la seguridad de los sistemas informáticos
TRANSCRIPT
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º Curso del Grado de ADE/ 2013 – 2014
JCRP
Sistema informativo contable
Tema III
La seguridad de los sistemas informáticos
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
La seguridad de los sistemas informáticos. 1. Concepto de seguridad informática
2. Seguridad física
3. Seguridad lógica
4. Protección de las comunicaciones en red
a) Amenazas deliberadas
b) Servicios de seguridad
c) Mecanismos de seguridad
5. Gestión de claves
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Concepto de seguridad informática
No existe la seguridad
absoluta
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Concepto de seguridad informática
«I cannot imagine any condition which would cause a ship to founder. I cannot
conceive of any vital disaster happening to this vessel. Modern shipbuilding has
gone beyond that.». Edward John Smith, capitán del RMS Titanic, sobre el buque
RMS Adriatic.
"The captain may, by simply moving an electric switch, instantly close the
watertight doors throughout, making the vessel virtually unsinkable.” The Shipbuilder
and Marine Engine Builder, Junio de 1911, número especial sobre el RMS Titanic y su
gemelo RMS Olympic.
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Concepto de seguridad informática
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Concepto de seguridad informática
En el mundo de la
informática, aún menos
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Concepto de seguridad informática. Vulnerabilidades
Puntos vulnerables
Hardware
Software
Datos almacenados
Redes
Personas
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Concepto de seguridad informática. Vulnerabilidades
http://goo.gl/YnfJj
http://goo.gl/TldYZ
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Concepto de seguridad informática. Vulnerabilidades
http://goo.gl/7evcj
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Hardware
Intencionados
• Robo
• Destrucción
Accidentales
• Fallo físico
• Catástrofe
Software
Deliberados
• Virus
• Troyanos
• Uso indebido
Accidentales
• Bug de programación
• Borrados involuntarios
Concepto de seguridad informática. Vulnerabilidades
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Concepto de seguridad informática. Vulnerabilidades
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Datos almacenados
Confidencialidad
• Empresarial
• LOPD
Integridad
• Alteración
• Fabricación
Redes
Ataques activos
• Suplantación de identidad
• Modificación
Ataques pasivos
• Control de volumen
• Control de horas
Personas
Acciones voluntarias
• Descontentos
• Espionaje industrial
Acciones involuntarias
• Ingeniería social
• Despistes
Concepto de seguridad informática. Vulnerabilidades
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Seguridad física
• Peligros naturales
• Vandalismo
• Acceso y uso no autorizado
• Interceptación de datos
Comprende el conjunto de mecanismos, normas y procedimientos encaminados a proteger los elementos físicos del
sistema.
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Seguridad física
•Protección de las comunicaciones en red
•Protección de los sistemas operativos
•Protección de la memoria
•Protección de ficheros
• Identificación de usuarios
Comprende el conjunto de mecanismos, normas y procedimientos encaminados a proteger el sistema frente a
ataques de software.
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Seguridad lógica
Protección de las bases de datos
•Conexiones no deseadas
•Uso no autorizado
Protección de los programas
Criptografía
Protección de los datos
•Integridad
•Identificación de usuarios
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Protección de las comunicaciones en red
amenaza. (Del lat. vulg. mĭnacia, y este del lat. mĭna). 1. f. Acción de amenazar.
amenazar. (De amenaza). 1. tr. Dar a entender con actos o palabras que se quiere hacer algún mal a alguien. 2. tr. Dar indicios de estar inminente algo malo o desagradable. U. t. c. intr.
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Amenazas deliberadas. Tipología
Interrupción
Interceptación
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Amenazas deliberadas. Tipología
Modificación
Creación
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Amenazas deliberadas
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Amenazas deliberadas. Ataques pasivos
Ataques pasivos
El atacante no altera la
comunicación. Sus objetivos
la intercepción de datos
el análisis de tráfico
Obtención del origen y
destinatario
Control del volumen de
tráfico
Control de las horas habituales
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Amenazas deliberadas. Ataques activos
http://goo.gl/kLD2Tf
http://goo.gl/FZbuoN
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Amenazas deliberadas. Ataques activos
Ataques activos
Se modifica el flujo de datos o
se crea uno falso. categorías:
Suplantación de identidad
Reactuación
Modificación de mensajes
Degradación fraudulenta del
servicio
Denegación de servicio
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Servicios de seguridad
Confidencialidad
• Requiere que la información sea accesible únicamente por las entidades autorizadas
Autenticación
• Requiere una identificación correcta del origen del mensaje, asegurando que la entidad no es falsa.
• de entidad,
• y de origen de información.
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Servicios de seguridad
Integridad
• Requiere que la información sólo pueda ser modificada por las entidades autorizadas.
• La integridad de datos
• La integridad de secuencia de datos
No repudio
• Ofrece protección a un usuario frente a que otro que niegue posteriormente que en realidad se realizó cierta comunicación.
• No repudio de origen
• No repudio de recepción
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Servicios de seguridad
Control de acceso
• Requiere que el acceso a los recursos sea controlado y limitado por el sistema destino.
Disponibilidad
• Requiere que los recursos del sistema informático estén disponibles a las entidades autorizadas cuando los necesiten.
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Mecanismos de seguridad
Los mecanismos poseen tres componentes principales:
Una información secreta, como claves y contraseñas, conocidas por las entidades
autorizadas.
Un conjunto de algoritmos, para llevar a cabo el cifrado,
descifrado, hash y generación de números
aleatorios.
Un conjunto de procedimientos, que
definen cómo se usarán los algoritmos, quién envía qué
a quién y cuándo.
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Mecanismos de seguridad
Intercambio de autenticación
Integridad de datos
Firma digital Control de acceso
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Mecanismos de seguridad
Cifrado
criptosistema simétrico.
criptosistema asimétrico.
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Mecanismos de seguridad
Tráfico de relleno
Control de encaminamiento
Unicidad
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Gestión de claves
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Gestión de claves
Gestión de claves
abarca
la generación,
distribución,
almacenamiento,
tiempo de vida y
su destrucción
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Gestión de claves
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Gestión de claves
Generación de claves
La seguridad de un algoritmo descansa en la clave.
aspectos a considerar : Espacio de claves reducido
Elección pobre de la clave
Claves aleatorias
Frases de paso
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Gestión de claves
Distribución de claves
Se debe efectuarse previamente a la comunicación.
aspectos a considerar : Sus requisitos de seguridad dependerán de para qué y cómo van a ser utilizadas las claves.
La distribución de claves se lleva siempre a cabo mediante protocolos predefinidos
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Gestión de claves
Almacenamiento de claves
Las claves deben de estar depositadas
Alternativas Memoria del usuario.
Dispositivos específicos
Forma encriptada (PIN)
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Gestión de claves
Tiempo de vida de claves
Una clave debe tener vida limitada.
Cuanto más tiempo se usa una clave, aumenta la probabilidad de que se comprometa
Cuanto más tiempo se usa una clave, mayor será el daño si la clave se compromete.
Destrucción de claves
Las claves caducadas deben ser destruidas con la mayor seguridad
En función del dispositivo empleado, deberá buscarse la forma de que se vuelvan irrecuperables.
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Bibliografía
Álvarez Marañón, Gonzalo (2000) Criptología y seguridad. Disponible en
http://www.iec.csic.es/criptonomicon/seguridad/
Laudon, K. y Laudon J. (2008) Sistemas de información gerencial. Administración de la empresa digital.
Pearson-Prentice Hall.
Santodomingo, Alfonso (1997) Introducción a la informática de la empresa. Ariel Economía
DEPARTAMENTO DE
ECONOMÍA
FINANCEIRA E
CONTABILIDADE
Sistema Informativo Contable 4º curso de ADE / 2013– 2014
JCRP
Imágenes
Las imágenes han sido obtenidas de las siguientes fuentes:
Wikipedia
Página 5: http://goo.gl/rVQbh HMS Titanic y http://goo.gl/NYeYL Fotomontaje de un iceberg
Página 16: http://goo.gl/NfOm Máquina de cifrado
La Voz de Galicia
Página 24: http://goo.gl/uUVHy Correo certificado
José Raúl Canay Pazos
Páginas 6 y 14
Resto:
Galería de imágenes de Microsoft Office
Sobre este documento:
José–Raúl Canay-Pazos: La seguridad de los sistemas informáticos. Esta obra está sujeta a la licencia Reconocimiento-
CompartirIgual 4.0 Internacional de Creative Commons. Para ver una copia de esta licencia, visite
http://creativecommons.org/licenses/by-sa/4.0/deed.es_ES.