INTRODUCCIÓN A LA SEGURIDAD

Ing. Francisco Alvarez Pineda

fraalvarez@Gmail.com
Introducción a la Seguridad
Contenido

- Objetivos
- Concepto de seguridad
- ¿Qué queremos proteger?
- Amenazas
- Mecanismos de seguridad
- Política de seguridad
- Entidades implicadas en la seguridad

Página 2
Objetivos

Objetivos de la seguridad de la información.

Tiene por objetivo proteger la información contenida, la estructura

computacional y los usuarios:

- Debe ser administrada según los criterios establecidos por los

administradores y supervisores, evitando que usuarios externos y no
autorizados puedan acceder a ella sin autorización.

Página 3
Objetivos

Objetivos de la seguridad de la información.

Tiene por objetivo proteger la información contenida, la estructura

computacional y los usuarios:

- Debe velar que los equipos funcionen adecuadamente y prever en caso

de falla planes de robos, incendios, boicot, desastres naturales, fallas en
el suministro eléctrico y cualquier otro factor que atente contra la
infraestructura informática.

Página 4
Objetivos

Objetivos de la seguridad de la información.

Tiene por objetivo proteger la información contenida, la estructura

computacional y los usuarios:

- La seguridad informática debe establecer normas que incluyan horarios

de funcionamiento, restricciones a ciertos lugares, autorizaciones,
denegaciones, perfiles de usuario, planes de emergencia, protocolos,
etc.

- Todo lo necesario que permita un buen nivel de seguridad informática

minimizando el impacto en el desempeño de los funcionarios y de la
organización en general y como principal contribuyente al uso de
programas realizados por programadores.

Página 5
Objetivos

Objetivos de la seguridad de la información.

- El objetivo de la seguridad informática es mantener la Integridad,

Disponibilidad, Privacidad, Control y Autenticidad de la información
manejada por computadora.

- Ejemplo de objetivos de seguridad

de la información GEOCONSULTcs

Página 6
Introducción a la Seguridad
Contenido

- Objetivos
- Concepto de seguridad
- ¿Qué queremos proteger?
- Amenazas
- Mecanismos de seguridad
- Política de seguridad
- Entidades implicadas en la seguridad

Página 7
Concepto de seguridad

Seguridad.

- Característica de cualquier sistema (informático o no) que nos indica

que ese sistema está libre de todo peligro, daño o riesgo, y que es, en
cierta manera, infalible.

Fiabilidad.

- Probabilidad de que un sistema se comporte tal y como se espera de el.

Página 8
Concepto de seguridad
Concepto de seguridad

Aspectos de seguridad.

Confidencialidad.

- Solo debe acceder a los objetos de un sistema los elementos

autorizados.
- La confidencialidad se refiere a la protección
de los datos ante una revelación no
autorizada a terceras partes. Una empresa es
responsable de proteger la privacidad de sus
datos, entre los que puede haber datos de
clientes y datos internos de la empresa.

- Los componentes del sistema son accesibles

sólo por los usuarios autorizados.

Página 10
Concepto de seguridad

Aspectos de seguridad.

Integridad.

- Los objetos sólo pueden ser modificados por elementos autorizados, y de

una manera controlada.

- La Integridad se refiere a la certeza de que los

datos no son destruidos o alterados de una forma
no autorizada. Por ejemplo, la integridad se
consigue cuando el mensaje enviado es idéntico al
mensaje recibido. Deben tomarse medidas para
garantizar la integridad de todos los datos,
independientemente de si los datos son
confidenciales.

- Los componentes del sistema permanecen inalterados a menos que

sean modificados por los usuarios autorizados.

Página 11
Concepto de seguridad

Aspectos de seguridad.

Disponibilidad.

- Los objetos del sistema deben permanecer accesibles a los elementos

autorizados. La disponibilidad se define como el funcionamiento
continuo de los sistemas de información.

- Las aplicaciones requieren distintos niveles de

disponibilidad, dependiendo del impacto comercial
del tiempo de inactividad.

- Para que una aplicación esté disponible, todos los componentes deben
proporcionar un servicio continuo. Esos componentes pueden ser
servidores de aplicaciones o de bases de datos, dispositivos de
almacenamiento y la red extremo a extremo.

- Los usuarios deben tener disponibles todos los componentes del sistema
cuando así lo deseen. Página 12
Concepto de seguridad

Aspectos de seguridad.

Ejercicio 1.
- Dependiendo de la finalidad de un sistema, los responsables de su
seguridad le deberían dar más prioridad a un aspecto u otro de los
enumerados anteriormente:
- Disponibilidad
- Integridad
- Confidencialidad

Priorice los aspectos de seguridad según las siguientes situaciones.

- ¿Cuál es más importante garantizar en un sistema militar?

