Embed Size (px)
Citation preview
Seguridad Informática
Las redes informáticas entre ellas internet, son unos de los peligros que existen en la seguridad de un sistema
informático, ya que actualmente la mayoría de amenazas y ataques provienen del exterior a través de la red
(García y Alegre, 2011, pág. 45)
La mayoría de los usuarios de sistemas informáticos tienen poco o nulo conocimiento de informática lo cual las hace blanco fácil de ataques a sus equipos de computo.
La única forma de no correr riesgos con la información de un equipo de computo es no conectándolo a ninguna red, lo que no es nada funcional.
LA SEGURIDAD INFORMATICA SE DIVIDE EN:
• GESTION DE SEGURIDAD. Son las políticas y procedimientos que de decide llevar a cabo la dirección de una organización.
• SEGURIDAD EN REDES Y TELECOMUNICACIONES. Se encarga de asegurar la red a través de equipos y protocolos (firewalls, HTTPS, etc)
• CRIPTOLOGIA. Es la técnica mediante la cual se cifra, descifra, se realizan firmas digitales y se ocultan ficheros.
• SEGURIDAD DE LAS OPERACIONES. Establece los controles de identidad, audita y monitorea los accesos a los equipos y la red de computo de una organización.
• GESTIÓN DE RIESGOS. Ante un riesgo establece y ejecuta procedimientos de respuesta y recuperación.
Ante el creciente uso de las TICS y específicamente de los negocios electrónicos, la seguridad en las redes es cada vez mas importante, como futuro técnico en ofimática, es algo que NO deberás dejar pasar por alto.
OBJETIVOS DE LA SEGURIDAD
INFORMÁTICA
Asegurar la disponibilidad y accesibilidad a los sistemas de datos, solo para su uso autorizado.
La disponibilidad y accesibilidad la deberá proporcionar el administrador.
El ejemplo mas común es el acceso a los archivos a través de un usuario y un password.
Como técnico en ofimática puede ser que una de tus funciones sea el asegurar el acceso a los sistemas de información lo mas cercano al
100%
Incluso tendrás que prever que los sistemas eléctricos no fallen por cuestiones internas.
Integridad
Es garantizar que la información no ha sido alterada por un tercero y que llegue a su destino de forma integra, es decir que la información que se envía sea exactamente la misma
que la que se recibe.
Se debe buscar la integridad de los datos y la integridad del sistema
Confidencialidad
Se refiere a que los datos de un sistema de información deben ser privados sin que terceros no autorizados accedan a los
mismos.
Que no sea visible para quien no va dirigida
Responsabilidad a nivel individual
Se debe ser capaz de guardar registros por cada usuario que se conecte al sistema.
Confiabilidad
Es el grado de confianza que nos dan los procedimientos aplicados para proteger los sistemas de información, los
cuales deben contemplar planes de recuperación.
Criptología y Esteganografía
Criptología
Es el estudio de los sistemas de comunicaciones secretas. Se divide en dos campos de estudio:
CRIPTOGRAFÍA. Estudia las formas de ocultar información de tal manera que un usuario no autorizado no pueda acceder a la información.
CRIPTOANALISIS. Se dedica al estudio de sistemas criptográficos con el fin de encontrar debilidades en los sistemas y romper su seguridad.
Importancia de la criptología
Esteganografía
Es la ciencia que estudia los procedimientos encaminados a ocultar la existencia de un mensaje en lugar de su información.
La esteganografía no transforma el mensaje, lo oculta.
¿Pero como se oculta un mensaje?
El mecanismo estenográfico mas utilizado esta basado en imágenes digitales.
Se sustituye el bit menos significativo de cada byte por los bits del mensaje a ocultar.
También se esconden en los archivos de audio, video y de texto.
Mecanismos de seguridad
Mecanismos específicos
Estos se implementan en una capa especifica del modelo de referencia OSI.
Cifrado
Firma digital
Control de acceso
Integridad de los datos
Autentificación
Control de enrutamiento
Mecanismos Específicos
CIFRADO O ENCRIPTACIÓN
Se basa en el uso de algoritmos matemáticos para cifrar y descifrar la información. el cifrado lleva su función en la capa de transporte del modelo OSI.
FIRMA DIGITAL
Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente determinar su origen y su integridad.
También se lleva a cabo en la capa de transporte.
Es la misma lógica que usar nuestra firma para autorizar algo, solo que es totalmente digital
CONTROL DE ACCESO
Consiste en dar o quitar accesos a recursos informáticos. Los permisos de control de acceso se dan en la capa de aplicación.
