Professional Documents
Culture Documents
SEGURIDAD INFORMTICA
Introduccin.
En el pasado, el concepto de computadora personal (PC) tena un sentido literal, es decir,
la computadora tena un propietario que guardaba toda su informacin dentro de ella; la
seguridad que se deba de tener para poder resguardar el equipo y la informacin, estaba,
por un lado, vinculada con las condiciones fsicas y del ambiente tales como derrames de
agua, polvo y suciedad, y, por otro lado, en que personas ajenas al equipo tuvieran acceso
y pudieran manipular o imprimir informacin, o en algunos casos, el borrado accidental de
informacin. En la actualidad, el concepto de seguridad computacional se ha convertido en
un elemento multifactorial muy complejo, ya que a partir del uso de la computadora como
una poderosa herramienta que nos apoya en todas las actividades humanas y el desarrollo de internet, el concepto de computadora personal ha sido modificado debido al contexto
tecnolgico en que vivimos.
Nuevos conceptos.
Cada vez ms, las personas poseen una computadora personal o algn dispositivo personal conectado a Internet, ya sea Tablets o Smartphones, y cada vez que utilizan sus equipos estn usando o generando informacin, por lo cual es importante establecer los lmites de la informacin privada y no privada; la informacin privada es determinada, de manera muy simple, respondiendo de manera negativa a la pregunta: Puedo poner mi informacin a disposicin de personas que no conozco? La respuesta negativa conlleva la responsabilidad de proteger dicha informacin.
Por otro lado, cada vez ms, el acceso a sitios de Internet nos obliga a proporcionar datos
que de alguna u otra manera pudiramos considerarlos sensibles y que caen dentro de lo
que pudiramos calificar como informacin privada, lo que ocasiona que en equipos NO
personales tengamos informacin delicada y que no sabemos cuales son los recursos de
seguridad que tienen las grandes compaas para resguardar nuestros datos.
De acuerdo a una encuesta realizada en 2012 por la Sociedad de Internet
(www.internetsociety.org) con respecto a la privacidad y la identidad en lnea se encontraron los siguientes resultados:
Universidad de Sonora
19% de los encuestados mencionan que sus datos personales fueron utilizados de
una forma que no esperaban.
Es por esto y otras cosas que es necesario establecer mecanismos de seguridad que nos
permitan proteger nuestra informacin.
Seguridad informtica.
Se puede definir como un conjunto de procedimientos, dispositivos y herramientas encargadas de asegurar la confidencialidad, integridad y disponibilidad de la informacin en un
sistema informtico e intentar reducir las amenazas que pueden afectar al mismo.
Modelo CID
Confidencialidad
Integridad
Disponibilidad
Confidencialidad: es lo que la mayora de las personas relaciona con seguridad informtica; se debe prevenir que usuarios no autorizados puedan leer o tener acceso a informacin privada. Una prdida de confidencialidad podra ser un ataque a un sistema bancario
para conocer passwords y nmeros de tarjetas de crdito.
Integridad: se debe prevenir que usuarios no autorizados puedan alterar la informacin de
un sistema; un saldo bancario es un claro ejemplo de informacin que requiere un alto grado de integridad, ya que la prdida de integridad acarreara prdidas al banco o al usuario.
Disponibilidad: se debe asegurar que un usuario autorizado pueda tener acceso a la informacin cuando lo requiera. Si un disco duro, con informacin del usuario, es borrado de
manera intencional, es considerado una prdida de disponibilidad.
Universidad de Sonora
Clasificacin.
Los recursos de seguridad informtica se clasifican de acuerdo a dos caractersticas fundamentales: a la naturaleza de la amenaza y a las acciones que realizamos contra las
amenazas.
Naturaleza de la amenaza.
De acuerdo a la naturaleza de la amenaza, la seguridad se divide en:
Seguridad a nivel fsico o material: se refiere a la utilizacin de barreras fsicas y mecanismos de control, que se emplean para proteger el sistema de informacin de
amenazas fsicas, que pueden ser:
1)
Provocadas por el hombre de forma accidental: por ejemplo, el olvido de contraseas, el borrado accidental de informacin, etc.
2)
3)
Provocadas por factores naturales: por ejemplo, incendios, inundaciones, apagones, etc.
A)
B)
Utilizacin de cmaras de seguridad, alarmas, mecanismos de acceso autorizado a oficinas y personal de vigilancia.
C)
Seguridad a nivel lgico o software: se refiere a asegurar los elementos que no son
materiales, programas y datos que corresponden al software de un sistema de informacin. Las principales amenazas al software son:
1)
2)
3)
4)
Universidad de Sonora
B)
C)
D)
Seguridad activa: se refiere a todas aquellas medidas que se utilizan para detectar
las amenazas y, en caso de deteccin, crear los procesos adecuados para evitar el
problema. Algunas medidas de este tipo de seguridad son:
A)
B)
C)
B)
C)
De acuerdo a estas dos clasificaciones, podemos crear una tabla para categorizar los diferentes medios y recursos de seguridad informtica:
MEDIDAS
ACTIVA
PASIVA
FISICA
LOGICA
Universidad de Sonora
Ataques pasivos: los cuales intentan conocer y/o hacer uso de la informacin contenida en un sistema, pero sin afectar a los recursos del mismo; son los ms difciles
de detectar ya que no implica alteracin de datos y funcionamiento.
Ataques activos: los cuales tienen la intencin de alterar y modificar los recursos del
sistema, alterando su funcionamiento; pueden afectar los canales de comunicacin,
bloquendolos o saturndolos.
En la siguiente tabla se muestran algunos formas y recursos frecuentes que se utilizan para realizar ataques a la seguridad informtica:
ATAQUE
Troyano
DESCRIPCIN
Programa que roba informacin o altera el sistema para
que un usuario no autorizado pueda controlar el equipo
TIPO DE ATAQUE
Activo y Pasivo
Espas o Spyware
Pasivo
Gusano o worm
Activo
Spoofing
Pasivo
Bomba lgica
Activo
Sniffing
Pasivo
Hijacker
Programas que alteran nuestro navegador, ya sea instalando barras de navegacin, home page, pop-ups, etc.
Activo
Keylogger
Pasivo
Universidad de Sonora
1.
2.
La seguridad informtica debe ser construida por varios niveles de defensa: No existe un simple mecanismo o procedimiento que nos permita tener nuestra informacin
y equipos a salvo de ataques potenciales. Un sistema de varios mecanismos de defensa hacen ms difcil el acceso a los recursos protegidos, por lo tanto, la informacin y equipo ms valioso y sensible debe de tener varias capas o niveles de acceso; si un nivel falla, existen otros adicionales que estarn protegiendo los sistemas.
3.
La seguridad informtica absoluta NO existe: No podemos proteger de manera perfecta a nuestros equipos e informacin, ya que no podemos predecir las amenazas
potenciales a la seguridad informtica. El objetivo de la seguridad es que el usuario
No autorizado, que intente un ataque a nuestros sistemas, perciba un costo (tiempo,
esfuerzo y recursos) demasiado alto en comparacin con lo que desea obtener y disminuyan las amenazas que puedan ser capaces de lograr un ataque exitoso.
4.
Universidad de Sonora
Recomendaciones.
Aunque se mencionaba anteriormente que no existe un mecanismo perfecto para tener
protegida nuestra informacin y nuestros sistemas, es importante establecer medidas para
detectar posibles amenazas y contrarrestar los ataques que pudiramos recibir en contra
de nuestros recursos.
Existen algunas recomendaciones bsicas que podemos realizar para protegernos mejor
de una prdida de informacin o daos en los equipos, que se presentan a continuacin:
A)
Control de acceso lgico a usuarios: las personas que tengan acceso a sistemas e
informacin sensible es necesario que utilicen nombres de usuario y contraseas
difciles de detectar.
B)
C)
D)
E)
F)
G)
H)
I)
Control de acceso fsico de usuarios: instalacin de control de personas para verificar que solamente personas autorizadas puedan tener acceso a determinadas zonas de trabajo.
Universidad de Sonora
Bibliografa:
Garca-Cervign Hurtado, Alfonso & Alegre Ramos, Mara del Pilar (2011). Seguridad informtica. Madrid: Paraninfo.
Jacobson, Douglas & Idziorek, Joseph (2013). Computer security literacy, Stayin safe in a
digital World. Ames, Iowa: CRC Press.
Marroqun, Nestor (2010). Tras los pasos de un Hacker. Quito Ecuador: NMC Research.
Universidad de Sonora