Está en la página 1de 70
SEGURIDAD INFORMÁTICA Ing. Rudy Chávez Cunyas
SEGURIDAD
INFORMÁTICA
Ing. Rudy Chávez Cunyas
SEGURIDAD INFORMÁTICA Ing. Rudy Chávez Cunyas
¿QUÉ TRABAJAREMOS EN LA CLASE DE HOY?  DESCRIPCIÓN DEL SILABO  EVALUACIÓN DIAGNÓSTICA 

¿QUÉ TRABAJAREMOS

EN LA CLASE DE HOY?

DESCRIPCIÓN DEL SILABO

EVALUACIÓN DIAGNÓSTICA

CONCEPTOS BÁSICOS DE

SEGURIDAD INFORMÁTICA

ACTIVOS DE UNA ORGANIZACIÓN

SILABO  EVALUACIÓN DIAGNÓSTICA  CONCEPTOS BÁSICOS DE SEGURIDAD INFORMÁTICA  ACTIVOS DE UNA ORGANIZACIÓN

INTRODUCCIÓN

DESCRIPCIÓN DEL SILABO

INTRODUCCIÓN DESCRIPCIÓN DEL SILABO
INFORMACIÓN GENERAL 1.MODULO 2.UNIDAD DIDÁCTICA Seguridad Informática 3.DOCENTE Ing. Rudy Chávez Cunyas

INFORMACIÓN GENERAL

1.MODULO 2.UNIDAD DIDÁCTICA Seguridad Informática 3.DOCENTE Ing. Rudy Chávez Cunyas 4.SEMESTRE Segundo 5.HORAS
1.MODULO
2.UNIDAD DIDÁCTICA
Seguridad Informática
3.DOCENTE
Ing. Rudy Chávez Cunyas
4.SEMESTRE
Segundo
5.HORAS DE CLASE SEMANALES
04 horas
6.CRÉDITOS
3 Créditos
7.FECHA DE INICIO
07-Julio-2014
8.FECHA DE FINALIZACIÓN
9.PERIODO ACADÉMICO
2014 – II
10.SUB DIRECTORA ACADÉMICA
Lic. Alejandrina Lucía Aliaga Torres
11.COORDINADORA
Lic. Giuliana Dávila Yupanqui
12.DIRECTORA
Lic. Narda Ybáñez Flores
SUMILLA La Unidad Didáctica Seguridad Informática está orientada a la formación Técnico profesional, es de

SUMILLA

SUMILLA La Unidad Didáctica Seguridad Informática está orientada a la formación Técnico profesional, es de naturaleza

La Unidad Didáctica Seguridad Informática está orientada a la formación Técnico profesional, es de

naturaleza teórico-práctico la cual está orientada a

elaborar el plan de gestión

de riegos de seguridad informática aplicando

diversas metodologías y

técnicas que garanticen la

seguridad en una empresa.

CONTENIDOS DE LA UNIDAD DIDÁCTICA N° 01:Conceptos básicos de seguridad informática N° 02: Seguridad Personal

CONTENIDOS DE LA UNIDAD DIDÁCTICA

CONTENIDOS DE LA UNIDAD DIDÁCTICA N° 01:Conceptos básicos de seguridad informática N° 02: Seguridad Personal y

N° 01:Conceptos básicos de seguridad

informática

N° 01:Conceptos básicos de seguridad informática N° 02: Seguridad Personal y de un archivo N° 03:

N° 02: Seguridad Personal y de un archivo

informática N° 02: Seguridad Personal y de un archivo N° 03: Normas de seguridad informática N°

N° 03: Normas de seguridad informática

y de un archivo N° 03: Normas de seguridad informática N° 04: Malware N° 05: Seguridad

N° 04: Malware

N° 03: Normas de seguridad informática N° 04: Malware N° 05: Seguridad en la red local.

N° 05: Seguridad en la red local.

