Seguridad Informatica RESUMEN

Seguridad Informática

•

SIN SIGLA

Cintya Albarracin

19/8/2023

¡Este material tiene más páginas!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

Seguridad Informática

3901 Materiales compartidos

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

Seguridad Informática

Unidad 1: La Información.

Sistema Informático: conjunto de partes interrelacionadas que procesan datos para generar
información para la toma de decisiones.

La información: Se considera un bien activo en las organizaciones, su valor es no tangible y
debe ser protegido.
Puede ser afectada en sus propiedades por diversas contingencias.

Propiedades de la información:

Propiedad Características Sistemas Inf.
Autenticidad Poder reconocer y certificar el origen y destino de la
información como así la documentación que la autentifica.
Algunos

Integridad Asegura que su contenido no varíe a menos que sea
modificado por procesos o personas autorizadas.
Todos
Operatividad o
Disponibilidad
Estar disponible para ser procesada y/o consultada. Para lo
que debe estar almacenada en los formatos establecidos y
que el HW que lo contiene funcione adecuadamente.
Todos
Confidencialidad
o Privacidad
La información solo debe ser conocida por las personas y/o
procesos autorizados.
Algunos

Las contingencias pueden ser:

Carácter: Accidental o Intencional
Categorías: Naturales, Errores u Omisiones, Actos fraudulentos, Daños intencionales
ocasionales causados por individuos.

Medidas de Protección: conjunto de acciones para evitar o disminuir las consecuencias de las
contingencias.

 Medidas de Control: se aplica a todo el SI independientemente de la envergadura
(importancia) del mismo. Garantizan la integridad y la operatividad. Ej.: respaldo y
recuperación, validación de datos de entrada y control de salidas.

 Medidas de Seguridad: no se aplican a todo el SI. Se aplican a sistemas con múltiples
usuarios. Garantizan la autenticidad y la confiabilidad. Ej. encriptación, control de
acceso, protección del SW.

A > medidas de seguridad > gastos en medidas de protección > valor de la información (<
operatividad).
Las medidas de protección nunca son 100% fiables

Unidad 2: Análisis de Riesgos

En un sistema informático los riesgos son muchos para la eliminación de la incertidumbre
resultara necesario un “Análisis de Riesgos” el cual tiene 2 objetivos fundamentales:
 Determinar qué tipo de contingencias o riesgos pueden llegar a afectar las propiedades
de la información.
 Valuación de los riesgos: debo evaluar cuanto voy a gastar para proteger la información.

Clasificación Funcional de Las Medidas de Protección: basada en el “momento de
activación de una medida de protección”.

Nombre Características Ejemplo
Preventivas Se activan antes de entrar al SI Antivirus
Disuasivas Se activan al ingresar al SI Claves
Detectivas Se activan una vez dentro del SI Validación
Correctivas Se activan una vez ocurrido un hecho restituyendo a un
estado anterior
Respaldo

Ejemplos:
Antivirus: Preventiva, detectiva y correctiva (a veces).
Respaldo: Preventiva y correctiva.

1
Medidas de Protección = ------------------------
Operatividad

Para la Seguridad Informática: un SI esta formado por:

 Personas;
 Computadoras;
 Papeles;
 Medios de almacenamiento digital;
 El entorno donde interactúa;
 Sus interrelaciones.

Su nivel de seguridad jamás es igual al: 100%

Análisis de Riesgos: investigación sistemática de las amenazas potenciales y la cuantificación
del impacto producido por acciones potenciales.

Plan Integral de Protección de la Información: es un ciclo dinámico de tres etapas, las que
deben ser revisadas y actualizadas según se modifique el funcionamiento del sistema

Análisis de Riesgo (I) Implementación de
Medidas de Protección
(II)
Verificación y Control de
las Medidas de Protección
(III)
a- Determinar la información a
proteger
Medidas de Control d- Plan de Recuperación de
Contingencias
b- Determinar los Puntos
Críticos
c- Valoración de Riesgos
(Perdida Potencial por
Incidencia (PPPI = $))
Medidas de Protección

A)- Consiste en hacer una lista de las partes del SI y sus interrelaciones destacando:
Información Operativa e Información Directiva.

B)- Analizar los puntos vulnerables del SI, donde pueden ocurrir contingencias.
Contingencias: hecho fortuito que afecta negativamente al SI., se clasifican según su origen en:

Natural: vinculadas a fenómenos de la naturaleza. Suelen ser impredecibles y muy
destructivas. Dependen de la región donde esta ubicado el SI.

Técnico:
 Propias del SI:
o HW: caída del disco rígido, choque del cabezal, falla de los
dispositivos, etc.
o SW: error de programación, error de configuración, etc.
 Externas al SI: cortes de luz, campos magnéticos, etc.
Humano: pueden ser acciones u omisiones fraudulentas o no que generen el problema.
 Intencionales: pueden ser ocasionadas por parte del propio sistema o
terceros. Ej.: virus, accesos ilegales, alteración de la información, etc.
 Accidentales: se producen por descuidos o falta de capacitación.

C)- Consiste en darle un valor a cada tipo de contingencia, para lo que se debe determinar:

 PPPI (Perdida Potencial Por Incidencia): consiste en determinar el valor máximo en
que puede incurrir la ocurrencia de una contingencia.
 PO (Probabilidad de Ocurrencia): es la probabilidad de que ocurra un tipo de
contingencia.

