Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD PRIVADA TELESUP ESCUELA ACADÉMICA PROFESIONAL DE INGENIERÍA Y ARQUITECTURA CURSO: METODOLOGÍA DEL TRABAJO UNIVERSITARIO TEMA: SEGURIDAD INFORMÁTICA EN LAS EMPRESAS ALUMNOS: CANO OLARTE, JENNIFER CATALINA CERCADO TORRES, EVELYN LETICIA JARAMILLO VEGA, JACK MAYER LIMA CAPCHA, ANTONY JESÚS RAMIREZ CURO, CELESTINA ISABEL ROJAS HERRERA, MARTÍN JEAN PIERE DOCENTE: SÁNCHEZ ANASTACIO, KATHERINE ROSEMARY 2017 DEDICATORIA Este trabajo monográfico está dedicado a nuestros padres que día a día se esfuerzan para brindarnos una educación superior, asimismo un reconocimiento oficial a nuestra compañera Evelyn por su autodepencia en su vida personal y académica. AGRADECIMIENTO Agradecemos a todas las personas partícipes en la realización de este trabajo, en especial a la señora Capcha que nos brindó un ambiente para nuestro estudio. ÍNDICE CARÁTULA DEDICATORIA AGRADECIMIENTO I. INTRODUCCIÓN 1.1 Resumen 1.2 Objetivos II. MARCO TEÓRICO 2.1 Definición………………………………………………………………..………8-9 2.2 Bases de la seguridad informática 2.2.1 Fiabilidad………………………………………………………….….……9 2.2.2 Confidencialidad……………………………………………………..……9 2.2.3 Integridad…………………………………………………..……….……..9 2.2.4 Disponibilidad……………………………………………..…….….……10 2.3 Elementos de la información………………………………………..……….…10 2.4 Niveles de seguridad 2.4.1 Nivel D………………………………………………….…………...……10 2.4.2 Nivel C1……………………………………………………………..……11 2.4.3 Nivel C2……………………………………………………………..……11 2.4.4 Nivel B1…………………………………………………………..………11 2.4.5 Nivel B2……………………………………………………………..……11 2.4.6 Nivel B3………………………………………………………………..…12 2.4.7 Nivel A…………………………………………………………………….12 2.5 Mecanismos de seguridad 2.5.1 Autenticación……………………………………………….…………..12 2.5.2 Autorización……………………………………………………..………13 2.5.3 Administración…………………………………………………….…….13 2.5.4 Auditoría y registro………………………………………..…………….13 2.5.5 Mantenimiento de la integridad……………………………..…………14 2.6 Tipos de Amenazas 2.6.1 Amenazas internas…………………………………………….....…….14 2.6.2 Amenazas externas………………………………………………...…..14 2.7 Organismos oficiales de seguridad informática 2.7.1 CERT/CC………………………………………………….….……..……15 2.7.2 SANS INSTITUTE……………………………………………………….15 2.8 Políticas de seguridad de la información………………….………………….16 III.CONCLUSIONES….…………………………………………………………….…..17 IV.REFERENCIAS DE INFORMACIÓN……….…………………………….……….18 4.1 Bibliográficas…………………………………………………………….……….18 4.2 Hemerográficas………………………………………………………………….18 4.3 Electrónicas………………………………………………………………………19 V. ANEXOS………………………………………………………………..…………20-21 I. INTRODUCCIÓN 1.1 Resumen La presente investigación monográfica tiene por tema la seguridad informática, esta variable ha surgido por la necesidad de proteger la información propia de cada empresa, pues ha crecido considerablemente los riesgos del robo de información y esto ha obligado a la constante evolución de programas o software para combatir a los famosos hackers. Para ello se ha dado a conocer las definiciones necesarias para su estudio y se ha desarrollado temas relacionados a su descripción como por ejemplo; su importancia, avances y amenazas. El sistema informático puede ser protegido desde un sistema tanto lógico como físico, en ello abarca el desarrollo de un software que está vinculado al mantenimiento. Asimismo se puede presentar programas que afectan la información que contiene la computadora del usuario. En este trabajo se han planteado tres objetivos que responden a nuestra intención en conocer a fondo el tema, así mismo, las conclusiones están planteadas de acuerdo a los resultados obtenidos de la investigación. 1.2 Objetivos Conocer conceptos básicos sobre seguridad informática. Conocer normas relacionadas con las políticas de seguridad informática. Conocer organismos encargados de la seguridad informática. 1 Rafael B. y Kelly Bermúdez, Análisis en seguridad informática y seguridad de la información, 2015. 2 Hernández María, Diseño de un Plan Estratégico de Seguridad de Información en una empresa del sector comercial, 2006. 3 Imbaquingo Daisy et al., Fundamentos de Auditoria Informática basada en riesgos, 2017. 4 OPTIC, Normas y Estándares para la Administración Pública y Seguridad, 2017. 8 II. MARCO TEÓRICO 2. Seguridad informática en las empresas 2.1 Definición “Se entiende por seguridad informática al conjunto de reglas y normas diseñadas para garantizar la confidencialidad, integridad y disponibilidad de la infraestructura tecnológica abarcando hardware y software.” (Rafael B. y Kelly Bermúdez, 2015, 11)1. “La seguridad informática son técnicas desarrolladas para proteger los equipos informáticos y la información de daños accidentales o intencionados.”