Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Pág. 1
Esquema de una organización o de mi dispositivo personal Pág. 2
Tecnologías de (TI) y de las Comunicaciones (TIC) Cuál es el alcance del concepto? Un concepto gerencial que considera los datos, la información, los recursos de TI (tecnología, programas, instalaciones, redes y personal) como recursos valiosos de la organización que deberán manejarse de manera eficiente, económica y eficaz. Es preciso administrar los recursos de información por medio de procesos de TI a fin de garantizar la obtención de la información que la organización necesita para lograr sus objetivos de negocio En la organización Activos Informáticos Antecedente necesario para llegar al conocimiento exacto de algo o para deducir las consecuencias legítimas de un hecho - Es una representación simbólica (numérica, alfabética, algorítmica) INFORMACIÓN Digital Impresa DATO DOCUMENTO DIGITAL Información representada en bits en algún tipo de soporte. http://legislaciondellibro. wordpress.com/about/ Es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Pág. 3
En las aplicaciones. Programa 1 Programa 2 Archivos /Bases de Datos Programa 5 Informes Programa 3 Programa 6 Programa 4 Ingreso de datos o solicitud de ejecución Programa n Archivos /Bases de Datos Consultas Informes Datos Procesamiento Información Qué tipo de información manejamos? Dónde podemos encontrarla? Información financiera, datos personales de clientes, proveedores o empleados, contratos privados o especificaciones y manuales técnicos. Y la nuestra? Las organizaciones suelen administrar grandes volúmenes de información que puede ser pública o bien crítica o sensible. Ésta puede estar almacenada en dispositivos informáticos, como computadoras (PC, servidores, etc.), CDs, pendrives, teléfonos, o en carpetas, biblioratos, sobre los escritorios, en los cestos de basura, en hojas impresas que han quedado desatendidas en la impresora o en el fax. En general, las organizaciones cuentan con procedimientos organizativos y técnicos para proteger la información, pero el pilar fundamental es que las personas que están en contacto con ella estén los suficientemente entrenadas y sepan cómo proceder para protegerla (concientización). Pág. 4
A quién pertenece la información? Es personal (en mi equipo hogareño) Es personal (en el equipo de la organización) Es de la organización (en el equipo de la organización no debiera llevarla a mi equipo hogareño) Datos personales que administra la organización (Ley de protección de Datos Personales 25.326 CABA 1845) Riesgos de la información La información se encuentra expuesta a múltiples amenazas, que pueden causar, entre otros: Su robo Su destrucción parcial o total Su desvío respecto al destino original Su modificación no autorizada Su intercepción Su eliminación Su uso para otros fines Inclusive puede ser sustraída, sin desaparecer necesariamente del lugar donde se encuentra y sin que sus poseedores o custodios necesariamente lo noten. Pág. 5
Comercio Electrónico B2C - Computadora personal en Internet P2P Riesgos telnet foo.bar.org ID usuario: dan contraseña: Soy José, Envíeme toda la correspondencia corporativa con Pisco m-i-c-o-n-t-r-a-s-e-ñ-a- d-a-n Pérdida de privacidad José Pérdida de Control Depósito $ 1000 Depósito $ 100 Negación de servicio Fuente: Juan de Dios Bel UCP Cliente Pérdida de integridad Banco Amenazas y vulnerabilidades Riesgos: Fuga de información daños en el equipo robo de identidad fraude robos destrucción eliminación No puedo trabajar!!!! Pág. 6
