Seguridad Informática

Recordando
 Seguridad Informática
Recordando
¿Qué es un sistema informático?
Es el conjunto que resulta de la integración de cuatro elementos:
Hardware, software, datos y usuarios que cumple un propósito.

¿Cuál es el objetivo de integrar estos

componentes?
Hacer posible el procesamiento automático de los datos, mediante
el uso de ordenadores.
 Ataques informáticos – Caso
Home Depot
Propósito principal: Cibercrimen.
• 56 millones de tarjetas de crédito en riesgo.
• Malware creado especialmente para este ataque.
• Afectó potencialmente a todos los clientes que hubieran realizado
una compra entre abril y septiembre 2014 en cualquiera de las casi
4.000 tiendas.
• Antes del ataque se le advirtió a Home Depot que una
funcionalidad clave de su protección no estaba activa.
• Se priorizo costos y tiempos de disponibilidad de recursos antes
que seguridad en los equipos.
• La información de tarjetas de crédito no se encontraba encriptada
en los cajeros y computadoras dentro de sus tiendas
 Ataques informáticos – Caso
Sony
"Es una decisión comercial válida aceptar el riesgo.
No invertiré $ 10 millones para evitar una posible
pérdida de $ 1 millón”:
Jason Spaltro, Senior Vice President of Information security
Top ten de los países mas
vulnerados
¿La solución será estar
desconectado?
 Seguridad Informática
Nivel de seguridad
“El único sistema que es realmente seguro es aquel que
está apagado y desenchufado, encerrado en una caja
forrada de titanio, enterrado en un búnker de hormigón, y
está rodeado de gas nervioso y guardias armados muy
bien pagos. Incluso entonces, no me jugaría mi vida en
ella”
Gene Spafford
 Seguridad Informática

Definición
La Seguridad Informática (S.I.) es la disciplina que se ocupa de
diseñar las normas, procedimientos, métodos y técnicas,
orientados a proveer condiciones seguras y confiables, para el
procesamiento de datos en sistemas informáticos.

La decisión de aplicarlos es responsabilidad de cada usuario.

Las consecuencias de no hacerlo … también.

 Seguridad Informática
Las pérdidas….
 Costos económicos (perder oportunidades de
negocio).
 Costos de recuperación.
 Costos de reparación.
 Costos de tiempo.
 Costos legales y judiciales.
 Costos de imagen.
 Costos de confianza de clientes.
 Perdidas humanas (cuando sea el caso).
Objetivos de la Seguridad
Informática
 Objetivos de la Seguridad
Informática
Confidencialidad
La información solo debe ser legible para los autorizados.

Amenaza:
Intercepción: Alguien no autorizado (persona, programa u
ordenador) consigue acceder a cualquier
parte de la información,

Ejemplos: Intervención en las líneas o en la red para

capturar datos, copia ilícita de ficheros o
programas
 Objetivos de la Seguridad
Informática
Integridad
La información solo puede ser modificada por quién está autorizado y de
manera controlada.

Amenaza:
Modificación: Alguien no autorizado consigue acceso a la
información y puede modificarla

Ejemplos: Cambio de valores en un fichero de datos

Modificación del contenido de un mensaje
 Objetivos de la Seguridad
Informática
Disponibilidad
Se refiere a la continuidad de acceso a los elementos de información en un
sistema informático, es decir que debe estar disponible cuando se necesita.

Amenaza:
Interrupción: Si se inutiliza o destruye alguna parte del
sistema o de la información.

Ejemplos: Destrucción de un elemento hardware, disco

duro, ruptura de alguna línea de
comunicación.
 Objetivos de la Seguridad
Informática
Resumen
Garantizar el CID:
 Confidencialidad: Que nadie más lo vea.
 Integridad: Que nadie más lo cambie.
 Disponibilidad: Que siempre esté ahí.

Implantar las reglas de Oro:

 Autenticación: Quién es.
 Autorización: Qué puede hacer.
 Auditoría: Qué ocurrió.
Asegurar el no repudio:
Que nadie pueda decir que él NO FUE
 Decisiones sobre seguridad

Cinco preguntas
 ¿Que se quiere proteger?
 ¿De que?
 ¿Cómo se quiere proteger?
 ¿Que tan bien mitiga el riesgo?
 ¿¿Que costos tiene la solución?
En los sistemas informáticos se presentan:
 Amenazas
Una amenaza a un sistema informático es cualquier
circunstancia o situación susceptible a causar un daño o
una pérdida. Es decir, las amenazas pueden
materializarse dando lugar a un ataque en el equipo.

