SEGURIDAD

INFORMTICA
Ing. Rudy Chvez Cunyas
QU TRABAJAREMOS
EN LA CLASE DE HOY?
DESCRIPCIN DEL SILABO

EVALUACIN DIAGNSTICA

CONCEPTOS BSICOS DE
SEGURIDAD INFORMTICA

ACTIVOS DE UNA
ORGANIZACIN


DESCRIPCIN DEL SILABO
INTRODUCCIN
INFORMACIN GENERAL
1.MODULO
2.UNIDAD DIDCTICA Seguridad Informtica
3.DOCENTE Ing. Rudy Chvez Cunyas
4.SEMESTRE Segundo
5.HORAS DE CLASE SEMANALES 04 horas
6.CRDITOS 3 Crditos
7.FECHA DE INICIO 07-Julio-2014
8.FECHA DE FINALIZACIN
9.PERIODO ACADMICO 2014 II
10.SUB DIRECTORA ACADMICA Lic. Alejandrina Luca Aliaga Torres
11.COORDINADORA Lic. Giuliana Dvila Yupanqui
12.DIRECTORA Lic. Narda Ybez Flores
SUMILLA
La Unidad Didctica
Seguridad Informtica est
orientada a la formacin
Tcnico profesional, es de
naturaleza terico-prctico la
cual est orientada a
elaborar el plan de gestin
de riegos de seguridad
informtica aplicando
diversas metodologas y
tcnicas que garanticen la
seguridad en una empresa.

CONTENIDOS DE LA UNIDAD DIDCTICA
N 01:Conceptos bsicos de seguridad
informtica
N 02: Seguridad Personal y de un archivo
N 03: Normas de seguridad informtica
N 04: Malware
N 05: Seguridad en la red local.
N 06: Administracin de un firewall
CONTENIDOS DE LA UNIDAD DIDCTICA
N 07: Administracin de un proxy para la
web
N 08: Seguridad inalmbrica
N 09: Introduccin a la programacin
N 10: Control de acceso
N 11: Uso seguro de la web
N 12: Comunicacin segura a travs de la
web
EVALUACIN
La Escala de calificacin es vigesimal, y el calificativo mnimo aprobatorio
es trece (13). En todos los casos la fraccin 0,5 o ms se considera como
una unidad a favor del estudiante.

El estudiante que en la evaluacin de la Capacidad Terminal programada
de la Unidad Didctica obtenga nota desaprobatoria entre diez (10) y doce
(12), tiene derecho a participar en el proceso de recuperacin programado
por el docente.

El estudiante que despus de realizado el proceso de recuperacin
obtuviera nota menor a trece (13), en la capacidad terminal de la Unidad
Didctica desaprueba la misma, por tanto repite la Unidad Didctica.

El estudiante que acumulara inasistencias injustificadas en nmero mayor
al 30% del total de horas programadas en la Unidad Didctica, ser
desaprobado en forma automtica, sin derecho a recuperacin
EVALUACIN
DIAGNSTICA
INTRODUCCIN
INTRODUCCIN A LA
SEGURIDAD INFORMTICA
SEGURIDAD INFORMTICA
SEGURIDAD INFORMTICA
INTRODUCCIN
Para que lo sepan: La privacidad en la Internet no
existe
Scott McNealy
INTRODUCCIN
El nico sistema seguro es aquel que est apagado
y desconectado, enterrado en un refugio de
concreto, rodeado por gas venenoso y custodiado
por guardianes bien pagados y muy bien armados.
Aun as, yo no apostara mi vida por el
Gene Spafford
MITOS DE SEGURIDAD
El Sistema puede llegar al 100%
de seguridad.

Mi red no es lo suficientemente
atractiva para ser tomada en
cuenta.

Nadie pensar que mi clave de
acceso es sencilla.

Si mi servidor de correos tiene
antivirus, mi estacin no lo
necesita.


