Capı́tulo 1.

Nociones de Seguridad de la Información

Conceptos de Seguridad de la Información según ISO 27001

Dra. Jenny Torres

jenny.torres@epn.edu.ec

Departamento de Informática y Ciencias de la Computación

Facultad de Sistemas
Escuela Politécnica Nacional

Dra. Jenny Torres Conceptos de Seguridad . . . 1 / 28

Contenido

1 Caracterı́sticas o Propiedades de la Seguridad

Otras Caracterı́sticas de Seguridad
Aspectos Intrı́nsecos de Seguridad

2 Términos y Definiciones relacionados con la Seguridad

3 Seguridad Informática vs. Seguridad de la Información

¿Qué quieren los atacantes?
¿Cómo lo van a hacer?
¿De quién se debe proteger?
Formas de Ataque

4 Referencias

Dra. Jenny Torres Conceptos de Seguridad . . . 2 / 28

Caracterı́sticas o Propiedades de la Seguridad

No existe un sistema 100 % seguro, pero se debe intentar dar un nivel tolerable
de seguridad a los usuarios.

Para que un sistema sea razonable o tolerablemente seguro, éste debe cumplir
con ciertas propiedades de seguridad:

Dra. Jenny Torres Conceptos de Seguridad . . . 3 / 28

Definiciones

Disponibilidad: Propiedad de estar disponible y utilizable en el momento en

que sea requerido por una entidad autorizada.

Confidencialidad: Propiedad de que la información no esté disponible o no

sea divulgada a personas, entidades o procesos no autorizados.

Integridad: Propiedad de proteger la precisión y completitud de los activos.

Ninguna persona no autorizada ha de poder modificar la información
transmitida o almacenada

Dra. Jenny Torres Conceptos de Seguridad . . . 4 / 28

Otras Caracterı́sticas de Seguridad

En una comunicación, la posibilidad de engaño hace que se integre un nuevo

elemento en las propiedades de seguridad:

Autenticidad: Propiedad de que una entidad es lo que expresa ser. El origen

de un mensaje ha de ser perfectamente identificado.

Autenticación: Provisión de una garantı́a de que una caracterı́stica afirmada por

una entidad es correcta. Caracterı́stica o propiedad de seguridad que garantiza que
lo que una entidad afirma ser es correcta.
Autorización: Caracterı́stica o propiedad de seguridad relacionada con el control
de acceso.
No repudio: Capacidad de probar la ocurrencia de un evento. Ni el emisor del
mensaje, ni el receptor del mismo pueden negar que se haya efectuado el mismo.

Dra. Jenny Torres Conceptos de Seguridad . . . 5 / 28

Ejercicio

Interrupción
Un recurso del sistema se destruye, no llega a estar disponible o se inutiliza. Es
un tipo de ataque contra la:

Intercepción
Una entidad no autorizada consigue acceder a un recurso. Este es un ataque
contra la:

Modificación
Una entidad no autorizada no solamente que accede al recurso sino que lo
deteriora. Este es un ataque contra la:

Fabricación
Una entidad no autorizada inserta objetos falsos en el sistema. Este es un ataque
contra la:

Dra. Jenny Torres Conceptos de Seguridad . . . 6 / 28

Ejercicio

Interrupción
Un recurso del sistema se destruye, no llega a estar disponible o se inutiliza. Es
un tipo de ataque contra la: disponibilidad

Intercepción
Una entidad no autorizada consigue acceder a un recurso. Este es un ataque
contra la: confidencialidad

Modificación
Una entidad no autorizada no solamente que accede al recurso sino que lo
deteriora. Este es un ataque contra la: integridad

Fabricación
Una entidad no autorizada inserta objetos falsos en el sistema. Este es un ataque
contra la: autenticación

Dra. Jenny Torres Conceptos de Seguridad . . . 7 / 28

Otras Caracterı́sticas de Seguridad

Accountability (Rendición de Cuentas): Se refiere al registro de acciones

en la empresa para garantizar la no repudiación (en transacciones), disuasión,
aislamiento de fallas, detección y prevención de intrusiones, recuperación y toma
de acciones legales.

Asociada a la auditorı́a y a la computación forense

Se demanda la capacidad de asociar una brecha de seguridad con el responsable,
para obtener evidencia

Dra. Jenny Torres Conceptos de Seguridad . . . 8 / 28

Aspectos Intrı́nsecos de Seguridad

Confianza vs. Confiabilidad

Confianza (Trust): Término muy importante en computación distribuida, ya

que busca asegurar y mejorar la seguridad del sistema.

Confiabilidad: Caracterı́stica o propiedad de seguridad relacionada con la

consistencia del comportamiento y los resultados esperados.

