SlideShare una empresa de Scribd logo

programacion_y_seguridad_clase_1_13082024.ppt

Descargar como PPT, PDF
M
MaximilianoViapiano3

El documento es un curso sobre programación y seguridad que abarca conceptos fundamentales de seguridad informática, vulnerabilidades, amenazas, y la gestión de la seguridad. Se presentan temas como la triada de la seguridad de la información (confidencialidad, integridad y disponibilidad) y el impacto de nuevas tecnologías en la seguridad. Además, se mencionan pautas para establecer niveles adecuados de seguridad en función del valor de los activos y la necesidad de equilibrar seguridad y productividad.

Software
1 de 25
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Clase 1 Clase 1 Programación y Programación y Seguridad Seguridad Año 2024
UNIDAD CONTENIDOS I Introducción: Conceptos generales sobre Seguridad. Fundamentos y objetivos. Introducción a la seguridad. Seguridad Física. Seguridad en Sistemas Operativos. Seguridad en Redes. Seguridad en Base de Datos PROGRAMA DE LA MATERIA UNIDAD CONTENIDOS II Vulnerabilidades y Amenazas: Definición, tipos de amenazas, tipos de vulnerabilidades, mitigación de riesgos. Principales fallos de seguridad existentes en software. UNIDAD CONTENIDOS III OWASP: Definición, seguridad en aplicaciones web abiertas, herramientas de software para monitores y/o seguimiento de procesos en Windows y/o Linux. UNIDAD CONTENIDOS IV Seguridad y Programación: Control de acceso a funciones y módulos de aplicaciones. Permisos vulnerables. SQL injection, XSS, suplantación de identidad, etc. Sistemas inseguros.
UNIDAD CONTENIDOS V Gestión de la Seguridad: Cultura de la seguridad, sistema de seguridad integrado a otros sistemas. Riesgos (matrices). Continuidad del negocio. UNIDAD CONTENIDOS VI Seguridad Informática vs Seguridad de la Información: Conceptos, similitudes y diferencias, ejemplos. Responsabilidad y auditorias. UNIDAD CONTENIDOS VII Seguridad en la nube: Concepto, los 14 principios de seguridad en la nube.
Recursos disponibles: Drive de Google : https://drive.google.com/drive/folders/1tRvsmSti6g6gW7xwttXhA1sl5i0U26IQ Aquí encontrará en la carpeta Programación y Seguridad, los recursos necesarios para las materia.. Para comunicarse con el docente, recuerde que puede utilizar el espacio de consultas del Campus Virtual ó enviar un email a mviapiano@esbabarrionorte.edu.ar ó un ws al número 1151655284 Temas Administrativos: INFORMACION IMPORTANTE : Fechas de Exámenes 1er. Parcial 24/09/2024 2º Parcial 05/11/2024 Recuperatorios 12/11/2024
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt
Tres de los conceptos principales en seguridad de la información son precisamente la confidencialidad, integridad y disponibilidad, comúnmente conocida como la tríada de la seguridad de la información. La tríada de la CIA, que ha sido utilizada por más de 20 años, brinda un modelo mediante el cual podemos pensar y discutir conceptos de seguridad, y tiende a centrarse mucho en la seguridad de los datos. .La confidencialidad es un concepto similar, pero no igual, a la privacidad. La confidencialidad es un componente necesario de la privacidad y se refiere a nuestra capacidad de proteger nuestros datos de aquellos que no están autorizados para verlos. La confidencialidad es un concepto que puede implementarse en muchos niveles de un proceso. Un ejemplo clásico, si consideramos el caso de una persona que retira dinero de un cajero automático, la persona en cuestión probablemente buscará mantener la confidencialidad del número de identificación personal (PIN) que le permite, en combinación con su tarjeta de cajero automático, extraer dinero. Además, el propietario del cajero automático mantendrá la confidencialidad del número de cuenta, saldo y cualquier otra información necesaria para comunicarse con el banco del que se debitarán los fondos. El banco mantendrá la confidencialidad de la transacción con el cajero automático y la actualización del saldo en la cuenta después de que se hayan retirado los fondos. Si en algún momento de la transacción se compromete la confidencialidad, los resultados podrían ser preocupantes para la persona, el propietario del cajero automático y el banco titular, lo que podría dar lugar a lo que se conoce como incumplimiento en el campo de la seguridad de la información.
La confidencialidad puede verse comprometida por la pérdida de una computadora portátil que contiene datos confidenciales, una persona que mira por encima del hombro mientras escribimos una contraseña, envío de archivos adjuntos de correo electrónico a la persona equivocada, un atacante que penetra en nuestros sistemas o infraestructura por medio de aplicaciones MITM (Man in The Middle) En cuanto a la integridad se refiere a la capacidad de evitar que nuestros datos se modifiquen de manera no autorizada o indeseable. Esto podría significar el cambio o la eliminación no autorizada de nuestros datos o partes de nuestros datos, o podría significar un cambio o eliminación autorizado, pero no deseable. Para mantener la integridad, no solo necesitamos tener los medios para evitar cambios no autorizados en nuestros