SEGURIDAD INFORMTICA

Mg. Ing. Robert E. Puican Gutirrez

 SEGURIDAD INFORMTICA

FUNDAMENTOS DE LA SEGURIDAD
DE LA INFORMACIN

Mg. Ing. Robert E. Puican Gutirrez

 Desde el surgimiento de la raza humana en el planeta, la
informacin estuvo presente bajo diversas formas y tcnicas. El
hombre buscaba representar sus hbitos, costumbres e
intenciones en diversos medios que pudiesen ser utilizados por l
y por otras personas, adems de la posibilidad de ser llevados de
un lugar a otro.
La informacin valiosa era registrada en objetos preciosos y
sofisticados, pinturas magnficas, entre otros, que se almacenaban
con mucho cuidado en locales de difcil acceso, a cuya forma y
contenido slo tenan acceso quienes estuviesen autorizados o
listos para interpretarla.
En la actualidad la informacin es el objeto de mayor valor para
las empresas. El progreso de la informtica y de las redes de
comunicacin nos presenta un nuevo escenario, donde los objetos
del mundo real estn representados por bits y bytes, que ocupan
lugar en otra dimensin y poseen formas diferentes de las
originales, no dejando de tener el mismo valor que sus objetos
reales, y, en muchos casos, llegando a tener un valor superior.
Mirada desde dentro de la empresa
Encuesta Fraude, Impacto en el Negocio
Ernst & Young / Nov 2006 Ene 2007
250 Principales empresas del Per
El 60% de las empresas
que sufrieron fraude por
personal interno afirma
que fue cometido por
personal con ms de 5
aos en la empresa.
Aunque el
robo/malversacin de
activos es el que mayor
incidencia tiene, el
fraude por abuso
de posicin de confianza
es el que tiene mayor
impacto financiero
debido principalmente a
la mayor autonoma
gerencial asociada
con estas posiciones.
 Amrica Latina: El fraude en las empresas

El 69% de las empresas entrevistadas que denunciaron haber sufrido

algn tipo de delito econmico en los ltimos 12 meses encontraron que
los autores del fraude fueron sus propios colaboradores.

La gerencia media (43%) y empleados de menor nivel (49%) son los

autores del 92% de los fraudes detectados, mientras que la alta gerencia
contribuy de manera ms reducida (8%).

La malversacin de activos ha sido y sigue siendo el delito

econmico ms frecuente. En Amrica Latina, esta represent el
74% de las empresas encuestadas que admitieron haber sufrido
algn tipo de delito econmico en el ltimo ao.

Encuesta Fraude Financiero en las empresas de Amrica Latina

PriceWaterhouseCoopers / 2010
271 empresas encuestadas
Entorno Actual

El error humano sigue siendo el motivo principal de los

fallos de los sistemas (86%), por delante de la propia
tecnologa.
Latinoamrica: el
50% de las
empresas sufri
ataques de
malware durante
2012

De acuerdo con el ESET

Security Report
Latinoamrica, este tipo
de ataques informticos
fueron los ms comunes
durante el ltimo ao

7
Nuevas Amenazas Inseguridad Lgica
 Riesgos de Seguridad de la Informacin

Nuevas amenazas de cdigo

malicioso
2,000
Malware 1,656

Firmas de cdigo malicioso

1,600

Falsificacin Phishing 1,200 Virus

624

(miles)
800
400 141
21 19 69 113
0

Riesgos de las Continuidad del

Fuga de
Redes Sociales Negocio
Informacin
 Qu es Seguridad?
Podemos entender como seguridad una caracterstica de cualquier
sistema (informtico o no) que nos indica que ese sistema est libre
de todo peligro, dao o riesgo, y que es, en cierta manera, infalible.
Como esta caracterstica, es muy difcil de conseguir (segn la
mayora de expertos, imposible), se suaviza la definicin de
seguridad y se pasa a hablar de fiabilidad (probabilidad de que un
sistema se comporte tal y como se espera de l) ms que de
seguridad; por tanto, se habla de sistemas fiables en lugar de
hacerlo de sistemas seguros.
 Seguridad Informtica
o
Seguridad de la Informacin?
Qu significan?
 Qu es Seguridad Informtica?
Seguridad Informtica es el proceso de prevenir y detectar
el uso no autorizado de las computadoras.

La Seguridad Informtica es un proceso continuo,

donde la condicin de los controles de la institucin es
apenas un indicador de su postura de seguridad.
[FFIEC Information Security IT Examination Handbook,
Diciembre de 2002].
 Qu es seguridad de la Informacin?
Son todas aquellas medidas preventivas y reactivas del
hombre, de las organizaciones y de los sistemas
tecnolgicos que permiten resguardar y proteger la
informacin.

