INFORMÁTICA PROGRAMACIÓN

Objetivos:

• Comprender el significado del concepto de seguridad informática.

• Comprender el concepto de seguridad debe ser un objetivo global para una organización.

• Reconocer la importancia de la legislación, con relación a la formulación de la visión de seguridad en una organización.

• Reconocer la relación existente entre seguridad y riesgos.

SEGURIDAD INFORMÁTICA

Concepto de Seguridad – Principios y Perspectivas

Seguridad: Principios y Perspectivas

Para la Organización Para la DirecciónPara el Director del

Dpto. de TIPara el Administrador

de SistemasPara el Dpto.

Jurídico

Se constituye como todas aquellasMedidas que garanticen laseguridad de sus trabajadores(Recursos Humanos) y el entorno(ambiental, social, perimetral) endonde se encuentra laOrganización.

Proteger todo lo quecontiene la organización,Garantizando la seguridaden los procesosProductivos, los procesosinternos y los diferentesDepartamentos o unidadesorganizacionales,

cumpliendocon la normativa legal.

• Integridad de sustrabajadores.

• Que los trabajadoresno roben el conocimiento

de su empresa.

Se trata de un proceso global,Debiendo por ello cumplirCon la normativa que establezcaLa organización y los aspectosLegales vigentes.

En dicho proceso definiríaTambién, las políticas deFuncionamiento y seguridad deLas SI/TI.

Significa que los SI/TI debenEstar libres de riesgos yDaños (físicos y/o lógicos).

Debe garantizarse que losUsuarios puedan acceder a losRecursos del sistema, conLas credenciales autorizadasPara tal fin.

Los bienes y derechosDe la organización yDe los trabajadores enSu relación con laEmpresa, deben serProtegidos y preservados,Tanto del uso ilícito comoEl mal uso involuntario.

Seguridad informática

Seguridad Informática

Qué queremos asegurar ?

El concepto de seguridad debeestar asociado a uno que le daSentido: VALOR.

Hardware

Software

Datos

Seguridad informática

Seguridad Informática

Qué queremos asegurar ?

LA INFORMACIÓN

Seguridad Informática - Concepto

Concepto

Conjunto constituido por las diversas metodologías, documentos,

Software y Hardware, que determinan que el acceso a los recursos

De un sistema informático, sea realizado exclusivamente por los

Elementos autorizados a hacerlo.

INVIOLABILIDAD ABSOLUTA VS. FIABILIDAD

Los SI/TI actuales, no pueden garantizar la inviolabilidad absoluta de los sistemas, por

Lo cual se define a la Fiabilidad como el concepto que la empresa debe perseguir.

Seguridad Informática - Fiabilidad

Confidencialidad Integridad Disponibilidad

Los recursos que integran el

sistema (información,

dispositivos de hardware,

software), sólo pueden ser

accedidos por los elementos

autorizados a hacerlo.

Los recursos del sistema sólo

pueden ser modificados o

alterados (borrado, copiado,

creado) por los elementos

autorizados a hacerlo.

Los recursos del sistema,

deben permanecer accesibles

a los elementos autorizados.

Seguridad Informática– De qué nos queremos proteger ?

Cómo pueden atacar un Sistema Informático

Resulta muy importante, el conocer las posibles maneras,

sobre cómo puede atacarse un sistema para saber como

debe protegerse.

Como consecuencia, debe analizarse las diversas "entidades"

que pueden poner en peligro un sistema, así como sus

métodos.

Pueden ser de índole muy diversa: desde personas como

desastres naturales por ejemplo.

La protección de un sistema debe dirigirse al:

• Hardware

• Software

• Datos

Seguridad Informática– Tipos de Ataques

Interrupción Intercepetación Modificación Fabricación

Ataque contra la

disponibilidad en el que

se destruye o queda no

disponible un recurso del

sistema (por ejemplo,

cortar una línea de

comunicación o

deshabilitar el sistema de

archivos del servidor).

característico de ataque

de interrupción son los

ataques de denegación

de servicio.

Ataque contra la confidencialidad

en el que un elemento no

autorizado consigue el

acceso a un recurso.

En este tipo de ataque no se

refiere únicamente a

posibles usuarios que

actúen como espías en la

comunicación entre emisor y

receptor.

Por ejemplo, un proceso

que se ejecuta de forma

oculta en un computador y

que almacena en archivo las

teclas que pulsa el usuario

que utiliza el terminal,

también constituiría un

ataque de interceptación.

Ataque contra la

integridad y la

confidencialidad en el

que, además de obtener

el acceso no autorizado

a un recurso, también

se consigue su

eliminación o

modificación.

Los ataques realizados

por los hackers (borrado

de bases de datos,

modificación de páginas

webdenominados

webdefacement, etc),

son ejemplos típicos de

esta modalidad de

ataque.

Ataque contra la

integridad en el que

un elemento

consigue crear o

insertar objetos

falsificados en el

sistema.

