Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 Seguridad Informática Unidad 1: La Información. Sistema Informático: conjunto de partes interrelacionadas que procesan datos para generar información para la toma de decisiones. La información: Se considera un bien activo en las organizaciones, su valor es no tangible y debe ser protegido. Puede ser afectada en sus propiedades por diversas contingencias. Propiedades de la información: Propiedad Características Sistemas Inf. Autenticidad Poder reconocer y certificar el origen y destino de la información como así la documentación que la autentifica. Algunos Integridad Asegura que su contenido no varíe a menos que sea modificado por procesos o personas autorizadas. Todos Operatividad o Disponibilidad Estar disponible para ser procesada y/o consultada. Para lo que debe estar almacenada en los formatos establecidos y que el HW que lo contiene funcione adecuadamente. Todos Confidencialidad o Privacidad La información solo debe ser conocida por las personas y/o procesos autorizados. Algunos Las contingencias pueden ser: Carácter: Accidental o Intencional Categorías: Naturales, Errores u Omisiones, Actos fraudulentos, Daños intencionales ocasionales causados por individuos. Medidas de Protección: conjunto de acciones para evitar o disminuir las consecuencias de las contingencias. Medidas de Control: se aplica a todo el SI independientemente de la envergadura (importancia) del mismo. Garantizan la integridad y la operatividad. Ej.: respaldo y recuperación, validación de datos de entrada y control de salidas. Medidas de Seguridad: no se aplican a todo el SI. Se aplican a sistemas con múltiples usuarios. Garantizan la autenticidad y la confiabilidad. Ej. encriptación, control de acceso, protección del SW. A > medidas de seguridad > gastos en medidas de protección > valor de la información (< operatividad). Las medidas de protección nunca son 100% fiables Unidad 2: Análisis de Riesgos En un sistema informático los riesgos son muchos para la eliminación de la incertidumbre resultara necesario un “Análisis de Riesgos” el cual tiene 2 objetivos fundamentales: Determinar qué tipo de contingencias o riesgos pueden llegar a afectar las propiedades de la información. Valuación de los riesgos: debo evaluar cuanto voy a gastar para proteger la información. 2 Clasificación Funcional de Las Medidas de Protección: basada en el “momento de activación de una medida de protección”. Nombre Características Ejemplo Preventivas Se activan antes de entrar al SI Antivirus Disuasivas Se activan al ingresar al SI Claves Detectivas Se activan una vez dentro del SI Validación Correctivas Se activan una vez ocurrido un hecho restituyendo a un estado anterior Respaldo Ejemplos: Antivirus: Preventiva, detectiva y correctiva (a veces). Respaldo: Preventiva y correctiva. 1 Medidas de Protección = ------------------------ Operatividad Para la Seguridad Informática: un SI esta formado por: Personas; Computadoras; Papeles; Medios de almacenamiento digital; El entorno donde interactúa; Sus interrelaciones. Su nivel de seguridad jamás es igual al: 100% Análisis de Riesgos: investigación sistemática de las amenazas potenciales y la cuantificación del impacto producido por acciones potenciales. Plan Integral de Protección de la Información: es un ciclo dinámico de tres etapas, las que deben ser revisadas y actualizadas según se modifique el funcionamiento del sistema Análisis de Riesgo (I) Implementación de Medidas de Protección (II) Verificación y Control de las Medidas de Protección (III) a- Determinar la información a proteger Medidas de Control d- Plan de Recuperación de Contingencias b- Determinar los Puntos Críticos c- Valoración de Riesgos (Perdida Potencial por Incidencia (PPPI = $)) Medidas de Protección A)- Consiste en hacer una lista de las partes del SI y sus interrelaciones destacando: Información Operativa e Información Directiva. B)- Analizar los puntos vulnerables del SI, donde pueden ocurrir contingencias. Contingencias: hecho fortuito que afecta negativamente al SI., se clasifican según su origen en: 3 Natural: vinculadas a fenómenos de la naturaleza. Suelen ser impredecibles y muy destructivas. Dependen de la región donde esta ubicado el SI. Técnico: Propias del SI: o HW: caída del disco rígido, choque del cabezal, falla de los dispositivos, etc. o SW: error de programación, error de configuración, etc. Externas al SI: cortes de luz, campos magnéticos, etc. Humano: pueden ser acciones u omisiones fraudulentas o no que generen el problema. Intencionales: pueden ser ocasionadas por parte del propio sistema o terceros. Ej.: virus, accesos ilegales, alteración de la información, etc. Accidentales: se producen por descuidos o falta de capacitación. C)- Consiste en darle un valor a cada tipo de contingencia, para lo que se debe determinar: PPPI (Perdida Potencial Por Incidencia): consiste en determinar el valor máximo en que puede incurrir la ocurrencia de una contingencia. PO (Probabilidad de Ocurrencia): es la probabilidad de que ocurra un tipo de contingencia. Una vez determinados ambos valores se determina el VR (Valor de Riesgo): VR = PPPI * PO Nº de veces PO = ---------------------------- Unidad de Tiempo D)- Consiste en garantizar la respuesta ante una contingencia y reducir al mínimo el efecto sobre el funcionamiento del SI. Debe permitir auditoria, simulacros, prueba de datos, prueba del sistema, etc. Auditoria Informática: Control sobre controles. Es un servicio de terceros. Es un grupo o departamento externo al SI. Sus objetivos son: Verificar que existan medidas de control. Si existen ver si se aplican. Si se aplican ver si son suficientes. El auditor verifica la validez de las medidas de control con un simulacro. Simulacro: procedimiento de prueba bajo situaciones controladas. Puntos Críticos: son puntos donde pueden ocurrir contingencias que pongan en riesgo los componentes del SI. Ej. Captura de información. Determinación de puntos críticos: 1. Determinar los puntos críticos; 2. Evaluar los riesgos; 3. Realizar la valoración de riesgos; 4. Establecer medidas de protección. 