El concepto de Seguridad de la Informacin no debe ser

confundido con el de Seguridad Informtica, ya que este
ltimo solo se encarga de la seguridad en el medio
informtico, pudiendo encontrar informacin en diversos
medios o formas.
 PROPSITO DE LA SEGURIDAD DE
LA INFORMACIN
La seguridad de la informacin tiene como
propsito proteger la informacin registrada,
independientemente del lugar en que se
localice:
impresos en papel, en los discos duros de las
computadoras o incluso en la memoria de las
personas que la conocen.
 ACTIVOS: CONCEPTO

Un activo es todo aquel elemento que compone el

proceso de la comunicacin, partiendo desde la
informacin, su emisor, el medio por el cual se
transmite, hasta su receptor.
Los activos son elementos que la seguridad de la
informacin busca proteger. Los activos poseen
valor para las empresas y como consecuencia de
ello, necesitan recibir una proteccin adecuada
para que sus negocios no sean perjudicados.
 ACTIVOS: ELEMENTOS
Son tres elementos que conforman lo que denominamos
activos:
La informacin,
Los Equipos que la soportan y,
Las personas que los utilizan.
Podemos considerar la siguiente clasificacin:
A. Informacin
B. Equipos que la soportan:
b.1 Software
b.2 Hardware
b.3 Organizacin
C. Personas que los utilizan o usuarios:
 INFORMACION

En este grupo estn los elementos que

contienen informacin registrada, en medio
electrnico o fsico, dentro de los ms
importantes tenemos:
documentos
informes
libros
manuales
correspondencias
patentes
informacin de mercado
cdigo de programacin
 INFORMACION
lneas de comando
reportes financieros
archivos de configuracin
planillas de sueldos de empleados
plan de negocios de una empresa, etc.

POSIBLES VULNERABILIDADES
Robo de documentos,
prdida de archivos de configuracin,
entre otros.
 EQUIPOS QUE LO SOPORTAN :
SOFTWARE
Este grupo de activos contiene todos los programas de
computadora que se utilizan para la automatizacin de
procesos, es decir, acceso, lectura, trnsito y
almacenamiento de la informacin. Entre ellos citamos:
las aplicaciones comerciales
programas institucionales
sistemas operativos
Otros
La seguridad de la informacin busca evaluar la forma en
que se crean las aplicaciones, cmo estn colocadas a
disposicin y la forma como son utilizadas por los usuarios
y por otros sistemas, para detectar y corregir problemas
existentes en la comunicacin entre ellos.
 EQUIPOS QUE LO SOPORTAN :
SOFTWARE
Ejemplo:
Sistemas operativos (Unix, Windows, Linux,
etc.), programas de correo electrnico, bases de
datos, aplicaciones especficas, sistemas de
respaldo entre otros.
Posibles vulnerabilidades
Fallas publicadas de los sistemas operativos y
las aplicaciones no reparadas pueden
representar accesos indebidos a los equipos.
Son entradas usadas por hackers y virus.
 EQUIPOS QUE LO SOPORTAN :
HARDWARE
Estos activos representan toda la
infraestructura tecnolgica que brinda
soporte a la informacin durante su uso,
trnsito y almacenamiento.
Los activos que pertenecen a este grupo
son:
Cualquier equipo en el cual se
almacene, procese o transmita la
informacin de la empresa.
EQUIPOS QUE LO SOPORTAN :
HARDWARE
las computadoras
los servidores
los equipos porttiles
los mainframes
los medios de almacenamiento
los equipos de conectividad, enrutadores, switchs y
cualquier otro elemento de una red de computadoras
por donde transita la informacin.
Posibles vulnerabilidades
Fallas elctricas que daen los equipos,
inundaciones en centros de cmputo, robo de
equipos porttiles.
 EQUIPOS QUE LO SOPORTAN :
ORGANIZACIN