Normas de seguridad informática N° 04: Malware N° 05: Seguridad en la red local. N° 06:

N° 06: Administración de un firewall

CONTENIDOS DE LA UNIDAD DIDÁCTICA N° 07: Administración de un proxy para la web N°

CONTENIDOS DE LA UNIDAD DIDÁCTICA

CONTENIDOS DE LA UNIDAD DIDÁCTICA N° 07: Administración de un proxy para la web N° 08:

N° 07: Administración de un proxy para la

web

DIDÁCTICA N° 07: Administración de un proxy para la web N° 08: Seguridad inalámbrica N° 09:

N° 08: Seguridad inalámbrica

de un proxy para la web N° 08: Seguridad inalámbrica N° 09: Introducción a la programación

N° 09: Introducción a la programación

inalámbrica N° 09: Introducción a la programación N° 10: Control de acceso N° 11: Uso seguro

N° 10: Control de acceso

Introducción a la programación N° 10: Control de acceso N° 11: Uso seguro de la web

N° 11: Uso seguro de la web

la programación N° 10: Control de acceso N° 11: Uso seguro de la web N° 12:

N° 12: Comunicación segura a través de la

web

EVALUACIÓN • La Escala de calificación es vigesimal, y el calificativo mínimo aprobatorio es trece

EVALUACIÓN

La Escala de calificación es vigesimal, y el calificativo mínimo aprobatorio

es trece (13). En todos los casos la fracción 0,5 o más se considera como

una unidad a favor del estudiante.

El estudiante que en la evaluación de la Capacidad Terminal programada

de la Unidad Didáctica obtenga nota desaprobatoria entre diez (10) y doce (12), tiene derecho a participar en el proceso de recuperación programado

por el docente.

El estudiante que después de realizado el proceso de recuperación

obtuviera nota menor a trece (13), en la capacidad terminal de la Unidad

Didáctica desaprueba la misma, por tanto repite la Unidad Didáctica.

El estudiante que acumulara inasistencias injustificadas en número mayor

al 30% del total de horas programadas en la Unidad Didáctica, será desaprobado en forma automática, sin derecho a recuperación

INTRODUCCIÓN

EVALUACIÓN

DIAGNÓSTICA

INTRODUCCIÓN EVALUACIÓN DIAGNÓSTICA

SEGURIDAD INFORMÁTICA

INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
INTRODUCCIÓN “Para que lo sepan: La privacidad en la Internet no existe” Scott McNealy

INTRODUCCIÓN

“Para que lo sepan: La privacidad en la Internet no

existe”

INTRODUCCIÓN “Para que lo sepan: La privacidad en la Internet no existe” Scott McNealy

Scott McNealy

INTRODUCCIÓN “El único sistema seguro es aquel que está apagado y desconectado, enterrado en un

INTRODUCCIÓN

“El único sistema seguro es aquel que está apagado

y desconectado, enterrado en un refugio de

concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados.

Aun así, yo no apostaría mi vida por el”

y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi

Gene Spafford

MITOS DE SEGURIDAD  El Sistema puede llegar al 100% de seguridad.  Mi red

MITOS DE SEGURIDAD

El Sistema puede llegar al 100%

de seguridad.

Mi red no es lo suficientemente

atractiva para ser tomada en

cuenta.

Nadie pensará que mi clave de

acceso es sencilla.

Si mi servidor de correos tiene

antivirus, mi estación no lo necesita.

pensará que mi clave de acceso es sencilla.  Si mi servidor de correos tiene antivirus,
ALGUNOS ARTÍCULOS

ALGUNOS ARTÍCULOS

ALGUNOS ARTÍCULOS

SEGURIDAD INFORMÁTICA

CONCEPTOS BÁSICOS

Que dice la wiki …  El dato es una representación si mbólica (numérica, alfabética,

Que dice la wiki

El

dato

es

una

representación

si

mbólica (numérica, alfabética, algorítmica, etc)

DATO

wiki …  El dato es una representación si mbólica (numérica, alfabética, algorítmica, etc) DATO
INFORMACIÓN Que dice la wiki …  La información es un conjunto organizado de datos

INFORMACIÓN

Que dice la wiki

La información es un conjunto organizado de datos procesados, que

constituyen un mensaje que cambia el

estado de conocimiento

del sujeto o sistema que recibe dicho mensaje.

procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que
DATO E INFORMACIÓN INFORMACIÓN DATOS INFORMACIÓN Un información, es el procesamiento de los dato por

DATO E INFORMACIÓN

INFORMACIÓN
INFORMACIÓN
DATOS
DATOS
INFORMACIÓN
INFORMACIÓN

Un

información, es el procesamiento de los

dato por sí mismo no constituye

datos lo

información.

que nos proporciona

¿QUÉ PERMITE LA INFORMACIÓN?  Permite tomar decisiones o bien concluir sobre una acción a

¿QUÉ PERMITE LA INFORMACIÓN?

