lunes, 9 de septiembre de 2013


 
APLICACIÓN DE LA SEGURIDAD DE INFORMÁTICA

UNIDAD 1. APLICACIÓN DE ESTÁNDARES DE PROTECCIÓN DE LA INFORMACIÓN.

1.1. DETERMINA LOS RIESGOS DE SEGURIDAD INFORMÁTICA CON BASE EN LAS CARACTERÍSTICAS DEL EQUIPO Y LAS NECESIDADES DEL USUARIO.

A)Análisis de elementos de la Seguridad Informática.

Concepto de Seguridad



El término seguridad proviene de la palabra securitas del latín. Cotidianamente se puede referir a la seguridad como la ausencia de riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia.
 
Concepto de Información


 
En sentido general, la información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Desde el punto de vista de la ciencia de la computación, la información es un conocimiento explícito extraído por seres vivos o sistemas expertos como resultado de interacción con el entorno o percepciones sensibles del mismo entorno. En principio la información, a diferencia de los datos o las percepciones sensibles, tienen estructura útil que modificará las sucesivas interacciones del ente que posee dicha información con su entorno.
 
Concepto de Informática


 
Informática es una ciencia que estudia métodos, procesos, técnicas, con el fin de almacenar, procesar y transmitir información y datos en formato digital. La informática se ha desarrollado rápidamente a partir de la segunda mitad del siglo XX, con la aparición de tecnologías tales como el circuito integrado, Internet y el teléfono móvil.
 

Concepto de Seguridad Informática

 
La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, en información privilegiada.
 
-Confidencialidad
 
Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. A groso modo, la confidencialidad es el acceso a la información únicamente por personas que cuenten con la debida autorización.
La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
 
-Integridad
 
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.
La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información.
 
-Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente.
Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio.
La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.
 
 
B)Casificación de los principales riesgos de la Seguridad Informática.
 
Concepto de Riesgo
Un riesgo es un problema potencial que puede ocurrir en un procesador segmentado. Típicamente los riesgos se clasifican en tres tipos: riesgos de datos, riesgos de salto o de control y riesgos estructurales.
 
Tipos de Riesgo



Riesgos de datos

Los riesgos de datos ocurren cuando éstos son modificados. El ignorar riesgos de datos potenciales puede resultar en condiciones de carrera (a veces llamadas riesgos de carrera). Hay tres situaciones en las que puede aparecer un riesgo de datos:
  1. Read after Write (RAW) o dependencia verdadera: Un operando es modificado para ser leído posteriormente. Si la primera instrucción no ha terminado de escribir el operando, la segunda estará utilizando datos incorrectos.
  2. Write after Read (WAR) o anti-dependencia: Leer un operando y escribir en él en poco tiempo. Si la escritura finaliza antes que la lectura, la instrucción de lectura utilizará el nuevo valor y no el antiguo.
  3. Write after Write (WAW) o dependencia de salida: Dos instrucciones que escriben en un mismo operando. La primera en ser emitida puede que finalice en segundo lugar, de modo que el operando final no tenga el valor adecuado.
Los operandos envueltos en riesgos de datos pueden residir en memoria o en registros.

Riesgos estructurales

Un riesgo estructural sucede cuando parte del hardware del procesador es necesario para ejecutar dos o más instrucciones a la vez. Puede ocurrir, por ejemplo, si un programa intenta ejecutar una instrucción de salto seguida de una operación matemática. Puesto que son ejecutadas de forma paralela y los saltos son típicamente lentos (requieren realizar una comparación, operar matemáticamente sobre el contador de programa y escribir en registros), es bastante posible (dependiendo de la arquitectura) que la instrucción de computación y la de salto requieran la ALU (unidad aritmético lógica) al mismo tiempo.

