1

PROGRAMA DE FORMACIÓN

GESTIÓN DE LA SEGURIDAD

INFORMATICA

Actividad de aprendizaje1:

Fundamentos de TIC, Modelos de

negocios y Seguridad informática

CONTENIDO

Contenido

Tema 4 - Seguridad informática ............................. 1

Objetivos de la seguridad informática: ............... 2

Confidencialidad .................................................. 3

Autenticación ....................................................... 3

Integridad ............................................................ 3

Protección a la réplica ......................................... 3

Reclamación de origen ........................................ 3

Reclamación de propiedad .................................. 3

No repudiación .................................................... 4

Confirmación de la prestación de un servicio ..... 4

Referencia temporal (certificación por fechas) ... 4

Autorización (control de acceso a equipos y

servicios) .............................................................. 4

Auditabilidad o trazabilidad ................................ 4

Disponibilidad del servicio ................................... 4

Anonimato en el uso de los servicios .................. 5

Certificación mediante terceros de confianza ..... 5

Técnicas y mecanismos de seguridad en las que

se puede recurrir para ofrecer los servicios de

seguridad: ............................................................ 5

Consecuencia de la falta de seguridad: ..............5

Tema 5: Elementos vulnerables en el sistema

informático: amenazas ............................................6

Personas ...............................................................6

Amenazas lógicas ............................................7

Amenazas físicas ..................................................8

Tema 6: Seguridad en redes ....................................8

Amenazas externas: .............................................9

Amenazas internas: .............................................9

Algunos tipos de ataques informáticos en redes:

.......................................................................... 10

1. Ataque de denegación de servicio: ............... 10

2. Man in the middle ......................................... 10

3. Ataques de REPLAY: ...................................... 10

Referencias ........................................................... 10

Tema 4 - Seguridad informática La seguridad informática en los últimos tiempos ha tenido una mayor acogida entre usuarios y trabajadores de las empresas debido que en internet, se encuentran muchos peligros, por ende ser consciente que el mal uso del sistema o de una red informática puede comprometer la confidencialidad, autenticidad o integridad de la información es en la actualidad tema de importancia, debido que puede causar la ejecución normal de las operaciones de una empresa al verse bloqueado el acceso de los usuarios autorizados en el sistema.

2

Debido a lo anterior, la norma ISO 7498 define la Seguridad Informática como “Una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización”.1

Objetivos de la seguridad informática:

o Minimizar y gestionar los riesgos y

detectar los posibles problemas y amenazas a la seguridad.

o Garantizar la adecuada utilización

de los recursos y de las aplicaciones del sistema.

o Limitar las pérdidas y conseguir la

adecuada recuperación del sistema en caso de un incidente de seguridad.

o Cumplir con el marco legal y con los

requisitos impuestos por los clientes en sus contratos.

Para cumplir con estos objetivos, una organización debe contemplar cuatro planos de actuación:

Servicios de seguridad de la información Para alcanzar los objetivos es necesario contemplar los servicios de seguridad de la información, estos son: _______ 1. Villarrubia, C. (Sin fecha). Seguridad y Alta disponibilidad adopción de pautas de seguridad informática. Consultado el 30 de noviembre en: http://arco.esi.uclm.es/~david.villa/seguridad/pautas.2x4.pdf

Plano humano

- Sensibilización y formación - Funciones, obligaciones y responsabilidades del personal - Control y supervisión de los empleados

Plano Técnico

- Selección, instalación, configuración y actualización de soluciones Hardware y software - Criptografía - Estandarización de productos - Desarrollo seguro de aplicaciones

Plano Organizacional

- Políticas, normas y procedimientos - Planes de contingencia y respuesta a incidentes - Relaciones con terceros (clientes, proveedores…)

Plano legislación

- Cumplimiento y adaptación a la legislación vigente (LOPD, LSSI, LGT, firma electrónica, código penal, propiedad intelectual)

1

2

3

4

5 Figura 1. Gómez (2011). Planos de

actuación en la seguridad informática

3

Imagen 1. Fuente: ( Landahlauts, 2011)

Confidencialidad

- Datos almacenados en un equipo. - Datos guardados en dispositivos de backup. - Datos trasmitidos a través de redes de comunicaciones.

Autenticación

- De entidad (usuario o equipo)

Unilateral: cuando se garantiza la identidad del equipo usuario o terminal que se intenta conectar a la red.

Mutua: en el caso de que la red o el servidor también se autentica de cara al equipo, usuario o terminal que establece la conexión.

- Del origen de los datos.