. (Hernández María, 2006, 40)2. “Seguridad Informática, es la disciplina que se encarga de las implementaciones técnicas de la protección de la información, el despliegue de las tecnologías antivirus, firewalls, detección de intrusos, detección de anomalías, correlación de eventos, atención de incidentes, entre otros elementos, que articulados con prácticas de gobierno de tecnología de información establecen la forma de actuar y asegurar las situaciones de fallas parciales o totales, cuando la información es el activo que se encuentra en riesgo.”( Imbaquingo Daisy et al., 2017, 8)3. “La información es un recurso que tiene valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad institucional, minimizar el daño y maximizar el retorno sobre las inversiones y las oportunidades”. (OPTIC, 2017, 3)4. http://repositorio.utn.edu.ec/browse?type=author&value=Imbaquingo+Esparza%2C+Daisy+Elizabeth 5 Areitito Javier, Seguridad de la información, 2008. 9 6, 7, 8, 9 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. “La seguridad de los sistemas de información es una disciplina en continua evolución. La meta final de la seguridad es permitir que una organización cumpla con todos sus objetivos de negocio o misión, implementando sistemas que tengan un especial cuidado y consideración hacia los riesgos relativos a las TIC de la organización, a sus socios comerciales, clientes, administración pública, suministradores, etc”. 5(Areitio Javier, 2008, 2). 2.2 Bases de la seguridad informática (Ver anexo 1) 2.2.1 Fiabilidad “Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de él”. 6(Mifsud Elvira, 2012). 2.2.2 Confidencialidad “En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos. El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información.” 7(Mifsud Elvira, 2012). 2.2.3 Integridad “La integridad hace referencia a la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.” 8(Mifsud Elvira, 2012). “Salvaguardando la exactitud de la información en su procesamiento, así como su modificación autorizada.” 9(Villena Moises, 2006, 10). 10, 11 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 12 Rene B. y Patricia M., Metodología para el desarrollo de firewalls de software, 2013. 10 2.2.4 Disponibilidad “La disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados. El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informáticos.” 10(Mifsud Elvira, 2012). 2.3 Elementos de la información Para la autoraElvira Misfud, los elementos de la información son los siguientes: Datos e Información: Son los datos e informaciones en sí mismo. Sistemas e Infraestructura: Son los componentes donde se mantienen o guardan los datos e informaciones Personal: Son todos los individuos que manejan o tienen acceso a los datos e informaciones y son los activos más difíciles de proteger, porque son móviles, pueden cambiar su afiliación y son impredecibles.11 2.4 Niveles de seguridad 2.4.1 Nivel D1 Es la forma más baja de seguridad, esta norma establece que el sistema entero no es confiable. No dispone de protección para el hardware; el sistema operativo se compromete fácilmente y no existe autentificación respecto de los usuarios y sus derechos a tener acceso a la información almacenada en la computadora. 12(René B. y Patricia M., 2013, 43). 13, 14, 15, 16 Rene B. y Patricia M., Metodología para el desarrollo de firewalls de software, 2013. 11 2.4.2 Nivel C1 “Los usuarios deben identificarse ante el sistema mediante su login y contraseña, se emplea esta combinación para determinar los derechos de acceso a programas e información que tiene cada usuario”. 13(René B. y Patricia M., 2013, 43-44). 2.4.3 Nivel C2 “Este ambiente tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, con base no sólo en los permisos, sino también en los niveles de autorización. Además, este nivel de seguridad requiere que se audite al sistema, lo cual implica registrar una auditoria por cada acción que ocurra en el sistema”. 14(René B. y Patricia M., 2013, 44). 2.4.4 Nivel B1 “Es también llamado Protección de Seguridad Etiquetada, es el primer nivel con soporte para seguridad multinivel, como el secreto y el ultra secreto. En este nivel se establece que el dueño del archivo no puede modificar los permisos de un objeto que este bajo control de acceso obligatorio”. 15(René B. y Patricia M., 2013, 45). 2.4.5 Nivel B2 “(…) requiere que todos los objetos estén etiquetados, los dispositivos como discos, cintas y terminales, pueden tener asignado uno o varios niveles de seguridad. Este es el primer nivel en que aborda el problema de la comunicación de un objeto con otro que se encuentra en un nivel de seguridad inferior”. 