UNIVERSIDAD METROPOLITANA DEL ECUADOR

TEMA:
CONCEPTOS BÁSICOS

ELABORADO POR:
JUAN FERNANDO MAIGUA CHICAIZA

CARRERA:
SISTEMAS DE INFORMACIÓN

ASIGNATURA:
SEGURIDAD INFORMÁTICA

DOCENTE
Ing. William Carlos Chumi Sarmiento

QUITO-ECUADOR
2019
TAREA No. – 1

DE ACUERDO AL MATERIAL QUE ESTA EXPUESTO EN EL ARCHIVO

“MATERIAL DE CONCEPTOS BÁSICOS” CONTESTAR LAS SIGUIENTES
PREGUNTAS:

1 SEGÚN LA DEFINICIÓN DE SEGURIDAD INFORMÁTICA, ¿COMO PODRÍA

ESTABLECER UNA SEGURIDAD INFORMÁTICA EN UNA ORGANIZACIÓN?
La seguridad informática está “encargada de asegurar en que los recursos del
sistema de información de una organización se utilizan de la manera que se
decidió y que el acceso a la información allí contenida, así como su modificación
solo sea posible a las personas que se encuentren acreditadas y dentro de los
límites de su autorización”. En función de este concepto los parámetros
necesarios para establecer una seguridad en el sistema informático de una
empresa se deben enfocar principalmente en proteger la confidencialidad, la
integridad y la disponibilidad de la información; siendo los datos y la información
el componente más importantes y a su vez no reemplazables, por este motivo
es la información de una organización lo que se aseguraría primero; de esta
forma se establecería todas las técnicas de seguridad de información tomando
en cuenta los aspectos fundamentales que caracterizan al resguardo y seguridad
de la información; estos son: Confidencialidad, Integridad, Disponibilidad,
Autenticación y No repudio todos juntos conocidos con las siglas CIDAN que
dependiendo un servicio del otro y consiguiendo una seguridad fiable y un control
de flujo y uso de la información. Posterior a esto también es muy importante
implantar medidas de seguridad y prevención de ataques en los equipos y
dispositivos que conforman el hardware, tomando en cuenta que son tres
elementos de los equipos que se debe proteger de la siguiente manera:
 Evitar accesos locales al equipo por parte de personas no deseadas.

 Evitar la contaminación del equipo por parte de elementos perniciosos que

puedan dañar o ralentizar el funcionamiento del mismo, y que se
aprovechan fundamentalmente de los sistemas de almacenamiento
portátiles (llaves USB, tarjetas SD, discos duros portátiles) y/o de los
sistemas de comunicación.
  Evitar agujeros de seguridad mediante el mantenimiento actualizado del
equipo informático, su sistema operativo y los programas que utilicemos.

Para poder entregar un sistema seguro dentro de una organización, se debe

incluir, capacitar y probar al personal que tendrá acceso a la información o a los
equipos que se intenta resguardar; así pues tomando en cuenta la lectura donde
uno de los factores que hacen accesibles los ataques informáticos es la
ingenuidad al momento de enfrentar problemas de seguridad informática, es
necesario transmitir los riesgos y las consecuencias del mal uso de los equipos
informáticos y la información que estos contienen.

2. DAR 2 EJEMPLOS DE CADA UNO DE LOS ASPECTOS DE LA

SEGURIDAD INFORMÁTICA (INTEGRIDAD, DISPONIBILIDAD Y
CONFIDENCIALIDAD)
Ejemplo de Integridad
Tomando en cuenta que la integridad se encarga de garantizar que un mensaje
o fichero no ha sido modificado desde su origen hasta su entrega. Como ejemplo
de integridad está:
 Cuando un periódico difunde una información cuya fuente no es correcta,
podemos decir que se mantiene la integridad de la información ya que se
difunde por medio impreso, pero sin embargo, al ser la fuente de esa
información errónea no se está manteniendo la integridad del origen, ya
que la fuente no es correcta.
 Cuando estamos realizando trámites bancarios por Internet. Se deberá
garantizar que ningún intruso pueda capturar y modificar los datos en
tránsito.
Ejemplo de Disponibilidad
La disponibilidad en la actualidad ya se ha convertido en alta disponibilidad ya
que la evolución de las comunicaciones en red a demandado una disponibilidad
constante en casi todas las aplicaciones dentro del internet: A continuación los
siguientes ejemplos:
 Una empresa encargada de impartir ciclos formativos a distancia.
Constantemente está recibiendo consultas, descargas a su sitio web, etc.,
 por lo que siempre deberá estar disponible para sus usuarios y se debe
garantizar la seguridad del mismo.
 Un bar que atiende 24 horas y su movimiento es constante necesita
asegurar disponibilidad 24/7 evitando al máximo los posibles ataques
internos o la vulneración de su información.

