SEGURIDAD INFORMATICA

Por : Pedro Trelles Araujo

Sistemas y Bases de Datos
SEGURIDAD INFORMATICA

Unidad 1.
Introducción a la Seguridad Informática.
 Introducción a la Seguridad
Informática

La Vulnerabilidad en nuestros Sistemas de

Información presentan problemas graves.
Por eso es necesario conocer los conceptos
importantes básicos de Seguridad en la
Información.
Conceptos básicos de Seguridad en la Información:
q La información es el objeto de mayor valor en las organizaciones.
q La seguridad afecta directamente a los negocios de una empresa o de una
persona.
q El propósito es proteger la información registrada independientemente del
lugar en el que se localice.
 Elementos que se buscan proteger

Información
de la
organización

Seguridad
de la
Información

Equipos que Personas

la que las
soportan utilizan
SEGURIDAD INFORMATICA

Unidad 2.
Activos.
Qué es un Activo?
Un “Activo”, es todo elemento que compone todo el proceso de la
comunicación, partiendo desde la información, emisor, medio de
transmisión y receptor.

información
Emisor ( medio de transmisión )
Receptor

Información = Activo

•Mala administración
•Errores humanos

Pérdida o
•Virus

daño
•Hackers
•Ataques terroristas
•Desastres naturales
 Seguridad Implementa
Empresa
Informática

Planifica Protege Posee

Activos

Protección Recibe
Adecuada

Los negocios de la empresa no son perjudicados

Tipos de Activos: clasificación detallada

A. Información

B. Equipos que la soportan B.1. Software

B.2. Hardware
B.3. Organización
C. Personas que la utilizan
A.Información.- Elementos que contienen datos registrados en medios
magnéticos o físicamente.

üdocumentos. üpatentes. üreportes.

üinformes. üestudios de mercados. üarchivos.
ülibros. üprogramas. üplanillas de pagos.
ümanuales. ücódigos fuentes. üplanes de negocios.
ücorrespondencias. ülíneas de comandos. üetc.

Robo de documentos
Posibles vulnerabilidades
Pérdida de archivos
B.1. Software.- Programas de computadoras para la automatización de
los procesos de la empresa y de los negocios.

üaplicaciones comerciales. * La Seguridad de la Información evalúa la creación,

disposición y utilización de los sistemas. Además
üprogramas institucionales.
detecta y corrige errores o problemas de
üsistemas operativos. comunicación entre sistemas.
üotros.

Comunicación
Bases de Datos

segura
Aplicaciones
Otras aplicaciones
Seguras
Usuarios

Principios
Básicos
de Seguridad
Vulnerabilidad

Sistemas
Hackers-virus

Operativos
con Fallas Equipos
Aplicaciones no
reparadas
B.2. Hardware.- Infraestructura tecnológica que brinda soporte a la
información durante su uso, tránsito y almacenamiento.

Activos de hardware: cualquier equipo en el cual

se almacena, procesa o
transmite información de la empresa.

Vulnerabilidades

Fallas eléctricas

Amenazas
Indisponibilidad
Mala configuración Perdida de
Equipos
información
Desastres
Trabajo lento
Robos / Atentados

Principios
Básicos
de Seguridad
 B.3. Organización.- Aspectos que conforman la estructura física y
organizativa de la empresa. Organización
lógica y física del personal de la empresa.

Estructura
Estructura Física :
Organizativa :
•Salas de servidores.
•Departamentos. •Armarios.
•Funciones y Funcionarios. •Archivadores. Documentos
•Flujo de información. •Fototeca.
•Flujo de trabajo. •Videoteca. Equipos
•Salas de trabajo.
Personas

Vulnerabilidad
Principios
Básicos
de Seguridad

Ubicación
Insegura
Vulnerabilidad

Organización
Estructura

No se adaptan
Departamentos al cambio

Areas
C. Usuarios.- Individuos que utilizan la estructura tecnológica y de
comunicación de la empresa y manejan la información.

