SISTEMAS Y APLICACIONES WEB - SEGURIDAD INFORMATICA.pdf

Full Transcript

SISTEMAS Y APLICACIONES WEB

PLATAFORMA WEB: El modo de crear los documentos HTML ha variado
a lo largo de la corta vida de las tecnologías Web pasando desde las
primeras páginas escritas en HTML.

CARACTERÍSTICAS DE LAS APLICACIONES WEB:
Compatibilidad multiplataforma
Actualización
Acceso inmediato
Menos requerimiento de hardware
Menos bugs(Errores)
Seguridad de los datos

LA WEB 1.0:Empezó en los años 60, de la forma más básica que existe,
con navegadores de sólo texto, como ELISA, después surgió el HTML
que hizo las páginas más agradables a la vista y a los primeros
navegadores como Netscape e Internet Explorer.

ELEMENTOS TÍPICOS DE UN SITIO WEB 1.0:
Páginas estáticas para el usuario que la visita
El uso de framesets o marcos
Extensiones propias de HTML como el parpadeo y marquesinas
Libros de visitas en líneas o guestbooks
Botones gif
Formularios HTML enviados vía email

WEB 2.0: Acuñado por Tom O' Reilly en el año 2004 hace referencia a
una segunda generación de modelos de páginas Web. Presenta un
modelo de navegación más estático, este nuevo formato fomenta la
participación activa.
El usuario ya no se limita a acceder a la información, sino que la
crea.
Son todos aquellos servicios de Internet cuya base de datos puede
ser modificada en contenido, formato o ambos.
Los usuarios tienen un control total de su información
Este formato facilita la interactividad entre usuarios
PRINCIPIOS MODELO 2.0:
La Web es una plataforma
La información es lo que mueve Internet
Los efectos de Internet son a su vez movidos por la participación
Las distintas características de la red pueden desarrollarse de
manera independiente

WEB 3.0: Surgió para relacionar las Webs semánticas. Se trata de una
extensión de World Wide Web, por la que se pueden encontrar datos en
cualquier lengua y en formatos aptos para todo tipo de software.
Se basa fundamentalmente en la información y su estructuración,
que le permite al usuario encontrarla de manera más rápida y
eficaz.
Se utiliza para describir la evolución del uso y la interacción en la
red a través de diferentes caminos.
La transformación de la red en una base de datos, un movimiento
dirigido a hacer los contenidos accesibles por múltiples
aplicaciones
El empuje de las tecnologías de inteligencias artificial, la web
Geoespacial, la Web 3D
 SEGURIDAD DE LA INFORMACIÓN Y LA ÉTICA EN
INFORMÁTICA

INFORMACIÓN:
Se almacena y se procesa en computadores, que pueden ser
independientes o estar conectados a sistemas de redes.
Puede ser confidencial para algunas personas o para instituciones
completas.
No está centralizada y puede tener alto valor
Puede utilizarse para fines poco éticos.
Puede divulgarse sin autorización de su propietario.
Puede estar sujeta a robos, sabotaje o fraudes.
Puede ser alterada, destruida y mal utilizada.
El resultado de procesar o transformar los datos. La información es
significativa para el usuario.

SISTEMA INFORMÁTICO: Es el conjunto que resulta de la integración de
cuatro elementos: Hardware, software, datos y usuarios. Hace posible el
procesamiento automático de los datos, mediante el uso de computadores.

DATOS: Símbolos que representan hechos, situaciones, condiciones o
valores. Los datos son la materia prima que procesamos para producir
información.

SEGURIDAD INFORMÁTICA: Es la disciplina que se ocupa de diseñar las
normas, procedimientos, métodos y técnicas, orientados a proveer
condiciones seguras y confiables, para el procesamiento de datos en sistemas
informáticos.
Consiste en asegurar los recursos de un sistema de información
(material informático o programas) de una organización
Tiene como propósito, proteger la información registrada, en los discos
duros de las computadoras y en todas las unidades de almacenamiento
de información.