datos, sino también la capacidad de revertir los cambios autorizados que deben deshacerse. Podemos ver un buen ejemplo de mecanismos que nos permiten controlar la integridad en los sistemas de archivos de muchos sistemas operativos modernos como Windows y Linux. Con el fin de prevenir cambios no autorizados, tales sistemas a menudo implementan permisos que restringen las acciones que un usuario no autorizado puede realizar en un archivo determinado. Además, algunos de estos sistemas y muchas aplicaciones, como las bases de datos, pueden permitirnos deshacer o revertir cambios que no son deseables. La integridad es particularmente importante cuando discutimos los datos que proporcionan la base para otras decisiones. Si un atacante modificara los datos que contenía los resultados de las pruebas médicas, como un caótico ejemplo, podríamos ver el tratamiento incorrecto prescrito, lo que podría resultar en la muerte del paciente
Por último, la disponibilidad se refiere a la capacidad de acceder a nuestros datos cuando los necesitamos. La pérdida de disponibilidad puede referirse a una amplia variedad de interrupciones en cualquier parte de la cadena de comunicaciones que nos permite acceder a nuestros datos. Tales problemas pueden ser el resultado de pérdida de energía, problemas del sistema operativo o de la aplicación, ataques a la red de datos, compromiso de un sistema u otros problemas que impidan a los usuarios acceder a su información. Tales problemas son comúnmente causados por los ya conocidos y avanzados ataques de denegación de servicio (DoS) En la última década, esta triada ha sido criticada por algunos especialistas que indican que estos pilares no abarcan en su totalidad los requerimientos básicos que demanda la seguridad de la información en la nueva dinámica de la presente sociedad hiperconectada. Una de esas críticas más notables es de Donn Parker, el cual propuso otros tres pilares que complementan a la triada los cuales son: control, autenticidad y utilidad para formar algo que denominó hexágono Parkeriano
La seguridad de la información es un concepto que se involucra cada vez más en muchos aspectos de nuestra sociedad hiperconectada, en gran parte como resultado de nuestra adopción casi ubicua de la tecnología de información y comunicación. En nuestra vida cotidiana, muchos de nosotros trabajamos con computadoras para nuestros empleadores, jugamos con computadoras en casa, vamos a la escuela en línea, compramos productos de los comerciantes en Internet, llevamos nuestras computadoras portátiles a la cafetería o al centro comercial y revisamos nuestro correo electrónico en distintos lugares, llevamos nuestro teléfonos inteligentes a todos lados y los usamos para verificar nuestros saldos bancarios, monitorear el ejercicio físico con sensores en nuestro cuerpo y así sucesivamente con muchos aspectos de nuestra vida cotidiana. Aunque la tecnología nos permite ser más productivos y nos permite acceder a una gran cantidad de información con solo un clic del ratón, también conlleva una gran cantidad de problemas de seguridad. Si la información sobre los sistemas utilizados por nuestros empleadores o nuestros bancos se expone a un ciberdelincuente, las consecuencias pueden ser terribles. Podríamos encontrarnos repentinamente desprovistos de fondos, ya que el contenido de nuestra cuenta bancaria se transfiere a un banco en otro país en medio de la noche sin nosotros darnos cuenta. Nuestro empleador podría perder millones de dólares, enfrentar enjuiciamiento legal y sufrir daños a su reputación debido a un problema de configuración del sistema que permite a un atacante obtener acceso a una base de datos que contiene información de la identificación personal o información de propiedad exclusiva. Basta con ver noticias sobre estafas informáticas en canales locales o internacionales, hoy día más frecuentemente que hace cinco, diez o veinte años.
Según la ISO/IEC, la seguridad de la información se podría definir como aquellos procesos, buenas prácticas y metodologías que busquen proteger la información y los sistemas de información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizada. Esta definición básicamente significa que debemos proteger nuestros datos y nuestros recursos de infraestructura tecnológica de aquellos quiénes intentarían hacer un mal uso de ellos. Por otro lado, en un sentido general, seguridad significa proteger nuestros activos. Esto puede significar protegerlos de atacantes que invaden nuestras redes, desastres naturales, condiciones ambientales adversas, cortes de energía, robo o vandalismo u otros estados indeseables. En última instancia, intentaremos protegernos contra las formas más probables de ataque, en la mejor medida que podamos, dado nuestro contexto. Cuando miramos qué es exactamente lo que aseguramos, es posible que tengamos una amplia gama de activos potenciales. Podemos considerar elementos físicos que podríamos querer proteger, como aquellos de valor inherente (por ejemplo, reservas de oro de un Banco) o aquellos que tienen valor para nuestro negocio (por ejemplo, computadoras). También podemos tener elementos de naturaleza más etérea, como software, código fuente o datos. En el entorno informático actual, es probable que descubramos que nuestros activos lógicos son al menos tan valiosos, si no más, que nuestros activos físicos. Además, también debemos proteger a las personas que participan en las operaciones de la organización o empresa. Las personas son nuestro activo más valioso, ya que, en general, no podemos hacer negocios sin ellas. Duplicamos nuestros activos físicos y lógicos y guardamos copias de seguridad de ellos en otro lugar para evitar que ocurra una catástrofe, o al menos es lo que se debe realizar.
