Seguridad Informtica

Tema 1

1 Sistemas de informacin y sistemas informticos

Un sistema de informacin (SI) es un conjunto de elementos organizados, relacionados y coordinados entres s, encargados de facilitar el funcionamiento global de una empresa o de cualquier otra actividad humana para conseguir unos objetivos. Elementos
Recursos. Pueden ser fsicos ordenadores, perifricos y no informticos lgicos (programas). Equipo humano. Informacin. Conjunto de datos almacenados. (En cualquier soporte). Actividades. Las que realice la organizacin.

Sistema de Informacin
Ejemplo: Un negocio de alquiler de coches.
Recursos. Coches, furgonetas, ordenador, Equipo humano. Ofinica, entrega y recogida de vehculos, Informacin. Datos clientes, vehculos, Actividades. Controlar vehculos disponibles, que cliente usa un vehculo,

Sistemas informticos
Un sistema informtico est constituido por un conjunto de elementos fsicos( hardware dispositivos ,perifricos conexiones), lgicos( sistema operativos, aplicaciones, protocolos) y con frecuencias se incluyen tambin elementos humanos( personal experto que maneja hardware y software).

1 Sistemas de informacin y sistemas informticos

Un sistema informtico puede ser un subconjunto de sistema de informacin, pero en principio un sistema de informacin no tiene por qu contener elementos informticos.

A lo largo de este curso estudiaremos la seguridad en los sistemas de informacin, en general, y en los sistemas informticos en particular.

Seguridad
Seguro: es la de estar libre y exento de todo peligro, dao o riesgo. La seguridad informtica es la disciplina que se ocupa de disear las normas, procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin seguro y confiable.

Para establecer un sistema de seguridad necesitamos conocer:

Elementos que componen el sistema. (Entrevistas y observacin directa). Peligros que afectan al sistema, accidentales o provocados. ( Surgen de entrevistas y pruebas realizadas al sistema). Medidas que deberan adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos potenciales. (servicios y mecanismos que reducen los riesgos)

Tras el estudio de riesgos y la implantacin de medidas, debe hacerse un seguimiento peridico, revisando y actualizando las medidas adoptadas.

Seguridad Informtica

Lo que no est permitido debe estar prohibido

Tipos de seguridad
Activa

Comprende el conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que amenazan al sistema.
Ejemplos: impedir el acceso a la informacin a usuarios no autorizados mediante introduccin de nombres de usuario y contraseas evitar la entrada de virus instalando un antivirus; impedir mediante encriptacin, la lectura no autorizada de mensajes.

Pasiva

Est formado por las medidas que se implanta para, una vez producido el incidente de seguridad, minimizar su repercusin y facilitar la recuperacin del sistema; por ejemplo, teniendo siempre al da copias de seguridad de los datos.

Origen de daos
Fortuito. Errores cometidos accidentalmente por los usuarios accidentes, cortes de fluido elctrico, averas del sistema catstrofes naturales... Fraudulento. Daos causados por software malicioso, intrusos o por la mala voluntad de algn miembro del personal con acceso al sistema, robo o accidentes provocados.

Propiedades de un S.I. seguro

Se considera seguro un sistema que cumple con las propiedades de integridad, confidencialidad disponibilidad de la informacin.

Integridad
Garantiza la autenticidad y precisin de la informacin sin importar el momento en que esta es solicitado, dicho de otra manera una garanta de que los datos no han sido alterados ni destruidos de modo no autorizado. Para evitar se debe dotar al sistema de mecanismos que prevengan y detecten cundo se produce un fallo de integridad y que puedan tratar y resolverlos errores que se han descubierto.

Disponibilidad
La informacin ha de estar disponible para los usuarios autorizados cuando la necesiten. grado en el que un dato est en el lugar, momento y forma en que es requerido por el usuario autorizado. En tiempo aceptable y a la fiabilidad tcnica de los componentes. Se deben aplicar medidas que protejan la informacin, as cono crear copias de seguridad y mecanismos para restaurar los datos que accidental o intencionadamente se hubiesen daado o destruido.

Confidencialidad
Es el hecho de que los datos o informaciones estn nicamente al alcance de las personas entidades o mecanismos autorizados en, momentos autorizados y de manera autorizada. Para prevenir errores de confidencialidad debe disearse un control de accesos al sistema: quin puede acceder, a qu parte del sistema y qu momentos y para realizar qu tipo de operaciones.