4 Riesgos o Ataques A partir de un origen, la información en un determinado tiempo llega a su destino. Garantía de que se cumplen las 4 condiciones. Interrupción: la información no llega a destino, es absorbida por una interrupción. No cumple con la operatividad, autenticidad y confidencialidad. Interrupción Depende del punto de vista, puede cumplir o no con la integridad Si vemos que no llega a destino, entonces no cumple. Si vemos que no es modificada, entonces cumple. No captura la información, si no que la redirecciona. Afecta: integridad, autenticidad, confidencialidad. Cumple: operatividad, ya que llega a destino. Interrupción MODIFICADO Afecta: integridad, autenticidad. ILEGAL INTERCAPTADO No afecta la comunicación Afecta: confidencialidad Calculo del Riesgo: Natural: Valor del riesgo ≡ Valor del SI ∑ (gastos + costos de equipos e insumos) Técnico: o Costos de equipos: ∑ (Costos + Gastos) equipos e insumos o Valor de la información: Tiempo * Nº de Registros * Valor del Registro Tiempo o Perdida de recuperación: costo de hora extra * costo de hora técnica VR: CE + VI + PR Origen Destino Origen Destino T Origen Destino T T OrigenDestino Origen Destino T 5 Humano: se vinculan a falta de conocimiento, negligencia y se calculan en los costos de capacitación, ya sea de usuarios, técnicas, etc. Para situaciones fraudulentas pueden tomarse seguros basados en el análisis de riesgos potenciales vinculados a redes informáticas por las compañías por las compañías de seguro. 1. Errores y omisiones: la vinculamos con los costos de capacitación y entrenamiento de técnicos, usuarios u operadores 2. Fraudes : Ataques Pasivos: obtención no autorizada de algo nivel. Pueden resultar en la obtención del contenido de determinado mensaje, pero, si los datos estas cifrados, todavía pueden ser de valor para el intruso para obtener la localización e identidades de los interlocutores. La longitud de los mensajes y su frecuencia de transmisión pueden revelar la naturaleza de los mensajes que pueden estar siendo transmitidos. Ataques Activos: es la modificación no autorizada de la información o la negación de servicio. Los ataques activos se pueden subdividir en 3 categorías: - Modificación de mensajes. - Negación de servicios de mensajes. - Iniciación de asociación espurea Ambas formas de ataques pueden tener lugar en cualquier PUNTO DE ENLACE DE COMUNICACIÓN o de RED. Contramedidas Tomar precauciones para reducir la probabilidad de fallos en la seguridad de las comunicaciones. Sus elementos son: Análisis de Riesgos: es la investigación sistemática de las amenazas potenciales y la cuantificación del impacto producido por acciones potenciales. Diseño alternativo de contramedidas: para cada amenaza. Implementación y monitorización: implementa un sistema de seguridad efectiva y monitoriza el sistema para garantizar una efectividad. Análisis de Riesgos VS Valoración de Riesgos: Los objetivos de la VR son: Ayudar en la identificación de exposiciones. Ayudar en la cuantificación de los valores de las exposiciones. Mientras que los objetivos del AR incluyen además: Permitir un ranking de exposiciones por prioridad. Servir como base para un análisis eficaz. Las exposiciones implican puntos de riesgo y control para los datos. Todo Proceso de Análisis de Riesgo debe basarse en los siguientes factores: Factor Crítico de Éxito: si un estudio es suficientemente importante para hacerse, también lo es para hacerse bien para lo que se necesita el apoyo de la cabeza de la organización. Elemento de Riesgo: son 2: o P: probabilidad (en veces por año) que ocurra una exposición. 6 o C: costo o perdida de esa exposición. R = C * P (expresado en perdidas por año) Valor de la Probabilidad (P): se expresa como tasas de ocurrencias esperadas. Unidad 3: Fraudes y delitos informáticos Fraude y Delitos Informáticos: Clasificación de Julio Téllez Valdez: 1. Como Instrumento o Medio: conductas criminales que se valen de las computadoras como método, medio o símbolo para el ilícito. 2. Como Fin u Objetivo: conductas criminales que van dirigidas en contra de la computadora, accesorios o programas. Clasificación de Maria de la Luz Lima para “Los Delitos Electrónicos”: 1. Utilizar la tecnología electrónica como método para conductas criminales. 