UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO

INGENIERIA DE SISTEMAS INTRODUCCION A LA SEGURIDAD DE LA INFORMACION

Mag. Ing. Robert E. Puican Gutirrez

Lambayeque Per

CONCEPTOS BSICOS DE LA SEGURIDAD DE LA INFORMACIN

O
Desde el surgimiento de la raza humana en el planeta, la informacin estuvo presente bajo diversas formas y tcnicas. El hombre buscaba representar sus hbitos, costumbres e intenciones en diversos medios que pudiesen ser utilizados por l y por otras personas, adems de la posibilidad de ser llevados de un lugar a otro. La informacin valiosa era registrada en objetos preciosos y sofisticados, pinturas magnficas, entre otros, que se almacenaban con mucho cuidado en locales de difcil acceso, a cuya forma y contenido slo tenan acceso quienes estuviesen autorizados o listos para interpretarla. En la actualidad la informacin es el objeto de mayor valor para las empresas. El progreso de la informtica y de las redes de comunicacin nos presenta un nuevo escenario, donde los objetos del mundo real estn representados por bits y bytes, que ocupan lugar en otra dimensin y poseen formas diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos casos, llegando a tener un valor superior.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

Que es seguridad informtica?

O La seguridad informtica o seguridad en computo

son los mecanismos tecnolgicos que protegen los sistemas de informacin y todo lo asociado con ellos (edificios, impresoras, cableado, etc.). O Entonces: O La seguridad informtica: Esta enfocado a sistemas de computo y redes de datos. O La seguridad de la informacin: Esta enfocado al tratamiento y uso de la informacin, involucrando sistemas de computo, redes de datos, personas y procesos.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

PROPSITO DE LA SEGURIDAD DE LA INFORMACIN

O La seguridad de la informacin tiene como

propsito proteger la informacin registrada, independientemente del lugar en que se localice:

O impresos en papel, en los discos duros de las

computadoras o incluso en la memoria de las personas que la conocen.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

O Un activo es todo aquel elemento que compone

el proceso de la comunicacin, partiendo desde la informacin, su emisor, el medio por el cual se transmite, hasta su receptor. O Los activos son elementos que la seguridad de la informacin busca proteger. Los activos poseen valor para las empresas y como consecuencia de ello, necesitan recibir una proteccin adecuada para que sus negocios no sean perjudicados.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

O Son tres elementos que conforman lo que

denominamos activos: O La informacin, O Los Equipos que la soportan y, O Las personas que los utilizan. O Podemos considerar la siguiente clasificacin: O A. Informacin O B. Equipos que la soportan: O b.1 Software O b.2 Hardware O b.3 Organizacin O C. Personas que los utilizan o usuarios:

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

O En este grupo estn los elementos que

contienen informacin registrada, en medio electrnico o fsico, dentro de los ms importantes tenemos:
O O O O O O O O

documentos informes libros manuales correspondencias patentes informacin de mercado cdigo de programacin

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

O O O O O

lneas de comando reportes financieros archivos de configuracin planillas de sueldos de empleados plan de negocios de una empresa, etc.

O POSIBLES VULNERABILIDADES O Robo de documentos, O prdida de archivos de configuracin, O entre otros.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

EQUIPOS QUE LO SOPORTAN : SOFTWARE

O Este grupo de activos contiene todos los

programas de computadora que se utilizan para la automatizacin de procesos, es decir, acceso, lectura, trnsito y almacenamiento de la informacin. Entre ellos citamos: O las aplicaciones comerciales O programas institucionales O sistemas operativos O Otros O La seguridad de la informacin busca evaluar la forma en que se crean las aplicaciones, cmo estn colocadas a disposicin y la forma como son utilizadas por los usuarios y por otros sistemas, para detectar y corregir problemas existentes en la comunicacin entre ellos.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

EQUIPOS QUE LO SOPORTAN : SOFTWARE

O Ejemplo: O Sistemas operativos (Unix, Windows,

Linux, etc.), programas de correo electrnico, bases de datos, aplicaciones especficas, sistemas de respaldo entre otros. O Posibles vulnerabilidades O Fallas publicadas de los sistemas operativos y las aplicaciones no reparadas pueden representar accesos indebidos a los equipos. Son entradas usadas por hackers y virus.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

EQUIPOS QUE LO SOPORTAN : HARDWARE

O Estos activos representan toda la

infraestructura tecnolgica que brinda soporte a la informacin durante su uso, trnsito y almacenamiento. O Los activos que pertenecen a este grupo son: O Cualquier equipo en el cual se almacene, procese o transmita la informacin de la empresa.
Mag. Ing Robert Puican Gutirrez Seguridad Informtica

