Embed Size (px)
Citation preview
Ciframiento Blindaje y Auditoría
Cifrado
Cifrado
Es la información que se lee mediante un algoritmo llamado “cifra” de manera ilegible llamada “criptograma o secreto”.
Comúnmente se le llama “encriptación” aunque en realidad esta palabra no existe. Se importó del ingles “encrypt” que en español es “cifrar”.
Esta palabra así mismo provino del griego «krypto» que significa ocultar o escondido» y «graphos» que significa escribir.
Esta información puede estar almacenada o viajar por una red insegura evitando ser descifrada tan fácilmente.
Existen diferentes tipos de cifrado históricos.
Cifrados en la historia:
Escítala: Envolviendo una vara con una tira de papel con un mensaje longitudinalmente una letra envuelta en cada tira.
Cifrado del Cesar: Formado por un algoritmo de sustitución, asignando a cada letra un valor haciendo modificaciones sobre el texto legible.
Esteganografía: Consistía en no solo cifrar un texto si no además en esconderlo.
Enigma: La máquina usada en las dos guerra mundiales por los alemanes para codificar mensajes sensibles. Usaba algoritmos de sustitución y transposición.
Seguridad del cifrado de datos
La seguridad de un sistema de cifrado depende mucho de la clave y no debe depender del algoritmo de cifrado que se use. Por ejemplo el algoritmo de cifrado es a menudo público y es
conocido por posibles atacantes, pero si el algoritmo es bueno, esto no sería suficiente para descifrar el mensaje.
La capacidad de los computadores en la actualidad crecen constantemente, haciendo que cada vez sean capaces de probar mas claves por segundo de forma que puedan encontrar claves probando una tras otra una y otra vez.
La mayoría de aplicaciones en internet que manejan información sensible, ofrecen seguridad basada en algoritmos de cifrado avanzados a través de una conexión segura.
Servicios ofrecidos
Los beneficios del ciframiento son en realidad muchos, aunque los principales son: Confidencialidad: Aseguran que la información no pueda ser
interpretada por el emisor o receptor de la información.
Autentificación: Es el conjunto de mecanismos que permiten comprobar que se autentifique la identidad del interlocutor junto a su origen, su integridad, identidad, etc.
Integridad: Asegura que el texto recibido no haya sufrido ningun tipo de alteración por un tercero.
No rechazo: Permite que el emisor de la información, no pueda negar que es el locutor.
Tipos de cifrado
Dentro de la criptografía tenemos varios tipos dentro de las cuales resaltan:
Criptografía Simétrica:
La clave del cifrado y descifrado es la misma y conocida por el emisor y receptor ofreciendo solo la confidencialidad.
Usa algoritmos muy rápidos.
Las claves tienen que cambiar con regularidad y enviarse a los interlocutores de forma segura.
Criptografía Asimétrica:
Está basada en dos claves, una pública y otra privada.
La clave privada la conoce solo el usuario y la pública la conoce cualquiera.
Para cifrar la clave privada se necesita de la clave pública.
Sus algoritmos de cifrado y descifrado son muy lentos.
Tipos de cifrado
Criptografía Híbrida: Pueden usar los tipos de criptografía simétrica y asimétrica
aprovechando las ventajas de cada una.
Se recomienda usar la criptografía simétrica por la rapidez para intercambio de información.
Para autentificar se puede usar la criptografía asimétrica.
Algoritmos de Cifrado
Son los medio que se usan para la trasformación del texto original en un texto cifrado.
Un claro ejemplo es el algoritmo del Cesar en el cual se sustituyen unos caracteres por otros mientras que la clave es el número de letras que desplazamos.
Existen dos tipos de algoritmos: De Bloque: El documento se encripta por bloques de igual tamaño.
De Flujo: Se encripta según se va creando el documento.
Aplicaciones del cifrado
SSL (Secure Socket Layer): Proporciona comunicaciones seguras en internet con servicios de privacidad y autentificación.
Firma Digital: Permite asociar la identidad de una persona o máquina a un documento como autor del mismo.
VPN (Virtual Private Network): Del español «Red Privada Virtual», es una red de características LAN pero extendida a una red pública como el internet, tiene el control y la seguridad de una red LAN.
Cifrado de Archivos: Permite almacenar la información confidencial de una organización y en caso sea sustraída no serviría de nada.
Cifrado de Disco Duro: Permite que cuando se guarde un archivo, este se cifre por defecto de manera que todo contenido en el hardware esté cifrado.
Mal uso del Cifrado
Tener un fichero o información cifrada no asegura su integridad o fiabilidad, por lo que incluso con los mejores algoritmos pueden ocurrir los siguientes problemas: Tener un fichero cifrado en el disco duro y que este se estropee
perdiendo la información.
