7.

1 Definición
La seguridad informática consiste en asegurar que los recursos del sistema de
información (material informático o programas) de una organización sean utilizados de
la manera que se decidió y que el acceso a la información allí contenida, así como su
modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de
los límites de su autorización.
7.2 Términos relacionados

Activo: recurso del sistema de información o relacionado con éste, necesario para que
la organización funcione correctamente y alcance los objetivos propuestos.

Amenaza: es un evento que puede desencadenar un incidente en la organización,

produciendo daños materiales o pérdidas inmateriales en sus activos.

Impacto: medir la consecuencia al materializarse una amenaza.

Riesgo: es la probabilidad de que suceda la amenaza o evento no deseado

Vulnerabilidad: Son aspectos que influyen negativamente en un activo y que posibilita

la materialización de una amenaza.

Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.

Desastre o Contingencia: interrupción de la capacidad de acceso a información y

procesamiento de la misma a través de computadoras necesarias para la operación
normal de un negocio.

7.3 Elementos en riesgo

La información guardada en las computadoras, cuyas características a proteger son:

Confidencialidad se garantiza que la información es accesible sólo a aquellas personas

autorizadas a tener acceso a la misma.

Integridad de datos y sistemas se salvaguarda la exactitud y totalidad de la información

y los métodos de procesamiento.

Disponibilidad de la misma se garantiza que las personas usuarias autorizadas tengan

acceso a la información y recursos relacionados con la misma toda vez que se requiera.

Los recursos, el equipamiento en sí mismo (hardware y software).

La reputación y la imagen de la organización.

7.4 Análisis de riesgos
Meta perseguida: “Lo que no está permitido debe estar prohibido”.

¿Cómo lograrlo?

Se deben aplicar técnicas que brindan la seguridad lógica, la cual consiste en la aplicación
de barreras y procedimientos que resguardan el acceso a la información y sólo permiten
el acceso a las personas autorizadas para hacerlo.

7.5 Gestión de la seguridad informática

La información es la base de la toma de decisiones en toda organización.

Actualmente la información de las organizaciones se almacena en:

 Servidores locales (Intranet o red local)

 Servidores con salida a Internet (Red global)
 Computadoras personales

Seguridad Física

Aplicación de barreras físicas y procedimientos de control como medidas de prevención

y contramedidas ante amenazas a los recursos e información confidencial. Controles y
mecanismos de seguridad dentro y fuera del departamento de Informática y Tecnología
(IT) Implementados para proteger el hardware y medios de almacenamiento de datos e
información.

Este tipo de seguridad está enfocada a cubrir las amenazas ocasionadas tanto por el
hombre como por la naturaleza del medio físico en el que se encuentra ubicado el
departamento.

 Desastres naturales: incendios accidentales, tormentas e inundaciones.

 Amenazas ocasionadas por el hombre.
 Disturbios, sabotajes internos y externos deliberados.
 Desastres naturales:
 Incendios: causados por uso inadecuado de combustibles, instalaciones eléctricas
defectuosas, inadecuado almacenamiento de sustancias peligrosas.
 Inundaciones: naturales, instalaciones defectuosas.
 Condiciones climatológicas: tormentas, tempestades, terremotos.
 Instalación eléctrica: cableado defectuoso, no tierra física, no UPS, no aire
acondicionado.
 Ergometría: trastornos óseos, visuales, ambiente climático, ambiente luminoso,
salud mental.
 Acciones Hostiles:
 Robo: de equipo, de información, de tiempo de máquina.
 Fraude: sustracción de dinero a través del mal manejo de la información. No se
dan a conocer públicamente por la imagen de las empresas.
 Sabotaje: eliminación de información, ataques contra el equipo y los dispositivos
de almacenamiento externo.
  Control de Accesos:
 Guardias de seguridad: para controlar el acceso de personas y vehículos a la
organización, sin dejar de considerar que pueden ser sobornados.
 Detectores de metales: el personal debe estar enterado de su uso, de manera
que actúe como elemento disuasivo.
 Sistemas biométricos: tecnología que realiza mediciones en forma electrónica,
guarda y compara características únicas para la identificación de personas.
 Protección electrónica: detección de robo, intrusión, asalto e incendios mediante
la utilización de sensores conectados a centrales de alarmas.
 Por lo tanto tener controlado el ambiente y acceso físico permite:
 1. Disminuir siniestros.
 2. Trabajar mejor manteniendo la sensación de seguridad.
 3. Descartar falsas hipótesis si se produjeran incidentes.
 4. Tener los medios para enfrentar accidentes e incidentes.