En este grupo se incluyen los

aspectos que componen la
estructura fsica y organizativa de
las empresas .
Se refiere a la organizacin lgica y
fsica que tiene el personal dentro
de la empresa en cuestin.
 EQUIPOS QUE LO SOPORTAN :
ORGANIZACIN
Como ejemplos de estructura organizativa , tenemos
entre otros:
la estructura departamental y funcional
el cuadro de asignacin de funcionarios
la distribucin de funciones y los flujos de informacin
de la empresa
En lo que se refiere al ambiente fsico , se consideran
entre otros:
salas y armarios donde estn localizados los
documentos,
fototeca, sala de servidores de archivos.
Posibles vulnerabilidades
Ubicacin insegura de documentos, equipos o
personas.
Estructura organizacional que no permita los cambios
en materia de seguridad.
 USUARIOS
E l grupo usuarios se refiere a los individuos que utilizan la
estructura tecnolgica y de comunicacin de la empresa y que
manejan la informacin .
El enfoque de la seguridad en los usuarios, est orientado
hacia la toma de conciencia de formacin del hbito de la
seguridad para la toma de decisiones y accin por parte de
todos los empleados de una empresa, desde su alta direccin
hasta los usuarios finales de la informacin, incluyendo los
grupos que mantienen en funcionamiento la estructura
tecnolgica, como los tcnicos, operadores y administradores
de ambientes tecnolgicos.
 USUARIOS
Empleados del rea de contabilidad.
Directivos de la empresa.

Posibles vulnerabilidades
No usar contraseas complejas.
No bloquear la computadora.
Falta de cooperacin por parte de los usuarios en materia de
seguridad.
Descuido de parte de los usuarios en el manejo de la
informacin.
Robo de informacin.
El experto Eugene H. Spafford cita en su frase clebre: "el nico sistema
que es totalmente seguro es aquel que se encuentra apagado y
desconectado, guardado en una caja fuerte de titanio que est enterrada
en cemento, rodeada de gas nervioso y de un grupo de guardias
fuertemente armados. An as, no apostara mi vida en ello".
Si estudiamos las mltiples definiciones que de seguridad
informtica dan las distintas entidades, deduciremos los objetivos
de la seguridad informtica.

Segn la ISO27002, la seguridad de la informacin se puede

caracterizas por la prevencin de:

Confidencialidad

Integridad

Disponibilidad
 Pilares de la Seguridad de la Informacin

CONFIDENCIALIDAD

Aseguramiento de que la informacin es

accesible slo para aquellos autorizados a
tener acceso.

Qu importancia tendra que la informacin

fuera conocida por personas no autorizadas?
Pilares de la Seguridad de la Informacin

INTEGRIDAD

Garanta de la exactitud y completitud de la

informacin y los mtodos de su
procesamiento.

Qu importancia tendra que la

informacin fuera modificada fuera de
control?
Pilares de la Seguridad de la Informacin

DISPONIBILIDAD

Aseguramiento de que los usuarios

autorizados tienen acceso cuando lo requieran
a la informacin y sus activos asociados.

Qu importancia tendra que el activo no

estuviera disponible?
Hay que tener en cuenta que, tanto las amenazas como los
mecanismos para contrarrestarlas, suelen afectar a estas tres
caractersticas de forma conjunta. As por ejemplo, fallos del
sistema que hacen que la informacin no sea accesible pueden
llevar consigo una perdida de integridad. Generalmente tienen que
existir los tres aspectos descritos para que haya seguridad.

Junto con dichos aspecto u objetivos de la seguridad informtica, se

suelen estudiar conjuntamente:

el no repudio
la autenticacin

32
Autenticacin: Permite identificar al emisor de un mensaje,
al creador de un documento o al equipo que se conecta a una
red o a un servicio.
Por algo que el

Formas de autenticarse:
usuario posee:
tarjeta de
claves, tarjeta
ATM (tarjeta
bancaria)

Por algo que

el usuario
sabe:
password,
PIN

Por algo que el usuario

es: caractersticas
biomtricas, huella
dactilar, iris

33
No repudio: garantiza la participacin de las partes en una
comunicacin. En toda comunicacin, existe un emisor y un
receptor, por lo que podemos distinguir dos tipos de no
repudio:

No repudio en origen: garantiza que la persona que

enva el mensaje no puede negar que es el emisor del
mismo, ya que el receptor tendr pruebas del envo.

No repudio en destino: el receptor no puede negar

que recibi el mensaje, porque el emisor tiene
pruebas de la recepcin del mismo.
Si la autenticacin prueba quin es el autor o propietario de un documento y cul es su
destinatario, el no repudio prueba que el autor envi la comunicacin (no repudio en
origen) y que el destinatario la recibi (no repudio en destino).

34
Al grupo de estas caractersticas y objetivos de la seguridad
se les conoce como CIDAN, nombre sacado de la inicial de
cada caracterstica.

35
Para conseguir los objetivos mostrados en la anterior figura se
utilizan los siguientes mecanismos:

Autenticacin, que permite identificar al emisor de un mensaje, al

creador de un documento o al equipo que se conecta a una red o a
un servicio.

Autorizacin, que controla el acceso de los usuarios a zonas

restringidas, a distintos equipos y servicios despus de haber
superado el proceso de autenticacin.

