•Adame Guzmán Cesar Gustavo•Bartolo Hernández Rodrigo•Cortes Cayetano Luis Ángel•Díaz Gómez Enrique•García Bravo Víctor Armando•Romero Bello Alan

Seguridad De La Información  Es el conjunto de medidas preventivas y reactivas de

las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

La Seguridad Informática Se Define Como: Un sistema de información (SI) es un

conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. Dichos elementos formarán parte de alguna de las siguientes categorías:

Personas Datos Actividades o técnicas de trabajo Recursos materiales en general

(generalmente recursos informáticos y de comunicación, aunque no necesariamente).

Todos estos elementos interactúan para procesar los datos (incluidos los procesos manuales y automáticos) y dan lugar a información más elaborada, que se distribuye de la manera más adecuada posible en una determinada organización, en función de sus objetivos.

Habitualmente el término se usa de manera errónea como sinónimo de sistema de información informático, en parte porque en la mayor parte de los casos los recursos materiales de un sistema de información están constituidos casi en su totalidad por sistemas informáticos. Estrictamente hablando, un sistema de información no tiene por qué disponer de dichos recursos (aunque en la práctica esto no suela ocurrir). Se podría decir entonces que los sistemas de información informáticos son una subclase o un subconjunto de los sistemas de información en general.

Objetivos De La Seguridad Informática Automatización de procesos operativos:

Los Sistemas de Información que logran la automatización de procesos operativos dentro de una organización, son llamados frecuentemente Sistemas Transaccionales, ya que su función primordial consiste en procesar transacciones tales como pagos, cobros, pólizas, entradas, salidas, etc.

2. Proporcionar información que sirva de apoyo al proceso de toma de decisiones:Los Sistemas de Información que apoyan el proceso de toma de decisiones son los Sistemas de Soporte a la Toma de Decisiones, Sistemas para la Toma de Decisión de Grupo, Sistemas Expertos, de Soporte a la Toma de Decisiones y Sistema de Información para Ejecutivos.

3. Lograr ventajas competitivas a través de su implantación y uso:Por otra parte, el tercer tipo de sistema, de acuerdo con su uso u objetivos que cumplen, es el de los Sistemas Estratégicos, los cuales se desarrollan en las organizaciones con el fin de lograr ventajas competitivas, a través del uso de la tecnología de información.

Prevención de riesgos en el Laboratorio de Informática. 1.- Si al encender el computador se inicia a prueba de fallo, realizar Scan Disk en

modo verificación estándar, al finalizar reiniciar el equipo.

2.-No instalar programas de origen desconocido que puedan afectar la configuración del sistema.

3.-No desinstalar ningún componente del computador.

4.- Si el computador se pega, presionar al mismo tiempo ctrl+alt+supr, todo al mismo tiempo.

5.- Si internet se cae, desenchufar el Router y volver a enchufarlo.

6._Cuando se mueva el equipo de computo asegurarse que el equipo este totalmente desenchufado para prevenir accidentes con el cableado.

7._Evitar Movimientos bruscos o golpes en el ordenador , que pueden causar daños tantos internos como externos.

8._ Evitar poner y tomar refrescos, agua , o otra bebida cuando se estén ocupando las computadoras ya que si derraman sobre ella esta se dañaría.

9._Tener equipos protectores de corriente como son los no break o reguladores de corriente para proteger de sobrecargas al computador y este no se dañe.

10._ Hacerle mantenimiento a las computadoras para un buen funcionamiento

11._ Las herramientas a utilizar para el mantenimiento de un equipo de computo son: Desarmadores, Aire comprimido, Espuma limpiadora, Alcohol isopropilico, Hisopos, Franelas, Pasta Térmica, Limpia circuitos, brochas etc..

12._ Evitar que el cableado del PC este enredado en el suelo para no provocar un accidente.

13._ Verificar que todos los ventiladores de la PC funciones bien y estén libre de polvo.

14._ Que los contactos de electricidad no sobresalgan o estén expuestos.

15._ Tener una puerta de salida de emergencias por algún sismo .