7.6 Seguridad Lógica

Siendo la información el activo más importante, la seguridad lógica es la aplicación de

barreras y procedimientos que resguarden el acceso a la misma, y que sólo permita
acceder a ella a las personas autorizadas para hacerlo.

Objetivos:

1. Restringir el acceso al software y a los archivos y bases de datos.

2. Asegurar que los operadores no puedan modificar los programas.
3. El flujo de información debe establecerse para que la misma llegue a quien
corresponda.
4. Mantener la consistencia de la información.

Controles de Acceso:

Se implementan en el sistema operativo, en aplicaciones, en bases de datos, en software

específico de seguridad y en cualquier utilitario.

Sirven para proteger software de sistema operativo, software de la organización,

archivos, mantener la integridad de la información y resguardar la información
confidencial de accesos no autorizados.

Estándares de seguridad según el National Institute for Standards and Technology:

Identificación y Autenticación: Identificación es el momento en el que los usuarios se

dan a conocer en el sistema (nombre de usuario y contraseña); y autenticación es la
verificación que realiza el sistema sobre esta identificación.

Cuatro técnicas para autenticar la identidad del usuario:

• Algo que sólo el usuario conoce: clave de acceso o contraseña, número de

identificación personal (PIN).
• Algo que sólo el usuario posee: una tarjeta magnética.

• Algo que el usuario es: huella digital, voz.

• Algo que el usuario es capaz de hacer: escritura.

La Seguridad Informática, se basa en gran medida, en la efectiva administración de los

permisos de acceso a los recursos informáticos, basados en la identificación,
autenticación y autorización de accesos.

Roles: Acceso a la información controlada a través de la función de los usuarios.

Transacciones: control a través de la solicitud de una clave para la ejecución de una

transacción determinada.

Limitaciones a los servicios: restricciones que dependen de los parámetros propios de la

aplicación.

Modalidad de acceso: modo de acceso que se le permite al usuario sobre los recursos:
lectura, escritura, ejecución, borrado.

7.7 Delitos informáticos

Se define como Delito Informático “cualquier comportamiento antijurídico, no ético o no

autorizado, relacionado con el procesado automático de datos y o transmisiones de
datos.

Tipos de Delitos Informáticos

La Organización de las Naciones Unidas (ONU) reconoce los siguientes tipos de delitos
informáticos:

• Fraudes cometidos mediante manipulación de computadoras.

• Manipulación de los datos de entrada.

• Daños o modificaciones de programas o datos computarizados.

Fraudes cometidos mediante manipulación de computadoras:

• Manipulación de datos de entrada (sustracción de datos).

• Manipulación de programas o aplicaciones.

• Manipulación de datos de salida.

• Fraude efectuado por manipulación informática (transacciones)

Manipulación de los datos de entrada:

  Como objeto: se alteran datos de documentos almacenados en forma
computarizada.
 Como instrumento: falsificación de documentos de uso comercial.

Daños o modificaciones de programas o datos computarizados:

 Sabotaje informático: borrar, suprimir o modificar sin autorización funciones o

datos de computadora con intención de obstaculizar el funcionamiento normal del
sistema.
 Acceso no autorizado a servicios y sistemas informáticos.
 Reproducción no autorizada de programas informáticos de protección legal
(piratería).

7.8 Amenazas humanas

Hackers: Persona que siempre está en continua búsqueda de información, vive para
aprender y todo para él es un reto. Lucha por la difusión libre de la información,
distribución de software sin costo y la globalización de la comunicación. No es pirata y
no destruye la información.

Crackers: Persona que tiene fines maliciosos y de venganza, personas que hacen daño
por diversión.

Phreakers: Persona con ciertos conocimientos y herramientas de hardware y software,

pueden engañar a las compañías telefónicas para que éstas no cobren las llamadas que
se hacen.

Carding: Uso ilegítimo de las tarjetas de crédito, los hackers y crackers colaboran para
esto.

Trashing: Reastreo en las papeleras (carpetas) en busca de información, contraseñas y

directorios.

Personal (Insiders): Personal interno, ex empleado, curiosos, terroristas, intrusos

remunerado

7.9 Amenazas Lógicas

Virus Informático

Programa de actuar subrepticio ( para el usuario; cuyo código incluye información

suficiente y necesaria para que, utilizando los mecanismos de ejecución que le ofrecen
otros programas, puedan reproducirse y ser susceptibles de mutar; resultando de dicho
proceso la modificación, alteración y/o daño de los programas, información y/o hardware
afectados.