Todos tienen los mismos riesgos Mayores riesgos: Locutorios Redes Wi-Fi públicas (sin clave) Desde cualquier lugar Antecedente necesario para llegar al conocimiento exacto de algo o para deducir las consecuencias legítimas de un hecho - Es una representación simbólica (numérica, alfabética, algorítmica) INFORMACIÓN Digital - Impresa DATO DOCUMENTO DIGITAL Información representada en bits en algún tipo de soporte. http://legislaciondellibro. wordpress.com/about/ Es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Confidencialidad SEGURIDAD DE LA INFORMACIÓN Integridad Disponibilidad Pág. 7
Propiedades de la información segura CONFIDENCIALIDAD - la información no estará disponible o no será revelada a individuos, entidades o procesos no autorizados INTEGRIDAD - la información será precisa y completa DISPONIBILIDAD la información será accesible y utilizable por un individuo, entidad o proceso autorizado cuando sea requerida LEGALIDAD (que cumpla con leyes y normas) AUTORIA (tener certeza de donde proviene) AUDITABILIDAD (poder reconstruir su generación) NO REPUDIO (que la otra parte no pueda negar que la originó o recibió) CONFIABILIDAD (que se garantice su fiabilidad) Control de Acceso Lógico - Proceso de autenticación, autorización y registro 1ID del Usuario= Contraseña= Computadora Logueo del usuario 3 Actualización del archivo de nómina Solicitar una función o recurso 2 Verificar 4 Controlar ID y contraseña de logueo las actividades de logueo y autorización de recursos del usuario Software de Control de Acceso Perfil del Usuario Descripción de Recursos (incluye lista de accceso de usuario) Registros de actividad y violaciones 5 Generar y revisar informes sobre actividades y violaciones (seguimientos y comunicaciones en línea) Pág. 8
1 2 3 4 5 6 7 8 0 9 Centro de Formación Control de acceso lógico Las 3 AAA Autenticación: Quién es usted? Autorización: Qué puede hacer? Actividad: (Accounting/logging/registro) Qué hizo usted? 1 2 3 4 5 6 7 8 0 9 Políticas Org. Separación de funciones (puestos, perfiles) Clasificación de activos informáticos Administración de Usuarios Tec. Seguridad de aplicaciones Seguridad de sistemas operativos y redes Seguridad Lógica F I R E W A L L Internet Red Pública Poblada de amenazas En transferencia, almacenamiento y procesamiento de la información Pág. 9
Por conocimiento Passwords, Pin Por pertenencia Autenticación Tarjetas magnéticas, inteligentes o tokens Por características Huella digital, verificación de iris, reconocimiento del rostro Firma digital Para explicar FD, primero veremos el concepto de cifrado Cifrado Transformación de datos en signos ilegibles para quien no disponga de la/s clave/s para descifrarlos Texto original o plano Clave Cif ra do Texto cifrado Clave De sci fr ad o Texto original o plano Sistemas (algoritmos) criptográficos Simétrico de clave secreta Una única clave conocida por emisor y receptor. El inconveniente más importante es la seguridad de la clave al ser distribuida. Principal exponente, DES (Data Encryption Standard) AES (Advanced Encryption Standard). Pág. 10
Cifrado -. + T ö 3 k @e $ a # ñ o 9 1 m x + t o : g Sistemas (algoritmos) criptográficos (cont.) Asimétrico de clave secreta Emisor y receptor tienen un par de claves: una pública y otra privada. La necesidad de distribuir la clave queda eliminada. Se encripta con la clave pública del destinatario. Se descifra con su clave privada. Principal exponente RAS (Rivest, Shamir, Adleman) Firma digital - Proceso Ana y Bernardo tienen sus pares de claves respectivas Ana escribe un mensaje a Bernardo. Es necesario que Bernardo pueda verificar que realmente es Ana quien ha enviado el mensaje. Por lo tanto Ana debe enviarlo firmado: 1. Resume el mensaje mediante una función hash. 2. Cifra el resultado de la función hash con su clave privada. De esta forma obtiene su firma digital. 3. Envía a Bernardo el mensaje original junto con la firma. Bernardo recibe el mensaje junto a la firma digital. Deberá comprobar la validez de ésta para dar por bueno el mensaje y reconocer al autor del mismo (integridad y autenticación). 