16._ Tener las computadoras en algún mueble y no tocando el piso.

17._ Mantener limpio tanto el software como el hardware.

18._ No correr en el laboratorio de computo.

19._ Usar las computadoras para trabajos y no para navegar en facebook, youtube o paginas pornográficas.

20._ tener un sistema de control de todas las computadoras del laboratorio.

Seguridad física Cuando hablamos de seguridad física nos

referimos a todos aquellos mecanismos --generalmente de prevención y detección-- destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.

Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.

A continuación mencionaremos algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto.

El control de acceso implica quién tiene acceso a sistemas informáticos específicos y recursos en un momento dado. El concepto de control de acceso consta de tres pasos. Estos pasos son la identificación, autenticación y autorización. Con el uso de estos tres principios un administrador del sistema puede controlar que recursos están disponibles para los usuarios de un sistema.

La identificación se refiere las cosas como nombres de usuario y tarjetas de identificación. Es el medio por el cual un usuario del sistema identifica quiénes son. Este paso se realiza generalmente al iniciar sesión.

La autenticación es el segundo paso del proceso de control de acceso. Contraseñas, reconocimiento de voz, y escáneres biométricos son métodos comunes de autenticación. El objetivo de la autenticación es para verificar la identidad del usuario del sistema.

La autorización se produce después de que un usuario del sistema se autentica y luego es autorizado a utilizar el sistema. El usuario esta generalmente sólo autorizado a usar una porción de los recursos del sistema en función de su papel en la organización. Por ejemplo, el personal de ingeniería tiene acceso a diferentes aplicaciones y archivos que el personal de finanzas, o recursos humanos no.

Hay más maneras de hacer cumplir el control de acceso además de usar software. El control de acceso se puede mantener por algo tan simple como una puerta cerrada. Sólo los usuarios con la clave correcta o con el uso de una tarjeta se le permitiría entrar.

Uno de los principios que deben incorporarse al establecer una política de control de acceso eficaz es la práctica de un acceso mínimo o menos privilegios. Lo que esto significa es que un usuario debe tener la menor cantidad de acceso requerido para hacer su trabajo.

La protección de datos personales Se trata de la garantía o la facultad de control de la propia

información frente a su tratamiento automatizado o no, es decir, no sólo a aquella información albergada en sistemas computacionales, sino en cualquier soporte que permita su utilización: almacenamiento, organización y acceso. En algunos países la protección de datos encuentra reconocimiento constitucional, como derecho humano y en otros simplemente legal.

Ataques a nuestro PC

Tipos de ataques Ataques de intromisión: Este tipo de ataque es cuando

alguien abre archivos, uno tras otro, en nuestra computadora hasta encontrar algo que le sea de su interés. Puede ser alguien externo o inclusive alguien que convive todos los días con nosotros. Cabe mencionar que muchos de los ataque registrados a nivel mundial, se dan internamente dentro de la organización y/o empresa.

Ataque de espionaje en líneas: Se da cuando alguien escucha la conversación y en la cual, él no es un invitado. Este tipo de ataque, es muy común en las redes inalámbricas y no se requiere, como ya lo sabemos, de un dispositivo físico conectado a algún cable que entre o salga del edificio. Basta con estar en un rango donde la señal de la red inalámbrica llegue, a bordo de un automóvil o en un edificio cercano, para que alguien esté espiando nuestro flujo de información.

Ataque de intercepción: Este tipo de ataque se dedica a desviar la información a otro punto que no sea la del destinatario, y así poder revisar archivos, información y contenidos de cualquier flujo en una red.

Ataque de modificación: Este tipo de ataque se dedica a alterar la información que se encuentra, de alguna forma ya validada, en computadoras y bases de datos. Es muy común este tipo de ataque en bancos y casas de bolsa. Principalmente los intrusos se dedican a cambiar, insertar, o eliminar información y/o archivos, utilizando la vulnerabilidad del los sistemas operativos y sistemas de seguridad (atributos, claves de accesos, etc.).