Una vez determinados ambos valores se determina el VR (Valor de Riesgo):

VR = PPPI * PO

Nº de veces
PO = ----------------------------
Unidad de Tiempo

D)- Consiste en garantizar la respuesta ante una contingencia y reducir al mínimo el efecto
sobre el funcionamiento del SI. Debe permitir auditoria, simulacros, prueba de datos, prueba del
sistema, etc.

Auditoria Informática: Control sobre controles. Es un servicio de terceros. Es un grupo o
departamento externo al SI. Sus objetivos son:
 Verificar que existan medidas de control.
 Si existen ver si se aplican.
 Si se aplican ver si son suficientes.
El auditor verifica la validez de las medidas de control con un simulacro.
Simulacro: procedimiento de prueba bajo situaciones controladas.

Puntos Críticos: son puntos donde pueden ocurrir contingencias que pongan en riesgo los
componentes del SI. Ej. Captura de información.

Determinación de puntos críticos:

1. Determinar los puntos críticos;
2. Evaluar los riesgos;
3. Realizar la valoración de riesgos;
4. Establecer medidas de protección.

Riesgos o Ataques

 A partir de un origen, la información en un determinado tiempo llega a su destino.
Garantía de que se cumplen las 4 condiciones.

 Interrupción: la información no llega a destino, es absorbida por una interrupción.
No cumple con la operatividad, autenticidad y
confidencialidad.

Interrupción

Depende del punto de vista, puede cumplir o no con la integridad
 Si vemos que no llega a destino, entonces no cumple.
 Si vemos que no es modificada, entonces cumple.

 No captura la información, si no que la redirecciona.

Afecta: integridad, autenticidad,
confidencialidad.
Cumple: operatividad, ya que llega a destino.
Interrupción

MODIFICADO

Afecta: integridad, autenticidad.
ILEGAL

INTERCAPTADO
No afecta la comunicación
Afecta: confidencialidad

Calculo del Riesgo:

 Natural:

Valor del riesgo ≡ Valor del SI ∑ (gastos + costos de equipos e insumos)

 Técnico:

o Costos de equipos: ∑ (Costos + Gastos) equipos e insumos

o Valor de la información: Tiempo * Nº de Registros * Valor del Registro
Tiempo
o Perdida de recuperación: costo de hora extra * costo de hora técnica

VR: CE + VI + PR
Origen Destino
Origen Destino
T
Origen Destino
T
T
OrigenDestino
Origen Destino
T

 Humano: se vinculan a falta de conocimiento, negligencia y se calculan en los costos
de capacitación, ya sea de usuarios, técnicas, etc. Para situaciones fraudulentas pueden
tomarse seguros basados en el análisis de riesgos potenciales vinculados a redes
informáticas por las compañías por las compañías de seguro.

1. Errores y omisiones: la vinculamos con los costos de capacitación y
entrenamiento de técnicos, usuarios u operadores
2. Fraudes :

 Ataques Pasivos: obtención no autorizada de algo nivel. Pueden resultar en la
obtención del contenido de determinado mensaje, pero, si los datos estas cifrados,
todavía pueden ser de valor para el intruso para obtener la localización e
identidades de los interlocutores. La longitud de los mensajes y su frecuencia de
transmisión pueden revelar la naturaleza de los mensajes que pueden estar siendo
transmitidos.
 Ataques Activos: es la modificación no autorizada de la información o la negación
de servicio. Los ataques activos se pueden subdividir en 3 categorías:
- Modificación de mensajes.
- Negación de servicios de mensajes.
- Iniciación de asociación espurea

Ambas formas de ataques pueden tener lugar en cualquier PUNTO DE ENLACE DE
COMUNICACIÓN o de RED.

Contramedidas

Tomar precauciones para reducir la probabilidad de fallos en la seguridad de las
comunicaciones. Sus elementos son:
 Análisis de Riesgos: es la investigación sistemática de las amenazas potenciales y la
cuantificación del impacto producido por acciones potenciales.
 Diseño alternativo de contramedidas: para cada amenaza.
 Implementación y monitorización: implementa un sistema de seguridad efectiva y
monitoriza el sistema para garantizar una efectividad.

Análisis de Riesgos VS Valoración de Riesgos:

Los objetivos de la VR son:
 Ayudar en la identificación de exposiciones.
 Ayudar en la cuantificación de los valores de las exposiciones.

Mientras que los objetivos del AR incluyen además:
 Permitir un ranking de exposiciones por prioridad.
 Servir como base para un análisis eficaz.

Las exposiciones implican puntos de riesgo y control para los datos.

Todo Proceso de Análisis de Riesgo debe basarse en los siguientes factores:
 Factor Crítico de Éxito: si un estudio es suficientemente importante para hacerse,
también lo es para hacerse bien para lo que se necesita el apoyo de la cabeza de la
organización.
 Elemento de Riesgo: son 2:
o P: probabilidad (en veces por año) que ocurra una exposición.

o C: costo o perdida de esa exposición.
R = C * P (expresado en perdidas por año)
 Valor de la Probabilidad (P): se expresa como tasas de ocurrencias esperadas.

Unidad 3: Fraudes y delitos informáticos

Fraude y Delitos Informáticos:

Clasificación de Julio Téllez Valdez:

1. Como Instrumento o Medio: conductas criminales que se valen de las computadoras
como método, medio o símbolo para el ilícito.
2. Como Fin u Objetivo: conductas criminales que van dirigidas en contra de la
computadora, accesorios o programas.

