SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Por qu proteger?
Definicin del trmino "seguro" segn la RAE.

Seguridad informtica:

Disciplina que se ocupa de disear las normas,

procedimientos, dispositivos, y herramientas destinados
a proteger el almacenamiento y la transmisin de los
datos digitales y a reducir las amenazas para conseguir
un sistema informtico seguro y confiable.

Importancia de la seguridad informtica:

En empresas:
Prdidas econmicas
Peligro de acceso no autorizado
En usuarios:
Documentos/fotos personales
Indisponibilidad del equipo
o Coste de recuperacin

Noticia sobre ataque informtico: http://goo.gl/1Gf6O

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 1 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS
NUESTRA VIDA ES DIGITAL
Hablamos por telfonos mviles.
Enviamos mensajes con aplicaciones
IP, como e-mail, WhatsApp, etc.
Compramos por Internet: libros,
viajes, comida...
UNIDAD 0 INTRODUCCIN A LA SEGURIDAD
POSIBLES PELIGROS
Nuestras conversaciones son
personales: nadie ms debe
escucharlas.
Nuestros mensajes son privados:
nadie debe tener acceso a ellos.
Debe asegurarse que el vendedor
proporcionar los productos elegidos
y el comprador pagar el precio
acordado.
SEGURIDAD INFORMTICA
Conversaciones por telfono mvil
van cifradas: aunque otro mvil
reciba la misma seal, no puede
entender qu estn transmitiendo.
Los mensajes se almacenan en el
servidor y en el cliente de correo.
Debemos proteger los equipos y la
comunicacin: cifrar el mensaje y
enviarlo por conexin cifrada.
La navegacin por la web conexin no
cifrada.
Carrito servidor seguro. Proteger el
sitio web de cadas de tensin, cortes
de red, accidentes (inundaciones,
incendios, etc.) o sabotajes de sus
instalaciones.
2 / 28
SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS
NUESTRA VIDA ES DIGITAL
Estudiamos por Internet: bsqueda
de informacin en Wikipedia, clases
en directo en un campus virtual...
Entramos en contacto con empresas y
organizaciones a travs de su pgina
web para conocer novedades de
productos, pedir ayuda con un
problema...
Las empresas realizan entre s
contratos electrnicos sin necesitar
una firma en un papel.
UNIDAD 0 INTRODUCCIN A LA SEGURIDAD
POSIBLES PELIGROS
La informacin pblica en Internet
debe estar al alcance de todos. No
debe estar indisponible
Las empresas deben cuidar su
imagen: no pueden consentir un
ataque a su pgina web que
modifique el contenido, engaando a
sus clientes y usuarios.
Los contratos entre empresas suelen
ser privados y les comprometen a
llevarlos a cabo. Nadie externo debe
poder alterarlos ni conocerlos.
SEGURIDAD INFORMTICA
Los servidores de informacin de una
red mundial deben estar disponibles.
Restringir el acceso a las partes
protegidas de su web, como
administracin y edicin de
contenidos.
Los contratos deben llevar la firma
digital de las empresas y almacenarse
en discos cifrados con
almacenamiento redundante, cuya
copia de seguridad ir tambin
cifrada, y se dejar en un edificio
diferente, a ser posible en otra
ciudad.
3 / 28
SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

La seguridad completa es imposible

Cuantas ms y mejores medidas de seguridad empleemos mayor ser la seguridad del sistema informtico.

La seguridad ser mayor en funcin de:

Presupuesto asignado (replicar servidores/conexiones/suministro elctrico)

Formacin en seguridad:
Tcnicos:
desplegar sistemas avanzados de proteccin
Usuarios:
no compartirn su contrasea con otros usuarios
no entrarn en pginas potencialmente peligrosas
el porttil o el mvil de empresa no lo usarn otras personas

No sabemos qu hacen las otras personas con las que nos comunicamos:
Podemos enviar imgenes a una persona con un troyano en el equipo que las difunda

Quien est interesado en nuestra informacin puede conseguirla:

Ningn superhacker entrar a nuestro porttil a por los apuntes de clase
Las empresas s son mucho ms atractivas auditoras de seguridad (tiger teams)

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 4 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

La seguridad debe estar adaptados a cada caso particular:

Contrasea de 20 caracteres con maysculas, minsculas, nmeros y signos de puntuacin es muy segura pero si
obligamos a que sean as, muchos empleados la apuntarn en un postit en el monitor.

Qu proteger?
Activos que hay que proteger:

Equipos
Aplicaciones
Datos
Comunicaciones

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 5 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Proteger EQUIPOS
Que no se puedan sustraer ordenadores de
sobremesa, sobre todo discos duros
Porttiles
Cifrado en el disco duro
Contrasea actualizada
Que no se puedan introducir a la red nuevos
equipos no autorizados:
pueden introducir troyanos en equipos
pueden acceder al servidor
Mantenimiento preventivo de equipos:
Limpiar disipadores y ventiladores

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 6 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Proteger APLICACIONES
No instalar aplicaciones innecesarias pueden tener vulnerabilidades
Al comprar nuevos equipos reinstalar sistema y aplicaciones necesarias:
No dar excesivos privilegios al usuario
Asegurar que las licencias de software son correctas
Homogeneizar equipamiento
Instalacin de aplicaciones no necesarias:
Intencionadamente
Inocentemente
Proteccin ante estas instalaciones:
Antivirus
No privilegios de administrador
Antiguamente desactivar autoarranque desde CD/USB o
eliminar lector y desactivar USB http://goo.gl/NXXVt
Origen de las aplicaciones fiables:
CDs de fabricante
Pgina web oficial
Actualizaciones automticas
Analoga con mviles: Google Play o App Store

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 7 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Proteger DATOS
Equipos y aplicaciones se compran pero datos de empresa no.

Amenazas:

Si desaparecen la empresa no puede funcionar

Si se filtran a la competencia arriesga su futuro

Medidas de seguridad:

Proteccin contra software malicioso

Almacenamiento redundante
Almacenamiento cifrado

Proteger COMUNICACIONES
Utilizar canales cifrados
Controlar las conexiones de red
Minimizar el impacto del SPAM
Especial atencin si usamos cloud computing

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 8 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Seguridad fsica/lgica (lo que se quiere proteger)

FSICA:

equipos personales
servidores
equipamiento de red
edificio / salas

LGICA

Aplicaciones
Sistemas operativos

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 9 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Amenazas

Amenazas contra la seguridad FSICA

Desastres naturales proteger centro de datos: detector incendios,

extintores http://www.silicon.es/un-incendio-en-un-centro-de-
datos-de-samsung-afecta-algunos-servicios-2263764
Robos
vdeovigilancia, jurados, control de acceso, diferente uniforme,
alarma luz + sonido: detectores sensores volumen +
temperatura + cmara, sensores de sonido
contactos magnticos en puertas y ventanas, avisador
telefnico, pulsadores de emergencia

https://politica.elpais.com/politica/2016/07/27/actualidad/1469616
730_359823.html

Fallos de suministro elctrico SAI, grupo electrgeno

Temperatura: equipos 15-20 C, data centers 22 C
Aire: ventilacin con filtro para partculas de polvo, humedad

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 10 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Amenazas contra la seguridad LGICA

Software incorrecto: bugs o errores de programacin aprovechados por exploits

Software malicioso o malware en general (virus, troyanos...) eliminar:
Virus: cdigo insertado en archivo ejecutable, sobre todo en Windows
Gusanos: se propaga por redes (Morris, 1988)
Caballos de Troya: cdigo escondido en
programa ejecuta funciones ocultas
Conejos o bacterias: se reproduce hasta
colapsar el sistema
Herramientas de seguridad: arma de doble filo
Puertas traseras: atajos en la programacin
Prdida de datos
Defecto en cdigo fuente probar
intensivamente + copias de seguridad
Ataques a aplicaciones de servidores instalar
software mnimo imprescindible

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 11 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Las personas como amenaza

Atacantes:
Pasivos: solo entran
Activos: destruyen o modifican en su favor
Empleados incluso sin equipos
informticos:
Intencionados
Accidentales (error o
desconocimiento)
Ex-empleados:
Descontentos, conocen el
sistema
Curiosos, no destructivos
Hackers (expertos en programacin)
obtiene acceso no autorizado
Crackers: hackers con intencin
maliciosa
Intrusos remunerados: robar secretos (productos, clientes, daar imagen)

Premios Pwnies

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 12 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Ataques
Acciones que intentan aprovechar vulnerabilidades de los sistemas informticos para provocar un impacto sobre l.

Programas para conseguir acceso al servidor de forma ilegtima

Ataques de denegacin de servicio para colapsar el servidor

Fases de un ataque:

1. Reconocimiento: obtener informacin de la vctima (persona u organizacin)

2. Exploracin: conseguir informacin sobre el sistema, IPs,
nombres de hosts, datos de acceso
3. Obtencin de acceso: a partir de datos de fase 2 se explota
alguna vulnerabilidad
4. Mantencin del acceso: implantar herramientas que
permitan acceder recurrentemente
5. Borrado de huellas: para evitar ser detectado

Existen herramientas para conseguir nivel ptimo de seguridad

pero no tienen en cuenta el factor humano.

Ingeniera social: engao a usuarios mediante mensajes (phising)

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 13 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Seguridad ACTIVA / PASIVA (momento de la proteccin)

Seguridad ACTIVA
Prevenir, detectar y evitar incidente en sistemas informticos ANTES de que se produzca. Intenta protegernos de los
incidentes. Medidas PREVENTIVAS. Protegen los activos de la empresa (equipos, aplicaciones, datos, comunicaciones).

Contraseas de acceso
Complejidad (n y tipo de caracteres)
https://password.kaspersky.com/es/
No nombres ni palabras reales
Antivirus
Cortafuegos (firewall)

Seguridad PASIVA
Procedimientos para minimizar consecuencias de un incidente de seguridad. Activar mecanismos de recuperacin del
sistema. Medidas CORRECTORAS.

Restauracin de copias de seguridad

Redundancia en discos (RAID)
Empleo de SAIs

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 14 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 15 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 16 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Principios bsicos de seguridad

1. Confidencialidad
2. Disponibilidad
3. Integridad
4. No repudio

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 17 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

1. Confidencialidad
Informacin accesible solo por personas o mquinas autorizadas.

Mecanismos:

Autenticacin: confirmar que persona/mquina es quien dice

ser
Autorizacin: privilegios sobre la informacin
(lectura/escritura)
Cifrado: informacin intil si no ests autenticado

Ejemplos de la vida real: accesos restringidos a eventos, cajeros,

envos certificados...

Vulneraciones:

Equipos: obtencin de credenciales de acceso, dejar equipo

abierto...
Redes: acceso no autorizado, sniffer...

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 18 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

2. Disponibilidad
Acceso normal en horario establecido.

Mecanismos:

Duplicidad de recursos.

Ejemplos: TPV tiendas, piloto/copiloto, bus y metro...

Vulneraciones:

Equipos: virus paraliza sistema, corte suministro...

Redes: servicios indisponibles debido a ataque (DoS), rotura
de cables...

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 19 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

3. Integridad
Datos no alterados (intencionadamente o no) sin consentimiento de
usuario.

Mecanismos:

Firma electrnica
Dgitos de control cuentas bancarias
http://www.gabilos.com/textocalculadoradccuenta.htm

Vulneraciones:

Equipos: usuario no autorizado modifica informacin...

Redes: ataque de intermediario...

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 20 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

4. No repudio
Probar la participacin de ambas partes de la comunicacin (que ninguna pueda negar su participacin).

Ejemplos: presentacin electrnica de la declaracin de la renta, firma alumno y sello centro en matrcula, contrato
de hipoteca de vivienda

Dos tipos:

De origen: protege al destinatario (emisor no

puede negar haberlo enviado)
De destino: protege al emisor (destinatario no
puede negar haberlo recibido)

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 21 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Actividad: comprobacin de integridad en Linux

Simulador Linux: https://bellard.org/jslinux

Descargas de archivos
Envos/recepciones de archivos

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 22 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Autenticacin: sabes-tienes-eres
Clasificacin de medidas adoptadas para
acreditar la identidad de una persona o mquina
que solicita acceso a un sistema:

Algo que SABES (conocimiento): debes

conocer palabra secreta (contrasea)
Algo que TIENES (dispositivo): el sistema
requiere que aportes algn elemento
material (tarjeta)
Algo que ERES (biometra): El sistema debe
reconocer alguna caracterstica fsica de la
persona (huella, retina, voz...)
https://youtu.be/QddNHDaydWY

Cuantos ms criterios cumpla la autenticacin

ms segura ser:

Llave casa + cdigo

Tarjeta + PIN
DNI + cara

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 23 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Recomendaciones para responsable de seguridad informtica

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 24 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Recomendaciones para responsable de seguridad informtica

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 25 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Recomendaciones para responsable de seguridad informtica

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 26 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Estndares en seguridad informtica

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 27 / 28

SEGURIDAD INFORMTICA 2 GRADO MEDIO DE SISTEMAS MICROINFORMTICOS Y REDES IES VALLE DEL CIDACOS

Seguridad informtica en Internet

https://www.incibe.es

https://www.osi.es

https://www.certsi.es

UNIDAD 0 INTRODUCCIN A LA SEGURIDAD 28 / 28