En nuestros esfuerzos por proteger nuestros activos, también debemos considerar las consecuencias de la seguridad que elegimos implementar. Hay una cita muy conocida que dice: “El único sistema verdaderamente seguro es uno que está apagado, escondido en un bloque de hormigón y sellado en una habitación revestida de plomo con guardias armados”, y aun así tengo mis dudas. De hecho, me gusta usar esa frase cuando realizo alguna charla de Seguridad Informática. Aunque ciertamente podríamos decir que un sistema en tal estado podría considerarse razonablemente seguro, seguramente no es utilizable ni productivo. A medida que aumentamos el nivel de seguridad, generalmente disminuimos el nivel de productividad, pero hay que buscar un equilibrio. Además, al proteger un activo, sistema o entorno, también debemos considerar cómo el nivel de seguridad se relaciona con el valor del artículo que se está asegurando. Podemos, si estamos dispuestos a adaptarnos a la disminución del rendimiento, aplicar niveles muy altos de seguridad a todos los activos de los que somos responsables. Podemos construir una instalación de mil millones de dólares rodeada de cercas de alambre de púas y patrullada por guardias armados y perros de ataque feroces, y que con cuidado coloque nuestro activo en una bóveda herméticamente sellada en el interior, pero eso no tendría mucho sentido. En algunos entornos, sin embargo, estas medidas de seguridad pueden no ser suficientes. En cualquier entorno en el que planeemos establecer niveles elevados de seguridad, también debemos tener en cuenta el costo de reemplazar nuestros activos si los perdemos, y asegurarnos de establecer niveles razonables de protección para su valor. El costo de la seguridad que implementamos nunca debe superar el valor de lo que protege
¿Cuándo nuestro entorno es seguro? Definir el punto exacto en el que podemos ser considerados seguros presenta un desafío ¿Estamos seguros si nuestros sistemas están debidamente actualizados? ¿Estamos seguros si usamos contraseñas seguras? ¿Estamos seguros si estamos completamente desconectados de Internet? Desde cierto punto de vista, todas estas preguntas pueden responderse con un “no”. Incluso si nuestros sistemas están debidamente actualizados, siempre habrá nuevos ataques a los que seremos vulnerables. Cuando se utilizan contraseñas seguras, habrá otras vías que un ciberdelincuente puede aprovechar. Cuando estamos desconectados de Internet, se puede acceder físicamente a nuestros sistemas o ser robados si no implementamos seguridad física. En resumen, es muy difícil definir cuándo estamos realmente seguros. Sin embargo, podemos reflexionar sobre la pregunta. Definir cuándo tenemos un ambiente inseguro es una tarea mucho más sencilla y podemos enumerar rápidamente una serie de elementos que nos pondrían en este estado • No actualizar sistemas operativos y aplicaciones. • Usar contraseñas débiles como “contraseña” o “1234”. • Descarga de programas de Internet de fuentes no seguras. • Abrir archivos adjuntos de correo electrónico de remitentes desconocidos. • Usar y desplegar redes inalámbricas sin cifrado
Una vez que seamos capaces de señalar los aspectos que pueden causar que sea el entorno sea inseguro, podemos tomar medidas para mitigar estos problemas. Este problema es similar a cortar algo por la mitad una y otra vez; siempre quedará una pequeña porción para volver a cortar, aunque es posible que nunca lleguemos a un estado que definitivamente podamos llamar “seguro”, pero podemos dar pasos en la dirección correcta. Algunas regulaciones internacionales intentan definir qué es seguro, o al menos una serie de reglas que deberíamos tomar para ser “lo suficientemente seguros”. Tenemos el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en Inglés) para las empresas que procesan pagos con tarjeta de crédito, la Ley de Responsabilidad y Portabilidad del Seguro de Salud de 1996 (HIPAA, por sus siglas en Inglés) para organizaciones que manejan la atención médica y los registros de pacientes, la Administración Federal de Seguridad de la Información Ley (FISMA, por sus siglas en Inglés) que define los estándares de seguridad para las agencias federales en los Estados Unidos. Si estos estándares son efectivos o no, es motivo de mucha discusión, pero seguir los estándares de seguridad definidos para la industria en la que operamos generalmente se considera aconsejable, por no decir obligatorio
programacion_y_seguridad_clase_1_13082024.ppt
programacion_y_seguridad_clase_1_13082024.ppt