Dra. Jenny Torres Conceptos de Seguridad . . . 9 / 28

Aspectos Intrı́nsecos de Seguridad

Confianza vs. Confiabilidad

No existen servicios válidos y efectivos si no existe confiabilidad.

La confiabilidad depende de la gestión que se le de a la confianza del usuario.

La confianza tiene una connotación psicológica en la que intervienen la confianza

de una persona A y el beneficio que A espera obtener de otra persona B.

A demanda de B un servicio confiable, pero esto requiere de la confianza que A

tenga en B.

Dra. Jenny Torres Conceptos de Seguridad . . . 10 / 28

Aspectos Intrı́nsecos de Seguridad

Engaño (Deception)

Aunque A haya depositado un grado de confianza en B, y B no entrega un

servicio confiable, ya sea en mayor o menor grado; entonces la confianza que A
depositó en B, se convierte en engaño de B hacia A.

Por lo tanto, sean:

ca = confianza de A
Cb = confiabilidad de B
Entonces Existe Cb si y solo si Existe ca

Dra. Jenny Torres Conceptos de Seguridad . . . 11 / 28

Actividad en Clase

¿Cómo la Confianza (Trust) y el Engaño (Deception) afectan a las propiedades

CIDA?

Dra. Jenny Torres Conceptos de Seguridad . . . 12 / 28

Aspectos Intrı́nsecos de Seguridad

Seguridad vs. Privacidad

Seguridad: Preservación de las caracterı́sticas CIDA de la información.

Privacidad: Propiedad de preservación de una persona, entidad o proceso para

evitar revelarse o revelar información relacionada ellos mismo.

Existen extensos debates acerca de el nivel de relevancia entre seguridad y

privacidad.

Dra. Jenny Torres Conceptos de Seguridad . . . 13 / 28

Actividad en Clase

Leer este post de Bruce Schneier

https://www.schneier.com/blog/archives/2008/01/security_vs_pri.html

¿Qué es más importante, la privacidad o la seguridad?

Dra. Jenny Torres Conceptos de Seguridad . . . 14 / 28

Términos y Definiciones relacionados con la Seguridad

Vulnerabilidad
Debilidad de un activo o control.
Se define como la susceptibilidad de algo para absorber negativamente incidencias
externas.
Es una vı́a de ataque potencial.

Amenaza
Causa potencial de un evento no deseado, el cual puede resultar en daños al activo
o a la organización.

Es una acción o evento que puede violar la seguridad de un entorno de Sistemas de

Información.

Tiene tres componentes:

Objetivos: El aspecto de la seguridad que puede ser atacado.
Agentes: Las personas u organizaciones que originan la amenaza.
Eventos: El tipo de acción que origina la amenaza.

Dra. Jenny Torres Conceptos de Seguridad . . . 15 / 28

Términos y Definiciones relacionados con la Seguridad

Riesgo
Posibilidad de que una amenaza explote una vulnerabilidad de un activo o grupo
de activos, que cause daños a la organización.

Probabilidad de que la amenaza actúe sobre el activo. Se utiliza para cuantificar el

daño (probable) que puede causar la amenaza.

AMENAZA + VULNERABILIDAD = RIESGO

Activo de Información
Conocimiento, datos (información) que tienen valor para la organización.

Ataque
Intento de destruir, exponer, alterar, desactivar, robar u obtener acceso no
autorizado o hacer uso no autorizado de un activo.

Dra. Jenny Torres Conceptos de Seguridad . . . 16 / 28

Términos y Definiciones relacionados con la Seguridad

Evento de Seguridad
Ocurrencia identificada de una condición de un sistema, servicio o red que indica
una posible violación de la polı́tica, falla en controles o una situación
previamente desconocida.

Incidente
Evento o serie de eventos no deseados o inesperados con gran probabilidad de
comprometer las operaciones del negocio y amenazar la seguridad de la
información.

Impacto
Cambio adverso al nivel alcanzado de los objetivos del negocio. I.e. El efecto que
un evento inesperado puede causar sobre los activos.

Dra. Jenny Torres Conceptos de Seguridad . . . 17 / 28

Actividad en Clase

Plantee un possible ataque a los principios CIDA.

Plantee una solución.
Escriba un pequeño diálogo usando los términos estudiados.

