FACULTAD DE INGENIERÍA Y ARQUITECTURA

CARRERA DE INGENIERÍA DE SISTEMAS

Seguridad de los sistemas de información en las

organizaciones

La seguridad de los Sistemas de

Información como protección de los
datos y operaciones de las
organizaciones.

INFORMÁTICA PARA LA GESTIÓN

20202 – SEMANA 02
Eugene Kaspersky, el mago de la seguridad
que lucha contra el cibercrimen

Veamos el siguiente video:

Video obtenido de https://www.youtube.com/watch?v=a-19g06qIKM

 Contenido

I. Seguridad, Seguridad de la Información y

Seguridad de Sistemas de TI.
II. La tríada C – I – A
III. Conceptos de seguridad
I. Seguridad, Seguridad de la Información y
Seguridad de Sistemas de TI.
Que debemos saber sobre seguridad
La Seguridad no es un producto, es un proceso.
¡Y es un proceso continuo!

Cuando hablamos de seguridad, muchas veces, decimos que:

“el software X es seguro” o que “el protocolo de
comunicación Y es seguro”, siendo que lo correcto sería decir
que “el sistema Z o el mecanismo W que permite dar la
seguridad en tal o cual sentido”.
Que debemos saber sobre seguridad
En la actualidad vemos a supuestos “expertos” en
seguridad que venden soluciones mágicas (“seguridad
en cajas”).

Para que un sistema sea considerado “seguro en

determinado grado”, deben definirse, respetarse y
revisarse continuamente las políticas y los
procedimientos tendientes a lograr ese objetivo.
 ¿Qué es la Seguridad?

El estado de cualquier sistema (informático ó no)

que nos indica que está libre de peligro, daño ó
riesgo.

Siendo peligro o daño todo aquello que pueda

afectar su funcionamiento directo o afectar los
resultados que se obtienen del mismo.
 Seguridad de la Información
Es la especialidad que busca proteger la información en todas
sus formas, ya sea hablada, escrita o en medios
informáticos, de las amenazas a las que está expuesta.

Son un conjunto de acciones alineadas entre sí e

implementadas, con la intención de restringir y evitar el mal
uso de la información de una organización.
 Algunas verdades sobre
seguridad de la información
No existe la Seguridad de la Información absoluta.

Los problemas de la Seguridad de la Información, no se

eliminan, se minimizan.

La proactividad asegura la información. Ser reactivos solo

ayuda a investigar la causa y la magnitud del hecho.

Se requiere la participación de todos los empleados de la

organización, también de: proveedores, clientes y accionistas.
 Seguridad de Sistemas TI

La Seguridad de Sistemas de TI consiste en asegurar

que los recursos del Sistema de Información (material
informático ó programas) de una organización sean
utilizados de la manera que se decidió y que la información
que se considera importante no sea fácil de acceder por
cualquier persona que no se encuentre acreditada .
Elementos de seguridad
II. La tríada C – I – A
 La triada C – I – A
Decimos que un sistema es seguro cuando cuenta con estas tres
dimensiones:
Confidentiality
Confidencialidad

Availability Integrity
Disponibilidad Integridad
 Confidencialidad

Consiste en que la información sea vista, manejada y/o

difundida por los “dueños” de la información o las
personas autorizadas para realizar dichas actividades.

De lograrse la confidencialidad, se garantiza que la

información llegará también sólo a personas
autorizadas.
Ejemplos de confidencialidad

−La contraseña a nivel de administrador de un servidor

corporativo.

−Un plan de marketing.

−Información de RRHH.

−Información médica de carácter personal.

 Integridad

Consiste en que la información sea creada y/o modificada

solo por los “dueños” de la información ó las personas
autorizadas para realizar dichas actividades.

De lograrse la integridad, se garantiza que la información

será generada y/o modificada sólo por personas
autorizadas.
 Ejemplos de integridad

−Una transacción financiera.

−Un registro de notas.
−Un registro de BD.
−Una orden de compra.
 Disponibilidad

La información debe estar disponible y pueda ser utilizada

cuando se la necesite.

Al lograrse asegurar la disponibilidad, se garantiza que los

servicios ofrecidos por el negocio operarán y podrán ser
empleados cuando sea preciso.
 Ejemplos de disponibilidad

−El servicio de correo electrónico.

−Los datos almacenados en un disco duro.
−Una impresora de línea
−La central telefónica privada.
−El suministro de energía comercial.
 Los Problemas
Defense sophistication vs Tools/ Techniques
Defender Technical Knowledge Reverse
Engineering

High
DDoS mitigation

Deception Operations
Defender Knowledge IDS/IPS
High Quality Forensics/
Incident Reporting
Firewalls Honeynets

Patching
Network Traffic Analysis

Low
Defense Sophistication

Gráfica obtenida de Source: CERT/CC

 Mejores Herramientas hacking, mayor
incremento de amenazas...
Attack sophistication vs Intruder
Technical Knowledge binary encryption
“stealth” / advanced Tools
scanning techniques
High denial of service
packet spoofing
sniffers distributed
Intruder attack tools
www attacks
Knowledge automated probes/scans
GUI
back doors
disabling audits network mgmt. diagnostics
hijacking
burglaries sessions
exploiting known vulnerabilities
password cracking

password guessing Attackers

Low
1980 1985 1990 1995 1998 2001
Attack Sophistication

Gráfico obtenida de Source: CERT/CC

Año tras año … se dan a conocer mayor
cantidad de vulnerabilidades

Gráfico obtenido de https://slideplayer.com/slide/12716574/

Y los incidentes de seguridad también…

Gráfico obtenido de IBM X-Force Threat Intelligence Index 2018

 ¿Cuáles son las consecuencias?
“Se afecta la reputación de los negocios”
Impacto de las infracciones de seguridad

Pérdida de ingresos Reputación dañada

Daño a la confianza de los Pérdida de datos o riesgo de los

inversionistas mismos

Interrupción de los procesos

Daño a la confianza de los clientes
empresariales

Consecuencias legales
III. Conceptos de seguridad
Riesgo

El Riesgo es la exposición a una posible pérdida o daño.