2. Conductas criminales que van dirigidas contra la entidad física del objeto electrónico. Delito Informático: ejecución de actos ilegales mediante el uso de una computadora o contra un sistema de cómputo. Tipos de Delitos Informáticos: 1. Fraudes cometidos mediante manipulación de computadoras: a. Manipulación de Datos de Entrada: fácil de cometer y difícil de descubrir, no necesita de conocimientos de informática. b. Manipulación de Programas: muy difícil de descubrir, consiste en modificar los programas existentes en la computadora o insertar nuevos programas o rutinas, se necesita de conocimientos técnicos de informática. c. Manipulación de Datos de Salida: se da al final del funcionamiento del SI. d. Fraude Afectado Por Manipulación Informática: aprovecha las repeticiones automáticas de un SI. 2. Falsificaciones Informáticas: a. Como Objeto: alteración de datos almacenados en computadoras. b. Como Instrumento: usar una computadora para falsificar documentos. 3. Daños o Modificaciones de Programas o Datos Computarizados: a. Sabotaje Informático: borrar, suprimir o modificar sin autorización funciones o datos de una computadora para obstaculizar el funcionamiento del SI. i. Virus: serie de claves programáticas que se adhiere a un programa y se propagan a otros. ii. Gusano: programa usado para robar información análogo al virus. iii. Bomba Lógica o Cronológica: destruye su objetivo al realizarse una operación o cumplirse un periodo de tiempo. b. Acceso No Autorizado a Servicios y SI: desde simple curiosidad hasta el sabotaje o espionaje informático. c. Piratas Informáticos o Hackers: el acceso se efectúa desde una red exterior y suelen hacerse pasar por usuarios legítimos del SI. d. Reproducción No Autorizada de Programas Informáticos de Protección Legal: es una perdida económica para los propietarios legítimos. 7 Virus Informático: Programa de computadora dañino que se propaga de un sistema a otro por medio de generar copias idénticas de si mismo sin el conocimiento del usuario. Clasificación: Por el Método de Encubrimiento: o Virus Fantasma: si esta en memoria, cualquier programa que intente ver el archivo o sector donde se encuentra solo encontrara los bits originales del archivo ya que el virus realizara un filtro para esconderse. o Virus Polimórfico: esta encriptado y posee un cargador que lo desencriptará que es muy variable, es muy difícil encontrarlo. Por Clase de Código Ejecutable que Adquiere: o Virus de Partición: cuando una PC arranca lee el sector de partición y ejecuta el código que encuentra allí, los virus modifican ese código. o Virus de Booteo: reemplazan al sector de boot, moviendo el original a otro lugar del disco. o Virus de Acción Indirecta (TSR): se instala en memoria al ejecutarse su anfitrión e infecta a los archivos a medida que son accedidos. o Macro Virus: programado en lenguaje de macros de una aplicación tipo Office, que usa los archivos de estas aplicaciones para generar copias de si mismo, tomar el control del sistema y dañar la información. El funcionamiento de los virus es por debajo del Sistema Operativo, para actuar directamente sobre los periféricos. Un virus siempre produce daño u ocupa los recursos de la PC. Unidad 4: Implementación de medidas de control Medidas de Control: Estrategias de Control de Problemas: Diseño para Evitar Fallas en el Control: desarrollar el sistema para prohibir la ocurrencia de fallas en los controles. Diseño para Detectar y Notificar Problemas de Control: incorporar en el sistema procedimientos que identifiquen y notifiquen los problemas para que sean corregidos por una persona autorizada. Diseño para Detectar y Corregir Fallos en los controles: realiza una acción correctiva y la notifica. Validación de Entrada: métodos que detectan errores en la entrada de datos. Verificación de la transacción; Verificación de los datos de la transacción; Modificación de los datos de la transacción. Verificación: Tiene la intención de hallar errores. Se realiza ejecutando un programa en un ambiente simulado. Validación: cuando el software busca errores en un ambiente no simulado. Verificación de la Transacción: primero se deben identificar todas las transacciones no validas (incompletas, no autorizadas o fuera de lugar). 8 Control de Lote: proceso retardado para acumular transacciones en grupos de registros. Métodos usados: o Tamaño del Lote: sirve para saber si todas las transacciones están en el lote. o Costo del Lote: sirve para saber si se perdió u olvidoalguna transacción. o Total del Lote: señala cuando todas las transacciones se procesaron correctamente. Validación de Transacciones: las transacciones deben ser aceptables para el sistema antes de procesarse. Una transacción puede: ingresar datos nuevos, actualizar datos existentes o recuperar datos del sistema. Prueba de Secuencia: señalan transacciones faltantes Verificación de los Datos de la Transacción: aun las transacciones validas pueden contener datos que no lo son, por lo que los datos deben ser validados en los procedimientos de entrada. Existen 4 métodos: Pruebas de existencia: examinar los campos esenciales para determinar si contienen datos; Pruebas de Límites y Rangos: las pruebas de límites sirven para validar los valores mínimos y máximos aceptables para un dato y las de rango para los valores mínimos y máximos para un dato. Prueba de Combinación: el valor de un campo determina si son correctos los valores de los demás datos. Procesamiento por Duplicado: quizás sea necesario procesar los datos por un equipo diferente o de otra forma, sirve para asegurar la exactitud. Modificación de los Datos de la Transacción: Métodos usados: Corrección Automática: el programa detecta un error y lo corrige automáticamente; Dígitos de Verificación: Añade un digito mas alto para identificar al numero original antes de usarlo. o Errores Comunes en el Manejo de Datos: De Trascripción: cuando los datos son capturados incorrectamente. De Transposición: se cambian de posición 2 o mas dígitos. Validación del Procedimiento: se añaden precauciones adicionales para validar al usuario y la transacción. Identificación y Autorización del Usuario: se requieren varios niveles de identificación del usuario para proteger al sistema de la pérdida accidental de datos o del uso no autorizado. Unidad 4 Bis: Respaldo y Recuperación Es el conjunto de acciones y procedimientos que apuntan a la obtención de copias fiables de los archivos que componen un sistema informático para su eventual recuperación total o parcial mediante diferentes técnicas. La garantiza la recuperación de perdida de información: Plan integral de respaldo y recuperación 1. Tipos de archivos a respaldar. 2. Seleccionar el medio de almacenamiento. 3. Seleccionar técnicas y/o métodos de copias. 4. Programación de eventos de copias. 5. Definición de métodos de recuperación. 9 1. Archivos a Respaldar: las prioridades que se deben tener en cuenta: a. Copias del sistema operativo. b. Copias de archivos de configuración. c. Copias de los archivos de seguridad. d. Copias de las aplicaciones. e. Copias de los archivos de datos. 2. Seleccionar el medio de almacenamiento: Características: - Capacidad - Confidencialidad - Costo - Velocidad - Tecnología - Portabilidad El insumo es el soporte: donde se almacenara la información. 3. Seleccionar las técnicas y/o métodos de copia. Todo respaldo es una copia de archivos. Hay 2 tipos de copias: 1. Copia directa: (o copia de archivo) se basa en la obtención de un reflejo del contenido del archivo. No se conoce su ubicación. 2. Copia imagen: copia la información del archivo y los datos referentes a su ubicación física de almacenamiento. Los 2 tipos de copias pueden ser: Completa: no se necesita un proceso. Es seguro en cuanto a la fidelidad de la información. Comprimida: ocupa menos espacio que la copia original, necesita compensar, el cual no daña la información. 4. Tiene que ver con las características generales del manejo de un sistema de respaldo. Programación de evento de copia: - Las normas para la identificación de los insumos. - Normas: fecha de realización, contenido global, tamaño, identificación del operador y todo lo que puede ser útil. - Designación de operadores de cambio del personal autorizados a acceder a los recursos, tanto físico como lógicos para la realización del respaldo. 5. Recuperación Definición de método de recuperación: 1. Recuperar estructura: HW a. Equipos paralelos: costos b. Equipos alternativos 2. Prioridad de recuperación de sistemas 3. Acceso a las copias de respaldo 4. Simulación y pruebas Técnicas de respaldo: a. Abuela – Madre – Hija: se basa en 3 generaciones de copias: copia total, dif 1, dif 2. Se usa la versión previa de un archivo maestro y las transferencias de actualizaciones para crear un archivo corriente y reconstruir este último en caso de pérdida. Es útil para procesos por lotes y secuencial Ventaja: simplicidad Desventaja: impide la actualización en el medio reservado. El archivo no puede emplearse en otros procesos. Los procedimientos concurrentes no pueden actualizar. b. Dumping: es un sistema de copias a imagen de los archivos respaldados. c. Logging: es una combinación de a y b, a partir de una copia total que se realiza en batch. d. Archivos diferenciales 10 e. Registración doble. Características Sistema de Respaldo 1. Uso de bibliotecas 2. Manejo de fecha de caducidad 3. Facilitar la selección de archivos, tiene que ver: - Selección de caminos - Selección de archivos de configuración - Selección por tipo, tipo de archivo que quiero importar - Selección por volumen de información 4. Varios monos de copias - Completa: - Diferencial: por cada periodo de tiempo solo se copia los archivos que sean modificados desde la última copia completa al tiempo de realización considerado. - Incremental: se copia únicamente los archivos que sean modificado desde la última copia completa o de la última copia incremental. 5. Automatización 6. Manejo de archivos desatendidos 7. Listado de control 8. Comprensión – Encriptación 9. Destinos: - Unidades de disco - Espacio de almacenamiento - Otros insumos 10. La vigencia de los cambios en los archivos Unidad 5: Implementación de medidas de seguridad Control de Acceso: 1. Identificación: una persona o proceso se presenta ante el sistema; 2. Autentificación: una persona o proceso certifica ante el sistema “ser quien dijo ser” Claves biométricas: se basan en algo que el usuario es. Ej. Huellas digitales, voz, etc. Niveles de Seguridad: Nivel 0: Sin seguridad. Todos los recursos del sistema están disponibles para quien quiera. Nivel 1: Seguridad Física. Se utiliza una llave de acceso, electrónica o por dispositivo. Nivel 2: Seguridad de Acceso. Utiliza un perfil de usuario nombre de usuario y contraseña. Nivel 3: Seguridad de Acceso por Privilegio. Solo acceden los usuarios debidamente definidos en el sistema y acceden a los recursos que el Administrador del Sistema les concedió. Nivel 4: Seguridad de Acceso a los Objetos. Usa funciones de protección de integridad para proteger al sistema y sus recursos de una mala utilización de ellos por usuarios experimentados. Cuando el usuario se loguea se busca una en una base de datos se el usuario existe, si existe se verifica con otra base de datos su contraseña, esto puede ser simultaneo. 