View
213
Download
0
Embed Size (px)
Citation preview
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 1/19
LUIS
SEGURIDAD DE LA INFORMACIÓN
LuisLa seguridad de la información es el conun!o demedidas "re#en!i#as $ reac!i#as de
las organi%aciones $ de los sis!emas !ecnológicos &ue"ermi!en resguardar $ "ro!eger
la información 'uscando man!ener la con(dencialidad)de"endiendo de la cul!ura del mismo*
SEGURIDAD DE LAINFORMACIÓN
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 2/19
+
Seguridad Inform,!ica
SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnológicos que permiten
resguardar y proteger la información buscando mantener la confidencialidad,dependiendo de la cultura del mismo.
El campo de la seguridad de la información ha crecido y evolucionado
considerablemente a partir de la Segunda Guerra undial, convirti!ndose en
una carrera acreditada a nivel mundial. Este campo ofrece muchas "reas de
especialización, incluidos la auditor#a de sistemas de información, planificación
de la continuidad del negocio, ciencia forense digital y administración de
sistemas de gestión de seguridad, entre otros.
Concepción de la seguridad de la inforación
En la seguridad de la información es importante se$alar que su manejo est"
basado en la tecnolog#a y debemos de saber que puede ser confidencial% la
información est" centralizada y puede tener un alto valor. &uede ser divulgada,
mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y
la pone en riesgo. La información es poder, y seg'n las posibilidadesestrat!gicas que ofrece tener acceso a cierta información, !sta se clasifica
como%
(r#tica% Es indispensable para la operación de la empresa. )aliosa% Es un activo de la empresa y muy valioso. Sensible% *ebe de ser conocida por las personas autorizadas
E+isten dos palabras muy importantes que son riesgo y seguridad%
iesgo% Es la materialización de vulnerabilidades identificadas, asociadas con
su probabilidad de ocurrencia, amenazas e+puestas, as# como el impacto
negativo que ocasione a las operaciones de negocio.
Seguridad% Es una forma de protección contra los riesgos.
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 3/19
-
Seguridad Inform,!ica
La seguridad de la información comprende diversos aspectos entre ellos la
disponibilidad, comunicación, identificación de problemas, an"lisis de riesgos,
la integridad, confidencialidad, recuperación de los riesgos.
&recisamente la reducción o eliminación de riesgos asociado a una ciertainformación es el objeto de la seguridad de la información y la seguridad
inform"tica. "s concretamente, la seguridad de la información tiene como
objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no
autorizada de información. Los t!rminos seguridad de la información, seguridad
inform"tica y garant#a de la información son usados frecuentemente como
sinónimos porque todos ellos persiguen una misma finalidad al proteger
la confidencialidad, integridad y disponibilidad de la información. Sin embargo,no son e+actamente lo mismo e+istiendo algunas diferencias sutiles. Estas
diferencias radican principalmente en el enfoque, las metodolog#as utilizadas, y
las zonas de concentración. -dem"s, la seguridad de la información involucra
la implementación de estrategias que cubran los procesos en donde la
información es el activo primordial. Estas estrategias deben tener como punto
primordial el establecimiento de pol#ticas, controles de seguridad, tecnolog#as y
procedimientos para detectar amenazas que puedan e+plotar vulnerabilidades
y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y
salvaguardar tanto información como los sistemas que la almacenan y
administran. La seguridad de la información incumbe a gobiernos, entidades
militares, instituciones financieras, los hospitales y las empresas privadas con
información confidencial sobre sus empleados, clientes, productos,
investigación y su situación financiera.
En caso de que la información confidencial de una empresa, sus clientes, susdecisiones, su estado financiero o nueva l#nea de productos caigan en manos
de un competidor se vuelva p'blica de forma no autorizada, podr#a ser causa
de la p!rdida de credibilidad de los clientes, p!rdida de negocios, demandas
legales o incluso la quiebra de la misma.
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 4/19
.
Seguridad Inform,!ica
&or m"s de veinte a$os, la Seguridad de la /nformación ha declarado que la
confidencialidad, integridad y disponibilidad, son los principios b"sicos de la
seguridad de la información.
