Académique Documents
Professionnel Documents
Culture Documents
4 Referencias
No existe un sistema 100 % seguro, pero se debe intentar dar un nivel tolerable
de seguridad a los usuarios.
Para que un sistema sea razonable o tolerablemente seguro, éste debe cumplir
con ciertas propiedades de seguridad:
Interrupción
Un recurso del sistema se destruye, no llega a estar disponible o se inutiliza. Es
un tipo de ataque contra la:
Intercepción
Una entidad no autorizada consigue acceder a un recurso. Este es un ataque
contra la:
Modificación
Una entidad no autorizada no solamente que accede al recurso sino que lo
deteriora. Este es un ataque contra la:
Fabricación
Una entidad no autorizada inserta objetos falsos en el sistema. Este es un ataque
contra la:
Interrupción
Un recurso del sistema se destruye, no llega a estar disponible o se inutiliza. Es
un tipo de ataque contra la: disponibilidad
Intercepción
Una entidad no autorizada consigue acceder a un recurso. Este es un ataque
contra la: confidencialidad
Modificación
Una entidad no autorizada no solamente que accede al recurso sino que lo
deteriora. Este es un ataque contra la: integridad
Fabricación
Una entidad no autorizada inserta objetos falsos en el sistema. Este es un ataque
contra la: autenticación
Engaño (Deception)
Vulnerabilidad
Debilidad de un activo o control.
Se define como la susceptibilidad de algo para absorber negativamente incidencias
externas.
Es una vı́a de ataque potencial.
Amenaza
Causa potencial de un evento no deseado, el cual puede resultar en daños al activo
o a la organización.
Riesgo
Posibilidad de que una amenaza explote una vulnerabilidad de un activo o grupo
de activos, que cause daños a la organización.
Activo de Información
Conocimiento, datos (información) que tienen valor para la organización.
Ataque
Intento de destruir, exponer, alterar, desactivar, robar u obtener acceso no
autorizado o hacer uso no autorizado de un activo.
Evento de Seguridad
Ocurrencia identificada de una condición de un sistema, servicio o red que indica
una posible violación de la polı́tica, falla en controles o una situación
previamente desconocida.
Incidente
Evento o serie de eventos no deseados o inesperados con gran probabilidad de
comprometer las operaciones del negocio y amenazar la seguridad de la
información.
Impacto
Cambio adverso al nivel alcanzado de los objetivos del negocio. I.e. El efecto que
un evento inesperado puede causar sobre los activos.
Seguridad Informática
Seguridad de la Información
Es la disciplina que nos habla de los riesgos, de las amenazas, de los análisis de
escenarios, de las buenas prácticas y esquemas normativos, que nos exigen
niveles de aseguramiento de procesos y tecnologı́as para elevar el nivel de confianza
en la creación, uso, almacenamiento, transmisión, recuperación y disposición final de
la información. [Jeimy J. Cano, Ph.D., CFE.]
Tipos de ataques
Activos
Implican algún tipo de modificación de los datos
Suplantación de identidad (spoofing)
Alteración de mensajes (modificación)
Degradación fraudulenta del servicio
Detectar mas que prevenir
Pasivos
No provocan alteración de los datos
Son difı́ciles de detectar
Prevenir mas que detectar
Internos
Externos
Distribuidos
White Hat: con nivel de preparación similar a un Black Hat pero orientados
propósitos defensivos. Se los conoce también como Analistas de Seguridad.
Gray Hat: trabajan tanto para propósitos defensivos como ofensivos. Y también
son llamados Mercenarios.
Cracker: Persona que utiliza sus conocimientos de hacking con fines ofensivos o
maliciosos.
Sniffers
Spoofing
Spamming
Spyware
Snooping
Scanning
DoS (Denial of service)
Net-flood
Ping of dead
Ataques de fuerza bruta
Caballos de troya
Virus
Gusanos ...
Material didáctico elaborado con la colaboración del Dr. Walter Fuertes y el MSc.
Denys Flores.
INEN (2012)
Descripción General y Vocabulario
Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27000:2012.
Stallings, W. (2011)
Network Security Essentials
4th edition, New York, US; ISBN:13: 978-1587052460: Prentice-Hall.