Asunto: Conferencia sobre Seguridad Informática.

Ponente: Ing. Daniel González Rojas 

Título: Ingeniero Informático. 

Participantes: Estudiantes de Ingeniería en Sistemas e Ingeniería Industrial.

Seguridad Informática

Seguridad Informática

Introducción (I)

- En la actualidad muchas personas utilizan la tecnología para un uso inadecuado.

- Diariamente se descubren nuevos puntos débiles y no todos comprenden la importancia de la seguridad informática para las empresas.

- Las universidades juegan un papel importante en el proceso de formación y el claustro de profesores tiene una gran responsabilidad para formar profesionales capaces de aplicar con ética los conocimientos adquiridos para contribuir al desarrollo socio - económico del país.

Seguridad Informática

Seguridad Informática (SI): El conjunto de métodos y herramientas

destinados a proteger los bienes (o activos) informáticos de una entidad.

La información es el activo más importante de cualquier entidad o empresa

y precisamente la SI persigue como objetivo mantener la confidencialidad,

integridad y disponibilidad de la información. (Pfleeger, 2007).

Conceptos básicos (I)

Seguridad Informática

- La confidencialidad está dada cuando solo las personas autorizadas tienen acceso a la información. - La disponibilidad cuando solo la información puede ser accedida por personas autorizadas, cuando deseen.

- La integridad consiste en garantizar que la información no sufra modificación o alteración alguna con excepción de las personas autorizadas para ello.

A continuación se definen dichos conceptos:

Conceptos básicos (II)

Seguridad Informática

Cuando no se cumple con alguno de estos tres objetivos puede decirse que la información se encuentra expuesta a vulnerabilidades.

La vulnerabilidad en un sistema puede identificarse como la debilidad que cuando se localiza es utilizada para ocasionar daños al sistema.

La amenaza está dada por un número de situaciones que pueden ocasionar daños y/o pérdida de información.

Un ataque no es más que la realización de una amenaza.

Conceptos básicos (III)

Seguridad Informática

Las cuatro categorías generales de amenazas o ataques son:

Interrupción: Un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad.

Intercepción: Una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. Modificación: Una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad.

Fabricación: Una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad.

Conceptos básicos (IV)

Seguridad Informática

Ejemplos de ataques pasivos a la información (I)

Ingeniería social: Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

Monitorización : Es el uso de un sistema que monitoriza una red de computadoras buscando brechas de seguridad.

En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza.

Sus objetivos son la intercepción de datos y el análisis de tráfico.

Seguridad Informática

Ejemplos de ataques activos a la información (I)

Suplantación de identidad: Es la apropiación de la identidad de una persona: hacerse pasar por esa persona.

Reactuación: Uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado. Modificación de mensajes: Una porción del mensaje legítimo es alterada, o reordenados, para producir un efecto no autorizado.

Seguridad Informática

Ejemplos de ataques activos a la información (II)

Degradación del servicio: Impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones.

Los ataques activos implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos.

Seguridad Informática

Mecanismos básicos de seguridad informática (I)

Autenticación: Definimos la Autenticación como la verificación de la identidad del usuario.

1. Por lo que uno sabe (una contraseña).

2. Por lo que uno tiene (una tarjeta magnética).

3. Por lo que uno es (las huellas digitales).

Es posible autenticarse de tres maneras:

Seguridad Informática

Mecanismos básicos de seguridad informática (II)

La utilización de más de un método a la vez aumenta las probabilidades de que la autenticación sea correcta.

La técnica más usual (aunque no siempre bien) es la autenticación utilizando contraseñas.

Este método será mejor o peor dependiendo de las características de la contraseña.

Para que la contraseña sea difícil de adivinar debe tener un conjunto de caracteres amplio y variado (con minúsculas, mayúsculas y números).

Seguridad Informática

Mecanismos básicos de seguridad informática (III)

Autorización: Definimos la Autorización como el proceso por el cual se determina qué, cómo y cuándo, un usuario autenticado puede utilizar los recursos de la organización.

El mecanismo o el grado de autorización puede variar dependiendo de qué sea lo que se está protegiendo.

Dependiendo del recurso la autorización puede hacerse por medio de la firma en un formulario o mediante una contraseña.

Solo se debe dar autorización a acceder a un recurso a aquellos usuarios que lo necesiten para hacer su trabajo.

Seguridad Informática

Mecanismos básicos de seguridad informática (IV)

Administración: Definimos la Administración como la que establece, mantiene y elimina las autorizaciones de los usuarios del sistema.

Los administradores son responsables de transformar las políticas de la organización y las autorizaciones otorgadas a un formato que pueda ser usado por el sistema.

Normalmente los sistemas operativos disponen de módulos específicos de administración de seguridad.

También existe software externo y específico que se puede utilizar dependiendo de la situación.

Seguridad Informática

Mecanismos básicos de seguridad informática (V)

Auditoría: Definimos la Auditoría como la continua vigilancia de los servicios en producción. Este proceso permite a los administradores verificar que las técnicas de autenticación y autorización utilizadas se realizan según lo establecido.

Registro: Es el mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda almacenado en una base de eventos para luego analizarlo.

