Seguridad y Protección

La Seguridad consiste en el grado o nivel de aseguramiento que se ha

alcanzado, a lo largo de un proceso continuo.

La Protección consiste en la serie de medidas de control (artefactos),

que siendo direccionados a áreas, operaciones o funciones específicas,
permiten elevar el grado o nivel de seguridad.

Instalar sistemas Anti-

virus en todos los
dispositivos que sean
posibles
Minimizar el
riesgo inherente
a la intrusión e
instalación de
Malware (código
malicioso)
Regular el uso de
dispositivos de
almacenamiento
USB (Flash Memory)

Curso: Seguridad de Sistemas 6/08/2022 1

 Algunas afirmaciones erróneas comunes acerca de la seguridad

"Mi sistema no es importante para un cracker"

Esta afirmación se basa en la idea de que no introducir contraseñas
seguras en una empresa, no entraña riesgos pues ¿quién va a querer
obtener información mía? Sin embargo, dado que los métodos de
contagio se realizan por medio de programas automáticos, desde unas
máquinas a otras, estos no distinguen buenos de malos, interesantes de
no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es
facilitar el trabajo a los virus.

"Estoy protegido, pues no abro archivos que no conozco"

Esto es falso, pues existen múltiples formas de contagio, además los
programas realizan acciones sin la supervisión del usuario, poniendo en
riesgo los sistemas.

"Como tengo antivirus estoy protegido"

En general, los programas antivirus no son capaces de detectar todas las
posibles formas de contagio existentes, ni las nuevas que pudieran
aparecer, conforme los ordenadores aumenten las capacidades de
comunicación. Además, los antivirus son vulnerables a desbordamientos
de buffer, que hacen que la seguridad del sistema operativo se vea más
afectada aún.

Curso: Seguridad de Sistemas 6/08/2022 2

 Algunas afirmaciones erróneas comunes acerca de la seguridad
(cont.)
"Como dispongo de un firewall no me contagio"
Esto únicamente proporciona una limitada capacidad de respuesta. Las
formas de infectarse en una red son múltiples. Unas provienen
directamente de accesos al sistema (de lo que protege un firewall) y
otras de conexiones que se realizan (de las que no me protege). Emplear
usuarios con altos privilegios para realizar conexiones puede entrañar
riesgos, además los firewalls de aplicación (los más usados) no brindan
protección suficiente contra el spoofing.

"Tengo un servidor web cuyo sistema operativo es un Unix/Linux

actualizado a la fecha"
Puede que este protegido contra ataques directamente hacia el núcleo,
pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está
desactualizada, un ataque sobre algún script de dicha aplicación, puede
permitir que el atacante abra una shell y por ende ejecutar comandos en
el Unix/Linux.

Curso: Seguridad de Sistemas 6/08/2022 3

Encuesta de seguridad informática 2003. Ernst & Young

Curso: Seguridad de Sistemas 6/08/2022 4

Encuesta de seguridad informática 2003. Ernst & Young

Curso: Seguridad de Sistemas 6/08/2022 5

 Funciones primarias de Autenticación y Aseguramiento

Confidencialidad:
La información debe ser legible y perceptible, solamente para aquellas
entidades funcionales que están en un nivel de autorización adecuado. La
información debe ser clasificada entre dominios públicos y dominios privados
(privilegiados).
Se deben reducir los accesos genéricos, hasta eliminarlos definitivamente. Se
deben utilizar los accesos anónimos, solamente bajo controles específicos.
Ej: Obtener informes específicos sobre el Sistema de Contabilidad, el grupo
de informes obtenidos por el Jefe de Contabilidad, en definitiva será distinto
al grupo de informes obtenidos por el vendedor que gestiona facturas de
clientes.

Integridad:
La información solamente puede ser modificada, por aquellas entidades
funcionales que están en un nivel de autorización adecuado, bajo un proceso
diseñado de manera controlada.
Ej: Ejecutar el proceso de cierre contable, de forma diaria, semanal, mensual,
anual; pasando por cada una de sus operaciones básicas.

Disponibilidad:
La información debe estar disponible en el momento adecuado para aquellas
entidades funcionales, cuando se le necesita.
Ej: Toda información procesada por un Sistema de Contabilidad, debe estar
disponible al menos sobre los 5 años más recientes, que se hayan
contabilizado (en conformidad con las leyes y reglamentos vigentes).

Curso: Seguridad de Sistemas 6/08/2022 6

 Funciones primarias de Autenticación y Aseguramiento

Irrefutabilidad (no repudio):

La utilización y/o modificación de información, por cualquier medio y de
cualquier forma, de parte de una entidad funcional, sistema o usuario del
sistema, debe ser irrefutable, es decir, que la entidad funcional, sistema
o usuario del sistema, no puede refutar, negar o contradecir el hecho
ejecutado.
En otras palabras, no puede negar haber realizado dicha acción.

Las acciones fundamentales estarán encaminadas a asignar perfiles,

roles, privilegios y responsabilidades específicas, a cada puesto de
trabajo y persona que actualmente lo ocupa, con carácter atemporal.

Alcanzar el 100% de accesos completamente personalizados, hacia todos

los servicios tecnológicos que brinda una institución. Esto puede
realizarse implementando Controladores de Dominio y sistemas como
LDAP y sus complementos.

Ej: Personalizar los accesos de todos y cada uno de los puestos de

trabajo, dentro del Departamento de Contabilidad.

Curso: Seguridad de Sistemas 6/08/2022 7

 Funciones primarias de Autenticación y Aseguramiento

Autorización:
El acto de determinar si el nivel de autorización de acceso, para aquellas
entidades funcionales es el más adecuado, para realizar las operaciones
solicitadas.
Ej: Determinar si el Jefe de Contabilidad tiene autorización para obtener
determinado informe financiero.

Contabilidad (bitácora):
El registro puntual, conciso y preciso de las transacciones, de sus
momentos y de los responsables directos, indirectos o alternos, de sus
ejecuciones. Además, el registro de toda aquella información del medio
ambiente o entorno, que permita reflejar en forma fidedigna dicho
escenario.
Ej: El registro de las operaciones para realizar el cierre de un período
contable, registrando a los actuantes en cada una de dichas operaciones
y el momento exacto en que fueron ejecutadas.

Curso: Seguridad de Sistemas 6/08/2022 8

 Prácticas

Propuestas de Prácticas a desarrollar al finalizar este Día:

(Escoja solamente una de todas las propuestas. No utilice ejemplos desarrollados en
clase)

1. Diseño de Escenarios complejos:

➢Diseñe un escenario que alcance el nivel de complejidad necesario, para
permitir reflejar todas las funciones primarias de Autenticación y
Aseguramiento.

2. Elaborar Síntesis sobre los siguientes temas:

➢ Alineación de las inversiones en Seguridad Informática, con los
objetivos de negocio en la Organización, brindando un ejemplo

3. Propuestas de Ante-Proyectos:
➢Desarrolle un Ante-Proyecto para desarrollar dos artefactos o
herramientas de Protección, que siendo direccionados a áreas,
operaciones o funciones específicas, permitan elevar el nivel o grado de
Seguridad. Aplique mediciones cuantitativas, para determinar el
escenario actual, las afectaciones durante el proceso, el escenario nuevo
resultante.

Curso: Seguridad de Sistemas 6/08/2022 9