Olvidar la clave, perderla por deslealtad o por infiltración.
Guardar la clave en el mismo sitio del fichero cifrado, haciendo que el no invitado pueda acceder a la clave a descifrar.
La información cifrada no sea valida.
Otros problemas derivados a la mala gestión de la información cifrada.
Blindaje
Blindaje
Se utiliza para la información más confidencial como: Un Antivirus.
Un Cortafuegos o Firewall.
Un anti-spyware.
Un programa para eliminar huellas en internet.
Un programa de encriptación segura.
Un programa para recuperar archivos borrados.
Un programa para borrar con seguridad archivos vitales.
Un programa que monitorice los puertos.
Actualizar continuamente los programas.
El Antivirus
Es el sistema defensivo contra virus, gusanos, troyanos y otras amenazas.
En la actualidad una PC sin antivirus o con uno no actualuzado está muy expuesto a todo tipo de ataques cuyos resultados van desde la perdidas de datos hasta el espionaje de todo lo que hacemos.
Todo ordenador debe poseer un antivirus bueno y actualizado.
Cortafuegos o Firewall
Es un programa informático que controla el acceso de una computadora a la red y de elementos de la red a la computadora por motivos de seguridad.
Actualizar continuamente todos los programas
No podemos instalar un programa y desentendernos absolutamente de el por que en las actualizaciones.
Casi siempre se corrigen agujeros de seguridad que pueden poner en riesgo nuestra seguridad.
Muchos gusanos en la actualidad tienen éxito debido a la pereza de los usuarios a actualizar sus productos.
Auditoría
Auditoría
Del latín «auditorius», éste termino ha sido usado incorrectamente con frecuencia ya que se ha considerado como una evaluación para hallar errores y fallas.
El concepto verdadero consiste en un examen crítico que se realiza para evaluar la eficiencia y eficacia de una sección, organismo, entidad, etc.
En informática su objetivo constituye en el control de la
función informática, el análisis de la eficiencia de los sistemas informáticos y la verificación del cumplimiento de la norma general de la empresa.
La revisión de la correcta gestión de los recursos materiales, humanos e informáticos.
Auditoría
Es un proceso llevado a cabo por profesionales capacitados para ello.
Consiste en recoger y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial.
Permite detectar el uso de recursos y los flujos de información dentro de una organización y determinar que información es crítica para el cumplimiento de su misión y objetivos.
La auditoría en informática tiene dos tipos: Auditoría Interna: Se realiza dentro de la empresa sin contratar a
personas de afuera.
Auditoría Externa: Es cuando la empresa o entidad contrata personas de afuera para realizar la auditoría.
Alcance de la Auditoría
El alcance de la auditoría debe definir con precisión el entorno y los límites en que va a desarrollarse y se complementa con objetivos de ésta.
Su alcance debe figurar en el informe final de manera que quede determinado no solamente hasta que punto se ha llegado, si no cuales materias han sido eliminadas.
La indefinición de los alcances de la auditoría, comprometen el éxito de la misma.
Objetivos de la Auditoría
Sus objetivos son: El análisis de los sistemas informáticos.
La verificación del cumplimiento de la normativa.
La revisión de la eficaz gestión de los recursos informáticos.
Beneficios de la Auditoría
Sus beneficios son Mejora la imagen pública.
Confianza en los usuarios sobre la seguridad y control de los servicios.
Mejora las relaciones internas del clima de trabajo.
Reduce los costos de la mala calidad.
Genera un balance en los riesgos.
Realiza un control de inversión en un entorno a menudo impredecible.
Desempeño
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
Tipos de auditoria de Sistemas
Auditoría de la Gestión: pertenece a la contratación de bienes y servicios.
Auditoria legal del Reglamento de Protección de Datos: Incluye las medidas mínimas de seguridad que exige el reglamento de desarrollo.
Auditoria de Datos: Clasifica los datos, aplicaciones y su análisis.
Auditoría de BD: Controla el acceso de autentificación, integridad y calidad de datos.
Auditoría de Seguridad: Verifica la disponibilidad integridad, confidencialidad, autentificación y no repudio.
Auditoría de la Seguridad Física: Referido a la ubicación de la organización, evitando las ubicaciones de riesgo.
Auditoría de Seguridad Lógica: Comprende los métodos de autentificación de los sistemas de información.
Auditoría de Comunicaciones: Ve los procesos de autentificación en los sistemas de comunicación.
Auditoría de la Seguridad en Producción: Frente a los errores, accidentes y fraudes.
Herramientas de un auditor
Observación.
Realización de cuestionarios.
Entrevista a auditados y no auditados.
Muestréo estadístico.
Flujogramas.
Litsa de chequeo
Mapas conceptuales.
Integrantes
Naim G. Quispe
Luis A. Amanqui