La correcta Gestión de la Seguridad de la /nformación busca establecer y
mantener programas, controles y pol#ticas, que tengan como finalidad
conservar la confidencialidad, integridad y disponibilidad de la información, si
alguna de estas caracter#sticas falla no estamos ante nada seguro. Es preciso
anotar, adem"s, que la seguridad no es ning'n hito, es m"s bien un proceso
continuo que hay que gestionar conociendo siempre las vulnerabilidades y las
amenazas que se ci$en sobre cualquier información, teniendo siempre en
cuenta las causas de riesgo y la probabilidad de que ocurran, as# como el
impacto que puede tener. 0na vez conocidos todos estos puntos, y nunca
antes, deber"n tomarse las medidas de seguridad oportunas.
Confidencialidad
La confidencialidad es la propiedad que impide la divulgación de información a
personas o sistemas no autorizados. - grandes rasgos, asegura el acceso a lainformación 'nicamente a aquellas personas que cuenten con la debida
autorización.
&or ejemplo, una transacción de tarjeta de cr!dito en /nternet requiere que el
n'mero de tarjeta de cr!dito a ser transmitida desde el comprador al
comerciante y el comerciante de a una red de procesamiento de transacciones.
El sistema intenta hacer valer la confidencialidad mediante el cifrado del
n'mero de la tarjeta y los datos que contiene la banda magn!tica durante latransmisión de los mismos. Si una parte no autorizada obtiene el n'mero de la
tarjeta en modo alguno, se ha producido una violación de la confidencialidad.
La p!rdida de la confidencialidad de la información puede adoptar muchas
formas. (uando alguien mira por encima de su hombro, mientras usted tiene
información confidencial en la pantalla, cuando se publica información privada,
cuando un laptop con información sensible sobre una empresa es robado,
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 5/19
/
Seguridad Inform,!ica
cuando se divulga información confidencial a trav!s del tel!fono, etc. 1odos
estos casos pueden constituir una violación de la confidencialidad.
In!egridad
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. Grosso modo, la integridad es el mantener con e+actitud la
información tal cual fue generada, sin ser manipulada o alterada por personas o
procesos no autorizados.
La violación de integridad se presenta cuando un empleado, programa o
proceso modifica o borra los datos importantes que son parte de la información,
as# mismo hace que su contenido permanezca inalterado a menos que sea
modificado por personal autorizado, y esta modificación sea registrada,
asegurando su precisión y confiabilidad. La integridad de un mensaje se
obtiene adjunt"ndole otro conjunto de datos de comprobación de la integridad%
la firma digital Es uno de los pilares fundamentales de la seguridad de la
información.
Disponi"ilidad
La disponibilidad es la caracter#stica, cualidad o condición de la información de
encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la
información y a los sistemas por personas autorizadas en el momento que as#
lo requieran.
En el caso de los sistemas inform"ticos utilizados para almacenar y procesar la
información, los controles de seguridad utilizados para protegerlo, y los canales
de comunicación protegidos que se utilizan para acceder a ella deben estar
funcionando correctamente. La -lta disponibilidad sistemas objetivo debe estar
disponible en todo momento, evitando interrupciones del servicio debido a
cortes de energ#a, fallos de hard2are, y actualizaciones del sistema.
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 6/19
0
Seguridad Inform,!ica
Garantizar la disponibilidad implica tambi!n la prevención de ataque
de denegación de servicio. &ara poder manejar con mayor facilidad la
seguridad de la información, las empresas o negocios se pueden ayudar con
un sistema de gestión que permita conocer, administrar y minimizar los posibles
riesgos que atenten contra la seguridad de la información del negocio.
La disponibilidad adem"s de ser importante en el proceso de seguridad de la
información, es adem"s variada en el sentido de que e+isten varios
mecanismos para cumplir con los niveles de servicio que se requiera. 1ales
mecanismos se implementan en infraestructura tecnológica, servidores de
correo electrónico, de bases de datos, de 2eb etc, mediante el uso de clusters
o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores
espejo, replicación de datos, redes de almacenamiento, enlaces redundantes,
etc. La gama de posibilidades depender" de lo que queremos proteger y el
nivel de servicio que se quiera proporcionar.
