Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 20 vistas

    Tema 1

    Cargado por

    ireneauless
    El documento describe los principios y medidas de seguridad informática. Explica que la seguridad absoluta es imposible y que el factor humano es la capa más vulnerable. Detalla los principios CID de confidencialidad, integridad y disponibilidad, así como la autenticación y el no repudio. Además, cubre temas como control de acceso, AAA, extremo a extremo, vulnerabilidades y tipos de ataques y malware.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Tema 1

    Cargado por

    ireneauless
    20 vistas5 páginas
    El documento describe los principios y medidas de seguridad informática. Explica que la seguridad absoluta es imposible y que el factor humano es la capa más vulnerable. Detalla los principios CID de confidencialidad, integridad y disponibilidad, así como la autenticación y el no repudio. Además, cubre temas como control de acceso, AAA, extremo a extremo, vulnerabilidades y tipos de ataques y malware.

    Título original

    tema 1

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe los principios y medidas de seguridad informática. Explica que la seguridad absoluta es imposible y que el factor humano es la capa más vulnerable. Detalla los principios CID de confidencialidad, integridad y disponibilidad, así como la autenticación y el no repudio. Además, cubre temas como control de acceso, AAA, extremo a extremo, vulnerabilidades y tipos de ataques y malware.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    20 vistas5 páginas

    Tema 1

    Cargado por

    ireneauless
    El documento describe los principios y medidas de seguridad informática. Explica que la seguridad absoluta es imposible y que el factor humano es la capa más vulnerable. Detalla los principios CID de confidencialidad, integridad y disponibilidad, así como la autenticación y el no repudio. Además, cubre temas como control de acceso, AAA, extremo a extremo, vulnerabilidades y tipos de ataques y malware.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 5

    Hoy en día un sistema informático totalmente seguro es imposible:

    • Introducción:
    o La conectividad global amplía las posibles amenazas a los sistemas
    informáticos.
    o La seguridad informática busca proteger almacenamiento, procesamiento
    y transmisión de información digital.
    o Medidas para evitar uso no autorizado, mal uso, modificación o
    denegación del conocimiento.
    • Personas y Empresas:
    o Las personas no son atractivas para actividades delictivas, pero las
    empresas sí.
    o Auditorías de seguridad y "tiger teams" para revisar equipos y
    procedimientos.
    o Identificar activos cruciales y aplicar medidas específicas, considerando
    que los datos son el mayor activo.
    • 2.1 - Protección de Equipos:
    o Evitar sustracción de equipos o piezas, especialmente discos duros.
    o Controlar portátiles que salen de la empresa, aplicando cifrado y
    contraseñas.
    o Prohibir la introducción de equipos no autorizados.
    o Aplicar mantenimiento preventivo para evitar averías.
    • 2.2 - Aplicaciones:
    o Instalar solo aplicaciones necesarias y evitar software extra.
    o Configurar nuevas aplicaciones y reemplazar sistemas operativos.
    o Utilizar antivirus y restricciones de administración para prevenir
    instalaciones no autorizadas.
    • 2.3 - Protección de Datos:
    o Proteger datos para mantener la normalidad operativa y evitar riesgos
    ante competidores.
    o Infraestructura amplia y compleja: protección contra software malicioso,
    almacenamiento redundante y cifrado.
    • 2.4 - Comunicaciones:
    o Proteger la transferencia de datos mediante canales cifrados.
    o Controlar conexiones a la red, especialmente con el aumento del
    teletrabajo.
    o Evitar spam y publicidad no deseada.
    o Migración a la nube requiere especial atención a la seguridad en las
    comunicaciones.
    • 3. Definiciones:
    o 3.1 - Activos: Recursos necesarios para que la organización alcance sus
    objetivos. Incluye información, software, activos físicos y personal.
    o 3.2 - Vulnerabilidades: Debilidades que afectan el funcionamiento del
    sistema informático.
    o 3.3 - Amenazas: Entidades o circunstancias que atentan contra el buen
    funcionamiento del sistema.
    o 3.4 - Ataques: Acciones para aprovechar vulnerabilidades y afectar el
    sistema.
    • Citas sobre Seguridad Informática:
    o "No existe sistema seguro al 100%. La seguridad absoluta no es posible." -
    Gene Spafford.
    o "Es más fácil atacar los puntos vulnerables en una comunicación segura." -
    Gene Spafford.
    o "La seguridad es como una cadena y el usuario es el eslabón más débil." -
    Kevin Mitnick.
    o "Si piensas que la tecnología puede solucionar tus problemas de
    seguridad, ni entiendes los problemas ni la tecnología." - Bruce Schneier.
    • Consideraciones Finales:
    o La seguridad absoluta no es posible, se busca fiabilidad.
    o El factor humano es la capa más vulnerable.
    o Desafíos adicionales con Internet de las cosas y Big Data, que amplían
    oportunidades y riesgos.