Auditora, que verifica el correcto funcionamiento de las polticas o

medidas de seguridad tomadas.

Encriptacin, que ayuda a ocultar la informacin transmitida por la

red o almacenada en los equipos, para que cualquier persona ajena
no autorizada, sin el algoritmo y clave de descifrado, pueda acceder
a los datos que se quieren proteger.

36
Realizacin de copias de seguridad e imgenes de respaldo,
para que en caso de fallos nos permita la recuperacin de la
informacin perdida o daada.

Antivirus, como su nombre indica, consiste en un programa que

permite estar protegido contra las amenazas de los virus.

Cortafuegos o firewall, programa que audita y evita los intentos

de conexin no deseados en ambos sentidos, desde los equipos
hacia la red y viceversa.

Servidores proxys, consiste en ordenadores con software especial,

que hacen de intermediario entre la red interna de una empresa y
una red externa, como pueda ser Internet. Estos servidores, entre
otras acciones, auditan y autorizan los accesos de los usuarios a
distintos tipos de servicios como el de FTP (transferencia de
ficheros), o el Web (acceso a pginas de Internet).

37
Utilizacin firma electrnica o certificado digital, son
mecanismos que garantizan la identidad de una persona o entidad
evitando el no repudio en las comunicaciones o en la firma de
documentos. Tambin se utilizan mucho hoy en da para establecer
comunicaciones seguras entre el PC del usuario y los servidores de
Internet como las pginas Web de los bancos.

Conjunto de leyes encaminadas a la proteccin de datos

personales que obligan a las empresas a asegurar su
confidencialidad.

38
Ejemplo de Mecanismos:

Observemos el certificado digital que utiliza

Gmail a la hora de autenticar a los usuarios
mediante el nombre y la contrasea del
mismo.

39
Si hacemos clic sobre el candado, que se muestra
en la parte derecha de la URL, podemos verificar
que la conexin estar cifrada usando un
certificado digital de Google.

40
41
Si hacemos clic sobre Ver Certificados veremos informacin ms detallada del
certificado.

42
Se pueden hacer diversas clasificaciones de la seguridad informtica
en funcin de distintos criterios.

Segn el activo a proteger, es decir, todos los recursos del sistema de

informacin necesarios para el correcto funcionamiento de la actividad
de la empresa, distinguiremos entre seguridad fsica y lgica (con
independencia del momento preciso de actuacin), entre seguridad
pasiva y activa , segn se acte antes de producirse el percance, de
tal manera que se eviten los daos en el sistema, o despus del
percance, minimizando los efectos ocasionados por el mismo.

pasiva lgica

activa fsica

Seguridad

43
Seguridad fsica y lgica
En este apartado distinguiremos los distintos tipos de seguridad en
funcin del recurso del sistema de informacin que a de
protegerse.
Seguridad Fsica
Habitualmente nos centramos en protegernos de posibles hackers,
virus y nos olvidamos de un aspecto muy importante en la
seguridad informtica, la seguridad fsica.

La seguridad fsica es aquella que trata de proteger el hardware

(los equipos informticos, el cableado) de los posibles desastres
naturales (terremotos, tifones), de incendios, inundaciones,
sobrecargas elctricas, de robos y un sinfn de amenazas ms.

A continuacin vamos a enumerar las principales amenazas y los

mecanismos para salvaguardarnos de las mismas:

44
 Amenazas Mecanismos de defensa
El mobiliario de los centros de clculo debe ser ignfugo.
Evitar la localizacin del centro de procesamiento de datos cerca de zonas donde
se manejen o almacenen sustancias inflamables o explosivos.
Incendios
Deben existir sistemas antiincendios, detectores de humo, rociadores de gas,
extintores para sofocar el incendio en el menor tiempo posible y as evitar que
se propague ocasionando numerosas prdidas materiales.
Evitar la ubicacin de los centros de clculo en las plantas bajas de los edificios
para protegerse de la entrada de aguas superficiales.
Inundaciones
Impermeabilizar las paredes y techos del Centro de Clculo. Sellar las puertas
para evitar la entrada de agua proveniente de las plantas superiores.
Proteger los centros de clculo mediante puertas con medidas biomtricas,
Robos cmaras de seguridad, vigilantes jurados, con todas estas medidas
pretendemos evitar la entrada de personal no autorizado.
Evitar la ubicacin de los centros de clculo prximos a lugares con gran radiacin
de seales electromagnticas, pues pueden interferir en el correcto
funcionamiento de los equipos informticos del cableado de red.
Seales
En caso de no poder evitar la ubicacin en zonas con grandes emisiones de este
Electromagnticas
tipo de seales deberemos proteger el centro frente de dichas emisiones
mediante el uso de filtros o de cableado especial, o si es posible, utilizar fibra
ptica, que no es sensible a este tipo de interferencias.
Para evitar los apagones colocaremos Sistemas de Alimentacin Ininterrumpida
Apagones (SAI), que proporcionan corriente elctrica durante un periodo de tiempo
suficiente.
Sobrecargas Adems de proporcionar alimentacin, los SAI profesionales incorporan filtros
Elctricas para evitar picos de tensin, es decir, estabilizan la seal elctrica.
Estando en continuo contacto con el Instituto Geogrfico Nacional y de
Desastres
Meteorologa, organismos que informan sobre los movimientos ssmicos y
Naturales
meteorolgicos en pais.

