Con el uso de cableado estructurado y líneas telefónicas, esas redes fueron creciendo hasta alcanzar grandes dimensiones.

Documentos relacionados
UD 1: Adopción de pautas de seguridad informática

Elementos vulnerables en el sistema informático: hardware, software y datos. Luis Villalta Márquez

2.Introducción a la seguridad

Facultad de Ingeniería Mecánica y Eléctrica SEGURIDAD EN REDES EVOLUCION DE LA SEGURIDAD EN REDES TCP/IP

REDES DE DATOS Modelo OSI. Angélica Flórez Abril, MSc.

Seguridad Informática

FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD

Unidad I Marco teórico sobre redes de computadoras

Estudio de los riesgos relacionado con las redes Wi-Fi. A. Alejandro González Martínez

Reporte de incidente de seguridad informática.

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

Recopilación presentada por 1

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Seguridad DNS. Tema 3 SRI. Vicente Sánchez Patón. I.E.S Gregorio Prieto

El Modelo. Aplicación. Presentación. Sesión. Transporte. Red. Enlace. Físico

Antes de imprimir este documento piense en el medio ambiente!

Cómo desarrollar una Arquitectura de Red segura?

ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

Redes de comunicación

IT Essentials I: PC Hardware and Software

Seguridad en internet. La seguridad

La seguridad informática en la PYME Situación actual y mejores prácticas

Riesgos en Banca Electrónica Una perspectiva jurídica desde la certificación digital. ERICK RINCON CARDENAS

HOJA DE CONTROL DE CAMBIOS EN LA NORMATIVA INTERNA DE EP PETROECUADOR

Secretaría Nacional de la Administración Pública Subsecretaría de Tecnologías de la Información

Recomendaciones para el uso del correo electrónico.

Un Poco de Historia Criptografía, Criptografía Clásica

Perfiles y funciones de los Profesionales evaluadores

Criptografía básica. (extracto de ponencia Administración Electrónica ) EUITIO Universidad de Oviedo. Alejandro Secades Gómez

SEGURIDAD DE LA DATA MASTERBASE S.A.

Juan Carlos Rodríguez (S21Sec) Juan José Carrasco (IZENPE) Rames Swart (SmartAccess)

POLICÍA NACIONAL DEL ECUADOR DIRECCIÓN NACIONAL DE COMUNICACIONES

LAS REDES DE COMPUTADORAS

PROCEDIMIENTOS DEL NOC RESPALDO Y RECUPERACION DE DATOS

Implementación de Centros de Computo y Redes de Computadoras

Mayor Movilidad, Mejor Productividad

2. Tipos de protección que hay actualmente (utiliza puntos). -Antivirus y cortafuegos.

Luis Villalta Márquez

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

PA JOSÉ MANUEL BURBANO CARVAJAL

BOLETÍN OFICIAL DEL ESTADO

BANCO DE REACTIVOS DE OPCIÓN MÚLTIPLE CON MATRIZ DE RESPUESTAS

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

Seguridad en Ambientes Grid

Modelo OSI y TCP/IP. Teleprocesamiento Ing. Zoila Marquez.

Circular de Tecnología Pautas para el uso de Certificados Digitales Personales

Introducción a la Operación de Computadoras Personales

Diagramas De Casos De Uso

Comunicación de Datos I Profesora: Anaylen López Sección IC631 MODELO OSI

ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA ROBO DE IDENTIDAD EN INTERNET: USO INDEBIDO DE DATOS PERSONALES

Servicio de terminal remoto. Jesús Torres Cejudo

Selección del Hardware y Software Administración del proceso de desarrollo de Sistemas de Información.

GUÍA DE ESTUDIO TEMA 2. MODELO OSI. ESTÁNDARES Y PROTOCOLOS. MODELO TCP/IP.

Universidad Autónoma del Estado de México ADMINISTRACIÓN Y SEGURIDAD EN SISTEMAS OPERATIVOS SEGURIDAD SOBRE WINDOWS POR: J. JAIR VÁZQUEZ PALMA

CONCEPTOS BÁSICOS Y SISTEMA OPERATIVO

Virus Informáticos. k. Antecedentes de los virus informáticos (10 pts.) i. Características de los virus informáticos (10 pts.)

