Juan miguel-velasco-lopez-urda-seguridad-informatica-seguridad-informatica
Seguridad informatica v1
-
Upload
carlos-ayala -
Category
Documents
-
view
1.497 -
download
1
Transcript of Seguridad informatica v1
INFORMÁTICA PROGRAMACIÓN
Objetivos:
• Comprender el significado del concepto de seguridad informática.
• Comprender el concepto de seguridad debe ser un objetivo global para una organización.
• Reconocer la importancia de la legislación, con relación a la formulación de la visión de seguridad en una organización.
• Reconocer la relación existente entre seguridad y riesgos.
SEGURIDAD INFORMÁTICA
Concepto de Seguridad – Principios y Perspectivas
Seguridad: Principios y Perspectivas
Para la Organización Para la DirecciónPara el Director del
Dpto. de TIPara el Administrador
de SistemasPara el Dpto.
Jurídico
Se constituye como todas aquellasMedidas que garanticen laseguridad de sus trabajadores(Recursos Humanos) y el entorno(ambiental, social, perimetral) endonde se encuentra laOrganización.
Proteger todo lo quecontiene la organización,Garantizando la seguridaden los procesosProductivos, los procesosinternos y los diferentesDepartamentos o unidadesorganizacionales,
cumpliendocon la normativa legal.
• Integridad de sustrabajadores.
• Que los trabajadoresno roben el conocimiento
de su empresa.
Se trata de un proceso global,Debiendo por ello cumplirCon la normativa que establezcaLa organización y los aspectosLegales vigentes.
En dicho proceso definiríaTambién, las políticas deFuncionamiento y seguridad deLas SI/TI.
Significa que los SI/TI debenEstar libres de riesgos yDaños (físicos y/o lógicos).
Debe garantizarse que losUsuarios puedan acceder a losRecursos del sistema, conLas credenciales autorizadasPara tal fin.
Los bienes y derechosDe la organización yDe los trabajadores enSu relación con laEmpresa, deben serProtegidos y preservados,Tanto del uso ilícito comoEl mal uso involuntario.
Seguridad informática
Seguridad Informática
Qué queremos asegurar ?
El concepto de seguridad debeestar asociado a uno que le daSentido: VALOR.
Hardware
Software
Datos
Seguridad informática
Seguridad Informática
Qué queremos asegurar ?
LA INFORMACIÓN
Seguridad Informática - Concepto
Concepto
Conjunto constituido por las diversas metodologías, documentos,
Software y Hardware, que determinan que el acceso a los recursos
De un sistema informático, sea realizado exclusivamente por los
Elementos autorizados a hacerlo.
INVIOLABILIDAD ABSOLUTA VS. FIABILIDAD
Los SI/TI actuales, no pueden garantizar la inviolabilidad absoluta de los sistemas, por
Lo cual se define a la Fiabilidad como el concepto que la empresa debe perseguir.
Seguridad Informática - Fiabilidad
Confidencialidad Integridad Disponibilidad
Los recursos que integran el
sistema (información,
dispositivos de hardware,
software), sólo pueden ser
accedidos por los elementos
autorizados a hacerlo.
Los recursos del sistema sólo
pueden ser modificados o
alterados (borrado, copiado,
creado) por los elementos
autorizados a hacerlo.
Los recursos del sistema,
deben permanecer accesibles
a los elementos autorizados.
Seguridad Informática– De qué nos queremos proteger ?
Cómo pueden atacar un Sistema Informático
Resulta muy importante, el conocer las posibles maneras,
sobre cómo puede atacarse un sistema para saber como
debe protegerse.
Como consecuencia, debe analizarse las diversas "entidades"
que pueden poner en peligro un sistema, así como sus
métodos.
Pueden ser de índole muy diversa: desde personas como
desastres naturales por ejemplo.
La protección de un sistema debe dirigirse al:
• Hardware
• Software
• Datos
Seguridad Informática– Tipos de Ataques
Interrupción Intercepetación Modificación Fabricación
Ataque contra la
disponibilidad en el que
se destruye o queda no
disponible un recurso del
sistema (por ejemplo,
cortar una línea de
comunicación o
deshabilitar el sistema de
archivos del servidor).
característico de ataque
de interrupción son los
ataques de denegación
de servicio.
Ataque contra la confidencialidad
en el que un elemento no
autorizado consigue el
acceso a un recurso.
En este tipo de ataque no se
refiere únicamente a
posibles usuarios que
actúen como espías en la
comunicación entre emisor y
receptor.
Por ejemplo, un proceso
que se ejecuta de forma
oculta en un computador y
que almacena en archivo las
teclas que pulsa el usuario
que utiliza el terminal,
también constituiría un
ataque de interceptación.
Ataque contra la
integridad y la
confidencialidad en el
que, además de obtener
el acceso no autorizado
a un recurso, también
se consigue su
eliminación o
modificación.
Los ataques realizados
por los hackers (borrado
de bases de datos,
modificación de páginas
webdenominados
webdefacement, etc),
son ejemplos típicos de
esta modalidad de
ataque.
