PDF de programación - Seguridad Informática y Criptografía

UNIVERSIDAD
NACIONAL DEL

NORDESTE

FACULTAD DE CIENCIAS EXACTAS Y

NATURALES Y AGRIMENSURA

Seguridad

Informática
y Criptografía

¿Por que la Seguridad?.
Internet.
Comercio Electrónico.
Definición de Seguridad.
Pilares fundamentales de la Seguridad.
Factores que atacan a la Seguridad.
Seguridad Física y Seguridad Lógica.
Estrategias de Seguridad.
Criptografía.

Por que la seguridad?

La masiva utilización de las computadoras y
redes como medios para almacenar, transferir
y procesar información se ha incrementado en
los últimos años, al grado de convertirse en un
elemento indispensable para el funcionamiento
de la sociedad actual.*

Como consecuencia, la información en todas sus
formas y estados se ha convertido en un activo
de altísimo valor, el cual se debe proteger y
asegurar.*

INTERNET

y

abiertas

*Son
accesibles
*Permiten intercambios
rápidos y eficientes a
nivel mundial y a bajo
costo.

Este concepto hace posible nuevas formas de
funcionamiento de la sociedad actual que se ve
dificultada por
las inseguridades que van
dejando al descubierto.

Por ejemplo:

• Los mensajes pueden ser Interceptados y

manipulados.

• NO se puede garantizar la identidad de los

participantes de una comunicación.

• NO se puede garantizar la integridad de los

datos transmitidos.

• Los

datos
ilegalmente

personales
almacenados,

pueden

ser

• Etc.

Datos Interesantes

Internet ha pasado de tener miles de
usuarios en 1983 a más de 800 millones de
usuarios en el mundo en el 2004 y 1000
millones en el 2005.

PROGRESION DE USUARIOS EN EL MUNDO

AÑO

1990

2000

2002

2003

2004

2005

Nº Usuarios

0,7-1 millón

300-400 millones

400-500 millones

500-600 millones

800 millones

1.000 millones

Fuente: Angus Reid Group

• De acuerdo a un estudio realizado por una
consultora, Internet fue uno de los indicadores
que continuó creciendo durante la crisis en
Argentina durante el 2002.

• Si bien la tasa de crecimiento fue menor que
en tiempos anteriores, en el año 2005,
la
cantidad de Usuarios de Internet en el país
llegó a los 3.900.000 (10% población).

• Mientras que hoy hay mas de 10 millones de
usuarios, lo que representa aproximadamente,
el 26% de la población.

Cantidad de usuarios de
Internet en Argentina

12.000.000

10.000.000

8.000.000

6.000.000

4.000.000

2.000.000

0
Mar. '00

Sep. '00

Abr. '01

Dic. '01

Oct . '02

Abr. '03

May. '05

Ene. '06

Fuente: D'Alessio IROL Tracking sobre penetración de Internet-2003

Ventajas

Constituye un canal virtual vital para realizar
negocios con los clientes actuales y futuros.

Desventajas

Internet
representa riesgos de seguridad
importantes que las empresas ignoran o
subestiman.

Comercio electrónico

En el pasado, la posibilidad de conectarse
con millones de clientes las 24 horas al día,
los 7 días de la semana, era solamente
posible para las grandes corporaciones.

Ahora, incluso una compañía con recursos
limitados puede competir con rivales más
grandes ofreciendo productos y servicios
por Internet con una inversión modesta.

Los servicios de comercio electrónico son
muy llamativos para:

•Los consumidores que no quieren pasar
su tiempo libre limitado en los almacenes
minoristas tradicionales,
•Sentirse restringidos por el horario normal
de atención al público o,
•Hacer largas filas para pagar en la caja.

Los clientes no solamente compran fácilmente
sus productos, sino que las compañías también
han innovado el uso de conceptos como
“personalización”
relaciones
exclusivas e individuales con los clientes.

crear

para

Las compañías que utilizan la personalización
pueden identificar a sus clientes virtuales por el
nombre, ofrecerles productos basados en
hábitos de compra previos y almacenar de
manera segura la información de la dirección
del domicilio para agilizar las compras en línea.

Surgen nuevos desafíos que las empresas
deben superar para tener éxito:

“Deben ofrecer servicios fáciles de utilizar y

totalmente seguros porque guardan

información confidencial como direcciones o

números de las tarjetas de crédito

personales”.

El amplio desarrollo de las nuevas tecnologías
informáticas está ofreciendo un nuevo campo

de acción a conductas antisociales y
delictivas manifestadas en formas antes

imposibles de imaginar, ofreciendo la

posibilidad de cometer delitos tradicionales

en formas no tradicionales.

El Papel del Gobierno

Por su parte, los gobiernos han comenzado
a crear reglamentaciones diseñadas para
garantizar que las empresas implementen
suficientes controles de seguridad.

Están muy interesados en conocer la forma
en la que las empresas protegen su
información e infraestructura.

En Estados Unidos, este interés se ha
traducido en las recientes legislaciones
Sarbanes-Oxley, HIPAA y GLBA . *

Definición Formal:

Se entiende por seguridad de los sistemas de
información al conjunto de recursos:

• metodologías,
• planes,
• políticas,
• documentos,
• programas ó dispositivos físicos,

encaminados a lograr que los recursos de
cómputo disponibles en un ambiente dado,
sean accedidos única y exclusivamente por
quienes tienen la autorización para hacerlo.