Actividades
1 La biblioteca pblica de una ciudad tiene mobiliario , libros, revistas, microfilms varios ordenadores para los Usuarios en donde pueden consultar ttulos, cdigos, referencias y ubicacin de material bibliogrfico. Indica a continuacin de cada elemento con un s, si forma parte de sistema informtico de la biblioteca y con un no si no forma parte de l. a) Libros y revistas colocados en las estanteras. b) Mobiliario. c) Microfilms. d) Libros electrnicos. e) Ordenadores de los usuarios. f) Ordenadores de la bibliotecaria. g) Datos almacenados en el ordenador de la bibliotecaria. h) Bibliotecaria.

2. De los elemento relacionados en la pregunta anterior, cules pertenecen al sistema de informacin de la biblioteca? 3. Un incendio fortuito destruye completamente todos los recursos de a biblioteca En qu grado crees que se veran comprometidas la integridad, la confidencialidad y la disponibilidad de la informacin? 4. El informtico que trabaja para la biblioteca forma parte del sistema informtico de la misma. 5. El ordenador de la biblioteca tiene un antivirus instalado esto lo hace invulnerable?

6. A qu se deben la mayora de los fallos de seguridad? Razona tu respuesta. 7. Podras leer un mensaje encriptado que no va dirigido a ti? Busca en Internet algunos programas que encriptan mensajes. 8. La copia de seguridad es una medida de seguridad pasiva? 9. Qu propiedades debe cumplir un sistema seguro? 10. Qu garantiza la integridad?

Datos, Software, Redes, Soportes, Instalaciones,

Activos

Personal, servicios Segn tipo de alteracin

De interrupcin De intercepcin De modificacin De fabricacin

3.Anlisis de riesgos

Amenazas
Segn su origen

Accidentales Intencionadas

Riesgos

Alternativas a tomar

No hacer nada Aplicar medidas transferirlo

Vulnerabilidad Ataques Impactos

Activos Pasivos Cualitativos Cualitativos

Activos
Son Los recursos que pertenecen al propio sistema de informacin o que estn relacionados con este.
Hay que tener en cuenta la relacin entre activos al analizarlos.

Clasificacin de activos: Datos. Constituyen el ncleo de toda organizacin, hasta tal punto que el resto de los activos estn al servicio de la proteccin de los datos. (base de datos, diferentes soportes,) Cada tipo de dato merece un estudio independiente de riesgo por la repercusin que su deterioro o prdida pueda causar como por ejemplo los relativos a la intimidad y honor de las personas u otros de ndole confidencial.

 Software. Constituido por los sistemas operativos y el conjunto de aplicaciones instaladas en los equipos de un sistema de informacin que reciben y gestionan o transforman los datos para darles el fin que se tenga establecido.

Hardware. Se trata de los equipos (servidores y terminales) que contienen las aplicaciones y permiten su funcionamiento, a la vez que almacenan los datos del sistema de informacin. Incluimos en este grupo los perifricos y elementos accesorios que sirven para asegurar el correcto funcionamiento de los equipos o servir de va de transmisin de los datos( mdem, router, instalacin elctrica o sistemas de alimentacin ininterrumpida, destrucciones de soportes informticos...).

 Redes. Desde las redes locales de la propia organizacin hasta las metropolitanas o Internet. Representan la va de comunicacin y transmisin de datos a distancia. Soportes. Los lugares en donde la informacin queda registrada y almacenada durante largos perodos o de forma permanente ( DVD, CD, tarjetas de memoria, discos duros externos). Instalaciones. Son los lugares que albergan los sistemas de informacin y de comunicaciones. (Oficinas, despachos locales o edificios, pero tambin pueden ser vehculos). Personal. El conjunto de personas que interactan con el sistema de e informacin: Administradores, programadores, usuarios internos y externos y resto de personal de la empresa.
Se producen ms fallos de seguridad por intervencin del factor humano que por fallos en la tecnologa.

Servicios. que se ofrecen a clientes o usuarios: (productos, servicios, sitios Web, foros, correo electrnico, ).

Proceso de anlisis de riesgo

Pasos para implantar una poltica de seguridad en un S.I.:
Hacer inventario y valoracin de los activos. Identificar y valorar las amenazas que puedan afectar a la seguridad de los activos. Identificar y evaluar las medidas de seguridad existentes. Identificar y valorar las vulnerabilidades de los activos a las amenazas que les afectan. Identificar los objetivos de seguridad de la organizacin. Determinar sistemas de medicin de riesgos. Determinar el impacto que producira un ataque. Identificar y seleccionar las medidas de proteccin.