ACTIVO: Elemento que compone el proceso de la comunicación, partiendo
desde la información , su emisor , el medio por el cual se transmite, hasta su
receptor.
ACTIVOS: son elementos que la seguridad de la información busca proteger.
Los activos poseen valor para las empresas

ELEMENTOS DE LA SEGURIDAD INFORMÁTICA:

INFORMACIÓN

EQUIPOS QUE LA SOPORTAN:
Software: Aplicaciones, programas institucionales, sistemas operativos
Hardware: toda la infraestructura tecnológica que brinda soporte a la
información durante su uso, tránsito y almacenamiento
Empresa: incluye los aspectos que componen la estructura física y
organizativa, la distribución de funciones y los flujos de información de
la empresa.

PERSONAS QUE LA UTILIZAN:
Usuarios: se refiere a los individuos que utilizan la estructura
tecnológica y de comunicación de la empresa y que manejan la
información

PROTECCIÓN DE LOS ACTIVOS:
Amenazas que puedan afectar su funcionalidad:
Corrompiendo,
Accediendo indebidamente
Incluso eliminando o hurtándola.

La seguridad informática tiene en vista proteger a estos activos de una
empresa o individuo, con base en la preservación de tres principios básicos:

INTEGRIDAD: Es una información que no ha sido alterada de forma no
autorizada

CONFIDENCIALIDAD: Asegurar que la persona correcta acceda a la
información que queremos distribuir

DISPONIBILIDAD: Que esté al alcance de los usuarios y destinatarios
Se pueda acceder en el momento en que necesita utilizarla

AMENAZAS Y PUNTOS DÉBILES:
Las amenazas son agentes capaces de explotar los fallos de seguridad,
que se denominan puntos débiles y como consecuencia de ello, causar
pérdidas o daños a los activos de una empresa, afectando a sus negocios

VULNERABILIDADES: Los puntos débiles o vulnerabilidades son los
elementos que, al ser explotados por amenazas, afectan la confidencialidad,
disponibilidad e integridad de la información de un individuo o empresa.

TIPOS DE VULNERABILIDADES:
Físicas
Naturales
Del Hardware
Del Software
De Medios de Almacenamiento.
De Comunicación (Redes).
Humanas

MEDIDAS DE SEGURIDAD: Las medidas de seguridad son un conjunto de
prácticas que, al ser integradas, constituyen una solución global y eficaz de la
seguridad de la información. Entre las principales medidas se destacan:

Análisis de riesgos
Política de seguridad
Especificación de seguridad
Administración de seguridad

FACTORES DE RIESGO:
Impredecibles - Inciertos:
Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas,
rayos, suciedad, humedad, calor, entre otros.

Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado,
falla en el servicio eléctrico, ataque por virus informáticos, etc.

Predecibles:
Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida,
sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas,
intrusión, alteración, etc.

Factores tecnológicos de riesgo
Virus informáticos: es un programa (código) que se replica, añadiendo una
copia de sí mismo a otro programa

Los virus informáticos son particularmente dañinos porque pasan
desapercibidos hasta que los usuarios sufren las consecuencias

Sus principales características son:
Auto-reproducción: Es la capacidad que tiene el programa de replicarse
(hacer copias de sí mismo), sin intervención o consentimiento del
usuario.
Infección: Es la capacidad que tiene el código de alojarse en otros
programas, diferentes al portador original.

Propósitos:
Afectar el software: Sus instrucciones agregan nuevos archivos al
sistema o manipulan el contenido de los archivos existentes,
eliminando parcial o totalmente.
Afectar el hardware: Sus instrucciones manipulan los componentes
físicos. Su principal objetivo son los dispositivos de almacenamiento
secundario

Clasificación:
Virus genérico o de archivo: Se aloja como un parásito dentro de un
archivo ejecutable.
Virus mutante: En general se comporta igual que el virus genérico, pero
en lugar de replicarse exactamente, genera copias modificadas de sí
mismo.
Virus recombinables: Se unen, intercambian sus códigos y crean
nuevos virus.
Virus “Bounty Hunter” (caza-recompensas): Están diseñados para
atacar un producto antivirus particular.
Virus específicos para redes: Coleccionan contraseñas de acceso a la
red, para luego reproducirse y dispersar sus rutinas destructivas en
todos los computadores conectados.
Virus de sector de arranque: Se alojan en la sección del disco cuyas
instrucciones se cargan en memoria al inicializar el sistema.
Virus de Internet: Se alojan en el código subyacente de las páginas web.
Cuando el usuario accede a esos sitios en Internet, el virus se descarga
y ejecuta en su sistema.