* Se busca formar el hábito de la seguridad para que

los usuarios tomen conciencia de las
vulnerabilidades.

Principios
Básicos
de Seguridad

Vulnerabilidades
es

la
pl

PC

a d on
m

Mal manejo y
o

rid c
la
si

id

gu a n
an
as

perdida
cu

Usuarios
se per
eñ

ue

de la Información
De
s

oq

o
tra

co
bl
n

No
No
Co
 SEGURIDAD INFORMATICA

Unidad 3.
Principios básicos de la seguridad informática.
 Principios Básicos de la Seguridad de la Información
a) Integridad b) Confidencialidad c) Disponibilidad

a)Integridad.- Permite garantizar que la información no sea alterada, es decir, que sea íntegra. Estar íntegra
significa que esté en su estado original sin haber sido alterada por agentes no autorizados.
El quiebre de la Integridad.- Ocurre cuando la información es corrompida, falsificada y
burlada.

Alteraciones del contenido del documento: inserción, sustitución o remoción.

Alteraciones en los elementos que soportan la información: alteración física
y lógica en los medios de almacenaje.

Informaci
ón
Correcta
 Principios Básicos de la Seguridad de la Información
a) Integridad b) Confidencialidad c) Disponibilidad

b) Confidencialidad.- Se encarga y se asegura de proporcionar la información correcta a los usuarios correctos.

Toda la información no debe ser vista por todos los usuarios.

Perdida de Confidencialidad = Perdida de Secreto

La información confidencial se debe guardar con seguridad sin divulgar a

personas no autorizadas.

Garantizar la confidencialidad es uno de los factores determinantes para la

seguridad.

Grado de Confidencialidad
o Sigilo
Para el
Confidencial Usuario
Grado de

Restricto
Correcto
Sigilo

Sigiloso
Público
 Principios Básicos de la Seguridad de la Información
a) Integridad b) Confidencialidad c) Disponibilidad

c) Disponibilidad.- La información debe llegar a su destino en el momento oportuno y preciso.

La disponibilidad permite que: Garantías de la disponibilidad:

•La información se use cuando sea
necesario.
•Que esté al alcance de los usuarios.
•Que pueda ser accesada cuando se
necesite.
•Configuración segura en el ambiente
para una disponibilidad adecuada.
•Planeación de copias de seguridad,
backups.
•Definir estrategias para situaciones de
contingencia.
•Fijar rutas alternativas para el transito
de la información.

En el
Momento
Correcto
SEGURIDAD INFORMATICA

Unidad 4.
Amenazas y Puntos Débiles.
Amenazas:Son agentes capaces de hacer explotar los fallos de seguridad o los puntos débiles causando
pérdidas y daños a los activos y afectando al negocio.

Causas:
-Naturales.

Contingencia
-No naturales.
Integridad

Plan de
Riesgo -Internas.
Amenazas Confidencialidad
-Externas.
Frecuencia
Tiempo
Disponibilidad
Amenazas Naturales

Es constante y ocurre Amenazas Intencionales

en cualquier momento
Amenazas Involuntarias

* Principales amenazas más frecuentes:

üOcurrencia de Virus
Fuente: Módulo Security Solutions S. A.
üDivulgación de contraseñas Encuesta sobre amenazas más frecuentes en Brasil, año 2000
üAcción de hackers
Puntos Débiles: Son elementos que al ser explotados por amenazas afectan la integridad,
confidencialidad y disponibilidad de la información.

Definición de
Identificación de Dimensión de Corrección de
Medidas
Puntos Débiles Riesgos Puntos Débiles
de Seguridad
<<Rastrear>> <<Analizar>> <<Planificar>> <<Depurar>>

Puntos Débiles o Vulnerabilidades

a) b) c) d) e) f) g)
De
De Medios de
Físicas Naturales De Hardware De Software Comunicació Humanas
Almacenaje
n

* Los puntos débiles dependen de la forma en que

se organizó el ambiente en que se maneja la
información.
a) Vulnerabilidades Físicas.-Están presentes en los ambientes en los cuales la información se está
almacenando o manejando.

