Link vídeo

www.youtube.com/watch?v=N8KbV8s3Lcg

NORMATIVIDAD NACIONAL E INTERNACIONAL DE SEGURIDAD.

NIST SP 800

Estándar  para la certificación de sistemas  basados en las tecnologías de la información que ha sido desarrollado por el NIST(National Institute for Standards and Technology, Instituto Nacional de Estándares y Tecnología), un organismo que depende del departamento de comercio de Estados Unidos.

ISO 17799(BS-7799)

Information Security Management (Gestión de la seguridad de la información), estándar que define un código de buenas prácticas, mediante un conjunto de controles que se pueden aplicar para la gestión de la seguridad de la información en una organización.

ISO/IEC 27001

Information security management systems Requeriments(Requisitos para los sistemas de gestión de seguridad de la información), norma que permite certificar la implantación de un sistema de gestión de la seguridad de la información.

COBIT

Requerimientos de la seguridad establecidos por la ISACA (Information Systems Audit and Control asociation, asociación para el control y la auditoria de los sistemas de In formación-, www.isaca.org)

 SysTrust o WebTrust

El Sello de Confianza SysTrust o WebTrust, simboliza que este sitio ha sido examinado por un Auditor Independiente, que ha emitido un Informe Favorable (ver abajo) sobre las Manifestaciones que hacen los Administradores como Autoridad de Certificación.

Criptografía Simétrica

También llamada criptografía de clave secreta,  Es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar.

Criptografía Asimétrica.

Es el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Se utiliza una para cifrar y la otra para descifrar.

Principios matemáticos critografía

La criptografía, es la ciencia que se encarga de estudiar las distintas técnicas empleadas para transformar (“encriptar” o “cifrar”) la información y hacerla irreconocible a todos aquellos usuarios no autorizados de un sistema informático, de modo que solo legítimos propietarios puedan recuperar (desencriptar o decifrar) la información original.

    El termino criptografía proviene del griego “Kriptos” (oculto) y grafos (escritura), por lo que significa etimológicamente el “arte de escribir de un modo secreto o enigmático”.

Mediante la criptografía es posible garantizar la confidencialidad, la integridad y la autenticidad de los mensajes y documentos guardados en un sistema o red informático.

El criptoanálisis es la ciencia que se ocupa de estudiar herramientas y técnicas que permitan romper los códigos y sistemas de protección definidos por la criptografía.

La ciencia de inventar sistemas de  cifrado de la información (criptografía)  y de desbaratarlos (criptoanálisis) se le conoce colectivamente con el término de cristología.

Un cripto-sistema o sistema criptográfico está constituido por un conjunto de algoritmos y técnicas criptográficas que permiten ofrecer una serie de servicios de seguridad de la información: confidencialidad, autenticidad e integridad.

Un sistema criptográfico  moderno se basa en un determinado algoritmo de encriptación o de cifrado que realiza unas transformaciones sobre el texto original  conocido como texto en claro para obtener un texto modificado conocido como texto cifrado o  criptograma. 

Reporte "Hackeando un Sitio"

Publica  en un comentario la liga de tu reporte.

1.1         INTRODUCCIÓN  A LA SEGURIDAD DE LA INFORMACION.

1.1.1     SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.

1.1.2     TIPOS DE SEGURIDAD INFORMATICA

·         Seguridad Física.

La Seguridad Física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención para que no le ocurra nada al ordenador, la seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático.

Por Ejemplo: Incendios, inundaciones, terremotos, instalación eléctrica, entre otros.

·         Seguridad Lógica

Se encarga de asegurar la parte software  de un  sistema informático  que se compone de  todo lo que no es físico es decir programas y los datos, la seguridad lógica se encarga de controlar el acceso al sistema informático  desde el punto de vista  del software se realice correctamente y  por  usuarios autorizados  ya sea dentro del sistema informático como desde fuera dentro de la seguridad lógica  tenemos una serie de programas  o software  como el sistema operativo  que se debe encargar  de controlar el acceso  de los procesos o usuarios a los recursos del sistema  cada vez los sistemas operativos controlan más la  seguridad  del equipo informático ya sea por parte de un error, por el uso incorrecto del sistema operativo o del usuario o bien por el acceso no controlado físicamente o a través de la red, es casi imposible  que sea totalmente seguro pero se pueden tomar ciertas medidas para evitar daños  a la información o a la privacidad. Para mantener la seguridad  de un sistema informático se pueden utilizar diversas  como el uso de contraseñas, encriptación  de la información  uso de antivirus, cortafuegos.

Por Ejemplo: Control de acceso, autenticación, encriptación, firewalls, antivirus (en caso de Usar Windows).

1.1.3     CONCEPTOS DE SEGURIDAD INFORMATICA.

Disponibilidad

La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. La disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.

Integridad

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.

La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información

Confidencialidad

La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.

Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.

La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.

Control de acceso

Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.

Esta propiedad se puede considerar como un aspecto de la integridad -si está firmado por alguien, está realmente enviado por el mismo.

Ejercicio 1. Contestar las siguientes preguntas, con tus propias palabras anotar tus respuestas junto con las preguntas en tu cuaderno.

1.- ¿Qué es Seguridad de la Información?

2.- ¿Cuáles son los tipos de seguridad  Informática?

3.- ¿Qué es Seguridad física?

4.- ¿Que es Seguridad Lógica?

5.-Define Disponibilidad.

6.- Define Confiabilidad.

7.-Define Integridad.

8.-Define Control de Acceso

Actividad 2 Políticas de Seguridad

Instrucciones: Toma  el apunte de políticas de seguridad  puede ser un resumen o todo según lo que tu consideres importante y desarrolla el ejercicio 2  que viene en la parte de  abajo. 

¿Qué es una política de seguridad?  

Podemos definir Política de Seguridad, como el conjunto de normas y procedimientos establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. Según el grado de madurez de la organización en la gestión de sus activos de información, esta Política de Seguridad puede ser más o menos sistemática y detallada. 

    

De una política de mínimos, que regule exclusivamente algunos aspectos del tratamiento de la información, como el alta y baja de usuarios y el acceso de los mismos a los sistemas de la Organización, podemos encontrarnos con una política de detalle ligada a una definición clara de Roles y Responsabilidades que desarrolle todo un sistema de gestión de la seguridad.

Según su grado de madurez, la existencia de esta política afectará a los derechos y obligaciones que la Organización nos otorgue para llevar a cabo nuestro trabajo.

En particular, determinadas obligaciones, en materia de seguridad, solo podrán ser exigidas en presencia de una política conocida por los empleados que las contemple y regule expresamente.      

Características de una política de seguridad. 

La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, una política de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas, y debe:

• ü  Ser holística (cubrir todos los aspectos relacionados con la misma).
• ü  Adecuarse a las necesidades y recursos.
• ü  Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
• ü  Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
• ü  Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.
• ü  Deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc.   

Ejemplos de Políticas de seguridad.

ü  Toda persona que entra al laboratorio A deberá registrarse en el con su credencial de acceso.

ü  Solo el Jefe del departamento de informática  podrá proporcionar los usuarios y contraseñas  para uso de los equipos del laboratorio B.

Ejercicio 2: Por parejas en tu cuaderno elabora 10 políticas de seguridad para la unidad académica de Pinos. E identifica ventajas y desventajas de implementar dichas políticas de seguridad. 

 Por ultimo explica con tus propias palabras que es una política de seguridad.