11 Perfil de Usuario: establece los privilegios que personas o procesos tienen sobre los recursos del sistema. Es público y necesita del control de acceso. Recursos del Sistema: son los medios con los que el sistema cumple sus objetivos. Privilegios: son las capacidades para utilizar, modificar, ejecutar, crear y reconfigurar recursos. Implantación de 4 modelos de Dominio: Antes de determinar el modelo del dominio a implementar se debe tener en cuenta: El numero de cuentas usuario; El numero de departamentos o grupos; Los recursos disponibles y quienes deben usarlos (relaciones de confianza). Los recursos pueden ser localizados en cualquier lugar del modelo. Los dominios se diseñan para ser expandidles y combinables. Las redes basadas en WIN NT SERVER origina 4 diseños básicos. Modelo de Dominio Único:Todos los usuarios y grupos globales están en un dominio. Las relaciones de confianza son innecesarias. Posee un Controlador de Dominio Primario y uno o más de respaldo. Es apropiado para: o Un limitado numero de usuario y recursos; o Un manejo centralizado de cuentas de usuario y recursos. Modelo de Dominio Maestro: Consiste en al menos de dos dominios, donde cada uno tiene su propio Controlador de Dominio, pero toda la información de las cuentas están guardadas en el Controlador de Dominio Primario del Dominio Maestro (en el cual se confía). Todos los otros dominios confían en el Maestro por una relación de confianza. Modelo de Dominio de Múltiples Maestros: Utilizada en grandes organizaciones. Posee un pequeño número de Dominios Maestros que almacenan la información de cada cuenta creada en uno de ellos. Cada uno de los Dominios Maestros esta enlazado con los demás por una relación de confianza bidireccional. Los Dominios de Recursos confían en los Maestros pero no en otros de Recursos. Modelos de Dominio de Completa Confianza: Cada dominio confía en todos los demás y descentralizan la administración de la información de cuentas de usuarios, grupos, dominios y recursos repartiéndola entre ellos. Cada departamento maneja su Dominio con sus usuarios y grupos globales. Si n son la cantidad de dominios en una compañía: N * (n – 1) es la cantidad de relaciones de confianza utilizadas. Unidad 5 Bis: Encriptación Encriptación: Es la mejor manera de proteger la información de accesos. Es una medida de seguridad criptográfica, la ciencia ocupada del cifrado (encriptado) y descifrado. Texto Claro: puede interpretarse a simple vista; Texto Cifrado: la información no puede leerse a simple vista por los usuarios ni por las autoridades. 12 Algoritmo de Cifrado (KC): es una formula que permite desordenar la información para que no sea legible. Algoritmo de Descifrado (KD): realiza el proceso de descifrado para poder ver la información. La seguridad de un algoritmo se basa en la poca probabilidad de obtener el algoritmo o clave de descifrado por métodos como la “fuerza bruta” (la cual prueba todas las combinaciones posibles). Si KC = KD entonces el sistema de encriptación es de clave privada o simétrico (DES). Si KC ≠ KD entonces es asimétrico o de clave publica. Proceso de Encriptación: se basa en convertir la información legible en ilegible para que viaje por un canal o se almacene en un medio no seguro. Así pueda ser recuperado por medio de un algoritmo. Hay 3 Tipos de Algoritmos: 1. Alfabéticos: o de sustitución: hay dos subtipos: a. Mono alfabéticos: usan un solo alfabeto de =, > o < longitud que el alfabeto original, usando un desplazamiento ordenado o no para la codificación. i. Estadísticas de 1º orden: sirve para descubrir rápidamente la clave del algoritmo. b. Polialfabetico: utiliza más de 1 alfabeto para la sustitución de caracteres. ii. Estadísticas de 2º orden: sirven para descubrir la cantidad de alfabetos usados. 2. Métodos de Transposición: consiste en cambiar de lugar los caracteres en el texto clave, siguiendo una matriz y conforme a un bloque de texto predeterminado. i. Matriz de Expansión: usa redundancia para desdibujar la cantidad de caracteres de un bloque. 3. Funciones modulares: elegimos un número primo mayor que la cantidad de caracteres del alfabeto. Le asignamos a cada carácter un valor dentro de ese rango. Se elige una clave perteneciente al alfabeto. Se descompone el texto a cifrar en bloque de caracteres iguales al de la clave y se realiza una operación modular entre ellos y la clave. Algoritmos Estándares: DES: Algoritmo simétrico estándar. La longitud de su clave es de 64 bits, 56 de la clave y 8 de paridad. (2 56 claves posibles). PASOS: Descomponer la información en bloques de 64 bits para ser transpuestos mediante una matriz de Transposición Inicial MTI. Texto Claro Algorit mo Texto Cifrado Transmisión Almacenada Algoritmo Texto Claro 13 Cada bloque se divide en 2 partes de 32 bits, que serán divididos 16 veces. Además mediante un proceso de generación de subclaves conseguimos una para cada iteración. Comparo los 2 grupos de 16 bits con uno de 64 para someterlos finalmente a una Matriz de Transposición