SERVICIO NACIONAL DE APRENDIZAJE SENA

iNiN

Principios de la Seguridad Informtica Acceso ms fcil: PREGUNTA: Cules son los puntos dbiles de un sistema informtico? o El intruso utilizar cualquier artilugio que haga ms fcil su acceso y posterior ataque o Existir una diversidad de formas desde los que puede producirse un ataque. Esto dificulta el anlisis de riesgos porque el delincuente aplicar la filosofa del ataque hacia el punto ms dbil. Caducidad del secreto: PREGUNTA: Cunto tiempo deber protegerse un dato? o Los datos confidenciales deben protegerse slo hasta que ese secreto pierda su valor como tal o Caducidad del sistema de proteccin: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. Eficiencia de las medidas tomadas. Las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fciles de usar y apropiadas al medio o Que funcionen en el momento oportuno. o Que lo hagan optimizando los recursos del sistema. o Que pasen desapercibidas para el usuario. Y lo ms importante: ningn sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concientizacin de los usuarios, ste ser uno de los grandes problemas de la Seguridad Informtica. Tipos de Amenazas Antes de pasar a explicar estos casos, habr que definir el concepto de recurso. Recurso, est definido en el diccionario Espasa Calpe como bienes, medios de subsistencia, Esta es una definicin muy general. De todas maneras, resulta conveniente para nuestra tarea. Podemos mencionar como recurso a cualquier cosa, ya sean bienes especficos o que permitan la subsistencia de la organizacin como tal. Debido a ello, es que podemos diferenciar claramente tres tipos de recursos: o Fsicos: Los recursos fsicos son, por ejemplo, las impresoras, los servidores de archivos, los routers, etc. o Lgicos: Los recursos lgicos son, por ejemplo, las bases de datos de las cuales sacamos la informacin que permite trabajar en la organizacin. o Servicios: Los servicios son, por ejemplo, el servicio de correo electrnico, de pgina, WEB, etc.
Flujo Normal

Interrupcin

Interceptacin

Modificacin

Generacin

Centro de Teleinformtica y Produccin Industrial Sena Regional Cauca

SERVICIO NACIONAL DE APRENDIZAJE SENA Material de Curso Amenazas de Interrupcin: o o Se daa, pierde o deja de funcionar un punto del sistema. Su deteccin es inmediata.

Ejemplos: o Destruccin del hardware. o Borrado de programas, datos. o Fallos en el sistema operativo. Recurso Servicio Fisico Nombre Corre electronico Impresora o o Causa Alguien de baja el servidor (Por cualquier metodo) Falta de Alimentacin Electrica Efecto No poder enviar mail No imprime

Amenazas de Interceptacin: Acceso a la informacin por parte de personas no autorizadas. Uso de privilegios no adquiridos. Su deteccin es difcil, a veces no deja huellas.

Ejemplos: o Copias ilcitas de programas. o Escucha en lnea de datos. o Recurso Logico Nombre Causa Datos sobre la cuenta Se ha puesto un dispositivo en la de del banco red, que permite monitorear los paquetes en la red y sacar informacin de ellos Correo electronico Se ha implantado un programa que duplica los mensajes (mails) que salen de una seccin y los enva a una direccin. Efecto Conseguir datos privados sobre montos de cuentas corrientes. Leer Informacin

Servicio.

Amenazas de Modificacin: o o Acceso no autorizado que cambia el entorno para su beneficio. Su deteccin es difcil segn las circunstancias.

Ejemplos: o Modificacin de registros de bases de datos. o Modificacin de elementos del HW. o Cambios de privilegios o datos segn su conveniencia.

Centro de Teleinformtica y Produccin Industrial Sena Regional Cauca

SERVICIO NACIONAL DE APRENDIZAJE SENA Material de Curso

Recurso Logico

Nombre Base de datos de pagos en cuentas corrientes.

Causa Se ha implantado un programa que redondea en menos los pagos y carga stos redondeos a una cuenta corriente. Alguien logr ingresar como WEBMASTER y ha cambiado los contenidos de la pgina

Servicio.

Servidor de pgina WEB

Efecto Incrementar el crdito de una cuenta corriente en base al redondeo realizado en los pagos. Los Datos mostrados en la pagina no son los reales.

Amenazas de Generacin o o Creacin de nuevos objetos dentro del sistema. Su deteccin es difcil: delitos de falsificacin.

Ejemplos: o o Aadir transacciones en red. Aadir registros en base de datos.

Recurso Logico

Nombre Datos de deudores

Servicio.

Servidor Web

Causa Se ha generado una base de datos falsa, la que ante el pedido de informes, responde ella con sus datos. Alguien se ha apropiado del password del WEBMASTER y, modificando el direccionamiento, logra que se cargue otra pgina WEB

Efecto Hacer pasar a los deudores como que no lo son Redireccionar la pgina WEB hacia otro sitio

Centro de Teleinformtica y Produccin Industrial Sena Regional Cauca