Por ejemplo, añadir

de forma no

autorizada un nuevo

usuario y su

contraseña

correspondiente en el

archivode

contraseñas.

Seguridad Informática– Ataque cuyo origen pueden ser las personas

Ataques producidos por personas

La mayor parte de los ataques que puede sufrir un sistema

informático provienen de las personas que, con distintos

objetivos, intentan acceder a información confidencial,

destruirla, o simplemente conseguir el control absoluto del

sistema atacado.

Conocer los objetivos de los atacantes y sus motivaciones,

resultará en consecuencia, esencial para la prevención y

detección de sus acciones.

Los ataques producidos por las personas, se dividen en dos grandes clases:

• Pasivos

• Activos

Seguridad Informática– Ataques producidos por personas

Pasivos Activos

El atacante no modifica ni destruye ningún recurso del

sistema informático, simplemente lo observa, normalmente

con la finalidad de obtener alguna información confidencial.

A menudo, este ataque se produce sobre la información que

circula a través de una red: El atacante no altera la

comunicación, sino que sencillamente la escucha y obtiene la

información que se transmite entre emisor y receptor.

Ya que la información que se transmite no resulta alterada, la

detección de este tipo de ataque no es tarea sencilla porque

la escucha no tiene ningún efecto sobre la información

circulante.

Una solución muy eficaz que permite resolver este tipo de

problema consiste en el uso de técnicas criptográficas para

evitar que la información se transmita en claro y no pueda ser

comprensible por los presuntos espías.

En una acción de este tipo, el atacante altera o

destruye algún recurso del sistema. Por ejemplo, en

el caso de un espía que monitoriza una red, podrían

llegar a producirse graves problemas:

Suplantación de identidad: El espía puede suplantar la

identidad de una persona y enviar mensajes en

nombre suyo.

Reactuación: Uno o varios mensajes legítimos son

interceptados y reenviados varias veces para

producir un efecto no deseado (por ejemplo, intentar

repetir varias veces un ingreso en una cuenta

bancaria.)

Degradación fraudulenta del servicio: El espía evita el

funcionamiento normal de los recursos del sistema

informático. Por ejemplo, podría interceptar y eliminar

todos los mensajes dirigidos a un usuario concreto.

Modificación de mensajes: Se modifica una parte del

mensaje interceptado y se reenvía a la persona al

cual se dirigía el mensaje originalmente.

Seguridad Informática– Perfiles de posibles atacantes

Perfiles

Personal de la propia organización: Aunque en principio el personal interno

goza de la confianza de la organización, lo cierto es que algunos ataques

pueden producirse desde el interior de la propia compañía.

A menudo, estos ataques no son intencionados (aunque cuando lo son,

son los más devastadores que pueden producirse), y pueden tratarse de

accidentes provocados por el desconocimiento del personal (por ejemplo,

el formato accidental de un disco duro).

Antiguos trabajadores: Un porcentaje muy importante de los ataques a

sistemas informáticos son los realizados por antiguos trabajadores que,

antes de abandonar la organización, instalan programas destructivos,

como por ejemplo, virus o bombas lógicas que se activan en ausencia del

trabajador que, despedido o descontento por las condiciones de trabajo,

ha cambiado de empresa.

La presencia de este tipo de software no es fácil de detectar, pero al

menos sí es posible evitar los ataques que el ex trabajador pueda realizar

desde el exterior, utilizando el nombre de usuario y contraseña que

disponía cuando aún trabajaba en la organización.

Por lo tanto, como norma general, es necesario dar de baja todas las

cuentas de los ex trabajadores y cambiar sus contraseñas de acceso al sistema lo antes posible

Seguridad Informática– Perfiles de posibles atacantes

Perfiles

Hackers (intrusos informáticos): Estas personas normalmente realizarán

ataques pasivos orientados a la obtención de información confidencial

(por ejemplo, un examen de un curso universitario), o simplemente su

finalidad consistirá en ponerse a prueba para obtener el control del

sistema atacado. Además, si el atacante es suficientemente hábil, incluso

podría eliminar las huellas de sus acciones en los archivos que las

registran (denominados genéricamente archivos log). Ya que este tipo de

acciones no producen ningún efecto "visible", no son fácilmente

detectables.

Cuando la finalidad de la intrusión es destructiva, la persona que realiza la

acción recibe el nombre de cracker.

Intrusos remunerados: A pesar de no ser un tipo de ataque muy frecuente,

también es pertinente tenerlo en cuenta: En este caso, los intrusos se

encuentran perfectamente organizados (hasta pueden localizarse en

distintas ubicaciones geográficas) y atacan conjuntamente el sistema de

una organización determinada.

Disponen de muchos medios técnicos y reciben remuneraciones muy

elevadas de la organización rival que dirige el ataque, a menudo con el

objetivo de acceder a información confidencial (espionaje industrial), o

bien con la intención de provocar un daño importante en la imagen de la

organización atacada.