EQUIPOS QUE LO SOPORTAN : HARDWARE

las computadoras los servidores los equipos porttiles los mainframes los medios de almacenamiento los equipos de conectividad, enrutadores, switchs y O cualquier otro elemento de una red de computadoras por donde transita la informacin. O Posibles vulnerabilidades O Fallas elctricas que daen los equipos, inundaciones en centros de cmputo, robo de equipos porttiles.
O O O O O O

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

EQUIPOS QUE LO SOPORTAN : ORGANIZACIN

O En este grupo se incluyen los

aspectos que componen la estructura fsica y organizativa de las empresas . O Se refiere a la organizacin lgica y fsica que tiene el personal dentro de la empresa en cuestin.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

EQUIPOS QUE LO SOPORTAN : ORGANIZACIN

O Como ejemplos de estructura organizativa , tenemos

entre otros: O la estructura departamental y funcional O el cuadro de asignacin de funcionarios O la distribucin de funciones y los flujos de informacin de la empresa O En lo que se refiere al ambiente fsico , se consideran entre otros: O salas y armarios donde estn localizados los documentos, O fototeca, sala de servidores de archivos. O Posibles vulnerabilidades O Ubicacin insegura de documentos, equipos o personas. O Estructura organizacional que no permita los cambios en materia de seguridad.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

USUARIOS
O E l grupo usuarios se refiere a los individuos que utilizan la

estructura tecnolgica y de comunicacin de la empresa y que manejan la informacin . O El enfoque de la seguridad en los usuarios, est orientado hacia la toma de conciencia de formacin del hbito de la seguridad para la toma de decisiones y accin por parte de todos los empleados de una empresa, desde su alta direccin hasta los usuarios finales de la informacin, incluyendo los grupos que mantienen en funcionamiento la estructura tecnolgica, como los tcnicos, operadores y administradores de ambientes tecnolgicos.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

USUARIOS
O Empleados del rea de contabilidad. O Directivos de la empresa. O Posibles vulnerabilidades O No usar contraseas complejas. O No bloquear la computadora. O Falta de cooperacin por parte de los usuarios en

materia de seguridad. O Descuido de parte de los usuarios en el manejo de la informacin. O Robo de informacin.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

PROTECCION DE LOS ACTIVOS

O a) Principios bsicos de la seguridad de la informacin O Proteger los activos significa mantenerlos seguros

contra amenazas que puedan afectar su funcionalidad : O Corrompindola, accedindola indebidamente, o incluso Eliminndola o hurtndola. O Por lo tanto, entendemos que la seguridad de la informacin tiene en vista proteger a estos activos de una empresa o individuo, con base en la preservacin de tres principios bsicos: O integridad O confidencialidad y, O disponibilidad de la informacin.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

Lograr adquirir, almacenar, procesar y transmitir informacin, preservando los servicios de: O Confidencialidad (que la informacin solo la conozcan quienes tienen derecho a ello) O Integridad (que la informacin no sea alterada sin autorizacin) O Disponibilidad (que los usuarios legtimos puedan usar la informacin cuando lo requieran)
O

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

PRINCIPIO DE LA INTEGRIDAD DE LA INFORMACIN

O O O

O O

Principio el cual nos permite garantizar que la informacin no ha sido alterada en su contenido, por tanto, es ntegra. Una informacin ntegra es una informacin que no ha sido alterada de forma indebida o no autorizada. Para que la informacin se pueda utilizar, deber estar ntegra. Cuando ocurre una alteracin no autorizada de la informacin en un documento, quiere decir que el documento ha perdido su integridad. La integridad de la informacin es fundamental para el xito de la comunicacin. El receptor deber tener la seguridad de que la informacin obtenida, leda u oda es exactamente la misma que fue colocada a su disposicin para una debida finalidad. Estar ntegra quiere decir estar en su estado original, sin haber sido alterada por quien no tenga autorizacin para ello. Si una informacin sufre alteraciones en su versin original, entonces la misma pierde su integridad, ocasionando errores y fraudes y perjudicando la comunicacin y la toma de decisiones.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

