Fundamentos de Seguridad Informática

FUNDAMENTOS DE SEGURIDAD INFORMÁTICA 1. ¿QUÉ SE DEBE ASEGURAR? La información debe considerarse un activo (información) importante con el que cuentan las Organizaciones para satisfacer sus objetivos, objetivos, razón por la cual, tiene un alto valor para las mismas y es crítica para su desempeño y subsistencia. Por tal motivo, al igual que el resto de los los activos organizacionales, debe asegurarse que esté debidamente protegida. 2. ¿CONTRA QUÉ SE DEBE PROTEGER LA INFORMACIÓN? Las “buenas prácticas” en Seguridad de la Información, protegen a ésta contra una amplia

gama de amenazas, tanto de orden fortuito destrucción parcial o total por incendio inundaciones, eventos eléctricos eléctricos y otros) como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc. 3. PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN: a. INTEGRIDAD.Permite garantizar que la información no sea alterada, es decir, que sea íntegra. Estar íntegra significa que esté en su estado original sin haber sido alterada por agentes no autorizados. - El quiebre de la Integridad.- Ocurre cuando la información es corrompida, falsificada y burlada. - Alteraciones del contenido del documento: inserción, sustitución o remoción. - Alteraciones en los elementos que soportan la información: alteración física y lógica en los medios de almacenaje. b. CONFIDENCIALIDAD.Se encarga y se asegura de proporcionar la información correcta a los usuarios correctos. Toda la información no debe ser vista por todos los usuarios. - Perdida de Confidencialidad = Perdida de Secreto - La información confidencial se debe guardar con seguridad sin divulgar a personas no autorizadas. - Garantizar la confidencialidad es uno de los factores determinantes para la seguridad. c. DISPONIBILIDAD.La información debe llegar a su destino en el momento oportuno y preciso. La disponibilidad permite que: - La información se use cuando sea necesario. - Que esté al alcance de los usuarios. - Que pueda ser accesada cuando se necesite. Garantías de la disponibilidad: - Configuración segura en el ambiente para una disponibilidad adecuada. - Planeación de copias de seguridad, backups. - Definir estrategias para situaciones de contingencia. - Fijar rutas alternativas para el transito de la información.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

4.

AMENAZAS Y PUNTOS DÉBILES.

4.1. Amenazas: Amenazas: Son agentes capaces de hacer explotar los fallos de seguridad o los puntos débiles causando pérdidas y daños a los activos y afectando al negocio.

Causas: Amenazas Naturales - Amenazas Intencionales - Amenazas Involuntarias Principales amenazas más frecuentes: Ocurrencia de Virus Divulgación de contraseñas Acción de hackers 4.2.Puntos 4.2. Puntos Débiles: Son elementos que al ser explotados por amenazas afectan la integridad, confidencialidad y disponibilidad de la información.

Puntos débiles o vulnerabilidades. -

Físicas. Naturales. De hardware. De software. De medios de almacenamiento. De comunicación. Humanas.

Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

-

Instalaciones inadecuadas.

-

Ausencia de equipos de seguridad.

-

Cableados desordenados y expuestos.

-

Falta de identificación de personas, equipos y áreas.

Las vulnerabilidades físicas ponen en riesgo principalmente al principio de Disponibilidad. b) Vulnerabilidades Naturales.- Están Naturales.-  Están relacionadas con las condiciones de la naturaleza. -

Humedad. Polvo. Temperaturas indebidas. Agentes contaminantes naturales. Desastres naturales. Sismos

c) Vulnerabilidades de Hardware.Hardware .- Los defectos o fallas de fabricación o configuración de los equipos atacan y o alteran los mismos. -

Ausencia de actualizaciones.

-

Conservación inadecuada. Se debe evaluar: o

La configuración y dimensión para su correcto funcionamiento.

o

Almacenamiento suficiente.

o

Procesamiento y velocidad adecuada.

d) Vulnerabilidades de Software.- Permite Software.- Permite la ocurrencia de accesos indebidos a los sistemas y por ende a la información. -

Configuración e instalación indebida de los programas.

-

Sistemas operativos mal configurados y mal organizados.

-

Correos maliciosos.

-

Ejecución de macro virus.

-

Navegadores de Internet.

e) Vulnerabilidades de Medios de Almacenaje.- La Almacenaje.- La utilización inadecuada de los medios de almacenaje afectan la integridad, la confidencialidad y la disponibilidad de la información. -

Plazo de validez y de caducidad.

-

Defectos de fabricación.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

-

Áreas o lugares de depósito inadecuados (humedad, calor, moho, magnetismo, etc.)

f) Vulnerabilidades de Comunicación.- Esto Comunicación.-  Esto abarca todo el transito de la información, ya sea cableado, satelital, fibra óptica u ondas de radio inalámbricas. El éxito en el transito de los datos es crucial en la seguridad de la información. La seguridad de la información está asociada en el desempeño de los equipos involucrados en la comunicación. Consecuencias:  



Información no disponible para los usuarios. Información disponible a usuarios incorrectos afectando el principio de Confidencialidad. Altera el estado original de la información afectando el principio de Integridad.