Clasificación de Maria de la Luz Lima para “Los Delitos Electrónicos”:

1. Utilizar la tecnología electrónica como método para conductas criminales.
2. Conductas criminales que van dirigidas contra la entidad física del objeto electrónico.

Delito Informático: ejecución de actos ilegales mediante el uso de una computadora o contra
un sistema de cómputo.

Tipos de Delitos Informáticos:

1. Fraudes cometidos mediante manipulación de computadoras:
a. Manipulación de Datos de Entrada: fácil de cometer y difícil de descubrir, no
necesita de conocimientos de informática.
b. Manipulación de Programas: muy difícil de descubrir, consiste en modificar
los programas existentes en la computadora o insertar nuevos programas o
rutinas, se necesita de conocimientos técnicos de informática.
c. Manipulación de Datos de Salida: se da al final del funcionamiento del SI.
d. Fraude Afectado Por Manipulación Informática: aprovecha las repeticiones
automáticas de un SI.
2. Falsificaciones Informáticas:
a. Como Objeto: alteración de datos almacenados en computadoras.
b. Como Instrumento: usar una computadora para falsificar documentos.
3. Daños o Modificaciones de Programas o Datos Computarizados:
a. Sabotaje Informático: borrar, suprimir o modificar sin autorización funciones
o datos de una computadora para obstaculizar el funcionamiento del SI.
i. Virus: serie de claves programáticas que se adhiere a un programa y se
propagan a otros.
ii. Gusano: programa usado para robar información análogo al virus.
iii. Bomba Lógica o Cronológica: destruye su objetivo al realizarse una
operación o cumplirse un periodo de tiempo.
b. Acceso No Autorizado a Servicios y SI: desde simple curiosidad hasta el
sabotaje o espionaje informático.
c. Piratas Informáticos o Hackers: el acceso se efectúa desde una red exterior y
suelen hacerse pasar por usuarios legítimos del SI.
d. Reproducción No Autorizada de Programas Informáticos de Protección
Legal: es una perdida económica para los propietarios legítimos.

Virus Informático:

Programa de computadora dañino que se propaga de un sistema a otro por medio de
generar copias idénticas de si mismo sin el conocimiento del usuario.

Clasificación:

 Por el Método de Encubrimiento:
o Virus Fantasma: si esta en memoria, cualquier programa que intente ver el
archivo o sector donde se encuentra solo encontrara los bits originales del
archivo ya que el virus realizara un filtro para esconderse.
o Virus Polimórfico: esta encriptado y posee un cargador que lo desencriptará
que es muy variable, es muy difícil encontrarlo.
 Por Clase de Código Ejecutable que Adquiere:
o Virus de Partición: cuando una PC arranca lee el sector de partición y ejecuta
el código que encuentra allí, los virus modifican ese código.
o Virus de Booteo: reemplazan al sector de boot, moviendo el original a otro
lugar del disco.
o Virus de Acción Indirecta (TSR): se instala en memoria al ejecutarse su
anfitrión e infecta a los archivos a medida que son accedidos.
o Macro Virus: programado en lenguaje de macros de una aplicación tipo
Office, que usa los archivos de estas aplicaciones para generar copias de si
mismo, tomar el control del sistema y dañar la información.

El funcionamiento de los virus es por debajo del Sistema Operativo, para actuar directamente
sobre los periféricos. Un virus siempre produce daño u ocupa los recursos de la PC.

Unidad 4: Implementación de medidas de control

Medidas de Control:

Estrategias de Control de Problemas:
 Diseño para Evitar Fallas en el Control: desarrollar el sistema para prohibir la
ocurrencia de fallas en los controles.
 Diseño para Detectar y Notificar Problemas de Control: incorporar en el sistema
procedimientos que identifiquen y notifiquen los problemas para que sean corregidos
por una persona autorizada.
 Diseño para Detectar y Corregir Fallos en los controles: realiza una acción
correctiva y la notifica.

Validación de Entrada: métodos que detectan errores en la entrada de datos.
 Verificación de la transacción;
 Verificación de los datos de la transacción;
 Modificación de los datos de la transacción.

Verificación: Tiene la intención de hallar errores. Se realiza ejecutando un programa en un
ambiente simulado.
Validación: cuando el software busca errores en un ambiente no simulado.

Verificación de la Transacción: primero se deben identificar todas las transacciones no validas
(incompletas, no autorizadas o fuera de lugar).

 Control de Lote: proceso retardado para acumular transacciones en grupos de registros.
Métodos usados:
o Tamaño del Lote: sirve para saber si todas las transacciones están en el lote.
o Costo del Lote: sirve para saber si se perdió u olvidoalguna transacción.
o Total del Lote: señala cuando todas las transacciones se procesaron
correctamente.

Validación de Transacciones: las transacciones deben ser aceptables para el sistema antes de
procesarse. Una transacción puede: ingresar datos nuevos, actualizar datos existentes o
recuperar datos del sistema.
 Prueba de Secuencia: señalan transacciones faltantes

Verificación de los Datos de la Transacción: aun las transacciones validas pueden contener
datos que no lo son, por lo que los datos deben ser validados en los procedimientos de entrada.
Existen 4 métodos:
 Pruebas de existencia: examinar los campos esenciales para determinar si contienen
datos;
 Pruebas de Límites y Rangos: las pruebas de límites sirven para validar los valores
mínimos y máximos aceptables para un dato y las de rango para los valores mínimos y
máximos para un dato.
 Prueba de Combinación: el valor de un campo determina si son correctos los valores
de los demás datos.
 Procesamiento por Duplicado: quizás sea necesario procesar los datos por un equipo
diferente o de otra forma, sirve para asegurar la exactitud.