Au!en!icación o au!en!ificación
Es la propiedad que permite identificar el generador de la información. &or
ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el
que lo ha mandado, y no una tercera persona haci!ndose pasar por la otra. En
un sistema inform"tico se suele conseguir este factor con el uso de cuentas de
usuario y contrase$as de acceso.
Esta propiedad se puede considerar como un aspecto de la integridad 3si est"
firmado por alguien, est" realmente enviado por el mismo y as# figura en la
literatura anglosajona.
Ser#icios de seguridad
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 7/19
1
Seguridad Inform,!ica
El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas
de procesamiento de datos y la transferencia de información en las
organizaciones. Los servicios de seguridad est"n dise$ados para contrarrestar
los ataques a la seguridad y hacen uso de uno o m"s mecanismos de
seguridad para proporcionar el servicio.
No repudio
&roporciona protección contra la interrupción, por parte de alguna de las
entidades implicadas en la comunicación, de haber participado en toda o partede la comunicación. El servicio de Seguridad de 4o repudio o irrenunciabilidad
est" estandarizado en la /S5367893:.
4o epudio de origen% El emisor no puede negar que env#o porque el
destinatario tiene pruebas del env#o, el receptor recibe una prueba infalsificable
del origen del env#o, lo cual evita que el emisor, de negar tal env#o, tenga !+ito
ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la
recibe el destinatario.
$rue"a %ue el ensa&e fue en#iado por la par!e espec'fica
4o epudio de destino% El receptor no puede negar que recibió el mensaje
porque el emisor tiene pruebas de la recepción. Este servicio proporciona al
emisor la prueba de que el destinatario leg#timo de un env#o, realmente lo
recibió, evitando que el receptor lo niegue posteriormente. En este caso la
prueba irrefutable la crea el receptor y la recibe el emisor.
$rue"a %ue el ensa&e fue reci"ido por la par!e espec'fica
Si la autenticidad prueba qui!n es el autor de un documento y cual es su
destinatario, el ;no repudio< prueba que el autor envió la comunicación y que el
destinatario la recibió. El no repudio evita que el emisor o el receptor nieguen la
transmisión de un mensaje. -s#, cuando se env#a un mensaje, el receptor
puede comprobar que, efectivamente, el supuesto emisor envió el mensaje. *e
forma similar, cuando se recibe un mensaje, el emisor puede verificar que, de
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 8/19
2
Seguridad Inform,!ica
hecho, el supuesto receptor recibió el mensaje. *efinición seg'n la
recomendación =.>?8 de la 0/131 Servicio que suministra la prueba de la
integridad y del origen de los datos3 ambos en una relación infalsificable que
pueden ser verificados por un tercero en cualquier momento.
$ro!ocolos de Seguridad de la Inforación
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro
de la transmisión de datos entre la comunicación de dispositivos para ejercer
una confidencialidad,integridad, autenticación y el no repudio de la información.
Se componen de%
(riptograf#a% Se ocupa de transposicionar u ocultar el mensaje enviado por el
emisor hasta que llega a su destino y puede ser descifrado por el receptor.
Lógica% Llevar un orden en el cual se agrup"n los datos del mensaje el
significado del mensaje y saber cuando se va enviar el mensaje.
/dentificación% Es una validación de identificación es la t!cnica mediante la cual
un proceso comprueba que el compa$ero de comunicación es quien se supone
que es y no se trata de un impostor.