Garantiza que un mensaje o fichero no ha sido modificado desde su creación o durante su transmisión a través de la red informática

Integridad

Protección a la réplica

Impide la realización de ataques de repetición (replay attacks) por parte de usuarios maliciosos, consistentes en la intercepción y posterior reenvío de mensajes para tratar de engañar al sistema y provocar operaciones no deseadas

Reclamación de propiedad

Reclamación de origen

El sistema, permite probar quien ha sido el creador de un determinado mensaje o documento

Permite probar que un determinado documento o contenido digital está protegido por derechos de autor (canción, video, libro…) y pertenece a un determinado usuario u organización que ostenta la titularidad de los derechos de autor.

4

Imagen 2. Fuente: (Isaias. 2008).

No repudiación

Confirmación de la prestación de un

servicio

Referencia temporal (certificación por

fechas)

Autorización (control de acceso a

equipos y servicios)

Auditabilidad o trazabilidad

Disponibilidad del servicio

Implementa un mecanismo probatorio que permita demostrar la autoría y envío de un determinado mensaje, de tal modo que el usuario que lo ha creado y enviado a través del sistema no pueda posteriormente negar esta circunstancia o situación que también aplica al destinatario del envío.

Confirma la realización de una operación o transacción, reflejando los usuarios o entidades que han intervenido en ésta.

Se consigue demostrar el instante concreto, en que se ha enviado un mensaje o se ha realizado una determinada operación.

Busca controlar el acceso de los usuarios a los distintos equipos y servicios ofrecidos por el sistema informático, una vez superado el proceso de autenticación de cada usuario.

Permite registrar y monitorizar la utilización de los distintos recursos del sistema por parte de los usuarios que han sido previamente autenticados y autorizados.

Recuperación del sistema frente a posibles incidentes de seguridad, así como frente a desastres naturales o intencionados (incendios, inundaciones, sabotajes), de nada sirven los demás servicios de seguridad si el sistema informático, no se encuentra disponible para que pueda ser utilizado por su legítimo usuario o propietario.

5

Técnicas y mecanismos de seguridad

en las que se puede recurrir para

ofrecer los servicios de seguridad:

o Identificación de usuario o Control lógico de acceso a los

recursos o Copias de seguridad o Centros de respaldo o Cifrado de las transmisiones o Huella digital de mensajes o Sellado temporal de mensajes o Utilización de la forma electrónica o Protocolos criptográficos

o Análisis y filtrado de tráfico (cortafuegos)

o Servidores proxy o Sistema de detección de intrusiones

(IDS) o Antivirus

Consecuencia de la falta de seguridad:

1. Pérdidas ocasionadas por horas de

trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes.

2. Robo de información confidencial y

su posible revelación a terceros no autorizados.

3. Filtración de datos personales de usuarios registrados en el sistema.

4. Pérdida de credibilidad en los mercados, pérdida de confianza por parte de los clientes, daño a la reputación e imagen de la empresa.

5. Perdida de pedidos, impacto en la calidad del servicio, retrasos en los procesos de producción, pérdida de oportunidades de negocio.

6. Pago de indemnizaciones por daños y perjuicios a terceros, teniendo que afrontar responsabilidades legales y la imposición de sanciones administrativas.

Anonimato en el uso de los servicios

Certificación mediante terceros de

confianza

Es la utilización de determinados servicios dentro de las redes y sistemas informáticos, que garantizan el anonimato de los usuarios que acceden a los recursos y consumen determinados tipos de servicios, preservando de este modo su privacidad.

Organismo que se encarga de certificar la realización de diversas operaciones además de avalar la identidad de los intervinientes, dotando de este modo a las transacciones electrónicas de un respaldo jurídico que de una mayor seguridad a estas.

6

Tema 5: Elementos vulnerables en el sistema informático: amenazas Las amenazas de un sistema informático, pueden provenir de diferentes fuentes, sean estas un hacker remoto que entra al sistema a través de un troyano, programas de descarga gratuita que ayuda a gestionar fotos pero es una puerta trasera a nuestro sistema permitiendo la entrada de espías. Las amenazas pueden ser provocadas por: Personas

Ultima instancia de personas que intencionada o inintencionadamente causan enormes pérdidas, por lo general se conocen como piratas que intentan conseguir el máximo nivel de privilegio a través de agujeros del software.

Imagen 3. Fuente: (Lobo, 2006)

Hay diferentes tipos de personas que pueden constituir un riesgo para nuestros sistemas y que se dividen en dos grupos: Los atacantes pasivos: aquellos que fisgonean por el sistema pero no lo modifican o destruyen caso contrario a los atacantes activos que dañan el sistema del objetivo atacado o lo modifican a su favor.