La Seguridad

Informática debe

vigilar

principalmente por

las siguientes
propiedades:

• Confidencialidad

• Integridad

• Control

• Disponibilidad

• Autenticación

Confidencialidad:

“Condición que asegura que la
información no puede estar

disponible por o para

personas o entidades no

autorizadas”.

Integridad:

“Condición que garantiza que

la información es

modificada, incluyendo
creación y borrado por el

personal autorizado”. (saldos

en un sistema bancario).

Control:

“Permite asegurar que sólo los
usuarios autorizados puedan

decidir cuando y como
permitir el acceso a la

misma”.

Disponibilidad:

“Grado en el que un dato esta
en el lugar, momento y forma
en el que es requerido por el

usuario autorizado”.

Autenticación:

“Mecanismo que permite
conocer si la persona que

y no un extraño”.

esta accediendo es

realmente quien debe ser

Amenazas para la seguridad

AMENAZAS PARA LA SEGURIDAD

HUMANAS

DESASTRES
NATURALES

MALICIOSAS

EXTERNAS

INTERNAS

NO MALICIOSAS

EMPLEADOS
IGNORANTES

INCENDIOS

INUNDACIONES

TERREMOTOS

Para tener en cuenta:

• Se sabe que los empleados internos que
tienen acceso a los sistemas, causan el 80%
del total de violaciones a la seguridad.

• La gran mayoría de los problemas internos
no son maliciosos, sino que son causados por
errores de buena fe.

• Es importante que las empresas establezcan
políticas de seguridad y programas para la
toma de conciencia sobre la seguridad con el
fin de educar a los empleados.

Las amenazas pueden ser analizadas

en tres momentos:

•La prevención (antes)
•La detección (durante)
•La recuperación (después)

Prevención:

“Mecanismos que aumentan la seguridad o
su
fiabilidad
funcionamiento normal”.(encriptar)

durante

del

sistema

Detección:

“Mecanismos orientados a revelar violaciones a
la seguridad”. (firewall)

Recuperación:

“Mecanismos que se aplican cuando la violación
de un sistema ya se ha detectado”.(backup)

de

prevención

como medidas

Seguridad Física:
“Aplicación de barreras físicas y procedimientos de
y
control,
contramedidas ante amenazas a los recursos o
información confidencial”.
Seguridad Lógica:
“Aplicación de barreras y procedimientos que
resguarden el acceso a los datos y accedan a
ellos sólo personas autorizadas”.

“Todo lo que no está permitido debe

estar prohibido“.

Estrategias de seguridad

1) Crear una política global de seguridad.

2) Realizar un análisis de riesgo.

3) Aplicar las medidas correspondientes de

seguridad.

Los programas de seguridad de la información
no son para implementar y luego dejar en
“piloto automático”.

Se debe revisar objetivamente el estado del
programa de seguridad empresarial cada 6 ó 12
meses.

En especial, se debe hacer una evaluación inicial
de su situación actual, que incluya analizar
cuidadosamente los componentes.

La evaluación inicial revisa las partes
seguridad:
vitales del programa de
personal, procesos y tecnología.

El resultado de la evaluación señalará, las
deficiencias
las
recomendaciones sobre cómo puede mejorar
la efectividad general del programa de
seguridad.

establecerán

y

1. El personal: Certificaciones y educación

continuada.

El campo de la tecnología de la información
en general y de la seguridad de la
información cambia rápidamente.

Muchas cosas pueden suceder en el mundo
de la seguridad de la información en el
trascurso de un año
incluso en seis
meses.

Por ello nos deberíamos hacer la siguiente
pregunta:

de

y

recientes,

tales

como

las

seguridad

¿Conoce el personal de seguridad los temas de
seguridad más
la
prevención de intrusos, las nuevas tendencias
en
la
importancia de solucionar las vulnerabilidades
inmediatamente?
Así como las amenazas a la seguridad y la
tecnología nunca se detienen,
la curva de
aprendizaje de los empleados tampoco debe
estancarse.

aplicaciones

Por ejemplo, se debe promover la formación en
seguridad para actualizar el conocimiento en el
sector, lo cual podría hacerse:

• Ofreciendo entrenamiento al personal,
• Asistiendo a conferencias o a certificaciones

fuera de la empresa,

• Trayendo al

lugar de trabajo educadores de

seguridad externos,

• etc.

Es importante que los miembros clave de su
equipo tengan certificaciones en seguridad
no sólo porque éstas reflejan comprensión
y conocimiento práctico de los problemas
sino también porque la
de seguridad,
mayoría de certificaciones exige cursos de
educación continuada para conservar
la
certificación.

de

activa

Esto garantiza que el personal certificado
refresca
sus
conocimientos para que esté actualizado
sobre las últimas amenazas, tecnología y
mejores prácticas de seguridad.

manera

Certificaciones más conocidas

Certified Information Systems Security
Professionals (CISSP).

Certified Information Security Manager (CISM)

Certified Information Systems Auditor (CISA).

SANS Gl