Modificación de los Datos de la Transacción: Métodos usados:
 Corrección Automática: el programa detecta un error y lo corrige automáticamente;
 Dígitos de Verificación: Añade un digito mas alto para identificar al numero original
antes de usarlo.
o Errores Comunes en el Manejo de Datos:
 De Trascripción: cuando los datos son capturados incorrectamente.
 De Transposición: se cambian de posición 2 o mas dígitos.
 Validación del Procedimiento: se añaden precauciones adicionales para validar al
usuario y la transacción.
 Identificación y Autorización del Usuario: se requieren varios niveles de
identificación del usuario para proteger al sistema de la pérdida accidental de datos o
del uso no autorizado.

Unidad 4 Bis: Respaldo y Recuperación

Es el conjunto de acciones y procedimientos que apuntan a la obtención de copias fiables de los
archivos que componen un sistema informático para su eventual recuperación total o parcial
mediante diferentes técnicas. La garantiza la recuperación de perdida de información:

Plan integral de respaldo y recuperación
1. Tipos de archivos a respaldar.
2. Seleccionar el medio de almacenamiento.
3. Seleccionar técnicas y/o métodos de copias.
4. Programación de eventos de copias.
5. Definición de métodos de recuperación.

1. Archivos a Respaldar: las prioridades que se deben tener en cuenta:
a. Copias del sistema operativo.
b. Copias de archivos de configuración.
c. Copias de los archivos de seguridad.
d. Copias de las aplicaciones.
e. Copias de los archivos de datos.
2. Seleccionar el medio de almacenamiento:
Características:
- Capacidad
- Confidencialidad
- Costo
- Velocidad
- Tecnología
- Portabilidad
El insumo es el soporte: donde se almacenara la información.
3. Seleccionar las técnicas y/o métodos de copia.
Todo respaldo es una copia de archivos. Hay 2 tipos de copias:
1. Copia directa: (o copia de archivo) se basa en la obtención de un reflejo del
contenido del archivo. No se conoce su ubicación.
2. Copia imagen: copia la información del archivo y los datos referentes a su
ubicación física de almacenamiento.
Los 2 tipos de copias pueden ser:
 Completa: no se necesita un proceso. Es seguro en cuanto a la fidelidad de la
información.
 Comprimida: ocupa menos espacio que la copia original, necesita compensar,
el cual no daña la información.
4. Tiene que ver con las características generales del manejo de un sistema de respaldo.
Programación de evento de copia:
- Las normas para la identificación de los insumos.
- Normas: fecha de realización, contenido global, tamaño, identificación del
operador y todo lo que puede ser útil.
- Designación de operadores de cambio del personal autorizados a acceder a
los recursos, tanto físico como lógicos para la realización del respaldo.
5. Recuperación
Definición de método de recuperación:
1. Recuperar estructura: HW
a. Equipos paralelos: costos
b. Equipos alternativos
2. Prioridad de recuperación de sistemas
3. Acceso a las copias de respaldo
4. Simulación y pruebas

Técnicas de respaldo:

a. Abuela – Madre – Hija: se basa en 3 generaciones de copias: copia total, dif 1, dif 2.
Se usa la versión previa de un archivo maestro y las transferencias de actualizaciones
para crear un archivo corriente y reconstruir este último en caso de pérdida. Es útil para
procesos por lotes y secuencial
Ventaja: simplicidad
Desventaja: impide la actualización en el medio reservado. El archivo no puede
emplearse en otros procesos. Los procedimientos concurrentes no pueden actualizar.
b. Dumping: es un sistema de copias a imagen de los archivos respaldados.
c. Logging: es una combinación de a y b, a partir de una copia total que se realiza en
batch.
d. Archivos diferenciales

e. Registración doble.

Características Sistema de Respaldo

1. Uso de bibliotecas
2. Manejo de fecha de caducidad
3. Facilitar la selección de archivos, tiene que ver:
- Selección de caminos
- Selección de archivos de configuración
- Selección por tipo, tipo de archivo que quiero importar
- Selección por volumen de información
4. Varios monos de copias
- Completa:
- Diferencial: por cada periodo de tiempo solo se copia los archivos que sean
modificados desde la última copia completa al tiempo de realización
considerado.
- Incremental: se copia únicamente los archivos que sean modificado desde la
última copia completa o de la última copia incremental.
5. Automatización
6. Manejo de archivos desatendidos
7. Listado de control
8. Comprensión – Encriptación
9. Destinos:
- Unidades de disco
- Espacio de almacenamiento
- Otros insumos
10. La vigencia de los cambios en los archivos

Unidad 5: Implementación de medidas de seguridad

Control de Acceso:

1. Identificación: una persona o proceso se presenta ante el sistema;
2. Autentificación: una persona o proceso certifica ante el sistema “ser quien dijo ser”

Claves biométricas: se basan en algo que el usuario es. Ej. Huellas digitales, voz, etc.

Niveles de Seguridad:

Nivel 0: Sin seguridad. Todos los recursos del sistema están disponibles para quien quiera.
Nivel 1: Seguridad Física. Se utiliza una llave de acceso, electrónica o por dispositivo.
Nivel 2: Seguridad de Acceso. Utiliza un perfil de usuario nombre de usuario y contraseña.
Nivel 3: Seguridad de Acceso por Privilegio. Solo acceden los usuarios debidamente definidos
en el sistema y acceden a los recursos que el Administrador del Sistema les concedió.
Nivel 4: Seguridad de Acceso a los Objetos. Usa funciones de protección de integridad para
proteger al sistema y sus recursos de una mala utilización de ellos por usuarios experimentados.
Cuando el usuario se loguea se
busca una en una base de datos
se el usuario existe, si existe se
verifica con otra base de datos su
contraseña, esto puede ser
simultaneo.

