Seguridad de la Información:

Introducción
Introducción
 Objetivos de Aprendizaje

• Entender la definición de seguridad de la información

• Comprender la historia de la seguridad de computadoras y
cómo éste evolucionó a la seguridad de la información.
• Entender los términos claves y conceptos críticos de la
seguridad de la información.
• Entender los roles de
profesionales que participan
en la seguridad de
la información dentro de
una organización.
 Introducción
• Information security is a “well-informed sense of assurance that
the information risks and controls are in balance.”
Jim Anderson, Inovant (2002)
 Historia de la Seguridad de la Información

Es necesario revisar los orígenes de este campo y su impacto en nuestra

comprensión de la seguridad de la información.

• Comenzó después de que se desarrollaran los

primeros mainframes.
• Creado para ayudar en los cálculos de
descifrado de códigos durante la Segunda
Guerra Mundial.
• Controles físicos para limitar el acceso a
ubicaciones militares sensibles (solo acceso al
personal autorizado): credenciales, llaves, etc.
• Rudimentario en la defensa contra el robo
físico, el espionaje y el sabotaje.
Historia de la Seguridad de la Información
 Historia de la Seguridad de la Información
• Uno de los primeros problemas
documentado
– Inicios de los 1960s
– Ataques relacionados a archivos
• Archivos de contraseñas
• Impresiones de archivos

• En los 1960s
– Mainframes Online
– Avanced Research Procurement Agency (ARPA) comienza a examinar la
posibilidad de tener comunicaciones de red redundantes
– Larry Roberts desarrolla la concepción del ARPANET
– ARPANET es el inicio del Internet
Historia de la Seguridad de la Información
 Evolución del Internet
• 1958
– Nace el ARPA (Advanced Research Projects Agency)
– ARPA fue fundado por el Presidente Eisenhower (junto con la NASA)
– ARPA luego se convierte en DARPA (Defense Advanced Research Projects Agency)
• 1958
– Investigadores de Bell Labs inventan el modem (modulador – demodulador)
• 1961
– Leonard Kleinrock, MIT publica el primer artículo en teoría de conmutación de paquetes
(packet-switching) denominado “Information Flow in Large Communication Nets”
– Actualmente profesor distinguido de UCLA
 Evolución del Internet

• 1963
– J.C.R. Licklider y W. Clark de MIT propone el concepto de “Galactic
Network”
– “Galactic Network”: Un conjunto de computadoras globalmente
interconectadas que permita el rápido acceso a programas y datos desde
cualquier parte”
– J.C.R. Licklider: Jefe del departamento de computación en ARPA
 Evolución del Internet
• 1964
– Paul Baran de RAND (una agencia de EEUU)
publica “On Distributed Communications Networks”

Requiere de
Packet
Switching
 Evolución del Internet
• 1965
– ARPA auspicia el estudio de "cooperative network of time-sharing computers“
– TX-2 del MIT Lincoln Lab y AN/FSQ-32 del System Development Corporation (Santa
Monica, CA) conectados directamente (sin packet switches) mediante línea telefónica
dedicada de 1200bps.
 Evolución del Internet
• 1968
– Red de conmutación de paquetes es presentado al ARPA
– Se crea convocatoria para creación de ARPANET en Agosto
– UCLA gana el contrato de Centro de Mediciones de Red en Octubre
– Bolt Beranek and Newman, Inc. (BBN) gana el contrato para construir los IMPs (Interface
Message Processors).
– BBN selecciona una minicomputadora de Honeywell (12K de memoria)
• 1969
– Se crea la red física de 50Kbps basado en cuatro nodos:
• SRI (Stanford Research Institute)
• University of Utah
• U. of California at Los Angeles
• U. of California at Santa Barbara
 Evolución del Internet
• 1969
 Evolución del Internet
• 1971
 Evolución del Internet
• 1973
 Evolución del Internet
• 1974
– Vint Cerf y Bob Kahn publican “A Protocol for Packet Network Interconnection“ lo cual
especifica el diseño de Transmission Control Protocol (TCP)
– BBN abre Telenet, el primer servicio de datos basado
en paquetes (versión comercial del ARPANET)
– En la publicación de Vint Cerf se utiliza el término “Internet”