actividades
11. La ventana de un centro de clculo en donde se encuentran la mayor parte de los ordenadores y el servidor de una organizacin Se qued mal cerrada. Durante una noche de tormenta, la ventana abierta constituye un riesgo, una amenaza o una vulnerabilidad? Razona la respuesta. 12. Teniendo en cuenta las propiedades de integridad, disponibilidad y confidencialidad, indica cules de estas propiedades se veran afectadas por: a) Una amenaza de interrupcin. b) Una amenaza de interceptacin. c) Una amenaza de modificacin. d) Una amenaza de fabricacin. 13.Pon un ejemplo de cmo un sistema de informacin podra ser seriamente daado por la presencia de un factor que se considera de poca relevancia y explique de alguna manera que La cadena siempre se rompe por el eslabn ms dbil. 14. Qu elementos se estudian para hacer un anlisis de riesgos?

Amenazas
En sistemas de informacin se entiende por amenaza la presencia de uno o ms factores de diversa ndole (personas, mquinas o sucesos que -de tener la oportunidad- atacaran al sistema producindole daos aprovechndose de su nivel de vulnerabilidad. Hay diferentes tipos de amenazas de las que hay que proteger al sistema, desde las fsicas como cortes elctricos, fallos del hardware o riesgos ambientales hasta los errores intencionados o no de los usuarios, la entrada de software Malicioso (virus, troyanos, gusanos) o el robo, destruccin o modificacin de Ia informacin.

En funcin del tipo de dao o alteracin se pueden clasificar:

De interrupcin. El objetivo de la amenaza es deshabilitar el acceso a la informacin; por ejemplo, destruyendo componentes fsicos
como el disco duro, bloqueando el acceso a los datos, o cortando o saturando Los canales de comunicacin.

De interceptacin. Personas, programas o equipos no autorizados podran acceder a un determinado recurso del sistema y captar informacin confidencial de la organizacin, como pueden ser datos,
programas o identidad de personas.

De modificacin. Personas, programas o equipos no autorizados no solamente accederan a los programas y datos de un sistema de informacin sino que adems los modificaran. Por ejemplo, modificar De fabricacin. Agregaran informacin falsa en el conjunto de informacin del sistema.

la respuesta enviada a un usuario conectado o alterar el comportamiento de una aplicacin instalada.

Segn su origen:
Accidentales. Accidentes meteorolgicos, incendios, inundaciones, fallos en los equipos, en las redes, en los sistemas operativos o en el software, errores humanos.

Intencionadas. Son debidas siempre a la accin humana, como la introduccin de software malicioso malware- (aunque este penetre en el sistema por algn procedimiento automtico su origen es siempre humano), intrusin informtica (con frecuencia se produce previa introduccin de malware en los equipos), robos o hurtos. Las amenazas intencionadas pueden tener su origen en el exterior de La organizacin o incluso en el personal de la misma.

Riesgos Se denomina riesgo a la posibilidad de que se

materialice o no una amenaza aprovechando una vulnerabilidad. No constituye riesgo una amenaza cuando no hay vulnerabilidad ni una vulnerabilidad cuando, no existe amenaza para la misma. Ante un determinado riesgo, una organizacin puede: Asumirlo sin hacer nada. (si el coste de la reparacin es mayor que dao) Aplicar medidas para disminuirlo o anularlo. Transferirlo (Por ejemplo, contarlo con un seguro).

Vulnerabilidades
Probabilidades que existen de que amenazas se materialice contra un activo. una

No todos los activos son vulnerables las mismas amenazas. Por ejemplo los datos son
vulnerables a la accin de los hackers, mientras que una instalacin elctrica es vulnerable a un cortocircuito

Al hacer el anlisis de riesgos hay que tener en cuenta vulnerabilidad de cada activo.

Ataques
Se dice que se ha producido un ataque accidental o deliberado contra el sistema cuando se ha materializado una amenaza. En funcin del impacto causado a los activos atacados, los ataques se clasifican en: Activos. Si modifican, daan, suprimen o agregan informacin, o bien bloquean o saturan los canales de comunicacin. Pasivos. Solamente acceden sin autorizacin a los datos contenidos en el sistema. Son los ms difciles de detectar.

Un ataque puede ser directo o indirecto, si se produce desde el atacante al elemento "vctima, directamente, o a travs de recursos personas intermediarias.

Impactos
Son la consecuencia de la materializacin de una o ms amenazas sobre uno o varios activos aprovechando la vulnerabilidad del sistema o dicho de otra manera, el dao causado.

Los impactos pueden ser:

cuantitativos, si los perjuicios pueden cuantificarse econmicamente. cualitativos, si suponen daos no cuantificables como los causados contra los derechos fundamentales de las personas.