ALGUNOS ARTCULOS
CONCEPTOS BSICOS
SEGURIDAD INFORMTICA
DATO
Que dice la wiki

El dato es una
representacin si
mblica
(numrica,
alfabtica,
algortmica, etc)
INFORMACIN
Que dice la wiki

La informacin es un
conjunto organizado
de datos procesados, que
constituyen
un mensaje que cambia el
estado de conocimiento
del sujeto o sistema que
recibe dicho mensaje.
DATO E INFORMACIN
DATOS
INFORMACIN INFORMACIN
Un dato por s mismo no constituye
informacin, es el procesamiento de los
datos lo que nos proporciona
informacin.
QU PERMITE LA INFORMACIN?
Permite tomar decisiones o
bien concluir sobre una
accin a seguir.

Como cualquier otro activo
del negocio, tiene valor.

VALOR DE LA INFORMACIN
El principal bien de las empresas
es la informacin la cual hay que
proteger en la medida que su
prdida afecte a la empresa u
organizacin.

El camino que recorre la
informacin tambin debe ser
protegido y el medio de transporte
lgico debe ser seguro.
INFORMACIN
Aplicaciones
y base de
datos
Computacin
mvil
Redes
de
datos
Internet
Documentos
Usuarios
QU ES SEGURIDAD DE LA INFORMACIN?
Es el conjunto de
metodologas, prcticas
y procedimientos que
buscan proteger la
informacin como
activo valioso contra
diferentes amenazas a
las que est expuesta y
asegurar la continuidad
del negocio.
SEGURIDAD DE LA INFORMACIN
Seguridad de la informacin
debe ser elemento integral
de la empresa.
Fases del Proceso:
* Identificacin de riesgos.
* Plan de Seguridad.
* Infraestructura.
* Mantenimiento y Costo.
SEGURIDAD INFORMTICA
Su objetivo es proteger
los recursos
informticos valiosos de
la organizacin:
Informacin, HW y SW.

Medio de apoyo a la
consecucin de los
objetivos de la
organizacin.
SEGURIDAD DE LA INFORMACIN
ISO/IEC 27002 caracteriza a la seguridad de la
informacin como la preservacin de:

Integridad Garantizar la exactitud de la
informacin y que siempre sea completa.
Disponibilidad asegurar que los usuarios
autorizados tienen acceso a la informacin en el
momento que la requieran.
Confidencialidad asegurar que la informacin es
accesible solo a aquellas personas autorizadas.
SEGURIDAD DE LA INFORMACIN
Cada organizacin deber establecer el valor que tienen las
caractersticas de seguridad para cada uno de sus activos o
bienes de informacin
SEGURIDAD INFORMTICA
SISTEMA DE INFORMACIN
Un sistema de
informacin es un
conjunto de elementos
organizados
relacionados y
coordinados entre si,
encargados de facilitar
el funcionamiento
global de una empresa
o de cualquier otra
actividad humana para
conseguir sus objetivos.
SISTEMA INFORMTICO
Un sistema informtico est constituido por un conjunto de
elementos fsicos (hardware, dispositivos, perifricos y
conexiones), lgicos (sistemas operativos, aplicaciones,
protocolos...) y con frecuencia se incluyen tambin los
elementos humanos (personal experto que maneja el software
y el hardware).
SEGURIDAD INFORMTICA
Es la disciplina que se
ocupa de disear las
normas,
procedimientos,
mtodos y tcnicas
destinadas a
conseguir un sistema
de informacin seguro
y confiable.
Lo que no est
permitido debe
estar
prohibido
SEGURIDAD INFORMTICA
TIPOS DE SEGURIDAD
ACTIVA
Comprende el conjunto de defensas o medidas cuyo
objetivo es evitar o reducir los riesgos que amenazan al
sistema.
Ejemplos: impedir el acceso a la informacin a usuarios no
autorizados mediante introduccin de nombres de usuario
y contraseas; evitar la entrada de virus instalando un
antivirus; impedir, mediante encriptacin, la lectura no
autorizada de mensajes.

