Manual de seguridad informatica
description
Transcript of Manual de seguridad informatica
SEGURIDAD
INFORMÁTICA
CREADO POR: NANCY QUIÑONEZ
SEGURIDAD INAFORMÁTICA
2
INDICE
Presentación……………………………………………………………………………………....... 3
¿Qué es la seguridad Informática?................................................................................................ 4
La amenazas en el mundo
digital……………………………………………………………………………………………...... 5
Seguridad
Global……………………………………………………………………………………………… 6
Eslabón más
débil…………………………………………………………………………………………… 8- 11
Bibliografía……………………………………………………………………………………… 12
SEGURIDAD INAFORMÁTICA
3
PRESENTACIÓN
La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada
vez es mayor el número de atacantes y cada vez están más organizados, por lo que van
adquiriendo día a día habilidades más especializadas que les permiten obtener mayores
beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior
mismo de la organización.
La propia complejidad de la red es una dificultad para la detección y corrección de los
múltiples y variados problemas de seguridad que van apareciendo. En medio de esta
variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la
propiedad de recursos y sistemas. “Hackers”, “crakers”, entre otros, han hecho aparición en
el vocabulario ordinario de los usuarios y de los administradores de las redes
Además de las técnicas y herramientas criptográficas, es importante recalcar que un
componente muy importante para la protección de los sistemas consiste en la atención y
vigilancia continua y sistemática por parte de los responsables de la red.
Espero que este manual constituya un buen punto de partida para la reflexión y el debate
sobre la problemática que amenaza a la informática y que sea de utilidad.
SEGURIDAD INAFORMÁTICA
4
¿Qué es la seguridad informática?
La seguridad informática es la encargada de preservar y defender la integridad de toda la
estructura computacional, desde los propios equipos hasta la información contenida en los
mismos. De hecho, existen tres grandes áreas que deben ser protegidas por cualquier plan
estratégico de seguridad:
Información propiamente dicha: la necesidad de resguardar los datos digitales
resulta obvia, dado que ellos almacenan un sinfín de información delicada que
puede ser utilizada de forma maliciosa. Números de cuentas bancarias y tarjetas de
crédito, contraseñas de servicios y perfiles en línea e informes de proyectos de
negocio son solo algunos ejemplos de lo que está en juego.
Infraestructura: en este apartado hacemos referencia a los equipos y dispositivos
que almacenan los datos. Dado que en este artículo solo hablaremos de la
computadora personal, solo mencionaremos este aspecto.
Usuarios: algunas estimaciones actuales concluyen que el usuario es el mayor
responsable en la mayoría de los casos en los que se presenta alguna falla de
seguridad. Es por ello que la seguridad informática debe establecer normas y
recomendaciones a la hora de utilizar los sistemas para reducir las posibilidades de
infección.
SEGURIDAD INAFORMÁTICA
5
Las amenazas en el mundo digital
Aunque haya criterios más amplios que sumen algunos elementos a esta lista, las amenazas
a la seguridad informática pueden provenir de dos grandes fuentes: los programas
maliciosos y los propio usuarios. Dado que ya hemos dicho que estos últimos pueden
originar problemas debido a falta de conocimiento que deriva en un comportamiento
descuidado, nos centraremos en la amenaza conocida como malware.
El término “malware” viene de la contracción de dos vocablos ingleses (malicious
software o software malicioso) y tiene por objetivo denominar a toda aplicación cuyo
propósito es infiltrarse en una computador sin el consentimiento y el conocimiento de su
dueño para posteriormente replicarse o dañar el equipo de alguna manera.
Cabe destacar que no debe confundirse el
término “virus” con el de “malware” dado
que no son sinónimos ni son intercambiables.
Aunque en la práctica mucha gente hable de
virus para referirse a todo tipo de software
malicioso, los mismos no son más que un tipo
de aplicación malintencionada.
De lo anterior se puede inferir que existen
numerosos programas maliciosos que pueden
dividirse según su propósito, su método de
infección, su área de acción y sus capacidades.
