Por: Pedro Trelles Araujo

Sistemas y Bases de Datos

SEGURIDAD INFORMATICA
Unidad 1.
Introduccin a la Seguridad Informtica.
SEGURIDAD INFORMATICA
Introduccin a la Seguridad
Informtica
La Vulnerabilidad en nuestros Sistemas de
Informacin presentan problemas graves.
Por eso es necesario conocer los conceptos
importantes bsicos de Seguridad en la
Informacin.
Conceptos bsicos de Seguridad en la Informacin:

La informacin es el objeto de mayor valor en las organizaciones.
La seguridad afecta directamente a los negocios de una empresa o de una
persona.
El propsito es proteger la informacin registrada independientemente del
lugar en el que se localice.
Elementos que se buscan proteger
Informacin
de la
organizacin
Equipos que la
soportan
Personas que las
utilizan
Seguridad
de la
Informacin
Unidad 2.
Activos.
SEGURIDAD INFORMATICA
Qu es un Activo?
Un Activo, es todo elemento que compone todo el proceso de la
comunicacin, partiendo desde la informacin, emisor, medio de
transmisin y receptor.
Emisor Receptor
( medio de transmisin )
informacin
Informacin = Activo
Mala administracin
Errores humanos
Virus
Hackers
Ataques terroristas
Desastres naturales
P

r
d
i
d
a

o

d
a

o

Seguridad
Informtica
Empresa
Activos
Proteccin
Adecuada
Implementa
Posee Protege
Recibe
P
l
a
n
i
f
i
c
a

Los negocios de la empresa no son perjudicados
Tipos de Activos: clasificacin detallada
A. Informacin
B. Equipos que la soportan B.1. Software
B.2. Hardware
B.3. Organizacin
C. Personas que la utilizan
A. Informacin.- Elementos que contienen datos registrados en medios
magnticos o fsicamente.
documentos.
informes.
libros.
manuales.
correspondencias.
patentes.
estudios de mercados.
programas.
cdigos fuentes.
lneas de comandos.
reportes.
archivos.
planillas de pagos.
planes de negocios.
etc.
Robo de documentos
Prdida de archivos
Posibles vulnerabilidades
B.1. Software.- Programas de computadoras para la automatizacin de
los procesos de la empresa y de los negocios.
aplicaciones comerciales.
programas institucionales.
sistemas operativos.
otros.
* La Seguridad de la Informacin evala la creacin,
disposicin y utilizacin de los sistemas. Adems
detecta y corrige errores o problemas de
comunicacin entre sistemas.
Aplicaciones Seguras
Bases de Datos
Otras aplicaciones
Usuarios
C
o
m
u
n
i
c
a
c
i

n

s
e
g
u
r
a

Sistemas Operativos
con Fallas
Aplicaciones no
reparadas
Equipos
V
u
l
n
e
r
a
b
i
l
i
d
a
d

H
a
c
k
e
r
s
-
v
i
r
u
s

Principios Bsicos
de Seguridad
B.2. Hardware.- Infraestructura tecnolgica que brinda soporte a la
informacin durante su uso, trnsito y almacenamiento.

Activos de hardware: cualquier equipo en el cual
se almacena, procesa o
transmite informacin de la
empresa.
Perdida de informacin Equipos
Indisponibilidad
Trabajo lento
Mala configuracin
Fallas elctricas
Desastres
Robos / Atentados
V
u
l
n
e
r
a
b
i
l
i
d
a
d
e
s

A
m
e
n
a
z
a
s

Principios Bsicos
de Seguridad
B.3. Organizacin.- Aspectos que conforman la estructura fsica y
organizativa de la empresa. Organizacin
lgica y fsica del personal de la empresa.
Estructura Organizativa : Estructura Fsica :
Departamentos.
Funciones y Funcionarios.
Flujo de informacin.
Flujo de trabajo.
Salas de servidores.
Armarios.
Archivadores.
Fototeca.
Videoteca.
Salas de trabajo.
Organizacin
Departamentos
Areas
E
s
t
r
u
c
t
u
r
a