Más contenido relacionado

PPT
Seguridad informática (Gestión de la seguridad Informatica)
Ana Pino
 
PDF
Power point informatica
fabioescobar17
 
PPT
La seguridad informática en power point
marlenis carrion
 
PPT
Laseguridadinformtica ivan
IvanEuan
 
PPT
Power blogger
Sergio Sanchez de Castro
 
PPT
La seguridad informática en power point
linda gonzalez
 
PDF
PRIMERA SESION - SEGURIDAD INFORMATICA AUDITORIA DE SISTEMAS MAESTRÍA EN CIEN...
maycol309
 
PDF
Resumen nelson manaure
nmanaure
 
Seguridad informática (Gestión de la seguridad Informatica)
Ana Pino
 
Power point informatica
fabioescobar17
 
La seguridad informática en power point
marlenis carrion
 
Laseguridadinformtica ivan
IvanEuan
 
Power blogger
Sergio Sanchez de Castro
 
La seguridad informática en power point
linda gonzalez
 
PRIMERA SESION - SEGURIDAD INFORMATICA AUDITORIA DE SISTEMAS MAESTRÍA EN CIEN...
maycol309
 
Resumen nelson manaure
nmanaure
 

Similar a programacion_y_seguridad_clase_1_13082024.ppt (20)