Vint Cerf
 Evolución del Internet
• 1975
 Evolución del Internet

• En los 1970s y 80s

– ARPANET cree en popularidad
– Problemas fundamentales de seguridad
de ARPANET fueron identificados
• No existen procedimientos de
seguridad para conexiones dial-up a la
ARPANET
• No existen sistemas de autenticación
y autorización
 Evolución del Internet
• En abril de 1985 aparecen los primeros dominios con letra (acmu.edu,
purdue.edu, rice.edu y ucla.edu), todos en activo aún por supuesto y todos
universitarios también por supuesto.
• En junio del mismo año apareció el primer dominio gubernamental, css.gov y
en julio mitre.org. El primer dominio de un país fue en julio de ese mismo año
para Gran Bretaña: co.uk
• Internet ya contaba con 1961 servidores.
 Evolución del Internet
• 1987
 Evolución del Internet

• 1989
– Creación de la WWW
• Tim Berners-Lee investigador en el centro
europeo CERN de Suiza, elaboró su propuesta
de un sistema de hipertexto compartido: era el
primer esbozo de la World Wide Web.
• Como el ARPANet veinte años atrás, su
propósito era poner en comunicación a los
científicos.
• WWW es una creación europea fruto del trabajo
de Tim Beners-Lee y Robert Cailauu. Su objetivo
era buscar una herramienta de trabajo para crear
y leer textos a través de una red que permitía
intercomunicar a los físicos de todo el mundo. Tim Beners-Lee
 Evolución de Internet

• 1991: Tim Berners- Lee crea el primer navegador (a años luz de los
actuales)
• 1993: Aparece el primer visualizador gráfico de páginas Web, el
Mosaic. En este mismo año aparece la expresión “surfear en la
Web”
• En 1994: Aparece el primer ciberbanco.
• En 1995 había más de 5 millones de servidores conectados a
Internet.
 Evolución del Internet: World Wide Web
• WWW se basa en tres tecnologías: URI, HTTP y HTML
– URI (Universal Resource Identifiers)
• Un sistema de direcciones para localizar objetos de manera
uniforme y universal.
 Evolución del Internet: World Wide Web
• WWW se basa en tres tecnologías: URI, HTTP y HTML
– HTTP (Hypertext Transfer Protocol)
• Un protocolo de red para transferir datos siguiendo un
procedimiento uniforme con independencia de los contenidos
(texto, hipertexto, imágenes, etc.)
– HTML (Hypertext Markup Language)
• Lenguaje común básico para la representación de hipertexto e
inclusión de archivos multimedia
 Historia de la Seguridad de la Información

• R-609 (1967)
– Seguridad de la Información comienza con
Rand Report R-609 (documento que
comienza el estudio de seguridad de
computadoras)
– Alcance de la seguridad de computadoras
crece de seguridad física a:
• Seguridad (safety) de datos
• Limitar el acceso no autorizado a datos
• Generación de múltiples niveles para el
personal de una organización
(identificación de roles)
 Historia de la Seguridad de la Información
• Multics
– Sistemas operativos
– Seguridad como objetivo principal
– No fue muy lejos
– Algunos desarrolladores crearon Unix
• Fines de 1970s: se populariza el
microprocesador y expande las capacidades
computacionales y amenazas de seguridad
– De mainframes a PCs
– Computación descentralizada
– Aumento de la necesidad de compartir recursos
– Cambios mayores a la infraestructura
computacional
 Historia de la Seguridad de la Información
• 1990s
– Redes de computadoras se vuelve común
– Internet conecta al mundo
– Internet a sus inicios: seguridad tenía baja
prioridad
– Muchas de las vulnerabilidades se
mantienen hasta el momento
• Presente
– Internet conecta a millones de
computadoras, muchos de ellos inseguros
– Cada computadora requiere de seguridad
(puede ser atacante, puede ser victima)
 ¿Qué es Seguridad?

• “The quality or state of being secure, to be free from

danger”
• Una organización exitosa debe tener múltiples capas de
seguridad:
– Seguridad física
– Seguridad personal
– Seguridad de operaciones
– Seguridad de comunicaciones
– Seguridad de redes
– Seguridad de información
 ¿Qué es la Seguridad de la Información?

• Information Security is
“the protection of information
and its critical elements,
including systems and hardware
that use, store, and transmit
that information.”