En el próximo artículo veremos cada uno de
ellos de forma sucinta.
En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes
condiciones y las nuevas plataformas de computación disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más
allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas
amenazas en los sistemas computarizados.
SEGURIDAD INAFORMÁTICA
6
Consecuentemente, muchas organizaciones
gubernamentales y no gubernamentales
internacionales [1,2] han desarrollado
documentos y directrices que orientan en el
uso adecuado de estas destrezas
tecnológicas y recomendaciones con el
objeto de obtener el mayor provecho de
estas ventajas, y evitar el uso indebido de la
mismas. Esto puede ocasionar serios
problemas en los bienes y servicios de las
empresas en el mundo.
Dado que se está tratando con conceptos
que pueden tener múltiples interpretaciones, parece prudente acordar ciertos significados
específicos. Por tanto, hemos recurrido a algunas definiciones, todas ellas extraídas del
diccionario Espasa Calpe.
· Seguridad: es “calidad de seguro”, y, seguro está definido como “libre de riesgo”.
· Información: es “acción y efecto de informar”.
· Informar: es “dar noticia de una cosa”.
· Redes: es “el conjunto sistemático de caños o de hilos conductores o de vías de
comunicación o de agencias y servicios o recursos para determinado fin”.
Uniendo todas estas definiciones, podemos establecer qué se entiende por Seguridad en
redes.
Seguridad en Redes: es mantener la provisión de información libre de riesgo y brindar
servicios para un determinado fin.
SEGURIDAD INAFORMÁTICA
7
Seguridad Global
¿Qué es una red global?. El concepto de red global incluye todos los recursos informáticos
de una organización, aún cuando estos no estén interconectados:
· Redes de área local (LAN),
· Redes de área metropolitana (MAN),
· Redes nacionales y supranacionales (WAN),
· Computadoras personales, minis y grandes sistemas.
De manera que, seguridad global es mantener bajo protección todos los componentes de
una red global.
Al fin de cuentas, los usuarios de un sistema son una parte a la que no hay que olvidar ni
menospreciar. Siempre hay que tener en cuenta que la seguridad comienza y termina con
personas.
Obtener de los usuarios la concientización de los conceptos, usos y costumbres referentes a
la seguridad, requiere tiempo y esfuerzo. Que los usuarios se concienticen de la necesidad
y, más que nada, de las ganancias que se obtienen implementando planes de seguridad,
exige trabajar directamente con ellos, de tal manera que se apoderen de los beneficios de
tener un buen plan de seguridad. (Por ejemplo: permite que se determine exactamente lo
que debe hacer cada uno y cómo debe hacerlo, y, también las desviaciones que se pueden
producir). De esta forma, ante cualquier problema, es muy fácil determinar dónde se
produjo o de dónde proviene.
Para realizar esto, lo más usado, y que da muy buenos resultados es hacer “grupos de
trabajo” en los cuales se informen los fines, objetivos y ganancias de establecer medidas de
seguridad, de tal manera que los destinatarios finales se sientan informados y tomen para sí
los conceptos. Este tipo de acciones favorece, la adhesión a estas medidas.
SEGURIDAD INAFORMÁTICA
8
El eslabón más débil a nivel de
usuario de Internet: Los niños
Hace tiempo que vengo observando que se amplía el diccionario de nuevas palabras de
amenazas, en las cuales las víctimas son los niños o personas con poco conocimiento de
tecnología, pero son usuarios de las mismas. Vamos a tratar en este artículo algunos
aspectos de seguridad y plantearemos recomendaciones
para no ser víctimas de ellos.
1) No hace falta ser un experto
Hoy la tecnología ha permitido que en el mercado existan
diferentes tipos de dispositivos, que nos permita desde
comunicarnos entre sí ha acceder a Internet sin ningún
tipo de restricción. Si vamos a un ejemplo del día a día,
observamos que se ha masificado el uso del automóvil,
pero cuántos saben lo que pasa por dentro?, cuántos
realizan los controles? cuántos desconocen ciertos
riesgos ante ciertas situaciones? Bien, pero en la calle vemos cada vez más usuarios con
más vehículos.
