seguridad basica informática
TRANSCRIPT
1
PROGRAMA DE FORMACIÓN
GESTIÓN DE LA SEGURIDAD
INFORMATICA
Actividad de aprendizaje1:
Fundamentos de TIC, Modelos de
negocios y Seguridad informática
CONTENIDO
Contenido
Tema 4 - Seguridad informática ............................. 1
Objetivos de la seguridad informática: ............... 2
Confidencialidad .................................................. 3
Autenticación ....................................................... 3
Integridad ............................................................ 3
Protección a la réplica ......................................... 3
Reclamación de origen ........................................ 3
Reclamación de propiedad .................................. 3
No repudiación .................................................... 4
Confirmación de la prestación de un servicio ..... 4
Referencia temporal (certificación por fechas) ... 4
Autorización (control de acceso a equipos y
servicios) .............................................................. 4
Auditabilidad o trazabilidad ................................ 4
Disponibilidad del servicio ................................... 4
Anonimato en el uso de los servicios .................. 5
Certificación mediante terceros de confianza ..... 5
Técnicas y mecanismos de seguridad en las que
se puede recurrir para ofrecer los servicios de
seguridad: ............................................................ 5
Consecuencia de la falta de seguridad: ..............5
Tema 5: Elementos vulnerables en el sistema
informático: amenazas ............................................6
Personas ...............................................................6
Amenazas lógicas ............................................7
Amenazas físicas ..................................................8
Tema 6: Seguridad en redes ....................................8
Amenazas externas: .............................................9
Amenazas internas: .............................................9
Algunos tipos de ataques informáticos en redes:
.......................................................................... 10
1. Ataque de denegación de servicio: ............... 10
2. Man in the middle ......................................... 10
3. Ataques de REPLAY: ...................................... 10
Referencias ........................................................... 10
Tema 4 - Seguridad informática La seguridad informática en los últimos tiempos ha tenido una mayor acogida entre usuarios y trabajadores de las empresas debido que en internet, se encuentran muchos peligros, por ende ser consciente que el mal uso del sistema o de una red informática puede comprometer la confidencialidad, autenticidad o integridad de la información es en la actualidad tema de importancia, debido que puede causar la ejecución normal de las operaciones de una empresa al verse bloqueado el acceso de los usuarios autorizados en el sistema.
2
Debido a lo anterior, la norma ISO 7498 define la Seguridad Informática como “Una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización”.1
Objetivos de la seguridad informática:
o Minimizar y gestionar los riesgos y
detectar los posibles problemas y amenazas a la seguridad.
o Garantizar la adecuada utilización
de los recursos y de las aplicaciones del sistema.
o Limitar las pérdidas y conseguir la
adecuada recuperación del sistema en caso de un incidente de seguridad.
o Cumplir con el marco legal y con los
requisitos impuestos por los clientes en sus contratos.
Para cumplir con estos objetivos, una organización debe contemplar cuatro planos de actuación:
Servicios de seguridad de la información Para alcanzar los objetivos es necesario contemplar los servicios de seguridad de la información, estos son: _______ 1. Villarrubia, C. (Sin fecha). Seguridad y Alta disponibilidad adopción de pautas de seguridad informática. Consultado el 30 de noviembre en: http://arco.esi.uclm.es/~david.villa/seguridad/pautas.2x4.pdf
Plano humano
- Sensibilización y formación - Funciones, obligaciones y responsabilidades del personal - Control y supervisión de los empleados
Plano Técnico
- Selección, instalación, configuración y actualización de soluciones Hardware y software - Criptografía - Estandarización de productos - Desarrollo seguro de aplicaciones
Plano Organizacional
- Políticas, normas y procedimientos - Planes de contingencia y respuesta a incidentes - Relaciones con terceros (clientes, proveedores…)
Plano legislación
- Cumplimiento y adaptación a la legislación vigente (LOPD, LSSI, LGT, firma electrónica, código penal, propiedad intelectual)
1
2
3
4
5 Figura 1. Gómez (2011). Planos de
actuación en la seguridad informática
3
Imagen 1. Fuente: ( Landahlauts, 2011)
Confidencialidad
- Datos almacenados en un equipo. - Datos guardados en dispositivos de backup. - Datos trasmitidos a través de redes de comunicaciones.
Autenticación
- De entidad (usuario o equipo)
Unilateral: cuando se garantiza la identidad del equipo usuario o terminal que se intenta conectar a la red.
Mutua: en el caso de que la red o el servidor también se autentica de cara al equipo, usuario o terminal que establece la conexión.
- Del origen de los datos.