PPTX
Unidad 5 elementos de computación
Oyarce Katherine
 
PDF
Fundamentos bc3a1sicos-de-seguridad-informc3a1tica
AngelKBattler
 
PDF
Seguridad de la_informacion
G Hoyos A
 
PDF
Unidad 1 capitulo1_final
Altagracia Suero
 
PPT
Lore tic2
Dan Hunter
 
PDF
Seguridad Informática - UTS
Jose Manuel Acosta
 
PDF
Seguridad Informática
Jose Manuel Acosta
 
DOCX
Seguridad de la informacion
ygaiboruniandesr
 
ODT
Marco
marco080030557
 
ODT
Marco
marco080030557
 
PPT
Seguridad informática
Val Glizz Ayala Cifuentes
 
ODT
Marco
marco080030557
 
ODT
Marco
marco080030557
 
PPSX
Administración en centros de cómputo
MariaSandraCG
 
PPSX
Administración en centros de cómputo
MariaSandraCG
 
PPT
Seg.Elec.
mayale2901
 
PPTX
Introducción a la Seguridad Informática.pptx
IESTPPISCO
 
PPTX
Introducción a la Seguridad Informática.pptx
IESTPPISCO
 
PDF
Curso seguridad en sistemas de informacion
nyzapersa
 
PPTX
Seguridad de datos
Coiam
 
Unidad 5 elementos de computación
Oyarce Katherine
 
Fundamentos bc3a1sicos-de-seguridad-informc3a1tica
AngelKBattler
 
Seguridad de la_informacion
G Hoyos A
 
Unidad 1 capitulo1_final
Altagracia Suero
 
Lore tic2
Dan Hunter
 
Seguridad Informática - UTS
Jose Manuel Acosta
 
Seguridad Informática
Jose Manuel Acosta
 
Seguridad de la informacion
ygaiboruniandesr
 
Marco
marco080030557
 
Marco
marco080030557
 
Seguridad informática
Val Glizz Ayala Cifuentes
 
Marco
marco080030557
 
Marco
marco080030557
 
Administración en centros de cómputo
MariaSandraCG
 
Administración en centros de cómputo
MariaSandraCG
 
Seg.Elec.
mayale2901
 
Introducción a la Seguridad Informática.pptx
IESTPPISCO
 
Introducción a la Seguridad Informática.pptx
IESTPPISCO
 
Curso seguridad en sistemas de informacion
nyzapersa
 
Seguridad de datos
Coiam
 
Publicidad

Último (9)

PDF
AutoCAD Herramientas para el futuro, Juan Fandiño
jafandino
 
PPTX
Control de seguridad en los sitios web.pptx
AudisMunive
 
PPTX
ORIGEN DE LA IA - GRADO 1102 INTELIGENCIA
SantiagoReyes275254
 
PPTX
Tratará sobre Grafos_y_Arboles_Presentacion.pptx
andersoneliasburet
 
PPTX
Fundamentos de Python - Curso de Python dia 1
Juansonmiedo
 
PPTX
Conceptos basicos de Base de Datos y sus propiedades
EverPadillaVanegas2
 
PDF
Clase 3 - Presentación visual (Insertando objetos visuales) POWER POINT.pdf
PatriciaFerrer27
 
PPTX
Implementación equipo monitor12.08.25.pptx
HochOli1
 
PPTX
sistemas de informacion.................
francowjc05
 
AutoCAD Herramientas para el futuro, Juan Fandiño
jafandino
 
Control de seguridad en los sitios web.pptx
AudisMunive
 
ORIGEN DE LA IA - GRADO 1102 INTELIGENCIA
SantiagoReyes275254
 
Tratará sobre Grafos_y_Arboles_Presentacion.pptx
andersoneliasburet
 
Fundamentos de Python - Curso de Python dia 1
Juansonmiedo
 
Conceptos basicos de Base de Datos y sus propiedades
EverPadillaVanegas2
 
Clase 3 - Presentación visual (Insertando objetos visuales) POWER POINT.pdf
PatriciaFerrer27
 
Implementación equipo monitor12.08.25.pptx
HochOli1
 
sistemas de informacion.................
francowjc05
 
Publicidad

programacion_y_seguridad_clase_1_13082024.ppt

  • 1. Clase 1 Clase 1 Programación y Programación y Seguridad Seguridad Año 2024
  • 2. UNIDAD CONTENIDOS I Introducción: Conceptos generales sobre Seguridad. Fundamentos y objetivos. Introducción a la seguridad. Seguridad Física. Seguridad en Sistemas Operativos. Seguridad en Redes. Seguridad en Base de Datos PROGRAMA DE LA MATERIA UNIDAD CONTENIDOS II Vulnerabilidades y Amenazas: Definición, tipos de amenazas, tipos de vulnerabilidades, mitigación de riesgos. Principales fallos de seguridad existentes en software. UNIDAD CONTENIDOS III OWASP: Definición, seguridad en aplicaciones web abiertas, herramientas de software para monitores y/o seguimiento de procesos en Windows y/o Linux. UNIDAD CONTENIDOS IV Seguridad y Programación: Control de acceso a funciones y módulos de aplicaciones. Permisos vulnerables. SQL injection, XSS, suplantación de identidad, etc. Sistemas inseguros.
  • 3. UNIDAD CONTENIDOS V Gestión de la Seguridad: Cultura de la seguridad, sistema de seguridad integrado a otros sistemas. Riesgos (matrices). Continuidad del negocio. UNIDAD CONTENIDOS VI Seguridad Informática vs Seguridad de la Información: Conceptos, similitudes y diferencias, ejemplos. Responsabilidad y auditorias. UNIDAD CONTENIDOS VII Seguridad en la nube: Concepto, los 14 principios de seguridad en la nube.
  • 4. Recursos disponibles: Drive de Google : https://drive.google.com/drive/folders/1tRvsmSti6g6gW7xwttXhA1sl5i0U26IQ Aquí encontrará en la carpeta Programación y Seguridad, los recursos necesarios para las materia.. Para comunicarse con el docente, recuerde que puede utilizar el espacio de consultas del Campus Virtual ó enviar un email a mviapiano@esbabarrionorte.edu.ar ó un ws al número 1151655284 Temas Administrativos: INFORMACION IMPORTANTE : Fechas de Exámenes 1er. Parcial 24/09/2024 2º Parcial 05/11/2024 Recuperatorios 12/11/2024
  • 16. Tres de los conceptos principales en seguridad de la información son precisamente la confidencialidad, integridad y disponibilidad, comúnmente conocida como la tríada de la seguridad de la información. La tríada de la CIA, que ha sido utilizada por más de 20 años, brinda un modelo mediante el cual podemos pensar y discutir conceptos de seguridad, y tiende a centrarse mucho en la seguridad de los datos. .La confidencialidad es un concepto similar, pero no igual, a la privacidad. La confidencialidad es un componente necesario de la privacidad y se refiere a nuestra capacidad de proteger nuestros datos de aquellos que no están autorizados para verlos. La confidencialidad es un concepto que puede implementarse en muchos niveles de un proceso. Un ejemplo clásico, si consideramos el caso de una persona que retira dinero de un cajero automático, la persona en cuestión probablemente buscará mantener la confidencialidad del número de identificación personal (PIN) que le permite, en combinación con su tarjeta de cajero automático, extraer dinero. Además, el propietario del cajero automático mantendrá la confidencialidad del número de cuenta, saldo y cualquier otra información necesaria para comunicarse con el banco del que se debitarán los fondos. El banco mantendrá la confidencialidad de la transacción con el cajero automático y la actualización del saldo en la cuenta después de que se hayan retirado los fondos. Si en algún momento de la transacción se compromete la confidencialidad, los resultados podrían ser preocupantes para la persona, el propietario del cajero automático y el banco titular, lo que podría dar lugar a lo que se conoce como incumplimiento en el campo de la seguridad de la información.
  • 17. La confidencialidad puede verse comprometida por la pérdida de una computadora portátil que contiene datos confidenciales, una persona que mira por encima del hombro mientras escribimos una contraseña, envío de archivos adjuntos de correo electrónico a la persona equivocada, un atacante que penetra en nuestros sistemas o infraestructura por medio de aplicaciones MITM (Man in The Middle) En cuanto a la integridad se refiere a la capacidad de evitar que nuestros datos se modifiquen de manera no autorizada o indeseable. Esto podría significar el cambio o la eliminación no autorizada de nuestros datos o partes de nuestros datos, o podría significar un cambio o eliminación autorizado, pero no deseable. Para mantener la integridad, no solo necesitamos tener los medios para evitar cambios no autorizados en nuestros datos, sino también la capacidad de revertir los cambios autorizados que deben deshacerse. Podemos ver un buen ejemplo de mecanismos que nos permiten controlar la integridad en los sistemas de archivos de muchos sistemas operativos modernos como Windows y Linux. Con el fin de prevenir cambios no autorizados, tales sistemas a menudo implementan permisos que restringen las acciones que un usuario no autorizado puede realizar en un archivo determinado. Además, algunos de estos sistemas y muchas aplicaciones, como las bases de datos, pueden permitirnos deshacer o revertir cambios que no son deseables. La integridad es particularmente importante cuando discutimos los datos que proporcionan la base para otras decisiones. Si un atacante modificara los datos que contenía los resultados de las pruebas médicas, como un caótico ejemplo, podríamos ver el tratamiento incorrecto prescrito, lo que podría resultar en la muerte del paciente