Axence nvision. Funcionalidades de Axence nvision

Además, debido al incremento del parque informático actual se requiere aumentar la cantidad de licencias, ya que a la fecha resulta insuficiente.

Principios Básicos de Seguridad en Bases de Datos

III Unidad Planificación y diseño de una red (LAN)

GESTIÓN DE ARCHIVOS. Presentado por: Alba Arosemena Alma Vargas Hospicia Mendoza Roselvira Fernández Ahías Arosemena

UNIDAD 1: CONCEPTOS BA SICOS DE BASE DE DATOS

UNIVERSIDAD CENTRAL DE VENEZUELA FACULTAD DE INGENIERÍA ESCUELA DE INGENIERÍA CIVIL DEPARTAMENTO DE INGENIERÍA ESTRUCTURAL

Lic. Saidys Jiménez Quiroz. Área de Tecnología e Informática. Grado 6 - Cescoj

Introducción a la seguridad en redes IP

La Firma Digital. Seguridad en Redes TCP/IP. Tabla de Contenidos

Diseño arquitectónico 1ª edición (2002)

Programa de Desarrollo Web Avanzado

TIPOS DE REDES Y TOPOLOGIAS

TÉRMINOS Y CONDICIONES DE USO DE LA PÁGINA WEB DE REPOSTERÍA ASTOR S.A.S.

ADMINISTRACIÓN DE SERVIDORES BAJO WINDOWS 2012 MS20410: Instalando y Configurando Windows Server 2012

Seguridad Informática en Bibliotecas

Redes de computadoras

CERTIFICADO Y FIRMA DIGITAL

LEY DELITOS INFORMÁTICOS

LEY DELITOS INFORMÁTICOS

CRIPTOGRAFIA, ESTEGANOGRAFIA Y WATERMARKING

Aspectos Básicos de Networking

Riesgo tecnológico y su impacto para las organizaciones parte I

Términos informáticos usados en

CUESTIONARIO PARA EL PROTOCOLO TCP/IP PREGUNTAS

PROGRAMA FORMATIVO. MCSA Windows Server 2012

Seguridad 101. Daniel

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

ANTIVIRUS TOOLS INTEGRANTES: RAMIREZ GARCIA BLANCA SILVIA ESLAVA FLORES VICTOR GRUPO: 5 ºNP

La migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio.

1.4.1 Inicio de la computadora por primera vez Hay problemas Causas, síntomas y soluciones a posibles averías...

Unidad I Fundamentos de la Seguridad Informática. Introducción

PASOS PARA INSTALAR EL SISTEMA OPERATIVO LINUX DISTRIBUCION CENTOS

PROGRAMA FORMATIVO WINDOWS XP PROFESIONAL COMPLETO

TEMARIO COMPUTACIÓN, COMERCIO Y CONTABILIDAD

DIPLOMADO. Administración Avanzada de Redes de Comunicaciones con base en las Mejores Prácticas de ITIL

PROPUESTAS PARA IMPULSAR LA SEGURIDAD INFORMÁTICA EN MATERIA DE EDUCACIÓN. Panorama General... 1 Objetivo General... 2 Objetivos Particulares...

Sistemas Operativos. Curso 2016 Sistema de Archivos

LINEAMIENTOS ESPECÍFICOS PARA EL USO DE LA FIRMA ELECTRÓNICA AVANZADA EN LOS OFICIOS DEL ESTADO DEL EJERCICIO DEL INSTITUTO NACIONAL ELECTORAL

SISTEMAS INFORMÁTICOS PROGRAMACION I - Contenidos Analíticos Ing. Alejandro Guzmán M. TEMA 2. Diseño de Algoritmos

Protocolos de Internet

Gestión de riesgos: Abarca todas las actividades encaminadas a proporcionar un nivel de seguridad adecuado en las tecnologías de la información.