La tecnología ha permitido que en el hogar, un adolescente, se conecte a Internet desde el
SMART TV (o televisor con conexión a Internet) y pueda ver videos de YOUTUBE.
Realmente para ser usuario y hacer uso de los dispositivos actuales, no hace falta ser un
experto, a pesar que pueda suceder como que no usemos todas las ventajas que nos provee
el mismo.
Pero así como usuarios, desconocemos de ciertos riesgos y que hay en ciertas actitudes
humanas, acciones que ponen en riesgo nuestra intimidad o persona. Si volvemos al
ejemplo del vehículo, hay comportamientos humanos que ponen en riesgo la vida del
conductor o de un tercero, como ir a más velocidad de lo permitido, no respetar las
señales, no mantener la unidad como recomienda el fabricante, etc.
2) Medidas de Seguridad
Hay una tendencia en los usuarios de tecnología de pensar que el dispositivo nos protegerán
de todo, pero esto no es así. Si nosotros compartimos una fotografía a un amigo, sabemos
realmente que es nuestro amigo? lo conocemos a tal punto que sabemos que va hacer con
esa fotografía? esa fotografía nos compromete si es publicada? esa fotografía involucra a
SEGURIDAD INAFORMÁTICA
9
terceros?.
Las medidas de seguridad de los dispositivos están pensados para cubrir ciertos aspectos
del uso de la tecnología, pero no cubre todos los aspectos de los comportamientos
humanos. Volviendo al ejemplo del vehículo, el fabricante y las nomas de seguridad fueron
previstas para el uso del automóvil, pero si observa las estadísticas, cuantos accidentes
ocurren por que el conductor estaba ebrio. Con el tiempo le vamos a tener que obligar a los
fabricantes a poner una pipeta, que si los indicadores no están correctos, el vehículo no
pueda encender, y así todo, siempre se buscará una manera de evadir ese control.
3) Desconfiar hasta lo que ves en el espejo
Hoy en los sitios de chat, conferencia, mensajerías y otros, nos permite entrar en contacto
con personas de todo tipo de nacionalidades y que está en cualquier parte del mundo.
Ahora, realmente, la persona del otro lado es la que dice ser? sabemos que intenciones
tiene? quiere nuestra amistad o algo más?
Los usuarios deben desconfiar hasta lo que ve en el espejo, por que muchas veces, el
usuario mismo con tal de sentirse querido, seguir conversando con otra persona o conseguir
algo, viola sus propias ideas y tiene ciertos
comportamientos que en otra situación no las
tendría. Traiciona sus convicciones.
4) Palabras raras de cosas nuevas
Así es, conversando con un grupo de padres, me
comentan que no entienden las nuevas palabras,
que son raras y que siempre están en ingles. Para
entender que es cada una, vamos hacer una
revisión de los términos y tratar de ejemplificar
cada una de las amenazas.
- ROBO DE IDENTIDAD: Se da cuando un atacante, por medios informáticos o personales,
obtiene la información personal y la utiliza ilegalmente. Dentro de estos usos, el atacante la
utiliza para hacerse pasar por la otra persona. Se recomienda a las personas ser muy
cuidadosa con los datos personales y no permitir que nadie sin autorización acceda a los
mismos. Para los niños que usan la tecnología, deben entender que no deben confiar en
personas que no conocen y no deben pasar información personal. (fotos, datos personales,
información de sus actividades, etc).
SEGURIDAD INAFORMÁTICA
10
- PHISING: Es un tipo de engaño creado por un atacante malintencionado, con el objetivo
de obtener información como números de tarjetas de crédito, claves, datos de cuentas
bancarias, otros. El objetivo más común, es robo de datos bancarios para luego acceder a
sus cuentas y robar el dinero del banco. Este tipo de ataque se aprovecha de la inocencia de
los usuarios. Las entidades bancarias nunca
envían correos solicitando números de
cuentas y contraseñas, por lo tanto, cuando
reciba un CORREO con este tipo de
solicitud, elimínelo sin dudarlo y ante
cualquier duda, consulte a su entidad
bancaria.
