Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Clase tecnología 16-5-22 Integridad- fundamental usar hash confidencialidad- cifrado asimétrico y simétrico autenticación- modelo asimétrico utilizando clave privada del emisor auditabilidad- un tercero pueda verificar la autenticidad de una info sobre todo de la firma digital. Es importante poder contar con el certificado digital, con el documento firmado digitalmente y con el hash o huella digital cifrado con la clave privada del emisor. Permite que un tercero audite la veracidad del cripto sistema. no repudio- la tecnología no ha logrado resolver. Es evitar que un receptor de la información niegue la recepción de la información. Tercero: correo, opera como tercero de confianza da fe que un documento fue recibido. Hay que demostrarlo, no existe herramienta que de presunción. El juez presume salvo prueba en contrario que el documento fue recibido. Existen tecnologías que se le llaman timestamp—sirven para acuerdo de partes, no tienen efecto jurídico. Sirven por ejemplo para una cadena de suministros que tenían que entregar un producto de laboratorio y había un tercero que tenia que recibir mercadería con tiempo rápido, un proveedor le entregaba a otro proveedor y este a este tercero. Proveedor 2 tenía esquema logístico para poder llevar esa mercadería con temperatura de muchos grados bajo cero, se confecciona a través de materia prima que suministra el proveedor 1, en cuestión de horas se terminaba y entregaba al tercero. Acuerdo entre dueños de empresas—materia prima salía hacia el proveedor 1 una persona de la organización tenia que enviar un mail al de la otra organización no se sabe si no mando el mail o el otro perdió el mail lo borro, y a veces a los dueños se les presentaba este conflicto con perdida de dinero y los dueños se peleaban, solución poner el timestamp que es una empresa un tercero que baja un software a la pc la interviene (la de la organización 2) que avisa al tercero de la recepción del mail, para los dueños era un tercero de confianza, no existe legalmente no está validado porque se podría desactivar la intervención sin que el tercero se de cuenta. Se usa en acuerdo de partes. No tienen fuerza legal. GESTION DE LA SEGURIDAD EN IT (TECNOLOGIA DE LA INFORMACION) objetivo – lograr protección y resguardo de todos los procesos y recursos de los sistemas de información. Disponibles y seguras. reto- equilibrio entre funcionalidad eficiente y las normas de seguridad. La seguridad absoluta no existe. (ejemplo una casa) las normas de seguridad no deben impedir una funcionalidad eficiente. Siempre existe riesgo. Pongo seguridad, asumo riesgo. aspectos centrales: - vulnerabilidad: provienen de factores técnicos y humanos 1- hackers, acceden sin autorización a una red de computadoras, para lucrar, causar daños o por placer personal. Hackers “buenos” lo hacen para probar la seguridad de una empresa, estudios de penetración. Hackers especializados, analizan la posibilidad de penetración, lo hacen con conocimiento. Estos tienen autorización. 2-spoofin, es el redireccionamiento de un enlace web a una dirección diferente de la que se pretende. 3- sniffer es un tipo de programa de espionaje que vigila la información que viaja a través de una red 4- los spyware son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento. también están .El denial-of-service (DoS) son ataques a los servidores web con muchos miles de comunicaciones a efectos de dejarlos fuera de servicio. .El robo de identidad es un delito en el que un impostor obtiene información personal como ser claves de acceso, tarjetas de créditos, etc. – el phishing (generalmente son mails) los hace ir a una web falsa, implica que el establecimiento de sitios web falsos para solicitar al usuario datos personales y confidenciales. También utilizan mensajes de correo electrónico con el mismo propósito. – los evil twins son redes inalámbricas que fingen ofrecer conexiones wifi confiables. – pharming ( este no)redirige a los usuarios a una pagina web falsa mediante el acceso y modificación no autorizadas de los DNS de los proveedores de internet. .El troyano es un malware que se presenta al usuario como un programa aparentemente legitimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado o infecta la computadora con un virus o un spyware o realiza alguna acción maliciosa en el equipamiento instalado. - virus programas de software fuera de control que son difíciles de detectar y que se propagan rápidamente por los sistemas de info, destruyendo datos, programas y perturbando el procesamiento y memoria. se propagan de copiarse de programas ejecutados. Le paso el programa a alguien y está contagiado se propaga el virus. Herramientas: cortafuegos (todo lo que llega a través de la placa de red todo lo que pasa por ahí antes lo toma el cortafuegos, es chequeado por este y analiza si es una it conocida, analiza, uno puede poner filtros) antivirus (sistemas de seguridad) y antispam. Spam mensajes de mail no solicitados, publicidades, problemas importantes para la red de cómputo. recomendaciones para la seguridad: no ingresar a enlaces sospechosos no acceder a sitios web de dudosa reputación actualizar el sistema operativo y aplicaciones aceptar solo contactos conocidos instalar aplicaciones de fuente segura evitar la ejecución de archivos sospechosos utilizar tecnologías de seguridad, contratar auditoria de seguridad evitar el ingreso de información personal en formularios dudosos tener precaución con los resultados arrojados por los buscadores web utilizar contraseñas fuertes - políticas de contingencia y backup Es el proceso para desarrollar, comunicar y mantener documentados y probados los planes de continuidad de operaciones y procesos de los sistemas informáticos el plan de contingencia debe permitir: contar con planes de respaldo y recuperación capaces de asegurar la reanudación del proceso normal del procesamiento de la información en caso de cualquier tipo de interrupción o de la necesidad de re arrancar desastres: naturales como terremoto, incendios o inundaciones por falta de servicio como falta de energía corte de comunicaciones de alto riesgo como ataque de virus - estrategias y alternativas de recuperación - establecimiento de los equipos de trabajo y funciones e cada persona - instructivo: situación previa al desastre: datos, programas, har como declarar una situación de desastre (comunicar a responsables que se inicia el plan de recuperación de contenido de negocio) una identificación de procesos y recursos de TI se deben recuperar identificación clara de responsabilidades (quien o quienes recuperan el hard, programas, datos) plan de acción lista detallada de los recursos requeridos para la recuperación y continuidad de la organización - retroalimentación del plan de acción
Compartir