  • 18. Por último, la disponibilidad se refiere a la capacidad de acceder a nuestros datos cuando los necesitamos. La pérdida de disponibilidad puede referirse a una amplia variedad de interrupciones en cualquier parte de la cadena de comunicaciones que nos permite acceder a nuestros datos. Tales problemas pueden ser el resultado de pérdida de energía, problemas del sistema operativo o de la aplicación, ataques a la red de datos, compromiso de un sistema u otros problemas que impidan a los usuarios acceder a su información. Tales problemas son comúnmente causados por los ya conocidos y avanzados ataques de denegación de servicio (DoS) En la última década, esta triada ha sido criticada por algunos especialistas que indican que estos pilares no abarcan en su totalidad los requerimientos básicos que demanda la seguridad de la información en la nueva dinámica de la presente sociedad hiperconectada. Una de esas críticas más notables es de Donn Parker, el cual propuso otros tres pilares que complementan a la triada los cuales son: control, autenticidad y utilidad para formar algo que denominó hexágono Parkeriano
  • 19. La seguridad de la información es un concepto que se involucra cada vez más en muchos aspectos de nuestra sociedad hiperconectada, en gran parte como resultado de nuestra adopción casi ubicua de la tecnología de información y comunicación. En nuestra vida cotidiana, muchos de nosotros trabajamos con computadoras para nuestros empleadores, jugamos con computadoras en casa, vamos a la escuela en línea, compramos productos de los comerciantes en Internet, llevamos nuestras computadoras portátiles a la cafetería o al centro comercial y revisamos nuestro correo electrónico en distintos lugares, llevamos nuestro teléfonos inteligentes a todos lados y los usamos para verificar nuestros saldos bancarios, monitorear el ejercicio físico con sensores en nuestro cuerpo y así sucesivamente con muchos aspectos de nuestra vida cotidiana. Aunque la tecnología nos permite ser más productivos y nos permite acceder a una gran cantidad de información con solo un clic del ratón, también conlleva una gran cantidad de problemas de seguridad. Si la información sobre los sistemas utilizados por nuestros empleadores o nuestros bancos se expone a un ciberdelincuente, las consecuencias pueden ser terribles. Podríamos encontrarnos repentinamente desprovistos de fondos, ya que el contenido de nuestra cuenta bancaria se transfiere a un banco en otro país en medio de la noche sin nosotros darnos cuenta. Nuestro empleador podría perder millones de dólares, enfrentar enjuiciamiento legal y sufrir daños a su reputación debido a un problema de configuración del sistema que permite a un atacante obtener acceso a una base de datos que contiene información de la identificación personal o información de propiedad exclusiva. Basta con ver noticias sobre estafas informáticas en canales locales o internacionales, hoy día más frecuentemente que hace cinco, diez o veinte años.
  • 20. Según la ISO/IEC, la seguridad de la información se podría definir como aquellos procesos, buenas prácticas y metodologías que busquen proteger la información y los sistemas de información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizada. Esta definición básicamente significa que debemos proteger nuestros datos y nuestros recursos de infraestructura tecnológica de aquellos quiénes intentarían hacer un mal uso de ellos. Por otro lado, en un sentido general, seguridad significa proteger nuestros activos. Esto puede significar protegerlos de atacantes que invaden nuestras redes, desastres naturales, condiciones ambientales adversas, cortes de energía, robo o vandalismo u otros estados indeseables. En última instancia, intentaremos protegernos contra las formas más probables de ataque, en la mejor medida que podamos, dado nuestro contexto. Cuando miramos qué es exactamente lo que aseguramos, es posible que tengamos una amplia gama de activos potenciales. Podemos considerar elementos físicos que podríamos querer proteger, como aquellos de valor inherente (por ejemplo, reservas de oro de un Banco) o aquellos que tienen valor para nuestro negocio (por ejemplo, computadoras). También podemos tener elementos de naturaleza más etérea, como software, código fuente o datos. En el entorno informático actual, es probable que descubramos que nuestros activos lógicos son al menos tan valiosos, si no más, que nuestros activos físicos. Además, también debemos proteger a las personas que participan en las operaciones de la organización o empresa. Las personas son nuestro activo más valioso, ya que, en general, no podemos hacer negocios sin ellas. Duplicamos nuestros activos físicos y lógicos y guardamos copias de seguridad de ellos en otro lugar para evitar que ocurra una catástrofe, o al menos es lo que se debe realizar.