¿QUÉ PERMITE LA INFORMACIÓN?  Permite tomar decisiones o bien concluir sobre una acción a seguir.

Permite tomar decisiones o

bien concluir sobre una acción a seguir.

Como cualquier otro activo

del negocio, tiene valor.

VALOR DE LA INFORMACIÓN  El principal bien de las empresas es la información la

VALOR DE LA INFORMACIÓN

El principal bien de las empresas

es la información la cual hay que

proteger en la medida que su

pérdida afecte a la empresa u

organización.

El camino que recorre la información también debe ser protegido y el medio de transporte lógico debe ser seguro.

 El camino que recorre la información también debe ser protegido y el medio de transporte
INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil

INFORMACIÓN

Redes

de

datos

INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil
INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil
INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil
INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil

Aplicaciones y base de

datos

INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil
INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil

Internet

INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil
INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil
INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil

Usuarios

Documentos

Computación

móvil

INFORMACIÓN Redes de datos Aplicaciones y base de datos Internet Usuarios Documentos Computación móvil
¿QUÉ ES SEGURIDAD DE LA INFORMACIÓN?  Es el conjunto de metodologías, prácticas y procedimientos

¿QUÉ ES SEGURIDAD DE LA INFORMACIÓN?

Es el conjunto de

metodologías, prácticas

y procedimientos que

buscan proteger la

información como activo valioso contra

diferentes amenazas a

las que está expuesta y

asegurar la continuidad

del negocio.

como activo valioso contra diferentes amenazas a las que está expuesta y asegurar la continuidad del
SEGURIDAD DE LA INFORMACIÓN  Seguridad de la información debe ser elemento integral de la

SEGURIDAD DE LA INFORMACIÓN

Seguridad de la información

debe ser elemento integral

de la empresa.

Fases del Proceso:

* Identificación de riesgos.

* Plan de Seguridad.

* Infraestructura.

* Mantenimiento y Costo.

 Fases del Proceso: * Identificación de riesgos. * Plan de Seguridad. * Infraestructura. * Mantenimiento
SEGURIDAD INFORMÁTICA  Su objetivo es proteger los informáticos valiosos de la organización: recursos Información,

SEGURIDAD INFORMÁTICA

Su objetivo es proteger

los

informáticos valiosos de

la organización:

recursos

Información, HW y SW.

Medio

de

apoyo

a

la

consecución

de

los

objetivos

de

la

organización.

HW y SW.  Medio de apoyo a la consecución de los objetivos de la organización.
SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27002 caracteriza a la seguridad de la información como la

SEGURIDAD DE LA INFORMACIÓN

ISO/IEC 27002 caracteriza a la seguridad de la

información como la preservación de:

Integridad Garantizar la exactitud de la información y que siempre sea completa.

Disponibilidad asegurar que los usuarios autorizados tienen acceso a la información en el

momento que la requieran.

Confidencialidad asegurar que la información es

accesible solo a aquellas personas autorizadas.

SEGURIDAD DE LA INFORMACIÓN “Cada organización deberá establecer el valor que tienen las características de

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN “Cada organización deberá establecer el valor que tienen las características de

“Cada organización deberá establecer el valor que tienen las

características de seguridad para cada uno de sus activos o bienes de información”

SEGURIDAD INFORMÁTICA

SISTEMA DE INFORMACIÓN  Un sistema de información es un conjunto de elementos organizados relacionados

SISTEMA DE INFORMACIÓN

Un

sistema de

información es un conjunto de elementos

organizados

relacionados y coordinados entre si,

encargados de facilitar el funcionamiento

global de una empresa

o de cualquier otra actividad humana para

conseguir sus objetivos.