Perfil de Usuario: establece los privilegios que personas o procesos tienen sobre los recursos
del sistema. Es público y necesita del control de acceso.
Recursos del Sistema: son los medios con los que el sistema cumple sus objetivos.
Privilegios: son las capacidades para utilizar, modificar, ejecutar, crear y reconfigurar recursos.

Implantación de 4 modelos de Dominio:

Antes de determinar el modelo del dominio a implementar se debe tener en cuenta:
 El numero de cuentas usuario;
 El numero de departamentos o grupos;
 Los recursos disponibles y quienes deben usarlos (relaciones de confianza).
 Los recursos pueden ser localizados en cualquier lugar del modelo.

Los dominios se diseñan para ser expandidles y combinables. Las redes basadas en WIN NT
SERVER origina 4 diseños básicos.

Modelo de Dominio Único:Todos los usuarios y grupos globales están en un dominio.
Las relaciones de confianza son innecesarias.
Posee un Controlador de Dominio Primario y uno o más de respaldo.
Es apropiado para:
o Un limitado numero de usuario y recursos;
o Un manejo centralizado de cuentas de usuario y recursos.

Modelo de Dominio Maestro:
Consiste en al menos de dos dominios, donde cada uno tiene su propio Controlador de
Dominio, pero toda la información de las cuentas están guardadas en el Controlador de
Dominio Primario del Dominio Maestro (en el cual se confía). Todos los otros dominios
confían en el Maestro por una relación de confianza.
Modelo de Dominio de Múltiples Maestros:
Utilizada en grandes organizaciones. Posee un pequeño número de Dominios Maestros
que almacenan la información de cada cuenta creada en uno de ellos.
Cada uno de los Dominios Maestros esta enlazado con los demás por una relación de
confianza bidireccional. Los Dominios de Recursos confían en los Maestros pero no en
otros de Recursos.

Modelos de Dominio de Completa Confianza:
Cada dominio confía en todos los demás y descentralizan la administración de la
información de cuentas de usuarios, grupos, dominios y recursos repartiéndola entre
ellos. Cada departamento maneja su Dominio con sus usuarios y grupos globales.
Si n son la cantidad de dominios en una compañía:
N * (n – 1) es la cantidad de relaciones de confianza utilizadas.

Unidad 5 Bis: Encriptación

Encriptación:

Es la mejor manera de proteger la información de accesos. Es una medida de seguridad
criptográfica, la ciencia ocupada del cifrado (encriptado) y descifrado.
 Texto Claro: puede interpretarse a simple vista;
 Texto Cifrado: la información no puede leerse a simple vista por los usuarios ni por las
autoridades.

Algoritmo de Cifrado (KC): es una formula que permite desordenar la información para que
no sea legible.
Algoritmo de Descifrado (KD): realiza el proceso de descifrado para poder ver la información.

La seguridad de un algoritmo se basa en la poca probabilidad de obtener el algoritmo o
clave de descifrado por métodos como la “fuerza bruta” (la cual prueba todas las combinaciones
posibles).
 Si KC = KD entonces el sistema de encriptación es de clave privada o simétrico (DES).
 Si KC ≠ KD entonces es asimétrico o de clave publica.

Proceso de Encriptación: se basa en convertir la información legible en ilegible para que viaje
por un canal o se almacene en un medio no seguro. Así pueda ser recuperado por medio de un
algoritmo.

Hay 3 Tipos de Algoritmos:

1. Alfabéticos: o de sustitución: hay dos subtipos:
a. Mono alfabéticos: usan un solo alfabeto de =, > o < longitud que el alfabeto
original, usando un desplazamiento ordenado o no para la codificación.
i. Estadísticas de 1º orden: sirve para descubrir rápidamente la clave del
algoritmo.
b. Polialfabetico: utiliza más de 1 alfabeto para la sustitución de caracteres.
ii. Estadísticas de 2º orden: sirven para descubrir la cantidad de alfabetos
usados.
2. Métodos de Transposición: consiste en cambiar de lugar los caracteres en el texto
clave, siguiendo una matriz y conforme a un bloque de texto predeterminado.
i. Matriz de Expansión: usa redundancia para desdibujar la cantidad de
caracteres de un bloque.
3. Funciones modulares: elegimos un número primo mayor que la cantidad de caracteres
del alfabeto. Le asignamos a cada carácter un valor dentro de ese rango. Se elige una
clave perteneciente al alfabeto. Se descompone el texto a cifrar en bloque de caracteres
iguales al de la clave y se realiza una operación modular entre ellos y la clave.

Algoritmos Estándares:

DES: Algoritmo simétrico estándar. La longitud de su clave es de 64 bits, 56 de la clave y 8 de
paridad. (2
56
claves posibles).

PASOS:
 Descomponer la información en bloques de 64 bits para ser transpuestos mediante una
matriz de Transposición Inicial MTI.
Texto
Claro
Algorit
mo
Texto
Cifrado
Transmisión
Almacenada
Algoritmo Texto
Claro

 Cada bloque se divide en 2 partes de 32 bits, que serán divididos 16 veces. Además
mediante un proceso de generación de subclaves conseguimos una para cada iteración.
 Comparo los 2 grupos de 16 bits con uno de 64 para someterlos finalmente a una Matriz
de Transposición Final MTF, distinta a la MTI y también conocida.