4. Descifra el resumen del mensaje mediante la clave pública de Ana. 5. Aplica al mensaje la función hash para obtener el resumen. 6. Compara el resumen recibido con el obtenido a partir de la función hash. Si son iguales, Bernardo puede estar seguro de que quien ha enviado el mensaje es Ana y que éste no ha sido modificado. Con este sistema conseguimos: Autenticidad (la firma digital es equivalente a la firma física de un documento), Integridad (el mensaje no podrá ser modificado), No repudio en origen (el emisor no puede negar haber enviado el mensaje) Pág. 11
Ejemplo de certificado digital Según el standard X509v3 contiene la siguiente información: Identificación del titular del certificado: Nombre, dirección, etc. Clave pública del titular del certificado. Fecha de validez. Número de serie. Identificación del emisor del certificado. Un ejemplo sería: Ejemplo de certificado digital issuer: C=ES ST=L=Barcelona O=SECURITY ZUTANEZ OU=Division de certificados CN=Fulano Menganez Email=Fulano@fulanez.es subject: C=ES ST=O=OU=CN=Jaimito Email=Jaimito@jaimito serial:15 Certificate: Data: Version: 1 (0x0) Serial Number: 21 (0x15) Signature Algorithm: md5withrsaencryption Issuer: C=ES ST=L=Barcelona O=SECURITY ZUTANEZ OU=Division de certificados CN=Fulano Menganez Email=Fulano@fulanez.es Validity Not Before: Nov 18 15:15:31 1998 GMT Not After : Nov 13 15:15:31 1999 GMT Subject: C=ES, ST=, O=, OU=, CN=Jaimito Email=Jaimito@jaimito Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:9e:74:de:c9:1a:6b:f4:fe:d1:04:30:58:7e:8b: 51:7a:98:23:e9:45:a9:c2:a7:7c:f8:f8:b5:9a:a2: ea:c1:99:68:ba:f7:c3:d8:06:05:1b:6a:47:a1:44: 5c:2c:a6:e0:4b:6f:ce:02:c4:06:32:20:34:be:13: 97:39:a3:aa:6f:2f:41:a7:bc:14:c8:f3:0c:ad:9d: 09:63:8a:f5:eb:60:5b:06:a6:01:fb:1a:07:b2:c6: 39:48:bb:b7:00:56:4e:20:6d:87:3f:67:0b:2f:f4: b0:5f:74:7f:90:6b:b4:47:6f:56:1a:b5:c5:42:54: 9b:e5:e3:00:e2:4f:e3:14:47 Exponent: 65537 (0x10001) Signature Algorithm: md5withrsaencryption 3b:2b:e9:ff:48:48:35:ab:30:5c:e2:d1:88:c9:29:8b:bc:09: b2:58:80:17:9c:e7:08:0a:7d:8a:5e:46:a8:83:3b:ee:84:de: 62:e3:ea:51:cb:92:bc:fa:db:90:bd:cd:9f:25:d4:4a:48:63: ac:b8:93:f9:dc:9c:cf:ef:fd:45 Pág. 12
Ejemplo de certificado digital - -----BEGIN CERTIFICATE----- MIICOzCCAeUCARUwDQYJKoZIhvcNAQEEBQAwgaYxCzAJBgNVBAYTAkVTMRIwEAYD VQQIEwlDYXRhbHVueWExDDAKBgNVBAcTA0JjbjEVMBMGA1UEChMMU0VDVVJJVFkg QkNOMRowGAYDVQQLExFzZWNjaW8gZCdlbXByZXNlczEdMBsGA1UEAxMURGF2aWQg R3VlcnJlcm8gVmlkYWwxIzAhBgkqhkiG9w0BCQEWFGd1ZXJyZXJvQGdyZWMudXBj LmVzMB4XDTk4MTExODE1MTUzMVoXDTk5MTExMzE1MTUzMVowZjELMAkGA1UEBhMC RVMxCTAHBgNVBAgTADEJMAcGA1UEChMAMQkwBwYDVQQLEwAxGDAWBgNVBAMUD0Nh bhzpbiamiehvymjlczecmbogcsqgsib3dqejaryny2fsdmluqghvymjlczcbnzan BgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAnnTeyRpr9P7RBDBYfotRepgj6UWpwqd8 +Pi1mqLqwZlouvfD2AYFG2pHoURcLKbgS2/OAsQGMiA0vhOXOaOqby9Bp7wUyPMM rz0jy4r162bbbqyb+xohssy5slu3afzoig2hp2cll/swx3r/kgu0r29wgrxfqlsb 5eMA4k/jFEcCAwEAATANBgkqhkiG9w0BAQQFAANBADsr6f9ISDWrMFzi0YjJKYu8 CbJYgBec5wgKfYpeRqiDO+6E3mLj6lHLkrz625C9zZ8l1EpIY6y4k/ncnM/v/UU= - -----END CERTIFICATE----- Este es un certificado, válido durante un año, emitido por la autoridad certificadora SECURITY ZUTANEZ para el usuario Fulano cuya clave pública RSA es: Ejemplo de certificado digital exponente: 65537 modulo: 11127195552971827497702000105328725497115357432563948646524265 42649114539614030882310105443040321585401884991855044788817550 61645893205889184340440484177173313682979482908132499473623983 65177107544610936519826706567881109010715263259238888910151015 7610404623906744451048525264576885364836810773621503974118471 Todos los datos están firmados por la AC usando la función hash MD5 y su clave privada RSA. Pág. 13