Final MTF, distinta a la MTI y también conocida. El descifrado es un proceso idéntico salvo porque la información que ingresa es cifrada y se contabilizan los bloques a partir de la posición 15. RSA: Algoritmo Asimétrico Estándar: PASOS: Selección de 2 números primos (n, m) secretos donde n * m = q base modular publica. Aunque se conozca q es difícil encontrar n y m por ser un producto de números primos. Elegimos 2 funciones inversas entre si E y D talque (E * D) mod(q) = 1. o Aunque se conozca E o q es difícil saber D E y q son claves publicas; D es una clave privada. Encriptación: o Se basa en la descomposición de la información en bloques de bits; o Se eleva cada bloque a la potencia de E. b0 = (c0) E mod(q) c0 = √b0 mod(q) MTI 32 Bits 32 Bits 32 Bits 32 Bits 32 Bits 32 Bits 64 Bits MTF … … R0 R0 R15 L0 L0 L15 Texto Cifrado Se repite 16 veces. Necesito 16 subclaves, cada ciclo usa una. E 14 b1 = (c1) E mod(q) bn = (cn) E mod(q) Descifrado (b0) D = [(c0) E mod(q)] D = c0 E+D mod(q) =co Manejo de Claves: Etapas: 1. Generación de Claves: puede ser: a. Manual: generada por el usuario; b. Automático: generado por el sistema. 2. Difusión de Clave: puede ser: a. Directa: si la distancia lo permite, la clave es entregada directamente al usuario; b. Correo Especializado: con normas de seguridad; c. Con Sistemas de Comunicación: se utiliza una clave maestra. 3. Mantenimiento de claves: hay que establecer una política de mantenimiento de claves que será notificada a los usuarios. a. Definir la longitud de la clave, mínima, máxima y los caracteres permitidos; b. Bloquear el uso de términos de diccionarios y datos personales; c. Establecer vigencia de la validez de la clave con la cual obligamos a las personas que la renueven; d. Recomendamos al usuario: tiene que ver con la seguridad de la clave. Unidad 6: Seguridad en Redes de Información La conexión de 2 computadoras, abre un nuevo frente para el ataque que pueden usarlo para obtener los datos que se transfieren o para penetrar en uno o más de los sistemas interconectados. Los atacantes: hackers Los defensores: el trabajo que realiza es organizar, coordinar, proteger y hacer un seguimiento de la conexión en las computadoras. El campo de batalla: - Red de área local (LAN): dos o más computadoras conectadas en una misma área con el objeto de compartir recursos, tanto hard como soft. - Red de gran alcance (WAN): es cualquier área en que las computadoras se pueden conectar directamente sin necesidad de linear telefónicas de larga distancia, entonces vía satelital, etc. El hecho de establecer conexiones entre las computadoras conlleva importantes consecuencias en la seguridad. Los problemas se seguridad normales de una computadora aislada se multiplican por un factor, aproximadamente igual al n° de computadoras interconectadas: FACTOR DE MULTIPLICIDAD Al abrir canales de comunicación entre computadoras se ofrece acceso a una computadora a través de un puerto u otro, creando una nueva área de seguridad: FACTOR DEL CANAL. … 15 La unión del factor múltiple y el factor de canal crea un conjunto único de problemas de seguridad: SEGURIDAD ENRED. Factor de Multiplicidad: Cada computadora conectada a una red debe: - Estar protegida con control de acceso al lugar, sistema y archivos. - Ser alimentada por sistemas de alimentación adecuados. - Ser supervisada por un administrador – operador que lo vigile. Factor de Canal: aproximación por niveles de seguridad de los sistemas aislados, se puede considerar: Control de acceso: - Lugar: controlar quien puede acercarse al sistema. - Sistema: control de quien puede utilizar el sistema. - Archivo: control de quien puede utilizar archivos específicos. Soporte del Sistema: - Alimentación: mantenimiento de fuente de corriente limpia y constante. - Copia de seguridad de los archivos existentes. - Vigilancia de quien entra al sistema. Protección del canal a. Control de canal. b. Verificación del canal. c. Soporte del canal. La protección del canal se hace cada vez más importante en 3 áreas: Redes locales: conexiones micro-gran computadora y servicios en línea. a. Una conexión entre 2 computadoras: es otro lugar por el que un atacante puede robar, borrar o dañar información, por lo cual es necesario controlar quien: Abre el canal Utiliza el canal Cierra el canal La protección con clave de acceso también puede utilizarse para las conexiones con grandes sistemas. b. Para no correr riesgos: se debe considerar el canal de comunicación como un paso a través de territorio enemigo. Una comunicación segura supone verificación de: - La identidad de los usuarios - La integridad de los datos - La integridad del canal La más importante es la identidad de los usuarios, el cual debe tener un n° de identificación y clave de acceso. c. Es decir se requiere un alto de fiabilidad en el hardware y software en las comunicaciones. Sistemas operativos Multiusuario: son capaces de dar servicio a más de un usuario a la vez, y asea por medio de varios terminales conectados a la computadora o por medio de sesiones remotas en una red de comunicaciones. Perfil de usuario: son los permisos que tienen cada usuario para hacer uso de los recursos. TCP/IP: hace la transferencia de la información a través de paquetes. Sistemas distribuidos: permite trabajar con una plataforma TCP/IP. Trabaja con diferentes sistemas distribuidos. Permite la compartición. Sistemas centralizados: trabaja con un solo sistema operativo. También se lo llama host o kernel. 