SEGURIDAD

Seguridad de la Informaciòn y
Riesgos
Prof. C.P.C. Jesùs Orna 1

La Gestión del Riesgo
Riesgo Operacional: Riesgo de pérdida causado por la falla o

insuficiencia de los procesos, personas y sistemas internos,
o por eventos externos
Gestión del Riesgo – Preguntas
• ¿Cuáles son los riesgos del negocio?

• ¿Se ha evaluado el surgimiento de riesgos no tradicionales?
• ¿Entiende la empresa cómo están interrelacionados los riesgos?
• ¿Se conoce quiénes son los responsables de los riesgos de la
empresa?
• ¿Se tienen implantados sistemas que midan y vigilen los
riesgos?
• ¿Cuál es la perspectiva de la persona o departamento que
atiende los riesgos?
• ¿Se busca de manera regular nuevos mercados, oportunidades
de alianza y otras estrategias de optimización de riesgos?
• ¿El entendimiento de la empresa se transmite a la organización y
su cultura?

Tipos de Eventos por Riesgos
Operacionales

Cambios de Gestión del Riesgo (Grupos de
Interés)

AUDITORIA

La empresa debe gestionar sus riesgos a través del siguiente modelo que pretende
identificar los riesgos potenciales de un negocio:

Seguridad informática
Recordando
¿Qué es un sistema informático?
Es el conjunto que resulta de la integración de cuatro elementos: Hardware,

software, datos y usuarios.
¿Cuál es el objetivo de integrar estos componentes?
Hacer posible el procesamiento automático de los datos, mediante el uso de

computadores.

Recordando
¿Qué son datos?
Símbolos que representan hechos, situaciones, condiciones o valores. Los datos son
la materia prima que procesamos para producir información.
¿Qué es la información?
El resultado de procesar o transformar los datos. La información es significativa para

el usuario.

Conceptos
Como consecuencia de la amplia difusión de la tecnología informática, la información:
Se almacena y se procesa en computadores, que pueden ser

independientes o estar conectados a sistemas de redes.
Puede ser confidencial para algunas personas o para instituciones

completas.
Tiene alto valor.

Conceptos
Como consecuencia de la amplia difusión de la tecnología informática, la información:
Puede utilizarse para fines poco éticos.
Puede divulgarse sin autorización de su propietario.
Puede estar sujeta a robos, sabotaje o fraudes.
Puede ser alterada, destruida y mal utilizada.

Conceptos
La Seguridad Informática (S.I.) es la disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y
confiables, para el procesamiento de datos en sistemas informáticos.
La decisión de aplicarlos es responsabilidad de cada usuario.
Las consecuencias de no hacerlo … también.

Caracteristìcas de la Seguridad
Informática
Para lograr sus objetivos, la seguridad informática se fundamenta en principios, que
debe cumplir todo sistema informático:
Confidencialidad
Integridad
Disponibilidad
Control de Acceso
Autenticaciòn
Irrefutabilidad

Confidencialidad
Se refiere al hecho de que sólo tienen acceso a la

información de la red o que circulan por ella las
personas autorizadas. Nadie puede acceder a la
información sin haber sido autorizado.
La identificación de los usuarios exige
autenticación. Para mantener la información
protegida de las personas ajenas a ella, es
necesaria la encriptación, que se lleva a cabo con
medios técnicos.

Integridad
• Se refiere al hecho de que los métodos que gestionan

la información garantizan un tratamiento sin errores de
la misma. La información no debe cambiar mientras se
está transfiriendo o almacenando, y nadie puede
modificar el contenido de la información o los archivos
y aún menos eliminarlos.
• Para garantizar la integridad de la información, el
remitente debe estar siempre autentificado. La
combinación de autenticación e integridad garantiza
que la información enviada llega a su destinatario
exactamente en la misma forma en que se envió.

Disponibilidad
• Se refiere al hecho de que los usuarios que

necesitan la información y a quienes va dirigida
dicha información siempre tienen acceso a ella.
Los métodos para garantizar la disponibilidad
incluyen un control físico y técnico de las
funciones de los sistemas de datos, así como la
protección de los archivos, su correcto
almacenamiento y la realización de copias de
seguridad.
• La disponibilidad es la parte de la seguridad de la
información más difícil de implementar.