- ¿Y en un servidor de archivos en una universidad?
- ¿Y en un sistema de un banco?

- Razone sus respuestas.

Página 13
Introducción a la Seguridad
Contenido

- Objetivos
- Concepto de seguridad
- ¿Qué queremos proteger?
- Amenazas
- Mecanismos de seguridad
- Política de seguridad
- Entidades implicadas en la seguridad

Página 14
¿Que queremos proteger?

¿Qué queremos proteger?.

Hardware
- Comprende todos los elementos físicos
del sistema informático, tales como
procesadores, electrónica y cableado
de red, medios de almacenamiento
(cabinas, discos, cintas, DVDs,...).
- Elementos físicos

Software.

- Comprende el conjunto de programas

que se ejecutan sobre el hardware,
tanto si es el propio sistema operativo
como las aplicaciones instaladas en él.

Página 15
¿Que queremos proteger?

¿Qué queremos proteger?.

Datos.

- Los datos comprenden la información lógica que

procesa el software haciendo uso del hardware. En
general serán informaciones estructuradas en bases de
datos o paquetes de información que viajan por la red.
- Se almacenan en discos, copias de seguridad.

Otros.

- Los elementos fungibles son aquellos que se 'usan y

gastan' como puede ser la tinta y papel en las
impresoras, los soportes tipo DVD o incluso cintas si las
copias se hacen en ese medio, etc. Pero al ser
elementos externos al sistema informático no son críticos
para su seguridad.
- Personas, infraestructuras,..
Página 16
¿Que queremos proteger?

¿Qué queremos proteger?.

● De ellos los más críticos son los datos, el hardware y el software. Es decir,
los datos que están almacenados en el hardware y que son procesados
por las aplicaciones software.

● Incluso de todos ellos, el activo más crítico son los datos. El resto se
puede reponer con facilidad y los datos sabemos que dependen de
que la empresa tenga una buena política de copias de seguridad y sea
capaz de reponerlos en el estado más próximo al del momento en que
se produjo la pérdida.

Página 17
Introducción a la Seguridad
Contenido

- Objetivos
- Concepto de seguridad
- ¿Qué queremos proteger?
- Amenazas
- Mecanismos de seguridad
- Política de seguridad
- Entidades implicadas en la seguridad

Página 18
Amenazas

Tipos de amenazas.

Interrupción.
- Hace que un objeto del sistema se pierda, quede inutilizable o no
disponible.

Interceptación.

- Un elemento no autorizado consigue acceder a un objeto del sistema.

Modificación.

- Un elemento no autorizado consigue modificar un objeto del sistema.

Fabricación.

- Un elemento no autorizado inserta objetos extraños en el sistema.

Página 19
Amenazas
Tipos de amenazas.

Página 20
Amenazas

De donde provienen las amenazas.

Personas.
- Tanto externas como internas a la organización.

Software.

- Incorrecto. Defectos de desbordamiento de buffer.

- Malicioso. Herramientas de seguridad, puertas traseras, virus, troyanos.

Catastrofes.

- Incendios, inundaciones.

Página 21
Amenazas

Internet, principales amenazas.

- Según la Oficina de Ciencia y Tecnología de la Casa Blanca, las

pérdidas anuales estimadas en Estados Unidos, debido al espionaje
económico ascienden a 100 mil millones de dólares.
- En Internet, las principales amenazas para la protección de la
información provienen de:
- Anexos a mensajes enviados por correo
electrónico infectados con virus.
- El intercambio de códigos de virus.
- Firewalls o cortafuegos mal configurados.
- Ataques a la disponibilidad de los recursos de
información existentes en la red (bancos de
datos o software disponibles para descargar por
los usuarios).
- La alteración de las páginas web.

Página 22
Amenazas

Internet, principales amenazas.

- El "repudio" y las estafas asociadas al comercio electrónico.

- Las vulnerabilidades de los sistemas operativos y la desactualización de
los "parches" concernientes a su seguridad.
- La rotura de contraseñas.
- La suplantación de identidades.
- El acceso a páginas pornográficas, terroristas, etc.
- El robo y la destrucción de información.
- Pérdida de tiempo durante el acceso a sitios ajenos a la razón social de
la entidad.
- El hecho de que herramientas de hacking y cracking se ofrezcan como
freeware.

Por estas y otras razones, el tratamiento de los temas relacionados con la

seguridad informática ha tomado un gran auge.

Página 23
Amenazas
Visión general de seguridad.

Página 24
Amenazas

Tipos de amenazas.