16 Unidad 8: Auditoria Informática Auditoria Informática: Es la función de control de un sistema o de un conjunto de sistemas. Se desarrolla en funciones de normas, procedimientos y técnicas. La auditoria informática es: Un proceso formal ejecutado por especialistas en auditoria e informática. Verifica y asegura las políticas y procedimientos establecidos para el uso adecuado oportuno y eficiente de la tecnología informática en las organizaciones. Un proceso metodológico que evalúa todos los recursos (humanos, materiales, financieros, etc.) relacionados con las funciones informáticas, para garantizar que ellos operan integrados y con un desempeño satisfactorio. El proceso final de auditoria es un: Informe de Auditoria. Informe de Auditoria en Informática: contiene observaciones, recomendaciones para mejorar y optimizar permanentemente la tecnología del sistema. Naturaleza y Alcance de la Auditoria en Informática: es un punto de control y confianza para la alta dirección, además de ser un facilitador de soluciones. O sea, conduce a la empresa a la búsqueda de la optimización de los recursos informáticos y todos los elementos relacionados con ellos. El Auditor: Se espera que cada auditor sea un profesional, un experto, pero sobre todo que sea flexible, humano, que entienda el contexto real del negocio. Su objetivo es dar una dimensión justa de cada problema, convirtiéndola en un área de oportunidad para su solución. Condiciones Personales del Auditor: debe ser independiente del sistema, e idóneo para su función. Además de tener sentido ético. Debe realizar su trabajo y dictamen profesionalmente. La Independencia de Criterio: en el caso particular de los estados es importante por: o Los informes de los auditores se emiten para dar credibilidad a los estados. o Auditores que no sean independientes serian poco confiables. La Idoneidad: es la capacidad técnica: o Debe adquirirse antes que la habilitación profesional; o Debe mantenerse luego de ella. Tipos de Auditorias: Auditoria Interna: la persona que la realiza es de la empresa. Auditoria Externa: la empresa contrata a otra empresa o institución para su realización. Auditoria Organizativa: evalúa el desempeño de las funciones de las áreas. Auditoria Operativa: busca la autenticidad, integridad y legalidad de los conjuntos de datos, procesos y programas. 17 Herramientas para Auditar: Herramientas Generales: para cualquier auditoria: cuestionarios, encuestas, observaciones, etc. Herramientas Especificas: o Pruebas de datos: se evalúa si un conjunto de datos son validos cualitativa y cuantitativamente; o Prueba Inversa: es aplicado a los datos de salida, los cuales si son correctos la prueba es exitosa; o Prueba en Modulo: divide al sistema informático en sesiones y a cada modulo se le aplican las pruebas anteriores; o Prueba en Paralelo: aplica 2 procesos, uno que funciona correctamente y otro que se le aplican las pruebas. Técnicas mas Especificas: o Seguimiento de Datos: toma un dato (testigo), que indica que procedimientos se le aplica y que datos necesita. o Seguimiento de Instrucciones: verifica o hace un listado de cuales son los procedimientos que necesita para determinar los datos Informe de auditoria La auditoria termina en un informe, el cual indica si las medidas de control y seguridad son aceptables o no. Deberá contener: Observaciones Recomendaciones Fallas que se han encontrado Áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología. Clases de auditoria 1. Auditoria del desarrollo de sistemas: el análisis del sistema indicara al auditor los puntos fuertes que tendrá que tener en cuanta cuando planifica, que auditorias de rutina y los tipos de problemas que pueden encontrarse. 2. Auditoria del comienzo del sistema: en la etapa de iniciación, los auditores tomaran contacto con las propuestas nuevas. Analizaran los elementos de gestión y de control que existen en todo sistema (debe tener en cuenta las opiniones de los usuarios y el personal a cargo del sistema). 3. Auditoria en la propuesta de mecanización: que define la pauta del nuevo sistema y una vez aceptado puede emprender el trabajo de diseño y de programación basándose en su contenido. 4. Auditoria de la propuesta detallada: es un documento más preciso que la mecanización, contendrá los procedimientos mecanizados y administrativos. 5. Auditoria de los programas y de las pruebas: es aquella en que las especificaciones se desarrollan en forma de operaciones, lo que requiere un alto nivel de experiencia en la programación. 6. Auditoria de aprovisionamiento del sistema: los sistemas deberán equiparse desde su comienzo si se quiere que los programas funciones bien y proporcionen resultados útiles. 7. Auditoria de la planificación de la implantación: los analistas deberán trazar un plan de desarrollo de implementación del sistema, divididos en varias etapas e indicando el tiempo y los recursos para cada uno. 18 8. Análisis de los manuales del usuario y del operador: deberá prepararse manuales para los distintos tipos de personas a los que afecte el sistema que deberán proporcionar unos conocimientos generales del sistema. 