45
Seguridad Lgica
La seguridad lgica complementa a
la seguridad fsica, protegiendo el
software de los equipos informticos,
es decir, las aplicaciones y los datos
de usuario, de robos, de prdidas de
datos, entrada de virus informticos,
modificaciones no autorizadas de los
datos, ataques desde la red, etc.

A continuacin vamos a enumerar las

principales amenazas y
mecanismos para salvaguardarnos
de los mismos:

46
 Amenazas Mecanismos de defensa
Cifrar la informacin almacenada en los soportes para que en caso de robo no sea
legible.
Robos
Utilizar contraseas para evitar el acceso a la informacin.
Sistemas biomtricos (uso de huella dactilar, tarjetas identificadoras, caligrafa).
Realizar copias de seguridad para poder restaurar la informacin perdida.
Uso de sistemas tolerantes a fallos, eleccin del sistema de ficheros del sistema
Prdida de
operativo adecuado.
Informacin
Uso de conjunto de discos redundantes, protege contra la prdida de datos y
proporciona la recuperacin de los datos en tiempo real.
Uso de programas de chequeo del equipo, SiSoft Sandra 2000, TuneUp
Prdida de
Mediante la firma digital en el envo de informacin a travs de mensajes enviados
integridad en la
por la red.
informacin
Uso de la instruccin del SO Windows, sfc (System file checker).
Entrada de Uso de antivirus, que evite que se infecten los equipos con programas
Virus malintencionados.
Firewall, autorizando y auditando las conexiones permitidas.
Ataques desde
Programas de monitorizacin.
la red
Servidores Proxys, autorizando y auditando las conexiones permitidas.
Uso de contraseas que no permitan el acceso a la informacin.
Modificaciones
Uso de listas de control de acceso.
no autorizadas
Cifrar documentos.

47
Seguridad activa y pasiva
Aqu el criterio de clasificacin es el momento en el que se ponen
en marcha las medidas oportunas de actuacin.

Seguridad Activa.-
La seguridad activa la podemos definir como el conjunto de
medidas que previenen e intentan evitar los daos en los
sistemas informticos.

A continuacin, vamos a enumerar

las principales tcnicas de seguridad
activa:

48
 Tcnicas Qu previene?
Previene el acceso a recursos por parte de personas no
Uso de Contraseas
autorizadas.
Listas de control de Previene el acceso a los ficheros por parte de personas
acceso no autorizadas.
Evitan que personas sin autorizacin pueden interpretar
Encriptacin
la informacin.
Uso de software de Previene de virus informticos y de entradas indeseadas
seguridad informtica al sistema informtico.
Firmas y certificados Permite comprobar la procedencia, autenticidad e
digitales integridad de los mensajes.
Sistemas de ficheros Previene fallos de integridad en caso de apagones de
con tolerancia a fallos sincronizacin o comunicacin.
Previene que ciertos usuarios hagan un uso indebido de
Cuotas de disco
la capacidad de disco.

Las tarjetas inteligentes, es un ejemplo de seguridad

activa, impiden el acceso a personas no autorizadas a los
recursos.

49
Seguridad Pasiva.-
La seguridad pasiva complementa a la seguridad activa y se
encarga de minimizar los efectos que haya ocasionado algn
percance.

A continuacin enumeraros las tcnicas ms importantes de

seguridad pasiva:

Tcnicas Cmo minimiza?

Conjunto de discos Podemos restaurar informacin que no es vlida ni consistente.
redundantes
Una vez que la corriente se pierde las bateras del SAI (sistemas de
alimentacin ininterrumpida) se ponen en funcionamiento proporcionando la
SAI corriente necesaria para mantener los equipos encendidos el tiempo necesario
para guardar la informacin una vez que se ha producido el desastre (el
apagn de la luz).
Realizacin de A partir de las copias realizadas, podemos recuperar informacin en caso de
copias de seguridad prdida de datos.

50