Control del acceso
• Se refiere al hecho de que se restringe y se controla el acceso de los

usuarios a la información de un ordenador. El control del acceso
verifica si el usuario tiene derecho a acceder al servicio y la
información, lo que significa que sólo las personas autenticadas
pueden obtener acceso.
• El objetivo del control del acceso es, en parte, garantizar la
confidencialidad de la información, así como su integridad. También
asegura su disponibilidad, ya que hace que atacar el sistema sea
más difícil.
• Asimismo, una parte del control del acceso consiste en hacer un
seguimiento de los usuarios. El sistema anota en un registro las
acciones realizadas por los usuarios en el sistema. El administrador
del sistema tiene acceso a los registros y, en su caso, puede
utilizarlos para encontrar incumplimientos intencionados o no
intencionados de la seguridad de la información.

Autenticación
• Se utiliza para asegurarse de que las partes involucradas
son quienes dicen ser. Por ejemplo, en el comercio
electrónico, al hacer trámites con las autoridades o en la
comunicación entre personas, es especialmente importante
saber quién es la otra parte. Es necesario autenticar tanto
el origen de las partes como la fuente de información.
• En el correo electrónico, la autenticación se suele hacer
sólo por lo que a la dirección del remitente se refiere, por
ejemplo, al abrir un mensaje y un adjunto recibido de un
amigo. Sin embargo, la autenticación basada sólo en la
dirección es muy insegura, ya que es relativamente fácil
falsificar los datos del remitente. Muchos gusanos que se
propagan de un ordenador a otro utilizan este método para
engañar a los destinatarios de los mensajes electrónicos.

Irrefutabilidad
• Se refiere al hecho de que el remitente de la
información no puede negar que la ha enviado y
que forma parte de algún tipo de acción. La
irrefutabilidad es una forma estricta de
autenticación y se lleva a cabo mediante una
firma electrónica.
• La irrefutabilidad es un requisito previo
indispensable para la realización de muchas
acciones y servicios, como compras electrónicas a
través de redes de datos.

SEGURIDAD ES…
• Proteger la información de accesos no autorizados.
• Evitar alteraciones indebidas que pongan en peligro su

integridad.
• Garantizar la disponibilidad de la información
• Cómo?:
– A través de la implementación del Modelo de Seguridad
Informática
• Para que?:
– Identificación y control de amenazas y puntos débiles
MODELO DE SEGURIDAD INFORMÁTICA
Políticas Normas Procedimientos Estándares
Tiene como objetivo mejorar la Seguridad de la

información y de nuestros equipos

POLÍTICAS
 01 Acceso a la Información
 02 Administración de Cambios
 03 Administración de la Seguridad
 04 Almacenamiento y Respaldo de la Información
 05 Comunicaciones Electrónicas
 06 Confidencialidad de la Información
 07 Contratos, Alianzas o Convenios con Terceros
 08 Normas y Procedimientos Operativos
 09 Procesamiento de la Información
 10 Propiedad de la Información
 11 Responsabilidad de los Funcionarios en el Cumplimiento de
la Normatividad referente a la Seguridad Informática
 12 Seguridad Física
 13 Software Utilizado

POLITICAS
Provienen de la Dirección
Generalmente abarcan objetivos, las

metas, filosofías, códigos éticos, y los
esquemas de responsabilidades
No admiten desviaciones
NORMAS 