Ataque contra la
integridad en el que
un elemento
consigue crear o
insertar objetos
falsificados en el
sistema.
Por ejemplo, añadir
de forma no
autorizada un nuevo
usuario y su
contraseña
correspondiente en el
archivode
contraseñas.
Seguridad Informática– Ataque cuyo origen pueden ser las personas
Ataques producidos por personas
La mayor parte de los ataques que puede sufrir un sistema
informático provienen de las personas que, con distintos
objetivos, intentan acceder a información confidencial,
destruirla, o simplemente conseguir el control absoluto del
sistema atacado.
Conocer los objetivos de los atacantes y sus motivaciones,
resultará en consecuencia, esencial para la prevención y
detección de sus acciones.
Los ataques producidos por las personas, se dividen en dos grandes clases:
• Pasivos
• Activos
Seguridad Informática– Ataques producidos por personas
Pasivos Activos
El atacante no modifica ni destruye ningún recurso del
sistema informático, simplemente lo observa, normalmente
con la finalidad de obtener alguna información confidencial.
A menudo, este ataque se produce sobre la información que
circula a través de una red: El atacante no altera la
comunicación, sino que sencillamente la escucha y obtiene la
información que se transmite entre emisor y receptor.
Ya que la información que se transmite no resulta alterada, la
detección de este tipo de ataque no es tarea sencilla porque
la escucha no tiene ningún efecto sobre la información
circulante.
Una solución muy eficaz que permite resolver este tipo de
problema consiste en el uso de técnicas criptográficas para
evitar que la información se transmita en claro y no pueda ser
comprensible por los presuntos espías.
En una acción de este tipo, el atacante altera o
destruye algún recurso del sistema. Por ejemplo, en
el caso de un espía que monitoriza una red, podrían
llegar a producirse graves problemas:
Suplantación de identidad: El espía puede suplantar la
identidad de una persona y enviar mensajes en
nombre suyo.
Reactuación: Uno o varios mensajes legítimos son
interceptados y reenviados varias veces para
producir un efecto no deseado (por ejemplo, intentar
repetir varias veces un ingreso en una cuenta
bancaria.)
Degradación fraudulenta del servicio: El espía evita el
funcionamiento normal de los recursos del sistema
informático. Por ejemplo, podría interceptar y eliminar
todos los mensajes dirigidos a un usuario concreto.
Modificación de mensajes: Se modifica una parte del
mensaje interceptado y se reenvía a la persona al
cual se dirigía el mensaje originalmente.
Seguridad Informática– Perfiles de posibles atacantes
Perfiles
Personal de la propia organización: Aunque en principio el personal interno
goza de la confianza de la organización, lo cierto es que algunos ataques
pueden producirse desde el interior de la propia compañía.
A menudo, estos ataques no son intencionados (aunque cuando lo son,
son los más devastadores que pueden producirse), y pueden tratarse de
accidentes provocados por el desconocimiento del personal (por ejemplo,
el formato accidental de un disco duro).
Antiguos trabajadores: Un porcentaje muy importante de los ataques a
sistemas informáticos son los realizados por antiguos trabajadores que,
antes de abandonar la organización, instalan programas destructivos,
como por ejemplo, virus o bombas lógicas que se activan en ausencia del
trabajador que, despedido o descontento por las condiciones de trabajo,
ha cambiado de empresa.
La presencia de este tipo de software no es fácil de detectar, pero al
menos sí es posible evitar los ataques que el ex trabajador pueda realizar
desde el exterior, utilizando el nombre de usuario y contraseña que
disponía cuando aún trabajaba en la organización.
Por lo tanto, como norma general, es necesario dar de baja todas las
cuentas de los ex trabajadores y cambiar sus contraseñas de acceso al sistema lo antes posible
Seguridad Informática– Perfiles de posibles atacantes
Perfiles
Hackers (intrusos informáticos): Estas personas normalmente realizarán
ataques pasivos orientados a la obtención de información confidencial
(por ejemplo, un examen de un curso universitario), o simplemente su
finalidad consistirá en ponerse a prueba para obtener el control del
sistema atacado. Además, si el atacante es suficientemente hábil, incluso
podría eliminar las huellas de sus acciones en los archivos que las
registran (denominados genéricamente archivos log). Ya que este tipo de
acciones no producen ningún efecto "visible", no son fácilmente
detectables.
Cuando la finalidad de la intrusión es destructiva, la persona que realiza la
acción recibe el nombre de cracker.
Intrusos remunerados: A pesar de no ser un tipo de ataque muy frecuente,
también es pertinente tenerlo en cuenta: En este caso, los intrusos se
encuentran perfectamente organizados (hasta pueden localizarse en
distintas ubicaciones geográficas) y atacan conjuntamente el sistema de
una organización determinada.
Disponen de muchos medios técnicos y reciben remuneraciones muy
elevadas de la organización rival que dirige el ataque, a menudo con el
objetivo de acceder a información confidencial (espionaje industrial), o
bien con la intención de provocar un daño importante en la imagen de la
organización atacada.