16(René B. y Patricia M., 2013, 45). 17, 18 Rene B. y Patricia M., Metodología para el desarrollo de firewalls de software, 2013. 19, 20 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 12 2.4.6 Nivel B3 “Llamado de Dominios de Seguridad, refuerza los dominios con la instalación de hardware. Por ejemplo, se utiliza hardware de manejo de memoria para proteger el dominio de seguridad contra accesos no autorizados y modificaciones de objetos en diferentes dominios de seguridad. Este nivel requiere también que la terminal del usuario esté conectada al sistema a través de una ruta de acceso confiable. 17(René B. y Patricia M., 2013, 46). 2.4.7 Nivel A “Para alcanzar este nivel de seguridad, deben incluirse todos los componentes de los niveles inferiores; el diseño debe verificarse matemáticamente y debe realizarse un análisis de los canales cubiertos y de distribución confiable. La distribución confiable significa que el hardware y el software hayan estado protegidos durante su traslado para evitar violaciones de los sistemas de seguridad”. 18(René B. y Patricia M., 2013, 46). 2.5 Mecanismos de seguridad 2.5.1 Autenticación “Definimos la Autenticación como la verificación de la identidad del usuario, generalmente cuando entra en el sistema o la red, o accede a una base de datos”. 19(Elvira Mifsud, 2012, 2). “Normalmente para entrar en el sistema informático se utiliza un nombre de usuario y una contraseña. Pero, cada vez más se están utilizando otras técnicas más seguras”. 20(Elvira Mifsud, 2012, 2). 21, 22, 23, 24, 25 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 13 2.5.2 Autorización “Definimos la Autorización como el proceso por el cual se determina qué, cómo y cuándo, un usuario autenticado puede utilizar los recursos de la organización”. 21(Elvira Mifsud, 2012, 2). “(…) solo se debe dar autorización a acceder a un recurso a aquellos usuarios que lo necesiten para hacer su trabajo, y si no se le negará. Aunque también es posible dar autorizaciones transitorias o modificarlas a medida que las necesidades del usuario varíen”. 22(Elvira Mifsud, 2012, 2). 2.5.3 Administración “La administración de la seguridad informática dentro de la organización es una tarea en continuo cambio y evolución ya que las tecnologías utilizadas cambian muy rápidamente y con ellas los riesgos”. 23(Elvira Mifsud, 2012, 2). “Normalmente todos los sistemas operativos que se precian disponen de módulos específicos de administración de seguridad”. 24(Elvira Mifsud, 2012, 2). 2.5.4 Auditoría y registro “Monitorear la información registrada o auditar se puede realizar mediante medios manuales o automáticos, y con una periodicidad que dependerá de lo crítica que sea la información protegida y del nivel de riesgo”. 25(Elvira Mifsud, 2012, 2). 26, 27 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 28 BlogSpot, Seguridad Informática, 2010. 14 2.5.5 Mantenimiento de la integridad “Definimos el Mantenimiento de la integridad de la información como el conjunto de procedimientos establecidos para evitar o controlar que los archivos sufran cambios no autorizados y que la información enviada desde un punto llegue al destino inalterada”. 26(Elvira Mifsud, 2012, 2). 2.6 Tipos de Amenazas (Ver anexo 2) 2.6.1 Amenazas internas “Los usuarios conocen la red y saben cómo es su funcionamiento. Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo. Los IPS y Firewalls son mecanismos no efectivos en amenazas internas”. 27(Elvira Mifsud, 2012, 2). 2.6.2 Amenazas externas “Son aquellas amenazas que se originan de afuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos”. 28(BlogSpot, 2010). 29, 30, 31, 32 BlogSpot, Organismos Oficiales de Seguridad Informática, 2015. 15 2.7 Organismos oficiales de seguridad informática 2.7.1 CERT/CC “(Computer Emergency Response Team Coordination Center) del SEI (Software Engineering Institute) el cual es un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo”. 29(BlogSpot, 2015). “Este organismo de seguridad tiene 25 años de haber sido fundada para proteger los sistemas, a lo largo de los años ha ampliado su experiencia de respuesta a incidentes de un enfoque integral y proactivo para asegurar los sistemas en red”. 30(BlogSpot, 2015). “Es la principal autoridad de confianza en el mundo dedicada a la mejora de la seguridad y la resistencia de los sistemas y redes informáticas y son un bien nacional en el campo de la ciber-seguridad”. 