El Comercio Electrónico y la Firma Digital

Transcripción:

6.3. Seguridad informática 6.3.1. Computadoras personales En el siglo pasado tuvo un auge muy importante la computación. En esta etapa, la introducción de la microcomputadora hizo posible que cada persona tuviera a su disposición el poder del cómputo. En 1981, IBM introduce la computadora personal (PC), una microcomputadora con arquitectura no propietaria desarrollada alrededor de la familia de procesadores Intel 8086. Este hecho hace posible que la computadora llegue al hogar, oficina y escuelas, etc. Conforme el uso de las computadoras se fue incrementando fueron surgiendo nuevas amenazas como son: lo virus gusanos y caballos de Troya, adware, hacker, programas de espionaje, entre otros. Esta situación se complicó cuando las computadoras pudieron ser interconectadas en red, para compartir recursos; software, disco, información y poder comunicarse entre ellas. Con el uso de cableado estructurado y líneas telefónicas, esas redes fueron creciendo hasta alcanzar grandes dimensiones. Problemas de seguridad Conforme las organizaciones introdujeron el uso de microcomputadoras, fueron perdiendo el control del procesamiento de información que se encontraba presente en el tradicional centro de cómputo, siendo ahora trasladado a las computadoras personales. Este hecho da lugar, al surgimiento de nuevos requerimientos de seguridad, bajo la premisa de que existen más recursos que perder y más formas de hacerlo. En este nuevo escenario hay algunos factores muy importantes que se deben tomar en cuenta: Ninguno de los sistemas de escritorio, como las computadoras personales, fueron diseñados considerando la seguridad.

No todos los usuarios de las computadoras son expertos en cómputo, por lo que el mal uso de sus equipos frecuentemente comprometen la seguridad de la información o servicios que residen en éstos. La amplia disponibilidad de los sistemas personales de cómputo pone la capacidad de amenaza en las manos de más personas, incrementando el riesgo para las organizaciones. Por otra parte, las microcomputadoras tienen problemas de seguridad propios que deben ser entendidos para poder tomar las medidas adecuadas. Estos problemas incluyen: 1. Accesibilidad física. 2. Software. 3. Respaldos. 4. Concientización de seguridad a los usuarios. 1. Accesibilidad física Un nuevo problema que se presentó al llevar los sistemas de cómputo al escritorio es la facilidad para el robo de las computadoras personales o sus componentes. 2. Software La facilidad con la que se pueden instalar nuevos programas o compartir información en las computadoras personales trajo consigo problemas relacionados con código malicioso (virus, troyanos, gusanos, etc.). 3. Respaldos Los usuarios de los sistemas generalmente no protegen la información contenida en los equipos mediante la ejecución de respaldos periódicos y, cuando ocurre un problema, se llega a perder parte o la totalidad de la información.

4. Concientización de seguridad a los usuarios Uno de los aspectos más críticos relacionados con la revolución en el uso de la computadora personal, es la falta de conciencia de seguridad, sobre todo en lo concerniente a la vulnerabilidad de la información crítica y sensible que reside en estos ambientes. 6.3.2. Internet Internet es una red de redes de alcance mundial que utiliza el protocolo TCP/IP para las comunicaciones. Fue creada para facilitar la comunicación entre el gobierno y los investigadores 1. Internet proporciona la infraestructura necesaria para la comunicación e intercambio de información, haciendo posible la existencia de muchos servicios, entre los que se encuentran: el correo electrónico, la transferencia de archivos, acceso a sistemas remotos, conferencias interactivas, grupos de noticias y acceso a la red global Internet. En un ambiente de red, la seguridad debe considerar el origen, el canal, el receptor y los medios de almacenamiento. En el caso de Internet, este esquema se complica debido a que la información que viaja por Internet debe pasar por muchas computadoras y redes interconectadas antes de llegar a su destino final. Problemas de seguridad en Internet El cómputo en Internet tiene dos características principales: procesamiento distribuido y comunicaciones abiertas. Estos aspectos, la complejidad de la configuración de los equipos conectados a Internet, las vulnerabilidades introducidas en el proceso de desarrollo de software, y otros factores, han contribuido a la apertura de puertas para problemas relacionados con la seguridad. 1 El nombre TCP/IP proviene de dos de los protocolos más importantes de la familia de protocolos Internet: el Transmission Control Protocol (TCP) y el Internet Protocol (IP) José Luis Raya, TCP/IP para Windows 2000 Server Colombia 2001, p. 59.