de facilitar el funcionamiento global de una empresa o de cualquier otra actividad humana para conseguir
SISTEMA INFORMÁTICO  Un sistema informático está constituido por un conjunto de elementos físicos (hardware,

SISTEMA INFORMÁTICO

Un sistema informático está constituido por un conjunto de

elementos físicos (hardware, dispositivos, periféricos y

conexiones), lógicos (sistemas operativos, aplicaciones,

protocolos

elementos humanos (personal experto que maneja el software

y con frecuencia se incluyen también los

)

y el hardware).

elementos humanos (personal experto que maneja el software y con frecuencia se incluyen también los )
SEGURIDAD INFORMÁTICA  Es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos

SEGURIDAD INFORMÁTICA

Es la disciplina que se

ocupa de diseñar las

normas,

procedimientos,

métodos y técnicas

destinadas a conseguir un sistema

de información seguro

y confiable.

las normas, procedimientos, métodos y técnicas destinadas a conseguir un sistema de información seguro y confiable.
SEGURIDAD INFORMÁTICA “Lo que no esté permitido debe estar prohibido”

SEGURIDAD INFORMÁTICA

“Lo que no esté

permitido debe

estar

prohibido”

SEGURIDAD INFORMÁTICA “Lo que no esté permitido debe estar prohibido”
TIPOS DE SEGURIDAD ACTIVA • Comprende el conjunto de defensas o medidas cuyo objetivo es

TIPOS DE SEGURIDAD

ACTIVA

Comprende el conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que amenazan al sistema.

Ejemplos: impedir el acceso a la información a usuarios no

autorizados mediante introducción de nombres de usuario y contraseñas; evitar la entrada de virus instalando un

antivirus; impedir, mediante encriptación, la lectura no

autorizada de mensajes.

PASIVA

Esta formada por las medidas que se implantan para, una vez producido el incidente de seguridad, minimizar su

repercusión y facilitar la recuperación del sistema; por

ejemplo, teniendo siempre copias de seguridad.

UN SISTEMA SEGURO Los daños producidos por falta de seguridad pueden causar pérdidas económicas o

UN SISTEMA SEGURO

Los daños producidos por falta de seguridad pueden causar pérdidas económicas o de credibilidad y prestigio a una organización. Su origen puede ser:

cometidos

accidentalmente por los usuarios, accidentes, cortes de fluido eléctrico, averías del sistema, catástrofes naturales

FRAUDULENTO: Daños causados por

FORTUITO:

Errores

• FRAUDULENTO: Daños causados por • FORTUITO: Errores software malicioso, intrusos o por la mala voluntad

software malicioso, intrusos o por la mala voluntad de algún miembro del personal con

acceso al sistema, robo o accidentes

provocados.

UN SISTEMA SEGURO INTEGRIDAD DISPONIBILIDAD CONFIDENCIALIDAD

UN SISTEMA SEGURO

INTEGRIDAD DISPONIBILIDAD CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CONFIDENCIALIDAD
MAGERIT • Es una metodología de análisis de gestión de riesgos de los sistemas de

MAGERIT

Es una metodología

de análisis de

gestión de riesgos

de los sistemas de

información. En

inglés Methodology

for information

Systems

Risk

Analysis

and

Management.

de los sistemas de información. En inglés Methodology for information Systems Risk Analysis and Management.

SEGURIDAD INFORMÁTICA

CLASIFICACIÓN DE LOS ACTIVOS DE

UNA ORGANIZACIÓN

ACTIVOS DE UNA ORGANIZACIÓN • Son los recursos que pertenecen al propio sistema de información

ACTIVOS DE UNA ORGANIZACIÓN

Son los recursos que pertenecen

al propio sistema de información o que están relacionados con

este.

La presencia de los activos

facilita el funcionamiento de la

empresa u organización y la

consecución de sus objetivos.