31(BlogSpot, 2015) 2.7.2 SANS INSTITUTE “(SysAdmin Audit, Networking and Security Institute) es una institución con ánimo de lucro fundada en 1989, con sede en Bethesda (Maryland, Estados Unidos) que agrupa a 165,000 profesionales de la seguridad informática (consultores, administradores de sistemas, universitarios, agencias gubernamentales, etc.)”. 32(BlogSpot, 2015). 33, 34, 35, 36 SIUN, Definición de políticas de Seguridad Informática de los servidores y sitios web del SIUN, (s/f). 16 2.8 Políticas de seguridad de la información La normativa relacionada con las políticas de seguridad, que en este documento se definen, se relata a continuación: ISO/IEC 27001 “Proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI)”. 33(SIUN, (s/f), 5). ISO/IEC 27002 “Proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener un Sistema de Gestión de la Seguridad de la Información (SGSI)”. 34(SIUN, (s/f), 5). ISO/IEC 27005 “Proporciona directrices para la gestión del riesgo de seguridad de la información en una organización”. 35(SIUN, (s/f), 5). Directrices de la OCDE “(Organization for Economic Co-operation and Development) para la seguridad de sistemas y redes de información: Hacia una cultura de seguridad”. 36(SIUN, (s/f), 5). 17 III. CONCLUSIONES Se conoció que la seguridad informática es la disciplina encargada de proteger la integridad y la privacidad de la información de un sistema informático. Se conocieron normas relacionadas con la política de seguridad informática como la ISO/IEC 27001 que dispone un modelo para establecer, implementar, operar, monitorear y mejorar un sistema de gestión de seguridad informática. Se conoció que existen organismos como CERT/CC y SANS INSTITUTE dedicadas a perfeccionar la seguridad y la resistencia de los sistemas y redes informáticas. 17 IV. REFERENCIAS DE INFORMACIÓN 4.1 Bibliográficas Areitito Javier. Seguridad de la información. (España: Parainfo, 2008). Imbaquingo Daisy et al. Fundamentos de Auditoria Informática basada en riesgos. (Ecuador: Ibarra-Ecuador, 2017). OPTIC. Normas y Estándares para la Administración Pública y Seguridad. (República Dominicana: Gobierno Electrónico, 2017). 4.2 Hemerográficas Hernandez Maria. “Diseño de un Plan Estratégico de Seguridad de Información en una empresa del sector comercial”. Tesis de Licenciamiento, Escuela Superior Politécnica del Litoral, 2006. Rafael B. y Kelly Bermúdez. “Análisis en seguridad informática y seguridad de la información”. Tesis de Bachillerato. Universidad Politécnica Salesiana. 2015. Villena Moises. “Sistema de gestión de seguridad de información para una institución financiera”. Tesis de Bachillerato, Pontífice Universidad Católica del Perú, 2006. 17 4.3 Electrónicas BlogSpot. Organismos Oficiales de Seguridad Informática. 2015. Recuperado de: http://organismosdeseguridad.blogspot.pe/ (Consultado el 4-7-2017). BlogSpot. Seguridad Informática. 2010. Recuperado de: http://seguridadinformaica.blogspot.pe/p/tipos-de-amenazas_21.html (Consultado el 3-7-2017). Mifsud Elvira. Introducción a la Seguridad Informática. 2012. Recuperado de: http://recursostic.educacion.es/observatorio/web/gl/software/software- general/1040-introduccion-a-la-seguridad-informatica (Consultado el 4-7- 2017). Rene B. y Patricia M. Metodología para el desarrollo de firewalls de software. 2013. Recuperado de: http://repositorio.utn.edu.ec/handle/123456789/1106 (Consultado el 3-7-2017). SIUN. Definición de políticas de Seguridad Informática de los servidores y sitios web del Sistema de Investigación de la Universidad Nacional. Recuperado de: http://investigacion.unal.edu.co/fileadmin/recursos/docs/politicas/seguridad/ siun_web_politicas_seguridad.pdf (Consultado el 4-7-2017). http://organismosdeseguridad.blogspot.pe/ http://seguridadinformaica.blogspot.pe/p/tipos-de-amenazas_21.html http://recursostic.educacion.es/observatorio/web/gl/software/software-general/1040-introduccion-a-la-seguridad-informatica http://recursostic.educacion.es/observatorio/web/gl/software/software-general/1040-introduccion-a-la-seguridad-informatica http://repositorio.utn.edu.ec/handle/123456789/1106 http://investigacion.unal.edu.co/fileadmin/recursos/docs/politicas/seguridad/siun_web_politicas_seguridad.pdf http://investigacion.unal.edu.co/fileadmin/recursos/docs/politicas/seguridad/siun_web_politicas_seguridad.pdf 21 V. ANEXOS 21 Anexo Nº1: Bases de la seguridad informática Fuente propia. Anexo Nº2: Tipos de amenazas informáticas Fuente: https://es.slideshare.net/ayd94/seguridad-informtica-7586500 Adaptado. Fiabilidad Confidencialidad Integridad Disponibilidad BASES DE LA SEGURIDAD INFORMÁTICA https://es.slideshare.net/ayd94/seguridad-informtica-7586500
Compartir