Monitorear la información registrada o auditar se puede realizar mediante medios manuales o automáticos.

Seguridad Informática

Mecanismos básicos de seguridad informática (VI)

Mantenimiento de la integridad: Es el conjunto de procedimientos establecidos para evitar o controlar que los archivos sufran cambios no autorizados.

Dentro de las técnicas más utilizadas para mantener la integridad de los datos están: uso de antivirus, encriptación y funciones 'hash'.

Seguridad Informática

Vulnerabilidad de los sistemas informáticos (I)

En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos que forman parte del sistema.

Estos se agrupan en:

Hardware: Elementos físicos del sistema informático.

Software: Elementos lógicos o programas que se ejecutan sobre el hardware.

Datos: Comprenden la información lógica que procesa el software haciendo uso del hardware.

Seguridad Informática

Vulnerabilidad de los sistemas informáticos (II)

El activo más crítico son los datos. El resto se puede reponer con facilidad y los datos, sabemos que dependen de que la empresa tenga una buena política de copias de seguridad.

Esto puede suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer dichos datos con lo que conllevaría a la pérdida de tiempo y dinero.

Seguridad Informática

Vulnerabilidad de los sistemas informáticos (III)

Vulnerabilidad: Es la debilidad de cualquier tipo que compromete la seguridad del sistema informático.

Estas las podemos agrupar en función de:

Diseño - Debilidad en el diseño de protocolos utilizados en las redes. - Políticas de seguridades deficientes e inexistentes.

Implementación- Errores de programación.- Existencia de “puertas traseras” en los sistemas informáticos.- Descuido de los fabricantes.

Seguridad Informática

Vulnerabilidad de los sistemas informáticos (IV)

Uso

- Mala configuración de los sistemas informáticos.

- Desconocimiento y falta de sensibilización de los usuarios y de

los responsables de informática.

- Disponibilidad de herramientas que facilitan los ataques.

- Limitación gubernamental de tecnologías de seguridad.

Seguridad Informática

Protección de los sistemas informáticos (I)

Hoy es imposible hablar de un sistema cien por ciento seguro, porque el costo de la seguridad total es muy alto.

En algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impediría hacer más negocios.

Si un Hacker quiere gastar cien mil dólares en equipos para descifrar una encriptación, lo puede hacer porque es imposible de controlarlo.

Seguridad Informática

Protección de los sistemas informáticos (II)

Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologías.

Se debe hacer un análisis de las posibles amenazas contra los sistema informáticos, una estimación de las pérdidas y un estudio de las probabilidades de que ocurran.

A partir de este análisis se diseñara una política de seguridad en la que se establezcan las responsabilidades y reglas a seguir para evitar las amenazas o minimizar los efectos si se llegan a producir.

Seguridad Informática

Políticas de seguridad informática (I)

Política de seguridad: Es un documento que define las directrices organizativas en materia de seguridad.

Esta se implementa mediante una serie de mecanismos de seguridad que constituyen las herramientas para la protección del sistema.

Seguridad Informática

Políticas de seguridad informática (II)

Los mecanismos de seguridad se dividen en tres grupos:

Prevención: Evitan desviaciones respecto a la política de seguridad.

Detección: Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema. Recuperación: Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.

Seguridad Informática

Políticas de seguridad informática (III)

El objetivo de la Política de Seguridad es mostrar el posicionamiento de la organización con relación a la seguridad y servir de base para desarrollar los procedimientos de seguridad.

La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.

Lo más importante para que estas surtan efecto es lograr el entendimiento y compromiso de todos los involucrados.

Seguridad Informática

Políticas de seguridad informática (IV)

Las políticas deben contener claramente las prácticas que serán adoptadas por la compañía.

Deben ser revisadas y si es necesario actualizadas periódicamente.

A partir de las políticas se podrá comenzar a desarrollar las normas y los procedimientos de seguridad que serán la guía para la realización de las actividades en la empresa.

La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas definidas para la institución.

Seguridad Informática

Políticas de seguridad informática (VI)

La política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.

Seguridad Informática

Conclusiones (I)

Sin lugar a duda la seguridad informática es vital para el desarrollo de cualquier negocio o empresa que use equipos de cómputo para su funcionamiento.

Es necesario e imprescindible que todo profesional de la carrera de sistemas o afines adquiera estos conocimiento.

En su labor de una forma u otra estarán vinculados en esta tarea.

Seguridad Informática

Bibliografía

Pfleeger, C. P. (2007). Security in Computing.

Villalón. (2014, 9 2). Monográfico. Retrieved 9 2, 2014, from Monográfico: http://recursostic.educacion.es/observatorio/web/ca/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=4.

Wikipedia. (2014, Agosto 1). Retrieved Agosto 1, 2014, from http://es.wikipedia.org/wiki/Monitorizaci%C3%B3n_de_redes.

Wikipedia. (2014, Agosto 1). Retrieved Agosto 1, 2014, from http://es.wikipedia.org/wiki/Robo_de_identidad.

Wikipedia. (2014, Agosto 1). www.wikipedia.com. Retrieved Julio 1, 2014, from http://es.wikipedia.org/wiki/Ingenieria_social(seguridad_informatica).