Seguridad Informática – Legales

Legislación

En la gran mayoría de países, debe encontrarse de

marcos legislativos que permitan garantizar la

seguridad de la información. Por ello, tanto la

protección de los datos como la correcta gestión de la

seguridad de los sistemas de TI, exigen conocimientos

sobre la legislación vigente.

Los legisladores han establecido dicho marco

legislativo con el propósito de garantizar la seguridad

en relación con el tratamiento de datos y al mismo

tiempo han velado para salvaguardar los intereses de

los ciudadanos.

Seguridad Informática – Legales

Legislación en Colombia

En Colombia, el 5 de Enero de 2009 se promulgó la ley 1273 por medio

de la cual se modificó el código penal.

Esta ley crea un nuevo bien jurídico tutelado, denominado: “ de la

protección de la información y de los datos”, preservando integralmente

los sistemas que utilicen TIC.

Se divide en dos capítulos: “de los atentados contra la

confidencialidad, la integridad y la disponibilidad de los datos y los

sistemas informáticos” y “de los atentados informáticos y otras

infracciones”.

Con esta ley se tipificaron como delitos una serie de conductas que están

relacionadas con el manejo de los datos personales. Ello exigen como

consecuencia, que las empresas conozcan con claridad dicha ley, para

no incurrir en una acción que pueda ser tipificada como delito penal.

Seguridad Informática – Legales

Artículos ley 1273 – Capítulo I

Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado,

acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del

mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El

que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los

datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48)

a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos

informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientesde un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o

suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en

pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera,

distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación

de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a

1000 salarios mínimos legales mensuales vigentes

Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un

tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee

códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en

pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales

mensuales vigentes.

Seguridad Informática – Legales

Artículos ley 1273 – Capítulo I

Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar

facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas

emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000

salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más

grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga

entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

Artículo269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: las penas imponible de acuerdo con los artículos descritos en

este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:

1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.

2. Por servidor público en ejercicio de sus funciones.

3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con

este.

4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.

5. Obteniendo provecho para si o para un tercero.

6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

7. Utilizando como instrumento a un tercero de buena fe.

8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información,

además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales

Seguridad Informática – Legales

Artículos ley 1273 – Capítulo II

Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad

informáticas, realice la conducta señalada en el artículo 239 [3]manipulando un sistema informático, una red de sistema

electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de

autorización establecidos, incurrirá en las penas señaladas en el artículo 240 del Código Penal [4] , es decir, penas de prisión de tres (3) a ocho (8) años.

Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna

manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un

tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de

cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisióndel delito descrito en el inciso anterior, o de una estafa [5].

Seguridad Informática – El Valor de la información

INFORMACIÓN

Toda la información será Valiosa ? Qué información es valiosa y cuán valiosa es para la empresa ?

RECURSO DE LA INFORMACIÓN

Todo equipo, proceso o información que se asocia con la información y se considera,

debe ser protegido por la organización.

VALOR DE LA INFORMACIÓN

Consiste en el valor o costo asociado con:

• La creación de la información

• El almacenamiento de la información

• La retención y administración de la información

• El valor intrínseco de la información

Seguridad Informática – Protección de la Información

Protección de la información

Una vez se cuenta con el conocimiento del valor de la información, se deben

evaluar que esfuerzos necesarios representa para la organización el protegerla.

La protección de la información, exige que la empresa realice

inversionesprogresivas, tantoen software como en hardware, así como personal

especializado para su administración.

Factores a tenerse en cuenta

Si la pérdida de la información trae como consecuencia un costo (a nivel económico o

de funcionamiento de la organización) para la creación de la misma menores que

su protección, entonces no se protege.

Si la pérdida (temporal o permanente), divulgación o modificación de la información

no afecta al funcionamiento de la organización, entonces ¿para qué se protege o

almacena? Mejor borrarla. Ahorra costos.

Si la información no tiene valor, no la protegeremos.

Seguridad Informática – Protección de la Información

Protección de la información

El concepto de seguridad puede verse como la gestión del riesgo: Siempre y para cada

caso, se debería realizar una evaluación de riesgos que incluya:

• un análisis del impacto de la organización por la pérdida (temporal o

permanente), divulgación o modificación de la información para determinar el

nivel de protección necesario.

Sin este análisis, no podría saberse qué información está adecuadamente protegida o no

(subprotegida o sobreprotegida).

Metodologías para el análisis y la gestión de Riesgos - MAGERIT

Esta metodología fue desarrollada por el Consejo Superior de Administración Electrónica de

España, como consecuencia del importante crecimiento en el uso de las TIC, tanto por

empresas como personas naturales.

Esta metodología persigue los siguientes objetivos:

1. Concienciar a los responsables de los sistemas de información de la existencia de

riesgos y de la necesidad de atajarlos a tiempo.

2. Ofrecer un método sistemático para analizar tales riesgos.

3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo

control.

4. Preparar a la organización para procesos de evaluación, auditoría, certificación o

acreditación, según corresponda a cada caso.

TOMADO DE: http://www.csae.map.es/csi/pg5m20.htm