HACKERS: son personas con avanzados conocimientos técnicos en el área
informática y que enfocan sus habilidades hacia la invasión de sistemas a los
que tienen acceso autorizado.
Objetivos: Probar que tienen las competencias para invadir un sistema
protegido.
Probar que la seguridad de un sistema tiene fallas.

CRACKERS: Son personas con avanzados conocimientos técnicos en el área
informática y que enfocan sus habilidades hacia la invasión de sistemas a los
que no tienen acceso autorizado.

Objetivos: Destruir parcial o totalmente el sistema.
Obtener un beneficio personal (tangible o intangible) como
consecuencia de sus actividades.

Mecanismos de Seguridad Informática

Clasificación según su función:
Preventivos: Actúan antes de que un hecho ocurra y su función es
detener agentes no deseados.
Detectivos: Actúan antes de que un hecho ocurra y su función es
revelar la presencia de agentes no deseados en algún componente del
sistema.
Correctivos: Actúan luego de ocurrido el hecho y su función es corregir
las consecuencias.

Ejemplos orientados a fortalecer la confidencialidad

Cifrado de datos: Es el proceso que se sigue para enmascarar los datos,
con el objetivo de que sean incomprensibles para cualquier agente no
autorizado.
Software anti-virus: Ejercen control preventivo, detectivo y correctivo
sobre ataques de virus al sistema.
Software “firewall”: Ejercen control preventivo y detectivo sobre
intrusiones no deseadas a los sistemas.
Software para sincronizar transacciones: Ejercen control sobre las
transacciones que se aplican a los datos.
Planes de recuperación o planes de contingencia: Es un esquema que
especifica los pasos a seguir en caso de que se interrumpa la actividad
del sistema.
 Respaldo de los datos: Es el proceso de copiar los elementos de
información recibidos, transmitidos, almacenados, procesados y/o
generados por el sistema: Copias de la información en dispositivos de
almacenamiento secundario, computadores paralelos ejecutando las
mismas transacciones.
SEGURIDAD FÍSICA:
Proteger todos los dispositivos que componen el hardware: Procesador,
memoria principal, dispositivos de entrada y de salida, dispositivos de
almacenamiento.

Restringir el acceso a las áreas de computadoras
Restringir el acceso a las impresoras
Instalar detectores de humo y extintores (fuego)
Colocar los dispositivos lejos del piso (agua)
Colocar los dispositivos lejos de las ventanas (lluvia)
Colocar pararrayos (rayos)
Proteger las antenas externas (vientos)

Un mecanismo correctivo para factores de riesgo
humano: Sanciones legales:

El Título VIII del Código Penal,
‘Delitos contra la seguridad jurídica de los medios electrónicos’
Está conformado por un solo capítulo, ‘Delitos contra la seguridad
informática’ y cuatro artículos.

El artículo 289, indica que quien indebidamente ingrese o utilice una base
de datos, red o sistema informático será sancionado con dos a cuatro años
de prisión

El artículo 290, señala que quien indebidamente se apodere, copie, utilice
o modifique los datos en tránsito o contenidos en una base de datos o
sistema informático, o interfiera, intercepte, obstaculice o impida su
transmisión será sancionado con dos a cuatro años de prisión’.

Los artículos 291 y 292 se refieren a qué circunstancias pueden aumentar
aún más el periodo de castigo. El incremento puede abarcar entre una sexta
y una tercera parte de la sanción.

El artículo 291, señala: ‘Las conductas descritas en los artículos 289 y 290 se
agravarán de un tercio a una sexta parte de la pena si se cometen contra datos
contenidos en bases de datos o sistema informático de:
l. Oficinas públicas o bajo su tutela.
2. Instituciones públicas, privadas o mixtas que prestan un servicio público.
3. Bancos

Los artículos 291 y 292 se refieren a qué circunstancias pueden aumentar
aún más el periodo de castigo. El incremento puede abarcar entre una sexta
y una tercera parte de la sanción.

El Artículo 292, señala: dictamina que, si las conductas descritas en el
presente Capítulo las comete la persona encargada o responsable de la base o
del sistema informático, o la persona autorizada para acceder a este, o las
cometió utilizando información privilegiada, la sanción se agravará entre una
sexta y una tercera parte’