Seguridad Informática (Diapositivas) - Humberto Barba

Ingeniería en Redes y
Telecomunicaciones
Talleres de verano ITESO 2010
ITESO - Departamento de Electrónica Sistemas e Informática

Humberto Barba G. - flamon@iteso.mx
Seguridad informática
¿Qué entienden por seguridad informática?

• La seguridad informática consiste en asegurar que los recursos del sistema de
información (material informático o programas) sean utilizados de la manera
que se pensó y que el acceso a la información allí almacenada, así como su
modificación, sólo sea posible a las personas que estén autorizados para
hacerlo.
• Podemos entender como seguridad de cualquier tipo de información, un
estado que nos indica que ese sistema está libre de peligro, daño o riesgo. Se
entiende como peligro o daño todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo.

• Para que un sistema se pueda definir como seguro debe tener estas
tres características:
– Integridad: La información sólo puede ser modificada por quien está
autorizado y de manera controlada.
– Confidencialidad: La información sólo debe ser legible para los
autorizados.
– Disponibilidad: Debe estar disponible cuando se necesita.
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse
en tres partes: seguridad física, seguridad lógica y seguridad
ambiental.

• En estos momentos la seguridad informática es un
tema de dominio obligado por cualquier usuario de
Internet, para no permitir que su información sea
comprometida y no ser susceptible a ataques y/o
amenazas del exterior.
• Una persona no autorizada podría: clasificar y
desclasificar los datos, filtrar información, alterar la
información, borrar la información, usurpar datos,
hojear información clasificada.

Protección de datos
La medida más eficiente para la
protección de los datos es determinar
una buena política de copias de
seguridad o backups: copia de
seguridad completa, en la que todos
los datos se copian (la primera vez),
copias de seguridad incrementales,
sólo se copian los ficheros creados o
modificados desde el último backup.
Dichas copias también deberán
almacenarse físicamente en un lugar
separado o aislado, para evitar
desastres naturales, robos, y demás
incidentes.

Objetivos de ataque
¿Qué o quienes se atacan?

Objetivos de ataque
• Información: Es el objeto de mayor
valor para una organización, el
objetivo es el resguardo de la
información, independientemente
del lugar en donde se encuentre
registrada, en algún medio
electrónico o físico.
• Equipos que la soportan: software y
hardware.
• Usuarios: Individuos que utilizan la
estructura tecnológica y de
comunicaciones que manejan la
información.
Tipos de amenazas
¿Qué tipos de amenazas existen?

Amenazas internas
• Generalmente estas amenazas
pueden ser las más serias (y de
hecho están entre el 60 y 80% de los
ataques) comparadas con las
externas por varias razones como
son:
– Los usuarios conocen la red y saben
cómo es su funcionamiento.
– Tienen algún nivel de acceso a la red
por las mismas necesidades de su
trabajo.
– Los Firewalls ayudan sólo ante
amenazas externas.

Amenazas externas
• Son aquellas amenazas que se originan por
personas afuera de la red. Al no tener
información certera de la red, un atacante
tiene que realizar ciertos pasos para poder
conocer qué es lo que hay en ella y buscar la
manera de atacarla. La ventaja que se tiene en
este caso es que el administrador de la red
puede prevenir una buena parte de los
ataques externos.

Análisis de riesgo
¿Qué es lo que importaría proteger?

Análisis de riesgo
Cuando se pretende diseñar una técnica para implementar un análisis de
riesgo informático se pueden tomar los siguientes puntos como referencia a
seguir:
• Identificación de los activos de la organización
• Identificar las amenazas de cada uno de los activos listados
• Construir un perfil de las amenazas que esté basado en los activos de la
organización
• Conocer las prácticas actuales de seguridad
• Identificar las vulnerabilidades de la organización
– Recursos humanos
– Recursos técnicos
– Recursos financieros

Análisis de riesgo
• Identificar los requerimientos de seguridad de la organización
• Identificación de las vulnerabilidades dentro de la
infraestructura tecnológica
• Detección de los componentes claves
• Desarrollar planes y estrategias de seguridad que contengan
los siguientes puntos:
– Riesgo para los activos críticos
– Medidas de riesgos
– Estrategias de protección
– Planes para reducir los riesgos

Aplicación de políticas de seguridad
¿Qué políticas se deben aplicar?
¿Quién debe tener acceso a qué?

