Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Semana 7
Semana 7
Crítica
Valiosa
Sensible
Por un lado debe ser crítica, ya que es una pieza fundamental para que la empresa pueda
llevar a cabo sus operaciones sin asumir demasiados riesgos. También debe ser valiosa,
puesto que los datos que se manejan son esenciales para el devenir del negocio y
finalmente tiene que ser sensible, ya que al sistema solo podrán acceder las personas
que estén debidamente autorizadas. Además, también hay que tener en cuenta que la
seguridad de la información debe hacer frente a los riesgos, analizarlos,
prevenirlos y encontrar soluciones rápidas para eliminarlos si se diera el caso.
Confidencialidad
A través de ella la seguridad de la información garantiza que los datos que están
guardados en el sistema no se divulguen a otras entidades o individuos que no están
autorizados para acceder a esa información.
Disponibilidad
Toda la información que se encuentre recogida en el sistema tiene que estar siempre a
disposición de los usuarios autorizados en cualquier momento que ellos necesiten
acceder a ella.
Integridad
Para que el sistema sea veraz los datos no deben manipularse. Así se garantiza que la
información recogida sea exacta y no haya sido modificada a no ser que algún usuario
autorizado lo haya hecho por orden expresa.
Existen diversos tipos de seguridad informática que una empresa debe vigilar para evitar
pérdida de datos y/o prestigio. Se trata de uno de los temas más importantes en las
organizaciones. Con tantas cosas ocurriendo en Internet, se vuelve extremadamente
necesario asegurar el contenido de nuestra red y nuestras comunicaciones ante posibles
problemas de pérdida o interceptación de datos. La seguridad informática es la rama de
la tecnología de la información que se ocupa de la protección de datos en una red, sus
comunicaciones o una computadora independiente. Debido a que todas las
organizaciones son dependientes de la informática, la tecnología relacionada con la
seguridad requiere un desarrollo constante. Estos son tres diferentes tipos de seguridad
informática.
Seguridad de Hardware
La seguridad de hardware se puede relacionar con un dispositivo que se utiliza para
escanear un sistema o controlar el tráfico de red. Los ejemplos más comunes incluyen
cortafuegos o firewalls de hardware y servidores proxy. Otros ejemplos menos comunes
incluyen módulos de seguridad de hardware (HSM), los cuales suministran claves
criptográficas para funciones críticas tales como el cifrado, descifrado y autenticación
para varios sistemas. De entre los diferentes tipos de seguridad informática, son los
sistemas de hardware los que pueden proporcionar una seguridad más robusta, además
de que también pueden servir como capa adicional de seguridad para los sistemas
importantes. La seguridad de hardware también se refiere a cómo podemos proteger
nuestros equipos físicos de cualquier daño. Para evaluar la seguridad de un dispositivo
de hardware, es necesario tener en cuenta las vulnerabilidades existentes desde su
fabricación, así como otras fuentes potenciales, tales como código que se ejecuta en
dicho hardware y los dispositivos entrada y salida de datos que hay conectados en la
red.
Seguridad de Software
La seguridad de software se utiliza para proteger el software contra ataques maliciosos
de hackers y otros riesgos, de forma que nuestro software siga funcionando
correctamente con este tipo de riesgos potenciales. Esta seguridad de software es
necesaria para proporcionar integridad, autenticación y disponibilidad. Entre los tipos de
seguridad informática, este campo de la seguridad de software es relativamente nuevo.
Los primeros libros y clases académicas sobre este tema aparecieron en 2001, lo que
demuestra que ha sido recientemente cuando desarrolladores, arquitectos de software y
científicos informáticos han comenzado a estudiar sistemáticamente cómo construir
software seguro. Los defectos de software tienen diversas ramificaciones de seguridad,
tales como errores de implementación, desbordamientos de buffer, defectos de diseño,
mal manejo de errores, etc. Con demasiada frecuencia, intrusos maliciosos pueden
introducirse en nuestros sistemas mediante la explotación de algunos de estos defectos
de software. Las aplicaciones que tienen salida a Internet presentan además un riesgo de
seguridad más alto. Se trata del más común hoy en día. Los agujeros de seguridad en el
software son habituales y el problema es cada vez mayor. La seguridad de software
aprovecha las mejores prácticas de la ingeniería de software e intenta hacer pensar en la
seguridad desde el primer momento del ciclo de vida del software.
Seguridad de red
La seguridad de red se refiere a cualesquiera actividades diseñadas para proteger la red.
En concreto, estas actividades protegen la facilidad de uso, fiabilidad, integridad y
seguridad de su red y datos. La seguridad de red efectiva se dirige a una variedad de
amenazas y la forma de impedir que entren o se difundan en una red de dispositivos. ¿Y
cuáles son las amenazas a la red? Muchas amenazas a la seguridad de la red hoy en día
se propagan a través de Internet. Los más comunes incluyen:
Antivirus y antispyware
Cortafuegos, para bloquear el acceso no autorizado a su red
Sistemas de prevención de intrusiones (IPS), para identificar las amenazas de
rápida propagación, como el día cero o cero horas ataques
Redes privadas virtuales (VPN), para proporcionar acceso remoto seguro
ENCRIPTACION Y CERTIFICADOS DIGITALES
1. ¿Qué es la encriptación informática?