PRINCIPIO DE LA INTEGRIDAD DE LA INFORMACIN

O O O

La quiebra de integridad ocurre cuando la informacin se corrompe, falsifica o burla. Una informacin se podr alterar de varias formas, tanto su contenido como el ambiente que la soporta. Por lo tanto, la quiebra de la integridad de una informacin se podr considerar bajo dos aspectos: 1. Alteraciones del contenido de los documentos . donde se realizan inserciones, sustituciones o remociones de partes de su contenido; 2. Alteraciones en los elementos que soportan la informacin . donde se realizan alteraciones en la estructura fsica y lgica donde una informacin est almacenada. Ejemplo O Cuando se alteran las configuraciones de un sistema para tener acceso a informaciones restrictas, cuando se superan las barreras de seguridad de una red de computadoras. Todos son ejemplos de quiebra de la integridad que afectan a la seguridad. Por lo tanto, la prctica de la seguridad de la informacin tiene como objeto impedir que ocurran eventos de quiebra de integridad, causando daos a las personas y empresas.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

GARANTA DE LA INTEGRIDAD DE LA INFORMACIN

O Buscar la integridad es asegurarnos que slo las

personas autorizadas puedan hacer alteraciones en la forma y contenido de una informacin, as como en el ambiente en el cual la misma es almacenada y por el cual transita, es decir, en todos los activos. O Por lo tanto, para garantizar la integridad, es necesario que todos los elementos que componen la base de gestin de la informacin se mantengan en sus condiciones originales definidas por sus responsables y propietarios.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

PRINCIPIO DE LA CONFIDENCIALIDAD DE LA INFORMACIN

O

O O

El propsito es el asegurar que slo la persona correcta acceda a la informacin que queremos distribuir. La informacin que se intercambian entre individuos y empresas no siempre deber ser conocida por todo el mundo. Mucha de la informacin generada por las personas se destina a un grupo especfico de individuos, y muchas veces a una nica persona. Eso significa que estos datos debern ser conocidos slo por un grupo controlado de personas, definido por el responsable de la informacin. Por ese motivo, se dice que la informacin posee un grado de confidencialidad que se deber preservar para que personas sin autorizacin no la conozcan. Tener confidencialidad en la comunicacin, es la seguridad de que lo que se dijo a alguien o escribi en algn lugar ser escuchado o ledo slo por quien tenga ese derecho. Prdida de confidencialidad significa prdida de secreto. Si una informacin es confidencial, es secreta, se deber guardar con seguridad y no ser divulgada para personas no autorizadas.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

PRINCIPIO DE LA CONFIDENCIALIDAD DE LA INFORMACIN

Ejemplo O Pensemos en el caso de una tarjeta de crdito, el nmero de la tarjeta slo podr ser conocido por su dueo y por el vendedor de la tienda donde lo usa. O Si este nmero es descubierto por alguien malintencionado, como en los casos denunciados en los diarios de delitos en Internet, el dao de esa prdida de confidencialidad podr ser muy elevado, pues este nmero podr ser usado por alguien para hacer compras va Internet, trayendo prdidas financieras y un gran dolor de cabeza para el propietario de la tarjeta. O Lo mismo sucede en el caso de uso indebido de contraseas de acceso a sistemas de bancos, por ejemplo. Miles de dlares se roban diariamente por la accin de criminales virtuales que se dedican a invadir sistemas para quebrar la confidencialidad de las personas y empresas.
O

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

GARANTA DE LA CONFIDENCIALIDAD DE LA INFORMACIN

O

Garantizar la confidencialidad es uno de los factores determinantes para la seguridad y una de las tareas ms difciles de implementar, pues involucra a todos los elementos que forman parte de la comunicacin de la informacin, desde su emisor, el camino que ella recorre, hasta su receptor. Y tambin, cuanto ms valiosa es una informacin, mayor debe ser su grado de confidencialidad. Y cuanto mayor sea el grado de confidencialidad, mayor ser el nivel de seguridad necesario de la estructura tecnolgica y humana que participa de este proceso: del uso, acceso, trnsito y almacenamiento de las informaciones. Se deber considerar a la confidencialidad con base en el valor que la informacin tiene para la empresa o la persona y los impactos que podra causar su divulgacin indebida. Siendo as, debe ser accedida, leda y alterada slo por aquellos individuos que poseen permisos para tal. El acceso debe ser considerado con base en el grado de sigilo de las informaciones, pues no todas las informaciones sensibles de la empresa son confidenciales Pero para garantizar lo anterior, slo la confidencialidad de las informaciones no es suficiente, es importante que adems de ser confidenciales, las informaciones tambin deben estar ntegras. Por lo tanto, se debe mantener la integridad de una informacin, segn el principio bsico de la seguridad de la informacin.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

