SEGURIDAD EN SISTEMAS COMPUTACIONALES

SSC5501 Escuela de Informática y

Telecomunicaciones

1
Administración de Servicios de Red
Docente: Erwin Zapata P.
 INTRODUCCIÓN

SSC5501 Escuela de Informática y

Telecomunicaciones

2
Administración de Servicios de Red
Docente: Erwin Zapata P.
 Detalles del Curso

•Objetivos:
•CREAR POLÍTICAS DE SEGURIDAD PARA UNA
ESTRUCTURA COMPUTACIONAL.
•APLICAR SEGURIDAD EN UNA RED LAN

Administración de Servicios de Red 3

 Descripción del curso

•Unidad 1:
•NORMAS Y POLITICAS DE SEGURIDAD
•Objetivo:
•Conocer los principios básicos de seguridad
•Conocer los conceptos de seguridad como amenaza,
norma, política, etc.
•Duración: 20 horas

Administración de Servicios de Red 4

 Descripción del curso

•Unidad 2:
•FUNDAMENTOS Y SISTEMAS CRIPTOGRAFICOS
DE SEGURIDAD
•Objetivo:
•Reconocer tecnologías y algoritmos de cifrado.
•Duración: 20 horas

Administración de Servicios de Red 5

 Descripción del curso

•Unidad 3:
•PROTECCION DE INFRAESTRCUTURA Y
SERVICIOS DE RED
•Objetivo:
•Identificar vulnerabilidades en Sistemas Operativos de
red y aplicaciones.
•Identificar tecnologías para sistemas de seguridad
para redes
•Duración: 28 horas

Administración de Servicios de Red 6

 Evaluación
•Se realizara una prueba parcial al final de cada Unidad
•Se realizara un trabajo grupal
•Se realizara un examen final
•Ponderado:
–Prueba 1: 30%
–Prueba 2: 30%
–Prueba 3: 30%
–Trabajo: 10%
•Ponderación del examen: 40%

Administración de Servicios de Red 7

 CURRICULUM
PROFESIONAL
DE SEGURIDAD
INFORMÁTICA

SSC5501

Administración de Servicios de Red Docente: Erwin Zapata P.8

 Instituciones Internacionales
•Las instituciones internacionales mas importantes que se
dedican a impartir certificaciones de Seguridad Informática
son:
•ISACA
–http://www.isaca.cl/
•(ISC)2
–https://www.isc2.org/default.aspx
•Ec-council
–http://www.eccouncil.org/

Administración de Servicios de Red 9

 ISACA
•Fundada en el año 1967
•En 1976 se lanza la fundación de educación
•Cuenta con mas de 95.000 miembros en todo el mundo
•Objetivo: establecer las pautas profesionales de
gobierno, control, auditoria y seguridad de la Información.
•Su principal aporte son sus normas de auditoria, como
COBIT 5.

Administración de Servicios de Red 10

 ISACA (cont.)
•Principales certificaciones:
–CISA: Certificación para auditores de
Seguridad de la Información.
–CISM: Certificación para Gestion de
Sistemas de Seguridad de la Información
–CGEIT: Certificación de Gobierno
Corporativo de Seguridad de la Información.
–CRISC: Certificación de Gestion de Riesgo
y Control sobre Seguridad de Información.

Administración de Servicios de Red 11

 (ISC)2
•Provee una plataforma de estudios técnicos de Seguridad
Informática, orientada a sistemas de información.
•Tiene mas de 90.000 miembros certificados
•Su principal objetivo es mejorar la eficiencia de los de
seguridad de la información
•Data del año 1993

Administración de Servicios de Red 12

 (ISC)2
•Principales certificaciones:
–CISSP: Certificación de Seguridad de la Información, que
contempla aspectos de arquitectura, diseño, gestión y control.
Incluye 10 dominios.
–SSCP: Certificación técnica de seguridad, orientada a
profesionales que se inician en la materia, para administradores
técnicos de seguridad. Incluye 7 dominios.
–CAP: Certificación para procesos de autorización y mantención
de sistemas de seguridad de información. Incluye 7 dominios.
–CSSLP: Certificación para SDLC, orientada a desarrolladores de
aplicaciones en ámbito de seguridad. Incluye 8 dominios
–CCFP: Certificación para procesos de análisis forense, incluye
aspectos legales. Incluye 6 dominios

Administración de Servicios de Red 13

 EC-Council
•Organización orientada a entregar conocimientos
técnicos de Seguridad para Hacking y análisis forense.
•Imparte cursos técnicos de seguridad 100% basados en
experiencias practicas.
•Tiene presencia en mas de 80 países en el mundo.