Dra. Jenny Torres Conceptos de Seguridad . . . 18 / 28

Seguridad Informática vs. Seguridad de la Información

Seguridad Informática

Esta disciplina se encargarı́a de las implementaciones técnicas de la protección de

la información, el despliegue de las tecnologı́as antivirus, firewalls, detección de
intrusos, detección de anomalı́as, correlación de eventos, atención de incidentes, entre
otros elementos, que - articulados con prácticas de gobierno de tecnologı́a de
información - establecen la forma de actuar y asegurar las situaciones de fallas
parciales o totales, cuando la información es el activo que se encuentra en riesgo.
[Jeimy J. Cano, Ph.D., CFE.]

Área de la Informática que se encarga de resguardar la infraestructura tecnológica.

Dra. Jenny Torres Conceptos de Seguridad . . . 19 / 28

Seguridad Informática vs. Seguridad de la Información

Seguridad de la Información

Es la disciplina que nos habla de los riesgos, de las amenazas, de los análisis de
escenarios, de las buenas prácticas y esquemas normativos, que nos exigen
niveles de aseguramiento de procesos y tecnologı́as para elevar el nivel de confianza
en la creación, uso, almacenamiento, transmisión, recuperación y disposición final de
la información. [Jeimy J. Cano, Ph.D., CFE.]

Se logra implementando controles aplicables, seleccionados a través de un proceso de

gestión de riesgo, los cuales necesitan ser monitoreados, revisados y mejorados. Estos
controles incluyen polı́ticas, procesos, procedimientos y estructuras organizacionales.

Dra. Jenny Torres Conceptos de Seguridad . . . 20 / 28

Seguridad Informática vs. Seguridad de la Información

Dra. Jenny Torres Conceptos de Seguridad . . . 21 / 28

Actividad en Clase

Consultar en Internet el concepto de BYOD (Bring Your Own Device)

¿Qué aspectos positivos y negativos puede identificar de esta práctica?

Dra. Jenny Torres Conceptos de Seguridad . . . 22 / 28

¿Qué quieren los atacantes?

Escanear los documentos confidenciales en los sistemas.

Corromper la información de un ordenador o de un disco duro.

Usar un ordenador para instalar software pirateado.

Modificar el S.O. creando trampas y nuevos agujeros de seguridad o simplemente

causando accidentes en el sistema.

Usar aplicaciones de banca a domicilio o números de tarjetas de crédito para

transferir dinero a sus cuentas.

Instalar alguna forma de ?Malware? en el Servidor.

Dra. Jenny Torres Conceptos de Seguridad . . . 23 / 28

¿Cómo lo van a hacer?

Tipos de ataques
Activos
Implican algún tipo de modificación de los datos
Suplantación de identidad (spoofing)
Alteración de mensajes (modificación)
Degradación fraudulenta del servicio
Detectar mas que prevenir

Pasivos
No provocan alteración de los datos
Son difı́ciles de detectar
Prevenir mas que detectar
Internos
Externos
Distribuidos

Dra. Jenny Torres Conceptos de Seguridad . . . 24 / 28

¿De quién se debe proteger?

Hacker: Persona que disfruta aprendiendo los detalles de los sistemas de

información y como extender la capacidad de estos.
Black Hat: poseen conocimientos extraordinarios de computación y realizan
actividades maliciosas o destructivas. También conocidos como Crackers.

White Hat: con nivel de preparación similar a un Black Hat pero orientados
propósitos defensivos. Se los conoce también como Analistas de Seguridad.

Gray Hat: trabajan tanto para propósitos defensivos como ofensivos. Y también
son llamados Mercenarios.

Dra. Jenny Torres Conceptos de Seguridad . . . 25 / 28

¿De quién se debe proteger?

Cracker: Persona que utiliza sus conocimientos de hacking con fines ofensivos o
maliciosos.

Phreaker: Es el especialista en telefonı́a. Se le podrı́a llamar el ?cracker de los

teléfonos?. Sobre todo emplea sus conocimientos para poder utilizar las
telecomunicaciones gratuitamente.

Lammers: son aquellas personas que han obtenido determinados programas o

herramientas para realizar ataques informáticos.

Dra. Jenny Torres Conceptos de Seguridad . . . 26 / 28

Formas de Ataque

Sniffers
Spoofing
Spamming
Spyware
Snooping
Scanning
DoS (Denial of service)
Net-flood
Ping of dead
Ataques de fuerza bruta
Caballos de troya
Virus
Gusanos ...

Dra. Jenny Torres Conceptos de Seguridad . . . 27 / 28

Referencias

Material didáctico elaborado con la colaboración del Dr. Walter Fuertes y el MSc.
Denys Flores.

INEN (2012)
Descripción General y Vocabulario
Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27000:2012.
Stallings, W. (2011)
Network Security Essentials
4th edition, New York, US; ISBN:13: 978-1587052460: Prentice-Hall.

Dra. Jenny Torres Conceptos de Seguridad . . . 28 / 28