05 CONTROL DE ACCESO
16 Usuarios Privilegiados
 17 Usuarios Genéricos
 01 FUNCION DE LA SEGURIDAD  18 Superusuarios de bases de datos
INFORMATICA  19 Administración de accesos a componentes
 01 Función de la Seguridad Informática de la plataforma tecnológica
 02 Herramientas de Seguridad:  20 Claves de acceso
Operación y Protección
 06 SEGURIDAD FISICA
 02 MANEJO DE LA INFORMACION
 03 Clasificación de la Información  21 Generalidades
 04 Propiedad de la Información  22 Acceso a áreas de almacenamiento y/o
 05 Respaldo de la Información procesamiento.
 06 Almacenamiento de la Información  23 Control de medios
 24 Retiro de componentes tecnológicos
 03 RESPONSABILIDAD DE USUARIOS
 07 Responsabilidad de usuarios  07 COMUNICACIONES
 08 Prevención, Detección y Eliminación  25 Uso del correo electrónico
de software ilegal  26 Acceso a Internet
 09 Prevención, Detección y Eliminación
de virus  27 Uso del módem
 10 Seguridad de Computadores
Personales  08 DESARROLLO DE SOFTWARE
 36 Seguridad y Uso Adecuado de  28 Separación de ambientes
Computadores Portátiles
 29 Control de cambios
 04 SEGURIDAD LOGICA  30 Pruebas a Programas
 11 Administración de cuentas  31Transporte
 12 Registro de eventos  32 Migración
 13 Comandos especiales
 14 Configuración de parámetros  09 MANEJO DE INCIDENTES
 15 Nombres de usuario  33 Atención a Incidentes Informáticos
34Orna
 Jesùs
Prof. C.P.C. Atención a Emergencias Informáticas 27
 35 Contingencias Informáticas
PROCEDIMIENTOS
01 Administración de usuarios de componentes tecnológicos
02 Administración de usuarios privilegiados
03 Control de contraseñas de usuarios con altos privilegios
04 Administración de cambio de contraseñas
05 Actualización de accesos por novedades de personal
06 Mantenimiento de perfiles de usuario
07 Control de cambios a aplicativos
08 Soporte a Usuarios
09 Traslado de microcomputadores e impresoras
10 Prevención de virus informáticos
11 Eliminación de virus informáticos
12 Solicitud de software de automatización de oficina
13 Detección y eliminación de software instalado e innecesario
14 Registro, monitoreo y notificación de eventos de seguridad
15 Control de acceso físico
16 Administración de medios magnéticos

PROCEDIMIENTOS
• Brindan los pasos específicos necesarios

para lograr las metas
• Son las medidas o dispositivos para lograr
las directrices de las políticas
Evolucionan con la tecnología, la

estructura organizativa, y se
componen de medidas organizativas y
técnicas Prof. C.P.C. Jesùs Orna 29
ESTÁNDARES
01 Software y hardware base en 11 Configuración de seguridad
computadores personales ANTIVIRUS
02 Nomenclatura 12 Configuración de seguridad
……………………..
03 Claves de acceso
16 Configuración de seguridad
04 Parámetros de acceso PRESUPUESTO
05 Registro de eventos 17 Configuración de seguridad
06 Acceso a Internet TESORERIA
07 Configuración de seguridad en NT 18 Configuración de seguridad
08 Configuración de seguridad ………………………
ORACLE 19 Configuración de seguridad
09 Configuración de seguridad RECURSOS HUMANOS
Windows 20 Seguridad Física
10 Configuración de seguridad
OFFICE 22 Software Base Servidores
24 Configuración de Seguridad en
Switches

¿Qué deben tocar los estándares?
1. Estándares de sistemas (HW & SW).

2. … de PCs y estaciones de trabajo (HW & SW).
3. … prácticas de manejo de claves de acceso funcionales.
4. … sobre derechos de uso y propiedad de la información.
5. … programas de limpieza de escritorio.

Auditoría de Sistemas
• Auditorìa de Sistemas es:
La verificación de controles en el procesamiento de la

información, desarrollo de sistemas e instalación con el
objetivo de evaluar su efectividad y presentar
recomendaciones a la Gerencia.
La actividad dirigida a verificar y juzgar información.
El examen y evaluación de los procesos del Area de
Procesamiento automático de Datos (PAD) y de la utilización
de los recursos que en ellos intervienen, para llegar a
establecer el grado de eficiencia, efectividad y economía de
los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir las
deficiencias existentes y mejorarlas.