Al hacer un estudio de los activos existentes hay que tener en cuenta la relación que guardan

entre ellos y la influencia que se

ejercen: cómo afectaría en uno de

ellos un daño ocurrido a otro.

que guardan entre ellos y la influencia que se ejercen: cómo afectaría en uno de ellos
CLASIFICACIÓN DE LOS ACTIVOS • DATOS: Constituyen el núcleo de toda la organización, hasta tal

CLASIFICACIÓN DE LOS ACTIVOS

DATOS: Constituyen el núcleo de toda la organización, hasta tal punto que se tiende a considerar que el resto

de los activos están al servicio de la protección de los

datos.

hasta tal punto que se tiende a considerar que el resto de los activos están al
hasta tal punto que se tiende a considerar que el resto de los activos están al
CLASIFICACIÓN DE LOS ACTIVOS • SOFTWARE: Constituido por los sistemas operativos y el conjunto de

CLASIFICACIÓN DE LOS ACTIVOS

SOFTWARE: Constituido por los sistemas operativos y el conjunto de aplicaciones instaladas en los equipos de un

sistema de información que reciben y gestionan o transforman

los datos para darles el fin que se tenga establecido.

de un sistema de información que reciben y gestionan o transforman los datos para darles el
de un sistema de información que reciben y gestionan o transforman los datos para darles el
CLASIFICACIÓN DE LOS ACTIVOS • HARDWARE: Se trata de los equipos (servidores y terminales) que

CLASIFICACIÓN DE LOS ACTIVOS

HARDWARE: Se trata de los equipos (servidores y

terminales) que contienen las

aplicaciones y permiten su funcionamiento, a la vez que

almacenan los datos del

sistema de información. Incluimos en este grupo los

periféricos y elementos

accesorios que sirven para

asegurar el correcto

funcionamiento de los

equipos o servir de vía de transmisión de los datos

(módem, router, instalación

eléctrica)

funcionamiento de los equipos o servir de vía de transmisión de los datos (módem, router, instalación
CLASIFICACIÓN DE LOS ACTIVOS • REDES: Desde las redes locales de la propia organización hasta

CLASIFICACIÓN DE LOS ACTIVOS

REDES: Desde las redes locales de la propia organización hasta la metropolitanas o internet. Representan la vía de comunicación de datos a distancia.

de la propia organización hasta la metropolitanas o internet. Representan la vía de comunicación de datos
CLASIFICACIÓN DE LOS ACTIVOS • SOPORTES: Los lugares donde la información queda registrada y almacenada

CLASIFICACIÓN DE LOS ACTIVOS

SOPORTES: Los lugares donde la información queda registrada y almacenada durante largos períodos o de forma permanente (DVD, CD, tarjetas de memoria, discos duros externos dedicados al almacenamiento, incluso papel).

o de forma permanente (DVD, CD, tarjetas de memoria, discos duros externos dedicados al almacenamiento, incluso
o de forma permanente (DVD, CD, tarjetas de memoria, discos duros externos dedicados al almacenamiento, incluso
CLASIFICACIÓN DE LOS ACTIVOS • PERSONAL: El conjunto de personas que interactúan con el sistema

CLASIFICACIÓN DE LOS ACTIVOS

PERSONAL: El conjunto de personas que interactúan con el sistema de información: administradores, programadores, usuarios internos y externos y resto de personal de la empresa. Los estudios calculan que se producen más fallo de seguridad

por intervención del factor humano que por fallos de la

tecnología.

calculan que se producen más fallo de seguridad por intervención del factor humano que por fallos
CLASIFICACIÓN DE LOS ACTIVOS • SERVICIOS: Que se ofrecen a clientes o usuarios: productos, servicios,

CLASIFICACIÓN DE LOS ACTIVOS

SERVICIOS: Que se ofrecen a clientes o usuarios: productos, servicios, sitios web, foros, correo electrónico y otros servicios de comunicaciones, información, seguridad, etc.

servicios, sitios web, foros, correo electrónico y otros servicios de comunicaciones, información, seguridad, etc.
AMENAZAS • En un sistema de información se entiende por amenaza la presencia de uno

AMENAZAS

En un sistema de información se entiende por amenaza la

presencia de uno o más factores de diversa índole

(personas, máquinas o sucesos) que de tener la oportunidad atacarían al sistema produciéndole daños aprovechándose

de su nivel de vulnerabilidad.

que de tener la oportunidad atacarían al sistema produciéndole daños aprovechándose de su nivel de vulnerabilidad.
AMENAZAS En función del tipo de alteración, daño o intervención que podrían producir sobre la