$lanificacion de la seguridad
@oy en d#a la r"pida evolución del entorno t!cnico requiere que las
organizaciones adopten un conjunto m#nimo de controles de seguridad paraproteger su información y sistemas de información. El propósito del plan de
seguridad del sistema es proporcionar una visión general de los requisitos de
seguridad del sistema y se describen los controles en el lugar o los previstos
para cumplir esos requisitos. El plan de seguridad del sistema tambi!n delinea
las responsabilidades y el comportamiento esperado de todos los individuos
que acceden al sistema. *ebe reflejar las aportaciones de distintos gestores
con responsabilidades sobre el sistema, incluidos los propietarios de la
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 9/19
3
Seguridad Inform,!ica
información, el propietario de la red, y el alto funcionario de la agencia de
información de seguridad.
Los administradores de programas, los propietarios del sistema, y personal de
seguridad en la organización debe entender el sistema de seguridad en elproceso de planificación. Los responsables de la ejecución y gestión de
sistemas de información deben participar en el tratamiento de los controles de
seguridad que deben aplicarse a sus sistemas.
Creación de un plan de respues!a a inciden!es
Es importante formular un plan de respuestas a incidentes, soportarlo a lo largode la organización y probarlo regularmente. 0n buen plan de respuestas a
incidentes puede no sólo minimizar los efectos de una violación sino tambi!n,
reducir la publicidad negativa.
*esde la perspectiva del equipo de seguridad, no importa si ocurre una
violación o abertura Apues tales eventos son una parte eventual de cuando se
hacen negocios usando un m!todo de poca confianza como lo es /nternetB,
sino m"s bien cuando ocurre. El aspecto positivo de entender la inevitabilidad
de una violación a los sistemas es que permite al equipo de seguridad
desarrollar un curso de acciones para minimizar los da$os potenciales.
(ombinando un curso de acciones con la e+periencia le permite al equipo
responder a condiciones adversas de una manera formal y oportuna.
El plan de respuesta a incidentes puede ser dividido en cuatro fases%
C. -cción inmediata para detener o minimizar el incidente:. /nvestigación del incidenteD. estauración de los recursos afectados7. eporte del incidente a los canales apropiados
0na respuesta a incidentes debe ser decisiva y ejecutarse r"pidamente. *ebido
a que hay muy poco espacio para errores, es cr#tico que se efect'en pr"cticas
de emergencias y se midan los tiempos de respuesta. *e esta forma, es
posible desarrollar una metodolog#a que fomenta la velocidad y la precisión,
minimizando el impacto de la indisponibilidad de los recursos y el da$opotencial causado por el sistema en peligro.
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 10/19
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 11/19
+5
Seguridad Inform,!ica
pobre y tiempo fuera de servicio en el evento de una violación. -qu# es donde
los ejercicios pr"cticos son invalorables. La implementación del plan deber#a
ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a
menos que se llame la atención con respecto a algo antes de que el plan sea
colocado en producción.
La respuesta a incidentes debe ir acompa$ada con recolección de información
siempre que esto sea posible. Los procesos en ejecución, cone+iones de red,
archivos, directorios y mucho m"s deber#a ser auditado activamente en tiempo
real. &uede ser muy 'til tener una toma instant"nea de los recursos de
producción al hacer un seguimiento de servicios o procesos maliciosos. Los
miembros de (E1 y los e+pertos internos ser"n recursos e+celentes paraseguir tales anomal#as en un sistema.
El ane&o de riesgos
*entro de la seguridad en la información se lleva a cabo la clasificación de las
alternativas para manejar los posibles riegos que un activo o bien puede tener
dentro de los procesos de organización. Esta clasificación lleva el nombre de
manejo de riesgos. El manejo de riesgos, conlleva una estructura bien definida,
con un control adecuado y su manejo, habi!ndolos identificado, priorizados y
analizados, a trav!s de acciones factibles y efectivas. &ara ello se cuenta con
las siguientes t!cnicas de manejo del riesgo%
Evitar. El riesgo es evitado cuando la organización rechaza aceptarlo, es decir,
no se permite ning'n tipo de e+posición. Esto se logra simplemente con no
comprometerse a realizar la acción que origine el riesgo. Esta t!cnica tiene
m"s desventajas que ventajas, ya que la empresa podr#a abstenerse de
aprovechar muchas oportunidades. Ejemplo%
- No instalar empresas en zonas sísmicas
educir. (uando el riesgo no puede evitarse por tener varias dificultades de
tipo operacional, la alternativa puede ser su reducción hasta el nivel m"s bajo
posible. Esta opción es la m"s económica y sencilla. Se consigue optimizando
los procedimientos, la implementación de controles y su monitoreo constante.
Ejemplo%
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 12/19
++
Seguridad Inform,!ica
- No fumar en ciertas áreas, instalaciones eléctricas anti flama,
planes de contingencia.
etener, -sumir o -ceptar el riesgo. Es uno de los m!todos m"s comunes del
manejo de riesgos, es la decisión de aceptar las consecuencias de la
ocurrencia del evento. &uede ser voluntaria o involuntaria, la voluntaria se
caracteriza por el reconocimiento de la e+istencia del riesgo y el acuerdo de
asumir las perdidas involucradas, esta decisión se da por falta de alternativas.
La retención involuntaria se da cuando el riesgo es retenido inconscientemente.
Ejemplo de asumir el riesgo%
- Con recursos propios se financian las pérdidas.
1ransferir. Es buscar un respaldo y compartir el riesgo con otros controles o
entidades. Esta t!cnica se usa ya sea para eliminar un riesgo de un lugar y
transferirlo a otro, o para minimizar el mismo, comparti!ndolo con otras
entidades. Ejemplo%
- Transferir los costos a la compañía aseguradora
edios de transmisión de ataques a los sistemas de seguridad
El mejor en soluciones de su clase permite una respuesta r"pida a las
amenazas emergentes, tales como%
al2are y spam propagado por e3mail. La propagación de mal2are y botnets.
Los ataques de phishing alojados en sitios 2eb. Los ataques contra el aumento de lenguaje de marcado e+tensible
A=LB de tr"fico, arquitectura orientada a servicios AS5-B y servicios
2eb.
Estas soluciones ofrecen un camino a la migración y la integración. (omo las
amenazas emergentes, cada vez m"s generalizada, estos productos se
vuelven m"s integrados en un enfoque de sistemas.
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 13/19
+-
Seguridad Inform,!ica
0n enfoque de sistemas de configuración, la pol#tica, y el seguimiento se re'ne
cumplimiento de las normativas en curso y permite a los sistemas rentables de
gestión. El enfoque de sistemas de gestión de la seguridad, dispone%
(onfiguración de la pol#tica com'n de todos los productos -menaza la inteligencia y la colaboración de eventos educción de la complejidad de configuración
An(lisis de riesgos eficaces ) opera!i#os de con!rol
En la actualidad gracias a la gran cantidad posibilidades que se tiene paratener acceso a los recursos de manera remota y al gran incremento en las
cone+iones a la internet los delitos en el "mbito de 1/ se han visto
incrementado, bajo estas circunstancias los riesgos inform"ticos son m"s
latentes. Los delitos cometidos mediante el uso de la computadora han crecido
en tama$o, forma y variedad. Los principales delitos hechos por computadora o
por medio de computadoras son%
Fraudes Falsificación )enta de información
Entre los hechos criminales m"s famosos en los Estados 0nidos est"n%
El caso del anco ells Fargo donde se evidencio que la protección de
archivos era inadecuada, cuyo error costo 0S* :C.D millones.
El caso de la 4-S- donde dos alemanes ingresaron en archivos
confidenciales.
El caso de un muchacho de C> a$os que entrando a la computadora de la
0niversidad de erHeley en (alifornia destruyo gran cantidad de archivos.
1ambi!n se menciona el caso de un estudiante de una escuela que ingreso a
una red canadiense con un procedimiento de admirable sencillez, otorg"ndose
una identificación como un usuario de alta prioridad, y tomo el control de una
embotelladora de (anad".
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 14/19
+.
Seguridad Inform,!ica
1ambi!n el caso del empleado que vendió la lista de clientes de una compa$#a
de venta de libros, lo que causo una p!rdida de 0S* D millones.
1ambi!n el caso de estudiantes de /ngenier#a electrónica donde accedieron al
sistema de una 0niversidad de (olombia y cambiaron las notas de sus
compa$eros generando estragos en esta 0niversidad y retrasando labores, lo
cual dejó grandes perdidas económicas y de tiempo.
Seg'n Gómez )ieites, Ilvaro A:?C:B. Enciclopedia de la Seguridad /nform"tica
menciona que los virus, troyanos, spy2are, mal2are y dem"s código llamado
malicioso Apor las funciones que realiza y no por tratarse de un código erróneoB,
tienen como objetivo principal el ejecutar acciones no solicitadas por el usuario,
las cuales pueden ser desde, el acceso a una p"gina no deseada, el
redireccionamiento de algunas p"ginas de internet, suplantación de identidad o
incluso la destrucción o da$o temporal a los registros del sistemas, archivos yJo
carpetas propias. El virus inform"tico es un programa elaborado accidental o
intencionadamente, que se introduce y se transmite a trav!s cualquier medio
e+tra#ble y transportable o de la misma red en la que se encuentre un equipo
infectado, causando diversos tipos de da$os a los sistemas.
@istóricamente los virus inform"ticos fueron descubiertos por la prensa el C: de
octubre de C89>, con una publicación del 4e2 KorH 1imes que hablaba de un
virus que fue se distribuyó desde un S y aparentemente era para optimizar
los sistemas / basados en tarjeta gr"fica EG-, pero al ejecutarlo sal#a la
presentación pero al mismo tiempo borraba todos los archivos del disco duro,
con un mensaje al finalizar que dec#a (a#ste.
Este dato se considera como el nacimiento de su nombre, ya que los
programas con código integrado, dise$ados para hacer cosas inesperadas han
e+istido desde que e+isten las propias computadoras. Las primeras referencias
de virus con fines intencionales surgieron en C89D cuando *igital Equipament
(orporation A*E(B empleó una subrutina para proteger su famoso procesador
de te+tos *ecmate //, que el C de abril de C89D en caso de ser copia ilegal
borraba todos los archivos de su unidad de disco.
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 15/19
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 16/19
+0
Seguridad Inform,!ica
tema, no los conoce en profundidad limit"ndose a recopilar información
de la red y a buscar programas. 0n tonto o descuidado, es un simple usuarios de la información, con o
sin conocimientos sobre hacHeo o cracHeo que accidentalmente borra
da$a o modifica la información, ya sea en un mantenimiento de rutina o
supervision.
5tros conceptos relacionados son%
• -uditabilidad% &ermitir la reconstrucción, revisión y an"lisis de la
secuencia de eventos• /dentificación% verificación de una persona o cosa reconocimiento.• -utenticación% &roporcionar una prueba de identidad puede ser algo
que se sabe, que se es, se tiene o una combinación de todas.• -utorización% Lo que se permite cuando se ha otorgado acceso• 4o repudio% no se puede negar un evento o una transacción.• Seguridad en capas% La defensa a profundidad que contenga la
inestabilidad• (ontrol de -cceso% limitar el acceso autorizado solo a entidades
autenticadas• !tricas de Seguridad, onitoreo% edición de actividades de seguridad•
Gobierno% proporcionar control y dirección a las actividades• Estrategia% los pasos que se requieren para alcanzar un objetivo• -rquitectura% el dise$o de la estructura y las relaciones de sus elementos• Gerencia% )igilar las actividades para garantizar que se alcancen los
objetivos• iesgo% la e+plotación de una vulnerabilidad por parte de una amenaza• E+posiciones% Ireas que son vulnerables a un impacto por parte de una
amenaza• )ulnerabilidades% deficiencias que pueden ser e+plotadas por amenazas
• -menazas% (ualquier acción o evento que puede ocasionar consecuencias adversas
• iesgo residual% El riesgo que permanece despu!s de que se han
implementado contra medidas y controles• /mpacto% los resultados y consecuencias de que se materialice un riesgo• (riticidad% La importancia que tiene un recurso para el negocio• Sensibilidad% el nivel de impacto que tendr#a una divulgación no
autorizada• -n"lisis de impacto al negocio% evaluar los resultados y las
consecuencias de la inestabilidad
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 17/19
+1
Seguridad Inform,!ica
• (ontroles% (ualquier acción o proceso que se utiliza para mitigar el
riesgo• (ontra medidas% (ualquier acción o proceso que reduce la
vulnerabilidad• &ol#ticas% declaración de alto nivel sobre la intención y la dirección de la
gerencia• 4ormas% Establecer los l#mites permisibles de acciones y procesos para
cumplir con las pol#ticas• -taques% tipos y naturaleza de inestabilidad en la seguridad• (lasificación de datos% El proceso de determinar la sensibilidad y
(riticidad de la información.
Go"ierno de la Seguridad de la Inforación
0n t!rmino a tomar en cuenta en el "rea de la seguridad de la información es
su Gobierno dentro de alguna organización empezando por determinar los
riesgos que le ata$en y su forma de reducir yJo mitigar impactos adversos a unnivel aceptable mediante el establecimiento de un programa amplio y conciso
en seguridad de la información y el uso efectivo de recursos cuya gu#a principal
sean los objetivos del negocio, es decir, un programa que asegure una
dirección estrat!gica enfocada a los objetivos de una organización y la
protección de su información.
+ecnolog'as,
Las principales tecnolog#as referentes a la seguridad de la información en
inform"tica son%
(ortafuegos -dministración de cuentas de usuarios *etección y prevención de intrusos -ntivirus
/nfraestructura de llave publica (apas de SocHet Segura
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 18/19
+2
Seguridad Inform,!ica
(one+ión 'nica Single Sign on3 SS5 iom!tria (ifrado (umplimiento de privacidad -cceso remoto Firma digital /ntercambio electrónico de *atos E*/ y 1ransferencia Electrónica de
Fondos EF1 edes )irtuales &rivadas )&4s 1ransferencia Electrónica Segura SE1 /nform"tica Forense ecuperación de datos 1ecnolog#as de monitoreo Est"ndares de seguridad de la información
/S5J/E( :6???3series /S5J/E( :6??C /S5J/E( :6??: 5tros est"ndares relacionados (5/1 /S5J/E( :???? M 1ecnolog#a de la información, Gestión del
servicio. S/ fue pionera con el desarrollo de la S C>??? en :??:,
norma en la que se basó la /S5 :????. (ertificaciones
(/S% (ertified /nformation Security anager (/SS&% (ertified /nformation Systems Security &rofessional (ertification G/-(% Global /nformation -ssurance (ertification (&1E (ertified &enetration 1esting Engineer (&1( (ertified &enetration 1esting (onsultant (&E@ (ertified &rofessional Ethical @acHer (/SS5 (ertified /nformation Systems Security 5fficer (SL5 (ertified Security Leadership 5fficer (ertificaciones independientes en seguridad de la información (/S-3 (ertified /nformation Systems -uditor, /S-(-
(/S3 (ertified /nformation Security anager, /S-(- Lead -uditor /S5:6??C3 Lead -uditor /S5 :6??C, S/ (/SS& 3 (ertified /nformation Systems Security &rofessional, /S(: SE(0/1KN, (5&1ia 3 (omputing 1echnology /ndustry -ssociation (E@ 3 (ertified Ethical @acHer &(/ *SS 3 &(/ *ata Security Standard
eferencias%
• http%JJ222.sei.cmu.eduJ
7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz
http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 19/19
Seguridad Inform,!ica
• http%JJ222.cert.orgJ• http%JJ222.g+sgsi.esJ
ibliografia%
Gómez )ieites, Ilvaro A:??6B. Enciclopedia de la Seguridad /nform"tica Information security management systems A:??OB. P&art D% Guidelines
for information security risH managementQ Aen ingl!sB ibliograf#a amió -guirre, Rorge. Seguridad /nform"tica y (riptograf#a v 7.C Ate+to
gu#a de clasesB *pto. de &ublicaciones E.0./., :??O Aedición impresaB.