Aplicación de políticas de seguridad
Una de las maneras más eficientes de proteger la integridad de
la información es la aplicación de políticas de uso a los recursos
informáticos, en las que se defina estrictamente el uso y
manejo del equipo, la información y demás. Las políticas más
utilizadas van en función de lo siguiente:
• Identificar y seleccionar lo que se debe proteger
(información sensible)
• Establecer niveles de prioridad e importancia sobre la
información
• Conocer las consecuencias que traería a la compañía, en lo
que se refiere a costos y productividad, la pérdida de datos
sensibles
• Identificar las amenazas, así como los niveles de
vulnerabilidad de la red
• Realizar un análisis de costos en la prevención y
recuperación de la información, en caso de sufrir un ataque
y perderla
• Implementar respuesta a incidentes y recuperación para
disminuir el impacto

Ataques informáticos
¿Cuáles conocen?
¿Han hecho alguno?

Ataque DoS
• Ataque de denegación de servicio:
también llamado ataque DoS (Deny
of Service), es un ataque a un
sistema de computadoras o red que
causa que un servicio o recurso sea
inaccesible a los usuarios legítimos,
normalmente provocando la
pérdida de la conectividad de la red
por el consumo del ancho de banda
de la red de la víctima o sobrecarga
de los recursos computacionales del
sistema de la víctima.
Ataque MitM
• Man in the middle: a veces abreviado MitM, es
una situación donde un atacante supervisa
(generalmente mediante un rastreador de
puertos) una comunicación entre dos partes y
falsifica los intercambios para hacerse pasar por
una de ellas.

Ataque de Replay
• Ataques de REPLAY: una forma de ataque de
red, en el cual una transmisión de datos válida
es maliciosa o fraudulentamente repetida o
retardada. Es llevada a cabo por el autor o por
un adversario que intercepta la información y
la retransmite, posiblemente como parte de
un ataque enmascarado.

Ataque 0day
• Ataque de día cero: ataque
realizado contra un ordenador, a
partir del cual se explotan ciertas
vulnerabilidades, o agujeros de
seguridad de algún programa o
programas antes de que se
conozcan las mismas, o que, una
vez publicada la existencia de la
vulnerabilidad, se realice el
ataque antes de la publicación
del parche que la solvente.
Ataque con ingeniería social
• Ingeniería social: es la práctica de
obtener información confidencial a
través de la manipulación de usuarios
legítimos. Es una técnica que pueden
usar ciertas personas, tales como
investigadores privados, criminales, o
delincuentes computacionales, para
obtener información, acceso o
privilegios en sistemas de información
que les permitan realizar algún acto
que perjudique o exponga la persona u
organismo comprometido a riesgo o
abusos.

Técnicas para evitar ataques
¿Cómo evitarían un ataque?

Técnicas para evitar ataques
• Codificar la información: tener contraseñas
difíciles de averiguar a partir de datos
personales del individuo.
• Vigilancia y monitoreo de la red
• Zona desmilitarizada
• Tecnologías repelentes o protectoras:
cortafuegos, sistema de detección de intrusos -
antispyware, antivirus, llaves para protección de
software, etc. Mantener los sistemas de
información con las actualizaciones que más
impacten en la seguridad.

Consideraciones de seguridad en una red
• Los puntos de entrada en la red son generalmente el
correo, las páginas web y la entrada de ficheros desde
discos, memorias USB, o de ordenadores ajenos, como
portátiles.
• Mantener al máximo el número de recursos de red
sólo en modo lectura, impide que ordenadores
infectados propaguen virus. En el mismo sentido se
pueden reducir los permisos de los usuarios al mínimo.