Las principales vulnerabilidades de seguridad en Internet se derivan de los siguientes aspectos: facilidad para curiosear, servicios de TCP/IP vulnerables, complejidad en la configuración, código ejecutable, navegador inseguro. De lo anterior se desprenden las típicas amenazas en un ambiente de Internet, entre las que se encuentran: negación de servicio, acceso no autorizado a información, mal uso de los activos de información, eliminación de información, modificación o revelación no autorizada y enmascaramiento. Vulnerabilidades de seguridad en Internet Amenazas en un ambiente de Internet Facilidad para curiosear. Servicios de TCP/IP. vulnerables. Complejidad en la configuración. Código ejecutable. Navegador inseguro. Negación de servicio. Acceso no autorizado a información. Mal uso de los activos de información. Eliminación de información. Modificación o revelación no autorizada. Enmascaramiento. Figura 6.5. Vulnerabilidad y amenazas en Internet. 6.3.3. Vulnerabilidad, amenazas y ataques Se entenderá como sistema de cómputo al conjunto formado por la colección de hardware, software, medios de almacenamiento, datos o información y personas involucradas en el cómputo. Se entiende como compromiso de seguridad a cualquier forma posible de pérdida o daño en un sistema de cómputo. De esta forma, comprometer la

seguridad de un sistema equivale a la posibilidad de provocar pérdida o daño al sistema. Una vulnerabilidad consiste en cualquier debilidad que puede explotarse para causar pérdida o daño al sistema. Una amenaza es cualquier circunstancia con el potencial suficiente para causar pérdida o daño al sistema. Los principales activos o recursos que se deben proteger en un sistema de cómputo son: hardware, software y datos. Existen cuatro tipos de amenazas principales a los sistemas que explotan las vulnerabilidades de los activos en el sistema: interrupción, intercepción, modificación y fabricación. Interrupción Intercepción Amenazas a los sistemas Modificación Fabricación Figura 6.6. Amenazas a los sistemas En el caso de una interrupción, un activo del sistema se pierde, se hace indisponible o inutilizable. Una intercepción significa que alguna parte no autorizada logre acceso a un activo del sistema. Esta parte no autorizada puede ser una persona, un proceso u otro sistema de cómputo.

Un ataque consiste en cualquier acción que explota una vulnerabilidad. Los ataques se pueden clasificar en pasivos y activos. Un ataque pasivo consiste en sólo observar comportamientos o leer información, sin alterar el estado del sistema ni la información. Un ataque pasivo sólo afecta la confidencialidad o privacidad del sistema o de la información. Un ataque activo tiene la capacidad de modificar o afectar la información, el estado del sistema o ambos. Normalmente, un ataque pasivo es la antesala o preparación para un ataque activo. El atacante es capaz de: interceptar, leer, alterar, modificar, cambiar, fabricar, retener o reenviar información. Así como también puede engañar y suplantar a las partes legítimas en una comunicación. En todos los casos, el objetivo de un atacante siempre es aprovechar en su favor la información, el medio, o los recursos de cómputo. Para ello, se asume que el atacante conoce, o puede conocer, la naturaleza y estructura de la información, los algoritmos de cifrado (si se usan), y sobre todo, la implementación de ellos. Un buen algoritmo de seguridad debe ser público: tanto el algoritmo en sí, como su implementación. La seguridad siempre debe residir en la fortaleza del algoritmo y no en el hecho de mantenerlo oculto. Muerte del hardware o software Se puede lograr la destrucción total del sistema o hacerlo completamente inútil; no obstante, la principal desventaja es que el adversario está consciente de la posible pérdida de su sistema y puede usar sistemas alternos.

