TEMA I Introduccion A La Seguridad Informatica - 15032019

Seguridad Informática I
TEMA I: Introducción a la seguridad

informática
Ing. Renan Luis Layme Yucra
[email protected]
Conceptos fundamentales sobre
seguridad informática
• Seguridad de la Información.-
La seguridad de la información es una disciplina que se ocupa de
gestionar el riesgo dentro de los sistemas informáticos.
Requiere un enfoque holístico, que implique la participación
coordinada de tecnología, personas y operaciones.
El riesgo no puede eliminarse completamente,

pero puede reducirse.
Los usuarios poseen expectativas sobre sus ordenadores:
• Correo Electrónico • Fallo de hardware
• Navegación • Amenzas
• Base de datos • Desastres
• CRM • Robo
• Antes de lanzarse ciegamente a implantar medidas de seguridad, se
debe hacer un previo análisis.
Identificar cuáles son los activos a proteger de la organización.
Identificar las amenazas a que están expuestos los activos.
Identificar los riesgos que suponen las amenazas para los activos.
Identificar y evaluar el coste de las contramedidas a implantar para reducir o
mitigar el riesgo.
• Seguridad informática. Es el proceso de prevenir y
detectar el uso no autorizado de un sistema
informático. Implica el proceso de proteger contra
intrusos el uso de nuestros recursos informáticos con
intenciones maliciosas o con intención de obtener
ganancias.
• Auditoría de sistemas. La Auditoría Informática es un
proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger,
agrupar y evaluar evidencias para determinar si un
Sistema de Información salvaguarda el activo
empresarial, mantiene la integridad de los datos ya que
esta lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos,
cumple con las leyes y regulaciones establecidas.
Conceptos fundamentales sobre seguridad
informática
• Auditoría forense. Ésta se desarrolla sobretodo en el campo de las
finanzas públicas y privadas y es uno de los tipos de auditorías que
se encarga principalmente de la investigación de fraudes.
• Informática forense. Según el FBI, la informática (o computación)
forense es la ciencia de adquirir, preservar, obtener y presentar
datos que han sido procesados electrónicamente y guardados en un
medio computacional.
Conceptos fundamentales sobre seguridad
informática
• Hacking Ético. Hacking ético es una forma de referirse al acto de una
persona usar sus conocimientos de informática y seguridad para
realizar pruebas en redes y encontrar vulnerabilidades, para luego
reportarlas y que se tomen medidas, sin hacer daño.
Casos de ataques a la seguridad
informática
1. Robo de datos en Facebook (2018).
 Como se realizo el robo de datos.
 Quien lo hizo.
 Breve descripción del procedimiento.
2. Filtración de documentos Panama Papers (2016).
 Como se realizo el robo de datos.
 Quien lo hizo.
 Breve descripción del procedimiento.
Lista de expectativas de seguridad
“El servidor de comercio electrónico no estará fuera de servicio durante más de
cinco minutos al año”.
“Ningún empleado podrá ejecutar en su puesto de trabajo más software que el
autorizado expresamente por el administrador”.
“Ningún usuario podrá enviar o recibir mensajes de correo electrónico con
archivos adjuntos”.
“Todos los usuarios deberán cambiar su contraseña una vez al mes. Los usuarios
del servidor de base de datos deberán utilizar un mecanismo de control de
acceso de mayor seguridad no basado en contraseñas”.
“Toda la información relativa a los proyectos, como ofertas, estudios de
viabilidad, informes preliminares, entregables, etc., se mantendrá estrictamente
confidencial tanto durante su almacenamiento como durante su transmisión a
los clientes, tanto dentro como fuera de la empresa”.
Implantación de medidas de seguridad
para combatir amenazas
• Un primera medida, para combatir una
amenaza se intenta reducir o mitigar su riesgo
mediante la implantación de salvaguardas o
contramedidas.
• Una segunda posibilidad consiste en transferir
el riesgo a otra organización, por ejemplo,
contratando un seguro.
• La tercera posibilidad consiste en asumir el
riesgo, es decir, se acepta tal como es, debido
a que la probabilidad de que ocurra es
demasiado pequeña o porque su coste si
ocurre es inferior al de la contramedida.
• Si se quiere alcanzar un nivel de seguridad aceptable, siempre según
unas expectativas realistas, deben localizarse los eslabones más
débiles y fortalecerlos. Si la cadena tiene mil eslabones, basta con
que uno solo sea débil, para que se rompa por él.
La cadena siempre se rompe por el eslabón

más débil
Matriz de riesgos. Cuanto mayor es el valor del activo y

mayor es su grado de exposición a amenazas, mayor es
su riesgo y más prioritaria la exigencia de protegerlo
Amenazas a la información
• Las amenazas a la información en una red pueden caracterizarse
modelando el sistema como un flujo de información desde una
fuente, como por ejemplo un archivo o una región kde la memoria
principal, a un destino, como por ejemplo otro archivo o un usuario.
• Las cuatro categorías generales de ataques son las siguientes:
Creación de información.
Modificación de información.
Intercepción de información.
Interrupción de la información.
Amenazas a la información
Ataques contra la seguridad de la información:

a) flujo normal; b) interrupción;
c) intercepción; d) modificación; e) creación.
Gestión de la seguridad en el espacio
• Todos los productos existentes en el mercado de seguridad
informática cumplen una función de entre las siguientes.
• Prevenir: Aumentan el nivel de seguridad evitando que los ataques tengan
éxito. El ejemplo clásico es el cortafuegos.
• Detectar: Se encargan de velar por que todo esté en orden y de
alertar cuando se produce una anomalía, normalmente debida a un
intruso. Un ejemplo típico es un sistema de detección de intrusos o
IDS.
• Recuperar: Garantizan que ante un incidente de seguridad, causado
o fortuito, se pueda recuperar toda la información y retornar a la
normalidad en un tiempo mínimo.
• El ejemplo más conocido lo constituyen las copias de seguridad.
Controles de seguridad: Prevenir, detectar y recuperar

Videos
• https://www.youtube.com/watch?v=EHjmxujXIaQ
• https://www.youtube.com/watch?v=9hJ4fgfePfg
• https://www.youtube.com/watch?v=7UPe_fxOz8M

TEMA I Introduccion A La Seguridad Informatica - 15032019

Cargado por

Copyright:

Formatos disponibles

TEMA I Introduccion A La Seguridad Informatica - 15032019

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TEMA I Introduccion A La Seguridad Informatica - 15032019

Cargado por

Copyright:

Formatos disponibles

Seguridad Informática I

TEMA I: Introducción a la seguridad

El riesgo no puede eliminarse completamente,

La cadena siempre se rompe por el eslabón

Matriz de riesgos. Cuanto mayor es el valor del activo y

Ataques contra la seguridad de la información:

Controles de seguridad: Prevenir, detectar y recuperar

También podría gustarte