PASIVA
Esta formada por las medidas que se implantan para, una
vez producido el incidente de seguridad, minimizar su
repercusin y facilitar la recuperacin del sistema; por
ejemplo, teniendo siempre copias de seguridad.
UN SISTEMA SEGURO
Los daos producidos por falta de seguridad
pueden causar prdidas econmicas o de
credibilidad y prestigio a una organizacin.
Su origen puede ser:

FORTUITO: Errores cometidos
accidentalmente por los usuarios,
accidentes, cortes de fluido elctrico,
averas del sistema, catstrofes naturales...
FRAUDULENTO: Daos causados por
software malicioso, intrusos o por la mala
voluntad de algn miembro del personal con
acceso al sistema, robo o accidentes
provocados.
CONFIDENCIALIDAD
DISPONIBILIDAD
INTEGRIDAD
UN SISTEMA SEGURO
MAGERIT
Es una metodologa
de anlisis de
gestin de riesgos
de los sistemas de
informacin. En
ingls Methodology
for information
Systems Risk
Analysis and
Management.
CLASIFICACIN DE LOS ACTIVOS DE
UNA ORGANIZACIN
SEGURIDAD INFORMTICA
ACTIVOS DE UNA ORGANIZACIN
Son los recursos que pertenecen
al propio sistema de informacin
o que estn relacionados con
este.
La presencia de los activos
facilita el funcionamiento de la
empresa u organizacin y la
consecucin de sus objetivos.
Al hacer un estudio de los activos
existentes hay que tener en
cuenta la relacin que guardan
entre ellos y la influencia que se
ejercen: cmo afectara en uno de
ellos un dao ocurrido a otro.
CLASIFICACIN DE LOS ACTIVOS
DATOS: Constituyen el ncleo de toda la organizacin,
hasta tal punto que se tiende a considerar que el resto
de los activos estn al servicio de la proteccin de los
datos.
CLASIFICACIN DE LOS ACTIVOS
SOFTWARE: Constituido por los sistemas operativos y el
conjunto de aplicaciones instaladas en los equipos de un
sistema de informacin que reciben y gestionan o transforman
los datos para darles el fin que se tenga establecido.
CLASIFICACIN DE LOS ACTIVOS
HARDWARE: Se trata de los
equipos (servidores y
terminales) que contienen las
aplicaciones y permiten su
funcionamiento, a la vez que
almacenan los datos del
sistema de informacin.
Incluimos en este grupo los
perifricos y elementos
accesorios que sirven para
asegurar el correcto
funcionamiento de los
equipos o servir de va de
transmisin de los datos
(mdem, router, instalacin
elctrica)
CLASIFICACIN DE LOS ACTIVOS
REDES: Desde las redes locales de la propia organizacin hasta
la metropolitanas o internet. Representan la va de
comunicacin de datos a distancia.
CLASIFICACIN DE LOS ACTIVOS
SOPORTES: Los lugares donde la informacin queda registrada
y almacenada durante largos perodos o de forma permanente
(DVD, CD, tarjetas de memoria, discos duros externos
dedicados al almacenamiento, incluso papel).
CLASIFICACIN DE LOS ACTIVOS
PERSONAL: El conjunto de personas que interactan con el
sistema de informacin: administradores, programadores,
usuarios internos y externos y resto de personal de la empresa.
Los estudios calculan que se producen ms fallo de seguridad
por intervencin del factor humano que por fallos de la
tecnologa.
CLASIFICACIN DE LOS ACTIVOS
SERVICIOS: Que se ofrecen a clientes o usuarios: productos,
servicios, sitios web, foros, correo electrnico y otros servicios
de comunicaciones, informacin, seguridad, etc.
AMENAZAS
En un sistema de informacin se entiende por amenaza la
presencia de uno o ms factores de diversa ndole
(personas, mquinas o sucesos) que de tener la oportunidad
atacaran al sistema producindole daos aprovechndose
de su nivel de vulnerabilidad.
AMENAZAS
En funcin del tipo de alteracin, dao o intervencin que podran
producir sobre la informacin, las amenazas se clasifican en cuatro
grupos:

De interrupcin: El objetivo de la amenaza es deshabilitar el
acceso a la informacin; por ejemplo: destruyendo componentes
fsicos como el disco duro, bloqueando el acceso de los datos, o
contando o saturando los canales de comunicacin.
AMENAZAS
En funcin del tipo de alteracin, dao o intervencin que podran
producir sobre la informacin, las amenazas se clasifican en cuatro
grupos:

De interceptacin: Personas, programas o equipos no
autorizados podran acceder a un determinado recurso del
sistema y captar informacin confidencial de la organizacin,
como pueden ser datos, programas o identidad de personas.
AMENAZAS
En funcin del tipo de alteracin, dao o intervencin que
podran producir sobre la informacin, las amenazas se
clasifican en cuatro grupos:

De modificacin: Persona, programas o equipos no
autorizados no solamente accederan a los programas y datos
de un sistema de informacin sino que adems los modifican.
AMENAZAS
En funcin del tipo de alteracin, dao o intervencin que
podran producir sobre la informacin, las amenazas se
clasifican en cuatro grupos:

De fabricacin: Agregaran informacin falsa en el conjunto
de informacin del sistema.

RIESGO
Se denomina riesgo a la posibilidad de que se
materialice o no una amenaza aprovechando una
vulnerabilidad.

Ante un determinado riesgo, una organizacin
pueden optar por tres alternativas distintas:

Asumirlo sin hacer nada. Esto solamente
resulta lgico cuando el perjuicio esperado no
tiene valor alguno o cuando el costo de
aplicacin de medidas superara al de la
reparacin del dao.
Aplicar medidas para disminuirlo o anularlo.
Transferirlo (por ejemplo, contratando un
seguro)
VULNERABILIDADES
Probabilidades que existen de que
una amenaza se materialice contra un
activo. No todos los activos son
vulnerables a las mismas amenazas.

Por ejemplo, los datos son
vulnerables a la accin de los
hackers, mientras que una instalacin
elctrica es vulnerable a un
cortocircuito.

Al hacer el anlisis de riesgos hay que
tener en cuenta la vulnerabilidad de
cada activo.
ATAQUES
Se dice que se ha producido un ataque accidental o
deliberado contra el sistema cuando se ha
materializado una amenaza.

En funcin del impacto causado a los activos
atacados, los atacados se clasifican en:

Activos: Si modifican, daan, suprimen o agregan
informacin, o bien bloquean o saturan los
canales de comunicacin.
Pasivos: Solamente acceden sin autorizacin a
los datos contenidos en el sistema. son los ms
difciles de detectar.

Un ataque puede ser directo o indirecto, si se
produce desde el atacante al elemento "victima"
directamente, o a travs de recursos o personas
intermediarias.
IMPACTOS
Son la consecuencia de la
materializacin de una o ms
amenazas sobre uno o varios activos
aprovechando la vulnerabilidad del
sistema o, dicho de otra manera, el
dao causado.
Los impactos pueden ser
cuantitativos, si los perjuicios pueden
cuantificarse econmicamente, o
cualitativos, si suponen daos no
cuantificables, como los causados
contra los derechos fundamentales
de la personas.
PROCESO DE ANLISIS DE RIESGOS
Para implementar una poltica de seguridad de informacin es
necesario seguir un esquema lgico:

Hacer un inventario y valoracin de los activos.
Identificar y valorar las amenazas que puedan afectar a la
seguridad de los activos.
Identificar y valorar las medidas de seguridad existentes.
Identificar y valorar las vulnerabilidades de los activos a las
amenazas que les afectan.
Identificar los objetivos de seguridad de la organizacin.
Determinar sistemas de medicin de riesgos,
Determinar el impacto que producira un ataque.
Identificar y seleccionar las medidas de proteccin.
MECANISMOS DE SEGURIDAD
Segn la funcin que desempean los
mecanismos de seguridad pueden
clasificarse en:
Preventivos: Actan antes de que se
produzca un ataque. Su misin es
evitarlo.
Detectores: Actan cuando el ataque
se ha producido y antes que cause
daos en el sistema.
Correctores: Actan despus de que
haya habido un ataque y se hayan
producido daos. Su misin es la de
corregir las consecuencias del dao.

SEGURIDAD LGICA
Los mecanismos y herramientas de seguridad lgica tiene
como objetivo proteger digitalmente la informacin de manera
directa.

Control de acceso: Mediante nombres de usuario y
contraseas.

