FAEDIS

Introducción

El objetivo principal de la seguridad es proteger y salvaguardar la información en las organizaciones. Para alcanzarlo se deben implementar procesos, técnicas y procedimientos tendientes a minimizar el impacto que puede generar un ataque informático, o un daño causado por un desastre natural.

Para lograrlo se deben identificar los riesgos y amenazas que se presentan, así como la capacidad para diseñar e implementar mecanismos y procesos que permitan garantizar la disponibilidad y la integridad de la misma, así como la de la infraestructura tecnológica que la soporta. Teniendo en cuenta que la información es uno de los activos más relevantes para las instituciones, es necesario tomar medidas preventivas que garanticen la continuidad y la funcionalidad del negocio.

Cuando nos referimos a la infraestructura tecnológica, se hace referencia al conjunto de componentes físicos como son: los centros de cómputo, redes de cableado eléctrico, redes cableado estructurado, los servidores, los equipos de comunicaciones que sirven de soporte para la funcionalidad de los sistemas de información en una organización.

Propósitos de aprendizaje

Propósito general

Apropiar los principales conceptos de seguridad para proteger y salvaguardar la información.

Propósitos específicos

Aprender los conceptos generales sobre seguridad informática, así como los fundamentos de criptografía.
Conocer los criterios para diagnosticar la seguridad física y lógica de la información en una organización.
Identificar los riegos y amenazas que pueden afectar la funcionalidad y disponibilidad de la información.

Características de la seguridad de la información

El principal propósito de la seguridad informática es la protección de la información y de los sistemas de información del acceso, así como de las diferentes formas de utilización, divulgación o destrucción de información de manera no autorizada.

La seguridad de la información está orientada a cumplir con los fundamentos dispuestos de acuerdo con el estándar ISO 27001, que establecen la disponibilidad, confidencialidad e integridad de la información, los cuales aseguran el accionar de una organización. Garantizar la seguridad de la información es un tema prioritario en cada institución, por tal razón se constituye como un activo relevante para el funcionamiento de la misma y, se debe preservar en los diferentes medios y formatos que se tengan, a continuación descritos.

Recuerda que los fundamentos básicos de la seguridad de la información son: la integridad, la disponibilidad, y la confidencialidad.

Material
de apoyo

Seguridad física

La seguridad física hace referencia a los controles de ingreso a los sitios donde se encuentran ubicados los equipos, servidores y sistemas de comunicaciones de la organización. Una forma de mantener segura la información es por medio del control de acceso a estos lugares. Por lo tanto, se requiere establecer medidas preventivas contra amenazas naturales tales como inundaciones, incendios, terremotos, así como posibles actos de vandalismo, para lo cual se debe contar con procesos y mecanismos que permitan contrarrestar dichas amenazas, en caso de que lleguen a presentarse.

En referencia a la infraestructura tecnológica, se debe garantizar la seguridad de la información, así como de los servidores, equipos de comunicaciones y demás dispositivos con que cuenta la organización, procurando mantener su funcionalidad y, la disponibilidad de los sistemas de información. Lo anterior requiere establecer mecanismos de control y acceso que garanticen que el ingreso al personal autorizado de la entidad, de acuerdo con las políticas y procedimientos de seguridad establecidos.

Algunos de los activos físicos que deben ser protegidos son los servidores de usuarios, servidores de bases de datos, servidores de correo electrónico, routers, switches, acces point, centros de cableado, ups, centros de control eléctrico, red eléctrica y de datos, los cuales en su conjunto prestan servicios de conectividad entre usuarios y entre usuarios y aplicaciones.

Seguridad lógica

Hace referencia a la seguridad de la información, así como el uso de programas y procesos por parte de los usuarios que permiten tener el acceso de manera autorizada a la misma dentro de la organización. Cuando se trata de la información, esta se considera como un activo fundamental para la funcionalidad de los procesos en las empresas, por lo tanto, se requiere de mecanismos de seguridad que mitiguen posibles vulnerabilidades que puedan presentarse y ser aprovechadas por terceros con diferentes propósitos.

La información, es el principal activo que se debe asegurar en una organización. Se ha de preservar su integridad y disponibilidad. Puede estar almacenada en diferentes medios ya sean electrónicos o físicos.

Por lo anterior, se deben identificar las posibles amenazas que puedan explotar las vulnerabilidades que presenta este activo, las cuales de llegar a presentarse pueden ocasionar pérdidas cuantiosas en tiempo y dinero para la entidad.

Te invitamos a revisar el esquema interactivo donde podrás conocer la definicion de usuarios, red de datos y gestión de contraseñas.

Seguridad lógica

Control de acceso físico

El objetivo de los sistemas de control de acceso físico es tener un registro de todos los usuarios que ingresan al lugar donde se encuentran los servidores o equipos de comunicaciones de la entidad.

Uno de los mecanismos de prevención ante las amenazas constantes de la información, es la implementación de controles físicos de ingreso a los sitios, como centros de cómputo, donde se encuentran ubicados los servidores y/o equipos que almacenan información crítica para la organización. Se deben establecer los componentes de protección física, de tal manera que garanticen la identificación del personal que ingresa a áreas críticas de la entidad.

Algunas de las recomendaciones para la mitigación de los riesgos y amenazas a la seguridad son: limitar el acceso a los servidores de bases de datos, servidores de sistemas de información, servidores de dominio de usuarios, implementando mecanismos de control, como controles biométricos o tarjetas electrónicas.

Seguridad lógica

Control de acceso lógico

El control de acceso es un sistema que permite la validación de los datos de autenticación registrados previamente en un sistema o base de datos y de esta forma, lograr el acceso a la información. Las principales amenazas de vulneración de la información se presentan a nivel de acceso lógico, las cuales se deben evitar con la implementación de políticas de seguridad y el desarrollo de buenas prácticas de manejo de la información.

Conoce algunas recomendaciones en cuanto al control de acceso lógico.

Técnicas de autenticación

El mecanismo básico de defensa para cualquier sistema de información es prevenir el acceso de personal no autorizado. Este es la base de los sistemas de control de acceso, así como para el seguimiento y control de las actividades que desarrollan los usuarios en cualquier sistema.

La identificación se da una vez el usuario se ha registrado en el sistema y, la autenticación en el proceso de verificación que el sistema hace de la identificación que presenta el usuario.

Existen varias técnicas de autenticación que permiten validar dicha identificación, algunas de estas pueden ser utilizadas de manera individual o de forma combinada. La identificación se considera de tipo pública, mientras que la autenticación es secreta y permite asegurar de forma razonable la autenticidad de la identificación presentada (Gemalto NV, 2016).

Mecanismos de autenticación

Existen elementos que permiten la autenticación, de acuerdo a una variable conocida por el usuario como son la clave, contraseña o Número Único de Identificación (PIN - Personal Identification Number). Igualmente puede ser un objeto que posee la persona como una tarjeta o dispositivo electrónico que le permite acceder a un servicio (token). El acceso también se puede autenticar mediante las características físicas de una persona, por ejemplo, por reconocimiento facial o iris y, biométrico o huella digital (identificación biométrica).

Para realizar el proceso de autenticación, el usuario puede utilizar diferentes mecanismos. Consulta los usados con más frecuencia.

Ataques informáticos

Un ataque consiste en una serie de procesos informáticos organizados para acceder a la información y afectar la integridad y disponibilidad de la información de la posible víctima, con el objeto de causar daño a un sistema de información o una red de equipos dentro de una organización.

Los ataques explotan las vulnerabilidades existentes en los programas como sistemas operativos, programas de aplicación específica, o faltas de control en los equipos de la entidad.

Ataques informáticos

Tipos de ataques

Existen diferenctes tipos de ataques a la seguridad de la información, los cuales tienen por objetivo acceder a la información del usuario, causar daño físico o hurto, así como acceder a los equipos o dispositivos donde se encuentran almacenados los datos y, bloquear los servicios afectando la disponibilidad de la información.

Ataques informáticos

Ataques por denegación de servicios

Este tipo de ataques afectan la disponibilidad de un recurso al bloquear el acceso al mismo. Una negación de servicio se puede realizar de diferentes maneras a un equipo o dispositivo en particular o a una red completa, con lo cual se puede bloquear el acceso un recurso, a un sitio web, o una aplicación a la cual acceden usuarios registrados. Algunas de las consecuencias de la negación de servicio es la pérdida de conexión a la red, lentitud en la prestación de un servicio, caida parcial o total del servicio http, de un servidor de bases de datos, entre otros.

Esta es una de las técnicas utilizadas para sacar de servicio a servidores establecidos como objetivo de un ataque, ejecutando procesos que generan un elevado consumo de los recursos por el procesamiento, uso de memoria compartida, accesos a disco duro, haciendo cada vez más lentos sus niveles de respuesta, hasta bajar al mínimo su nivel de servicio para los usuarios. Algunas de las actividades pueden ser establecer múltiples conexiones simultáneas, envío masivo de tramas de paquetes o solitudes que son enviadas hacia los puertos de configuración de los routers (Vieites, 2014). Conoce algunos ejemplos de los ataques más utilizados para afectar la disponibilidad de los servicios informáticos.

Actividad de aprendizaje

Le invitamos a realizar la siguiente actividad de relación de columnas, donde podrá repasar los conceptos estudiados.

Resumen

El objetivo principal de la seguridad es proteger y salvaguardar la información en las organizaciones. Para lograrlo se requiere implementar procesos, técnicas y procedimientos tendientes a minimizar los riesgos e impactos que pueden generar la pérdida de la información por causa de un ataque informático, o un daño causado por un desastre natural. De igual manera, se deben establecer los procesos de acceso en seguridad física y lógica, los cuales garantizan que los recursos tecnológicos de una compañía están siendo utilizados por el personal autorizado, de acuerdo con las normas establecidas.

Las técnicas de autenticación garantizan la integridad de la información, la cual es considerada como el activo más importante y valioso de cualquier empresa. Los mecanismos de autenticación permiten que los usuarios accedan a los dispositivos y sistemas de información, a los cuales previamente se les han asignado permisos. Una forma de proteger y salvaguardar la información es identificar los diferentes tipos de ataques que se presentan a los sistemas de información de manera frecuente y, establecer mecanismos de control como medidas de protección.

Actividad de aprendizaje

Le invitamos a realizar el caso de estudio, donde podrá poner en práctica los conceptos estudiados.

Bibliografía ()

Gómez, A. (2011). Seguridad informática básica (1 ed.). Bogotá, colombia: Ecode ediciones.
Gradin, C. (2004). Internet, hackers y software libre. Argentina: Editora Fantasma.
Icontec. (2006). Norma técnica colombiana NTC-ISO/IEC 27001. Bogotá, Colombia.
López, P. A. (2010). Seguridad informática.
Villalón, A. (2002). Seguridad en Linux y Redes. (Autoedición, Ed.)

Referencias Web

Alegsa, L. (2017). Diccionario de Informática y Tecnología. Recuperado de http://www.alegsa.com.ar/Dic/ups.php
Back Up Systems SA de CV. (2016). Control de acceso. Recuperado de http://www.backupsystems.com.mx/control-de-acceso
Bohorquez, A., Castillo, N., & Vargas, J. (2013). Implementación de una infraestructura de clave pública - PKI. Institución Universitaria Politécnico Grancolombiano, Bogotá. Recuperado de http://www.evidian.com/evidian/contacts.php&c=lbstrauth:https://apps.poligran.edu.co/iformativa/Trabajo.aspx?ID=112
Borghello, C. (2011). Evitar ataque de DDoS de Anomymous, entre otros. Recuperado de http://www.segu-info.com.ar/articulos/115-evitar-ataque-ddos-anonymous.htm
Cabacas, T. (2017). ¿Qué es un servidor proxy y por qué debería implementarlo en mi empresa? Recuperado de http://www.muycomputerpro.com/2014/01/07/que-es-un-servidor-proxy
Calles, J., & González, P. (2011). DNS Spoofing. Recuperado de http://www.flu-project.com/2011/03/dns-spoofing_970.html
Calles, J., & González, P. (2011). DNS Spoofing. Recuperado de http://www.flu-project.com/2011/03/dns-spoofing_970.html
Catrain. (2014). www.catrian.com. Recuperado de http://www.catrian.com/certificacion-tier/
Catrian. (s.f.). Qué es un certificación TIER para un Centro de Datos. Recuperado de http://www.catrian.com/certificacion-tier/
cctvcamaras. (s.f.). ¿Qué es CCTV? Recuperado de https://cctvcamaras.es.tl/
Cisco (2015). Recuperado de https://www.cisco.com/c/es_mx.
Cisco. (s.f.). ¿Qué es un firewall? Recuperado de https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-firewall.html
Cliatec. (2011). Clasificación del TIER para diseño de su data center. Recuperado de http://www.cliatec.com/blog/diseno-data-center
De Luz, S. (2015). Seguridad. Recuperado de https://www.redeszone.net/2015/06/04/pentest-box-sera-tu-herramienta-favorita-de-pentesting-para-sistemas-windows/
Detoisien, E. (2005). Ataques externos. Recuperado de http://ftp.fi.muni.cz/pub/linux/ftp.ibiblio.org/docs/LDP/linuxfocus/Castellano/Archives/lf-2003_03-0282.pdf
Edumed. (s.f.). Direcciones IP y nombres de dominio. Recuperado de http://www.eumed.net/cursecon/ecoinet/conceptos/direcciones.htm
García, D. (2010). Web Spoofing : Suplantación de una web con la finalidad de recoger los datos introducidos por el usuario. Recuperado de https://www.redeszone.net/2010/10/30/web-spoofing-suplantacion-de-una-web-con-la-finalidad-de-recoger-los-datos-introducidos-por-el-usuario/
García, S. (2017). Centro Nacional de Investigación y Desarrollo Tecnológico - Cenidet. Recuperado de https://www.cenidet.edu.mx/centro-de-computo-y-telecomunicaciones-1-areas-cenidet.php
Gemalto NV. (2016). El diferencial de Gemalto – Contraseña Segura de Uso Único (OTP). Recuperado de http://www.gemalto.com/latam/identidad/inspiracion/autenticacion-robusta/otp
Gesconsultor. (2017). ISO 27001 – Sistema de Gestión de la Seguridad de la Información. Recuperado de http://www.gesconsultor.com/iso-27001.html
GNOME Project. (2014). help.gnome.org. Recuperado de https://help.gnome.org/users/gnome-help/stable/net-macaddress.html.es
González, F. C. (s.f.). Seguridad informática para la seguridad física. Recuperado de http://searchdatacenter.techtarget.com/es/opinion/Seguridad-informatica-para-la-seguridad-fisica
Grupo COFITEL. (2014). Data Center: El Estándar TIA 942. Recuperado de http://www.c3comunicaciones.es/data-center-el-estandar-tia-942/
IBM. (2013). https://www.ibm.com/. Recuperado de https://www.ibm.com/developerworks/community/blogs/58e72888-6340-46ac-b488-d31aa4058e9c/entry/august_8_2012_12_01_pm6?lang=en
Informaticahoy. (2016). Qué es la Criptografía. Recuperado de https://www.informatica-hoy.com.ar/seguridad-informatica/Criptografia.php
Informaticahoy. (2016). Qué es un Firewall y cómo funciona. Recuperado https://www.informatica-hoy.com.ar/aprender-informatica/Que-es-un-Firewall-y-como-funciona.php
ISOTools Excellence. (2015). ISO 27001: ¿Qué significa la Seguridad de la Información? Recuperado de http://www.pmg-ssi.com:http://www.pmg-ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-la-informacion/
Jaramillo, S. (2007). El estándar TIA-942. Recuperado http://www.ventasdeseguridad.com/2007080347/articulos/analisis-tecnologico/el-estandar-tia-942.html
Klever Software y Sistemas. (2017). ¿Qué es una solución backup? Recuperado de: https://www.solucionbackup.com/
LIA Solutions. (2012). Qué es Backup y qué se debe tener en cuenta. Recuperado de http://liacolombia.com/2012/04/que-es-backup-y-que-se-debe-tener-en-cuenta/
Mayoraz, G. (2017). Un paseo por los Data center de Google, Microsoft y Facebook Recuperado de: https://tecnovortex.com/datacenters-paseo/
Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia. [MINTIC]. (s.f.). Seguridad y privacidad de la información. Guia No. 7. https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf
Pedro, G. (2017). https://www.genbetadev.com/. Recuperado de https://www.genbetadev.com/seguridad-informatica/
Pérez, A. (s.f.). Implantación Firewall DFL-200 en LAN con conexión a Internet mediante router. Recuperado de http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=253
Publishing Network S.A. (2014). ¿Qué es un servidor proxy y por qué debería implementarlo en mi empresa? Recuperado dehttp://www.muycomputerpro.com/2014/01/07/que-es-un-servidor-proxy
Ramírez, J. (2015). Análisis, evaluación de riesgos y aseguramiento de seguridad informática en el área de redes y sistemas de la Alcadía de Pamplona - Norte de Santander. Trabajo de grado para optar el título de Especialista en Seguridad informática, Universidad Abierta y a Distancia UNAD. Recuperado de http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/3415/1/88030934.pdf
Red Hat. (2005). Red Hat Enterprise Linux 4: Manual de referencia. Recuperado de web.mit.edu.
RedIRIS. (2008). Sistemas de detección de intrusos. Recuperado de https://www.rediris.es/cert/doc/unixsec/node26.html
Safelayer. (2017). Soluciones Infraestructura de clave pública. Recuperado de https://www.safelayer.com/es/soluciones/infraestructura-de-clave-publica
SlideShare. (s.f.). Seguridad informática: Estamos seguros? Recuperado de https://es.slideshare.net/ernestohrr/seguridad-informatica-6754030
Soluciones Informáticas Código23 S.L.U. (s.f.). Infraestructuras de red. Recuperado de http://codigo23.net/servicios/infraestructuras.html
Soto, M. (2016). ¿Qué es el envenenamiento ARP o ataque ARP Spoofing y ¿Cómo funciona? Recuperado de https://medium.com/@marvin.soto/qu%C3%A9-es-el-envenenamiento-arp-o-ataque-arp-spoofing-y-c%C3%B3mo-funciona-7f1e174850f2
Velasco, R. (2017). Awesome Hacking, un repositorio de recursos y herramientas hacking. Recuperado, de https://www.redeszone.net/2017/06/17/awesome-hacking-recursos-herramientas-hacking/
Venemedia. (2015). Definición de Data Center. Recuperado http://conceptodefinicion.de/data-center/
Vieites, Á. G. (2014). Tipos de ataques e intrusos en las redes informaticas. Recuperado de http://www.edisa.com/wp-content/uploads/2014/08/Ponencia_-_Tipos_de_ataques_y_de_intrusos_en_las_redes_informaticas.pdf
Xataka. (2017). Qué es una dirección IP y cómo puedes saber la tuya. Recuperado de https://www.xataka.com/basics/que-es-una-direccion-ip-y-como-puedes-saber-la-tuya