En ese orden de ideas esta:

El personal: nadie mejor que el propio personal de la organización para conocer el sistema y sus debilidades.

Ex empleados: personas descontentas con la organización que pueden aprovechar debilidades de un sistema que conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus o simplemente conectarse al sistema como si aún trabajaran para la organización, conseguir el privilegio necesario y dañarlo de la forma que deseen incluso chantajeando a sus ex compañeros o ex jefes.

Curiosos: atacantes más habituales

del sistema simplemente para comprobar que es posible romper la seguridad de un sistema concreto, aunque en su mayoría se trata de ataques no destructivos no benefician en absoluto al entorno de fiabilidad que se pueda generar en un determinado sistema.

Hacker: término para describir un

experto en programación, es utilizado con frecuencia con un sentido negativo, para describir a una persona, que intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa, aunque no siempre tiene que ser esa su finalidad.

Cracker: describe una persona que

7

intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa.

Intrusos remunerados: piratas con

gran experiencia en problemas de seguridad y un amplio conocimiento del sistema que son pagados por una tercera persona generalmente para robar secretos o simplemente para dañar la imagen, de la entidad afectada.

Imagen 4. Fuente: (Lobo, 2006)

Amenazas lógicas

En estas, se encuentran todo tipo de programas que pueden dañar al sistema, estos programas, son creados de forma intencionada para ello (software malicioso conocido como malware) o por error (bugs o agujeros). Entre esos están:

Software incorrectos: errores de programación denominados bugs, los programas utilizados para aprovechar uno de estos fallos y atacar al sistema, se llaman exploits.

Herramientas de seguridad:

cualquier herramienta de seguridad representa un arma de doble filo: de

la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistema o en la subred completa, un potencial intruso las puede utilizar para detectar esos mismo fallos y aprovecharlos para atacar los equipos.

Puertas traseras: atajos que los

programadores insertan en el desarrollo de aplicaciones grandes o sistemas operativos para la autenticación del programa o del núcleo que se está diseñando.

Bombas lógicas: parte de código de

ciertos programas que permanecen sin realizar ninguna función hasta que son activadas, generalmente se trata de una acción perjudicial.

Canales cubiertos u ocultos: canales

de comunicación que permiten transferir información sea local o de forma remota, de forma que viole la política de seguridad del sistema.

Virus: secuencia de código que se

inserta en un fichero ejecutable (denominado huésped) de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a sí mismo en otros programas.

Gusanos: programa capaz de

ejecutarse y propagarse por si mismo a través de redes portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos.

8

Caballos de troya: son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.

Programa conejo o bacterias:

programas que no hacen nada útil, sino que simplemente se dedican a reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco…) produciendo una negación de servicio.

Imagen 5. Fuente:

(Salinas, 2007)

Amenazas físicas

Son aquellas que pueden afectar a la seguridad y por tanto al funcionamiento de los sistemas, estos son:

Robos, sabotajes, destrucción de sistemas

Cortes, subidas y bajadas bruscas de suministro eléctrico

Condiciones atmosféricas adversas.

Humedad relativa excesiva o temperaturas extremas que afecten al comportamiento normal de los componentes informáticos

Las catástrofes (naturales o

artificiales) amenazas menos probables contra entornos habituales simplemente por su ubicación geográfica

Tema 6: Seguridad en redes

Personas y organizaciones dependen en la

actualidad de sus computadoras. Las

herramientas de correo electrónico,

administración de archivos, contabilidad y

gestión de la información, resultan de vital

importancia en una empresa. Debido a

esto, las intrusiones de personas no

autorizadas en la red causan

interrupciones costosas y perdidas de

trabajo.

De estos ataques, surgen cuatro tipos de

amenazas:

Robo de información

Robo de identidad

Perdida y manipulación de datos

Interrupción del servicio

9

Imagen 6. Fuente: Arana. (2010)

Las amenazas de seguridad causadas por

intrusos en la red, pueden originarse tanto

en forma interna como externa

Amenazas externas: provienen de

personas que trabajan fuera de una

organización. Estas personas, no tienen

autorización para acceder al sistema o a la

red de la computadora. Los atacantes

externos logran introducirse en la red

principalmente desde internet, enlaces

inalámbricos o servidores de acceso por

marcación o dial-up

Amenazas internas: se originan cuando

una persona cuenta con acceso autorizado

a la red a través de una cuenta de usuario

o tienen acceso físico al equipo de la red.