En la Seguridad de la Información, el riesgo es que la

información del negocio sea presa de fuerzas externas y
cause pérdidas en términos de tiempo, dinero y
reputación.
Amenaza

Una Amenaza, es cualquier actividad, agente o

entidad que represente un posible peligro para su
información.

Es un evento que pueden desencadenar un

incidente en la organización, produciendo daños
materiales o pérdidas inmateriales en sus
activos.
Ejemplo de Amenaza

 Un ladrón “a la caza” de laptops.

 El retiro de un empleado.

 Otra persona que está en el Starbucks.

 El señor que está de pie en el paradero.

 El técnico del proveedor de telecomunicaciones.

Vulnerabilidad

Es una debilidad en la seguridad de la información que

podría ser explotada por una amenaza; esto es, una
debilidad en la seguridad de su red, sistemas, procesos y/o
procedimientos.

Posible materialización de una amenaza sobre un activo de

información.
Ejemplo de vulnerabilidad

 Una Contraseña “típica”.

 Un Sistema Operativo que no ha sido parchado.

 Un Antivirus con firmas desactualizadas.

 Un “Access Point” instalado por un empleado.

 Una PC desatendida.
Ataque

Evento, exitoso o no, que atenta sobre el buen

funcionamiento del sistema.

Intento, exitoso o no, de vulnerar un “control” de

seguridad del sistema.

Autenticación

Es el proceso de validar ó verificar la identidad de

un usuario, es decir saber que alguien es “quien
dice ser”.

La identidad del usuario consta del nombre del usuario

y una contraseña.
Auditoría

Es la vigilancia continua de los servicios en

producción y para ello se recaba información y se analiza.

El proceso permite verificar que las técnicas de

Autenticación y Autorización autorizadas se realizan
bajos los procedimientos establecidos y cumplen los
objetivos de la organización.
 Auditabilidad o Trazabilidad

Es la capacidad de poder establecer, con un nivel de confianza, la

procedencia, realización o autoría de una
transacción/operación en determinado sistema de información.

La auditabilidad o trazabilidad proporciona estadísticas

relativas a la entrada del sistema, utilización de recursos,
acciones específicas realizadas por los usuarios, etc.
Desastre o contingencia

Interrupción de la capacidad de acceso a la

información y el procesamiento de la misma a

través de computadoras necesarias para la

operación normal de un negocio.

Impacto

Consecuencia de la materialización de una amenaza.

Puede ser de carácter tangible o intangible.

Puede estar limitado a un activo, un sistema, un entorno

operativo o abarcar la organización y comprometer el
negocio.
No Repudio

Se logra la capacidad de “No Repudio” o no rechazo de una

transacción cuando se despliegan mecanismos internos ó
externos que permiten asignar de manera inequívoca la
autoría de una transacción/operación a determinada
persona.

Usualmente implica mecanismos de autenticación.

Análisis de riesgos
Amenaza

Recurso

Vulnerabilidad
Control de riesgos - Despliegue de contramedidas

Técnicas de
mitigación

ma ! ggrr
!
¡Alar
FACULTAD DE INGENIERÍA Y ARQUITECTURA
CARRERA DE INGENIERÍA DE SISTEMAS

Seguridad de los sistemas de

información en las organizaciones

Taller de seguridad de la
información

INFORMÁTICA PARA LA GESTIÓN

20202 – SEMANA 2
 ¿Qué tan seguros estamos?
Ingrese a los siguientes enlaces y explore la información que allí se
presenta:

• http://map.norsecorp.com/#/

• https://cybermap.kaspersky.com/

• https://www.akamai.com/es/es/solutions/intelligent-platform/visualizing-akamai/
real-time-web-monitor.jsp

• http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=
17291&view=map

• https://maps.skycure.com/
Desarrolle los siguientes puntos para
cada enlace visitado:

1. ¿Qué organización ha visitado y qué propósito

tiene?

2. ¿Qué información se muestra y cuál es su utilidad?

3. ¿Cuál es su valoración del aspecto de seguridad

mostrado?
 Identificación de conceptos de
seguridad

• Si no ve el riesgo, no sabrá qué le puede pasar.

• Si no identifica las amenazas, no sabrá contra qué o de quién

protegerse.

• Si no conoce sus vulnerabilidades, no sabrá qué mejorar.

• El desconocimiento de su “situación” o “posicionamiento” de

seguridad no le permitirá tomar medidas de protección.
 Identificación de conceptos de
seguridad
• Considere los escenarios que se presentan en la plantilla de Excel
adjunta.

• Se le pide que identifique los riesgos que se corre en cada escenario,

las amenazas que podrían actuar para materializar estos riesgos y las
vulnerabilidades que existen y que facilitarían el accionar de las
amenazas.

• Complete los cuadros dados guiándose del ejemplo planteado.