Riesgos de salto o de control

Los riesgos de salto o de control ocurren cuando el procesador se ve obligado a saltar a una instrucción que no tiene por qué ser necesariamente la inmediatamente siguiente en el código. En ese caso, el procesador no puede saber por adelantado si debería ejecutar la siguiente instrucción u otra situada más lejos en el código.
Esto puede resultar en acciones no deseadas por parte de la CPU.
 
Matriz de Riesgo



Constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos que pudieran impactar los resultados y por ende al logro de los objetivos de una organización.
 
Concepto de Vulnerabilidad
 
Son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar información, de los agujeros más famosos está el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rápidamente.
 
Riesgos Lógicos
 
Son aquellos daños que el equipo puede sufrir en su estado lógico, perjudicando directamente a su software.
 
-Códigos Maliciosos



 En seguridad informática, código malicioso es un término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Esta definición incluye tanto programas malignos compilados, como macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts).

Los códigos maliciosos pueden tener múltiples objetivos como:
* Extenderse por la computadora, otras computadoras en una red o por internet.
* Robar información y claves.
* Eliminar archivos e incluso formatear el disco duro.
* Mostrar publicidad invasiva.
-Spam


 Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o despamming.remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina
El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Lotus Notes,Windows live ,etc.
 
-Piratería


La piratería informática consiste en la distribución y/o reproducción ilegales de software. Comprar software significa en realidad comprar una licencia para usar el software, y esta licencia especifica la forma legal de usar dicho software. Cualquier uso que se haga del software más allá de lo estipulado en la licencia constituye una violación de ésta y posiblemente, de las leyes que amparan los derechos de propiedad intelectual. La piratería informática es ilegal y sancionable según la ley, tanto si es deliberada como si no.

 
 
-Fuga de Información

 
Salida no controlada de información que hace que esta llegue a personas no autorizadas o sobre la que su responsable pierde el control. Ocurre cuando un sistema de información o proceso diseñado para restringir el acceso sólo a sujetos autorizados revela parte de la información que procesa o transmite debido a errores en los procedimientos de diseño o trabajo.
 
-Ingeniería Social


 ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
 
-Intrusos Informáticos


 
 Los intrusos informáticos, son archivos cuyo propósito es invadir la privacidad de tu computadora, posiblemente dejando daños y alterando el software del equipo.
Ejemplos de intrusos informáticos son: Hackers,Crackers (“blackhats”),sniffers, Phreakers, etcétera.
 


Riesgos Físicos






 
Las principales amenazas que se prevén en la seguridad física son:
 
  1. . Desastres naturales, incendios accidentales tormentas e inundaciones.
  2. Amenazas ocasionadas por el hombre.
  3. Disturbios, sabotajes internos y externos deliberados.

Tener controlado el ambiente y acceso físico permite:
  • disminuir siniestros
  • trabajar mejor manteniendo la sensación de seguridad
  • descartar falsas hipótesis si se produjeran incidentes
  • tener los medios para luchar contra accidentes
C) Recopilación De Información De La Organización
 

 
Objetivos Corporativos

Permiten especificar los propositos de la organizacion e identificar los aspectos que necesariamente se deben controlar y tomar en cuenta para que se pueda lograr, las metas, con el fín de colaborar el cumplimiento de la misión de la institución.
 
Organigramas

Un organigrama es la representación gráfica de la estructura de una empresa o cualquier otra organización. Representa las estructuras departamentales y, en algunos casos, las personas que las dirigen, esquematiza las relaciones jerárquicas y competenciales de vigor en la organización.
El organigrama es un modelo abstracto y sistemático que permite obtener una idea uniforme y sintética de la estructura formal de una organización.
 


Manuales De Proceso
 
Contiene una descripción precisa de como deben desarrollarse las actividades de cada empresa. Ha de ser un documento interno, del que se debe registrar y controlar las copias que de los mismos se realizan. Complementando al manual de procesamientos, están las instrucciones de trabajo que completan o detallan los procesamientos, ya que se utilizan para documentar procesos específicos
 
 


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)