Ejemplo de Confidencialidad
Este principio demuestra y garantiza que un archivo o mensaje solo puede ser
recibido y abierto por la persona o sistema autorizado. Ejemplos
 Un ejemplo típico de mecanismo que garantice la confidencialidad es la
Criptografía, cuyo objetivo es cifrar o encriptar los datos para que resulten
incomprensibles a aquellos usuarios que no disponen de los permisos
suficientes. Pero, incluso en esta circunstancia, existe un dato sensible
que hay que proteger y es la clave de encriptación. Esta clave es
necesaria para que el usuario adecuado pueda descifrar la información
recibida y en función del tipo de mecanismo de encriptación utilizado, la
clave puede/debe viajar por la red, pudiendo ser capturada mediante
herramientas diseñadas para ello. Si se produce esta situación, la
confidencialidad de la operación realizada (sea bancaria, administrativa o
de cualquier tipo) queda comprometida.
 Un documento es confidencial si y solo si puede ser comprendido por la
persona o entidad a quien va dirigida o esté autorizada. Esto evita que
una intercepción de un mensaje pueda ser leído por una persona no
autorizada.
 Cuando alguien mira por encima de nuestros hombros mientras tenemos
información confidencial en la pantalla, o si en una transacción electrónica
el número de nuestra tarjeta de crédito no se envía cifrado.

3. ¿POR QUE QUEREMOS PROTEGER LOS ACTIVOS DE UNA

ORGANIZACIÓN?
Porque en muchos casos, los que protagonizan casos de robo de activos en la
organización son los empleados. Por ese motivo es necesario implantar algunas
medidas ya que un activo representa los bienes o propiedades considerados de
mayor importancia y valor que la organización posee y que se declaran como un
utilitario del negocio no vendible; se consideran parte de los elementos que se
usan en una organización y por esta razón principalmente se los debe proteger.
Dentro de los sistemas de información son recursos que forman parte del
sistema; pueden ser partes de su arquitectura o estructura así como sus datos o
información, hoy se debe considerar a los sistemas informáticos y la información
que está en ellos como el activo más importante dentro de una organización lo
que ratifica por qué se debe proteger los activos sobre todo los informáticos de
una organización.

4. INDIQUE EJEMPLOS DE AMENAZAS EN LA SEGURIDAD INFORMÁTICA

 Usuarios: Se considera la causa del mayor problema ligado a la seguridad
de un sistema informático. Es así porque con sus acciones podrían
ocasionar graves consecuencias.
 Programas maliciosos: Conocidos como malware son destinados a
perjudicar un ordenador cuando se instala o hacer uso ilícito de datos.
Suelen ser un virus informático, un troyano o un spyware.
 Errores de programación: Más que un peligro, se trata de un mal
desarrollo. Pero también se tiene que ver como un riesgo evitando que los
sistemas operativos y aplicaciones estén sin actualizar.
 Intrusos: Cuando personas que no están autorizadas acceden a
programas o datos que no deberían, como es el caso de los hackers.
 Siniestro: También se puede perder o deteriorar material informático por
una mala manipulación o mala intención. Aquí entrarían situaciones como
robo, incendio o inundación.
 Fallos electrónicos: Un sistema informático en general puede verse
afectado por problemas del suministro eléctrico o por errores lógicos como
cualquier otro dispositivo que no es perfecto.
 Catástrofes naturales: Rayos, terremotos, inundaciones…
Según el efecto que produce alguna de las anteriores amenazas se
distingue entre:
o Robo de información.
o Destrucción de información.
o Anulación del funcionamiento de los sistemas.
 o Suplantación de la identidad, publicidad de datos personales o
confidenciales, cambio de información…
o Robo de dinero o estafas.
 Copias de seguridad: Una empresa debe proteger permanentemente su
información ya que es el activo más importante que puede dañarse por
gran cantidad de factores: robos, incendios, virus…Para proteger de
forma eficiente los datos son imprescindibles las copias de seguridad o
backups. En función del volumen de contenido generado y la cantidad de
equipos se perfilará el mejor plan de protección.

MALWARE SIN ARCHIVOS

Cada vez estamos más prevenidos contra el malware. Evitamos descargar
archivos extraños y remitentes desconocidos de nuestro correo electrónico.
Procuramos buscar siempre las páginas oficiales para descargar los programas,
en lugar de utilizar redes p2p. Utilizamos también antivirus para poder trabajar
con más comodidad. Pero cuidado, existe un tipo de malware, el malware sin
ficheros, que resulta difícil de detectar, como puedes leer en Panda Security.