Los permisos de acceso van en función de los roles de cada usuario. Por ejemplo en una organización privada existen diferentes área y puestos en donde el acceso a la información es limitada, cada usuario solo puede accesar a la información que necesita para poder desarrollar su trabajo.
INTEGRIDAD DE LOS DATOS
Es el mecanismo por el cual se verifica que los datos recibidos son los mismos que los enviados. Se da en casi todas las capas del modelo OSI, pues hay que recordar que de la capa dos a la siete existe un control de errores en el envío de cada PDU de datos.
AUTENTIFICACIÓN
Es el mecanismo para comprobar la identidad de algo o alguien, la autentificación puede ir mas allá del usuario y password, por ejemplo una pregunta adicional, un control biométrico, etc.
Se lleva a cabo en la capa de aplicación.
RELLENO DE TRAFICO
Se basa en la inserción de bits en espacios en un flujo de envío de datos.
Es muy similar a rellenar los espacios en blanco entre cada palabra con la intención de que el texto no se pueda leer.
Este mecanismo se lleva a cabo en la capa física, pues es donde se envían los bits
CONTROL DE ENRUTAMIENTO
Es el mecanismo por el cual decidimos las rutas por las que deberán pasar los paquetes de datos
Ya sabemos que los routers son los dispositivos encargados de enrutar la información.
El control de enrutamiento es no dejar que router toma la decisión de la ruta.
Para lo anterior aplicamos un ruteo estático.
CONEXIÓN DE PUERTA SEGURA SSL
Es una herramienta criptográfica que permite las comunicaciones seguras.
Trabaja en la capa de aplicación y transporte.
• Un ejemplo en la capa de transporte son las Redes Privadas Virtuales (VPN)
• Un ejemplo en la capa de aplicación es el protocolo HTTPS (versión segura de HTTP).
Mecanismos generales
No dependen de una capa especifica del modelo de referencia OSI.
Etiquetas de seguridad
Detección de acciones
Informes de auditorias personales
Recuperación de la seguridad
Mecanismos Generales
Funcionalidad fiableSe refiere a la aplicación de las políticas de seguridad las cuales dependerán de cada organización.
EJEMPLO:
Restringir la instalación de actualizaciones en determinados equipos solo en un horario especifico.
Etiquetas de seguridadDesignar atributos a los equipos, se pueden utilizar para asignar prioridades en archivos y dispositivos.
EJEMPLO:
Definir que equipos son críticos en una red.
Recuperación de seguridadSe refiere a las peticiones o mecanismos automatizados o no, de las acciones que logran recuperar un sistema.
EJEMPLO:
Un respaldo de la base de datos
El cumplir con los procedimientos vistos anteriormente nos permitirá un control de la información que entra y sale de
nuestra red y saber a quien la envío y quien la recibió.
Certificados y firmas digitales
Certificado digital
Un certificado digital o certificado electrónico es un fichero informático generado por una entidad de servicios de certificación que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet.
Para obtener un certificado electrónico se requiere de un tercero que de fe de la validez del certificado, se les denomina organismos certificadores o autoridades certificadoras.
EJEMPLO DE ORGANISMO CERTIFICADOR: SYMANTEC
Firma digital
Es un archivo digital que te identifica al hacer tramites en internet.
Permite al receptor de un mensaje verificar la autenticidad del emisor de la información y también verificar que la información no ha sido modificada.
DIFERENCIA ENTRE CERTIFICADO DIGITAL Y FIRMA ELECTRONICA
Certificado digital Firma electronica
En México un ejemplo es la firma electrónica (e.firma) que expide el servicio de administración tributaria (SAT) para la declaración de impuestos.
CERTIFICADO DIGITAL LLAVE DIGITAL CLAVE CIEC
Seguridad física de la red
En las redes informáticas debemos poder identificar a los usuarios con características diferenciadas para el uso de la red.
La tecnología de hoy en día nos ofrece diversos métodos de reconocimiento de usuario.
Biometría
Es el estudio del reconocimiento de determinados patrones físicos basados en rasgos particulares de los seres humanos.
La principal característica es la identificación de patrones únicos que son irrepetibles e intransferibles y solo se presentan en un único individuo
Biometría basada en características físicas
ESTATICAS.
Líneas de huellas digitales, retina e iris del ojo, patrones faciales, expresiones, geometría de las extremidades.
DINAMICAS.
Pasos, voz