    Seguridad de la Información vs. Seguridad Informática:


    Seguridad de la Información:
    • Definición: Conjunto de medidas preventivas y reactivas para resguardar y
    proteger la información, buscando mantener confidencialidad, disponibilidad e
    integridad.
    Seguridad Informática:
    • Definición: Área informática que se centra en proteger la infraestructura
    computacional y la información. Utiliza estándares, protocolos y leyes para
    minimizar riesgos.
    Seguridad Física:
    • Protege activos tangibles y personas, incluyendo medidas en el diseño de
    Centros de Procesamiento de Datos (CPD).
    • Amenazas: Robos, desastres naturales.
    Seguridad Lógica:
    • Protege activos intangibles como software, datos y procesos.
    • Enfocada en prevenir accesos no autorizados a sistemas informáticos.
    Seguridad Activa:
    • Medidas preventivas que buscan evitar daños en sistemas informáticos.
    • Ejemplos: Autenticación, autorización.
    Seguridad Pasiva:
    • Medidas correctoras aplicadas después de un incidente para minimizar su
    impacto.
    • Ejemplos: Redundancia, alta disponibilidad.
    Ejemplos de Medidas de Seguridad Activa en Seguridad Informática:
    • Autenticación de múltiples factores (MFA).
    • Biometría: Huella digital, verificación de voz, verificación ocular.
    • AAA (Autenticación, Autorización y Accounting).
    Ejemplos de Medidas de Seguridad Pasiva en Seguridad Informática:
    • Redundancia en suministro eléctrico o conexión a Internet.
    • Discos redundantes RAID.
    • Sistemas de vigilancia con cámaras.
    Consideraciones Adicionales:
    • La seguridad física protege activos tangibles y personas.
    • La seguridad lógica es fundamental para proteger datos e información.
    • La seguridad activa previene incidentes, mientras que la seguridad pasiva
    minimiza su impacto.
    • Ejemplos específicos ilustran cómo estas medidas aplican en situaciones
    concretas.

    3.2.- Principios de seguridad informática (CID):


    • Confidencialidad:
    o Asegura privacidad mediante restricción de acceso y cifrado de
    autenticación.
    o Políticas empresariales deben limitar acceso según roles.
    o Mecanismos: autenticación, autorización y cifrado.
    o Métodos: cifrado de datos, autenticación de dos factores, y minimización
    de exposición.
    • Integridad:
    o Garantiza precisión y consistencia de datos durante su ciclo de vida.
    o Permisos y control de acceso previenen alteraciones no autorizadas.
    o Copias de respaldo y sumas de comprobación (MD5, SHA) verifican
    integridad.
    o Valor de hash es irreversible, utilizado para comparación.
    • Disponibilidad:
    o Mantenimiento, actualizaciones y respaldos aseguran acceso a usuarios
    autorizados.
    o Planes de recuperación ante desastres naturales o provocados por
    humanos.
    o Equipos y software de seguridad, como firewalls, protegen contra ataques
    DoS.
    • Otros principios fundamentales:
    o Autenticación:
    ▪ Verificación de la identidad del usuario mediante credenciales
    (usuario y contraseña).
    ▪ Ejemplos incluyen DNI y cuentas bancarias.
    o No repudio:
    ▪ Permite probar la participación de las partes en una comunicación.
    ▪ Dos tipos: No repudio en origen (emisor no puede negar envío) y
    No repudio en destino (receptor no puede negar recepción).
    Resumen General:
    • CID (Confidencialidad, Integridad, Disponibilidad) guía la seguridad informática.
    • Confidencialidad protege privacidad mediante restricción y cifrado.
    • Integridad asegura precisión y consistencia, utilizando sumas de comprobación.
    • Disponibilidad requiere mantenimiento, respaldos y planes de recuperación.
    • Autenticación verifica identidad; No repudio prueba participación en
    comunicación.

    3.3.- Control de acceso físico:


    • Se introduce la autenticación de múltiples factores (MFA) que combina sistemas
    independientes.
    • Autenticación de dos factores, como seguridad en dos pasos, es común en
    cuentas de correo.
    • Se explora la biometría, utilizando características únicas como huellas dactilares,
    voz y verificación ocular.
    3.4.- A.A.A. (Autenticación, Autorización y Accounting):
    • Autenticación y autorización se complementan con la tercera A, Accounting.
    • Accounting proporciona información interna sobre el uso de servicios para
    evaluar medidas de seguridad.
    • Importancia de realizar el registro de accounting en una máquina distinta para
    mayor seguridad.
    3.5.- e2e= extremo a extremo:
    • La seguridad debe controlarse en el origen, destino y canal de comunicación.
    • Enfoque en prevenir modificaciones en equipos y aplicaciones en origen y
    destino.
    • Cifrado es esencial en el canal para proteger datos que atraviesan redes de otras
    compañías.
    3.6.- Vulnerabilidad, malware, exploit:
    • Se define vulnerabilidad como un defecto en una aplicación aprovechado por un
    atacante.
    • Clasificación de vulnerabilidades según el reconocimiento y parches disponibles.
    • Descripción de tipos de ataques, como interrupción, interceptación, modificación
    y fabricación.
    • Malware abarca software malintencionado con diversos objetivos, destacando la
    obtención de información sensible.
    • Se advierte sobre falsos antivirus y precauciones al descargar programas.
    4.- Tipos de ataques:
    • Se detallan formas de ataques, incluyendo interrupción, interceptación,
    modificación y fabricación.
    • Cada forma se asocia con un tipo de ataque a la disponibilidad, confidencialidad,
    integridad o no repudio.
    Malware:
    • Se define el malware como software que realiza acciones malintencionadas sin
    consentimiento del usuario.
    • Objetivos del malware incluyen obtener información sensible, dañar la máquina
    y realizar estafas online.
    • Advertencia sobre tipos de malware, replicación y precauciones contra falsos
    antivirus.
    • Se introduce el concepto de virus como programa que se propaga infectando
    otros ejecutables.
    Resumen General:
    • Se aborda el control de acceso físico con MFA y biometría.
    • La tríada A.A.A. se explora, destacando la importancia del registro de accounting.
    • E2E enfatiza la seguridad en origen, destino y canal de comunicación.
    • Se profundiza en vulnerabilidades, malware y tipos de ataques, introduciendo el
    concepto de virus en malware.

    También podría gustarte