Garantiza que un mensaje o fichero no ha sido modificado desde su creación o durante su transmisión a través de la red informática
Integridad
Protección a la réplica
Impide la realización de ataques de repetición (replay attacks) por parte de usuarios maliciosos, consistentes en la intercepción y posterior reenvío de mensajes para tratar de engañar al sistema y provocar operaciones no deseadas
Reclamación de propiedad
Reclamación de origen
El sistema, permite probar quien ha sido el creador de un determinado mensaje o documento
Permite probar que un determinado documento o contenido digital está protegido por derechos de autor (canción, video, libro…) y pertenece a un determinado usuario u organización que ostenta la titularidad de los derechos de autor.
4
Imagen 2. Fuente: (Isaias. 2008).
No repudiación
Confirmación de la prestación de un
servicio
Referencia temporal (certificación por
fechas)
Autorización (control de acceso a
equipos y servicios)
Auditabilidad o trazabilidad
Disponibilidad del servicio
Implementa un mecanismo probatorio que permita demostrar la autoría y envío de un determinado mensaje, de tal modo que el usuario que lo ha creado y enviado a través del sistema no pueda posteriormente negar esta circunstancia o situación que también aplica al destinatario del envío.
Confirma la realización de una operación o transacción, reflejando los usuarios o entidades que han intervenido en ésta.
Se consigue demostrar el instante concreto, en que se ha enviado un mensaje o se ha realizado una determinada operación.
Busca controlar el acceso de los usuarios a los distintos equipos y servicios ofrecidos por el sistema informático, una vez superado el proceso de autenticación de cada usuario.
Permite registrar y monitorizar la utilización de los distintos recursos del sistema por parte de los usuarios que han sido previamente autenticados y autorizados.
Recuperación del sistema frente a posibles incidentes de seguridad, así como frente a desastres naturales o intencionados (incendios, inundaciones, sabotajes), de nada sirven los demás servicios de seguridad si el sistema informático, no se encuentra disponible para que pueda ser utilizado por su legítimo usuario o propietario.
5
Técnicas y mecanismos de seguridad
en las que se puede recurrir para
ofrecer los servicios de seguridad:
o Identificación de usuario o Control lógico de acceso a los
recursos o Copias de seguridad o Centros de respaldo o Cifrado de las transmisiones o Huella digital de mensajes o Sellado temporal de mensajes o Utilización de la forma electrónica o Protocolos criptográficos
o Análisis y filtrado de tráfico (cortafuegos)
o Servidores proxy o Sistema de detección de intrusiones
(IDS) o Antivirus
Consecuencia de la falta de seguridad:
1. Pérdidas ocasionadas por horas de
trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes.
2. Robo de información confidencial y
su posible revelación a terceros no autorizados.
3. Filtración de datos personales de usuarios registrados en el sistema.
4. Pérdida de credibilidad en los mercados, pérdida de confianza por parte de los clientes, daño a la reputación e imagen de la empresa.
5. Perdida de pedidos, impacto en la calidad del servicio, retrasos en los procesos de producción, pérdida de oportunidades de negocio.
6. Pago de indemnizaciones por daños y perjuicios a terceros, teniendo que afrontar responsabilidades legales y la imposición de sanciones administrativas.
Anonimato en el uso de los servicios
Certificación mediante terceros de
confianza
Es la utilización de determinados servicios dentro de las redes y sistemas informáticos, que garantizan el anonimato de los usuarios que acceden a los recursos y consumen determinados tipos de servicios, preservando de este modo su privacidad.
Organismo que se encarga de certificar la realización de diversas operaciones además de avalar la identidad de los intervinientes, dotando de este modo a las transacciones electrónicas de un respaldo jurídico que de una mayor seguridad a estas.
6
Tema 5: Elementos vulnerables en el sistema informático: amenazas Las amenazas de un sistema informático, pueden provenir de diferentes fuentes, sean estas un hacker remoto que entra al sistema a través de un troyano, programas de descarga gratuita que ayuda a gestionar fotos pero es una puerta trasera a nuestro sistema permitiendo la entrada de espías. Las amenazas pueden ser provocadas por: Personas
Ultima instancia de personas que intencionada o inintencionadamente causan enormes pérdidas, por lo general se conocen como piratas que intentan conseguir el máximo nivel de privilegio a través de agujeros del software.
Imagen 3. Fuente: (Lobo, 2006)
Hay diferentes tipos de personas que pueden constituir un riesgo para nuestros sistemas y que se dividen en dos grupos: Los atacantes pasivos: aquellos que fisgonean por el sistema pero no lo modifican o destruyen caso contrario a los atacantes activos que dañan el sistema del objetivo atacado o lo modifican a su favor.