Carácter Vandálico
1. Sector de arranque

2. Archivos ejecutables

3. Residentes

4. Macrovirus

5. De email

6. De sabotaje

Programas que no cumplen con la definición de virus

7. Hoax

8. Gusanos

9. Caballos de troya

10. Bombas lógicas

Carácter Dirigido Profesional y de espionaje

11. Armas digitales

7.10 Protección anti-virus

Gran base de datos con la “huella digital” de todos los virus conocidos para identificarlos
y también con las pautas más comunes de los virus.
Detección – Identificación

Detección: Confirmar la presencia de un virus

Identificación: Determinar cuál virus fue detectado

7.11 Modelo de protección

A. Política de seguridad de la organización

B. Auditorías permanentes

C. Sistema de seguridad a nivel físico

D. Plan de respuestas a incidentes

E. Sistemas de detección de intrusos (IDS)

F. Penetration Testing

G. Seguridad a nivel Router–Firewall

Penetration Testing: Conjuntos de técnicas tendientes a realizar una evaluación
integral de las debilidades de los sistemas.

Externo

• Fuerzas de las passwords

• Captura de tráfico de red
• Detección de protocolos
• Scanning de puertos
• Vulnerabilidades existentes
• Test de servidores

Interno

 Protocolos internos
 Autentificación de usuarios
 Seguridad física en las estaciones de trabajo

Firewall: Sistema ubicado entre dos redes y que ejerce una política de seguridad
establecida. Mecanismo encargado de proteger una red confiable de otra que no lo es.

Características:

 Defensa perimetral.
 Defensa nula en el interior.
 Protección nula contra un intruso que lo traspasa.
 Sus reglas son definidas por humanos.

Tipos de Firewalls:
a) Filtrado de paquetes: Filtran Protocolos, IPs y puertos utilizados. Económicos y
con alto desempeño.

b) Gateway de Aplicaciones: Se analizan cada uno de los paquetes que ingresa al

sistema. Transparente al usuario, bajan rendimiento de la red.

c) Firewalls personales: Aplicaciones disponibles para usuarios finales.

IDS:

Sistema en cargado de detectar intentos de intrusión en tiempo real.

Passwords

Normas de elección de passwords:

1. No utilizar contraseñas que sean palabras.

2. No usar contraseñas con algún significado.

3. Mezclar caracteres alfanuméricos.

4. Longitud mínima de 7 caracteres.

5. Contraseñas diferentes en sistemas diferentes.

6. Ser fáciles de recordar. Uso de nemotécnicos.

Normas de gestión de passwords:

1. NO permitir cuentas sin contraseña.

2. NO mantener las contraseñas por defecto.

3. NO compartirlas.

4. NO escribir, enviar o decir la contraseña.

5. Cambiarlas periódicamente.

Criptografía

Ciencia que consiste en transformar un mensaje inteligible en otro que no lo es,

mediante la utilización de claves, que solo el emisor y receptor conocen .

7.12 Norma ISO/IEC 27001

El estándar para la seguridad de la información ISO/IEC 27001 (Information technology

- Security techniques - Information security management systems - Requirements) fue
aprobado y publicado como estándar internacional en octubre de 2005 por International
Organization for Standardization y por la comisión International Electrotechnical
Commission.

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación

externa, independiente y acreditada audita el sistema, determinando su conformidad
con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite
el correspondiente certificado.

El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la

Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO
9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver
ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas
y con base en un sistema de gestión común.

La seguridad absoluta no es posible y en adelante entenderemos que la seguridad

informática es un conjunto de técnicas encaminadas a obtener altos niveles de seguridad
en los sistemas informáticos. Además, la seguridad informática precisa de un nivel
organizativo, por lo que diremos que:

Sistema de Seguridad = TECNOLOGIA + ORGANIZACION

Actividad 1
Nombre de la Actividad: Seguridad informática

Instrucciones:

Partes:

Introducción (Marco teórico conceptual del tema central: Seguridad

Informática), debe ocupar una sola página.

Desarrollo:
1. Investigar cinco formas de implementar la seguridad física para los equipos de
Informática y Tecnología
2. Investigar qué es un software Antivirus
3. Investigar tres software Antivirus

 Empresa creadora del software, un poco de información de la misma

 Funcionalidad
 Precio de la licencia

Conclusiones (redactar un mínimo de 4)

Grafías (e-gráficas son de Internet y bibliográficas son de libros u otros

documentos impresos), debe cumplir la norma APA.

Valor de la actividad: 3.75 puntos

Fecha de entrega: 11 de marzo