Taller grupal
- Rellene la siguiente tabla con ejemplos de ataques (Amenazas) a los
diferentes elementos del sistema:

Hardware Software Datos

Interrupción

Intercepción

Modificación

Fabricación

Página 25
 Definiciones formales
- El riesgo se define como la combinación de la probabilidad de que se produzca un evento y
sus consecuencias negativas. Los factores que lo componen son la amenaza y la
vulnerabilidad.
- El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al
equipo. Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la
amenaza.
- Amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede
ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad,
la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños
ambientales. [1] La amenaza se determina en función de la intensidad y la frecuencia.
- Es una circunstancia que tiene el potencial de causar un daño o una pérdida. Es decir, las
amenazas pueden materializarse dando lugar a un ataque en el equipo.
- Vulnerabilidad: son las características y las circunstancias de una comunidad, sistema o bien
que los hacen susceptibles a los efectos dañinos de una amenaza. (1) Con los factores
mencionados se compone la siguiente fórmula de riesgo.
- Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para
causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una
computadora, tanto en el hardware, el sistema operativo, cómo en el software.
- En Seguridad Informática, la palabra Vulnerabilidad hace referencia a una debilidad en un
sistema permitiéndole a un atacante violar la Confidencialidad, Integridad, Disponibilidad,
control de acceso y consistencia del sistema o de sus datos y aplicaciones.

Página 26
Introducción a la Seguridad
Contenido

- Objetivos
- Concepto de seguridad
- ¿Qué queremos proteger?
- Amenazas
- Mecanismos de seguridad
- Política de seguridad
- Entidades implicadas en la seguridad

Página 27
Mecanismos de seguridad

¿Qué son?.

- Un mecanismo de seguridad informática es una técnica o herramienta

que se utiliza para fortalecer la confidencialidad, la integridad y/o la
disponibilidad de un sistema informático.

- Existen muchos y variados mecanismos de seguridad informática. Su

selección depende del tipo de sistema, de su función y de los factores
de riesgo que lo amenazan.

Página 28
Mecanismos de seguridad

¿Tipos?.

Prevención.
- Permiten aumentar la seguridad de un sistema durante el
funcionamiento normal de éste, previniendo la aparición de violaciones
de la seguridad.
- Actúan antes de que un hecho ocurra y su función es detener agentes
no deseados.
Detección.
- Permiten detectar violaciones de seguridad o intentos de violación.

Recuperación.
- Permiten devolver a un estado adecuado un sistema que ha sufrido un
ataque de seguridad. Un análisis forense permite averiguar el alcance
de la violación, las actividades efectuadas, la forma de entrada, etc.

Página 29
Mecanismos de seguridad

Ejemplos.

Ejemplos orientados a fortalecer la confidencialidad.

- Encriptación o cifrado de datos: Es el proceso que se sigue para

enmascarar los datos, con el objetivo de que sean incomprensibles para
cualquier agente no autorizado.

- Los datos se enmascaran usando una clave especial y siguiendo una

secuencia de pasos pre-establecidos, conocida como “algoritmo de
cifrado”. El proceso inverso se conoce como descifrado, usa la misma
clave y devuelve los datos a su estado original.

Página 30
Mecanismos de seguridad

Ejemplos.

Ejemplos orientados a fortalecer la

integridad

- Software anti-virus: Ejercen control

preventivo, detectivo y correctivo
sobre ataques de virus al sistema.

- Software “firewall”: Ejercen control

preventivo y detectivo sobre
intrusiones no deseadas a los sistemas.

- Software para sincronizar

transacciones: Ejercen control sobre
las transacciones que se aplican a los
datos.

Página 31
Mecanismos de seguridad

Ejemplos.

Ejemplos orientados a fortalecer la disponibilidad

- Planes de recuperación o planes de contingencia: Es un esquema que

especifica los pasos a seguir en caso de que se interrumpa la actividad
del sistema, con el objetivo de recuperar la funcionalidad.

- Dependiendo del tipo de contingencia, esos pasos pueden ejecutarlos

personas entrenadas, sistemas informáticos especialmente programados
o una combinación de ambos elementos.

Página 32
Introducción a la Seguridad
Contenido

- Objetivos
- Concepto de seguridad
- ¿Qué queremos proteger?
- Amenazas
- Mecanismos de seguridad
- Política de seguridad
- Entidades implicadas en la seguridad

Página 33
Política de seguridad

Definiciones.

Política de Seguridad.
- Es una declaración de intenciones de alto nivel que cubre la seguridad
de sistemas informáticos y que proporciona las bases para definir y
delimitar responsabilidades para las diversas actuaciones técnicas y
organizativas que se requieran.

Plan de Seguridad.
- Es un documento marco que establece una serie de líneas de actuación
amplias. Las políticas de seguridad deben ser consistentes con las líneas
establecidas en el plan.

Página 34
Política de seguridad

Definiciones.

Procedimientos de seguridad.