El descifrado es un proceso idéntico salvo porque la información que ingresa es cifrada y se
contabilizan los bloques a partir de la posición 15.

RSA: Algoritmo Asimétrico Estándar:

PASOS:
 Selección de 2 números primos (n, m) secretos donde n * m = q base modular
publica. Aunque se conozca q es difícil encontrar n y m por ser un producto de
números primos.
 Elegimos 2 funciones inversas entre si E y D talque (E * D) mod(q) = 1.
o Aunque se conozca E o q es difícil saber D
 E y q son claves publicas;
 D es una clave privada.
 Encriptación:
o Se basa en la descomposición de la información en bloques de bits;
o Se eleva cada bloque a la potencia de E.

b0 = (c0)
E
mod(q) c0 = √b0 mod(q)
MTI
32 Bits 32 Bits
32 Bits 32 Bits
32 Bits 32 Bits
64 Bits
MTF
…

…

R0
R0
R15
L0
L0
L15
Texto Cifrado
Se repite 16 veces.
Necesito 16
subclaves, cada
ciclo usa una.
E

b1 = (c1)
E
mod(q)

bn = (cn)
E
mod(q)

 Descifrado
(b0)
D
= [(c0)
E
mod(q)]
D
= c0
E+D
mod(q) =co

Manejo de Claves: Etapas:

1. Generación de Claves: puede ser:
a. Manual: generada por el usuario;
b. Automático: generado por el sistema.

2. Difusión de Clave: puede ser:
a. Directa: si la distancia lo permite, la clave es entregada directamente al usuario;
b. Correo Especializado: con normas de seguridad;
c. Con Sistemas de Comunicación: se utiliza una clave maestra.

3. Mantenimiento de claves: hay que establecer una política de mantenimiento de claves que
será notificada a los usuarios.
a. Definir la longitud de la clave, mínima, máxima y los caracteres permitidos;
b. Bloquear el uso de términos de diccionarios y datos personales;
c. Establecer vigencia de la validez de la clave con la cual obligamos a las personas
que la renueven;
d. Recomendamos al usuario: tiene que ver con la seguridad de la clave.

Unidad 6: Seguridad en Redes de Información

La conexión de 2 computadoras, abre un nuevo frente para el ataque que pueden usarlo para
obtener los datos que se transfieren o para penetrar en uno o más de los sistemas
interconectados.
 Los atacantes: hackers
 Los defensores: el trabajo que realiza es organizar, coordinar, proteger y hacer un
seguimiento de la conexión en las computadoras.
 El campo de batalla:
- Red de área local (LAN): dos o más computadoras conectadas en una
misma área con el objeto de compartir recursos, tanto hard como soft.
- Red de gran alcance (WAN): es cualquier área en que las computadoras se
pueden conectar directamente sin necesidad de linear telefónicas de larga
distancia, entonces vía satelital, etc.

El hecho de establecer conexiones entre las computadoras conlleva importantes consecuencias
en la seguridad.

 Los problemas se seguridad normales de una computadora aislada se multiplican por un
factor, aproximadamente igual al n° de computadoras interconectadas: FACTOR DE
MULTIPLICIDAD
 Al abrir canales de comunicación entre computadoras se ofrece acceso a una
computadora a través de un puerto u otro, creando una nueva área de seguridad:
FACTOR DEL CANAL.
…

 La unión del factor múltiple y el factor de canal crea un conjunto único de problemas de
seguridad: SEGURIDAD ENRED.

Factor de Multiplicidad:
Cada computadora conectada a una red debe:
- Estar protegida con control de acceso al lugar, sistema y archivos.
- Ser alimentada por sistemas de alimentación adecuados.
- Ser supervisada por un administrador – operador que lo vigile.

Factor de Canal: aproximación por niveles de seguridad de los sistemas aislados, se puede
considerar:
Control de acceso:
- Lugar: controlar quien puede acercarse al sistema.
- Sistema: control de quien puede utilizar el sistema.
- Archivo: control de quien puede utilizar archivos específicos.
Soporte del Sistema:
- Alimentación: mantenimiento de fuente de corriente limpia y constante.
- Copia de seguridad de los archivos existentes.
- Vigilancia de quien entra al sistema.
Protección del canal
a. Control de canal.
b. Verificación del canal.
c. Soporte del canal.

La protección del canal se hace cada vez más importante en 3 áreas:

Redes locales: conexiones micro-gran computadora y servicios en línea.

a. Una conexión entre 2 computadoras: es otro lugar por el que un atacante puede robar,
borrar o dañar información, por lo cual es necesario controlar quien:
 Abre el canal
 Utiliza el canal
 Cierra el canal
La protección con clave de acceso también puede utilizarse para las conexiones con
grandes sistemas.
b. Para no correr riesgos: se debe considerar el canal de comunicación como un paso a
través de territorio enemigo. Una comunicación segura supone verificación de:
- La identidad de los usuarios
- La integridad de los datos
- La integridad del canal
La más importante es la identidad de los usuarios, el cual debe tener un n° de
identificación y clave de acceso.
c. Es decir se requiere un alto de fiabilidad en el hardware y software en las
comunicaciones.

Sistemas operativos Multiusuario: son capaces de dar servicio a más de un usuario a la vez, y
asea por medio de varios terminales conectados a la computadora o por medio de sesiones
remotas en una red de comunicaciones.