TROYANOS FINANCIEROS
Los troyanos financieros son piezas de malware que los ciberlincuentes utilizan
para monetizar sus actividades. Los ciberdelincuentes utilizan sistemas de
ataque avanzados orientados a realizar transacciones ocultas y atacar a
diferentes bancos. Aunque la banca móvil ha hecho que todo resulte mucho más
seguro y han caído bastante en los últimos años, los delincuentes siguen
utilizando los troyanos financieros para recolectar dinero.

ATAQUES A LOS PROGRAMAS EN LA NUBE Y PROVEEDORES

Los ciberdelincuentes también aprovechan para atacar las tecnologías que
utilizan las empresas y profesionales que se relacionan en la compañía:
proveedores, asociaciones, personas clave. Entidades y profesionales que
pueden tener datos sobre tus negocios almacenados, pero con sistemas
informáticos más vulnerables. Si un ciberdelincuente quiere atacar a una gran
empresa, buscará la forma de atacar a los elementos más débiles de la cadena
de suministros.
PHISING BANCARIOS
Cuidado con los mensajes de bancos que recibís por correo electrónico, ya que
no siempre son fiables. El phising bancario se ha puesto de manifiesto este año
con una campaña que ha suplantado al BBVA para solicitar datos de usuarios.
Los ciberdelincuentes utilizan la ingeniería social han demostrado ser muy
efectivos y lucrativos, mucho más cuando vienen revestidos de una apariencia
de institucionalidad. El phishing no duda en incluir logotipos o incluso dominios
web parecidos a los de la empresa a la que quieren suplantar para recoger tus
datos.

Ejemplos de amenazas a la integridad de un sistema informático

 Se produce una amenaza en la integridad cuando un usuario no legítimo
modifica información del sistema sin tener autorización para ello.

 Cuando un atacante actúa como intermediario en una comunicación,

recibe los datos enviados por un usuario, los modifica y se los envía al
receptor (ataques man-in-the-middle).

Ejemplos de amenazas a la confidencialidad de un sistema informático

 Cuando un hacker consigue acceso a un equipo sin autorización
controlando sus recursos; esto puede ser virtual o físico; es decir
ingresando al dispositivo que se desea atacar remotamente o con
alguna estrategia in-situ, es decir esperando un descuido por ejemplo
para acceder a un computador que se desea atacar.
 Cuando el atacante accede a los mensajes que circulan por la red
pública o privada de la organización.

Ejemplos de amenazas a la disponibilidad de un sistema informático

 Cuando los usuarios que tienen acceso al sistema no pueden utilizarlo
porque este ha sido atacado

 Cuando se produce un ataque parcial donde algún recurso del sistema

deja de funcionar y evita que el sistema esté disponible.
5 EXPONGA EJEMPLOS PARA CADA UNO DE LOS NIVELES DE
SEGURIDAD INFORMÁTICA
Ejemplo de Nivel D
 Ejemplos de sistemas operativos que responden a este nivel son MS–
DOS y System 7.0 de Macintosh.

Ejemplo de Nivel C1: Protección Discrecional

 Cuando en un sistema como Windows con nuestro usuario podemos

definir los derechos y permisos de nuestro archivo a otro usuario.

Ejemplo de Nivel C2: Protección De Acceso Controlado

 Cuando se ingresa a un sistema operativo dentro de una organización y
por cada acción a realizar pide autentificación por ejemplo abrir una
aplicación X implicaría dar nuevamente la contraseña de usuario a pesar
de estar en sesión de este mismo usuario; lo mismo ocurriría pos cada
aplicación o acción que se encuentren dentro de las reglas de seguridad
de autentificación.

Ejemplo de Nivel B3: Dominios De Seguridad

 Se utiliza hardware de manejo de memoria para proteger el dominio de

seguridad contra accesos no autorizados y modificaciones de objetos en
diferentes dominios de seguridad

Ejemplo de Nivel B2: Protección Estructurada

 Sistemas multinivel que procesan información altamente confidencial,

como el gobierno o militar

Ejemplo de Nivel B1: Seguridad Etiquetada

 Cuando se establece que el dueño del archivo no puede modificar los

permisos de un objeto que este bajo control de acceso obligatorio.
Ejemplo de Nivel A: Protección Verificada

 Los canales encubiertos utilizan métodos criptográficos para el cifrado de

la información y el hardware y el software están debidamente protegidos
durante su traslado