Seguridad Informática – Legales
Legislación
En la gran mayoría de países, debe encontrarse de
marcos legislativos que permitan garantizar la
seguridad de la información. Por ello, tanto la
protección de los datos como la correcta gestión de la
seguridad de los sistemas de TI, exigen conocimientos
sobre la legislación vigente.
Los legisladores han establecido dicho marco
legislativo con el propósito de garantizar la seguridad
en relación con el tratamiento de datos y al mismo
tiempo han velado para salvaguardar los intereses de
los ciudadanos.
Seguridad Informática – Legales
Legislación en Colombia
En Colombia, el 5 de Enero de 2009 se promulgó la ley 1273 por medio
de la cual se modificó el código penal.
Esta ley crea un nuevo bien jurídico tutelado, denominado: “ de la
protección de la información y de los datos”, preservando integralmente
los sistemas que utilicen TIC.
Se divide en dos capítulos: “de los atentados contra la
confidencialidad, la integridad y la disponibilidad de los datos y los
sistemas informáticos” y “de los atentados informáticos y otras
infracciones”.
Con esta ley se tipificaron como delitos una serie de conductas que están
relacionadas con el manejo de los datos personales. Ello exigen como
consecuencia, que las empresas conozcan con claridad dicha ley, para
no incurrir en una acción que pueda ser tipificada como delito penal.
Seguridad Informática – Legales
Artículos ley 1273 – Capítulo I
Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado,
acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del
mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El
que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los
datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48)
a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.
Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos
informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientesde un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.
Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o
suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera,
distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación
de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1000 salarios mínimos legales mensuales vigentes
Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un
tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee
códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes.
Seguridad Informática – Legales
Artículos ley 1273 – Capítulo I
Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar
facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas
emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000
salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más
grave.
En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga
entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.
Artículo269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: las penas imponible de acuerdo con los artículos descritos en
este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:
1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones.
3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con
este.
4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.
5. Obteniendo provecho para si o para un tercero.
6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.
7. Utilizando como instrumento a un tercero de buena fe.
8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información,
además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales
Seguridad Informática – Legales
Artículos ley 1273 – Capítulo II
Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad
informáticas, realice la conducta señalada en el artículo 239 [3]manipulando un sistema informático, una red de sistema
electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de
autorización establecidos, incurrirá en las penas señaladas en el artículo 240 del Código Penal [4] , es decir, penas de prisión de tres (3) a ocho (8) años.
Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna
manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un
tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de
cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.
La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisióndel delito descrito en el inciso anterior, o de una estafa [5].
Seguridad Informática – El Valor de la información
INFORMACIÓN
Toda la información será Valiosa ? Qué información es valiosa y cuán valiosa es para la empresa ?
RECURSO DE LA INFORMACIÓN
Todo equipo, proceso o información que se asocia con la información y se considera,
debe ser protegido por la organización.
VALOR DE LA INFORMACIÓN
Consiste en el valor o costo asociado con:
• La creación de la información
• El almacenamiento de la información
• La retención y administración de la información
• El valor intrínseco de la información
Seguridad Informática – Protección de la Información
Protección de la información
Una vez se cuenta con el conocimiento del valor de la información, se deben
evaluar que esfuerzos necesarios representa para la organización el protegerla.
La protección de la información, exige que la empresa realice
inversionesprogresivas, tantoen software como en hardware, así como personal
especializado para su administración.
Factores a tenerse en cuenta
Si la pérdida de la información trae como consecuencia un costo (a nivel económico o
de funcionamiento de la organización) para la creación de la misma menores que
su protección, entonces no se protege.
Si la pérdida (temporal o permanente), divulgación o modificación de la información
no afecta al funcionamiento de la organización, entonces ¿para qué se protege o
almacena? Mejor borrarla. Ahorra costos.
Si la información no tiene valor, no la protegeremos.
Seguridad Informática – Protección de la Información
Protección de la información
El concepto de seguridad puede verse como la gestión del riesgo: Siempre y para cada
caso, se debería realizar una evaluación de riesgos que incluya:
• un análisis del impacto de la organización por la pérdida (temporal o
permanente), divulgación o modificación de la información para determinar el
nivel de protección necesario.
Sin este análisis, no podría saberse qué información está adecuadamente protegida o no
(subprotegida o sobreprotegida).
Metodologías para el análisis y la gestión de Riesgos - MAGERIT
Esta metodología fue desarrollada por el Consejo Superior de Administración Electrónica de
España, como consecuencia del importante crecimiento en el uso de las TIC, tanto por
empresas como personas naturales.
Esta metodología persigue los siguientes objetivos:
1. Concienciar a los responsables de los sistemas de información de la existencia de
riesgos y de la necesidad de atajarlos a tiempo.
2. Ofrecer un método sistemático para analizar tales riesgos.
3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.
4. Preparar a la organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda a cada caso.
TOMADO DE: http://www.csae.map.es/csi/pg5m20.htm