§Instalaciones inadecuadas.
§Ausencia de equipos de seguridad.
§Cableados desordenados y expuestos.
§Falta de identificación de personas, equipos y áreas.

* Las vulnerabilidades físicas ponen en riesgo principalmente

al principio de Disponibilidad.

b) Vulnerabilidades Naturales.- Están relacionadas con las condiciones de la naturaleza.

§Humedad.
§Polvo. Exposición de
Amenazas
§Temperaturas indebidas.
§Agentes contaminantes naturales.
§Desastres naturales. Análisis de
§Sismos Riesgos

Determinación
Montaje del Elección de y
Ambiente Zonas y Areas Definición de
Objetivos
c) Vulnerabilidades de Hardware.- Los defectos o fallas de fabricación o configuración de los equipos
atacan y o alteran los mismos.

§Ausencia de actualizaciones. Se debe evaluar:

§Conservación inadecuada. -La configuración y dimensión para su
correcto funcionamiento.
-Almacenamiento suficiente.
-Procesamiento y velocidad adecuada.

d) Vulnerabilidades de Software.-Permite la ocurrencia de accesos indebidos a los sistemas y por ende a la

información.

§Configuración e instalación indebida de los

programas.
§Sistemas operativos mal configurados y mal
organizados.
§Correos maliciosos.
§Ejecución de macro virus.
§Navegadores de Internet.
e) Vulnerabilidades de Medios de Almacenaje.-La utilización inadecuada de los medios de almacenaje
afectan la integridad, la confidencialidad y la disponibilidad de
la información.

§Plazo de validez y de caducidad.

§Defectos de fabricación.
§Uso incorrecto.
§Mala calidad.
§Areas o lugares de depósito inadecuados (humedad,
calor, moho, magnetismo, etc.)

f) Vulnerabilidades de Comunicación.-Esto abarca todo el transito de la información, ya sea cableado,

satelital, fibra óptica u ondas de radio inalámbricas.
* El éxito en el transito de los datos es crucial en la * La seguridad de la información está asociada en el
seguridad de la información. desempeño de los equipos involucrados en la
comunicación.

Consecuencias: Causas:
§Información no disponible para los usuarios. §Ausencia de sistemas de encriptación.
§Información disponible a usuarios incorrectos §Mala elección en los sistemas de comunicación.
afectando el principio de Confidencialidad.
§Altera el estado original de la información afectando
el principio de Integridad.
g) Vulnerabilidades Humanas.-Son daños que las personas pueden causar a la información, a los equipos y
a los ambientes tecnológicos. Los puntos débiles humanos pueden ser
intencionados o no.

* La mayor vulnerabilidad es el desconocimiento de las

medidas de seguridad adecuadas o simplemente el no
acatarlas.

Puntos débiles más frecuentes de origen interno:

§Falta de capacitación específica y adecuada.
§falta de conciencia de seguridad en los usuarios. Causas:
§Contraseñas débiles.
Puntos débiles más frecuentes de origen externo: §Falta de criptografía en la comunicación.
§Vandalismo. §Identificadores: nombres de usuarios, credenciales,
§Estafas. etc.
§Invasiones.
§Hurto / Robo.
 SEGURIDAD INFORMATICA

Unidad 5.
Riesgos, Medidas de Seguridad y Ciclo de Seguridad.
Riesgos: Son las probabilidades de que las amenazas exploten los puntos débiles o vulnerabilidades
causando daños y pérdidas, y afectando completamente la Integridad, Confidencialidad y Disponibilidad.

* La seguridad es una práctica orientada hacia la eliminación Su objetivo.- garantizar el éxito de

de las vulnerabilidades para evitar o reducir las la Comunicación Segura con
posibilidades que las potenciales amenazas se concreten. información Integra, Disponible y
Confidencial, a través de Medidas
de Seguridad.