Perfil de usuario: son los permisos que tienen cada usuario para hacer uso de los recursos.
TCP/IP: hace la transferencia de la información a través de paquetes.
Sistemas distribuidos: permite trabajar con una plataforma TCP/IP. Trabaja con diferentes
sistemas distribuidos. Permite la compartición.
Sistemas centralizados: trabaja con un solo sistema operativo. También se lo llama host o
kernel.

Unidad 8: Auditoria Informática

Auditoria Informática:

Es la función de control de un sistema o de un conjunto de sistemas. Se desarrolla en funciones
de normas, procedimientos y técnicas.
La auditoria informática es:

 Un proceso formal ejecutado por especialistas en auditoria e informática. Verifica y asegura
las políticas y procedimientos establecidos para el uso adecuado oportuno y eficiente de la
tecnología informática en las organizaciones.
 Un proceso metodológico que evalúa todos los recursos (humanos, materiales, financieros,
etc.) relacionados con las funciones informáticas, para garantizar que ellos operan
integrados y con un desempeño satisfactorio.

El proceso final de auditoria es un: Informe de Auditoria.

Informe de Auditoria en Informática: contiene observaciones, recomendaciones para mejorar
y optimizar permanentemente la tecnología del sistema.

Naturaleza y Alcance de la Auditoria en Informática: es un punto de control y confianza
para la alta dirección, además de ser un facilitador de soluciones. O sea, conduce a la empresa a
la búsqueda de la optimización de los recursos informáticos y todos los elementos relacionados
con ellos.

El Auditor:

Se espera que cada auditor sea un profesional, un experto, pero sobre todo que sea flexible,
humano, que entienda el contexto real del negocio. Su objetivo es dar una dimensión justa de
cada problema, convirtiéndola en un área de oportunidad para su solución.

Condiciones Personales del Auditor: debe ser independiente del sistema, e idóneo para su
función. Además de tener sentido ético. Debe realizar su trabajo y dictamen profesionalmente.

 La Independencia de Criterio: en el caso particular de los estados es importante por:
o Los informes de los auditores se emiten para dar credibilidad a los estados.
o Auditores que no sean independientes serian poco confiables.

 La Idoneidad: es la capacidad técnica:
o Debe adquirirse antes que la habilitación profesional;
o Debe mantenerse luego de ella.

Tipos de Auditorias:

 Auditoria Interna: la persona que la realiza es de la empresa.
 Auditoria Externa: la empresa contrata a otra empresa o institución para su realización.
 Auditoria Organizativa: evalúa el desempeño de las funciones de las áreas.
 Auditoria Operativa: busca la autenticidad, integridad y legalidad de los conjuntos de
datos, procesos y programas.

Herramientas para Auditar:

 Herramientas Generales: para cualquier auditoria: cuestionarios, encuestas,
observaciones, etc.

 Herramientas Especificas:
o Pruebas de datos: se evalúa si un conjunto de datos son validos cualitativa y
cuantitativamente;
o Prueba Inversa: es aplicado a los datos de salida, los cuales si son correctos la
prueba es exitosa;
o Prueba en Modulo: divide al sistema informático en sesiones y a cada modulo se
le aplican las pruebas anteriores;
o Prueba en Paralelo: aplica 2 procesos, uno que funciona correctamente y otro que
se le aplican las pruebas.

 Técnicas mas Especificas:
o Seguimiento de Datos: toma un dato (testigo), que indica que procedimientos se le
aplica y que datos necesita.
o Seguimiento de Instrucciones: verifica o hace un listado de cuales son los
procedimientos que necesita para determinar los datos

Informe de auditoria

La auditoria termina en un informe, el cual indica si las medidas de control y seguridad son
aceptables o no. Deberá contener:
 Observaciones
 Recomendaciones
 Fallas que se han encontrado
 Áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología.

Clases de auditoria

1. Auditoria del desarrollo de sistemas: el análisis del sistema indicara al auditor los
puntos fuertes que tendrá que tener en cuanta cuando planifica, que auditorias de rutina
y los tipos de problemas que pueden encontrarse.
2. Auditoria del comienzo del sistema: en la etapa de iniciación, los auditores tomaran
contacto con las propuestas nuevas. Analizaran los elementos de gestión y de control
que existen en todo sistema (debe tener en cuenta las opiniones de los usuarios y el
personal a cargo del sistema).
3. Auditoria en la propuesta de mecanización: que define la pauta del nuevo sistema y una
vez aceptado puede emprender el trabajo de diseño y de programación basándose en su
contenido.
4. Auditoria de la propuesta detallada: es un documento más preciso que la mecanización,
contendrá los procedimientos mecanizados y administrativos.
5. Auditoria de los programas y de las pruebas: es aquella en que las especificaciones se
desarrollan en forma de operaciones, lo que requiere un alto nivel de experiencia en la
programación.
6. Auditoria de aprovisionamiento del sistema: los sistemas deberán equiparse desde su
comienzo si se quiere que los programas funciones bien y proporcionen resultados
útiles.
7. Auditoria de la planificación de la implantación: los analistas deberán trazar un plan de
desarrollo de implementación del sistema, divididos en varias etapas e indicando el
tiempo y los recursos para cada uno.