No se adaptan
al cambio
Documentos
Equipos
Personas
Ubicacin
Insegura
V
u
l
n
e
r
a
b
i
l
i
d
a
d

Vulnerabilidad
Principios Bsicos
de Seguridad
C. Usuarios.- Individuos que utilizan la estructura tecnolgica y de
comunicacin de la empresa y manejan la informacin.
* Se busca formar el hbito de la seguridad para que
los usuarios tomen conciencia de las
vulnerabilidades.
Usuarios
Mal manejo y perdida
de la Informacin
Vulnerabilidades
Principios Bsicos
de Seguridad
Unidad 3.
Principios bsicos de la seguridad informtica.
SEGURIDAD INFORMATICA
Principios Bsicos de la Seguridad de la Informacin
b) Confidencialidad c) Disponibilidad a) Integridad
a) Integridad.- Permite garantizar que la informacin no sea alterada, es decir, que sea ntegra. Estar ntegra
significa que est en su estado original sin haber sido alterada por agentes no autorizados.
El quiebre de la Integridad.- Ocurre cuando la informacin es corrompida, falsificada y burlada.
Alteraciones del contenido del documento: insercin, sustitucin o remocin.
Alteraciones en los elementos que soportan la informacin: alteracin fsica
y lgica en los medios de almacenaje.
Informacin
Correcta
Principios Bsicos de la Seguridad de la Informacin
b) Confidencialidad c) Disponibilidad a) Integridad
b) Confidencialidad.- Se encarga y se asegura de proporcionar la informacin correcta a los usuarios correctos.
Toda la informacin no debe ser vista por todos los usuarios.
Perdida de Confidencialidad = Perdida de Secreto
La informacin confidencial se debe guardar con seguridad sin divulgar a
personas no autorizadas.
Garantizar la confidencialidad es uno de los factores determinantes para la
seguridad.
Grado de Confidencialidad
o Sigilo
Confidencial
Restricto
Sigiloso
Pblico
G
r
a
d
o

d
e

S
i
g
i
l
o

Para el Usuario
Correcto
Principios Bsicos de la Seguridad de la Informacin
b) Confidencialidad c) Disponibilidad a) Integridad
c) Disponibilidad.- La informacin debe llegar a su destino en el momento oportuno y preciso.
La disponibilidad permite que:
La informacin se use cuando sea
necesario.
Que est al alcance de los usuarios.
Que pueda ser accesada cuando se
necesite.
Garantas de la disponibilidad:
Configuracin segura en el ambiente
para una disponibilidad adecuada.
Planeacin de copias de seguridad,
backups.
Definir estrategias para situaciones de
contingencia.
Fijar rutas alternativas para el transito
de la informacin.
En el Momento
Correcto
Unidad 4.
Amenazas y Puntos Dbiles.
SEGURIDAD INFORMATICA
Amenazas: Son agentes capaces de hacer explotar los fallos de seguridad o los puntos dbiles causando
prdidas y daos a los activos y afectando al negocio.
Integridad
Confidencialidad
Disponibilidad
Amenazas
P
l
a
n

