Almacenamiento suficiente.Almacenamiento suficiente. o

o Procesamiento y velocidad adecuada.Procesamiento y velocidad adecuada.

d) Vulnerabilidades de

Software.-d) Vulnerabilidades de Software.- Permite la ocurrencia de accesos indebidos a los sistemas y Permite la ocurrencia de accesos indebidos a los sistemas y por ende a la información.

por ende a la información.

-- Configuración e instalación indebida de los programas.Configuración e instalación indebida de los programas. -- Sistemas operativos mal configurados y mal organizados.Sistemas operativos mal configurados y mal organizados. -- Correos maliciosos.Correos maliciosos.

-- Ejecución de macro virus.Ejecución de macro virus. -- Navegadores de Internet.Navegadores de Internet.

e) Vulnerabilidades de Medios de

Almacenaje.-e) Vulnerabilidades de Medios de Almacenaje.- La utilización inadecuada de los medios de La utilización inadecuada de los medios de almacenaje afectan la integridad, la confidencialidad y

almacenaje afectan la integridad, la confidencialidad y la disponibilidad la disponibilidad de la información.de la información. -- Plazo de validez y de caducidad.Plazo de validez y de caducidad.

(6)

(7)

-- Áreas o lugares de Áreas o lugares de depósito inadecuados (humedad, calor, moho, magnetismo, etc.)depósito inadecuados (humedad, calor, moho, magnetismo, etc.) f) Vulnerabilidades de

Comunicación.-f) Vulnerabilidades de Comunicación.- Esto abarca todo el transito de la información, ya sea Esto abarca todo el transito de la información, ya sea cableado, satelital, fibra óptica u ondas de radio inalámbricas.

cableado, satelital, fibra óptica u ondas de radio inalámbricas. El éxito en el transito de los datos es crucial en la seguridad de

El éxito en el transito de los datos es crucial en la seguridad de la información.la información. La seguridad de la

La seguridad de la información está asociada en el desempeño de los equipos involucrados información está asociada en el desempeño de los equipos involucrados enen la comunicación.

la comunicación.

Consecuencias: Consecuencias:



 Información no disponible para los Información no disponible para los usuarios.usuarios. 

 Información disponible a usuarios incorrectos afectando el principio deInformación disponible a usuarios incorrectos afectando el principio de Confidencialidad.

Confidencialidad. 

 Altera el estado original de la información afectando el principio de Integridad.Altera el estado original de la información afectando el principio de Integridad. Causas:

Causas: 

 Ausencia de sistemas de encriptación.Ausencia de sistemas de encriptación.

Mala elección en los sistemas de comunicación Mala elección en los sistemas de comunicación g) Vulnerabilidades

Humanas.-g) Vulnerabilidades Humanas.- Son daños que las personas pueden causar a la información, a Son daños que las personas pueden causar a la información, a los equipos y a

los equipos y a los ambientes tecnológicos. Los puntos débiles humanos pueden serlos ambientes tecnológicos. Los puntos débiles humanos pueden ser intencionados o no.

intencionados o no.

La mayor vulnerabilidad es el

La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas odesconocimiento de las medidas de seguridad adecuadas o simplemente el no acatarlas.

simplemente el no acatarlas.

Puntos débiles más frecuentes de origen interno: Puntos débiles más frecuentes de origen interno:

-- Falta de capacitación específica y adecuada.Falta de capacitación específica y adecuada. -- falta de conciencia de seguridad en los usuarios.falta de conciencia de seguridad en los usuarios. Puntos débiles más frecuentes de origen externo:

Puntos débiles más frecuentes de origen externo: -- Vandalismo.Vandalismo.

-- Estafas.Estafas. -- Invasiones.Invasiones. -- Hurto / Robo.Hurto / Robo. Causas:

Causas:

-- Contraseñas débiles.Contraseñas débiles.

(8)

(9)

5.

5. AMENAZAS, VULNERABILIDADESAMENAZAS, VULNERABILIDADES, , RIESGOS, MEDIDAS RIESGOS, MEDIDAS DE SEGURIDAD Y CICLO DEDE SEGURIDAD Y CICLO DE SEGURIDAD.

SEGURIDAD. 5.1.

5.1.Política De Seguridad De la Información:Política De Seguridad De la Información: La

La implementación de una “PSI”, implementación de una “PSI”, le permite a las Organizaciones cumle permite a las Organizaciones cumplir una gestiónplir una gestión efectiva de los recursos de información críticos e instalar y administrar los mecanismos de efectiva de los recursos de información críticos e instalar y administrar los mecanismos de protección adecuados, determinando qué conductas son permitidas y

protección adecuados, determinando qué conductas son permitidas y cuáles no.cuáles no.