- MALWARE: Es la denominación a todo
tipo de software malicioso que quiere
aprovecharse de su equipo y provocar algún
tipo de daño. Se recomienda no bajar
software si el origen es dudoso y si reciben correos con archivos adjuntos de contactos
desconocidos, no abrirlo. Para los niños, tengan en cuenta, que algunos sitios que poseen
juegos están infectados y pueden infectar su PC. Verifique con alguna persona con
conocimiento técnico, que la computadora tenga un buen antivirus y el mismo esté bien
configurado.
- CYBERBULLING: Con el uso de la información electrónica como correo electrónico,
redes sociales, blogs, mensajería instantánea, mensajes de texto, teléfonos móviles, y sitios
web difamatorios para acosar a un individuo, mediante ataques personales. Esto hoy se nota
mucho entre los adolescentes y entre los políticos. En los adolescentes, los casos más
comunes se producen cuando comparten con un amigo alguna foto y el mismo usa la
misma para difamarlo y acosarlo. Se recomienda ser muy cuidadoso con el uso de la
tecnología y a quienes se le permitir acceder a su contenido. Cuida tu intimidad y no
compartas con nadie la misma.
- GROOMING: Es un problema de seguridad acotado en los menores que usan Internet.
Consistente en acciones realizadas por parte de un adulto que trata de establecer lazos de
amistad con un niño o niña en Internet, con el objetivo de obtener una satisfacción sexual
mediante imágenes eróticas del menor hasta incluso provocar encuentros sexuales reales.
Para los niños, la recomendación no confíes en nadie en Internet y no permitas que un
intruso "entre a tu casa por Internet". Hablen con los padres ante cualquier situación que
SEGURIDAD INAFORMÁTICA
11
puedan detectar como un riesgo, hay mayores que se hacen pasar por menores para entrar a
tu mundo.
- FAKE CAM: Es otro tipo de engaño, para que la persona que está del otro lado del
ordenador, cuando le pidas que habilite la cámara web para verificar su identidad, proyecte
un video que tiene en la computadora y no se muestra tal cual es. Ya los atacantes ni
siquiera tienen que grabar el video previamente, hay sitios web donde hay videos
pregrabados. Para los niños, solo compartir las cámaras con personas del entorno y
conocidos. Un extraño puede grabarte para utilizarte posteriormente con una amiga y/o
amigo y hacerte pasar por vos.
- SEXTING: La práctica de muchos jóvenes de tomarse fotografías en situaciones muy
íntimas. Luego las fotos son enviadas a sus parejas, conocidos o las publican en internet
(Facebook). Esta práctica aparentemente simple y sin riesgos, es muy peligrosa porque
conlleva a la extorsión y en algunos casos lleva al suicidio, como el caso de Inglaterra
donde una adolescente no soportó más la situación. Para los niños, compartir fotos o videos
en situaciones sexuales puede ser peligroso para
su identidad tarde o temprano, ya no se sabe en manos de quien puedan terminar esas
imágenes. Muchos pedófilos se hacen pasar por adolescentes con tal de obtener fotos de
menores en situaciones que lo comprometen.
- ENGAÑO: en la Web hay muchas personas que tratar de engañar para tener algún
beneficio. Una foto de un menor, para ellos es un logro. Pero también hay gente que engaña
con tal de producir el daño en sí mismo. En un sitio de chat una mujer que publicaba en su
chat que estaba sola y necesitaba compañía, en
realidad era una mujer que junto a su marido
te enseñaba a drogarte muy rápidamente. Para
los niños y adolescentes,hay que tratar de que
no entren a estos sitios mediante filtros o
configuraciones, el engaño esta a la vuelta de
la esquina y como verán es uno de los motores
clásico de los ataques mencionado arriba.
SEGURIDAD INAFORMÁTICA
12
BIBLIOGRAFÍA
Internet
Wikipedia