  • 21. En nuestros esfuerzos por proteger nuestros activos, también debemos considerar las consecuencias de la seguridad que elegimos implementar. Hay una cita muy conocida que dice: “El único sistema verdaderamente seguro es uno que está apagado, escondido en un bloque de hormigón y sellado en una habitación revestida de plomo con guardias armados”, y aun así tengo mis dudas. De hecho, me gusta usar esa frase cuando realizo alguna charla de Seguridad Informática. Aunque ciertamente podríamos decir que un sistema en tal estado podría considerarse razonablemente seguro, seguramente no es utilizable ni productivo. A medida que aumentamos el nivel de seguridad, generalmente disminuimos el nivel de productividad, pero hay que buscar un equilibrio. Además, al proteger un activo, sistema o entorno, también debemos considerar cómo el nivel de seguridad se relaciona con el valor del artículo que se está asegurando. Podemos, si estamos dispuestos a adaptarnos a la disminución del rendimiento, aplicar niveles muy altos de seguridad a todos los activos de los que somos responsables. Podemos construir una instalación de mil millones de dólares rodeada de cercas de alambre de púas y patrullada por guardias armados y perros de ataque feroces, y que con cuidado coloque nuestro activo en una bóveda herméticamente sellada en el interior, pero eso no tendría mucho sentido. En algunos entornos, sin embargo, estas medidas de seguridad pueden no ser suficientes. En cualquier entorno en el que planeemos establecer niveles elevados de seguridad, también debemos tener en cuenta el costo de reemplazar nuestros activos si los perdemos, y asegurarnos de establecer niveles razonables de protección para su valor. El costo de la seguridad que implementamos nunca debe superar el valor de lo que protege
  • 22. ¿Cuándo nuestro entorno es seguro? Definir el punto exacto en el que podemos ser considerados seguros presenta un desafío ¿Estamos seguros si nuestros sistemas están debidamente actualizados? ¿Estamos seguros si usamos contraseñas seguras? ¿Estamos seguros si estamos completamente desconectados de Internet? Desde cierto punto de vista, todas estas preguntas pueden responderse con un “no”. Incluso si nuestros sistemas están debidamente actualizados, siempre habrá nuevos ataques a los que seremos vulnerables. Cuando se utilizan contraseñas seguras, habrá otras vías que un ciberdelincuente puede aprovechar. Cuando estamos desconectados de Internet, se puede acceder físicamente a nuestros sistemas o ser robados si no implementamos seguridad física. En resumen, es muy difícil definir cuándo estamos realmente seguros. Sin embargo, podemos reflexionar sobre la pregunta. Definir cuándo tenemos un ambiente inseguro es una tarea mucho más sencilla y podemos enumerar rápidamente una serie de elementos que nos pondrían en este estado • No actualizar sistemas operativos y aplicaciones. • Usar contraseñas débiles como “contraseña” o “1234”. • Descarga de programas de Internet de fuentes no seguras. • Abrir archivos adjuntos de correo electrónico de remitentes desconocidos. • Usar y desplegar redes inalámbricas sin cifrado
  • 23. Una vez que seamos capaces de señalar los aspectos que pueden causar que sea el entorno sea inseguro, podemos tomar medidas para mitigar estos problemas. Este problema es similar a cortar algo por la mitad una y otra vez; siempre quedará una pequeña porción para volver a cortar, aunque es posible que nunca lleguemos a un estado que definitivamente podamos llamar “seguro”, pero podemos dar pasos en la dirección correcta. Algunas regulaciones internacionales intentan definir qué es seguro, o al menos una serie de reglas que deberíamos tomar para ser “lo suficientemente seguros”. Tenemos el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en Inglés) para las empresas que procesan pagos con tarjeta de crédito, la Ley de Responsabilidad y Portabilidad del Seguro de Salud de 1996 (HIPAA, por sus siglas en Inglés) para organizaciones que manejan la atención médica y los registros de pacientes, la Administración Federal de Seguridad de la Información Ley (FISMA, por sus siglas en Inglés) que define los estándares de seguridad para las agencias federales en los Estados Unidos. Si estos estándares son efectivos o no, es motivo de mucha discusión, pero seguir los estándares de seguridad definidos para la industria en la que operamos generalmente se considera aconsejable, por no decir obligatorio