• Herramientas requeridas: políticas, procedimientos, capacitación

(concientización, entrenamiento) y tecnología
• Triada CIA: características críticas de la información
¿Qué es la Seguridad de la Información?
 Modelo de Seguridad de NSTISSC
• NSTISSC = National Security Telecommunications and Information Systems
Security Committee
 Características Críticas de Información

• El valor de la información viene de sus características:

– Timeliness: No hay valor si es muy tarde
– Disponibilidad
• No interferencia u obstrucción
• Formato requerido
– Precisión: Libre de errores
– Autenticidad
• Calidad o estado de ser genuino (p. ej.: el emisor de un correo
electrónico)
– Confidencialidad:
• Prevención de que sea visto por individuos o sistemas no autorizados
 Características Críticas de Información

• El valor de la información viene de sus características:

– Integridad
• Entero, completo, sin modificación o daño
• Tamaño del archivo, valor hash, código de detección de errores,
retransmisión
– Utilidad
• Tener valor para algún propósito
– Posesión
• Ownership (dueño)
• Brecha de confidencialidad resulta en brecha de posesión
 Componentes de un Sistema de Información
• Sistema de Información: Conjunto de software, hardware, datos, personas,
procedimientos y redes necesarios para usar la información como un recurso
en la organización.
• Software
– La más difícil de hacer seguro
– Un objetivo de ataque fácil
– Porción sustancial de explotación
• Hardware
– Políticas de seguridad física
– Asegurar la ubicación física
– Especial atención a hardware portables
• Computadoras portátiles
• Memorias externas (p. ej.: Flash memory)
 Componentes de un Sistema de Información
• Datos
– Frecuentemente, el activo de mayor valor
– Objetivo principal de ataques intencionales
• Personas
– El eslabón más débil
– Ingeniería social
– Debe ser entrenada y capacitada
• Procedimientos
– Gestión de la seguridad
– Prevención
– Detección
– Reacción
– Recuperación
 Componentes de un Sistema de Información
• Redes
– Estándares, cifrado y protección
– Características de seguridad en los productos
– Productos y herramientas de seguridad
 Asegurando Componentes
• Computadoras pueden ser
sujetos y/o objetos de un ataque
– Puede ser una herramienta
activa utilizada para el ataque
– Puede ser el objetivo del ataque
• Dos tipos de ataques
– Directa: El hacker hace uso del
computador para entrar a un
sistema
– Indirecta: El sistema es
comprometido y usado para
atacar a otros sistemas
 Balance entre Seguridad de la Información y Acceso

• Imposible obtener una seguridad

perfecta
– Es un proceso, no un absoluto
• Seguridad debería ser
considerada un balance entre la
protección y disponibilidad
• Para alcanzar el balance, el nivel
de seguridad debe permitir
acceso razonable, pero
protegiendo de las amenazas
Propuestas de Implementación de Seguridad de Información
 Profesionales de Seguridad y la Organización

• Diferentes profesionales se
requieren para la seguridad
de la información
• Alta gerencia es un
componente clave
• También se requiere de
personal de soporte
administrativo y técnico para
implementar los detalles de
los problemas de seguridad
de información
 Profesionales de Seguridad y la Organización

• Alta Gerencia
– Chief Information Office (CIO)
• Senior Technology Officer
• Responsable principalmente de
asesorar a ejecutivos seniors en la
planeación estratégica
– Chief Información Securty Officer
(CISO)
• Responsable principalmente de
evaluación, administración e
implementación de seguridad de la
información en la organización
• Usualmente reporta directamente al
CIO
 Profesionales de Seguridad y la Organización
• Equipo del Proyecto de Seguridad de la Información
– Individuos con experiencia en uno o más facetas de ares técnicas y no técnicas
• Champion: Ejecutivo senior quien promueve el proyecto
• Líder del equipo: administrador del Proyecto, administrador nivel departamental
• Desarrolladores de las políticas de seguridad
• Especialistas de evaluación de riesgos
• Profesionales de seguridad
• Administradores de sistemas
• Usuarios finales
 Data Ownership
• Dueño de los datos: responsable de la seguridad y
uso de un conjunto particular de los datos.
• Custodio de datos: responsable del
almacenamiento, mantenimiento y protección de
los datos.
• Usuarios de los datos: usuarios finales quienes
trabajan con los datos.
• Ejemplo:
– Dato: Información de ventas de la organización
– Dueño de los datos: Gerente de ventas
– Custodio de datos: Técnico encargado del
servidor de datos
– Usuario: Personal de ventas
 Resumen
• Information Security is:
– “The protection of information and its critical elements, including systems and hardware that
use, store, and transmit that information.”
– A well-informed sense of assurance that the information risks and controls are in balance.”
• Seguridad de computadoras comenzó con el desarrollo de los mainframes
• Internet influyó la concientización y desarrollo de la seguridad
• Organizaciones exitosas tienen múltiples capas de seguridad i.e. seguridad
física, personal, de operaciones, comunicaciones, redes e información.
• Seguridad es el balance entre protección y disponibilidad.
• Seguridad de información requiere de la participación
de toda la organización.