Auditoria Informática
Las empresas acuden a las auditorias externas cuando existen
síntomas bien perceptibles de debilidad. Estos síntomas pueden
agruparse en clases:
Síntomas de descoordinación y desorganización:
No coinciden los objetivos de la Informática de la Compañía y de la
propia Compañía.
Los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente.
Síntomas de mala imagen e insatisfacción de los usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de
paneles, variación de los ficheros que deben ponerse diariamente a
su disposición, etc.
No se reparan las averías de Hardware ni se resuelven incidencias
en plazos razonables. El usuario percibe que está abandonado y
desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de
resultados periódicos. Pequeñas desviaciones pueden causar
importantes desajustes en la actividad del usuario, en especial en los
resultados de Aplicaciones críticas y sensibles.
Auditoria Informática
Síntomas de debilidades económico-financiero:
Incremento desmesurado de costos.
Necesidad de justificación de Inversiones Informáticas (la empresa
no está absolutamente convencida de tal necesidad y decide
contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costos y plazos de nuevos proyectos.
Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica
- Seguridad Física
- Confidencialidad
Centro de Proceso de Datos fuera de control.

En este caso, el síntoma debe ser sustituido por el mínimo indicio.

Factores de riesgo
Ambientales: factores externos, lluvias,
inundaciones, terremotos, tormentas, rayos,
Impredecibles - Inciertos
suciedad, humedad, calor, entre otros.
Tecnológicos: fallas de hardware y/o software,

fallas en el aire acondicionado, falla en el servicio
eléctrico, ataque por virus informáticos, etc.
Predecibles
Humanos: hurto, adulteración, fraude,
modificación, revelación, pérdida, sabotaje,
vandalismo, crackers, hackers, falsificación, robo
de contraseñas, intrusión, alteración, etc.

Factores tecnológicos de riesgo

Virus informáticos: Definición
Un virus informático es un programa (código) que se replica, añadiendo una copia de

sí mismo a otro(s) programa(s).
Los virus informáticos son particularmente dañinos porque pasan desapercibidos

hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios
inocuos hasta la pérdida total del sistema.


Virus informáticos: Características
Sus principales características son:
Auto-reproducción: Es la capacidad que tiene el programa de replicarse (hacer

copias de sí mismo), sin intervención o consentimiento del usuario.
Infección: Es la capacidad que tiene el código de alojarse en otros programas,

diferentes al portador original.


Virus informáticos: Propósitos
Afectar el software: Sus instrucciones agregan nuevos archivos al sistema o

manipulan el contenido de los archivos existentes, eliminándolo parcial o totalmente.
Afectar el hardware: Sus instrucciones manipulan los componentes físicos. Su

principal objetivo son los dispositivos de almacenamiento secundario y pueden
sobrecalentar las unidades, disminuir la vida útil del medio, destruir la estructura
lógica para recuperación de archivos (FAT) y otras consecuencias.


Virus informáticos: Clasificación
La inmensa cantidad de virus existentes, sus diferentes propósitos, sus variados

comportamientos y sus diversas consecuencias, convierten su clasificación en un
proceso complejo y polémico.
A continuación se presentan las categorías que agrupan a la mayoría de los virus

conocidos. Sin embargo, es importante considerar que la aparición diaria de virus
cada vez más sofisticados, puede llevar al surgimiento de nuevas categorías en
cualquier momento.


Virus genérico o de archivo: Se aloja como un parásito dentro de un archivo

ejecutable y se replica en otros programas durante la ejecución.
Los genéricos acechan al sistema esperando que se satisfaga alguna condición (fecha
del sistema o número de archivos en un disco). Cuando esta condición “catalizadora”
se presenta, el virus inicia su rutina de destrucción.


Virus mutante: En general se comporta igual que el virus genérico, pero en lugar de
replicarse exactamente, genera copias modificadas de sí mismo.
Virus recombinables: Se unen, intercambian sus códigos y crean nuevos virus.
Virus “Bounty Hunter” (caza-recompensas): Están diseñados para atacar un producto

antivirus particular.