Medidas de Seguridad: Son acciones orientadas hacia la eliminación de vulnerabilidades.

* Debe existir medidas de seguridad específicas para el

tratamiento de cada caso. Es decir, diferentes medidas para
casos distintos.

Medidas de Seguridad

Preventivas Perceptivas Correctivas

Busca evitar el surgimiento Orientado hacia la Orientado hacia la

de nuevos puntos débiles revelación de actos que corrección y posterior
y amenazas. pongan en riesgo a la eliminación y disposición
información. de problemas.
 * Las medidas de seguridad son un Conjunto
Medida de de Prácticas que se integran para buscar
Seguridad un mismo fin y un mismo Objetivo Global
1 Medida de de Seguridad.
Seguridad
2
Medida de Solución Global y Eficaz
Seguridad de la Seguridad de la
3 Medida de Información
Seguridad
Integración de n
Medidas de Seguridad

Principales Medidas de Seguridad

a)Análisis de Riesgos.- Busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas. Del
análisis de Riesgos se obtiene como resultado un grupo de recomendaciones para la corrección y protección de
activos.
b)Políticas de Seguridad.- Busca establecer los estándares de seguridad a seguir, esto apunta a todos los
involucrados con el uso y mantenimiento de los activos. Las PS es un conjunto de normas, y es el primer paso para
aumentar la conciencia de la seguridad en las personas.
c)Especificaciones de Seguridad.- Son medidas para instruir la correcta implementación de nuevos ambientes
tecnológicos por medio del detalle de sus elementos constituyentes.
d)Administración de la Seguridad.- Son medidas integradas e integrales que buscan gestionar los riesgos de un
ambiente. Involucra a todas las medidas anteriores en forma Preventiva, Perceptiva y Correctiva.
 CICLO DE SEGURIDAD

Amenazas Exp
n lota
pide n
Im

Medidas
de Aumenta Vulnerabilidades
Seguridad Dis a
min
uye ment
Au

Exponiendo
Limitados

RIESGOS

a
ment
Impactos Au
en el Aumenta Activos
Negocio

Ca s
us Integridad ida
an Confidencialidad érd
Disponibilidad P
SEGURIDAD INFORMATICA

Unidad 6.
Conclusiones.
 La Seguridad busca …

üProteger la Confidencialidad de la información contra accesos no autorizados.

üEvitar alteraciones indebidas que pongan en peligro la Integridad de la información.
üGarantizar la Disponibilidad de la información.

La Seguridad es instrumentada por ….

Políticas y Procedimientos de Seguridad que permiten la identificación y control de

amenazas y punto débiles, con el fin de preservar la Integridad, Confidencialidad y
Disponibilidad de la Información.
 VULNERABILIDAD FISICA

VULNERABILIDAD NATURAL
promueve
EMPRESA
VULNERABILIDAD DE HARDWARE

tipos
VULNERABILIDAD DE SOFTWARE

VULNERABILIDAD DE ALMACENAMIENTO

compone
VULNERABILIDAD DE COMUNICACION ACTIVO PROCESO DE LA COMUNICACIO

VULNERABILIDAD HUMANA
presenta
tipos

VULNERABILIDAD

genera INFORMACION
AMENAZA
ataca elimina
EQUIPOS
RIESGO
PERSONAS
enfrenta
MEDIDAS DE SEGURIDAD
controla

PLAN DE CONTINGENCIA
acciones
tipos
implementa
PREVENTIVA

ANALISIS DE RIESGOS PERCEPTIVA

POLITICAS DE SEGURIDAD CORRECTIVA

ESPECIFICACIONES DE SEGURIDAD

ADMINISTRACION DE SEGURIDAD
SEGURIDAD INFORMATICA

Fuente: Academia Latinoamericana de Seguridad Informática – Microsoft TechNet

Don’t be a copy, be original