Administración de Servicios de Red 14

 EC-Council (cont.)
•Principales certificaciones:
–CEH: Certificación de Ethical Hacker, orientada a realizar
pruebas técnicas de seguridad de sistemas vulnerables.
–CHFI: Certificación para procesos de auditoria forense,
orientados a la investigación de incidentes de seguridad
–C-CISO: Certificación para Oficiales de Seguridad con amplia
experiencia en Seguridad de la Información, se obtiene por
secretaria.
–LPT: Certificación para testing de penetración, para pruebas de
sistemas vulnerables.
–ECSA: Certificación para analistas de seguridad de redes.
–ENSA: Certificación para administradores de seguridad de redes

Administración de Servicios de Red 15

 MÓDULO 1

SSC5501
Unidad I
Normas y políticas de seguridad

Administración de Servicios de Red Docente: Erwin Zapata P.16

 Aprendizajes esperados
•Conocer el concepto de Normativa de Seguridad y sus
aplicaciones.
•Conocer el concepto de Política de Seguridad y sus
aplicaciones

Administración de Servicios de Red 17

 ¿SEGURIDAD
DE LA
INFORMACIÓN?

SSC5501
Unidad I
Normas y políticas de seguridad

Administración de Servicios de Red Docente: Erwin Zapata P.18

 ¿Que requiere seguridad?
•Las cosas que consideramos valiosas
•Las cosas que apreciamos
•Las que nos son útiles
•Ej:
–Nuestra casa
–Nuestro dinero en el Banco
–Nuestro auto

Administración de Servicios de Red 19

 ¿es la Información valiosa?
•Para una compañía de Telecomunicaciones
–Sus bases de clientes y planes
•Para una clínica privada
–Las fichas medicas de sus pacientes
•Para una compañía minera
–Un plan de expansión a un nuevo yacimiento
•Para una institución educacional
–Las fichas académicas de sus alumnos
–Las concentraciones de notas

Administración de Servicios de Red 20

 Seguridad de la Información
•Definición:
–Preservación de la Confidencialidad, Integridad y
Disponibilidad de la información.
–ISO 27001:2005
–ISO 27001:2013

Administración de Servicios de Red 21

 Triada de la Seguridad
•Confidencialidad
–La información debe ser divulgada solo a personas y procesos
autorizados.
•Integridad
–La información debe estar libre de modificaciones no autorizadas
•Disponibilidad
–La información debe encontrarse a disposición de quienes deben
acceder a ella.

Administración de Servicios de Red 22

 CASOS DE
VILOACIÓN DE
LA SEGURIDAD
INFORMÁTICA

SSC5501
Unidad I
Normas y políticas de seguridad

Administración de Servicios de Red Docente: Erwin Zapata P.23

 Casos de violación a la Seg. Informática

Administración de Servicios de Red 24

 Casos de violación a la Seg. Informática

Administración de Servicios de Red 25

 Casos de violación a la Seg. Informática

Administración de Servicios de Red 26

 Casos de violación a la Seg. Informática

Administración de Servicios de Red 27

 Casos de violación a la Seg. Informática

Administración de Servicios de Red 28

 Casos de violación a la Seg. Informática

Información enviada por correo electrónico

Administración de Servicios de Red 29

 Casos de violación a la Seg. Informática

Administración de Servicios de Red 30

 NORMAS DE
SEGURIDAD

SSC5501
Unidad I
Normas y políticas de seguridad

Administración de Servicios de Red Docente: Erwin Zapata P.31

 Definición
•Norma de Seguridad:
–Es el conjunto de lineamientos, recomendaciones y reglas que
dan respaldo a las “políticas de seguridad”.

•Políticas de Seguridad
–Son el canal formal de actuación de los usuarios respecto de los
servicios informáticos de la compañía, resguardando la seguridad
de la información.

Administración de Servicios de Red 32

 En resumen..
•La Normativa de Seguridad nos dice “que” debemos
hacer en forma general
•Las políticas de Seguridad nos dicen lo que debemos
hacer en forma especifica….

Administración de Servicios de Red 33

 Ejemplos
•Proteger los datos almacenados que sean confidenciales.
–Norma
•Cambiar la contraseña de usuario una vez por semana
–Política
•Usar y actualizar periódicamente el SW antivirus
–Norma
•Monitorear el acceso a los recursos de la red
–Norma

Administración de Servicios de Red 34

 Ejemplos
•La clave de usuario debe tener al menos tres dígitos
alfanuméricos.
–Política
•Al abandonar su escritorio debe activar el protector de
pantalla
–Política
•Se debe mantener un documento de políticas de
seguridad actualizado.
–Norma
•Se debe revisar periódicamente la seguridad de los
Sistemas operativos.
–Norma

Administración de Servicios de Red 35

 Resumen
•Conceptos básicos de Seguridad de la Información
•Concepto de Normativa de Seguridad
–Que debemos hacer en forma general
•Concepto de Políticas de Seguridad
–Que debemos hacer en forma especifica.

Administración de Servicios de Red 36