AMENAZAS

En función del tipo de alteración, daño o intervención que podrían

producir sobre la información, las amenazas se clasifican en cuatro

grupos:

De interrupción: El objetivo de la amenaza es deshabilitar el

acceso a la información; por ejemplo: destruyendo componentes físicos como el disco duro, bloqueando el acceso de los datos, o

contando o saturando los canales de comunicación.

físicos como el disco duro, bloqueando el acceso de los datos, o contando o saturando los
AMENAZAS En función del tipo de alteración, daño o intervención que podrían producir sobre la

AMENAZAS

En función del tipo de alteración, daño o intervención que podrían

producir sobre la información, las amenazas se clasifican en cuatro

grupos:

De interceptación: Personas, programas o equipos no

autorizados podrían acceder a un determinado recurso del sistema y captar información confidencial de la organización,

como pueden ser datos, programas o identidad de personas.

sistema y captar información confidencial de la organización, como pueden ser datos, programas o identidad de
AMENAZAS En función del tipo de alteración, daño o intervención que podrían producir sobre la

AMENAZAS

En función del tipo de alteración, daño o intervención que

podrían producir sobre la información, las amenazas se

clasifican en cuatro grupos:

De modificación: Persona, programas o equipos no autorizados no solamente accederían a los programas y datos

de un sistema de información sino que además los modifican.

autorizados no solamente accederían a los programas y datos de un sistema de información sino que
AMENAZAS En función del tipo de alteración, daño o intervención que podrían producir sobre la

AMENAZAS

En función del tipo de alteración, daño o intervención que

podrían producir sobre la información, las amenazas se

clasifican en cuatro grupos:

De fabricación: Agregarían información falsa en el conjunto de información del sistema.

en cuatro grupos: • De fabricación: Agregarían información falsa en el conjunto de información del sistema.
RIESGO Se denomina riesgo a la posibilidad de que se materialice o no una amenaza

RIESGO

Se denomina riesgo a la posibilidad de que se

materialice o no una amenaza aprovechando una

vulnerabilidad.

Ante un determinado riesgo, una organización pueden optar por tres alternativas distintas:

Asumirlo sin hacer nada. Esto solamente resulta lógico cuando el perjuicio esperado no

tiene valor alguno o cuando el costo de

aplicación de medidas superaría al de la reparación del daño.

Aplicar medidas para disminuirlo o anularlo.

un

Transferirlo

(por

ejemplo,

contratando

seguro)

del daño. • Aplicar medidas para disminuirlo o anularlo. un • Transferirlo (por ejemplo, contratando seguro)
VULNERABILIDADES Probabilidades que existen de que una amenaza se materialice contra un activo. No todos

VULNERABILIDADES

Probabilidades que existen de que

una amenaza se materialice contra un

activo. No todos los activos son vulnerables a las mismas amenazas.

Por

ejemplo,

los

datos

son

vulnerables

a

la

acción

de

los

hackers, mientras que una instalación

un

cortocircuito.

eléctrica

es

vulnerable

a

Al hacer el análisis de riesgos hay que tener en cuenta la vulnerabilidad de cada activo.

eléctrica es vulnerable a Al hacer el análisis de riesgos hay que tener en cuenta la
ATAQUES Se dice que se ha producido un ataque accidental o deliberado contra el sistema

ATAQUES

Se dice que se ha producido un ataque accidental o

deliberado contra el sistema cuando se ha

materializado una amenaza.

En función del impacto causado a los activos atacados, los atacados se clasifican en:

Activos: Si modifican, dañan, suprimen o agregan

información, o bien bloquean o saturan los

canales de comunicación.

Pasivos: Solamente acceden sin autorización a

los datos contenidos en el sistema. son los más

difíciles de detectar.

Un ataque puede ser directo o indirecto, si se

produce desde el atacante al elemento "victima"

directamente, o a través de recursos o personas intermediarias.

produce desde el atacante al elemento "victima" directamente, o a través de recursos o personas intermediarias.
IMPACTOS  Son la consecuencia materialización de una o más amenazas sobre uno o varios

IMPACTOS

Son la consecuencia

materialización de una o más

amenazas sobre uno o varios activos

aprovechando la vulnerabilidad del sistema o, dicho de otra manera, el daño causado.