Las amenazas se consideran como elemento externos al

sistema, es necesario establecer medidas para protegerse
de las amenazas.
Amenazas Maliciosas
 Vulnerabilidades
Una vulnerabilidad es una debilidad del sistema
informático que puede ser utilizada para causar un daño.
Las debilidades pueden aparecer en cualquiera de los
elementos de una computadora, tanto en el hardware, el
sistema operativo, cómo en el software

A las vulnerabilidades se les consideran un elemento

interno del sistema, por lo que es tarea de los
administradores y usuarios el detectarlos, valorarlos y
reducirlos.
Tipos de Vulnerabilidades

Físicas
Naturales
Hardware
Software
Red
Factor humano
 Tipos de Vulnerabilidades
Físicas
Está relacionada con el acceso físico al sistema. Es
todo lo referente al acceso y el entorno de las
instalaciones donde se tienen los equipos de
cómputo que contienen la información o forman
partes de los procesos esenciales del sistema.

Este tipo se pueden presentar en forma de malas

prácticas de las políticas de acceso de personal a los
sistemas y uso de medios físicos de
almacenamiento de información que permitan
extraer datos del sistema de manera no autorizada.
 Tipos de Vulnerabilidades
Naturales
En las vulnerabilidades de
tipo natural se presentan
principalmente en
deficiencias de las medidas
tomadas para afrontar los
desastres, por ejemplo no
disponer de reguladores,
UPS, mal sistema de
ventilación o calefacción.
 Tipos de Vulnerabilidades
Hardware
Representan la probabilidad de que las piezas físicas
del sistema fallen ya sea por mal uso, descuido, mal
diseño etc., dejando al sistema desprotegido o
inoperable.

También trata sobre las formas en que el hardware

puede ser usado por personas para atacar la
seguridad del sistema.
 Tipos de Vulnerabilidades
Software
Cada programa ya sea de paquetería o de sistema
operativo puede ser usado como medio para atacar
a un sistema más grande, esto se da debido a
errores de programación, o porque en el diseño no
fueron considerados ciertos aspectos como por
ejemplo controles de acceso, seguridad,
implantación, etc.
 Tipos de Vulnerabilidades
Red
En una red la prioridad es la transmisión de la
información, así que todas las vulnerabilidades
están relacionadas directamente con la posible
intercepción de la información por personas no
autorizadas y con fallas en la disponibilidad del
servicio.
 Tipos de Vulnerabilidades
Factor Humano
• Los elementos humanos de un sistema son los mas difíciles de
controlar lo que los convierte en constantes amenazas y al mismo
tiempo una de las partes mas vulnerables del sistema. Las
vulnerabilidades de origen humano mas comunes son la falta de
capacitación y concienciación, lo que puede dar lugar a la
negligencia en el seguimiento de las políticas de seguridad, y mal
uso del equipo de cómputo.

• Un usuario resentido o con poca lealtad a la organización es una

amenaza y una vulnerabilidad humana al mismo tiempo, pues él
puede convertirse en el autor directo de ataques al sistema o revelar
intencionalmente información del sistema a personas no
convenientes.
 Riesgo
El riesgo es la posibilidad de que
una amenaza se produzca debido
a una vulnerabilidad, dando lugar
a un ataque al equipo. Sirve para
cuantificar los daños.
 Factores de Riesgo
Son las variables que exponen a la
información y la hacen vulnerable
a violaciones de seguridad y
ataques.

Estos factores pueden ser

predecibles e impredecibles.
 Factores de Riesgo
Impredecibles o inciertos
Ambientales:
Son factores externos, generalmente asociados con
fenómenos naturales inciertos tales como:
 Lluvias, inundaciones,
tormentas, rayos
 Terremotos o sismos
 Incendios
 Suciedad, humedad, calor,
entre otros.
 Factores de Riesgo
Impredecibles o inciertos
Tecnológicos:
Son factores asociados con fallas en los equipos, en los
sistemas informáticos o en los elementos tecnológicos
externos que sustentan su buen funcionamiento. Ejem:

 Fallas de hardware y/o software.

 Fallas en el sistema de
enfriamiento.
 Fallas en el sistema eléctrico.
 Ataques por virus informáticos.
 Factores de Riesgo
Predecibles
Humanos:
 Hurto, intrusión, fraude.
 Adulteración o modificación de datos.
 Revelación o perdida de información.
 Sabotaje o vandalismo.
 Falsificación, robos de contraseñas.
 Factores Humano de Riesgo
Hackers
Los hackers son personas con avanzados conocimientos técnicos
en el área informática y que enfocan sus habilidades hacia la
invasión de sistemas a los que no tienen acceso autorizado.

En general, los hackers persiguen dos objetivos:

Probar que tienen las competencias para invadir un sistema

protegido.
Probar que la seguridad de un sistema tiene fallas.
 Factores Humano de Riesgo
Crackers
Los crackers son personas con avanzados conocimientos técnicos
en el área informática y que enfocan sus habilidades hacia la
invasión de sistemas a los que no tienen acceso autorizado.

En general, los crackers persiguen dos objetivos:

Destruir parcial o totalmente el sistema.
Obtener un beneficio personal (tangible o intangible) como
consecuencia de sus actividades.
Seguridad Informática