2. Metodologías de encriptación
Transposición
Sustitución directa
Este método es el más simple de sustitución y se basa en un principio de que cada letra
tiene una correspondencia con otra. En el momento de encriptar el mensaje se sustituye
la letra original por su correspondencia. Estas correspondencias se encuentran en
la Clave privada y si esta clave cae en diferentes manos, el mensaje puede ser leído
aplicando el mismo método.
En este método asignamos a cada carácter del alfabeto un valor numérico único. Estos
números deben ser consecutivos. Esta asignación de números a cada letra, conformará la
clave que debemos ocultar. Este algoritmo lo que hace es tomar una palabra ingresada
por el usuario y sumar sus caracteres de acuerdo a sus correspondientes valores en
la clave. El resultado de esto es un único número que se utilizará como semilla en
cualquier algoritmo para obtener números pseudoaleatorios. La cantidad de números
pseudoaleatorios que deben obtenerse debe ser igual al número de caracteres del
mensaje a transmitir.
Encriptación por palabra
Este tipo de encriptación se basa en una palabra secreta, conocida únicamente por los
extremos de la comunicación. Al igual que en el anterior método también cada caracter
del alfabeto se hace corresponder con un número. Deben ser consecutivos también. La
palabra clave se concatena a si misma tantas veces como la longitud del mensaje a
encriptar, luego se suma letra a letra con los valores de su correspondencia,
obteniéndose nuevos caracteres que serán los que se transmitirán.
Ejemplo
Anotaciones
Los certificados digitales son el vehículo que SSL utiliza para la criptografía de clave
pública. La criptografía de clave pública utiliza dos claves criptográficas diferentes:
una clave privada y una clave pública. La criptografía de clave pública también se
conoce como criptografía asimétrica, porque puede cifrar la información con una clave
y descifrarla con la clave complementaria desde un par de claves pública-privada
determinado.
Los pares de claves pública-privada son simplemente cadenas largas de datos que
actúan como claves en un esquema de cifrado de un usuario. El usuario mantiene la
clave privada en un lugar seguro (por ejemplo, cifrada en el disco duro de un sistema) y
proporciona la clave pública a cualquiera con quien el usuario desee comunicarse. La
clave privada se utiliza para firmar digitalmente todas las comunicaciones seguras
enviadas desde el usuario; el destinatario utiliza la clave pública para verificar la firma
del emisor.
Un certificado digital sirve para dos finalidades: establece la identidad del propietario y
hace que la clave pública del propietario esté disponible. Una autoridad de confianza --
una autoridad de certificación (CA)-- emite un certificado digital y sólo se emite para un
plazo de tiempo limitado. Cuando pasa la fecha de caducidad, debe sustituirse el
certificado digital.
Si envía a otra persona el certificado digital que contiene la clave pública, ¿qué impide a
esa persona hacer un mal uso del certificado digital y que se haga pasar por usted? La
respuesta es la clave privada.
Un certificado digital, por sí solo, no se puede ser nunca una prueba de la identidad de
una persona. El certificado digital sólo permite verificar la identidad del propietario del
certificado digital, al proporcionar la clave pública que se necesita para comprobar la
firma digital del propietario el certificado digital. Por consiguiente, el propietario del
certificado digital debe proteger la clave privada que pertenece a la clave pública del
certificado digital. Si se ha robado la clave privada, el ladrón puede hacerse pasar por el
propietario legítimo del certificado digital. Sin la clave privada, no se puede hacer un
mal uso de un certificado digital.
SSL
Protocolo que proporciona privacidad e integridad para las comunicaciones. Los
servidores web utilizan este protocolo para proporcionar seguridad para las
conexiones entre servidores web y navegadores web porLDAP para
proporcionar seguridad para las conexiones entre clientes LDAP y servidores
LDAP y por Tivoli Risk Manager para proporcionar seguridad para las
conexiones entre el cliente y un servidor.
Autenticación de cliente
La autenticación de cliente es una opción de SSL que necesita que un servidor
autentique un certificado digital de un cliente antes de permitir que el cliente se
conecte o acceda a determinados recursos. El servidor solicita y autentica el
certificado digital del cliente durante el protocolo de enlace de SSL. En ese
momento, el servidor también podrá determinar si confía en la CA que emitió el
certificado digital al cliente.
Correo electrónico seguro
Muchos sistemas de correo electrónico, utilizando estándares como Privacy
Enhanced Mail (PEM) o Secure/Multipurpose Internet Mail
Extensions (S/MIME) para un correo electrónico seguro, utilizan certificados
digitales para firmas digitales y para el intercambio de claves para cifrar y
descifrar mensajes.
Redes privadas virtuales (VPN)
Las redes privadas virtuales, también denominadas túneles seguros, se pueden
configurar entre cortafuegos para habilitar conexiones protegidas entre redes
seguras a través de vínculos de comunicaciones inseguros. Todo el tráfico
destinado a estas redes se cifran entre los cortafuegos.
Los estándares también permiten una conexión segura y cifrada entre un cliente
remoto (por ejemplo, un empleado que trabaja desde su casa) y un host o red
seguros.
Una petición de certificado que se envía a una autoridad de certificación para ser
firmada contiene el nombre distinguido del propietario (solicitante), la clave pública del
propietario y la propia firma del propietario sobre estos campos. La autoridad de
certificación verifica esta firma con la clave pública en el certificado digital para
asegurar que: