SISTEMAS Y APLICACIONES WEB - SEGURIDAD INFORMATICA.pdf
Document Details
Uploaded by VisionaryRealism
Tags
Full Transcript
SISTEMAS Y APLICACIONES WEB PLATAFORMA WEB: El modo de crear los documentos HTML ha variado a lo largo de la corta vida de las tecnologías Web pasando desde las primeras páginas escritas en HTML. CARACTERÍSTICAS DE LAS APLICACIONES WEB: Compatibilidad multiplataforma Actualiz...
SISTEMAS Y APLICACIONES WEB PLATAFORMA WEB: El modo de crear los documentos HTML ha variado a lo largo de la corta vida de las tecnologías Web pasando desde las primeras páginas escritas en HTML. CARACTERÍSTICAS DE LAS APLICACIONES WEB: Compatibilidad multiplataforma Actualización Acceso inmediato Menos requerimiento de hardware Menos bugs(Errores) Seguridad de los datos LA WEB 1.0:Empezó en los años 60, de la forma más básica que existe, con navegadores de sólo texto, como ELISA, después surgió el HTML que hizo las páginas más agradables a la vista y a los primeros navegadores como Netscape e Internet Explorer. ELEMENTOS TÍPICOS DE UN SITIO WEB 1.0: Páginas estáticas para el usuario que la visita El uso de framesets o marcos Extensiones propias de HTML como el parpadeo y marquesinas Libros de visitas en líneas o guestbooks Botones gif Formularios HTML enviados vía email WEB 2.0: Acuñado por Tom O' Reilly en el año 2004 hace referencia a una segunda generación de modelos de páginas Web. Presenta un modelo de navegación más estático, este nuevo formato fomenta la participación activa. El usuario ya no se limita a acceder a la información, sino que la crea. Son todos aquellos servicios de Internet cuya base de datos puede ser modificada en contenido, formato o ambos. Los usuarios tienen un control total de su información Este formato facilita la interactividad entre usuarios PRINCIPIOS MODELO 2.0: La Web es una plataforma La información es lo que mueve Internet Los efectos de Internet son a su vez movidos por la participación Las distintas características de la red pueden desarrollarse de manera independiente WEB 3.0: Surgió para relacionar las Webs semánticas. Se trata de una extensión de World Wide Web, por la que se pueden encontrar datos en cualquier lengua y en formatos aptos para todo tipo de software. Se basa fundamentalmente en la información y su estructuración, que le permite al usuario encontrarla de manera más rápida y eficaz. Se utiliza para describir la evolución del uso y la interacción en la red a través de diferentes caminos. La transformación de la red en una base de datos, un movimiento dirigido a hacer los contenidos accesibles por múltiples aplicaciones El empuje de las tecnologías de inteligencias artificial, la web Geoespacial, la Web 3D SEGURIDAD DE LA INFORMACIÓN Y LA ÉTICA EN INFORMÁTICA INFORMACIÓN: Se almacena y se procesa en computadores, que pueden ser independientes o estar conectados a sistemas de redes. Puede ser confidencial para algunas personas o para instituciones completas. No está centralizada y puede tener alto valor Puede utilizarse para fines poco éticos. Puede divulgarse sin autorización de su propietario. Puede estar sujeta a robos, sabotaje o fraudes. Puede ser alterada, destruida y mal utilizada. El resultado de procesar o transformar los datos. La información es significativa para el usuario. SISTEMA INFORMÁTICO: Es el conjunto que resulta de la integración de cuatro elementos: Hardware, software, datos y usuarios. Hace posible el procesamiento automático de los datos, mediante el uso de computadores. DATOS: Símbolos que representan hechos, situaciones, condiciones o valores. Los datos son la materia prima que procesamos para producir información. SEGURIDAD INFORMÁTICA: Es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos. Consiste en asegurar los recursos de un sistema de información (material informático o programas) de una organización Tiene como propósito, proteger la información registrada, en los discos duros de las computadoras y en todas las unidades de almacenamiento de información. ACTIVO: Elemento que compone el proceso de la comunicación, partiendo desde la información , su emisor , el medio por el cual se transmite, hasta su receptor. ACTIVOS: son elementos que la seguridad de la información busca proteger. Los activos poseen valor para las empresas ELEMENTOS DE LA SEGURIDAD INFORMÁTICA: INFORMACIÓN EQUIPOS QUE LA SOPORTAN: Software: Aplicaciones, programas institucionales, sistemas operativos Hardware: toda la infraestructura tecnológica que brinda soporte a la información durante su uso, tránsito y almacenamiento Empresa: incluye los aspectos que componen la estructura física y organizativa, la distribución de funciones y los flujos de información de la empresa. PERSONAS QUE LA UTILIZAN: Usuarios: se refiere a los individuos que utilizan la estructura tecnológica y de comunicación de la empresa y que manejan la información PROTECCIÓN DE LOS ACTIVOS: Amenazas que puedan afectar su funcionalidad: Corrompiendo, Accediendo indebidamente Incluso eliminando o hurtándola. La seguridad informática tiene en vista proteger a estos activos de una empresa o individuo, con base en la preservación de tres principios básicos: INTEGRIDAD: Es una información que no ha sido alterada de forma no autorizada CONFIDENCIALIDAD: Asegurar que la persona correcta acceda a la información que queremos distribuir DISPONIBILIDAD: Que esté al alcance de los usuarios y destinatarios Se pueda acceder en el momento en que necesita utilizarla AMENAZAS Y PUNTOS DÉBILES: Las amenazas son agentes capaces de explotar los fallos de seguridad, que se denominan puntos débiles y como consecuencia de ello, causar pérdidas o daños a los activos de una empresa, afectando a sus negocios VULNERABILIDADES: Los puntos débiles o vulnerabilidades son los elementos que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa. TIPOS DE VULNERABILIDADES: Físicas Naturales Del Hardware Del Software De Medios de Almacenamiento. De Comunicación (Redes). Humanas MEDIDAS DE SEGURIDAD: Las medidas de seguridad son un conjunto de prácticas que, al ser integradas, constituyen una solución global y eficaz de la seguridad de la información. Entre las principales medidas se destacan: Análisis de riesgos Política de seguridad Especificación de seguridad Administración de seguridad FACTORES DE RIESGO: Impredecibles - Inciertos: Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros. Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc. Predecibles: Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc. Factores tecnológicos de riesgo Virus informáticos: es un programa (código) que se replica, añadiendo una copia de sí mismo a otro programa Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias Sus principales características son: Auto-reproducción: Es la capacidad que tiene el programa de replicarse (hacer copias de sí mismo), sin intervención o consentimiento del usuario. Infección: Es la capacidad que tiene el código de alojarse en otros programas, diferentes al portador original. Propósitos: Afectar el software: Sus instrucciones agregan nuevos archivos al sistema o manipulan el contenido de los archivos existentes, eliminando parcial o totalmente. Afectar el hardware: Sus instrucciones manipulan los componentes físicos. Su principal objetivo son los dispositivos de almacenamiento secundario Clasificación: Virus genérico o de archivo: Se aloja como un parásito dentro de un archivo ejecutable. Virus mutante: En general se comporta igual que el virus genérico, pero en lugar de replicarse exactamente, genera copias modificadas de sí mismo. Virus recombinables: Se unen, intercambian sus códigos y crean nuevos virus. Virus “Bounty Hunter” (caza-recompensas): Están diseñados para atacar un producto antivirus particular. Virus específicos para redes: Coleccionan contraseñas de acceso a la red, para luego reproducirse y dispersar sus rutinas destructivas en todos los computadores conectados. Virus de sector de arranque: Se alojan en la sección del disco cuyas instrucciones se cargan en memoria al inicializar el sistema. Virus de Internet: Se alojan en el código subyacente de las páginas web. Cuando el usuario accede a esos sitios en Internet, el virus se descarga y ejecuta en su sistema. HACKERS: son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que tienen acceso autorizado. Objetivos: Probar que tienen las competencias para invadir un sistema protegido. Probar que la seguridad de un sistema tiene fallas. CRACKERS: Son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso autorizado. Objetivos: Destruir parcial o totalmente el sistema. Obtener un beneficio personal (tangible o intangible) como consecuencia de sus actividades. Mecanismos de Seguridad Informática Clasificación según su función: Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados. Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia de agentes no deseados en algún componente del sistema. Correctivos: Actúan luego de ocurrido el hecho y su función es corregir las consecuencias. Ejemplos orientados a fortalecer la confidencialidad Cifrado de datos: Es el proceso que se sigue para enmascarar los datos, con el objetivo de que sean incomprensibles para cualquier agente no autorizado. Software anti-virus: Ejercen control preventivo, detectivo y correctivo sobre ataques de virus al sistema. Software “firewall”: Ejercen control preventivo y detectivo sobre intrusiones no deseadas a los sistemas. Software para sincronizar transacciones: Ejercen control sobre las transacciones que se aplican a los datos. Planes de recuperación o planes de contingencia: Es un esquema que especifica los pasos a seguir en caso de que se interrumpa la actividad del sistema. Respaldo de los datos: Es el proceso de copiar los elementos de información recibidos, transmitidos, almacenados, procesados y/o generados por el sistema: Copias de la información en dispositivos de almacenamiento secundario, computadores paralelos ejecutando las mismas transacciones. SEGURIDAD FÍSICA: Proteger todos los dispositivos que componen el hardware: Procesador, memoria principal, dispositivos de entrada y de salida, dispositivos de almacenamiento. Restringir el acceso a las áreas de computadoras Restringir el acceso a las impresoras Instalar detectores de humo y extintores (fuego) Colocar los dispositivos lejos del piso (agua) Colocar los dispositivos lejos de las ventanas (lluvia) Colocar pararrayos (rayos) Proteger las antenas externas (vientos) Un mecanismo correctivo para factores de riesgo humano: Sanciones legales: El Título VIII del Código Penal, ‘Delitos contra la seguridad jurídica de los medios electrónicos’ Está conformado por un solo capítulo, ‘Delitos contra la seguridad informática’ y cuatro artículos. El artículo 289, indica que quien indebidamente ingrese o utilice una base de datos, red o sistema informático será sancionado con dos a cuatro años de prisión El artículo 290, señala que quien indebidamente se apodere, copie, utilice o modifique los datos en tránsito o contenidos en una base de datos o sistema informático, o interfiera, intercepte, obstaculice o impida su transmisión será sancionado con dos a cuatro años de prisión’. Los artículos 291 y 292 se refieren a qué circunstancias pueden aumentar aún más el periodo de castigo. El incremento puede abarcar entre una sexta y una tercera parte de la sanción. El artículo 291, señala: ‘Las conductas descritas en los artículos 289 y 290 se agravarán de un tercio a una sexta parte de la pena si se cometen contra datos contenidos en bases de datos o sistema informático de: l. Oficinas públicas o bajo su tutela. 2. Instituciones públicas, privadas o mixtas que prestan un servicio público. 3. Bancos Los artículos 291 y 292 se refieren a qué circunstancias pueden aumentar aún más el periodo de castigo. El incremento puede abarcar entre una sexta y una tercera parte de la sanción. El Artículo 292, señala: dictamina que, si las conductas descritas en el presente Capítulo las comete la persona encargada o responsable de la base o del sistema informático, o la persona autorizada para acceder a este, o las cometió utilizando información privilegiada, la sanción se agravará entre una sexta y una tercera parte’