Ataque de denegación de servicio: Son ataques que se dedican a negarles el uso de los recursos a los usuarios legítimos del sistema, de la información o inclusive de algunas capacidades del sistema. Cuando se trata de la información, esta, se es escondida, destruida o ilegible. Respecto a las aplicaciones, no se pueden usar los sistemas que llevan el control de la empresa, deteniendo su administración o inclusive su producción, causando demoras y posiblemente pérdidas millonarias. Cuando es a los sistemas, los dos descritos anteriormente son inutilizados. Si hablamos de comunicaciones, se puede inutilizar dispositivos de comunicación (tan sencillo como cortar un simple cable), como saturar e inundar con tráfico excesivo las redes para que estas colisionen.

Ataque de suplantación: Este tipo de ataque se dedica a dar información falsa, a negar una transacción y/o a hacerse pasar por un usuario conocido. Se ha puesto de moda este tipo de ataques; los "nuevos ladrones" ha hecho portales similares a los bancarios, donde las personas han descargado sus datos de tarjetas de crédito sin encontrar respuesta; posteriormente sus tarjetas de crédito son vaciadas.

Es importante mencionar, que así como se llevan estos tipos de ataques en medios electrónicos, muchas veces se llevan a cabo en archivos físicos (expedientes, archiveros con información en papel, y en otro tipo de medios con los que las personas están familiarizadas a trabajar todos los días (como teléfonos convencionales, celulares, cajeros automáticos, etc.); inclusive los ataques a computadoras, muchas veces, comienzan precisamente con información obtenida de una fuente física (papeles, basura, intervención de correo, cartas, estados de cuenta que llegan a los domicilios; o simplemente de alguien que vigila lo que hacemos).

Hago mención de estos últimos puntos, porque muchas veces pensamos que la intrusión, pérdida, alteración, inserción, bloqueo de información en sistemas, bloqueo de sistemas operativos y de dispositivos, suceden por casualidad o simplemente por que existen los Hackers.

Lo que motiva a un pirata informático y/o Hacker a realizar los ataques son: los retos, ya que ellos trabajan en generar códigos que pueden burlar la seguridad, infiltrarse en redes y sistemas para extraer o alterar la información sintiéndose así superiores; codicia, unos de los motivos más antiguos por lo que las personas delinquen, tratado de hacer "dinero fácil" y un propósito mal intencionado o también definido como vandalismo o terrorismo.

Los métodos tradicionales de los Hackers son: buscar comparticiones abiertas, contraseñas deficientes, fallas y vulnerabilidades en programación, desbordamiento de buffer y denegaciones de servicios. Los Métodos más avanzados son: Rastreo de redes conmutadas (transmisión de paquetes entre nodos o redes); métodos de falseamiento y enmascaramientos de IP; códigos malintencionados y virus.

Norma ISO 27000 La información es un activo vital para el éxito y la continuidad en el mercado de

cualquier organización. El aseguramiento de dicha información y de los sistemas que

la procesan es, por tanto, un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un

sistema que aborde esta tarea de una forma metódica, documentada y basada en

unos objetivos claros de seguridad y una evaluación de los riesgos a los que está

sometida la información de la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo-

por ISO (International Organization for Standardization) e IEC (International

Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad

de la información utilizable por cualquier tipo de organización, pública o privada,

grande o pequeña.

En este apartado se resumen las distintas normas que componen la serie ISO 27000 y

se indica cómo puede una organización implantar un sistema de gestión de seguridad

de la información (SGSI) basado en ISO 27001.

Riesgo del laboratorio de computo * Riesgos físicos: 

- Inundación - Incendio - Humo proveniente del incendio de otros lugares cercanos - Falta o falla de energía eléctrica - Accesos no autorizados o mal controlados como correspondería - Dependiendo de la ubicación Terremotos - Interferencia electromagnética que afecte la integridad de los datos que viajan por el cableado estructurado - Rayos - Fallas en el sistema de enfriamiento; incluso inundación (pequeñita) a causa del mal funcionamiento por congelación de los caños de bronce de los equipos y por haberse tapado los desagües de los mismos. -Fallas en el cableado estructurado por roedores

u otras alimañas que pudieran comer o dañar el mismo. 