d
e

C
o
n
t
i
n
g
e
n
c
i
a

Riesgo
Es constante y ocurre
en cualquier momento
F
r
e
c
u
e
n
c
i
a

T
i
e
m
p
o

Causas:
- Naturales.
- No naturales.
- Internas.
- Externas.
Amenazas Naturales
Amenazas Intencionales
Amenazas Involuntarias
* Principales amenazas ms frecuentes:
Ocurrencia de Virus
Divulgacin de contraseas
Accin de hackers
Fuente: Mdulo Security Solutions S. A.
Encuesta sobre amenazas ms frecuentes en Brasil, ao 2000
Puntos Dbiles: Son elementos que al ser explotados por amenazas afectan la integridad,
confidencialidad y disponibilidad de la informacin.
Identificacin de
Puntos Dbiles
Dimensin de
Riesgos
Definicin de Medidas
de Seguridad
Correccin de
Puntos Dbiles
<<Rastrear>> <<Analizar>> <<Planificar>> <<Depurar>>
* Los puntos dbiles dependen de la forma en que
se organiz el ambiente en que se maneja la
informacin.
Puntos Dbiles o Vulnerabilidades
Fsicas Naturales De Hardware De Software
De Medios de
Almacenaje
De
Comunicacin
Humanas
a) b) c) d) e) f) g)
a) Vulnerabilidades Fsicas.- Estn presentes en los ambientes en los cuales la informacin se est
almacenando o manejando.
Instalaciones inadecuadas.
Ausencia de equipos de seguridad.
Cableados desordenados y expuestos.
Falta de identificacin de personas, equipos y reas.
* Las vulnerabilidades fsicas ponen en riesgo principalmente
al principio de Disponibilidad.
b) Vulnerabilidades Naturales.- Estn relacionadas con las condiciones de la naturaleza.
Humedad.
Polvo.
Temperaturas indebidas.
Agentes contaminantes naturales.
Desastres naturales.
Sismos
Exposicin de
Amenazas
Anlisis de
Riesgos
Determinacin y
Definicin de
Objetivos
Eleccin de
Zonas y Areas
Montaje del
Ambiente
c) Vulnerabilidades de Hardware.- Los defectos o fallas de fabricacin o configuracin de los equipos atacan
y o alteran los mismos.
Ausencia de actualizaciones.
Conservacin inadecuada.
Se debe evaluar:
- La configuracin y dimensin para su
correcto funcionamiento.
- Almacenamiento suficiente.
- Procesamiento y velocidad adecuada.
d) Vulnerabilidades de Software.- Permite la ocurrencia de accesos indebidos a los sistemas y por ende a la
informacin.
Configuracin e instalacin indebida de los
programas.
Sistemas operativos mal configurados y mal
organizados.
Correos maliciosos.
Ejecucin de macro virus.
Navegadores de Internet.
e) Vulnerabilidades de Medios de Almacenaje.- La utilizacin inadecuada de los medios de almacenaje
afectan la integridad, la confidencialidad y la disponibilidad
de la informacin.
Plazo de validez y de caducidad.
Defectos de fabricacin.
Uso incorrecto.
Mala calidad.
Areas o lugares de depsito inadecuados
(humedad, calor, moho, magnetismo, etc.)
f) Vulnerabilidades de Comunicacin.- Esto abarca todo el transito de la informacin, ya sea cableado,
satelital, fibra ptica u ondas de radio inalmbricas.
* El xito en el transito de los datos es crucial en la
seguridad de la informacin.
* La seguridad de la informacin est asociada en el
desempeo de los equipos involucrados en la
comunicacin.
Consecuencias:
Informacin no disponible para los usuarios.
Informacin disponible a usuarios incorrectos
afectando el principio de Confidencialidad.
Altera el estado original de la informacin afectando
el principio de Integridad.
Causas:
Ausencia de sistemas de encriptacin.
Mala eleccin en los sistemas de comunicacin.
g) Vulnerabilidades Humanas.- Son daos que las personas pueden causar a la informacin, a los equipos y
a los ambientes tecnolgicos. Los puntos dbiles humanos pueden ser
intencionados o no.
* La mayor vulnerabilidad es el desconocimiento de las
medidas de seguridad adecuadas o simplemente el no
acatarlas.
Puntos dbiles ms frecuentes de origen interno:
Falta de capacitacin especfica y adecuada.
falta de conciencia de seguridad en los usuarios.