8. Análisis de los manuales del usuario y del operador: deberá prepararse manuales para
los distintos tipos de personas a los que afecte el sistema que deberán proporcionar unos
conocimientos generales del sistema.
9. Auditoria de las pruebas del sistema: las pruebas reales del sistema implican una serie
de pasadas pruebas en las que se vayaneliminando errores progresivamente. Una vez
corregidos todos los errores, se hará una pasada final de prueba para demostrar que
todas las correcciones se han hecho y que el sistema estará en condiciones de trabajo
cuando se ponga en marcha.

Cuentas de usuario
Las cuentas de usuario deben ser únicas para el dominio, es decir, no existen 2 cuentas iguales.
Cuenta de usuario, permite de hasta 20 caracteres y no distinguen entre mayúsculas y
minúsculas.
Características (sugerencias)
1. No escribir contraseña.
2. No compartirlo con nadie.
3. No grabe su contraseña bajo ninguna situación.
4. Cambie su contraseña cada 60 a 90 días.
5. No use su nombre o el de sus parientes o fechas familiares.
6. Trata de usar como mínimo 8 caracteres pero puede usar hasta 128 caracteres.
7. Use combinaciones de mayúsculas y minúsculas.

Mantenimiento de las copias o frecuencia de copias
Mediante que proceso vamos a garantizar las copias. Puede ser:
1. Copia total: es una nueva copia total de la información, respaldada. Necesito la última
copia que es la que contiene toda la información.
Desventaja: redundancia de información, pérdida de tiempo, se copian archivos
innecesarios.
2. Copia incremental: parte siempre de una copia total y respaldos posteriores. Se hacen
con referencia a la última copia total o incremental.
Ventaja: velocidad, tiempo, dinero.
Desventaja: cada copia está ligada a la anterior, si una de ellas está dañada, pierdo la
actualización.
3. Copia diferencial: su punto de comparación se basa siempre en la copia total. Luego
copio los archivos con diferencia desde la última copia completa.
Ventaja: utiliza menos insumos que la total, velocidad, costo, espacio, tiempo, no
depende de las copias intermedias.
Desventaja: siempre va a depender de la copia total. Se reduce al espacio de
almacenamiento.

 Volumen de respaldo: debe hacerse antes de realizar el respaldo. Se refiere a un conjunto de
insumos que se utilizan por cada instante y por cada copia de un respaldo. El volumen
puede estar identificado:
- Físicamente: cada unidad tiene su identificación.
- Lógicamente: involucra todos los insumos utilizados en una unidad lógica.
 Identificación: son los que se conocen como etiquetas de un volumen, puede leerlo el SO.
 Individualizar: tiene que ver con la etiqueta externa con la cual se puede visualizar la
información de un volumen.
 Mantenimiento y Almacenamiento: es decir bajo que condiciones ambientales se van a
guardar los insumos, quienes van a poder acceder a estos lugares de almacenamiento, cada
cuanto y como se van a limpiar los dispositivos e insumos.

Unidad 9: Concepto de Ergonomía

Es la ciencia multi- disciplinar, basadas en las teorías y orígenes de la Antropometría, fisiología,
psicología e ingeniería como principal meta de adaptación de la condición de trabajo a las
características, físicas y psicologías del hombre.
 La herramienta: de trabajo es la pantalla del monitor y el teclado.
 El ambiente: de trabajo son los muebles, la postura, la posición, la iluminación, la
temperatura y el nivel de ruido.
 El trabajo: varía desde la más simple entrada de datos a la más sofisticada programación.
 El usuario: es el centro de convergencia de los 2 básicos (ambiente/herramienta/trabajo)
donde proceder y sus consecuencias se unen al equilibrio. El usuario es el fin para que todo
tenga dirección en los caminos básicos de una manera equilibrada, armonizada y eficaz.

Normas de seguridad laboral:
1. Equipo:
a. Observación general: la utilización del equipo no debe ser una fuente de riesgo para
los trabajadores.
b. Pantalla: los caracteres de la pantalla deberán estar bien definidos y configurados de
forma clara, disponiendo de un espacio adecuado entre caracteres y renglones, la
imagen debe ser estable.
c. Teclado: deberá ser inclinable e independiente de la pantalla para permitir que el
usuario adapte una postura cómoda que no provoque el cansancio en los brazos o
manos.
d. Mesa o superficie de trabajo: deberá ser poco reflectante, permitir una colocación
flexible de la pantalla, del teclado, de los documentos, etc.
e. Asiento de trabajo: debe ser estable, de altura regulable, con respaldo
2. Entorno:
a. Espacio: el puesto de trabajo deberá tener una dimensión suficiente y estar
acondicionado, de tal manera que haya espacio para permitir los cambios de
postura.
b. Iluminación: se debe garantizar unos niveles adecuados de iluminación y unas
relaciones adecuadas de luminancia entre la pantalla y su entorno.
c. Reflejos y deslumbramientos: en los puestos de trabajo deberá tenerse en cuenta las
fuentes de luz que no provoquen deslumbramientos directos.
d. Ruidos: no debe perturbar la atención ni la palabra.
e. Calor: los equipos instalados no deberán producir calor adicional que pueda
ocasionar molestias a los trabajadores.
3. Emisiones: toda radiación deberá reducirse a niveles insignificantes desde el punto de
vista de la protección de seguridad y salud de los usuarios.
4. Humedad: deberá crearse y mantenerse una humedad aceptable.

“Las empresas deben darse cuentas que obedecen a los dictados ergonómicos en una decisión
sumamente productiva que aumenta la eficiencia, mejora el equilibrio físico y psíquico de los
empleados, aumenta los índices de trabajo y reduce las faltas por enfermedad”