Esto redundará en una efectiva reducción de los niveles de riesgo y de las Esto redundará en una efectiva reducción de los niveles de riesgo y de las vulnerabilidades, lo cual, en definitiva, se traduce en ahorro de tiempo y dinero, genera vulnerabilidades, lo cual, en definitiva, se traduce en ahorro de tiempo y dinero, genera mayor confianza y un fortalecimiento de la imagen institucional.

mayor confianza y un fortalecimiento de la imagen institucional.

a.

a. AmenazasAmenazas::

Es la probabilidad de ocurrencia de un fenómeno potencialmente nocivo, dentro de un Es la probabilidad de ocurrencia de un fenómeno potencialmente nocivo, dentro de un período específico de tiempo y en un área dada

período específico de tiempo y en un área dada

AMENAZAS

Naturales

(TERREMOTOS, (TERREMOTOS, HURACANES, HURACANES, TORMENTAS TORMENTAS ELECTRICAS) ELECTRICAS)

Siniestros

(INCENDIOS, APAGONES, (INCENDIOS, APAGONES, iNUNDACIONES)

iNUNDACIONES)

Intrusos

(HACKER, CRACKERS, SCRIPT (HACKER, CRACKERS, SCRIPT BOY) BOY)

Malware

(VIRUS, SPYWARE, (VIRUS, SPYWARE, KEYLOGGER) KEYLOGGER)

Usuarios

(IMPRUDENCIA, (IMPRUDENCIA, CURIOSIDAD, CURIOSIDAD, INSATISFACCIÓN, INSATISFACCIÓN, DESCONOCIMIENTO DESCONOCIMIENTO))

“

Ingeniería Social

””

(CADENAS, CORREO SPAM, (CADENAS, CORREO SPAM, MENSAJERIA INSTANTANEA, PHISHING) MENSAJERIA INSTANTANEA, PHISHING)

Conflictos

(GUERRAS, SABOTAJE, (GUERRAS, SABOTAJE, PROTESTAS, PROTESTAS, TERRORISMO) TERRORISMO)

(10)

(11)

b.

b. VulnerabilidadVulnerabilidad

Nivel de exposición que permite la ocurrencia de la amenaza Nivel de exposición que permite la ocurrencia de la amenaza

CONCIENCIA EN CONCIENCIA EN SEGURIDAD SEGURIDAD

INTERNET SIN CONTROL INTERNET SIN CONTROL CONTRASEÑAS CONTRASEÑAS INSEGURAS INSEGURAS CONTROLES CONTROLES INSUFICIENTES INSUFICIENTES AUSENCIA AUSENCIA DEDE PLANES DE PLANES DE CONTINGENCIA CONTINGENCIA PLATAFORMA PLATAFORMA TECNOLÓGICA TECNOLÓGICA Repositorio Repositorio

VULNERABILIDADES

c. c. Riesgo:Riesgo:

Es un conjunto de circunstancias que representan una posibilidad de pérdida Es un conjunto de circunstancias que representan una posibilidad de pérdida

Intercepción o Intercepción o Interrupción Interrupción Violación de Violación de Contraseña Contraseña Accesos no Accesos no Autorizados Autorizados Infecciónes Infecciónes por Virus por Virus Mal uso de Mal uso de Hardware y Hardware y Software Software “Ingeniería “Ingeniería Social” Social” Falsificación de Falsificación de Información Información Repudio Repudio (HACER ALGO Y (HACER ALGO Y LUEGO NEGARLO LUEGO NEGARLO))

RIESGOS

(12)

(13)

5.2.

5.2. Medidas de seguridad:Medidas de seguridad:

Son acciones orientadas hacia la eliminación de vulnerabilidades. Son acciones orientadas hacia la eliminación de vulnerabilidades. Deben existir medidas de seguridad específicas para el tratamiento

Deben existir medidas de seguridad específicas para el tratamiento de cada caso. Esde cada caso. Es decir, diferentes medidas para casos distintos.

decir, diferentes medidas para casos distintos.

Las medidas de seguridad son un Conjunto de Prácticas que se integran para buscar un mismo Las medidas de seguridad son un Conjunto de Prácticas que se integran para buscar un mismo fin y un mismo Objetivo Global de Seguridad.

fin y un mismo Objetivo Global de Seguridad. a.

(14)

-- Especificaciones de Seguridad.- Son medidas para Especificaciones de Seguridad.- Son medidas para instruir la correcta implementacióninstruir la correcta implementación de nuevos ambientes tecnológicos por medio del detalle

de nuevos ambientes tecnológicos por medio del detalle de sus elementosde sus elementos constituyentes.

constituyentes.

-- Administración de la Seguridad.- Son medidas integradas e integrales que buscanAdministración de la Seguridad.- Son medidas integradas e integrales que buscan gestionar los riesgos de un a

gestionar los riesgos de un ambiente. Involucra a todas las medidas mbiente. Involucra a todas las medidas anteriores enanteriores en forma Preventiva, Perceptiva y Correctiva.

forma Preventiva, Perceptiva y Correctiva.

5.3.

5.3. Niveles de seguridad:Niveles de seguridad:

N N I I V V E E L L 1 1 N N I I V V E E L L 2 2 N N I I V V E E L L 3 3

(15)

(16)

5.4.

5.4.Activos de información.Activos de información.

ORAL

IMPRESA

ELECTRÓNICA

VISUAL

Activos de

Información

5.5.

(17)

Gracias…

RECUERDA: RECUERDA: La Seguridad busca … La Seguridad busca … 

 Proteger laProteger la Confidencialidad Confidencialidad de la información contra accesos no de la información contra accesos no autorizados.

autorizados. 

 Evitar alteraciones indebidas que pongan en peligro laEvitar alteraciones indebidas que pongan en peligro la Integridad Integridad de la de la información.

información. 

 Garantizar laGarantizar laDisponibilidad Disponibilidad de la información. de la información. La Seguridad es instrumentada por ….

La Seguridad es instrumentada por …. 

 Políticas y Procedimientos de Seguridad que permiten la identificación yPolíticas y Procedimientos de Seguridad que permiten la identificación y control de amenazas y punto débiles, con el fin de preservar la control de amenazas y punto débiles, con el fin de preservar la Integridad, Confidencialidad y Disponibilidad