Puntos dbiles ms frecuentes de origen externo:
Vandalismo.
Estafas.
Invasiones.
Hurto / Robo.
Causas:
Contraseas dbiles.
Falta de criptografa en la comunicacin.
Identificadores: nombres de usuarios, credenciales,
etc.
Unidad 5.
Riesgos, Medidas de Seguridad y Ciclo de Seguridad.
SEGURIDAD INFORMATICA
Riesgos: Son las probabilidades de que las amenazas exploten los puntos dbiles o vulnerabilidades
causando daos y prdidas, y afectando completamente la Integridad, Confidencialidad y Disponibilidad.
* La seguridad es una prctica orientada hacia la eliminacin
de las vulnerabilidades para evitar o reducir las
posibilidades que las potenciales amenazas se concreten.
Su objetivo.- garantizar el xito de
la Comunicacin Segura con
informacin Integra, Disponible y
Confidencial, a travs de Medidas
de Seguridad.
Medidas de Seguridad: Son acciones orientadas hacia la eliminacin de vulnerabilidades.
* Debe existir medidas de seguridad especficas para el
tratamiento de cada caso. Es decir, diferentes medidas para
casos distintos.
Medidas de Seguridad
Perceptivas Preventivas Correctivas
Busca evitar el surgimiento
de nuevos puntos dbiles
y amenazas.
Orientado hacia la
revelacin de actos que
pongan en riesgo a la
informacin.
Orientado hacia la
correccin y posterior
eliminacin y disposicin
de problemas.
* Las medidas de seguridad son un Conjunto
de Prcticas que se integran para buscar
un mismo fin y un mismo Objetivo Global
de Seguridad.
Medida de
Seguridad 1
Medida de
Seguridad 2
Medida de
Seguridad 3
Medida de
Seguridad n
Integracin de
Medidas de Seguridad
Solucin Global y Eficaz
de la Seguridad de la
Informacin
Principales Medidas de Seguridad

a) Anlisis de Riesgos.- Busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas.
Del anlisis de Riesgos se obtiene como resultado un grupo de recomendaciones para la correccin y proteccin
de activos.
b) Polticas de Seguridad.- Busca establecer los estndares de seguridad a seguir, esto apunta a todos los
involucrados con el uso y mantenimiento de los activos. Las PS es un conjunto de normas, y es el primer paso
para aumentar la conciencia de la seguridad en las personas.
c) Especificaciones de Seguridad.- Son medidas para instruir la correcta implementacin de nuevos ambientes
tecnolgicos por medio del detalle de sus elementos constituyentes.
d) Administracin de la Seguridad.- Son medidas integradas e integrales que buscan gestionar los riesgos de un
ambiente. Involucra a todas las medidas anteriores en forma Preventiva, Perceptiva y Correctiva.
CICLO DE SEGURIDAD
Integridad
Confidencialidad
Disponibilidad
RIESGOS
Amenazas
Vulnerabilidades
Activos
Medidas
de
Seguridad
Impactos
en el
Negocio
Aumenta
Aumenta
E
x
p
o
n
i
e
n
d
o

L
i
m
i
t
a
d
o
s

Unidad 6.
Conclusiones.
SEGURIDAD INFORMATICA
La Seguridad busca

Proteger la Confidencialidad de la informacin contra accesos no autorizados.
Evitar alteraciones indebidas que pongan en peligro la Integridad de la informacin.
Garantizar la Disponibilidad de la informacin.
La Seguridad es instrumentada por .

Polticas y Procedimientos de Seguridad que permiten la identificacin y control de
amenazas y punto dbiles, con el fin de preservar la Integridad, Confidencialidad y
Disponibilidad de la Informacin.
ANALISIS DE RIESGOS
POLITICAS DE SEGURIDAD
ESPECIFICACIONES DE SEGURIDAD
ADMINISTRACION DE SEGURIDAD
MEDIDAS DE SEGURIDAD
ACTIVO
EMPRESA
PROCESO DE LA
COMUNICACION
INFORMACION
EQUIPOS
PERSONAS
VULNERABILIDAD
RIESGO
PLAN DE CONTINGENCIA
AMENAZA
VULNERABILIDAD HUMANA
VULNERABILIDAD DE COMUNICACION
VULNERABILIDAD DE ALMACENAMIENTO
VULNERABILIDAD DE SOFTWARE
VULNERABILIDAD DE HARDWARE
VULNERABILIDAD NATURAL
VULNERABILIDAD FISICA
PREVENTIVA
PERCEPTIVA
CORRECTIVA
promueve
compone
tipos
presenta
elimina
genera
ataca
controla
tipos
tipos
implementa
enfrenta
acciones
Fuente: Academia Latinoamericana de Seguridad Informtica Microsoft TechNet
Dont be a copy, be original
SEGURIDAD INFORMATICA