Los impactos pueden ser

cuantitativos, si los perjuicios pueden

de la

cuantificarse económicamente, o cualitativos, si suponen daños no

cuantificables, como los causados

contra los derechos fundamentales de la personas.

o cualitativos, si suponen daños no cuantificables, como los causados contra los derechos fundamentales de la
PROCESO DE ANÁLISIS DE RIESGOS Para implementar una política de seguridad de información es necesario

PROCESO DE ANÁLISIS DE RIESGOS

Para implementar una política de seguridad de información es necesario seguir un esquema lógico:

Hacer un inventario y valoración de los activos.

Identificar y valorar las amenazas que puedan afectar a la

seguridad de los activos.

Identificar y valorar las medidas de seguridad existentes.

Identificar y valorar las vulnerabilidades de los activos a las amenazas que les afectan.

Identificar los objetivos de seguridad de la organización.

Determinar sistemas de medición de riesgos,

Determinar el impacto que produciría un ataque.

Identificar y seleccionar las medidas de protección.

MECANISMOS DE SEGURIDAD Según la función que desempeñan los mecanismos de seguridad pueden clasificarse en:

MECANISMOS DE SEGURIDAD

Según la función que desempeñan los mecanismos de seguridad pueden clasificarse en:

Preventivos: Actúan antes de que se produzca un ataque. Su misión es

Actúan antes de que se produzca un ataque. Su misión es evitarlo. • Detectores: Actúan cuando

evitarlo.

Detectores: Actúan cuando el ataque se ha producido y antes que cause daños en el sistema.

Correctores: Actúan después de que

haya habido un ataque y se hayan

producido daños. Su misión es la de corregir las consecuencias del daño.

SEGURIDAD LÓGICA • Los mecanismos y herramientas de seguridad lógica tiene como objetivo proteger digitalmente

SEGURIDAD LÓGICA

Los mecanismos y herramientas de seguridad lógica tiene

como objetivo proteger digitalmente la información de manera

directa.

Control

de

contraseñas.

acceso:

Mediante

nombres

de

usuario

y

Cifrado de datos (encriptación): Los datos se enmascaran con una clave especial creada mediante un algoritmo de

encriptación. Emisor y receptor son conocedores de la clave

y a la llegada del mensaje se produce el descifrado.

Antivirus: Detectan e impiden la entrada de virus y otro software malicioso.

SEGURIDAD LÓGICA • Los mecanismos y herramientas de seguridad lógica tiene como objetivo proteger digitalmente

SEGURIDAD LÓGICA

Los mecanismos y herramientas de seguridad lógica tiene

como objetivo proteger digitalmente la información de manera

directa.

Cortafuegos (Firewall): Se trata de uno o más dispositivos de software, de hardware o mixtos que permiten, deniegan o

restringen el acceso al sistema. Protege la integridad de la

información. Firma digital. Se utiliza para la transmisión de mensajes telemáticos y en la gestión de documentos electrónicos (por ejemplo, gestiones en oficinas virtuales)

Certificados digitales. Son documentos digitales mediante

los cuales una entidad autorizad garantiza que una persona o entidad es quién dice ser.

SEGURIDAD LÓGICA Las redes inalámbricas (WIFI) necesitan precauciones adicionales para su protección: • Usar un

SEGURIDAD LÓGICA

Las redes inalámbricas (WIFI) necesitan precauciones adicionales

para su protección:

Usar un SSID (Service Set Identifier): Es decir darle un nombre a

la red, preferiblemente uno que no llame la atención de terceros

que detecten esta red entre las disponibles. Cambiar con cierta frecuencia el SSID.

Protección de la red mediante claves encriptadas WEP, WPA: La clave WEP consume más recursos y es más fácilmente

descifrable que la WPA y debería cambiarse con frecuencia.

Filtrado de direcciones MAC (Media Access Control): Es un mecanismo de acceso al sistema mediante hardware, por el que

se admiten solo determinadas direcciones, teniendo en cuenta

que cada tarjeta de red tiene una dirección MAC única en el mundo.