9. Auditoria de las pruebas del sistema: las pruebas reales del sistema implican una serie de pasadas pruebas en las que se vayaneliminando errores progresivamente. Una vez corregidos todos los errores, se hará una pasada final de prueba para demostrar que todas las correcciones se han hecho y que el sistema estará en condiciones de trabajo cuando se ponga en marcha. Cuentas de usuario Las cuentas de usuario deben ser únicas para el dominio, es decir, no existen 2 cuentas iguales. Cuenta de usuario, permite de hasta 20 caracteres y no distinguen entre mayúsculas y minúsculas. Características (sugerencias) 1. No escribir contraseña. 2. No compartirlo con nadie. 3. No grabe su contraseña bajo ninguna situación. 4. Cambie su contraseña cada 60 a 90 días. 5. No use su nombre o el de sus parientes o fechas familiares. 6. Trata de usar como mínimo 8 caracteres pero puede usar hasta 128 caracteres. 7. Use combinaciones de mayúsculas y minúsculas. Mantenimiento de las copias o frecuencia de copias Mediante que proceso vamos a garantizar las copias. Puede ser: 1. Copia total: es una nueva copia total de la información, respaldada. Necesito la última copia que es la que contiene toda la información. Desventaja: redundancia de información, pérdida de tiempo, se copian archivos innecesarios. 2. Copia incremental: parte siempre de una copia total y respaldos posteriores. Se hacen con referencia a la última copia total o incremental. Ventaja: velocidad, tiempo, dinero. Desventaja: cada copia está ligada a la anterior, si una de ellas está dañada, pierdo la actualización. 3. Copia diferencial: su punto de comparación se basa siempre en la copia total. Luego copio los archivos con diferencia desde la última copia completa. Ventaja: utiliza menos insumos que la total, velocidad, costo, espacio, tiempo, no depende de las copias intermedias. Desventaja: siempre va a depender de la copia total. Se reduce al espacio de almacenamiento. Volumen de respaldo: debe hacerse antes de realizar el respaldo. Se refiere a un conjunto de insumos que se utilizan por cada instante y por cada copia de un respaldo. El volumen puede estar identificado: - Físicamente: cada unidad tiene su identificación. - Lógicamente: involucra todos los insumos utilizados en una unidad lógica. Identificación: son los que se conocen como etiquetas de un volumen, puede leerlo el SO. Individualizar: tiene que ver con la etiqueta externa con la cual se puede visualizar la información de un volumen. Mantenimiento y Almacenamiento: es decir bajo que condiciones ambientales se van a guardar los insumos, quienes van a poder acceder a estos lugares de almacenamiento, cada cuanto y como se van a limpiar los dispositivos e insumos. 19 Unidad 9: Concepto de Ergonomía Es la ciencia multi- disciplinar, basadas en las teorías y orígenes de la Antropometría, fisiología, psicología e ingeniería como principal meta de adaptación de la condición de trabajo a las características, físicas y psicologías del hombre. La herramienta: de trabajo es la pantalla del monitor y el teclado. El ambiente: de trabajo son los muebles, la postura, la posición, la iluminación, la temperatura y el nivel de ruido. El trabajo: varía desde la más simple entrada de datos a la más sofisticada programación. El usuario: es el centro de convergencia de los 2 básicos (ambiente/herramienta/trabajo) donde proceder y sus consecuencias se unen al equilibrio. El usuario es el fin para que todo tenga dirección en los caminos básicos de una manera equilibrada, armonizada y eficaz. Normas de seguridad laboral: 1. Equipo: a. Observación general: la utilización del equipo no debe ser una fuente de riesgo para los trabajadores. b. Pantalla: los caracteres de la pantalla deberán estar bien definidos y configurados de forma clara, disponiendo de un espacio adecuado entre caracteres y renglones, la imagen debe ser estable. c. Teclado: deberá ser inclinable e independiente de la pantalla para permitir que el usuario adapte una postura cómoda que no provoque el cansancio en los brazos o manos. d. Mesa o superficie de trabajo: deberá ser poco reflectante, permitir una colocación flexible de la pantalla, del teclado, de los documentos, etc. e. Asiento de trabajo: debe ser estable, de altura regulable, con respaldo 2. Entorno: a. Espacio: el puesto de trabajo deberá tener una dimensión suficiente y estar acondicionado, de tal manera que haya espacio para permitir los cambios de postura. b. Iluminación: se debe garantizar unos niveles adecuados de iluminación y unas relaciones adecuadas de luminancia entre la pantalla y su entorno. c. Reflejos y deslumbramientos: en los puestos de trabajo deberá tenerse en cuenta las fuentes de luz que no provoquen deslumbramientos directos. d. Ruidos: no debe perturbar la atención ni la palabra. e. Calor: los equipos instalados no deberán producir calor adicional que pueda ocasionar molestias a los trabajadores. 3. Emisiones: toda radiación deberá reducirse a niveles insignificantes desde el punto de vista de la protección de seguridad y salud de los usuarios. 4. Humedad: deberá crearse y mantenerse una humedad aceptable. “Las empresas deben darse cuentas que obedecen a los dictados ergonómicos en una decisión sumamente productiva que aumenta la eficiencia, mejora el equilibrio físico y psíquico de los empleados, aumenta los índices de trabajo y reduce las faltas por enfermedad”
Compartir