Cifrado de datos (encriptacin): Los datos se enmascaran
con una clave especial creada mediante un algoritmo de
encriptacin. Emisor y receptor son conocedores de la clave
y a la llegada del mensaje se produce el descifrado.

Antivirus: Detectan e impiden la entrada de virus y otro
software malicioso.
SEGURIDAD LGICA
Los mecanismos y herramientas de seguridad lgica tiene
como objetivo proteger digitalmente la informacin de manera
directa.

Cortafuegos (Firewall): Se trata de uno o ms dispositivos de
software, de hardware o mixtos que permiten, deniegan o
restringen el acceso al sistema. Protege la integridad de la
informacin.
Firma digital. Se utiliza para la transmisin de mensajes
telemticos y en la gestin de documentos electrnicos (por
ejemplo, gestiones en oficinas virtuales)
Certificados digitales. Son documentos digitales mediante
los cuales una entidad autorizad garantiza que una persona
o entidad es quin dice ser.
Las redes inalmbricas (WIFI) necesitan precauciones adicionales
para su proteccin:

Usar un SSID (Service Set Identifier): Es decir darle un nombre a
la red, preferiblemente uno que no llame la atencin de terceros
que detecten esta red entre las disponibles. Cambiar con cierta
frecuencia el SSID.
Proteccin de la red mediante claves encriptadas WEP, WPA: La
clave WEP consume ms recursos y es ms fcilmente
descifrable que la WPA y debera cambiarse con frecuencia.
Filtrado de direcciones MAC (Media Access Control): Es un
mecanismo de acceso al sistema mediante hardware, por el que
se admiten solo determinadas direcciones, teniendo en cuenta
que cada tarjeta de red tiene una direccin MAC nica en el
mundo.
SEGURIDAD LGICA
SEGURIDAD FSICA
Son tareas o mecanismos fsicos cuyo objetivo es proteger
al sistema (y, por tanto indirectamente a la informacin) de
peligros fsicos y lgicos.

Respaldo de datos: Guardar copias de seguridad de la
informacin del sistema en lugares seguros.
Disponibilidad.
Dispositivos fsicos de proteccin: como pararrayos,
detectores de humo y extintores, cortafuegos por
hardware, alarmas contra intrusos, sistemas de
alimentacin ininterrumpida (para picos y cortes de
corrientes elctrica). En cuanto a las personas, acceso
restringido a las instalaciones; por ejemplo, mediante
vigilantes.


Las contraseas son como la ropa interior. No puedes
dejar que nadie la vea, debes cambiarla regularmente y
no debes compartirla con extraos
Chris Pirillo


Las organizaciones gastan millones de dlares en
firewalls y dispositivos de seguridad, pero tiran el dinero
porque ninguna de estas medidas cubre el eslabn ms
dbil de la cadena de seguridad: la gente que usa y
administra los ordenadores
Kevin Mitnick
TRABAJO GRUPAL
SEGURIDAD INFORMTICA
TAREA GRUPAL - EXPOSICIN
El trabajo se presentar en diapositivas, las cuales deben
contener los siguiente:

1. INTRODUCCIN
2. HISTORIA DE LA EMPRESA A TRATAR
3. BIOGRAFA DEL PERSONAJE
4. DESCRIPCIN DEL CASO
5. PROBLEMAS GENERALES
6. PROBLEMAS ESPECFICOS
7. IMPLICANCIAS
8. CONCLUSIONES
9. RECOMENDACIONES
TAREA GRUPAL - EXPOSICIN
1. ENRON
2. WORLDCOM
3. PARMALAT
4. LABORATORIO MERK
5. BERNARD MADOFF
6. JEROME KERVIEL
7. YASUO HAMANAKA
8. NICK LEESON
9. JOHN RUSNAK
10. PETER YOUNG
11. CROMWELL GLVEZ

Los temas de exposicin son los siguientes:
UNA
DESCRIPCIN
DEL SILABO
CONCEPTOS
BSICOS DE
SEGURIDAD
INFORMTICO
ACTIVOS DE
UNA
ORGANIZACIN
QU APRENDIMOS HOY?
Ing. Rudy Chvez Cunyas

rchavez@continental.edu.pe