Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad activa
• Comprende el conjunto de defensas o medidas
cuyo objetivo es evitar o reducir los riesgos que
amenazan al sistema.
o Impedir el acceso a la información a usuarios no autorizados
mediante introducción de nombres de usuario y contraseñas
o Evitar la entrada de virus instalando un antivirus
o Impedir, mediante encriptación, la lectura no autorizada de
mensajes
Diseño e Implementación de
Seguridades
Seguridad de la Información
• Es el conjunto de medidas y procedimientos, tanto
humanos como técnicos, que permitan proteger la
confidencialidad, integridad y disponibilidad de la
información.
• Es el conjunto de medidas preventivas y reactivas
que afectan el tratamiento de los datos
almacenados y que permiten almacenar y
proteger la información.
Diseño e Implementación de
Seguridades
Ciberseguridad
• Es la práctica de defender, con tecnologías o
prácticas ofensivas, las computadoras, los
servidores, los dispositivos móviles, los sistemas
electrónicos, las redes y los datos de ataques
maliciosos.
Diseño e Implementación de
Seguridades
Diferencias entre Ciberseguridad, Seguridad Informática y Seguridad de la
Información
• Seguridad de la Información tiene un alcance mayor que la
Ciberseguridad y la Seguridad Informática, puesto que el objetivo
de la primera es proteger la información de riesgos que puedan
afectarla, en sus diferentes formas y estados. La Ciberseguridad se
enfoca principalmente en la información en formato digital y los
sistemas interconectados que la procesan, almacenan o transmiten.
• La Ciberseguridad según Kaspersky es la encargada de llevar a
cabo ataques ofensivos contra los adversarios de la seguridad
digital, mientras que la Seguridad de la Información contempla
aspectos defensivos.
• Las áreas de competencia de la Ciberseguridad son de gran
relevancia al incluir redes, software, hardware,
servicios, infraestructuras críticas como la infraestructura tecnológica,
etc. Mientras que la Seguridad de la Información incluye a las
personas y a todo lo relacionado con el cumplimiento de las normas
de seguridad de la información.
Diseño e Implementación de
Seguridades
Pilares Fundamentales de la Seguridad
• Confidencialidad, Integridad y Disponibilidad
• Triángulo CIA
Diseño e Implementación de
Seguridades
Confidencialidad
• Intenta que la información sea solo utilizada por las
personas o máquinas debidamente autorizadas.
• Protege:
o Privacidad de información personal
o Información propiedad de una compañía
o Información médica (HIPAA)
• Para garantizar confidencialidad se tiene 3
mecanismos:
o Autenticación
o Autorización
o Cifrado
Diseño e Implementación de
Seguridades
Autenticación
• Intenta confirmar que una persona o máquina es
quien dice ser, evita impostores.
• Confirmar una identidad con el fin de acceder a
un objeto.
Profesar Identidad
Verificar Identidad
Objeto
Diseño e Implementación de
Seguridades
Autenticación (cont.)
Propiedad de ser genuino, verificable y confiable
http://technet.microsoft.com/en-us/library/cc966420.aspx
Diseño e Implementación de
Seguridades
Ejemplo de Redundancia en
Servidor/Red/Almacenamiento/Sitio:
http://social.technet.microsoft.com/forum
s/windowsserver/en-US/623ccb66-af91-
4218-b373-4660bfd9df9b/single-node-
different-vlan-clustering-networking-
setup
Diseño e Implementación de
Seguridades
Ataques contra la disponibilidad
Diseño e Implementación de
Seguridades
Diseño e Implementación de
Seguridades
Otros Conceptos
• Identificación
• Control de acceso
• Accountability
• No repudio
Diseño e Implementación de
Seguridades
Identificación
• Profesar una identidad:
Diseño e Implementación de
Seguridades
Accountability
• Propiedad que asegura que las acciones de una
entidad sean rastreadas exclusivamente a esa
entidad.
Diseño e Implementación de
Seguridades
Control de acceso
• Medidas tomadas para restringir el acceso a un
recurso
Diseño e Implementación de
Seguridades
No-Repudio
• Repudio = Negar un evento ocurrido
• No-Repudio = No poder negar un evento occurrido
Diseño e Implementación de
Seguridades
Desafíos
• Mantener la funcionalidad mientras se garantiza la
seguridad de la organización.
• Obtener la aceptación de la alta dirección.
• Usuarios ven a la seguridad como un impedimento
a la eficiencia.
• Permanecer un paso más adelante de los
atacantes.
• Selección y ubicación de la infraestructura de
seguridad.
• Seguridad requiere monitoreo constante y regular.
Diseño e Implementación de
Seguridades
Evaluación de Riesgo, Amenazas y Vulnerabilidad
• Factores a tener en cuenta para la seguridad:
o Recursos
o Amenazas
o Vulnerabilidades
o Riesgos
Diseño e Implementación de
Seguridades
Recursos
• Bienes tangibles e intangibles para realizar tareas:
o Intangibles: información.
o Tangibles: servidores, equipos de red, computadoras,
teléfonos inteligentes.
Diseño e Implementación de
Seguridades
Riesgo
• Probabilidad de que algo negativo suceda
dañando los recursos tangibles o intangibles,
impidiendo desarrollar la labor.
Diseño e Implementación de
Seguridades
Vulnerabilidad
• Es un defecto de una aplicación que puede ser
aprovechado por un atacante.
• Si es decubierto, atacante programará un software
(malware) que utiliza esta vulnerabilidad para
tomar el control de la máquina (exploit) o realizar
cualquier operación no autorizada.
Diseño e Implementación de
Seguridades
Tipos de Vulnerabilidades
• Vulnerabilidades reconocidas, conocidas por el
proveedor y para lo cual tiene un parche que las
corrige.
• Vulnerabilidades reconocidas, conocidas por e
proveedor y para lo cual no tiene un parche. Se
suele proporcionar una solución temporal
(workaround).
• Vulnerabilidades no reconocidas, por el proveedor.
Peor de los casos ya que uno está expuesto al
ataque.
Diseño e Implementación de
Seguridades
Amenazas
• Se entiende por amenaza la presencia de uno o
más factores de diversa índole (personas, máquinas
o sucesos) que – de tener la oportunidad–
atacarían al sistema produciéndole daños
aprovechándose de su nivel de vulnerabilidad.
• Amenazas pasivas, “escuchas”, obtienen
información relativa a la comunicación:
o Programas para monitorizar tráfico de red.
• Amenaza activas, tratan de realizar cambios en el
sistema:
o Inserción de mensajes ilegítimo, usurpación de identidad.
Diseño e Implementación de
Seguridades
• En función del tipo de alteración, daño o
intervención que podrían producir sobre la
información, las amenazas se clasifican en 4
grupos:
Diseño e Implementación de
Seguridades
• Interrupción: El objetivo de la amenaza es
deshabilitar el acceso a la información
o Destruir componentes físicos como el disco duro,
bloqueando el acceso a los datos, o cortando o
saturando los canales de comunicación.