En ese orden de ideas esta:
El personal: nadie mejor que el propio personal de la organización para conocer el sistema y sus debilidades.
Ex empleados: personas descontentas con la organización que pueden aprovechar debilidades de un sistema que conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus o simplemente conectarse al sistema como si aún trabajaran para la organización, conseguir el privilegio necesario y dañarlo de la forma que deseen incluso chantajeando a sus ex compañeros o ex jefes.
Curiosos: atacantes más habituales
del sistema simplemente para comprobar que es posible romper la seguridad de un sistema concreto, aunque en su mayoría se trata de ataques no destructivos no benefician en absoluto al entorno de fiabilidad que se pueda generar en un determinado sistema.
Hacker: término para describir un
experto en programación, es utilizado con frecuencia con un sentido negativo, para describir a una persona, que intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa, aunque no siempre tiene que ser esa su finalidad.
Cracker: describe una persona que
7
intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa.
Intrusos remunerados: piratas con
gran experiencia en problemas de seguridad y un amplio conocimiento del sistema que son pagados por una tercera persona generalmente para robar secretos o simplemente para dañar la imagen, de la entidad afectada.
Imagen 4. Fuente: (Lobo, 2006)
Amenazas lógicas
En estas, se encuentran todo tipo de programas que pueden dañar al sistema, estos programas, son creados de forma intencionada para ello (software malicioso conocido como malware) o por error (bugs o agujeros). Entre esos están:
Software incorrectos: errores de programación denominados bugs, los programas utilizados para aprovechar uno de estos fallos y atacar al sistema, se llaman exploits.
Herramientas de seguridad:
cualquier herramienta de seguridad representa un arma de doble filo: de
la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistema o en la subred completa, un potencial intruso las puede utilizar para detectar esos mismo fallos y aprovecharlos para atacar los equipos.
Puertas traseras: atajos que los
programadores insertan en el desarrollo de aplicaciones grandes o sistemas operativos para la autenticación del programa o del núcleo que se está diseñando.
Bombas lógicas: parte de código de
ciertos programas que permanecen sin realizar ninguna función hasta que son activadas, generalmente se trata de una acción perjudicial.
Canales cubiertos u ocultos: canales
de comunicación que permiten transferir información sea local o de forma remota, de forma que viole la política de seguridad del sistema.
Virus: secuencia de código que se
inserta en un fichero ejecutable (denominado huésped) de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a sí mismo en otros programas.
Gusanos: programa capaz de
ejecutarse y propagarse por si mismo a través de redes portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos.
8
Caballos de troya: son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.
Programa conejo o bacterias:
programas que no hacen nada útil, sino que simplemente se dedican a reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco…) produciendo una negación de servicio.
Imagen 5. Fuente:
(Salinas, 2007)
Amenazas físicas
Son aquellas que pueden afectar a la seguridad y por tanto al funcionamiento de los sistemas, estos son:
Robos, sabotajes, destrucción de sistemas
Cortes, subidas y bajadas bruscas de suministro eléctrico
Condiciones atmosféricas adversas.
Humedad relativa excesiva o temperaturas extremas que afecten al comportamiento normal de los componentes informáticos
Las catástrofes (naturales o
artificiales) amenazas menos probables contra entornos habituales simplemente por su ubicación geográfica
Tema 6: Seguridad en redes
Personas y organizaciones dependen en la
actualidad de sus computadoras. Las
herramientas de correo electrónico,
administración de archivos, contabilidad y
gestión de la información, resultan de vital
importancia en una empresa. Debido a
esto, las intrusiones de personas no
autorizadas en la red causan
interrupciones costosas y perdidas de
trabajo.
De estos ataques, surgen cuatro tipos de
amenazas:
Robo de información
Robo de identidad
Perdida y manipulación de datos
Interrupción del servicio
9
Imagen 6. Fuente: Arana. (2010)
Las amenazas de seguridad causadas por
intrusos en la red, pueden originarse tanto
en forma interna como externa
Amenazas externas: provienen de
personas que trabajan fuera de una
organización. Estas personas, no tienen
autorización para acceder al sistema o a la
red de la computadora. Los atacantes
externos logran introducirse en la red
principalmente desde internet, enlaces
inalámbricos o servidores de acceso por
marcación o dial-up
Amenazas internas: se originan cuando
una persona cuenta con acceso autorizado
a la red a través de una cuenta de usuario
o tienen acceso físico al equipo de la red.