Técnicas de inserción La inserción de código malicioso puede tener lugar durante los procesos de manufactura o distribución. Aunque, también puede ser insertado por campos operativos en tiempo de crisis. El código puede ser disparado remotamente o por medio del uso de bombas lógicas que hacen al sistema completamente inefectivo o degradar lentamente su rendimiento. 6.3.4. Servicios de seguridad Los servicios de seguridad definen los objetivos específicos a ser implementados a través de mecanismos de seguridad. Un servicio de seguridad es una característica que debe tener un sistema para satisfacer una política de seguridad. La arquitectura de seguridad ISO identifica cinco clases de servicios de seguridad: 1. Confidencialidad. 2. Autenticación. 3. Integridad. 4. Control de acceso. 5. No repudio. 1. Confidencialidad Actualmente, una de las técnicas más importantes para implementar este servicio es la criptografía. El modelo ISO identifica los siguientes tipos de servicios de confidencialidad: Confidencialidad con conexión. Confidencialidad sin conexión. Confidencialidad selectiva de campo. Confidencialidad de flujo de tráfico.

2. Autenticación Este servicio consiste en garantizar que las partes o entidades participantes en una comunicación sean las que dicen ser. El servicio de autenticación está íntimamente relacionado al de control de acceso. 3. Integridad Este servicio protege a los activos del sistema contra modificaciones, alteraciones, borrado, inserción y, en general, contra todo tipo de acción que atente contra la integridad de los activos. La arquitectura ISO identifica los siguientes servicios de integridad: Integridad con conexión con recuperación. Integridad con conexión sin recuperación. Integridad con conexión selectiva a campos. Integridad sin conexión. Integridad sin conexión selectiva a campos. La manera en que este servicio de seguridad se implementa normalmente es a través de funciones hash o funciones de dispersión. 4. Control de acceso Este servicio protege a los activos del sistema contra accesos y usos no autorizados. Éste es uno de los servicios que normalmente no utilizan técnicas criptográficas para su implementación. Otras que si lo usan son Bell y La Padula, ente otros. 5. No repudio El no repudio proporciona protección contra la posibilidad de que algunas de las partes involucradas en una comunicación niegue haber enviado o recibido un mensaje, u originado o haber sido el destinatario de una acción. Los servicios de no repudio identificados por ISO son:

No repudio con prueba de origen. No repudio con prueba de entrega. Para implementar este servicio se utilizan esquemas de llave pública, tales como las firmas digitales, técnicas de llave pública y de llave secreta. 6.3.5. Servicios y mecanismos de seguridad Un servicio de seguridad identifica lo que es requerido, mientras que el mecanismo describe como lograrlo. No existe un único mecanismo capaz de proveer todos los servicios, pero la mayoría de ellos hacen uso de técnicas criptográficas basadas en el cifrado de la información. Los mecanismos más importantes son: Nombre Intercambio de autenticación Cifrado Integridad de datos Firma digital Control de acceso Función Corrobora que una entidad, ya sea origen o destino de la información, es la deseada. Garantiza que la información no es inteligible para individuos, entidades o procesos no autorizados (confidencialidad). Consiste en transformar un texto en claro mediante un proceso de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado. Este mecanismo implica el cifrado de una cadena comprimida de datos a transmitir, llamada generalmente valor de comprobación de integridad (Integrity Check Value o ICV). Este mecanismo implica el cifrado, por medio de la clave secreta del emisor, de una cadena comprimida de datos que se va a transferir. Esfuerzo para que sólo aquellos usuarios autorizados accedan a los recursos del sistema o a la red.

Tráfico de relleno Control de encaminamiento Consiste en enviar tráfico espurio junto con los datos válidos para que el atacante no sepa si se está enviando información, ni qué cantidad de datos útiles se está transmitiendo. Permite enviar determinada información por determinadas zonas consideradas clasificadas. Consiste en añadir a los datos un número de secuencia, la fecha y hora, un número aleatorio, o alguna Unicidad combinación de los anteriores, que se incluyen en la firma digital o integridad de datos. Cuadro 6.1. Mecanismos de seguridad más importantes. 2 2 http://www.iec.csic.es/criptonomicon/seguridad/mecanism.html, 03-agosto-2007

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback