SlideShare ist ein Scribd-Unternehmen logo

Seguridad informatica

Marcelo Herrera
Marcelo Herrera

Seguridad informatica

Bildung
1 von 11
Downloaden Sie, um offline zu lesen
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 1 SEGURIDAD INFORMATICA Leonardo Sena Mayans Julio 2000 Introducción Existen, en los tiempos que corren, dos elementos que incrementan la importancia de brindar una adecuada seguridad a la información corporativa por parte de las empresas: la importancia creciente de la información para las empresas y el aumento de los riesgos a la que la misma se ve expuesta. Las empresas pueden llegar a triunfar o a morir solamente por la información que manejan, lo que ha llevado a que ésta sea considerada un activo cada vez más valioso, aún cuando no podemos llegar a cuantificarlo adecuadamente. Y es esto último lo que impide que los datos se vean reflejados en una línea del balance, ya que cumplen todas las condiciones restantes de un activo según lo establecido por el marco conceptual. Así, debemos establecer controles eficientes de salvaguarda de activos - como lo hacemos para los bienes tangibles - para los datos. Por otro lado, las empresas se ven actuando en ambiente muchos más abiertos que antes; anteriormente los datos estaban administrados por un CPD centralizado, con escasa interacción aún con los usuarios internos. Hoy día es generalizado un procesamiento descentralizado, ambientes cliente-servidor e ingresos al sistema de usuarios que no pertenecen a la empresa (clientes, proveedores, etc.). Esta apertura, así como trae aparejado nuevas oportunidades de negocios, mayor eficiencia a las operaciones y/o menores costos de transacción, genera nuevos y más complejos riesgos que se deben mitigar, o por lo menos considerar. Al decidir qué tipo de procedimientos de seguridad implantar sobre nuestros datos, el valor creciente de la información y las nuevas tecnologías, impactan en la ecuación costo-beneficio, volviéndola más grande y compleja. También nuestra empresa maneja información de terceros, por lo tanto, no sólo debe lograr procesar la misma de una manera segura, para impedir perdida de imagen y/o acciones legales en su contra, sino que la falta de seguridad o la apariencia de falta de seguridad puede actuar como un impedimento para concretar negocios. Según la consultora KPMG, en el año 1999, la seguridad era el principal inhibidor del comercio electrónico en opinión del 78% de los responsables de e-commerce en Europa. Intentaremos a continuación brindar un desarrollo del concepto, implicancias y técnicas de seguridad actuales en el marco previsto de acuerdo a los objetivos de la materia. Concepto de seguridad La seguridad tiene tres objetivos principales: Confidencialidad: prevención de divulgación no autorizada de los datos Integridad: prevención de modificaciones no autorizadas a los datos Disponibilidad: prevención de interrupciones no autorizadas de los recursos informáticos Para alcanzar estos objetivos la empresa debe contar con procedimientos de seguridad de información adecuados, formalmente definidos y ampliamente divulgados.
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 2 Estos procedimientos, como vemos en la siguiente figura, contribuyen a fortalecer los controles y de esa manera reducir de manera significativa el impacto generado por alguna de las amenazas (valiéndose de las vulnerabilidades existentes). Información Amenazas Ataques Externos -Hackers -Clientes Ataques Internos -Fallas -Sabotages Soporte -Desastres Infraestructura Codigos/Aplicaciones -Virus -Caballos de Troja Estadísticamente, la amenaza más importante para nuestros datos, la encontramos dentro de la empresa. Los accesos indebidos o no autorizados a información corporativa son realizados principalmente por empleados de la misma. A esto hay que sumarle los ataques de virus informáticos ocasionados intencionalmente o por ignorancia, por los propios empleados. En sentido contrario transitan, en general las empresas de nuestro país, preocupándose más por los agentes externos que por los internos. No es de olvidar que los ataques realizados por los hackers o crackers son tapa de los diarios, lo que lleva a que la gente se sensibilice más por este tipo de delitos. Lo importante es que la empresa realice un análisis de riesgos formal, para poder identificarlos y establecer su importancia. El resultado de este análisis establecerá si se está más expuesto a ataques internos o externos, o viceversa, o se debe considerar otro tipo de amenazas, y a partir de allí se podrá desarrollar los procedimientos de seguridad con un foco preciso. Los mecanismos básicos de seguridad, sin importar que tecnología es utilizada, son los siguientes: ! Autenticación ! Autorización ! Administración ! Auditoría y registración ! Mantenimiento de la integridad de los datos Cualquiera de los cinco mecanismos son llevados a cabo por medio del uso de técnicas de seguridad, las cuales sí van a depender de la tecnología utilizada. A medida que las nuevas tecnologías permiten el uso de herramientas (para soporte del negocio) más complejas, es necesario desarrollar nuevas técnicas de seguridad que nos ayuden a controlar nuestros datos.
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 3 Políticas de Seguridad El objetivo de la Políticas de Seguridad de Información, es encima de todo, explicitar el posicionamiento de la organización con relación a la misma, además de servir de base para desarrollar los procedimientos de seguridad. La empresa debe contar con un documento formalmente elaborado sobre el tema, el cual obligatoriamente será divulgado entre todos los funcionarios. No puede ser simplemente una carta de intención, así como no es necesario un alto grado de detalle. Las Políticas deben contener claramente las practicas que serán adoptadas por la compañía. Estas Políticas deben ser revisadas, y de ser necesario actualizadas, periódicamente. Lo más importante para que estas surtan efecto es lograr la concientización, entendimiento y compromiso de todos los involucrados. A manera de ejemplo, sin ser exhaustivo, las Políticas deben comprender: ! Definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la empresa ! Mostrar el compromiso de la alta gerencia con la misma ! Filosofía respecto al acceso a los datos ! Percepción y responsabilidades inherentes al tema ! Establecer la base para poder diseñar normas y procedimientos referidos a: ♦ Organización de la seguridad ♦ Clasificación y control de los datos ♦ Seguridad de las personas ♦ Seguridad física y ambiental ♦ Plan de contingencia ♦ Prevención y detección de virus ♦ Administración de los computadores A partir de las Políticas podremos comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades. En la siguiente figura se muestra una visión macro de cómo debe ser entendida la estructura de políticas, normas y procedimientos de seguridad en las empresas. Políticas Directrices Norm as y procedimientos Que? Quien? Como? Estratégico Táctico O peracional
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 4 Clasificación de los datos y del nivel riesgo Como el grado de sensibilidad y criticidad de los datos es muy variable, el grado de seguridad requerido no será el mismo para todos. No se va a asegurar de la misma manera la bases de datos donde se tienen los códigos postales (que probablemente tenga el mínimo nivel de seguridad) que como se hará con las bases de datos donde están los datos filiatorios de los clientes. Es simplemente una decisión costo-beneficio Por lo expuesto, se deben clasificar los datos, lo cual es similar a establecer su valor. Esta clasificación servirá para incorporar niveles de seguridad adecuados para cada dato de la clasificación. La clasificación debe hacerse sobre la base de un avalúo individual del contenido de las bases de datos, y de su importancia para el negocio, considerando las consecuencias de pérdida, divulgación o acceso indebido. Los usuarios, que no se debe olvidar son los dueños de los datos (aunque generalmente se le cede la propiedad al personal de Informática, quien solamente debe tener la administración), son los responsables de realizar esta tarea, dado que son ellos los que conocen los datos y lo que pueden evaluar el impacto en el negocio. El análisis realizado, así como los resultados, deben formalizarse en un documento y debe ser periódicamente revisado. Como sugerencia de clasificación, pueden utilizarse los siguientes rótulos o niveles: ! Confidencial (información estratégica o de sigilo absoluto) ! Uso restringido (uso para grupos restringidos de las gerencias y/o jefaturas de área) ! Uso interno (Funcionarios) ! Uso público (clientes, proveedores, otros) La sensibilidad de la información debe ser analizada a partir de las siguientes perspectivas (los objetivos de la seguridad): Grado de confidencialidad, determinado por el daño o perdida sufrido por la empresa ante un acceso no autorizado Grado de sensibilidad respecto a la integridad, determinado por el daño o pérdida sufrido ante la inexactitud de la información Grado de sensibilidad a la disponibilidad, determinado por el daño o pérdida sufrida frente a la no-disponibilidad de los datos cuando estos son requeridos. Complementariamente al nivel de criticidad de los datos, se debe precisar el nivel de riesgo al que están expuestos. Se definen niveles de riesgo de acuerdo a la probabilidad de que se materialice una amenaza y al grado de impacto producido, en caso que lo anterior acontezca. Las amenazas son acciones que ponen en peligro la integridad, disponibilidad y confidencialidad de los datos, como ser errores, accesos indebidos, desastres naturales, etc. El impacto es el resultado para la empresa del acaecimiento de la amenaza, estos resultados pueden ser de pérdidas financieras, pérdida de imagen, costo de oportunidad, etc. Los riesgos dependerán de las plataformas (Windows NT, Unix, etc.) y tipo de equipamiento (PC, AS/400, etc.) en donde se mantienen los datos, y del intercambio de la misma desde o hacia terceros (vía Internet, vía línea discada, etc.). Si la empresa mantiene, por ejemplo, todos sus datos bajo una aplicación para Windows NT en una red de PCs tendrá un nivel de riesgo único para la totalidad de los datos. En cambio si se utilizan dos aplicaciones, una bajo Windows NT y otra bajo Unix, los riesgos serán distintos para unos y otros datos. A su vez, si a la primera situación le sumamos que se reciben órdenes de compra vía Internet, el nivel de riesgo al que se expone toda la información es mayor que el establecido en primera instancia. Estos sólo han sido casos ficticios, a modo de ejemplo. En conclusión, para establecer procedimientos de seguridad adecuados (desde el punto de vista costo-beneficio) para cada grupo de datos, es necesario realizar una clasificación de los datos y un análisis de riesgo, con el fin de determinar prioridades y realizar de esa manera una administración más eficiente de los recursos de la empresa.
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 5 Seguridad física, ambiental y lógica Si bien cuando se habla de proteger información se piensa inmediatamente en controles para el acceso lógico a la misma, debe existir una primera barrera que muchas veces es olvidada o sub- valorada. Esta barrera está compuesta por los procedimientos de seguridad física y ambiental. Nos referimos a seguridad física como los procedimientos existentes para controlar el acceso físico al equipamiento informático. Como ejemplo: cámaras de vídeo en la sala del CPD y puertas de acceso al CPD con cerraduras electrónica activadas por tarjetas Nos referimos a seguridad ambiental como los procedimientos existentes para controlar que efectos ambientales perjudiquen el procesamiento, los equipamientos y el personal. Ejemplos: el CPD cuenta con un sistema de supresión de incendios adecuado y el equipamiento central cuenta con protectores de pico de tensión eléctrica. Nos referimos a seguridad lógica como los procedimientos existentes para controlar el acceso lógico no autorizado al información, ya sea que se realice mientras esta se encuentra almacenada o durante la transmisión. Mecanismos básicos de seguridad a) Autenticación Autenticación es la verificación de la identidad del usuario, generalmente cuando ingresamos al sistema o a la red (log-on), o accedemos a una base de datos. Cuando presentamos nuestra cédula de identidad a las autoridades o a cualquier otra persona que lo requiera, nos estamos autenticando. Aquí se utiliza el mismo concepto pero con técnicas distintas, inclusive mucho más exactas que la anterior. Típicamente para ingresar a un sistema se utiliza una contraseña, sin embargo cada vez más se están utilizando otras técnicas que otorgan mayores beneficios desde el punto de vista de la seguridad. Es posible autenticarse, básicamente, de tres maneras: ! Por lo que uno sabe (una contraseña) ! Por lo que uno tiene (una tarjeta magnética) ! Por lo que uno es (las huellas digitales) La utilización de más de un método a la vez aumenta la seguridad de que la autenticación sea correcta. Aún cuando la utilización conjunta es cada vez más utilizada por las empresas, la decisión adoptada debe ir de la mano con el valor de la información a proteger. Diariamente se desarrollan nuevas, más exactas y más baratas técnicas de autenticación, impulsadas por el desarrollo tecnológico en general y por la creciente necesidad de seguridad de la información. En primera instancia, dado que es la técnica más utilizada y no siempre de manera adecuada, nos referiremos a la autenticación mediante contraseñas. La fortaleza del método está determinada por las características de la contraseña. Cuanto más grande y difícil de adivinar esta sea, más difícil será de burlar el mecanismo. A su vez la contraseña debe ser confidencial, y esto es muy importante. No puede ser conocida por nadie más que el usuario. Muchas veces sucede que los usuarios se prestan las contraseñas o se apuntan las mismas en un papelito pegado en el escritorio fácilmente legible por cualquier otro empleado, comprometiendo a la empresa y a nosotros mismos, dado que toda acción que se realice con esa contraseña es responsabilidad nuestra. Para lograr que la contraseña sea difícil de adivinar, esta debe tender lo más posible a un conjunto de caracteres (con minúsculas, mayúsculas y números) inteligible. Lo que sucede es que los usuarios difícilmente recuerdan contraseñas tan elaboradas y utilizan palabras previsibles (el nombre, el apellido, el nombre de usuario, el mes en curso, el nombre de la esposa, el nombre del cuadro de fútbol), que facilitan la tarea de quién desea ingresar al sistema de forma no autorizada. Como medida complementaria se debe obligar al cambio de contraseña de manera periódica (30 – 45 días), impidiendo el uso de contraseñas utilizadas en el pasado. Veamos ahora dos de las nuevas técnicas más utilizadas hoy día.
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 6 Security tokens (o ID card) La autenticación es realizada a través de una contraseña que cuenta con dos componentes, uno fijo (un PIN de usuarios) y otro variable. El componente variable es generado por el security token (que no es otra cosa que una pequeña tarjeta con un display) , el cual genera una nueva contraseña cada 60 segundos. Estas contraseñas son generadas en sincronismo con el servidor (de otra manera no es posible verificar la contraseña) , y por medio de funciones matemáticas alimentadas por la hora. En resumen, a cada usuario se le asigna un PIN y se le entrega un security token. Luego, cada vez que intente ingresar al sistema deberá digitar su PIN y la contraseña generada por su token. El dinamismo en el cambio de contraseñas, así como el largo de las mismas (al ser otorgadas por el token evita que el usuario deba recordar contraseñas grandes, lo cual generalmente no puede hacer), robustecen la seguridad de este mecanismo. Reconocimiento biométrico Las técnicas biométricas presentan procesos de verificación de la identidad basados en características físicas (cara, huellas digitales) o de comportamiento (registro vocal, firma a mano alzada). Primero estas características (como ser el registro vocal) son capturadas e ingresadas al sistema, asociadas a cada usuario respectivo. Luego, en el momento de la verificación, la autenticación se produce por la comparación del patrón almacenado y el registro realizado por el usuario que requiere el acceso. Esta técnica ha evolucionado mucho, llegando a ser muy exactas, y a precios razonables (por ejemplo un lector de huellas digitales oscila en el mercado entre los U$S150 y U$S200). La siguiente tabla detalla las técnicas utilizadas y sus respectivas ventajas y desventajas. TÉCNICA VENTAJAS DESVENTAJAS Reconocimiento de cara Fácil, rápido y barato La iluminación puede alterar la autenticación Lectura de huella digital Barato y muy seguro Posibilidad de burla por medio de réplicas, cortes o lastimaduras pueden alterar la autenticación Lectura de iris/retina Muy seguro Intrusivo (molesto para el usuario) Lectura de la palma de la mano Poca necesidad de memoria de almacenamiento de los patrones Lento y no muy seguro Reconocimiento de la firma Barato Puede ser alterado por el estado emocional de la persona Reconocimiento de la voz Barato, útil para accesos remotos Lento, puede ser alterado por el estado emocional de la persona, fácilmente reproducible b) Autorización Autorización es el proceso de determinar qué, cómo y cuándo, un usuario autenticado puede utilizar los recursos de la empresa. El mecanismo o el grado de autorización puede variar dependiendo de que sea lo que se este protegiendo. Cuando vimos clasificación de los datos establecimos distintos niveles para los mismos, así puede determinarse que para acceder a los datos de cada nivel debe contarse con autorización de cierto nivel jerárquico.
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 7 Las autorizaciones pueden hacerse efectivas por medio de una firma en un formulario o por medio del ingreso de una contraseña específica en el sistema, sí es importante que quede registrada para ser controlada posteriormente. Al nivel de datos, las autorizaciones son instrumentadas de manera de asegurar la confidencialidad e integridad, así sea otorgando o denegando el acceso a la posibilidad de leer, modificar, crear o borrar los mismos. La autorización debe ser otorgada siempre de acuerdo a la necesidad de saber, o sea el acceso a cierto recurso se le otorgará al usuario si es indispensable para la realización de su trabajo, y si no se le negará. Es posible otorgar autorizaciones transitorias o modificar las anteriormente otorgadas a medida que las necesidades de ese usuario varíen. c) Administración La administración incluye los procesos de definir, mantener y eliminar las autorizaciones de los usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema. Los administradores son responsables de transformar las políticas de la organización y las autorizaciones otorgadas a un formato que pueda ser usado por el sistema. Esta administración de la seguridad es un esfuerzo constante porque los negocios se encuentran en permanente cambio dentro de la empresa, lo que repercute en sus sistemas y usuarios. Cada uno de los sistemas operativos de redes conocidos (Windows NT, Novell) cuenta con un módulo de administración de seguridad, pero igualmente existe software específico para realizar esta tarea. d) Auditoría y registración Llamamos auditoría al proceso de recolectar información y analizarla, que permite a los administradores u otros especialistas verificar que las técnicas de autenticación y autorización empleadas se realizan según lo establecido y se cumplen los objetivos fijados por la empresa. Registrar es el mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda asentado en una base de eventos que permite su posterior análisis. Monitorear la información registrada o auditar, se puede realizar mediante medios manuales o automáticos, y con una periodicidad acorde a la criticidad de la información protegida y al nivel de riesgo. Es evidente que el hecho de registrar los eventos, por sí solo, no brinda ninguna utilidad. Los registros pueden ser usados por más de una persona, para realizar chequeos de rutina o para constatar hechos individuales, entre los que podemos citar administradores, auditores internos y externos, consultores y gobierno. e) Mantenimiento de la Integridad Mantener la información íntegra refiere a los procedimientos establecidos para evitar o controlar que los archivos permanezcan sin sufrir cambios no autorizados y que la información enviada desde un punto llegue a destino inalterada. El mantenimiento de la integridad también involucra la prevención de cambios accidentales, lo cual generalmente se maneja por medio de códigos de manejo de errores. Dentro de las técnicas más utilizadas para mantener (o controlar) la integridad de los datos, podemos citar: uso de antivirus, encriptación y funciones “hash”. La primera ya es muy conocida, por lo tanto no ampliaremos el concepto. Sí lo haremos con las otras dos técnicas, lo cual una vez entendidas, nos permitirá explicar el concepto de firma digital.
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 8 Encriptación La criptografía es una ciencia que brinda distintas técnicas capaces de transformar datos legibles en datos no legibles, y viceversa, por medio de funciones matemáticas (algoritmos). El objetivo de convertir datos legibles en inteligibles, es prevenir ante la posibilidad que una persona no autorizada acceda a los mismo, no sea capaz de entender su significado. Estos algoritmos trans- forman texto plano en un código equivalente (llamado texto cifrado), para transmisiones o almacenamiento de datos, utilizando una clave. Luego, este texto cifrado puede ser transformado a texto plano otra vez apli- cando el mismo algo- ritmo y una clave. Existen dos tipos de encriptación: los simé- tricos (utilizan la misma clave para en- criptar y para desen- criptar) y los asimétri- cos (los cuales utilizan dos claves distintas). La robustez (capacidad de no ser burlado) del método se establece por el algoritmo utilizado y por el largo de la clave. En general, se dice que cuanto más grande la clave más seguro será. Esto es un error porque se depende del algoritmo utilizado, existen algoritmo que son más seguros cuanto más chica es la clave. Por más que se utilizan funciones aritmética muy complejas, el avance de la tecnología ha permi- tido que sea más fácil poder “romper” los códigos cifrados (o sea interpretar el mensaje original). Para lograr este fin, los hackers utilizan dos técnicas: ataque por diccionario o por fuerza bruta. En el primero se utiliza un método deductivo, tratando de encontrar patrones sobre la base de palabras en cualquier idioma, mientras que en el segundo simplemente se prueban distintas combinaciones de caracteres hasta encontrar lo deseado. Para terminar hablaremos de los algoritmos de clave pública (sistema de criptografía asimétrico). El mismo se basa en dos claves: una pública y una privada, la pública es conocida y se utiliza para encriptar los mensajes y la privada es solamente conocida por el usuario que la utiliza para desencriptarlo. Este mecanismo evita la administración de un gran número de claves secretas necesaria para los algoritmos simétricos, pero requiere un proceso para asegurar que las claves públicas son auténticas y pertenecen al usuario correspondiente. Así, nacen las compañías certificadoras, las cuales se encargan de certificar que una clave pertenece a tal o cual usuario y de distribuir las mismas. Funciones “hash” Una función “hash” es una función matemática compleja unidireccional que aplicada a un conjunto de caracteres de cualquier longitud obtiene un pequeño resultado, de largo fijo, y cualquier cambio al conjunto de caracteres origen, producirá un cambio en el resultado. Se estima que para lograr otro conjunto de caracteres distinto del anterior, que genere el mismo resultado, se requiere más esfuerzo que el que es capaz cualquier persona o computadora. Mediante estas funciones puedo controlar que mi información no haya sido alterada, por error o intencionalmente, durante una transmisión o durante el período que permaneció almacenada. Simplemente debo calcular el resultado de la función “hash” en el momento cero, y compararlo con el resultante de aplicar la misma función en otro momento, para asegurarme que la información se mantiene íntegra.
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 9 Firma Digital Hemos dejado para el final el tema de firmas digitales a propósito, debido a varios motivos. Entre ellos están: - el hecho de entender los conceptos anteriormente vertido facilitará la comprensión de este concepto. - está técnica es utilizada tanto para autenticación como para el mantenimiento de la integridad y la auditoría (sin olvidar que puede avalar la asignación de determinada autorización) - el auge de la técnica a nivel mundial y local (en la actual ley de urgencia se acaba de incorporar una ley al respecto). A continuación se explica cómo funciona la firma digital. Paso 1: Bob quiere mandar un mensaje firmado a Alice. Lo primero que debe hacer es escribir el mensaje, y luego procede a firmarlo. El proceso de firmar incluye dos pasos: - se calcula el resultado de aplicar una función “hash” al mensaje, lo cual se llamará digest - el digest se encripta con la clave privada de Bob, y se adjunta al mensaje original. El resultado del proceso es el mensaje más la firma. Paso 2 El mensaje más la firma se encriptan para ser enviados. La encriptación puede ser realizado de dos maneras: - con una clave de una única vez, si se usa un algoritmo simétrico (esta clave debe ser comunicada al receptor por otra vía para poder desencriptarlo) - con la clave pública de destinatario, si se utiliza un algoritmo asimétrico. Al resultado de esta operación simplemente resta enviarlo al destinatario.
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 10 Paso 3 Alice recibe el mensaje de Bob Dependiendo de cómo se encriptó procederá a: - desencriptarlo con la clave de única vez - desencriptarlo con la clave privada de Alice. El resultado obtenido es el mensaje y la firma digital.
Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 11 Paso 4 Resta verificar que realmente el mensaje fue firmado por Bob. Para esto debemos: - desencriptar la firma con la clave pública de Bob, obteniendo el digest - calcularle al mensaje recibido (mediante la misma función “hash” que utilizó Bob) el digest Una vez terminadas las acciones anteriores, simplemente compararemos los resultado obtenidos y de esa manera, en caso de ser iguales, verificaremos la identidad del emisor. Para terminar y a manera de resumen diremos que las firmas digitales desarrolladas de la manera que hemos visto proveen la misma seguridad que las firmas sobre papel tradicionales: – Autenticación: la garantía de que un mensaje proviene de la persona que dice haberlo enviado. – Integridad: la prueba de que los contenidos de un mensaje no han sido alterados, deliberada o accidentalmente, durante la transmisión. – No-Repudio: la certeza de saber que el remitente del mensaje no puede más tarde negar haberlo enviado. – Confidencialidad: la evidencia de que el contenido del mensaje no ha sido revelado a terceras partes.

Empfohlen

La era de los controles
La era de los controlesLa era de los controles
La era de los controlesFabián Descalzo
 
Foro kodak
Foro kodakForo kodak
Foro kodakMao Sierra
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasRogger Cárdenas González
 
EULEN SEGURIDAD - Seguridad Gestionada
EULEN SEGURIDAD - Seguridad GestionadaEULEN SEGURIDAD - Seguridad Gestionada
EULEN SEGURIDAD - Seguridad GestionadaRicardo Cañizares Sales
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la leyFabián Descalzo
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 

Empfohlen

La era de los controles
La era de los controlesLa era de los controles
La era de los controlesFabián Descalzo
 
Foro kodak
Foro kodakForo kodak
Foro kodakMao Sierra
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasRogger Cárdenas González
 
EULEN SEGURIDAD - Seguridad Gestionada
EULEN SEGURIDAD - Seguridad GestionadaEULEN SEGURIDAD - Seguridad Gestionada
EULEN SEGURIDAD - Seguridad GestionadaRicardo Cañizares Sales
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la leyFabián Descalzo
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadCore One Information Technology SA de CV
 
Seguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y CobitSeguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y CobitYAMJ2010
 
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0 ---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0xavazquez
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
PolíTic As De Seguridad Jprl
PolíTic As De Seguridad JprlPolíTic As De Seguridad Jprl
PolíTic As De Seguridad Jprlastrologia
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiKramer Garay Gómez
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridadEdmundo Diego Bonini ஃ
 
Sistemas informacion
Sistemas informacionSistemas informacion
Sistemas informacionYesika Rodriguez
 
Guia de seguridad pymes
Guia de seguridad pymesGuia de seguridad pymes
Guia de seguridad pymesEva Delgado
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Roger Reverter
 
Toma de decisiones en condiciones VUCA
Toma de decisiones en condiciones VUCAToma de decisiones en condiciones VUCA
Toma de decisiones en condiciones VUCADavid Solis
 
Plan ANUAL
Plan ANUAL Plan ANUAL
Plan ANUAL Marcelo Herrera
 
Informe sobre VNC
Informe sobre VNC Informe sobre VNC
Informe sobre VNCMarcelo Herrera
 
Historia
HistoriaHistoria
HistoriaMarcelo Herrera
 
Silabo adm
Silabo admSilabo adm
Silabo admMarcelo Herrera
 
Seguridad en contraseñas
Seguridad en contraseñasSeguridad en contraseñas
Seguridad en contraseñasRafa González Jiménez
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
 
ejercicios de subnetting
ejercicios de subnettingejercicios de subnetting
ejercicios de subnettingMarcelo Herrera
 

Weitere ähnliche Inhalte

Was ist angesagt?

Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
Seguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y CobitSeguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y CobitYAMJ2010
 
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0 ---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0xavazquez
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
PolíTic As De Seguridad Jprl
PolíTic As De Seguridad JprlPolíTic As De Seguridad Jprl
PolíTic As De Seguridad Jprlastrologia
 
Guia de seguridad pymes
Guia de seguridad pymesGuia de seguridad pymes
Guia de seguridad pymesEva Delgado
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Roger Reverter
 
Toma de decisiones en condiciones VUCA
Toma de decisiones en condiciones VUCAToma de decisiones en condiciones VUCA
Toma de decisiones en condiciones VUCADavid Solis
 

Was ist angesagt? (15)

Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica final
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
Seguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y CobitSeguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y Cobit
 
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0 ---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)
 
PolíTic As De Seguridad Jprl
PolíTic As De Seguridad JprlPolíTic As De Seguridad Jprl
PolíTic As De Seguridad Jprl
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridad
 
Sistemas informacion
Sistemas informacionSistemas informacion
Sistemas informacion
 
Guia de seguridad pymes
Guia de seguridad pymesGuia de seguridad pymes
Guia de seguridad pymes
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin
 
Toma de decisiones en condiciones VUCA
Toma de decisiones en condiciones VUCAToma de decisiones en condiciones VUCA
Toma de decisiones en condiciones VUCA
 

Andere mochten auch

Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
 
ejercicios de subnetting
ejercicios de subnettingejercicios de subnetting
ejercicios de subnettingMarcelo Herrera
 
Ejercicios de subnetting
Ejercicios de subnetting Ejercicios de subnetting
Ejercicios de subnetting Marcelo Herrera
 

Andere mochten auch (9)

Plan ANUAL
Plan ANUAL Plan ANUAL
Plan ANUAL
 
Informe sobre VNC
Informe sobre VNC Informe sobre VNC
Informe sobre VNC
 
Historia
HistoriaHistoria
Historia
 
Silabo adm
Silabo admSilabo adm
Silabo adm
 
Seguridad en contraseñas
Seguridad en contraseñasSeguridad en contraseñas
Seguridad en contraseñas
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
 
ejercicios de subnetting
ejercicios de subnettingejercicios de subnetting
ejercicios de subnetting
 
Ejercicios de subnetting
Ejercicios de subnetting Ejercicios de subnetting
Ejercicios de subnetting
 
Grupo1 control de acceso
Grupo1 control de accesoGrupo1 control de acceso
Grupo1 control de acceso
 

Ähnlich wie Seguridad informatica

Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
 
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosInforme 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosMarcel Castillo
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaFabián Descalzo
 
Procedimientos y recomendaciones para la protección de datos
Procedimientos y recomendaciones para la protección de datos Procedimientos y recomendaciones para la protección de datos
Procedimientos y recomendaciones para la protección de datos Cade Soluciones
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Guia de seguridad pymes
Guia de seguridad pymesGuia de seguridad pymes
Guia de seguridad pymesEva Delgado
 
Guia de seguridad pymes eva
Guia de seguridad pymes evaGuia de seguridad pymes eva
Guia de seguridad pymes evapoloniadelgado
 
Guia de seguridad pymes
Guia de seguridad pymesGuia de seguridad pymes
Guia de seguridad pymesEva Delgado
 
Guia de seguridad pymes
Guia de seguridad pymesGuia de seguridad pymes
Guia de seguridad pymesEva Delgado
 
CIBER SEGURIDAD DATOS ESTADÍSTICOS.
CIBER SEGURIDAD DATOS ESTADÍSTICOS.CIBER SEGURIDAD DATOS ESTADÍSTICOS.
CIBER SEGURIDAD DATOS ESTADÍSTICOS.Miguel Cabrera
 
Analisis pymes ajv
Analisis pymes ajvAnalisis pymes ajv
Analisis pymes ajvajv_86
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Itconic
 
Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020bogotasur
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 

Ähnlich wie Seguridad informatica (20)

Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidad
 
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosInforme 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
ETICA
ETICA ETICA
ETICA
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad Corporativa
 
Procedimientos y recomendaciones para la protección de datos
Procedimientos y recomendaciones para la protección de datos Procedimientos y recomendaciones para la protección de datos
Procedimientos y recomendaciones para la protección de datos
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
 
Guia de seguridad pymes
Guia de seguridad pymesGuia de seguridad pymes
Guia de seguridad pymes
 
Guia de seguridad pymes eva
Guia de seguridad pymes evaGuia de seguridad pymes eva
Guia de seguridad pymes eva
 
Guia de seguridad pymes
Guia de seguridad pymesGuia de seguridad pymes
Guia de seguridad pymes
 
Guia de seguridad pymes
Guia de seguridad pymesGuia de seguridad pymes
Guia de seguridad pymes
 
CIBER SEGURIDAD DATOS ESTADÍSTICOS.
CIBER SEGURIDAD DATOS ESTADÍSTICOS.CIBER SEGURIDAD DATOS ESTADÍSTICOS.
CIBER SEGURIDAD DATOS ESTADÍSTICOS.
 
Analisis pymes ajv
Analisis pymes ajvAnalisis pymes ajv
Analisis pymes ajv
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4
 
Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 

Mehr von Marcelo Herrera

Metodologia para el diseño de redes
Metodologia para el diseño de redesMetodologia para el diseño de redes
Metodologia para el diseño de redesMarcelo Herrera
 
Administración de centros de cómputo clase 1
Administración de centros de cómputo clase 1Administración de centros de cómputo clase 1
Administración de centros de cómputo clase 1Marcelo Herrera
 
Informe sobre Teamviewer
Informe sobre TeamviewerInforme sobre Teamviewer
Informe sobre TeamviewerMarcelo Herrera
 
Ejercicios subnetting y vlsm
Ejercicios subnetting y vlsm Ejercicios subnetting y vlsm
Ejercicios subnetting y vlsm Marcelo Herrera
 
Acuerdosy compromisosupa
Acuerdosy compromisosupaAcuerdosy compromisosupa
Acuerdosy compromisosupaMarcelo Herrera
 
Seguimientodel silaboestudiantesupa
Seguimientodel silaboestudiantesupaSeguimientodel silaboestudiantesupa
Seguimientodel silaboestudiantesupaMarcelo Herrera
 
Acuerdosy compromisosupa
Acuerdosy compromisosupaAcuerdosy compromisosupa
Acuerdosy compromisosupaMarcelo Herrera
 
Seguimientodel silaboestudiantesupa
Seguimientodel silaboestudiantesupaSeguimientodel silaboestudiantesupa
Seguimientodel silaboestudiantesupaMarcelo Herrera
 
Silabo redes de computadores II
Silabo redes de computadores IISilabo redes de computadores II
Silabo redes de computadores IIMarcelo Herrera
 
Seguimiento Silabo estudiantes
Seguimiento Silabo estudiantesSeguimiento Silabo estudiantes
Seguimiento Silabo estudiantesMarcelo Herrera
 
7. sgbd sistema gestor de BD
7. sgbd sistema gestor de BD7. sgbd sistema gestor de BD
7. sgbd sistema gestor de BDMarcelo Herrera
 
Herrera marcelo bdii_6_s_tI_2
Herrera marcelo bdii_6_s_tI_2Herrera marcelo bdii_6_s_tI_2
Herrera marcelo bdii_6_s_tI_2Marcelo Herrera
 

Mehr von Marcelo Herrera (20)

Tia 568
Tia 568Tia 568
Tia 568
 
Metodologia para el diseño de redes
Metodologia para el diseño de redesMetodologia para el diseño de redes
Metodologia para el diseño de redes
 
Administración de centros de cómputo clase 1
Administración de centros de cómputo clase 1Administración de centros de cómputo clase 1
Administración de centros de cómputo clase 1
 
plan
plan plan
plan
 
Informe sobre Teamviewer
Informe sobre TeamviewerInforme sobre Teamviewer
Informe sobre Teamviewer
 
Ejercicios subnetting y vlsm
Ejercicios subnetting y vlsm Ejercicios subnetting y vlsm
Ejercicios subnetting y vlsm
 
Acuerdosy compromisosupa
Acuerdosy compromisosupaAcuerdosy compromisosupa
Acuerdosy compromisosupa
 
Seguimientodel silaboestudiantesupa
Seguimientodel silaboestudiantesupaSeguimientodel silaboestudiantesupa
Seguimientodel silaboestudiantesupa
 
Acuerdosy compromisosupa
Acuerdosy compromisosupaAcuerdosy compromisosupa
Acuerdosy compromisosupa
 
Seguimientodel silaboestudiantesupa
Seguimientodel silaboestudiantesupaSeguimientodel silaboestudiantesupa
Seguimientodel silaboestudiantesupa
 
Silabo redes de computadores II
Silabo redes de computadores IISilabo redes de computadores II
Silabo redes de computadores II
 
Seguimiento Silabo estudiantes
Seguimiento Silabo estudiantesSeguimiento Silabo estudiantes
Seguimiento Silabo estudiantes
 
Acta De compromiso
Acta De compromisoActa De compromiso
Acta De compromiso
 
Herrera marcelo Rl_1
Herrera marcelo Rl_1Herrera marcelo Rl_1
Herrera marcelo Rl_1
 
Herrera marcelo bdii_T8
Herrera marcelo bdii_T8Herrera marcelo bdii_T8
Herrera marcelo bdii_T8
 
Data Warehouse
Data WarehouseData Warehouse
Data Warehouse
 
7. sgbd sistema gestor de BD
7. sgbd sistema gestor de BD7. sgbd sistema gestor de BD
7. sgbd sistema gestor de BD
 
Herrera marcelo bdii_T7
Herrera marcelo bdii_T7Herrera marcelo bdii_T7
Herrera marcelo bdii_T7
 
Herrera marcelo bdii_6_s_tI_2
Herrera marcelo bdii_6_s_tI_2Herrera marcelo bdii_6_s_tI_2
Herrera marcelo bdii_6_s_tI_2
 
Herrera marcelo bdii_T3
Herrera marcelo bdii_T3Herrera marcelo bdii_T3
Herrera marcelo bdii_T3
 

Kürzlich hochgeladen

Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxNataliaGonzalez619348
 
Si cuidamos el mundo, tendremos un mundo mejor.
Si cuidamos el mundo, tendremos un mundo mejor.Si cuidamos el mundo, tendremos un mundo mejor.
Si cuidamos el mundo, tendremos un mundo mejor.monthuerta17
 
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docxMagalyDacostaPea
 
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...MagalyDacostaPea
 
Apunte de clase Pisos y Revestimientos 1
Apunte de clase Pisos y Revestimientos 1Apunte de clase Pisos y Revestimientos 1
Apunte de clase Pisos y Revestimientos 1Gonella
 
Apunte de clase Pisos y Revestimientos 2
Apunte de clase Pisos y Revestimientos 2Apunte de clase Pisos y Revestimientos 2
Apunte de clase Pisos y Revestimientos 2Gonella
 
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...Martin M Flynn
 
libro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguajelibro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguajeKattyMoran3
 
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...Carol Andrea Eraso Guerrero
 
4° SES MATE DESCOMP. ADIT. DE NUMEROS SOBRE CASOS DE DENGUE 9-4-24 (1).docx
4° SES MATE DESCOMP. ADIT. DE NUMEROS SOBRE CASOS DE DENGUE 9-4-24 (1).docx4° SES MATE DESCOMP. ADIT. DE NUMEROS SOBRE CASOS DE DENGUE 9-4-24 (1).docx
4° SES MATE DESCOMP. ADIT. DE NUMEROS SOBRE CASOS DE DENGUE 9-4-24 (1).docxMagalyDacostaPea
 
BOCA Y NARIZ (2).pdf....................
BOCA Y NARIZ (2).pdf....................BOCA Y NARIZ (2).pdf....................
BOCA Y NARIZ (2).pdf....................ScarletMedina4
 
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADOCUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADOEveliaHernandez8
 
Descripción del Proceso de corte y soldadura
Descripción del Proceso de corte y soldaduraDescripción del Proceso de corte y soldadura
Descripción del Proceso de corte y soldaduraJose Sanchez
 
Presentación Bloque 3 Actividad 2 transversal.pptx
Presentación Bloque 3 Actividad 2 transversal.pptxPresentación Bloque 3 Actividad 2 transversal.pptx
Presentación Bloque 3 Actividad 2 transversal.pptxRosabel UA
 
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docxEJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docxFabianValenciaJabo
 
Actividades eclipse solar 2024 Educacion
Actividades eclipse solar 2024 EducacionActividades eclipse solar 2024 Educacion
Actividades eclipse solar 2024 Educacionviviantorres91
 
Acuerdo 05_04_24 Lineamientos del CTE.pdf
Acuerdo 05_04_24 Lineamientos del CTE.pdfAcuerdo 05_04_24 Lineamientos del CTE.pdf
Acuerdo 05_04_24 Lineamientos del CTE.pdfmiriamguevara21
 

Kürzlich hochgeladen (20)

Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
 
Si cuidamos el mundo, tendremos un mundo mejor.
Si cuidamos el mundo, tendremos un mundo mejor.Si cuidamos el mundo, tendremos un mundo mejor.
Si cuidamos el mundo, tendremos un mundo mejor.
 
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
 
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
 
¿Amor o egoísmo? Esa es la cuestión.pptx
¿Amor o egoísmo? Esa es la cuestión.pptx¿Amor o egoísmo? Esa es la cuestión.pptx
¿Amor o egoísmo? Esa es la cuestión.pptx
 
Apunte de clase Pisos y Revestimientos 1
Apunte de clase Pisos y Revestimientos 1Apunte de clase Pisos y Revestimientos 1
Apunte de clase Pisos y Revestimientos 1
 
Apunte de clase Pisos y Revestimientos 2
Apunte de clase Pisos y Revestimientos 2Apunte de clase Pisos y Revestimientos 2
Apunte de clase Pisos y Revestimientos 2
 
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
 
Sesión ¿Amor o egoísmo? Esa es la cuestión
Sesión ¿Amor o egoísmo? Esa es la cuestiónSesión ¿Amor o egoísmo? Esa es la cuestión
Sesión ¿Amor o egoísmo? Esa es la cuestión
 
Aedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptxAedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptx
 
libro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguajelibro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguaje
 
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
 
4° SES MATE DESCOMP. ADIT. DE NUMEROS SOBRE CASOS DE DENGUE 9-4-24 (1).docx
4° SES MATE DESCOMP. ADIT. DE NUMEROS SOBRE CASOS DE DENGUE 9-4-24 (1).docx4° SES MATE DESCOMP. ADIT. DE NUMEROS SOBRE CASOS DE DENGUE 9-4-24 (1).docx
4° SES MATE DESCOMP. ADIT. DE NUMEROS SOBRE CASOS DE DENGUE 9-4-24 (1).docx
 
BOCA Y NARIZ (2).pdf....................
BOCA Y NARIZ (2).pdf....................BOCA Y NARIZ (2).pdf....................
BOCA Y NARIZ (2).pdf....................
 
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADOCUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
 
Descripción del Proceso de corte y soldadura
Descripción del Proceso de corte y soldaduraDescripción del Proceso de corte y soldadura
Descripción del Proceso de corte y soldadura
 
Presentación Bloque 3 Actividad 2 transversal.pptx
Presentación Bloque 3 Actividad 2 transversal.pptxPresentación Bloque 3 Actividad 2 transversal.pptx
Presentación Bloque 3 Actividad 2 transversal.pptx
 
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docxEJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
 
Actividades eclipse solar 2024 Educacion
Actividades eclipse solar 2024 EducacionActividades eclipse solar 2024 Educacion
Actividades eclipse solar 2024 Educacion
 
Acuerdo 05_04_24 Lineamientos del CTE.pdf
Acuerdo 05_04_24 Lineamientos del CTE.pdfAcuerdo 05_04_24 Lineamientos del CTE.pdf
Acuerdo 05_04_24 Lineamientos del CTE.pdf
 

Seguridad informatica

  • 1. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 1 SEGURIDAD INFORMATICA Leonardo Sena Mayans Julio 2000 Introducción Existen, en los tiempos que corren, dos elementos que incrementan la importancia de brindar una adecuada seguridad a la información corporativa por parte de las empresas: la importancia creciente de la información para las empresas y el aumento de los riesgos a la que la misma se ve expuesta. Las empresas pueden llegar a triunfar o a morir solamente por la información que manejan, lo que ha llevado a que ésta sea considerada un activo cada vez más valioso, aún cuando no podemos llegar a cuantificarlo adecuadamente. Y es esto último lo que impide que los datos se vean reflejados en una línea del balance, ya que cumplen todas las condiciones restantes de un activo según lo establecido por el marco conceptual. Así, debemos establecer controles eficientes de salvaguarda de activos - como lo hacemos para los bienes tangibles - para los datos. Por otro lado, las empresas se ven actuando en ambiente muchos más abiertos que antes; anteriormente los datos estaban administrados por un CPD centralizado, con escasa interacción aún con los usuarios internos. Hoy día es generalizado un procesamiento descentralizado, ambientes cliente-servidor e ingresos al sistema de usuarios que no pertenecen a la empresa (clientes, proveedores, etc.). Esta apertura, así como trae aparejado nuevas oportunidades de negocios, mayor eficiencia a las operaciones y/o menores costos de transacción, genera nuevos y más complejos riesgos que se deben mitigar, o por lo menos considerar. Al decidir qué tipo de procedimientos de seguridad implantar sobre nuestros datos, el valor creciente de la información y las nuevas tecnologías, impactan en la ecuación costo-beneficio, volviéndola más grande y compleja. También nuestra empresa maneja información de terceros, por lo tanto, no sólo debe lograr procesar la misma de una manera segura, para impedir perdida de imagen y/o acciones legales en su contra, sino que la falta de seguridad o la apariencia de falta de seguridad puede actuar como un impedimento para concretar negocios. Según la consultora KPMG, en el año 1999, la seguridad era el principal inhibidor del comercio electrónico en opinión del 78% de los responsables de e-commerce en Europa. Intentaremos a continuación brindar un desarrollo del concepto, implicancias y técnicas de seguridad actuales en el marco previsto de acuerdo a los objetivos de la materia. Concepto de seguridad La seguridad tiene tres objetivos principales: Confidencialidad: prevención de divulgación no autorizada de los datos Integridad: prevención de modificaciones no autorizadas a los datos Disponibilidad: prevención de interrupciones no autorizadas de los recursos informáticos Para alcanzar estos objetivos la empresa debe contar con procedimientos de seguridad de información adecuados, formalmente definidos y ampliamente divulgados.
  • 2. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 2 Estos procedimientos, como vemos en la siguiente figura, contribuyen a fortalecer los controles y de esa manera reducir de manera significativa el impacto generado por alguna de las amenazas (valiéndose de las vulnerabilidades existentes). Información Amenazas Ataques Externos -Hackers -Clientes Ataques Internos -Fallas -Sabotages Soporte -Desastres Infraestructura Codigos/Aplicaciones -Virus -Caballos de Troja Estadísticamente, la amenaza más importante para nuestros datos, la encontramos dentro de la empresa. Los accesos indebidos o no autorizados a información corporativa son realizados principalmente por empleados de la misma. A esto hay que sumarle los ataques de virus informáticos ocasionados intencionalmente o por ignorancia, por los propios empleados. En sentido contrario transitan, en general las empresas de nuestro país, preocupándose más por los agentes externos que por los internos. No es de olvidar que los ataques realizados por los hackers o crackers son tapa de los diarios, lo que lleva a que la gente se sensibilice más por este tipo de delitos. Lo importante es que la empresa realice un análisis de riesgos formal, para poder identificarlos y establecer su importancia. El resultado de este análisis establecerá si se está más expuesto a ataques internos o externos, o viceversa, o se debe considerar otro tipo de amenazas, y a partir de allí se podrá desarrollar los procedimientos de seguridad con un foco preciso. Los mecanismos básicos de seguridad, sin importar que tecnología es utilizada, son los siguientes: ! Autenticación ! Autorización ! Administración ! Auditoría y registración ! Mantenimiento de la integridad de los datos Cualquiera de los cinco mecanismos son llevados a cabo por medio del uso de técnicas de seguridad, las cuales sí van a depender de la tecnología utilizada. A medida que las nuevas tecnologías permiten el uso de herramientas (para soporte del negocio) más complejas, es necesario desarrollar nuevas técnicas de seguridad que nos ayuden a controlar nuestros datos.
  • 3. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 3 Políticas de Seguridad El objetivo de la Políticas de Seguridad de Información, es encima de todo, explicitar el posicionamiento de la organización con relación a la misma, además de servir de base para desarrollar los procedimientos de seguridad. La empresa debe contar con un documento formalmente elaborado sobre el tema, el cual obligatoriamente será divulgado entre todos los funcionarios. No puede ser simplemente una carta de intención, así como no es necesario un alto grado de detalle. Las Políticas deben contener claramente las practicas que serán adoptadas por la compañía. Estas Políticas deben ser revisadas, y de ser necesario actualizadas, periódicamente. Lo más importante para que estas surtan efecto es lograr la concientización, entendimiento y compromiso de todos los involucrados. A manera de ejemplo, sin ser exhaustivo, las Políticas deben comprender: ! Definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la empresa ! Mostrar el compromiso de la alta gerencia con la misma ! Filosofía respecto al acceso a los datos ! Percepción y responsabilidades inherentes al tema ! Establecer la base para poder diseñar normas y procedimientos referidos a: ♦ Organización de la seguridad ♦ Clasificación y control de los datos ♦ Seguridad de las personas ♦ Seguridad física y ambiental ♦ Plan de contingencia ♦ Prevención y detección de virus ♦ Administración de los computadores A partir de las Políticas podremos comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades. En la siguiente figura se muestra una visión macro de cómo debe ser entendida la estructura de políticas, normas y procedimientos de seguridad en las empresas. Políticas Directrices Norm as y procedimientos Que? Quien? Como? Estratégico Táctico O peracional
  • 4. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 4 Clasificación de los datos y del nivel riesgo Como el grado de sensibilidad y criticidad de los datos es muy variable, el grado de seguridad requerido no será el mismo para todos. No se va a asegurar de la misma manera la bases de datos donde se tienen los códigos postales (que probablemente tenga el mínimo nivel de seguridad) que como se hará con las bases de datos donde están los datos filiatorios de los clientes. Es simplemente una decisión costo-beneficio Por lo expuesto, se deben clasificar los datos, lo cual es similar a establecer su valor. Esta clasificación servirá para incorporar niveles de seguridad adecuados para cada dato de la clasificación. La clasificación debe hacerse sobre la base de un avalúo individual del contenido de las bases de datos, y de su importancia para el negocio, considerando las consecuencias de pérdida, divulgación o acceso indebido. Los usuarios, que no se debe olvidar son los dueños de los datos (aunque generalmente se le cede la propiedad al personal de Informática, quien solamente debe tener la administración), son los responsables de realizar esta tarea, dado que son ellos los que conocen los datos y lo que pueden evaluar el impacto en el negocio. El análisis realizado, así como los resultados, deben formalizarse en un documento y debe ser periódicamente revisado. Como sugerencia de clasificación, pueden utilizarse los siguientes rótulos o niveles: ! Confidencial (información estratégica o de sigilo absoluto) ! Uso restringido (uso para grupos restringidos de las gerencias y/o jefaturas de área) ! Uso interno (Funcionarios) ! Uso público (clientes, proveedores, otros) La sensibilidad de la información debe ser analizada a partir de las siguientes perspectivas (los objetivos de la seguridad): Grado de confidencialidad, determinado por el daño o perdida sufrido por la empresa ante un acceso no autorizado Grado de sensibilidad respecto a la integridad, determinado por el daño o pérdida sufrido ante la inexactitud de la información Grado de sensibilidad a la disponibilidad, determinado por el daño o pérdida sufrida frente a la no-disponibilidad de los datos cuando estos son requeridos. Complementariamente al nivel de criticidad de los datos, se debe precisar el nivel de riesgo al que están expuestos. Se definen niveles de riesgo de acuerdo a la probabilidad de que se materialice una amenaza y al grado de impacto producido, en caso que lo anterior acontezca. Las amenazas son acciones que ponen en peligro la integridad, disponibilidad y confidencialidad de los datos, como ser errores, accesos indebidos, desastres naturales, etc. El impacto es el resultado para la empresa del acaecimiento de la amenaza, estos resultados pueden ser de pérdidas financieras, pérdida de imagen, costo de oportunidad, etc. Los riesgos dependerán de las plataformas (Windows NT, Unix, etc.) y tipo de equipamiento (PC, AS/400, etc.) en donde se mantienen los datos, y del intercambio de la misma desde o hacia terceros (vía Internet, vía línea discada, etc.). Si la empresa mantiene, por ejemplo, todos sus datos bajo una aplicación para Windows NT en una red de PCs tendrá un nivel de riesgo único para la totalidad de los datos. En cambio si se utilizan dos aplicaciones, una bajo Windows NT y otra bajo Unix, los riesgos serán distintos para unos y otros datos. A su vez, si a la primera situación le sumamos que se reciben órdenes de compra vía Internet, el nivel de riesgo al que se expone toda la información es mayor que el establecido en primera instancia. Estos sólo han sido casos ficticios, a modo de ejemplo. En conclusión, para establecer procedimientos de seguridad adecuados (desde el punto de vista costo-beneficio) para cada grupo de datos, es necesario realizar una clasificación de los datos y un análisis de riesgo, con el fin de determinar prioridades y realizar de esa manera una administración más eficiente de los recursos de la empresa.
  • 5. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 5 Seguridad física, ambiental y lógica Si bien cuando se habla de proteger información se piensa inmediatamente en controles para el acceso lógico a la misma, debe existir una primera barrera que muchas veces es olvidada o sub- valorada. Esta barrera está compuesta por los procedimientos de seguridad física y ambiental. Nos referimos a seguridad física como los procedimientos existentes para controlar el acceso físico al equipamiento informático. Como ejemplo: cámaras de vídeo en la sala del CPD y puertas de acceso al CPD con cerraduras electrónica activadas por tarjetas Nos referimos a seguridad ambiental como los procedimientos existentes para controlar que efectos ambientales perjudiquen el procesamiento, los equipamientos y el personal. Ejemplos: el CPD cuenta con un sistema de supresión de incendios adecuado y el equipamiento central cuenta con protectores de pico de tensión eléctrica. Nos referimos a seguridad lógica como los procedimientos existentes para controlar el acceso lógico no autorizado al información, ya sea que se realice mientras esta se encuentra almacenada o durante la transmisión. Mecanismos básicos de seguridad a) Autenticación Autenticación es la verificación de la identidad del usuario, generalmente cuando ingresamos al sistema o a la red (log-on), o accedemos a una base de datos. Cuando presentamos nuestra cédula de identidad a las autoridades o a cualquier otra persona que lo requiera, nos estamos autenticando. Aquí se utiliza el mismo concepto pero con técnicas distintas, inclusive mucho más exactas que la anterior. Típicamente para ingresar a un sistema se utiliza una contraseña, sin embargo cada vez más se están utilizando otras técnicas que otorgan mayores beneficios desde el punto de vista de la seguridad. Es posible autenticarse, básicamente, de tres maneras: ! Por lo que uno sabe (una contraseña) ! Por lo que uno tiene (una tarjeta magnética) ! Por lo que uno es (las huellas digitales) La utilización de más de un método a la vez aumenta la seguridad de que la autenticación sea correcta. Aún cuando la utilización conjunta es cada vez más utilizada por las empresas, la decisión adoptada debe ir de la mano con el valor de la información a proteger. Diariamente se desarrollan nuevas, más exactas y más baratas técnicas de autenticación, impulsadas por el desarrollo tecnológico en general y por la creciente necesidad de seguridad de la información. En primera instancia, dado que es la técnica más utilizada y no siempre de manera adecuada, nos referiremos a la autenticación mediante contraseñas. La fortaleza del método está determinada por las características de la contraseña. Cuanto más grande y difícil de adivinar esta sea, más difícil será de burlar el mecanismo. A su vez la contraseña debe ser confidencial, y esto es muy importante. No puede ser conocida por nadie más que el usuario. Muchas veces sucede que los usuarios se prestan las contraseñas o se apuntan las mismas en un papelito pegado en el escritorio fácilmente legible por cualquier otro empleado, comprometiendo a la empresa y a nosotros mismos, dado que toda acción que se realice con esa contraseña es responsabilidad nuestra. Para lograr que la contraseña sea difícil de adivinar, esta debe tender lo más posible a un conjunto de caracteres (con minúsculas, mayúsculas y números) inteligible. Lo que sucede es que los usuarios difícilmente recuerdan contraseñas tan elaboradas y utilizan palabras previsibles (el nombre, el apellido, el nombre de usuario, el mes en curso, el nombre de la esposa, el nombre del cuadro de fútbol), que facilitan la tarea de quién desea ingresar al sistema de forma no autorizada. Como medida complementaria se debe obligar al cambio de contraseña de manera periódica (30 – 45 días), impidiendo el uso de contraseñas utilizadas en el pasado. Veamos ahora dos de las nuevas técnicas más utilizadas hoy día.
  • 6. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 6 Security tokens (o ID card) La autenticación es realizada a través de una contraseña que cuenta con dos componentes, uno fijo (un PIN de usuarios) y otro variable. El componente variable es generado por el security token (que no es otra cosa que una pequeña tarjeta con un display) , el cual genera una nueva contraseña cada 60 segundos. Estas contraseñas son generadas en sincronismo con el servidor (de otra manera no es posible verificar la contraseña) , y por medio de funciones matemáticas alimentadas por la hora. En resumen, a cada usuario se le asigna un PIN y se le entrega un security token. Luego, cada vez que intente ingresar al sistema deberá digitar su PIN y la contraseña generada por su token. El dinamismo en el cambio de contraseñas, así como el largo de las mismas (al ser otorgadas por el token evita que el usuario deba recordar contraseñas grandes, lo cual generalmente no puede hacer), robustecen la seguridad de este mecanismo. Reconocimiento biométrico Las técnicas biométricas presentan procesos de verificación de la identidad basados en características físicas (cara, huellas digitales) o de comportamiento (registro vocal, firma a mano alzada). Primero estas características (como ser el registro vocal) son capturadas e ingresadas al sistema, asociadas a cada usuario respectivo. Luego, en el momento de la verificación, la autenticación se produce por la comparación del patrón almacenado y el registro realizado por el usuario que requiere el acceso. Esta técnica ha evolucionado mucho, llegando a ser muy exactas, y a precios razonables (por ejemplo un lector de huellas digitales oscila en el mercado entre los U$S150 y U$S200). La siguiente tabla detalla las técnicas utilizadas y sus respectivas ventajas y desventajas. TÉCNICA VENTAJAS DESVENTAJAS Reconocimiento de cara Fácil, rápido y barato La iluminación puede alterar la autenticación Lectura de huella digital Barato y muy seguro Posibilidad de burla por medio de réplicas, cortes o lastimaduras pueden alterar la autenticación Lectura de iris/retina Muy seguro Intrusivo (molesto para el usuario) Lectura de la palma de la mano Poca necesidad de memoria de almacenamiento de los patrones Lento y no muy seguro Reconocimiento de la firma Barato Puede ser alterado por el estado emocional de la persona Reconocimiento de la voz Barato, útil para accesos remotos Lento, puede ser alterado por el estado emocional de la persona, fácilmente reproducible b) Autorización Autorización es el proceso de determinar qué, cómo y cuándo, un usuario autenticado puede utilizar los recursos de la empresa. El mecanismo o el grado de autorización puede variar dependiendo de que sea lo que se este protegiendo. Cuando vimos clasificación de los datos establecimos distintos niveles para los mismos, así puede determinarse que para acceder a los datos de cada nivel debe contarse con autorización de cierto nivel jerárquico.
  • 7. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 7 Las autorizaciones pueden hacerse efectivas por medio de una firma en un formulario o por medio del ingreso de una contraseña específica en el sistema, sí es importante que quede registrada para ser controlada posteriormente. Al nivel de datos, las autorizaciones son instrumentadas de manera de asegurar la confidencialidad e integridad, así sea otorgando o denegando el acceso a la posibilidad de leer, modificar, crear o borrar los mismos. La autorización debe ser otorgada siempre de acuerdo a la necesidad de saber, o sea el acceso a cierto recurso se le otorgará al usuario si es indispensable para la realización de su trabajo, y si no se le negará. Es posible otorgar autorizaciones transitorias o modificar las anteriormente otorgadas a medida que las necesidades de ese usuario varíen. c) Administración La administración incluye los procesos de definir, mantener y eliminar las autorizaciones de los usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema. Los administradores son responsables de transformar las políticas de la organización y las autorizaciones otorgadas a un formato que pueda ser usado por el sistema. Esta administración de la seguridad es un esfuerzo constante porque los negocios se encuentran en permanente cambio dentro de la empresa, lo que repercute en sus sistemas y usuarios. Cada uno de los sistemas operativos de redes conocidos (Windows NT, Novell) cuenta con un módulo de administración de seguridad, pero igualmente existe software específico para realizar esta tarea. d) Auditoría y registración Llamamos auditoría al proceso de recolectar información y analizarla, que permite a los administradores u otros especialistas verificar que las técnicas de autenticación y autorización empleadas se realizan según lo establecido y se cumplen los objetivos fijados por la empresa. Registrar es el mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda asentado en una base de eventos que permite su posterior análisis. Monitorear la información registrada o auditar, se puede realizar mediante medios manuales o automáticos, y con una periodicidad acorde a la criticidad de la información protegida y al nivel de riesgo. Es evidente que el hecho de registrar los eventos, por sí solo, no brinda ninguna utilidad. Los registros pueden ser usados por más de una persona, para realizar chequeos de rutina o para constatar hechos individuales, entre los que podemos citar administradores, auditores internos y externos, consultores y gobierno. e) Mantenimiento de la Integridad Mantener la información íntegra refiere a los procedimientos establecidos para evitar o controlar que los archivos permanezcan sin sufrir cambios no autorizados y que la información enviada desde un punto llegue a destino inalterada. El mantenimiento de la integridad también involucra la prevención de cambios accidentales, lo cual generalmente se maneja por medio de códigos de manejo de errores. Dentro de las técnicas más utilizadas para mantener (o controlar) la integridad de los datos, podemos citar: uso de antivirus, encriptación y funciones “hash”. La primera ya es muy conocida, por lo tanto no ampliaremos el concepto. Sí lo haremos con las otras dos técnicas, lo cual una vez entendidas, nos permitirá explicar el concepto de firma digital.
  • 8. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 8 Encriptación La criptografía es una ciencia que brinda distintas técnicas capaces de transformar datos legibles en datos no legibles, y viceversa, por medio de funciones matemáticas (algoritmos). El objetivo de convertir datos legibles en inteligibles, es prevenir ante la posibilidad que una persona no autorizada acceda a los mismo, no sea capaz de entender su significado. Estos algoritmos trans- forman texto plano en un código equivalente (llamado texto cifrado), para transmisiones o almacenamiento de datos, utilizando una clave. Luego, este texto cifrado puede ser transformado a texto plano otra vez apli- cando el mismo algo- ritmo y una clave. Existen dos tipos de encriptación: los simé- tricos (utilizan la misma clave para en- criptar y para desen- criptar) y los asimétri- cos (los cuales utilizan dos claves distintas). La robustez (capacidad de no ser burlado) del método se establece por el algoritmo utilizado y por el largo de la clave. En general, se dice que cuanto más grande la clave más seguro será. Esto es un error porque se depende del algoritmo utilizado, existen algoritmo que son más seguros cuanto más chica es la clave. Por más que se utilizan funciones aritmética muy complejas, el avance de la tecnología ha permi- tido que sea más fácil poder “romper” los códigos cifrados (o sea interpretar el mensaje original). Para lograr este fin, los hackers utilizan dos técnicas: ataque por diccionario o por fuerza bruta. En el primero se utiliza un método deductivo, tratando de encontrar patrones sobre la base de palabras en cualquier idioma, mientras que en el segundo simplemente se prueban distintas combinaciones de caracteres hasta encontrar lo deseado. Para terminar hablaremos de los algoritmos de clave pública (sistema de criptografía asimétrico). El mismo se basa en dos claves: una pública y una privada, la pública es conocida y se utiliza para encriptar los mensajes y la privada es solamente conocida por el usuario que la utiliza para desencriptarlo. Este mecanismo evita la administración de un gran número de claves secretas necesaria para los algoritmos simétricos, pero requiere un proceso para asegurar que las claves públicas son auténticas y pertenecen al usuario correspondiente. Así, nacen las compañías certificadoras, las cuales se encargan de certificar que una clave pertenece a tal o cual usuario y de distribuir las mismas. Funciones “hash” Una función “hash” es una función matemática compleja unidireccional que aplicada a un conjunto de caracteres de cualquier longitud obtiene un pequeño resultado, de largo fijo, y cualquier cambio al conjunto de caracteres origen, producirá un cambio en el resultado. Se estima que para lograr otro conjunto de caracteres distinto del anterior, que genere el mismo resultado, se requiere más esfuerzo que el que es capaz cualquier persona o computadora. Mediante estas funciones puedo controlar que mi información no haya sido alterada, por error o intencionalmente, durante una transmisión o durante el período que permaneció almacenada. Simplemente debo calcular el resultado de la función “hash” en el momento cero, y compararlo con el resultante de aplicar la misma función en otro momento, para asegurarme que la información se mantiene íntegra.
  • 9. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 9 Firma Digital Hemos dejado para el final el tema de firmas digitales a propósito, debido a varios motivos. Entre ellos están: - el hecho de entender los conceptos anteriormente vertido facilitará la comprensión de este concepto. - está técnica es utilizada tanto para autenticación como para el mantenimiento de la integridad y la auditoría (sin olvidar que puede avalar la asignación de determinada autorización) - el auge de la técnica a nivel mundial y local (en la actual ley de urgencia se acaba de incorporar una ley al respecto). A continuación se explica cómo funciona la firma digital. Paso 1: Bob quiere mandar un mensaje firmado a Alice. Lo primero que debe hacer es escribir el mensaje, y luego procede a firmarlo. El proceso de firmar incluye dos pasos: - se calcula el resultado de aplicar una función “hash” al mensaje, lo cual se llamará digest - el digest se encripta con la clave privada de Bob, y se adjunta al mensaje original. El resultado del proceso es el mensaje más la firma. Paso 2 El mensaje más la firma se encriptan para ser enviados. La encriptación puede ser realizado de dos maneras: - con una clave de una única vez, si se usa un algoritmo simétrico (esta clave debe ser comunicada al receptor por otra vía para poder desencriptarlo) - con la clave pública de destinatario, si se utiliza un algoritmo asimétrico. Al resultado de esta operación simplemente resta enviarlo al destinatario.
  • 10. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 10 Paso 3 Alice recibe el mensaje de Bob Dependiendo de cómo se encriptó procederá a: - desencriptarlo con la clave de única vez - desencriptarlo con la clave privada de Alice. El resultado obtenido es el mensaje y la firma digital.
  • 11. Introducción a la Computación Computación aplicada a Contabilidad, Administración y Economía S e g u r i d a d I n f o r m á t i c a 11 Paso 4 Resta verificar que realmente el mensaje fue firmado por Bob. Para esto debemos: - desencriptar la firma con la clave pública de Bob, obteniendo el digest - calcularle al mensaje recibido (mediante la misma función “hash” que utilizó Bob) el digest Una vez terminadas las acciones anteriores, simplemente compararemos los resultado obtenidos y de esa manera, en caso de ser iguales, verificaremos la identidad del emisor. Para terminar y a manera de resumen diremos que las firmas digitales desarrolladas de la manera que hemos visto proveen la misma seguridad que las firmas sobre papel tradicionales: – Autenticación: la garantía de que un mensaje proviene de la persona que dice haberlo enviado. – Integridad: la prueba de que los contenidos de un mensaje no han sido alterados, deliberada o accidentalmente, durante la transmisión. – No-Repudio: la certeza de saber que el remitente del mensaje no puede más tarde negar haberlo enviado. – Confidencialidad: la evidencia de que el contenido del mensaje no ha sido revelado a terceras partes.