SEGURIDAD FÍSICA • Son tareas o mecanismos físicos cuyo objetivo es proteger al sistema (y,

SEGURIDAD FÍSICA

Son tareas o mecanismos físicos cuyo objetivo es proteger al sistema (y, por tanto indirectamente a la información) de

peligros físicos y lógicos.

Respaldo de datos: Guardar copias de seguridad de la

en lugares seguros.

información

Disponibilidad.

del

sistema

Dispositivos físicos de protección: como pararrayos,

detectores de humo y extintores, cortafuegos por hardware, alarmas contra intrusos, sistemas de

alimentación ininterrumpida (para picos y cortes de corrientes eléctrica). En cuanto a las personas, acceso

restringido a las instalaciones; por ejemplo, mediante

vigilantes.

 “Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea,

“Las contraseñas son como la ropa interior. No puedes

dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños”

Chris Pirillo

“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero

porque ninguna de estas medidas cubre el eslabón más

débil de la cadena de seguridad: la gente que usa y administra los ordenadores”

Kevin Mitnick

SEGURIDAD INFORMÁTICA

TRABAJO GRUPAL

TAREA GRUPAL - EXPOSICIÓN El trabajo se presentará en diapositivas, las cuales deben contener los

TAREA GRUPAL - EXPOSICIÓN

El trabajo se presentará en diapositivas, las cuales deben contener los siguiente:

1.

2.

3.

4.

5.

6.

7.

8.

9.

INTRODUCCIÓN

HISTORIA DE LA EMPRESA A TRATAR

BIOGRAFÍA DEL PERSONAJE

DESCRIPCIÓN DEL CASO

PROBLEMAS GENERALES

PROBLEMAS ESPECÍFICOS

IMPLICANCIAS

CONCLUSIONES

RECOMENDACIONES

DEL PERSONAJE DESCRIPCIÓN DEL CASO PROBLEMAS GENERALES PROBLEMAS ESPECÍFICOS IMPLICANCIAS CONCLUSIONES RECOMENDACIONES
DEL PERSONAJE DESCRIPCIÓN DEL CASO PROBLEMAS GENERALES PROBLEMAS ESPECÍFICOS IMPLICANCIAS CONCLUSIONES RECOMENDACIONES
TAREA GRUPAL - EXPOSICIÓN Los temas de exposición son los siguientes: 1. ENRON 2. WORLDCOM

TAREA GRUPAL - EXPOSICIÓN

Los temas de exposición son los siguientes:

1.

ENRON

2.

WORLDCOM

3.

PARMALAT

4.

LABORATORIO MERK

5.

BERNARD MADOFF

6.

JEROME KERVIEL

7.

YASUO HAMANAKA

8.

NICK LEESON

9.

JOHN RUSNAK

10.

PETER YOUNG

11.

CROMWELL GÁLVEZ

7. YASUO HAMANAKA 8. NICK LEESON 9. JOHN RUSNAK 10. PETER YOUNG 11. CROMWELL GÁLVEZ
7. YASUO HAMANAKA 8. NICK LEESON 9. JOHN RUSNAK 10. PETER YOUNG 11. CROMWELL GÁLVEZ
¿QUÉ APRENDIMOS HOY? UNA DESCRIPCIÓN DEL SILABO CONCEPTOS BÁSICOS DE SEGURIDAD INFORMÁTICO ACTIVOS DE UNA

¿QUÉ APRENDIMOS HOY?

¿QUÉ APRENDIMOS HOY? UNA DESCRIPCIÓN DEL SILABO CONCEPTOS BÁSICOS DE SEGURIDAD INFORMÁTICO ACTIVOS DE UNA
UNA DESCRIPCIÓN DEL SILABO
UNA
DESCRIPCIÓN
DEL SILABO
CONCEPTOS BÁSICOS DE SEGURIDAD INFORMÁTICO
CONCEPTOS
BÁSICOS DE
SEGURIDAD
INFORMÁTICO
ACTIVOS DE UNA ORGANIZACIÓN
ACTIVOS DE
UNA
ORGANIZACIÓN

Ing. Rudy Chávez Cunyas

rchavez@continental.edu.pe