Medidas preventivas para evitar ataques en la red
• Mantener las máquinas actualizadas y seguras físicamente.
• Mantener personal especializado en cuestiones de seguridad (o
subcontratarlo).
• Aunque una máquina no contenga información valiosa, hay que
tener en cuenta que puede resultar útil para un atacante, a la
hora de ser empleada en un DoS coordinado o para ocultar su
verdadera dirección.
• No permitir el tráfico "broadcast" desde fuera de nuestra red.
• Filtrar el tráfico IP Spoof.
• Auditorias de seguridad y sistemas de detección.
• Mantenerse informado constantemente sobre cada una de las
vulnerabilidades encontradas y parches lanzados. Para esto es
recomendable estar suscripto a listas que brinden este servicio
de información.
• Por último, pero quizás lo más importante, la capacitación
continua del usuario.

Consejos de seguridad informática personal
• Utilizar una contraseña con 10
caracteres, 1 letra mayúscula, 1
minúscula y 1 número como mínimo.
• Realizar respaldos de tu información
de manera periódica.
• El uso de herramientas de seguridad
(antivirus, firewall) debidamente
instaladas y actualizadas, nos ayudan
a prevenir programas maliciosos e
intrusiones a tu computadora
personal.

Referencias
• Axtel. (2010). TENDENCIAS DE SEGURIDAD
INFORMÁTICA. Recuperado el 21 de mayo de 2010, de:
http://www.axtel.mx/portal/server.pt/community/axte
l_dece/209/Tendencias_Tecno
• Revista RED. (Noviembre de 2002). SEGURIDAD
INFORMÁTICA. Recuperado el 21 de mayo de 2010, de:
http://www.cuentame.inegi.gob.mx/museo/cerquita/r
edes/seguridad/intro.htm
• Segu-Info. (2009). SEGURIDAD INFORMÁTICA
(AMENAZAS LÓGICAS - TIPOS DE ATAQUES).
Recuperado el 21 de mayo de 2010, de:
http://www.segu-info.com.ar/ataques/ataques.htm
¿Alguna duda?

Ingeniería en Redes y
Telecomunicaciones
Talleres de verano ITESO 2010

ADVERTENCIA
INGRESAR A SITIOS WEB DE FORMA NO AUTORIZADA PUEDE
SER PENALIZADO POR LA LEY. LOS EJEMPLOS AQUÍ DADOS
SON CON FINES EDUCATIVOS PARA FACILITAR EL
APRENDIZAJE SOBRE SEGURIDAD EN SITIOS DE INTERNET, NO
PRETENDEMOS EXPONER A NINGUNA EMPRESA,
INSTITUCION U ORGANIZACION.
SE PIDE NO HACER PUBLICA LA INFORMACION ADQUIRIDA
EN ESTE TALLER REFERENTE A LOS SITIOS WEB CON
VULNERABILIDADES POTENCIALES.
EL USO INDEBIDO DE DICHA INFORMACIÓN ES
RESPONSABILIDAD DE QUIEN LA UTILIZA PARA LOS FINES QUE
DESEE. EL INSTRUCTOR, ASI COMO LA INSTITUCIÓN DONDE
SE IMPARTE ESTE TALLER SE DESLINDA DE TODA
RESPONSABILIDAD LEGAL SOBRE EL MAL USO QUE SE LE
PUEDA DAR A LOS CONTENIDOS AQUÍ MOSTRADOS.


Seguridad Informática (Diapositivas) - Humberto Barba

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridad Informática (Diapositivas) - Humberto Barba

Încărcat de

Drepturi de autor:

Formate disponibile

Ingeniería en Redes y

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

ITESO - Departamento de Electrónica Sistemas e Informática

S-ar putea să vă placă și