Virus específicos para redes: Coleccionan contraseñas de acceso a la red, para luego
reproducirse y dispersar sus rutinas destructivas en todos los computadores
conectados.
Virus de sector de arranque: Se alojan en la sección del disco cuyas instrucciones se

cargan en memoria al inicializar el sistema. El virus alcanza la memoria antes que
otros programas sean cargados e infecta cada nuevo disquete que se coloque en la
unidad.

Virus de macro: Se diseñan para infectar las macros que acompañan a una aplicación
específica.
Una macro es un conjunto de instrucciones que ejecutan una tarea particular,

activada por alguna aplicación específica como MS – Word o MS – Excel.
Son virus muy fáciles de programar y se dispersan rápidamente a través de anexos a

e-mail, copia de archivos usando disquetes, etc.

Tema: Seguridad informática

Virus de Internet: Se alojan en el código subyacente de las páginas web. Cuando el

usuario accede a esos sitios en Internet, el virus se descarga y ejecuta en su sistema,
pudiendo modificar o destruir la información almacenada.
Son de rápida y fácil dispersión, puesto que se alojan y viajan en un medio de

acceso multitudinario: Internet.

Factores humanos de riesgo

Hackers
Los hackers son personas con avanzados conocimientos técnicos en el área

informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no
tienen acceso autorizado.
En general, los hackers persiguen dos objetivos:

Probar que tienen las competencias para invadir un sistema protegido.
Probar que la seguridad de un sistema tiene fallas.

Factores humanos de riesgo

Crackers
Los crackers son personas con avanzados conocimientos técnicos en el área

informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no
tienen acceso autorizado.
En general, los crackers persiguen dos objetivos:

Destruir parcial o totalmente el sistema.
Obtener un beneficio personal (tangible o intangible) como consecuencia de sus
actividades.

Mecanismos de Seguridad Informática

Conceptos
Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza

para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema
informático.
Existen muchos y variados mecanismos de seguridad informática. Su selección

depende del tipo de sistema, de su función y de los factores de riesgo que lo
amenazan.


Clasificación según su función
Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes

no deseados.
Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia

de agentes no deseados en algún componente del sistema. Se caracterizan por
enviar un aviso y registrar la incidencia.
Correctivos: Actúan luego de ocurrido el hecho y su función es corregir las

consecuencias.


Ejemplos orientados a fortalecer la confidencialidad
Encripción o cifrado de datos: Es el proceso que se sigue para enmascarar los datos,
con el objetivo de que sean incomprensibles para cualquier agente no autorizado.
Los datos se enmascaran usando una clave especial y siguiendo una secuencia de
pasos pre-establecidos, conocida como “algoritmo de cifrado”. El proceso inverso se
conoce como descifrado, usa la misma clave y devuelve los datos a su estado
original.

Ejemplos orientados a fortalecer la integridad
Software anti-virus: Ejercen control preventivo, detectivo y correctivo sobre ataques

de virus al sistema.
Software “firewall”: Ejercen control preventivo y detectivo sobre intrusiones no

deseadas a los sistemas.
Software para sincronizar transacciones: Ejercen control sobre las transacciones que
se aplican a los datos.


Ejemplos orientados a fortalecer la disponibilidad
Planes de recuperación o planes de contingencia: Es un esquema que especifica los

pasos a seguir en caso de que se interrumpa la actividad del sistema, con el objetivo
de recuperar la funcionalidad.
Dependiendo del tipo de contingencia, esos pasos pueden ejecutarlos personas

entrenadas, sistemas informáticos especialmente programados o una combinación de
ambos elementos.


Ejemplos orientados a fortalecer la disponibilidad
Respaldo de los datos: Es el proceso de copiar los elementos de información

recibidos, transmitidos, almacenados, procesados y/o generados por el sistema.
Existen muchos mecanismos para tomar respaldo, dependiendo de lo que se quiera

asegurar. Algunos ejemplos son: Copias de la información en dispositivos de
almacenamiento secundario, computadores paralelos ejecutando las mismas
transacciones, etc.