Causas: 

Ausencia de sistemas de encriptación. Mala elección en los sistemas de comunicación

g) Vulnerabilidades Humanas.- Son Humanas.- Son daños que las personas pueden causar a la información, a los equipos y a los ambientes tecnológicos. Los puntos débiles humanos pueden ser intencionados o no. La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas o simplemente el no acatarlas. Puntos débiles más frecuentes de origen interno: -

Falta de capacitación específica y adecuada.

-

falta de conciencia de seguridad en los usuarios.

Puntos débiles más frecuentes de origen externo: -

Vandalismo.

-

Estafas.

-

Invasiones.

-

Hurto / Robo.

Causas: -

Contraseñas débiles.

-

Falta de criptografía en la comunicación.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

5. AMENAZAS, VULNERABILIDADES, VULNERABILIDADES, RIESGOS, MEDIDAS DE SEGURIDAD Y CICLO DE SEGURIDAD. 5.1.Política 5.1. Política De Seguridad De la Información: La implementación de una “PSI”, le permite a las Organizaciones cumplir cumplir una gestión efectiva de los recursos de información críticos e instalar y administrar los mecanismos de protección adecuados, determinando qué conductas son permitidas y cuáles no. Esto redundará en una efectiva reducción de los niveles de riesgo y de las vulnerabilidades, lo cual, en definitiva, se traduce en ahorro de tiempo y dinero, genera mayor confianza y un fortalecimiento de la imagen institucional. a. Amenazas: Amenazas: Es la probabilidad de ocurrencia de un fenómeno potencialmente nocivo, dentro de un período específico de tiempo y en un área dada

AMENAZAS Siniestros (INCENDIOS, APAGONES, iNUNDACIONES)

Intrusos (HACKER, CRACKERS, SCRIPT BOY)

Naturales (TERREMOTOS, HURACANES, TORMENTAS ELECTRICAS)

Malware (VIRUS, SPYWARE, KEYLOGGER)

“Ingeniería Social” (CADENAS, CORREO SPAM, MENSAJERIA INSTANTANEA, PHISHING)

Usuarios Conflictos (GUERRAS, SABOTAJE, PROTESTAS, TERRORISMO)

(IMPRUDENCIA, CURIOSIDAD, INSATISFACCIÓN, DESCONOCIMIENTO )

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

b. Vulnerabilidad Nivel de exposición que permite la ocurrencia de la amenaza

VULNERABILIDADES CONTRASEÑAS INSEGURAS CONTROLES INSUFICIENTES CONCIENCIA EN SEGURIDAD

PLATAFORMA TECNOLÓGICA

Repositorio

 AUSENCIA DE PLANES DE CONTINGENCIA INTERNET SIN CONTROL

c. Riesgo: Es un conjunto de circunstancias que representan una posibilidad de pérdida

RIESGOS Violación de Contraseña Accesos no Autorizados

Intercepción o Interrupción

Falsificación de Información

Infecciónes por Virus

“Ingeniería Social”

Repudio (HACER ALGO Y LUEGO NEGARLO)

Mal uso de Hardware y Software

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

5.2. Medidas de seguridad: Son acciones orientadas hacia la eliminación de vulnerabilidades. Deben existir medidas de seguridad específicas para el tratamiento de cada caso. Es decir, diferentes medidas para casos distintos.

Las medidas de seguridad son un Conjunto de Prácticas que se integran para buscar un mismo fin y un mismo Objetivo Global de Seguridad. a. Integración de las Medidas de Seguridad:

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

-

Especificaciones de Seguridad.- Son medidas para instruir la correcta implementación de nuevos ambientes tecnológicos por medio del detalle de sus elementos constituyentes.

-

Administración de la Seguridad.- Son medidas integradas e integrales que buscan gestionar los riesgos de un ambiente. a mbiente. Involucra a todas las medidas anteriores en forma Preventiva, Perceptiva y Correctiva.

5.3. Niveles de seguridad:

   1    L    E    V    I    N

   2    L    E    V    I    N

   3    L    E    V    I    N

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

5.4.Activos 5.4. Activos de información.

VISUAL

Activos de Información IMPRESA

5.5.Ciclo 5.5. Ciclo de seguridad.

ORAL

ELECTRÓNICA

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

RECUERDA: La Seguridad busca …   

Proteger la Confidencialidad   de la información contra accesos no autorizados. Evitar alteraciones indebidas que pongan en peligro la Integridad   de la información. Garantizar la Disponibilidad  de  de la información.

La Seguridad es instrumentada por …. 

Políticas y Procedimientos de Seguridad que permiten la identificación y control de amenazas y punto débiles, con el fin de preservar la Integridad, Confidencialidad y Disponibilidad  de la Información.

Gracias…