- Las políticas de seguridad se implementan mediante procedimientos de

seguridad. Éstos describen cuáles son las actividades que se tienen que
realizar en el sistema, en qué momento o lugar, quiénes son los
responsables de su ejecución y cuáles son los controles aplicables para
supervisar su correcta aplicación.

Distinción entre política y procedimiento de seguridad.

- Las políticas define qué se debe proteger en el sistema, mientras que los
procedimientos de seguridad describen cómo se debe conseguir dicha
protección.

Página 35
Política de seguridad

Requisitos.

- Debe definir claramente las responsabilidades

exigidas al personal con acceso al sistema.
- Debe cumplir con las exigencias del entorno
legal.
- Debe estar adaptada a las necesidades
reales de cada organización.
- Debe ser revisada periódicamente para
adaptarla a las nuevas exigencias de la
organización y del entorno tecnológico y
legal.
- Debe aplicar el principio de “Defensa en
profundidad”: definición e implantación de
varios niveles o capas de seguridad.
- Asignación de privilegios mínimos.

Página 36
Política de seguridad

Requisitos.

Página 37
Política de seguridad

Colectivos implicados. Directivos y

responsables de
los distintos
departamentos y
áreas funcionales
de la
organización.

Consultores Personal del

externos expertos departamento de
en seguridad Informática y
informática. Comunicaciones.

Colectivos

Miembros del
Representantes de equipo de
los usuarios que Respuesta a
pueden verse Incidentes de
afectados por las Seguridad
normas. Informática, si éste
existe.

Página 38
Política de seguridad

Información que debe contener.

Cada documento que constituye una política de seguridad debe incluir la

siguiente información:

- Título y codificación.
- Fecha de entrada en vigor.
- Fecha prevista de revisión o renovación.
- Ámbito de aplicación (a toda la organización o sólo a un determinado
departamento o unidad de negocio).
- Descripción detallada (redactada en términos claros y fácilmente
comprensibles por todos los empleados) de los objetivos de seguridad.
- Persona responsable de la revisión y aprobación.

Página 39
Política de seguridad

Información que debe contener.

En los procedimientos de seguridad será necesario especificar además

otra información adicional:

- Documento (o documentos) al que reemplaza o modifica.

- Otros documentos relacionados.
- Descripción detallada de las actividades que se deben ejecutar.
- Personas o departamentos responsables de su ejecución.
- Momento y/o lugar en que deben realizarse.
- Controles para verificar su correcta ejecución.

Página 40
Política de seguridad

Políticas específicas necesarias para una organización.

En los procedimientos de seguridad será necesario especificar además

otra información adicional:

- Política de seguridad física de las instalaciones, equipos y materiales.

- Política de seguridad del personal.
- Política de identificación y autenticación de usuarios.
- Política de protección de la información (debe incluir una política de
copias de seguridad).
- Política de protección de servidores y estaciones de trabajo.
- Política de seguridad de las conexiones remotas.
- Política de detección y respuesta ante incidentes de seguridad.

Página 41
Introducción a la Seguridad
Contenido

- Objetivos
- Concepto de seguridad
- ¿Qué queremos proteger?
- Amenazas
- Mecanismos de seguridad
- Política de seguridad
- Entidades implicadas en la seguridad

Página 42
Entidades implicadas en la seguridad
Como se cita en Areitio (2008), las actividades de seguridad deben ser
tomadas en cuenta por todo el personal relacionado con los sistemas de
información, ya sean estos:

Página 43
Política de seguridad

Taller de políticas de seguridad

Grupos de 5 personas.

1. Lea la misión, visión y los objetivos estratégicos del Instituto nacional de

vigilancia de medicamentos y alimentos INVIMA

2. Analice en grupo las políticas de seguridad del INVIMA.

3. Incorpore almenos 5 políticas faltantes para tener una cobertura total

de la información.

Página 44
Entidades implicadas en la seguridad

A continuación veremos a modo de ejemplo como intervienen los

desarrolladores de software:

- Desarrollador de software: Cuando se desarrolla un software (un Sistema

de Gestión Académica por ejemplo), el responsable de su elaboración
debe cuidar que sea confiable y manipulable por el personal
autorizado; definiendo roles para: administradores, estudiantes,
profesores, etc, garantizando la seguridad de la información y su
indebida manipulación.

Página 45
Bibliografía

- REA

https://ocw.uca.es/mod/resource/view.php?id=2029

- Recursos web.

- MARRERO TRAVIESO, Yran. La Criptografía como elemento de la

seguridad informática. ACIMED [online]. 2003, vol.11, n.6 [citado 2017-
04-08], pp. 0-0 . Disponible en:
<http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S1024-
94352003000600012&lng=es&nrm=iso>. ISSN 1024-9435.

Página 46