Un atacante conoce la política interna y las

personas. Por lo general conocen

información valiosa y vulnerable y saben

cómo acceder a esta.

Imagen 7. Fuente: Arana. (2010).

Muchas de las organizaciones destinan

dinero para defenderse contra los ataques

externos y no tienen presente que la mayor

parte de las amenazas son de origen

interno. Para un intruso obtener acceso

interno o externo, lo hace, aprovechando

las conductas humanas. Este es un

método común de explotación de las

debilidades humanas que se le denomina

ingeniería social

En el contexto de la seguridad de

computadoras y redes, la ingeniería social

hace referencia a una serie de técnicas

utilizadas para engañar a los usuarios

internos a fin de que realicen acciones

específicas o revelen información

confidencial. Se les considera uno de los

enlaces más débiles en lo que se refiere a

la seguridad.

La concepción de soluciones de seguridad

de red, comienza con una evaluación del

alcance completo de los delitos

informáticos.

Los denunciados, que tienen implicaciones

en la seguridad de la red y tienen más

10

frecuencia son:

Abuso del acceso a la red por parte

de personas que pertenecen a la

organización.

Virus.

Suplantación de identidad en los

casos en los que una organización

está representada de manera

fraudulenta como el emisor.

Uso indebido de la mensajería

instantánea.

Denegación del servicio, caída de

servidores.

Acceso no autorizado a la

información.

Robo de información de los clientes

o de los empleados.

Abuso de la red inalámbrica.

Penetración en el sistema.

Fraude financiero.

Detección de contraseñas.

Registro de claves.

Alteración de sitios web.

Uso indebido de una aplicación web

publica.

Algunos tipos de ataques informáticos en

redes:

1. Ataque de denegación de servicio:

también llamado DoS (Deny of Service)

es un ataque a un sistema de

computadoras o red que causa que un

servicio o recurso sea inaccesible a los

usuarios legítimos, provocando la

perdida de la conectividad de las red

por el consumo del ancho de banda de

la red de la víctima o sobrecarga de los

recursos computacionales del sistema

de la victima

2. Man in the middle: A veces abreviado

MitM, es una situación donde el

atacante supervisa (generalmente

mediante un rastreador de puertos) una

comunicación entre dos partes y

falsifica los intercambios para hacerse

pasar por una de ellas

3. Ataques de REPLAY: una forma de

ataque de red, en el cual una

transmisión de datos valida, es

maliciosa o fraudulenta repetida o

retardada.

Referencias

COSTAS, S. Jesús, Seguridad Informática. Editorial Ra-Ma. España 2011. GOMEZ V., Álvaro, Seguridad informática: Básico. Ecoe Ediciones, Bogotá 2011.

Villarrubia, C. (Sin fecha). Seguridad y

Alta disponibilidad adopción de pautas de

seguridad informática. Consultado el 30 de

noviembre en:

http://arco.esi.uclm.es/~david.villa/segurida

d/pautas.2x4.pdf

11

CONTROL DE DOCUMENTO

Autores Nombre Cargo Dependencia Fecha

Expertos temáticos Jenny Marisol Henao Garcia

Experta Temática

Sena - Centro de Diseño e Innovación

Tecnológica Industrial –Regional Risaralda.

Diciembre 12 de 2013

Yuly Paulin Saenz Agudelo

Experta Temática

Sena - Centro de Diseño e Innovación

Tecnológica Industrial –Regional Risaralda.

Diciembre 12 de 2013

Revisión John Jairo Alvarado González

Guionista Sena - Centro de Diseño e Innovación

Tecnológica Industrial –Regional Risaralda.

Diciembre 17 de 2013

Andrés Felipe Valencia Pimienta

Líder línea de producción

Sena - Centro de Diseño e Innovación

Tecnológica Industrial –Regional Risaralda

Diciembre 17 de 2013

12

CRÉDITOS

Equipo Línea de Producción, SENA

Centro de diseño e innovación

tecnológica industria, Dosquebradas

Líder línea de producción:

Andrés Felipe Valencia Pimienta

Apoyo línea de producción:

Carlos Andrés Mesa Montoya

Asesor pedagógico:

Edward Abilio Luna Díaz

Elaboración de contenidos expertas

temáticas:

Yuly Paulín Sáenz Giraldo

Yenny Marisol Henao García

Guionistas:

John Jairo Alvarado González

Gabriel Gómez Franco

Diseñadores:

Lina Marcela Cardona

Mario Fernando López Cardona

Desarrolladores Front End:

Julián Giraldo Rodríguez

Ricardo Bermúdez Osorio

Cristian Fernando Dávila López