Un atacante conoce la política interna y las
personas. Por lo general conocen
información valiosa y vulnerable y saben
cómo acceder a esta.
Imagen 7. Fuente: Arana. (2010).
Muchas de las organizaciones destinan
dinero para defenderse contra los ataques
externos y no tienen presente que la mayor
parte de las amenazas son de origen
interno. Para un intruso obtener acceso
interno o externo, lo hace, aprovechando
las conductas humanas. Este es un
método común de explotación de las
debilidades humanas que se le denomina
ingeniería social
En el contexto de la seguridad de
computadoras y redes, la ingeniería social
hace referencia a una serie de técnicas
utilizadas para engañar a los usuarios
internos a fin de que realicen acciones
específicas o revelen información
confidencial. Se les considera uno de los
enlaces más débiles en lo que se refiere a
la seguridad.
La concepción de soluciones de seguridad
de red, comienza con una evaluación del
alcance completo de los delitos
informáticos.
Los denunciados, que tienen implicaciones
en la seguridad de la red y tienen más
10
frecuencia son:
Abuso del acceso a la red por parte
de personas que pertenecen a la
organización.
Virus.
Suplantación de identidad en los
casos en los que una organización
está representada de manera
fraudulenta como el emisor.
Uso indebido de la mensajería
instantánea.
Denegación del servicio, caída de
servidores.
Acceso no autorizado a la
información.
Robo de información de los clientes
o de los empleados.
Abuso de la red inalámbrica.
Penetración en el sistema.
Fraude financiero.
Detección de contraseñas.
Registro de claves.
Alteración de sitios web.
Uso indebido de una aplicación web
publica.
Algunos tipos de ataques informáticos en
redes:
1. Ataque de denegación de servicio:
también llamado DoS (Deny of Service)
es un ataque a un sistema de
computadoras o red que causa que un
servicio o recurso sea inaccesible a los
usuarios legítimos, provocando la
perdida de la conectividad de las red
por el consumo del ancho de banda de
la red de la víctima o sobrecarga de los
recursos computacionales del sistema
de la victima
2. Man in the middle: A veces abreviado
MitM, es una situación donde el
atacante supervisa (generalmente
mediante un rastreador de puertos) una
comunicación entre dos partes y
falsifica los intercambios para hacerse
pasar por una de ellas
3. Ataques de REPLAY: una forma de
ataque de red, en el cual una
transmisión de datos valida, es
maliciosa o fraudulenta repetida o
retardada.
Referencias
COSTAS, S. Jesús, Seguridad Informática. Editorial Ra-Ma. España 2011. GOMEZ V., Álvaro, Seguridad informática: Básico. Ecoe Ediciones, Bogotá 2011.
Villarrubia, C. (Sin fecha). Seguridad y
Alta disponibilidad adopción de pautas de
seguridad informática. Consultado el 30 de
noviembre en:
http://arco.esi.uclm.es/~david.villa/segurida
d/pautas.2x4.pdf
11
CONTROL DE DOCUMENTO
Autores Nombre Cargo Dependencia Fecha
Expertos temáticos Jenny Marisol Henao Garcia
Experta Temática
Sena - Centro de Diseño e Innovación
Tecnológica Industrial –Regional Risaralda.
Diciembre 12 de 2013
Yuly Paulin Saenz Agudelo
Experta Temática
Sena - Centro de Diseño e Innovación
Tecnológica Industrial –Regional Risaralda.
Diciembre 12 de 2013
Revisión John Jairo Alvarado González
Guionista Sena - Centro de Diseño e Innovación
Tecnológica Industrial –Regional Risaralda.
Diciembre 17 de 2013
Andrés Felipe Valencia Pimienta
Líder línea de producción
Sena - Centro de Diseño e Innovación
Tecnológica Industrial –Regional Risaralda
Diciembre 17 de 2013
12
CRÉDITOS
Equipo Línea de Producción, SENA
Centro de diseño e innovación
tecnológica industria, Dosquebradas
Líder línea de producción:
Andrés Felipe Valencia Pimienta
Apoyo línea de producción:
Carlos Andrés Mesa Montoya
Asesor pedagógico:
Edward Abilio Luna Díaz
Elaboración de contenidos expertas
temáticas:
Yuly Paulín Sáenz Giraldo
Yenny Marisol Henao García
Guionistas:
John Jairo Alvarado González
Gabriel Gómez Franco
Diseñadores:
Lina Marcela Cardona
Mario Fernando López Cardona
Desarrolladores Front End:
Julián Giraldo Rodríguez
Ricardo Bermúdez Osorio
Cristian Fernando Dávila López