Seguridad física
¿Qué debemos proteger?
Todos los dispositivos que componen el hardware: Procesador, memoria principal,

dispositivos de entrada y de salida, dispositivos de almacenamiento …
... y los respaldos

Seguridad física
¿Cómo? (Algunos ejemplos)
Restringir el acceso a las áreas de computadoras

Restringir el acceso a las impresoras
Instalar detectores de humo y extintores (fuego)
Colocar los dispositivos lejos del piso (agua)
Colocar los dispositivos lejos de las ventanas (lluvia)
Colocar pararrayos (rayos)
Proteger las antenas externas (vientos)


SEGURIDAD

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

SEGURIDAD

Загружено:

Авторское право:

Доступные форматы

Seguridad de la Informaciòn y

Prof. C.P.C. Jesùs Orna 1

Riesgo Operacional: Riesgo de pérdida causado por la falla o

• ¿Cuáles son los riesgos del negocio?

Prof. C.P.C. Jesùs Orna 3

Prof. C.P.C. Jesùs Orna 5

Prof. C.P.C. Jesùs Orna 6

Prof. C.P.C. Jesùs Orna 7

Prof. C.P.C. Jesùs Orna 10

Es el conjunto que resulta de la integración de cuatro elementos: Hardware,

¿Cuál es el objetivo de integrar estos componentes?

Hacer posible el procesamiento automático de los datos, mediante el uso de

Prof. C.P.C. Jesùs Orna 11

El resultado de procesar o transformar los datos. La información es significativa para

Prof. C.P.C. Jesùs Orna 12

Se almacena y se procesa en computadores, que pueden ser

Puede ser confidencial para algunas personas o para instituciones

Tiene alto valor.

Puede utilizarse para fines poco éticos.

Puede divulgarse sin autorización de su propietario.

Puede estar sujeta a robos, sabotaje o fraudes.

Puede ser alterada, destruida y mal utilizada.

La decisión de aplicarlos es responsabilidad de cada usuario.

Las consecuencias de no hacerlo … también.

Prof. C.P.C. Jesùs Orna 15

Prof. C.P.C. Jesùs Orna 16

Se refiere al hecho de que sólo tienen acceso a la

Prof. C.P.C. Jesùs Orna 17

• Se refiere al hecho de que los métodos que gestionan

Prof. C.P.C. Jesùs Orna 18

• Se refiere al hecho de que los usuarios que

Prof. C.P.C. Jesùs Orna 19

• Se refiere al hecho de que se restringe y se controla el acceso de los

Prof. C.P.C. Jesùs Orna 20

Prof. C.P.C. Jesùs Orna 21

Prof. C.P.C. Jesùs Orna 22

• Evitar alteraciones indebidas que pongan en peligro su

• Garantizar la disponibilidad de la información

Políticas Normas Procedimientos Estándares

Tiene como objetivo mejorar la Seguridad de la

Prof. C.P.C. Jesùs Orna 24

Prof. C.P.C. Jesùs Orna 25

Generalmente abarcan objetivos, las

Prof. C.P.C. Jesùs Orna 28

• Brindan los pasos específicos necesarios

Evolucionan con la tecnología, la

Prof. C.P.C. Jesùs Orna 30

1. Estándares de sistemas (HW & SW).

Prof. C.P.C. Jesùs Orna 31

La verificación de controles en el procesamiento de la

Prof. C.P.C. Jesùs Orna 32

Síntomas de Inseguridad: Evaluación de nivel de riesgos

Centro de Proceso de Datos fuera de control.

Prof. C.P.C. Jesùs Orna 34

Tecnológicos: fallas de hardware y/o software,

Prof. C.P.C. Jesùs Orna 35

Factores tecnológicos de riesgo

Un virus informático es un programa (código) que se replica, añadiendo una copia de

Los virus informáticos son particularmente dañinos porque pasan desapercibidos

Prof. C.P.C. Jesùs Orna 36

Factores tecnológicos de riesgo

Sus principales características son:

Auto-reproducción: Es la capacidad que tiene el programa de replicarse (hacer