* Riesgos humanos - Que quede mal cerrada la puerta de acceso permitiendo acceso no autorizado - Que quede un servidor sin bloquear correctamente y que alguien pudiera tomar control físico del servidor. - Robo de equipamiento - Sabotaje - Fallas en el calculo de consumo eléctrico o falta de previsión de crecimiento como así también en las UPSs - Fallas en el soft al aplicar parches sin haber testeado. - Atentados - Manifestaciones con desmanes 

* Riesgos del equipamiento informático / telecomunicaciones - Fallas generales de hardware (discos, placas de red, mothers, micros, etc.) - Fallas de equipos de comunicaciones. - DoS hacia los equipos (interno o externo) - Fallas en el sistema de UPS o falta de mantenimiento de los mismos - Fallas en el software, DBs, etc 

MÉTODOS DE CONTROL DE ACCESO FÍSICO.

  CONTROLES DE ACCESO FÍSICO.

Puertas con estándares mínimo de protección contra fuego.

Entradas y salidas principales con puertas cerradas, guardias o recepcionistas.

Remplazar ventanas por paredes sólidas.

Acceso al centro de computo observado por CTCV.

Credencial con fotografía.

Evitar el “Plggybacking”.

Registro de visitantes.

Un empleado responsable del visitante.

Centro de computo monitoreando todo el tiempo.

Sistema de alarma.

Campos magnéticos.

Cámaras de TV CTV.

Rondas de vigilancia. Revisión de portafolios. Materiales y bolsas de mano. Relación de personas que trabajan en horas o días no

laborales. Relación de pase y salidas de objetos. Sistema computarizado de Control de Acceso. Restringir acceso a el equipo de telecomunicaciones, al

panel de distribución de energía eléctrica, a los sistemas de aire acondicionado, a las baterías, al UPS, transformadores, generadores.

Medidas de protección contra incendios , inundaciones, radiación.

etc.

DISPOSITIVOS Y SISTEMAS ELECTRÓNICOS DE SEGURIDAD. Salidas de emergencia con alarma audible y monitoreable. Asegurar contra intrusos, los ductos de aire acondicionado,

salidas por el techo, áreas de recolección y entrega de productos a usuarios.

Fuente de poder de respaldo disponible. Evitar el acceso de personas no autorizadas por el techo

falso, piso falso o puntos no monitoreados Señalización contra fumar, comer y tomar bebidas en áreas

de equipos de computo. Kit de primeros auxilios. Linternas y baterías electrónicas.

POLITICAS DE SEGURIDAD DE UN CENTRO DE COMPUTO 1.- Impartir instrucciones a los asociados o responsables de no suministrar

información.

2.- Revisar los planes de seguridad de la organización.

3.- Establecer simples y efectivos sistemas de señales.

4.- Contar con resguardo de la información que se maneja.

5.- Establecer contraseñas para proteger información confidencial y privada.

6.- Evitar introducir alimentos, tales como refrescos, para impedir que puedan derramarse sobre las maquinas.

7.- No fumar.

8.- Cada equipo de cómputo debe contar con un regulador de corriente para evitar problemas o daños en caso de falla eléctrica.

9.- Escanear un disquete antes de introducirlo a la computadora para así evitar infectarlas con algún virus.

¿Qué es la seguridad de redes? La seguridad de redes es un nivel de seguridad que

garantiza que el funcionamiento de todas las máquinas de una red sea óptimo y que todos los usuarios de estas máquinas posean los derechos que les han sido concedidos:

Esto puede incluir: evitar que personas no autorizadas intervengan en el

sistema con fines malignos evitar que los usuarios realicen operaciones

involuntarias que puedan dañar el sistema asegurar los datos mediante la previsión de fallas garantizar que no se interrumpan los servicios

¿Cómo es posible protegerse? manténganse informado

conozca su sistema operativolimite el acceso a la red (firewall)limite el número de puntos de entrada (puertos)defina una política de seguridad interna (contraseñas, activación de archivos ejecutables)haga uso de utilidades de seguridad (registro)