GRADO DE SIGILO
O Grado de sigilo: La informacin generada por las

personas tiene un fin especfico y se destina a un individuo o grupo. Por lo tanto, la informacin necesita una clasificacin en lo que se refiere a su confidencialidad. Es lo que denominamos grado de sigilo, que es una graduacin atribuida a cada tipo de informacin, con base en el grupo de usuarios que poseen permisos de acceso. O Dependiendo del tipo de informacin y del pblico para el cual se desea colocar a disposicin los grados de sigilo podrn ser: O Confidencial O Restricto O Sigiloso O Pblico

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

PRINCIPIO DE LA DISPONIBILIDAD DE LA INFORMACIN

O Una vez que nos aseguramos que la informacin

correcta llegue a los destinatarios o usuarios correctos, ahora lo que debemos garantizar es que llegue en el momento oportuno, y precisamente de esto trata el tercer principio de la seguridad de la informacin: la disponibilidad. O Para que una informacin se pueda utilizar, deber estar disponible. La disponibilidad es el tercer principio bsico de la seguridad de la informacin. O Se refiera a la disponibilidad de la informacin y de toda la estructura fsica y tecnolgica que permite el acceso, trnsito y almacenamiento. O La disponibilidad de la informacin permite que: O Se utilice cuando sea necesario O Que est al alcance de sus usuarios y destinatarios O Se pueda accederla en el momento en que necesitan utilizarla.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

PRINCIPIO DE LA DISPONIBILIDAD DE LA INFORMACIN

Este principio est asociado a la adecuada estructuracin de un ambiente tecnolgico y humano que permita la continuidad de los negocios de la empresa o de las personas, sin impactos negativos para la utilizacin de las informaciones. No basta estar disponible: la informacin deber estar accesible en forma segura para que se pueda usar en el momento en que se solicita y que se garantice su integridad y confidencialidad. O Ejemplos O Durante una reunin de altos ejecutivos de su empresa, los servicios de base de datos de la compaa fallan y esto impide que se pueda tomar una decisin clave en materia de negocios. Tras un incendio en una de sus oficinas, se destruye la informacin de ventas de la compaa y no se contaba con un respaldo de la misma.
O

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

GARANTA DE LA DISPONIBILIDAD DE LA INFORMACIN

O O

Para que se pueda garantizar la disponibilidad de la informacin, es necesario conocer cules son sus usuarios, con base en el principio de la confidencialidad, para que se puedan organizar y definir las formas de colocacin en disponibilidad, garantizando, conforme el caso, su acceso y uso cuando sea necesario. La disponibilidad de la informacin se deber considerar con base en el valor que tiene la informacin y en el impacto resultante de su falta de disponibilidad. Para garantizar la disponibilidad, se toman en cuenta muchas medidas. Entre ellas destacamos: La configuracin segura de un ambiente, donde todos los elementos que forman parte de la cadena de la comunicacin estn dispuestos en forma adecuada para asegurar el xito de la lectura, trnsito y almacenamiento de la informacin. Tambin se realizan las copias de respaldo . backup . Hacer el respaldo de informacin permite que las mismas estn duplicadas en otro local para ser utilizadas en caso de no ser posible recuperarlas de su base original. Para aumentar an ms la disponibilidad de la informacin debern: O Definirse estrategias para situaciones de contingencia. O Establecerse rutas alternativas para el trnsito de la informacin, para garantizar su acceso y la continuidad de los negocios incluso cuando algunos de los recursos tecnolgicos, o humanos, no estn en perfectas condiciones de operacin.

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

EL NO REPUDIO Y LA AUTENTIFICACION
O Junto con los aspecto u objetivos de la

seguridad informtica, se suelen estudiar conjuntamente: O La autenticacin O El no repudio

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

O Permite identificar

al emisor de un mensaje, al creador de un documento o al equipo que se conecta a una red o a un servicio. O Formas de autenticarse:

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica

O Garantiza la participacin de las partes en una

comunicacin. En toda comunicacin, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio: O No repudio en origen: garantiza que la persona que enva el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendr pruebas del envo. O No repudio en destino: el receptor no puede negar que recibi el mensaje ,porque el emisor tiene pruebas de la recepcin del mismo.
O

Si la autenticacin prueba quin es el autor o propietario de un documento y cul es su destinatario, el no repudio prueba que el autor envi la comunicacin (no repudio en origen) y que el destinatario la recibi (no repudio en destino).

Mag. Ing Robert Puican Gutirrez

Seguridad Informtica